Configuração do espelhamento de portas para vários destinos
Entendendo o espelhamento de portas de camada 2 para vários destinos usando grupos de próximo salto
Em um roteador da Série MX e em um switch da Série EX, você pode espelhar o tráfego em vários destinos configurando grupos de próximo salto em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel. O espelhamento de pacotes para vários destinos também é conhecido como espelhamento de porta multipacket,
O Junos OS Release 9.5 introduziu suporte para espelhamento de portas de Camada 2 usando grupos de próximo salto em roteadores da Série MX, mas exigiu a instalação de um TUNNEL PIC. Começando no Junos OS Release 9.6, o espelhamento de porta de Camada 2 usando grupos de próximo salto em roteadores da Série MX não requer PICs de túnel.
Nos roteadores da Série MX e nos switches da Série EX, você pode definir um filtro de firewall para espelhar pacotes em um grupo de próximo salto. O grupo de próximo salto pode conter membros de Camada 2, membros da Camada 3 e subgrupos que são a lista de unidades (espelhamento de pacotes para cada interface) ou equilibrados por carga (pacotes de espelhamento para uma das várias interfaces). O roteador da Série MX e o switch da Série EX oferecem suporte a até 30 grupos de próximo salto. Cada grupo de próximo salto oferece suporte a até 16 endereços de próximo salto. Cada grupo de próximo salto deve especificar pelo menos dois endereços.
Para permitir o espelhamento de porta para os membros de um grupo de próximo salto, você especifica o grupo de próximo salto como a ação de filtro de um filtro de firewall e, em seguida, você aplica o filtro de firewall em interfaces de túnel lógica (lt-
) ou interfaces de túnel virtual (vt-
) no roteador da Série MX ou no switch da Série EX.
O uso de subgrupos para balancear a carga do tráfego espelhado não é suportado.
Definindo um grupo de próximo salto em roteadores da Série MX para espelhamento de portas
A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.
O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados a um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por uma interface de próximo salto.
Você pode configurar o uso simultâneo de amostragem e espelhamento de portas e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de porta, apenas uma ação pode ser realizada, e o espelhamento de porta prevalece. Por exemplo, se você configurar uma interface para provar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado em outra interface, apenas o espelhamento de porta entra em vigor. Todos os outros pacotes que não correspondam aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao seu destino final.
Grupos de próximo salto permitem que você inclua espelhamento de porta em várias interfaces.
Nos roteadores da Série MX, você pode espelhar o tráfego de entrada de interface de túnel para vários destinos. Para esta forma de espelhamento de porta multipacket, você especifica dois ou mais destinos em um grupo de próximo salto, define um filtro de firewall que faz referência ao grupo de próximo salto como a ação do filtro e, em seguida, aplica o filtro a uma interface lt-
de túnel lógica ) ou interfaces de túnel virtual (vt-
no roteador da Série MX.
Para definir um grupo de próximo salto para uma ação de filtro de firewall com espelhamento de porta de Camada 2:
Exemplo: Configuração de espelhamento de várias portas com grupos de próximo salto em roteadores M, MX e Série T
Quando você precisa analisar o tráfego que contém mais de um tipo de pacote ou deseja realizar vários tipos de análise em um único tipo de tráfego, você pode implementar vários grupos de espelhamento de portas e next-hop. Você pode fazer até 16 cópias de tráfego por grupo e enviar o tráfego para membros do grupo next-hop. No máximo 30 grupos podem ser configurados em um roteador a qualquer momento. O tráfego espelhado por porta pode ser enviado para qualquer interface, exceto interfaces SONET/SDH agregadas, Ethernet agregada, loopback (lo0) ou administrativas ().fxp0 Para enviar tráfego espelhado por porta para vários servidores de fluxo ou analisadores de pacotes, você pode usar a next-hop-group
declaração no nível hierárquico [edit forwarding-options]
.
Figura 1 mostra um exemplo de como configurar vários espelhamentos de portas com grupos de próximo salto. Todo o tráfego entra no roteador de monitoramento na interface ge-1/0/0. Um filtro de firewall conta e espelha todos os pacotes de entrada para um PIC de serviços de túnel. Um segundo filtro é aplicado à interface do túnel e divide o tráfego em três categorias: Tráfego HTTP, tráfego FTP e todos os outros tráfegos. Os três tipos de tráfego são atribuídos a três grupos de próximo salto separados. Cada grupo de próximo salto contém um par exclusivo de interfaces de saída que levam a diferentes grupos de analisadores de pacotes e servidores de fluxo.
As instâncias habilitadas para espelhar pacotes em diferentes destinos a partir do mesmo PFE, também usam diferentes parâmetros de amostragem para cada instância. Quando configuramos o espelhamento de porta de Camada2 com espelhamento de porta global e espelhamento de porta baseado em instâncias, as instâncias de nível PIC substituirão o nível de FPC e o nível de FPC substituirá a instância Global.
