Nesta página
Exemplo: Configure o espelhamento de porta com um filtro de firewall para toda a família
Visão geral
• Família any (para famíliaany, cccethernet-switchingou mpls)
Você usa a opção de configuração familiar any para processar todas as 4 famílias.
Você usa [edit forwarding-options port-mirroring] para espelhamento de porta local ou [edit forwarding-options port-mirroring instance instance-name] para espelhamento remoto de porta, com ambas as configurações também exigindo um filtro de firewall.
O texto a seguir lista as ressalvas e limitações que você precisa saber ao configurar este recurso:
Advertências
-
Se você precisar alterar a configuração de saída de espelhamento de porta, exclua primeiro a configuração de saída existente e configure a nova configuração de saída.
-
Se o número de instâncias espelhadas de porta remota exceder 15, nenhum erro de confirmação será exibido.
-
Uma mensagem de erro do mecanismo de encaminhamento de pacotes é gerada se o número de instâncias espelhadas de porta exceder 15. No entanto, se você excluir uma das instâncias existentes, a décima sexta instância não será programada automaticamente. Primeiro, você deve excluir a 16ª instância e depois adicioná-la novamente.
-
Um pacote amostrado pode ser enviado a apenas um dispositivo NMS.
-
Cada família consome uma instância, então
maximum number of instances = number of instances + number of families
-
Uma interface FTI deve operar no modo loopback.
Nota:As interfaces de FTI estão incluídas em configurações remotas de espelhamento de porta.
-
Você pode configurar o comprimento máximo do pacote como um múltiplo de 128 bytes; um pacote exportado é 22 bytes menos do que o valor configurado.
-
Não configure várias interfaces para a mesma instância — elas não são suportadas, e nenhum erro de confirmação é criado se você tentar comprometer várias interfaces para a mesma instância.
-
A reinicialização do daemon do espelho (espelhado) e do GRES ambos têm uma queda momentânea.
-
Os pacotes terminados por túnel na direção da saída não são espelhados.
-
Ações combinadas
port-mirrorediscardna direção da saída não são suportadas. -
O tráfego jumbo na direção de saída para a interface de FTI não é suportado.
Limitações
-
A configuração L2 no estilo de provedor empresarial (
ethernet-switching) não é suportada pelo filtro da famíliaany. -
Um pacote amostrado pode ser enviado a apenas uma instância espelhada de porta remota. O mesmo pacote amostrado não pode ser enviado a vários dispositivos NMS.
-
As estatísticas relacionadas a pacotes espelhados por porta devem ser verificadas por meio do filtro de firewall ou do FTI.
-
O tráfego MPLS na saída não é suportado pelo filtro familiar
any. -
Uma interface Ethernet agregada (ae) não é suportada como a interface de saída no filtro da família
any.
Requisitos
-
PTX10008 ou PTX10016
-
Junos OS Evolved Release 22.2R1 ou posterior
Topologia
O exemplo a seguir mostra uma configuração de espelhamento de porta local com a família any e um filtro de firewall.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
Resultados
Confira os resultados da configuração:
firewall {
family any {
filter mirror_to_analytics {
term port-mirror {
from {
learn-vlan-id 1024-1055;
}
then count c1;
then port-mirror;
}
term all-else {
then accept;
}
}
}
}
interfaces {
ae10 {
encapsulation flexible-ethernet-services;
aggregated-ether-options {
lacp {
active;
periodic fast;
}
}
unit 1038 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1038;
unit 1046 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1046;
}
} vlan-tagging;
}
et-0/0/0:3 {
encapsulation ethernet ccc;
unit 0 {
family ccc;
}
forwarding-options {
port-mirroring {
input {
rate 1; (We recommend 1:1000 so you don't mirror all the traffic.)
}
family any {
output {
interface et-0/0/0:3.0;
}
}
}
}