Nesta página
Definindo um filtro de firewall com espelhamento de portas de Camada 2
Configuração de filtro de firewall independente de protocolo para espelhamento de portas
Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall
Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE
Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE
Aplicando o espelhamento de porta de camada 2 a uma interface lógica
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN
Exemplo: Espelhamento de porta de camada 2 em uma interface lógica
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2 com links LAG
Configuração do espelhamento de portas em interfaces lógicas
Filtros de firewall de espelhamento de porta de camada 2
Este tópico descreve as seguintes informações:
- Visão geral dos filtros de firewall de espelhamento de porta de camada 2
- Espelhamento de pacotes recebidos ou enviados em uma interface lógica
- Espelhamento de pacotes encaminhados ou inundados para uma VLAN
- Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS
Visão geral dos filtros de firewall de espelhamento de porta de camada 2
Em um roteador da Série MX e em um switch da Série EX, você pode configurar um termode filtro de firewall para especificar que o espelhamento de porta de Camada 2 deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado.
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nas interfaces lógicas de entrada ou saída (incluindo interfaces lógicas Ethernet agregadas), ao tráfego encaminhado ou inundado a uma VLAN, ou ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.
Roteadores da Série MX e switches da Série EX oferecem suporte a espelhamento de portas de Camada 2 de tráfego VPLS (family ethernet-switching ou family vpls) e tráfego VPN de Camada 2 com family ccc em um ambiente de Camada 2
Dentro de um filtro termde firewall, você pode especificar as propriedades de espelhamento de porta de Camada 2 sob a then declaração de qualquer uma das seguintes maneiras:
Referencia implicitamente as propriedades de espelhamento de porta de Camada 2 em vigor na porta.
Consulte explicitamente uma instância nomeada em particular do espelhamento de porta de Camada 2.
Ao configurar um filtro de firewall de espelhamento de porta de Camada 2, não inclua a declaração opcional from que especifica condições de correspondência com base no endereço de origem da rota. Omite esta declaração para que todos os pacotes sejam considerados compatíveis e todos actions e action-modifiers especificados na then declaração sejam tomados.
Se você quiser espelhar todos os pacotes recebidos, então você não deve usar a declaração; /*comentário: configure os termos do filtro com a partir de se eles estiverem interessados em espelhar apenas um subconjunto de pacotes.
Se você associar o roteamento integrado e a ponte (IRB) à VLAN (ou instância de roteamento VPLS), e também configurar dentro da VLAN (ou instância de roteamento VPLS) um filtro de tabela de encaminhamento com a port-mirror ou port-mirror-instance ação, então o pacote IRB é espelhado como um pacote de Camada 2. Você pode desabilitar esse comportamento configurando a declaração sem irb de camada 2 na VLAN (ou instância de roteamento VPLS).
Para obter uma descrição detalhada de como configurar um filtro de firewall de espelhamento de porta de Camada 2, consulte Definir um filtro de firewall espelhamento de portas de Camada 2.
Para obter informações detalhadas sobre como você pode usar filtros de firewall de espelhamento de porta de Camada 2 com roteadores MX e switches da Série EX configurados como roteadores de borda de provedor (PE) ou switches PE, consulte Entendendo o espelhamento de portas de Camada 2 das interfaces lógicas do roteador PE. Para obter informações detalhadas sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), consulte as políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego.
Espelhamento de pacotes recebidos ou enviados em uma interface lógica
Para espelhar o tráfego de Camada 2 recebido ou enviado em uma interface lógica, aplique um filtro de firewall de espelhamento de portas na entrada ou saída da interface.
Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet. Para obter mais informações, veja Entendendo o espelhamento de portas de Camada 2 das interfaces de ethernet agregadas do roteador PE.
Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, você pode habilitar a opção "mirror-once" para espelhamento de portas de Camada 2 na instância global para a família de endereços de pacotes de Camada 2.
Espelhamento de pacotes encaminhados ou inundados para uma VLAN
Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma VLAN, aplique um filtro de firewall de espelhamento de porta na entrada para a tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de VLAN ou tabela de inundação e que corresponda às condições do filtro é espelhado.
Para obter mais informações sobre VLANs, consulte Entendendo os domínios da ponte de Camada 2 . Para obter informações sobre o comportamento de inundação em uma VLAN, consulte Entendendo o aprendizado e o encaminhamento de camada 2 para domínios de ponte .
Ao configurar o espelhamento de porta em qualquer interface sob uma VLAN, o pacote espelhado pode passar para um analisador externo localizado em diferentes VLANs.
Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS
Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS, aplique um filtro de firewall de espelhamento de portas na entrada da tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de instâncias de roteamento VPLS ou tabela de inundação e que corresponda à condição do filtro é espelhado.
Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.
Definindo um filtro de firewall com espelhamento de portas de Camada 2
Para tráfegofamily ethernet-switching de LAN privada virtual (VPLS) ( ou family vpls) e para VPNs de Camada 2 com família cccem roteadores da Série MX e apenas em switches da Série EX, você pode definir um filtro de firewall que especifica o espelhamento de portas de Camada 2 como a ação a ser realizada se um pacote corresponde às condições configuradas no termo filtro de firewall.
Você pode usar um filtro de firewall de espelhamento de porta de Camada 2 das seguintes maneiras:
Espelhar pacotes recebidos ou enviados em uma interface lógica.
Para espelhar pacotes encaminhados ou inundados para uma VLAN.
Espelhar pacotes encaminhados ou inundados para uma instância de roteamento VPLS.
Espelhar pacotes de entrada de interface de túnel apenas para vários destinos.
Para obter um resumo dos três tipos de espelhamento de porta de Camada 2, você pode configurar em um roteador da Série MX e em um switch da Série EX, veja aplicação de tipos de espelhamento de portas de Camada 2.
Para definir um filtro de firewall com uma ação de espelhamento de porta de Camada 2:
Configuração de filtro de firewall independente de protocolo para espelhamento de portas
Em roteadores da Série MX com MPCs, você pode configurar um filtro de firewall para espelhar pacotes de Camada 2 e Camada 3 em nível global e em nível de instância. Quando o espelho de porta é configurado na entrada ou saída, a entrada ou saída de pacotes de uma interface é copiada e as cópias são enviadas para a interface local para monitoramento local.
A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte family any para espelhamento de portas. As interfaces de DPC não oferecem suporte family any.
Normalmente, o filtro de firewall é configurado de modo que ele espelha pacotes de Camada 2 ou Camada 3 com base na família configurada na interface. No entanto, no caso de uma interface integrada de roteamento e ponte (IRB), os pacotes de Camada 2 não são completamente espelhados porque as interfaces IRB são configuradas para espelhar apenas pacotes de Camada 3. Em tal interface, você pode configurar um filtro de firewall e parâmetros de espelhamento de porta na família any para garantir que um pacote seja completamente espelhado, independentemente de ser um pacote de Camada 2 ou de Camada 3.
Para espelhamento de porta em uma instância, você pode configurar uma ou mais famílias, comoinet, inet6e cccvpls simultaneamente, para a mesma instância.
No caso do espelhamento de portas de Camada 2, as tags VLAN, os cabeçalhos MPLS são retidos e podem ser vistos na cópia espelhada na saída.
Para a normalização do VLAN, as informações antes da normalização são vistas para um pacote espelhado na entrada. Da mesma forma, na saída, as informações após a normalização são vistas para o pacote espelhado.
Antes de começar a configurar o espelhamento de portas, você deve configurar interfaces físicas válidas.
Para configurar um filtro de firewall independente de protocolo para espelhamento de portas:
Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch
Junos 14.1X53-D20
Visão geral
Neste exemplo, xe-0/0/0 e xe-0/0/6 servir como conexões para computadores de funcionários. A interface xe-0/0/47 está conectada a um dispositivo que executa um aplicativo de analisador.
Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente da sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Este exemplo espelha apenas o tráfego enviado de computadores funcionários para a Web.
Topologia
Figura 1 mostra a topologia da rede para este exemplo.
Configuração
Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procedimento passo a passo
Para configurar o espelhamento de porta local do funcionário para o tráfego web a partir das duas portas conectadas aos computadores dos funcionários:
Configure uma instância de espelhamento de porta, incluindo a interface de saída e o endereço IP do dispositivo que executa o aplicativo analisador como o próximo salto. (Configure apenas a saída — a entrada vem do filtro.) Você também deve especificar se o espelho é para tráfego IPv4 (
family inet).[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configure um filtro de firewall IPv4 chamado
family inetwatch-employeeque inclui um termo para combinar tráfego enviado à Web e enviar para a instância de espelhamento de portas. O tráfego enviado e chegando da sub-rede corporativa (endereço de destino ou fonte)192.0.nn.nn/24não precisa ser copiado, então primeiro crie outro termo para aceitar esse tráfego antes de chegar ao termo que envia tráfego Web para a instância:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configure endereços para as interfaces IPv4 conectadas aos computadores dos funcionários e ao dispositivo analisador:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador de espelho de porta foi configurado como esperado usando o show forwarding-options port-mirroring comando.