[edit] interfaces { ge-1/0/0 { # This is the input interface where packets enter the router. unit 0 { family inet { filter { input mirror_pkts; # Here is where you apply the first filter. } address 10.11.1.1/24; } } } ge-1/1/0 { # This is an exit interface for HTTP packets. unit 0 { family inet { address 10.12.1.1/24; } } } ge-1/2/0 { # This is an exit interface for HTTP packets. unit 0 { family inet { address 10.13.1.1/24; } } } so-0/3/0 { # This is an exit interface for FTP packets. unit 0 { family inet { address 10.1.1.1/30; } } } so-4/3/0 { # This is an exit interface for FTP packets. unit 0 { family inet { address 10.2.2.1/30; } } } so-7/0/0 { # This is an exit interface for all remaining packets. unit 0 { family inet { address 10.5.5.1/30; } } } so-7/0/1 { # This is an exit interface for all remaining packets. unit 0 { family inet { address 10.6.6.1/30; } } } vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic. unit 0 { family inet; } unit 1 { family inet { filter { input collect_pkts; # This is where you apply the second firewall filter. } } } } } forwarding-options { port-mirroring { # This is required when you configure next-hop groups. family inet { input { rate 1; # This port-mirrors all packets (one copy for every packet received). } output { # Sends traffic to a tunnel interface to enable multiport mirroring. interface vt-3/3/0.1; no-filter-check; } } } next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the interface so-4/3/0.0; # interface name. interface so-0/3/0.0; } next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces. interface ge-1/1/0.0 { next-hop 10.12.1.2; } interface ge-1/2/0.0 { next-hop 10.13.1.2; } } next-hop-group default-collect { interface so-7/0/0.0; interface so-7/0/1.0; } } firewall { family inet { filter mirror_pkts { # Apply this filter to the input interface. term catch_all { then { count input_mirror_pkts; port-mirror; # This action sends traffic to be copied and port-mirrored. } } } filter collect_pkts { # Apply this filter to the tunnel interface. term ftp-term { # This term sends FTP traffic to an FTP next-hop group. from { protocol ftp; } then next-hop-group ftp-traffic; } term http-term { # This term sends HTTP traffic to an HTTP next-hop group. from { protocol http; } then next-hop-group http-traffic; } term default { # This sends all remaining traffic to a final next-hop group. then next-hop-group default-collectors; } } } }
Exemplo: Espelhamento de portas de camada 2 para vários destinos
Nos roteadores da Série MX, você pode espelhar o tráfego em vários destinos configurando grupos de próximo salto em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel.
Configure o chassi para oferecer suporte a serviços de túnel no PIC 0 no FPC 2. Essa configuração inclui duas interfaces lógicas de túnel no FPC 2, PIC 0, porta 10.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }
Configure as interfaces físicas e lógicas para três domínios de ponte e um CCC VPN de Camada 2:
O domínio bd da ponte abrangerá interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.
O domínio bd_next_hop_group da ponte abrangerá interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.
O domínio bd_port_mirror da ponte usará a interface lt-2/0/10.2lógica do túnel.
O CCC if_switch VPN de camada 2 conectará interfaces lógicas ge-2/0/1.2 e lt-2/0/10.1.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }
Configure os três domínios de ponte e o CCC de comutação de VPN de Camada 2:
O domínio bd da ponte abrange interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.
O domínio bd_next_hop_group da ponte abrange interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.
O domínio bd_port_mirror da ponte usa a interface lt-2/0/10.2lógica do túnel.
CCC if_switch VPN de camada 2 conecta interfaces ge-2/0/1.2 e lt-2/0/10.1.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }
Para obter informações detalhadas sobre a configuração da conexão CCC para cross-connects de comutação de Camada 2, consulte o Guia de usuário de aplicativos MPLS.
Configure opções de encaminhamento:
Configure propriedades globais de espelhamento de porta para espelhar family vpls o tráfego em uma interface no domínio bd_port_mirrorda ponte.
Configure o grupo nhg_mirror_to_bd de próximo salto para encaminhar o tráfego de Camada 2 para o domínio bd_next_hop_groupda ponte.
Ambas as opções de encaminhamento serão referenciadas pelo filtro de firewall de espelhamento de porta:
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }
Configure dois filtros de firewall de espelhamento de porta de Camada 2 para family bridge tráfego:
filter_pm_bridge— Envia todo family bridge o tráfego para o destino de espelhamento de porta global.
filter_redirect_to_nhg— Envia todo family bridge o tráfego para o grupo nhg_mirror_to_bdde próximo salto final.
Os filtros de firewall de espelhamento de porta de camada 2 para family bridge tráfego se aplicam ao tráfego em uma interface física configurada com encapsulamento ethernet-bridge.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.