Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do espelhamento de portas para vários destinos

Entendendo o espelhamento de portas de camada 2 para vários destinos usando grupos de próximo salto

Em um roteador da Série MX e em um switch da Série EX, você pode espelhar o tráfego em vários destinos configurando grupos de próximo salto em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel. O espelhamento de pacotes para vários destinos também é conhecido como espelhamento de porta multipacket,

Nota:

O Junos OS Release 9.5 introduziu suporte para espelhamento de portas de Camada 2 usando grupos de próximo salto em roteadores da Série MX, mas exigiu a instalação de um TUNNEL PIC. Começando no Junos OS Release 9.6, o espelhamento de porta de Camada 2 usando grupos de próximo salto em roteadores da Série MX não requer PICs de túnel.

Nos roteadores da Série MX e nos switches da Série EX, você pode definir um filtro de firewall para espelhar pacotes em um grupo de próximo salto. O grupo de próximo salto pode conter membros de Camada 2, membros da Camada 3 e subgrupos que são a lista de unidades (espelhamento de pacotes para cada interface) ou equilibrados por carga (pacotes de espelhamento para uma das várias interfaces). O roteador da Série MX e o switch da Série EX oferecem suporte a até 30 grupos de próximo salto. Cada grupo de próximo salto oferece suporte a até 16 endereços de próximo salto. Cada grupo de próximo salto deve especificar pelo menos dois endereços.

Para permitir o espelhamento de porta para os membros de um grupo de próximo salto, você especifica o grupo de próximo salto como a ação de filtro de um filtro de firewall e, em seguida, você aplica o filtro de firewall em interfaces de túnel lógica (lt-) ou interfaces de túnel virtual (vt-) no roteador da Série MX ou no switch da Série EX.

Nota:

O uso de subgrupos para balancear a carga do tráfego espelhado não é suportado.

Definindo um grupo de próximo salto em roteadores da Série MX para espelhamento de portas

A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.

O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados a um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por uma interface de próximo salto.

Você pode configurar o uso simultâneo de amostragem e espelhamento de portas e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de porta, apenas uma ação pode ser realizada, e o espelhamento de porta prevalece. Por exemplo, se você configurar uma interface para provar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado em outra interface, apenas o espelhamento de porta entra em vigor. Todos os outros pacotes que não correspondam aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao seu destino final.

Grupos de próximo salto permitem que você inclua espelhamento de porta em várias interfaces.

Nos roteadores da Série MX, você pode espelhar o tráfego de entrada de interface de túnel para vários destinos. Para esta forma de espelhamento de porta multipacket, você especifica dois ou mais destinos em um grupo de próximo salto, define um filtro de firewall que faz referência ao grupo de próximo salto como a ação do filtro e, em seguida, aplica o filtro a uma interface lt-de túnel lógica ) ou interfaces de túnel virtual (vt- no roteador da Série MX.

Para definir um grupo de próximo salto para uma ação de filtro de firewall com espelhamento de porta de Camada 2:

  1. Habilite a configuração das opções de encaminhamento.
  2. Habilite a configuração de um grupo de próximo salto para espelhamento de portas de Camada 2.
  3. Especifique o tipo de endereços a serem usados na configuração de grupo de próximo salto.
  4. Especifique as interfaces da rota de próximo salto.

    ou

    O roteador da Série MX oferece suporte a até 30 grupos de próximo salto. Cada grupo de próximo salto oferece suporte a até 16 endereços de próximo salto. Cada grupo de próximo salto deve especificar pelo menos dois endereços. Pode next-hop-address ser um endereço IPv4 ou IPv6.

  5. (Opcional) Especifique o subgrupo de próximo salto.
  6. Verifique a configuração do grupo de próximo salto.

Exemplo: Configuração de espelhamento de várias portas com grupos de próximo salto em roteadores M, MX e Série T

Quando você precisa analisar o tráfego que contém mais de um tipo de pacote ou deseja realizar vários tipos de análise em um único tipo de tráfego, você pode implementar vários grupos de espelhamento de portas e next-hop. Você pode fazer até 16 cópias de tráfego por grupo e enviar o tráfego para membros do grupo next-hop. No máximo 30 grupos podem ser configurados em um roteador a qualquer momento. O tráfego espelhado por porta pode ser enviado para qualquer interface, exceto interfaces SONET/SDH agregadas, Ethernet agregada, loopback (lo0) ou administrativas ().fxp0 Para enviar tráfego espelhado por porta para vários servidores de fluxo ou analisadores de pacotes, você pode usar a next-hop-group declaração no nível hierárquico [edit forwarding-options] .