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 Significado
Essa saída mostra que a instância de espelhamento de porta tem uma razão de 1 (espelhamento de cada pacote, a configuração padrão) e o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote). Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será down e a instância não será programada para espelhamento.
Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE
Para um roteador ou switch configurado como um dispositivo de borda (PE) de provedor na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nos seguintes pontos de entrada e saída para espelhar o tráfego entre o roteador ou switch e os dispositivos de borda do cliente (CE), que normalmente também são roteadores e switches Ethernet.
Tabela 1 descreve as maneiras pelas quais você pode aplicar filtros de firewall de espelhamento de porta de Camada 2 a um roteador ou switch configurado como um dispositivo PE.
Ponto de aplicação |
Escopo do espelhamento |
Notas |
Detalhes da configuração |
|---|---|---|---|
Interface lógica voltada para o cliente de entrada |
Pacotes originados na rede de um cliente de provedor de serviços, enviados primeiro a um dispositivo CE e enviados ao lado do dispositivo PE. |
Você também pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. O tráfego recebido em uma interface Ethernet agregada é encaminhado por uma interface diferente com base em uma visão do endereço MAC de destino (DMAC):
|
Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica. Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS. |
Interface lógica voltada para o cliente de saída |
Pacotes Unicast sendo encaminhados pelo dispositivo PE para outro dispositivo PE. NOTE:Se você aplicar um filtro de espelhamento de porta na saída para uma interface lógica, apenas pacotes unicast serão espelhados. Para espelhar pacotes multicast, unicast desconhecido e broadcast, aplique um filtro na entrada na tabela de inundação de uma instância de roteamento VLAN ou VPLS. |
Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica. |
|
Entrada para uma tabela de encaminhamento de VLAN ou tabela de inundação |
Encaminhamento de tráfego ou tráfego de inundação enviado para a VLAN a partir de um dispositivo CE. |
O tráfego de encaminhamento e inundação normalmente consiste em pacotes de broadcast, pacotes multicast, pacotes unicast com um endereço MAC de destino desconhecido ou pacotes com uma entrada MAC na tabela de roteamento DMAC. |
Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento. |
Entrada para uma tabela de encaminhamento de instâncias de roteamento VPLS ou tabela de inundação |
Encaminhamento de tráfego ou inundação enviado para a instância de roteamento VPLS a partir de um dispositivo CE. |
Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento. |
Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE
Uma interface Ethernet agregada é um link agregado virtual que consiste em um conjunto de interfaces físicas da mesma velocidade e operando no modo de conexão de enlace full-duplex. Você pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. Se um ou mais links na interface agregada falharem, o tráfego será trocado para os links restantes.
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface Ethernet agregada para configurar o espelhamento de portas na interface dos pais. No entanto, se alguma interface infantil estiver vinculada a diferentes instâncias de espelhamento de porta de Camada 2, os pacotes recebidos nas interfaces infantis serão espelhados nos destinos especificados por suas respectivas instâncias de espelhamento de porta. Assim, várias interfaces infantis podem espelhar pacotes em vários destinos.
Por exemplo, suponha que a instância ae0 de interface Ethernet agregada pelos pais tenha duas interfaces infantis:
xe-2/0/0xe-3/1/2
Suponha que essas interfaces infantis ae0 estejam vinculadas a duas instâncias diferentes de espelhamento de porta de Camada 2:
pm_instance_A— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interfacexe-2/0/0infantil.pm_instance_B— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interfacexe-3/1/2infantil.
Agora suponha que você aplique um filtro de firewall de espelhamento de porta de Camada 2 no tráfego de Camada 2 enviado ae0.0 (unidade 0 lógica na instância 0de interface Ethernet agregada). Isso permite o espelhamento de ae0.0portas, que tem o seguinte efeito sobre o processamento do tráfego recebido nas interfaces infantis para as quais as propriedades de espelhamento de porta de Camada 2 são especificadas:
Os pacotes recebidos
xe-2/0/0são espelhados nas interfaces de saída configuradas em instânciaspm_instance_Ade espelhamento de porta.Os pacotes recebidos
xe-3/1/2.0são espelhados nas interfaces de saída configuradas em instânciaspm_instance_Bde espelhamento de porta.
Como pm_instance_A e pm_instance_B pode especificar diferentes propriedades de seleção de pacotes ou propriedades de destino espelhadas, os pacotes recebidos xe-2/0/0 e xe-3/1/2.0 podem espelhar diferentes pacotes para diferentes destinos.
Aplicando o espelhamento de porta de camada 2 a uma interface lógica
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 na entrada ou na saída de uma interface lógica, incluindo uma interface lógica Ethernet agregada. Apenas os pacotes da família do tipo de endereço especificados pela ação do filtro são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado à entrada em uma interface ou saída lógica para uma interface lógica. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta de Camada 2: um filtro aplicado ao tráfego de entrada de interface lógica, e um filtro aplicado ao tráfego de saída da interface lógica.
Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 a uma interface lógica de entrada ou saída:
Aplicando espelhamento de porta de camada 2 ao tráfego ccc familiar com interfaces lógicas de Demux sobre ethernet agregada
Este tópico fornece diretrizes e etapas para ajudar você a configurar as interfaces lógicas de demux com essa finalidade de economizar no uso de interfaces físicas de membros em um pacote AE.
Diretrizes
Apontaremos os elementos de configuração específicos para este uso da configuração das interfaces lógicas de demux em interfaces Ethernet agregadas.
-
Configure a família quanto
cccà-
A configuração de espelhamento de porta em
edit forwarding-options port mirroring family -
A configuração do filtro de firewall em
edit firewall family -
A configuração da interface de demux
edit interfaces demux0 unit 0 family
-
-
Certifique-se de que as configurações das famílias para filtros de firewall e espelhamento de portas sejam (1) a mesma ou (2) na mesma hierarquia.
-
Você pode configurar a interface de demux em uma
aeinterface para espelhamento global de portas e para instâncias de espelhamento de portas. -
Para o filtro de firewall, além de usar
ccccomo família:-
Use
port-mirrorcomo ação para o filtro. -
Aplique o filtro na interface demux.
-
- Configure a
aeinterface como a interface subjacente da interface lógica de demux usando aunderlying-interfacedeclaração, assim:set interfaces demux0 unit 0 demux-options underlying-interface ae0
Amostra de configuração
O seguinte é uma configuração esparsa— queremos apenas mostrar uma imagem de como as diretrizes anteriores se sairiam em uma configuração de amostra.
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0 set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1 set interfaces xe-0/0/2:2 encapsulation ethernet-bridge set interfaces xe-0/0/2:2 unit 0 family bridge set interfaces xe-0/0/2:3 encapsulation ethernet-bridge set interfaces xe-0/0/2:3 unit 0 family bridge set interfaces ae0 flexible-vlan-tagging set interfaces ae0 encapsulation flexible-ethernet-services set interfaces ae1 flexible-vlan-tagging set interfaces ae1 encapsulation flexible-ethernet-services set interfaces demux0 unit 0 encapsulation vlan-ccc set interfaces demux0 unit 0 vlan-id 300 set interfaces demux0 unit 0 demux-options underlying-interface ae0 set interfaces demux0 unit 0 family ccc filter input port-mirror set interfaces demux0 unit 1 encapsulation vlan-ccc set interfaces demux0 unit 1 vlan-id 300 set interfaces demux0 unit 1 demux-options underlying-interface ae1 set interfaces demux0 unit 1 family ccc set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0 set firewall family ccc filter port-mirror term term1 then count Counter1 set firewall family ccc filter port-mirror term term1 then port-mirror set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1 set protocols mpls interface demux0.0 set protocols mpls interface demux0.1 set bridge-domains br1 interface xe-0/0/2:0.0 set bridge-domains br1 interface xe-0/0/2:3.0 set bridge-domains br1 interface xe-0/0/2:1.0 set bridge-domains br2 vlan-id 300
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado em um domínio de ponte. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para esse domínio de ponte são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para um domínio de ponte ou inundado para um domínio de ponte. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento de domínios da ponte, e um filtro aplicado à tabela de inundação do domínio da ponte entra o tráfego.
Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de um domínio de ponte:
Aplicando o espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma instância de roteamento VPLS. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para essa instância de roteamento VPLS são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma instância de roteamento VPLS ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado à tabela de encaminhamento da tabela de encaminhamento de instâncias de roteamento VPLS, e um filtro aplicado à tabela de ingressamento da instância de roteamento VPLS.
Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma instância de roteamento VPLS:
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma VLAN. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para que a VLAN sejam espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma VLAN ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento VLAN, e um filtro aplicado à tabela de inundação VLAN permite a entrada do tráfego.
Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma VLAN:
Exemplo: Espelhamento de porta de camada 2 em uma interface lógica
As etapas a seguir descrevem um exemplo em que a instância global de espelhamento de portas e um filtro de firewall de espelhamento de porta são usados para configurar o espelhamento de portas de Camada 2 para a entrada em uma interface lógica.
Configure o VLAN example-bd-with-analyzer, que contém o analisador externo de pacotes e o VLAN example-bd-with-traffic, que contém a origem e o destino do tráfego de Camada 2 sendo espelhado:
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }Suponha que a interface ge-2/0/0.0 lógica esteja associada a um analisador de tráfego externo que deve receber pacotes espelhados por porta. Assuma que as interfaces lógicas ge-2/0/6.0 e ge-3/0/1.2 as portas de entrada e saída de tráfego, respectivamente.
Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de portas sendo a interface VLAN associada ao analisador externo (interface ge-2/0/0.0 lógica na VLAN example-bd-with-analyzer). Certifique-se de habilitar a opção que permite que filtros sejam aplicados a este destino de espelhamento de portas:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }A
inputdeclaração no nível de hierarquia especifica que a[edit forwarding-options port-mirroring]amostragem começa a cada dez pacotes e que cada um dos cinco primeiros pacotes selecionados devem ser espelhados.A
outputdeclaração no nível de[edit forwarding-options port-mirroring family ethernet-switching]hierarquia especifica a interface de espelho de saída para pacotes de Camada 2 em um ambiente de ponte:A interface ge-2/0/0.0lógica, associada ao analisador externo de pacotes, está configurada como o destino de espelhamento de portas.
A declaração opcional
no-filter-checkpermite que os filtros sejam configurados nesta interface de destino.
Configure o filtro example-bridge-pm-filterde firewall de espelhamento de porta de Camada 2:
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }Quando este filtro de firewall é aplicado à entrada ou saída de uma interface lógica para tráfego em um ambiente de ponte, o espelhamento de portas de Camada 2 é realizado de acordo com as propriedades de amostragem de pacotes de entrada e as propriedades de destino espelhadas configuradas para a instância global de espelhamento de porta de Camada 2. Como este filtro de firewall está configurado com a ação acceptde filtro padrão, todos os pacotes selecionados pelas input propriedades (rate = 10 e run-length = 5) combinam com este filtro.
Configure as interfaces lógicas:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }Os pacotes recebidos na interface ge-2/0/6.0 lógica na VLAN example-bd-with-traffic são avaliados pelo filtro example-bridge-pm-filterde firewall de espelhamento de portas. O filtro de firewall atua no tráfego de entrada de acordo com as ações de filtro configuradas no próprio filtro de firewall, além das propriedades de amostragem de pacotes de entrada e propriedades de destino espelhadas configuradas na instância global de espelhamento de porta:
Todos os pacotes recebidos ge-2/0/6.0 são encaminhados para seu (assumido) destino normal na interface ge-3/0/1.2lógica.
Para cada dez pacotes de entrada, cópias dos cinco primeiros pacotes nessa seleção são encaminhadas ao analisador externo na interface ge-0/0/0.0 lógica na outra VLAN, example-bd-with-analyzer.
Se você configurar o filtro example-bridge-pm-filter de firewall de espelhamento de portas para agir discard em vez da ação accept , todos os pacotes originais serão descartados enquanto cópias dos pacotes selecionados usando as propriedades globais de espelhamento input de porta são enviadas ao analisador externo.
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2
O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando family ccc.
Configure o VLAN port-mirror-bd, que contém o analisador externo de pacotes:
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }Configure o CCC VPN de Camada 2 para conectar interface ge-2/0/1.0 lógica e interface ge-2/0/1.1lógica:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface ge-2/2/9.0 lógica na VLAN example-bd-with-analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }Definir o filtro pm_filter_ccc de firewall de espelhamento de porta de Camada 2 para family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }Aplique a instância do espelho de porta no chassi:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }Configure a interface ge-2/2/9 para as VLANs e configure a interface ge-2/0/1 para espelhamento de portas com o filtro de pm_filter_ccc firewall:
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2 com links LAG
O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando family ccc e links Ethernet agregados.
Configure o VLAN port_mirror_bd, que contém o analisador externo de pacotes:
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }Configure o CCC VPN de Camada 2 para conectar interface ae0.0 e interface ae0.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface ge-2/2/9.0 lógica na VLAN example_bd_with_analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }Configure o filtro pm_ccc de firewall para family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }Aplique as interfaces Ethernet agregadas e a instância de espelho de porta no chassi:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }Configure interfaces ae0 e ge-2/0/2 (para Ethernet agregada) e ge-2/2/8 (para espelhamento de portas) com o pm_ccc filtro:
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.
family any para espelhamento de portas.