Configure o espelhamento de pacotes com cabeçalhos de Camada 2 para tráfego encaminhado de Camada 3
Os filtros de espelhamento de pacotes seletivos podem servir como um mecanismo de solução de problemas altamente eficaz e também podem ser usados para fins de monitoramento de desempenho.
Entendendo o espelhamento de pacotes com cabeçalhos de Camada 2 para tráfego encaminhado de Camada 3
Este documento se concentra em uma capacidade de selecionar tráfego usando uma ampla variedade de condições de correspondência de filtro IPv4 ou IPv6 e espelhar pacotes inteiros com suas informações originais de cabeçalho de Camada 2.
As informações de cabeçalho de camada 2 podem ser essenciais para identificar um cliente específico em uma implantação de roteador de borda ou um peer de Internet específico em um caso de peering público.
- Recursos de espelhamento de pacotes com cabeçalhos de Camada 2 para tráfego encaminhado de Camada 3
- Limitações para a configuração de espelhamento no nível de pacote
Recursos de espelhamento de pacotes com cabeçalhos de Camada 2 para tráfego encaminhado de Camada 3
Em poucas palavras, você pode espelhar o cabeçalho de pacote de Camada 2 original quando a ação l2-mirror estiver configurada em um family inet ou family inet6 filtro. Os pacotes podem ser espelhados local ou remotamente usando túneis GRE.
Se você especificar a interface de saída em sua configuração de espelhamento como uma interface de túnel GRE, os pacotes serão encapsulados em GRE antes da transmissão. Uma instância de espelhamento de porta pode ser configurada com várias famílias de protocolo de saída.
Limitações para a configuração de espelhamento no nível de pacote
-
A nova ação,
l2-mirroré apenas suportadafamily inetefamily inet6filtra. - O espelhamento de camada 2 não é suportado em interfaces gr-*/*/*
Configure um filtro com uma instância de espelhamento de porta ou com o espelhamento global de portas
Você configura l2-mirror em firewall family (inet | inet6) filter filter-name term then port-mirror ambos (espelhamento de porta global) ou firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (instâncias de espelhamento de porta ou "instâncias PM").
Ter l2-mirror configurado para um termo indica que, para pacotes correspondentes a este termo, o pacote de Camada 2 é espelhado. O software realiza verificações de confirmação para configurações inválidas, como quando l2-mirror está configurada, mas nenhuma interface de saída de espelhamento de porta é configurada na family any configuração de espelhamento de porta em nível global ou nível de instância. Se você desativar l2-mirror, o comportamento de espelhamento reverte para espelhamento de Camada 3.
Os dois exemplos a seguir mostram a configuração de um filtro (o nome do filtro nos exemplos é f1) com uma instância de espelhamento de porta e com espelhamento de porta global. Em ambos os exemplos, o tráfego é espelhado no destino remoto em um túnel GRE.
As configurações de espelhamento de porta, que estão em forwarding-optionsbaixo, estão configuradas com family any, mas as condições de correspondência na configuração do filtro são feitas em family inet. O uso family any permite o espelhamento de pacotes de Camada 2.
Configure o espelhamento para túneis FTI
Quando o caminho de dados atravessa um túnel flexível de interface de túnel (FTI), o pacote de saída é enviado com encapsulamento de túnel. Você pode configurar uma configuração que espelha o pacote original, bem como o pacote com todos os encapsulamentos conforme ele se egresso.
Para espelhar o pacote original, configure o espelhamento de entrada na interface WAN de entrada.
Para espelhar o pacote com todos os encapsulamentos, habilite o espelhamento de saída na interface WAN de saída.
Para habilitar o espelhamento com base em um filtro instalado na interface do FTI, você usa um processo de duas etapas:
- Você marca pacotes para espelhamento usando a ação de política na interface fti. A ação de política é normalmente usada para selecionar a regra de reescrita de saída, mas neste caso, a ação de política é usada para marcar pacotes interessantes com um atributo de política interna, sem qualquer regra especial de reescrita configurada.
- Você tem os pacotes de interceptação de software que correspondem à política específica no lado WAN de saída e iniciam a ação
l2-mirror. Os pacotes são relatados com informações de cabeçalho de Camada 2, incluindo encapsulamento de túnel.
O exemplo a seguir mostra o espelhamento de portas de Camada 3. Para obter espelhamento de porta de Camada 2, basta configurar a ação l2-mirror conforme mostrado nos exemplos anteriores neste documento.
Pontos de anexo para filtros
| Ponto de anexo de filtro | Tipo de interface | Cabeçalho de camada 2 de pacote espelhado |
| Entrada | Qualquer Ethernet, exceto gr- e fti- | Cabeçalho de camada 2 do pacote de entrada é relatado |
| Saída | Qualquer Ethernet, exceto gr- e fti- | Cabeçalho de camada 2 do pacote de entrada é relatado |
| Entrada ou saída | gr-interface | Não suportado |
| Entrada | fti-interface | Cabeçalho de Camada 2 de entrada do pacote original (como foi visto na porta WAN) |
| Saída | fti-interface | Cabeçalho de Camada 2 de entrada do pacote original (como foi visto na porta WAN) |
| Entrada | interface irb | Cabeçalho de Camada 2 de entrada do pacote original (como foi visto na porta WAN) |
| Saída | interface irb | Não suportado |
Sugestões de melhorias para sua configuração de filtragem de pacotes
Considere o seguinte como uma prática adicional para melhorar a configuração da telemetria de rede de filtro:
Você pode usar filtros da cadeia de entrada e da cadeia de saída para separar a configuração do filtro usada para espelhamento dos filtros existentes, ajudando assim você a evitar erros de configuração inadvertidas durante a resolução de problemas. Para obter mais informações sobre este recurso, veja Exemplo: Usando cadeias de filtro de firewall.