Figura 1: Monitoramento ativo de fluxo — espelhamento de várias portas com diagrama de topologia de grupos de próximo saltoMonitoramento ativo de fluxo — espelhamento de várias portas com diagrama de topologia de grupos de próximo salto

Figura 1 mostra um exemplo de como configurar vários espelhamentos de portas com grupos de próximo salto. Todo o tráfego entra no roteador de monitoramento na interface ge-1/0/0. Um filtro de firewall conta e espelha todos os pacotes de entrada para um PIC de serviços de túnel. Um segundo filtro é aplicado à interface do túnel e divide o tráfego em três categorias: Tráfego HTTP, tráfego FTP e todos os outros tráfegos. Os três tipos de tráfego são atribuídos a três grupos de próximo salto separados. Cada grupo de próximo salto contém um par exclusivo de interfaces de saída que levam a diferentes grupos de analisadores de pacotes e servidores de fluxo.

Nota:

As instâncias habilitadas para espelhar pacotes em diferentes destinos a partir do mesmo PFE, também usam diferentes parâmetros de amostragem para cada instância. Quando configuramos o espelhamento de porta de Camada2 com espelhamento de porta global e espelhamento de porta baseado em instâncias, as instâncias de nível PIC substituirão o nível de FPC e o nível de FPC substituirá a instância Global.

Exemplo: Espelhamento de portas de camada 2 para vários destinos

Nos roteadores da Série MX, você pode espelhar o tráfego em vários destinos configurando grupos de próximo salto em filtros de firewall de espelhamento de porta de Camada 2 aplicados a interfaces de túnel.

  1. Configure o chassi para oferecer suporte a serviços de túnel no PIC 0 no FPC 2. Essa configuração inclui duas interfaces lógicas de túnel no FPC 2, PIC 0, porta 10.

  2. Configure as interfaces físicas e lógicas para três domínios de ponte e um CCC VPN de Camada 2:

    • O domínio bd da ponte abrangerá interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.

    • O domínio bd_next_hop_group da ponte abrangerá interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.

    • O domínio bd_port_mirror da ponte usará a interface lt-2/0/10.2lógica do túnel.

    • O CCC if_switch VPN de camada 2 conectará interfaces lógicas ge-2/0/1.2 e lt-2/0/10.1.

  3. Configure os três domínios de ponte e o CCC de comutação de VPN de Camada 2:

    • O domínio bd da ponte abrange interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1.

    • O domínio bd_next_hop_group da ponte abrange interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0.

    • O domínio bd_port_mirror da ponte usa a interface lt-2/0/10.2lógica do túnel.

    • CCC if_switch VPN de camada 2 conecta interfaces ge-2/0/1.2 e lt-2/0/10.1.

    Para obter informações detalhadas sobre a configuração da conexão CCC para cross-connects de comutação de Camada 2, consulte o Guia de usuário de aplicativos MPLS.

  4. Configure opções de encaminhamento:

    • Configure propriedades globais de espelhamento de porta para espelhar family vpls o tráfego em uma interface no domínio bd_port_mirrorda ponte.

    • Configure o grupo nhg_mirror_to_bd de próximo salto para encaminhar o tráfego de Camada 2 para o domínio bd_next_hop_groupda ponte.

    Ambas as opções de encaminhamento serão referenciadas pelo filtro de firewall de espelhamento de porta:

  5. Configure dois filtros de firewall de espelhamento de porta de Camada 2 para family bridge tráfego:

    • filter_pm_bridge— Envia todo family bridge o tráfego para o destino de espelhamento de porta global.

    • filter_redirect_to_nhg— Envia todo family bridge o tráfego para o grupo nhg_mirror_to_bdde próximo salto final.

    Os filtros de firewall de espelhamento de porta de camada 2 para family bridge tráfego se aplicam ao tráfego em uma interface física configurada com encapsulamento ethernet-bridge.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
14.2
A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise.