Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando o espelhamento de portas para vários destinos

Entender o espelhamento de portas de Camada 2 para vários destinos usando grupos de Next-Hop

Em um roteador da Série MX e em um switch da Série EX, você pode espelhar o tráfego para vários destinos configurando grupos de next-hop em filtros de firewall com espelhamento de porta Camada 2 aplicados a interfaces de túnel. O espelhamento de pacotes para vários destinos também é conhecido como espelhamento de portas multipacket,

Nota:

O Junos OS Release 9.5 introduziu suporte ao espelhamento de portas de Camada 2 usando grupos de next-hop em roteadores da série MX, mas exigiu a instalação de um TÚNEL PIC. A partir do Junos OS Release 9.6, o espelhamento de portas de Camada 2 usando grupos de next-hop em roteadores da série MX não requer PICs de túnel.

Nos roteadores da Série MX e nos switches da Série EX, você pode definir um filtro de firewall para espelhamento de pacotes em um grupo de next-hop. O grupo de next-hop pode conter membros da Camada 2, membros da Camada 3 e subgrupos que são lista de unidades (espelhamento de pacotes em cada interface) ou balanceados de carga (pacotes de espelhamento em uma de várias interfaces). O roteador da Série MX e o switch série EX são compatíveis com até 30 grupos de next-hop. Cada grupo de next-hop tem suporte para até 16 endereços de next-hop. Cada grupo de next-hop deve especificar pelo menos dois endereços.

Para permitir o espelhamento de porta para os membros de um grupo de next-hop, você especificará o grupo next-hop como a ação de filtro de um filtro de firewall e, em seguida, aplicará o filtro de firewall a interfaces de túnel lógico () ou interfaces de túnel virtual () no roteador da Série MX ou no switch da Série lt-vt- EX.

Nota:

O uso de subgrupos para tráfego espelhado de balanceamento de carga não é suportado.

Definindo um grupo de Next-Hop em roteadores da série MX para espelhamento de portas

A partir da versão 14.2, nos roteadores que contêm um circuito integrado específico do aplicativo Internet Processor II (ASIC) ou um processador de Internet Série T, você pode enviar uma cópia de um pacote IP versão 4 (IPv4) ou IP versão 6 (IPv6) do roteador para um endereço host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de portas.

O espelhamento de portas é diferente da amostra de tráfego. Na amostra de tráfego, uma chave de amostra com base no cabeamento IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados para um servidor cflowd. No espelhamento de portas, todo o pacote é copiado e enviado por meio de uma interface de next-hop.

Você pode configurar o uso simultâneo de amostras e espelhamento de portas e definir uma taxa de amostra independente e um comprimento de executar para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostras e espelhamento de porta, apenas uma ação pode ser executada, e o espelhamento de porta tem precedência. Por exemplo, se você configurar uma interface para amostrar cada entrada de pacote na interface e um filtro também selecionar o pacote para ser espelhado em outra interface, somente o espelhamento de porta faz efeito. Todos os outros pacotes que não estão de acordo com os critérios explícitos de espelhamento de porta do filtro continuam a ser amostrados quando encaminhados ao destino final.

Grupos de next-hop permitem que você inclua espelhamento de portas em várias interfaces.

Nos roteadores da série MX, você pode espelhar o tráfego de entrada da interface do túnel para vários destinos. Para essa forma de espelhamento de portas multipacket, você especificará dois ou mais destinos em um grupo de next-hop, definirá um filtro de firewall que referencia o grupo next-hop como ação de filtro e aplicará o filtro a uma interface de túnel lógico) ou interfaces de túnel virtual (no roteador da Série lt-vt- MX.

Para definir um grupo de next-hop para uma ação de filtro de firewall com espelhamento de portas Camada 2:

  1. Ative a configuração de opções de encaminhamento.
  2. Habilitar a configuração de um grupo de next-hop para espelhamento de portas de Camada 2.
  3. Especifique o tipo de endereços a serem usados na configuração do grupo de next-hop.
  4. Especifique as interfaces da rota de next-hop.

    Ou

    O roteador da série MX tem suporte para até 30 grupos de next-hop. Cada grupo de next-hop tem suporte para até 16 endereços de next-hop. Cada grupo de next-hop deve especificar pelo menos dois endereços. O endereço next-hop pode ser um endereço IPv4 ou IPv6.

  5. (Opcional) Especifique o subgrupo de next-hop.
  6. Verificar a configuração do grupo de next-hop.

Exemplo: Configurando o espelhamento de várias portas com grupos de Next-Hop em roteadores M, MX e Série T de

Quando você precisa analisar tráfego com mais de um tipo de pacote ou desejar realizar vários tipos de análise em um único tipo de tráfego, você pode implementar vários grupos de espelhamento de porta e next-hop. Você pode fazer até 16 cópias do tráfego por grupo e enviar o tráfego para os membros do grupo next-hop. No máximo 30 grupos podem ser configurados em um roteador a qualquer momento. O tráfego espelhado de porta pode ser enviado para qualquer interface, exceto interfaces sonet/SDH agregadas, Ethernet agregada, loopback (lo0) ou fxp0 interfaces administrativas (). Para enviar tráfego espelhado de porta para vários servidores de fluxo ou analisadores de pacotes, você pode usar a next-hop-group instrução no nível [edit forwarding-options] da hierarquia.

Figura 1: Monitoramento ativo de fluxo — espelhamento de várias portas com diagrama de topologia de grupos de next-hopMonitoramento ativo de fluxo — espelhamento de várias portas com diagrama de topologia de grupos de next-hop

Figura 1 mostra um exemplo de como configurar o espelhamento de várias portas com grupos de next-hop. Todo o tráfego entra no roteador de monitoramento na interface ge-1/0/0. Um filtro de firewall conta e espelha todos os pacotes de entrada em um PIC de serviços de túnel. Um segundo filtro é aplicado à interface do túnel e divide o tráfego em três categorias: Tráfego HTTP, tráfego de FTP e todos os outros tráfegos. Os três tipos de tráfego são atribuídos a três grupos de next-hop separados. Cada grupo de next-hop contém um par exclusivo de interfaces de saída que conduzem a diferentes grupos de analisadores de pacotes e servidores de fluxo.

Nota:

Instâncias habilitadas para espelhar pacotes para diferentes destinos do mesmo PFE, também usam parâmetros de amostra diferentes para cada instância. Quando configuramos o espelhamento de portas Layer2 com espelhamento de portas global e espelhamento de portas baseado em instâncias, as instâncias de nível DOP sobreporão o nível de FPC e o nível de FPC substituirá a instância global.

Exemplo: Espelhamento de portas de Camada 2 para vários destinos

Nos roteadores da Série MX, você pode espelhar o tráfego para vários destinos configurando grupos de next-hop em filtros de firewall com espelhamento de portas Camada 2 aplicados a interfaces de túnel.

  1. Configure o chassi para dar suporte a serviços de túnel no PIC 0 no FPC 2. Essa configuração inclui duas interfaces de túnel lógico no FPC 2, PIC 0, porta 10.

  2. Configure as interfaces físicas e lógicas para três domínios de ponte e um CCC VPN de Camada 2:

    • O domínio da bd ponte abrange interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1 .

    • O domínio da bd_next_hop_group ponte abrange interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0 .

    • O domínio da bd_port_mirror ponte utilizará a interface do túnel lt-2/0/10.2 lógico.

    • O CCC vpn de Camada 2 if_switch conectará interfaces lógicas ge-2/0/1.2lt-2/0/10.1 e.

  3. Configure os três domínios da ponte e o CCC de comação de VPN de Camada 2:

    • O domínio da bd ponte abrange interfaces lógicas ge-2/0/1.0 e ge-2/0/1.1 .

    • O domínio da bd_next_hop_group ponte abrange interfaces lógicas ge-2/2/9.0 e ge-2/0/2.0 .

    • O domínio da bd_port_mirror ponte usa a interface de túnel lt-2/0/10.2 lógico.

    • O CCC VPN de Camada 2 if_switch conecta interfaces ge-2/0/1.2 e lt-2/0/10.1 .

    Para obter informações detalhadas sobre a configuração da conexão CCC para comutação de Camada 2 cruzadas, consulte o Guia do usuário MPLS Aplicativos.

  4. Configure opções de encaminhamento:

    • Configure propriedades globais de espelhamento de portas para espelhar o family vpls tráfego em uma interface no domínio da bd_port_mirror ponte.

    • Configure o grupo de next-hop para encaminhamento do tráfego da nhg_mirror_to_bd Camada 2 para o domínio da bd_next_hop_group ponte.

    Ambas as opções de encaminhamento serão referenciadas pelo filtro de firewall de espelhamento de portas:

  5. Configure dois filtros de firewall com espelhamento de porta 2 para family bridge tráfego:

    • filter_pm_bridge— Envia todo family bridge o tráfego para o destino global de espelhamento de portas.

    • filter_redirect_to_nhg— Envia todo family bridge o tráfego para o grupo final de next-hop. nhg_mirror_to_bd

    Filtros de firewall com espelhamento de porta 2 para tráfego se aplicam ao tráfego em family bridge uma interface física configurada com encapsulamento. ethernet-bridge

Tabela de histórico de liberação
Versão
Descrição
14.2
A partir da versão 14.2, nos roteadores que contêm um circuito integrado específico do aplicativo Internet Processor II (ASIC) ou um processador de Internet Série T, você pode enviar uma cópia de um pacote IP versão 4 (IPv4) ou IP versão 6 (IPv6) do roteador para um endereço host externo ou um analisador de pacotes para análise.