Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de espelhamento de porta para vários destinos

Entender o espelhamento da porta de Camada 2 para vários destinos usando grupos de next-hop

Em um roteador da Série MX e em um switch da Série EX, você pode espelhar o tráfego para vários destinos configurando grupos de next-hop em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel. O espelhamento de pacotes para vários destinos também é conhecido como espelhamento de porta multipacket,

Nota:

O Junos OS Release 9.5 introduziu suporte para espelhamento de portas de Camada 2 usando grupos de next-hop em roteadores da Série MX, mas exigiu a instalação de uma PIC de túnel. Começando no Junos OS Release 9.6, o espelhamento da porta de Camada 2 usando grupos de next-hop em roteadores da Série MX não requer PICs de túnel.

Nos roteadores da Série MX e nos switches da Série EX, você pode definir um filtro de firewall para espelhar pacotes em um grupo de next-hop. O grupo de next-hop pode conter membros de Camada 2, membros de Camada 3 e subgrupos que são uma lista de unidades (espelhamento de pacotes para cada interface) ou balanceados por carga (espelhamento de pacotes em uma das várias interfaces). O roteador da Série MX e o switch da Série EX oferecem suporte a até 30 grupos de next-hop. Cada grupo de next-hop oferece suporte a até 16 endereços next-hop. Cada grupo de next-hop deve especificar pelo menos dois endereços.

Para permitir o espelhamento de porta para os membros de um grupo de next-hop, você especifica o grupo de next-hop como a ação de filtro de um filtro de firewall e, em seguida, você aplica o filtro de firewall a interfaces lógicas de túnel (lt-) ou interfaces de túnel virtual (vt-) no roteador da Série MX ou no switch da Série EX.

Nota:

O uso de subgrupos para balancear a carga do tráfego espelhado não é compatível.

Definindo um grupo de next-hop em roteadores da Série MX para espelhamento de portas

A partir da versão 14.2, em roteadores contendo um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou IP versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.

O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostral baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes de cflowd com base na chave podem ser enviados para um servidor de cflowd. No espelhamento de portas, todo o pacote é copiado e enviado por uma interface de next-hop.

Você pode configurar o uso simultâneo de amostragem e espelhamento de portas e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de portas, apenas uma ação pode ser realizada, e o espelhamento de porta tem precedência. Por exemplo, se você configurar uma interface para amostrar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado em outra interface, apenas o espelhamento da porta faz efeito. Todos os outros pacotes que não correspondem aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao destino final.

Grupos de next-hop permitem incluir espelhamento de porta em várias interfaces.

Nos roteadores da Série MX, você pode espelhar o tráfego de entrada da interface de túnel para vários destinos. Para esta forma de espelhamento de porta multipacket, você especifica dois ou mais destinos em um grupo de next-hop, define um filtro de firewall que faz referência ao grupo de next-hop como a ação do filtro e, em seguida, aplica o filtro a uma interface lt-de túnel lógica ) ou interfaces de túnel virtual (vt- no roteador da Série MX.

Para definir um grupo de next-hop para uma ação de filtro de firewall com espelhamento de porta de Camada 2:

  1. Habilite a configuração das opções de encaminhamento.
  2. Habilite a configuração de um grupo de next-hop para espelhamento de portas de Camada 2.
  3. Especifique o tipo de endereços a serem usados na configuração do grupo next-hop.
  4. Especifique as interfaces da rota do próximo salto.

    Ou

    O roteador da Série MX oferece suporte a até 30 grupos de next-hop. Cada grupo de next-hop oferece suporte a até 16 endereços next-hop. Cada grupo de next-hop deve especificar pelo menos dois endereços. O próximo endereço hop pode ser um endereço IPv4 ou IPv6.

  5. (Opcional) Especifique o subgrupo de próximo salto.
  6. Verifique a configuração do grupo de next-hop.

Exemplo: Configuração de vários espelhamentos de portas com grupos de next-hop em roteadores das séries M, MX e T

Quando você precisa analisar o tráfego contendo mais de um tipo de pacote, ou deseja realizar vários tipos de análise em um único tipo de tráfego, você pode implementar vários grupos de espelhamento de portas e next-hop. Você pode fazer até 16 cópias de tráfego por grupo e enviar o tráfego para membros do grupo next-hop. Um máximo de 30 grupos pode ser configurado em um roteador a qualquer momento. O tráfego espelhado por porta pode ser enviado para qualquer interface, exceto interfaces SONET/SDH agregadas, Ethernet agregada, loopback (lo0) ou administrativas (fxp0). Para enviar tráfego espelhado por porta para vários servidores de fluxo ou analisadores de pacotes, você pode usar a next-hop-group declaração no nível de [edit forwarding-options] hierarquia.

Figura 1: Monitoramento de fluxo ativo — espelhamento de várias portas com diagrama de topologia de grupos de next-hopMonitoramento de fluxo ativo — espelhamento de várias portas com diagrama de topologia de grupos de next-hop

Figura 1 mostra um exemplo de como configurar vários espelhamentos de portas com grupos de next-hop. Todo o tráfego entra no roteador de monitoramento na interface ge-1/0/0. Um filtro de firewall conta e espelha todos os pacotes recebidos em uma PIC de Serviços de Túnel. Um segundo filtro é aplicado à interface do túnel e divide o tráfego em três categorias: Tráfego HTTP, tráfego FTP e todo o tráfego. Os três tipos de tráfego são atribuídos a três grupos de next-hop separados. Cada grupo de next-hop contém um par único de interfaces de saída que levam a diferentes grupos de analisadores de pacotes e servidores de fluxo.

Nota:

As instâncias habilitadas para espelhar pacotes para destinos diferentes do mesmo PFE também usam parâmetros de amostragem diferentes para cada instância. Quando configuramos o espelhamento de porta de Camada2 com espelhamento de porta global e espelhamento de porta baseado em instâncias, as instâncias de nível PIC substituirão o nível do FPC e o nível do FPC substituirá a instância Global.

Exemplo: Espelhamento de portas de camada 2 para vários destinos

Nos roteadores da Série MX, você pode espelhar o tráfego para vários destinos configurando grupos de next-hop em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel.

  1. Configure o chassi para oferecer suporte a serviços de túnel no PIC 0 no FPC 2. Essa configuração inclui duas interfaces lógicas de túnel no FPC 2, PIC 0, porta 10.

  2. Configure as interfaces físicas e lógicas para três domínios de ponte e um CCC VPN de Camada 2:

    • O domínio da ponte bd abrangerá interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.

    • O domínio da ponte bd_next_hop_group abrangerá interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.

    • O domínio da ponte bd_port_mirror usará a interface lt-2/0/10.2lógica do túnel.

    • O CCC if_switch VPN de Camada 2 conectará interfaces lógicas ge-2/0/1.2 e lt-2/0/10.1.

  3. Configure os três domínios de ponte e o CCC de comutação de VPN de Camada 2:

    • O domínio da ponte bd abrange interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.

    • O domínio da ponte bd_next_hop_group abrange interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.

    • O domínio da ponte bd_port_mirror usa a interface lt-2/0/10.2lógica do túnel.

    • CCC if_switch VPN de Camada 2 conecta interfaces ge-2/0/1.2 e lt-2/0/10.1.

    Para obter informações detalhadas sobre a configuração da conexão CCC para conexões cruzadas de comutação de Camada 2, consulte o Guia de usuário de aplicativos MPLS.

  4. Configure opções de encaminhamento:

    • Configure propriedades globais de espelhamento de porta para espelhar family vpls o tráfego para uma interface no domínio bd_port_mirrorda ponte.

    • Configure o grupo nhg_mirror_to_bd de next-hop para encaminhar o tráfego de Camada 2 para o domínio bd_next_hop_groupda ponte.

    Ambas as opções de encaminhamento serão referenciadas pelo filtro de firewall de espelhamento de porta:

  5. Configure dois filtros de firewall de espelhamento de porta de Camada 2 para family bridge tráfego:

    • filter_pm_bridge— Envia todo family bridge o tráfego para o destino de espelhamento da porta global.

    • filter_redirect_to_nhg— Envia todo family bridge o tráfego para o grupo nhg_mirror_to_bdde next-hop final.

    Os filtros de firewall de espelhamento de porta de Camada 2 para family bridge tráfego se aplicam ao tráfego em uma interface física configurada com encapsulamento ethernet-bridge.

Tabela de histórico de liberação
Versão
Descrição
14.2
A partir da versão 14.2, em roteadores contendo um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou IP versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise.