Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do espelhamento de portas em interfaces lógicas

Filtros de firewall de espelhamento de porta de camada 2

Este tópico descreve as seguintes informações:

Visão geral dos filtros de firewall de espelhamento de porta de camada 2

Em um roteador da Série MX e em um switch da Série EX, você pode configurar um termode filtro de firewall para especificar que o espelhamento de porta de Camada 2 deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado.

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nas interfaces lógicas de entrada ou saída (incluindo interfaces lógicas Ethernet agregadas), ao tráfego encaminhado ou inundado a uma VLAN, ou ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.

Roteadores da Série MX e switches da Série EX oferecem suporte a espelhamento de portas de Camada 2 de tráfego VPLS ( ou ) e tráfego VPN de Camada 2 com em um ambiente de Camada 2family ethernet-switchingfamily vplsfamily ccc

Dentro de um filtro de firewall, você pode especificar as propriedades de espelhamento de porta de Camada 2 sob a declaração de qualquer uma das seguintes maneiras:termthen

  • Referencia implicitamente as propriedades de espelhamento de porta de Camada 2 em vigor na porta.

  • Consulte explicitamente uma instância nomeada em particular do espelhamento de porta de Camada 2.

Nota:

Ao configurar um filtro de firewall de espelhamento de porta de Camada 2, não inclua a declaração opcional que especifica condições de correspondência com base no endereço de origem da rota.from Omite esta declaração para que todos os pacotes sejam considerados compatíveis e todos e especificados na declaração sejam tomados.actionsaction-modifiersthen

Se você quiser espelhar todos os pacotes recebidos, então você não deve usar a declaração; /*Comentário: configure os termos do filtro com a partir de se eles estiverem interessados em espelhar apenas um subconjunto de pacotes.

Nota:

Se você associar o roteamento integrado e a ponte (IRB) à VLAN (ou instância de roteamento VPLS), e também configurar dentro da VLAN (ou instância de roteamento VPLS) um filtro de tabela de encaminhamento com a ou ação, então o pacote IRB é espelhado como um pacote de Camada 2.port-mirrorport-mirror-instance Você pode desabilitar esse comportamento configurando a declaração sem irb de camada 2 na VLAN (ou instância de roteamento VPLS).https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html

Para obter uma descrição detalhada de como configurar um filtro de firewall de espelhamento de porta de Camada 2, consulte Definir um filtro de firewall espelhamento de portas de Camada 2.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

Para obter informações detalhadas sobre como você pode usar filtros de firewall de espelhamento de porta de Camada 2 com roteadores MX e switches da Série EX configurados como roteadores de borda de provedor (PE) ou switches PE, consulte Entendendo o espelhamento de portas de Camada 2 das interfaces lógicas do roteador PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html Para obter informações detalhadas sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), consulte as políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html

Espelhamento de pacotes recebidos ou enviados em uma interface lógica

Para espelhar o tráfego de Camada 2 recebido ou enviado em uma interface lógica, aplique um filtro de firewall de espelhamento de portas na entrada ou saída da interface.

Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet. Para obter mais informações, veja Entendendo o espelhamento de portas de Camada 2 das interfaces de ethernet agregadas do roteador PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html

Nota:

Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, você pode habilitar a opção "mirror-once" para espelhamento de portas de Camada 2 na instância global para a família de endereços de pacotes de Camada 2.

Espelhamento de pacotes encaminhados ou inundados para uma VLAN

Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma VLAN, aplique um filtro de firewall de espelhamento de porta na entrada para a tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de VLAN ou tabela de inundação e que corresponda às condições do filtro é espelhado.

Para obter mais informações sobre VLANs, consulte Entendendo os domínios da ponte de Camada 2 .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html Para obter informações sobre o comportamento de inundação em uma VLAN, consulte Entendendo o aprendizado e o encaminhamento de camada 2 para domínios de ponte .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html

Nota:

Ao configurar o espelhamento de porta em qualquer interface sob uma VLAN, o pacote espelhado pode passar para um analisador externo localizado em diferentes VLANs.

Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS

Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS, aplique um filtro de firewall de espelhamento de portas na entrada da tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de instâncias de roteamento VPLS ou tabela de inundação e que corresponda à condição do filtro é espelhado.

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

Definindo um filtro de firewall com espelhamento de portas de Camada 2

Para tráfego de LAN privada virtual (VPLS) ( ou ) e para VPNs de Camada 2 com família em roteadores da Série MX e apenas em switches da Série EX, você pode definir um filtro de firewall que especifica o espelhamento de portas de Camada 2 como a ação a ser realizada se um pacote corresponde às condições configuradas no termo filtro de firewall.family ethernet-switchingfamily vplsccc

Você pode usar um filtro de firewall de espelhamento de porta de Camada 2 das seguintes maneiras:

  • Espelhar pacotes recebidos ou enviados em uma interface lógica.

  • Para espelhar pacotes encaminhados ou inundados para uma VLAN.

  • Espelhar pacotes encaminhados ou inundados para uma instância de roteamento VPLS.

  • Espelhar pacotes de entrada de interface de túnel apenas para vários destinos.

Para obter um resumo dos três tipos de espelhamento de porta de Camada 2, você pode configurar em um roteador da Série MX e em um switch da Série EX, veja aplicação de tipos de espelhamento de portas de Camada 2.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html

Para definir um filtro de firewall com uma ação de espelhamento de porta de Camada 2:

  1. Habilite a configuração de filtros de firewall para pacotes de Camada 2 que fazem parte de uma VLAN, um cross-connect de comutação de Camada 2 ou um serviço de LAN privada virtual (VPLS):

    O valor da opção pode ser , ou .familyethernet-switchingcccvpls

  2. Habilite a configuração de um filtro de firewall:pm-filter-name
  3. Habilite a configuração de um termo de filtro de firewall:pm-filter-term-name
  4. (Opcional) Especifique as condições de correspondência do filtro de firewall com base no endereço de origem da rota apenas se você quiser espelhar um subconjunto dos pacotes amostrados.
    • Para obter informações detalhadas sobre as condições de correspondência do filtro de firewall de ponte de Camada 2 (que são suportadas apenas em roteadores da Série MX e switches da Série EX), veja condições de correspondência do filtro de firewall para o tráfego de pontes de Camada 2.Firewall Filter Match Conditions for Layer 2 Bridging Traffic

    • Para obter informações detalhadas sobre as condições de correspondência do filtro de firewall VPLS, consulte condições de correspondência do filtro de firewall para tráfego VPLS.Firewall Filter Match Conditions for VPLS Traffic

    • Para obter informações detalhadas sobre as condições de correspondência do filtro de firewall de circuito de Camada 2 (CCC), consulte condições de correspondência do filtro de firewall para o tráfego de CCC de Camada 2.Firewall Filter Match Conditions for Layer 2 CCC Traffic

    Nota:

    Se você quiser que todos os pacotes amostrados sejam considerados compatíveis (e sejam submetidos às ações especificadas na declaração), omite completamente a declaração.thenfrom

  5. Habilite a configuração e aplique a pacotes correspondentes:actionaction-modifier
  6. Especifique as ações a serem tomadas em pacotes correspondentes:

    O valor recomendado para isso é .actionaccept Se você não especificar uma ação ou se omitir a declaração inteiramente, todos os pacotes que correspondam às condições na declaração serão aceitos.thenfrom

  7. Especifique o espelhamento de portas de Camada 2 ou um grupo de próximo salto como:action-modifier
    • Para fazer referência às propriedades de espelhamento de porta de Camada 2 atualmente em vigor para o Mecanismo de encaminhamento de pacotes ou PIC associados à interface física subjacente, use a declaração:port-mirror

    • Para fazer referência às propriedades de espelhamento de porta de Camada 2 configuradas em uma instância nomeada específica, use o modificador de ação de instância de espelho de porta:pm-instance-name

      Se a interface física subjacente não estiver vinculada a uma instância nomeada de espelhamento de porta de Camada 2, mas sim implicitamente vinculada à instância global de espelhamento de porta de Camada 2, então o tráfego na interface lógica é espelhado de acordo com as propriedades especificadas na instância nomeada mencionada pelo modificador de ação .port-mirror-instance

    • Para fazer referência a um grupo de próximo salto que especifica os endereços de próximo salto (para enviar cópias adicionais de pacotes a um analisador), use o modificador de ação   :next-hop-grouppm-next-hop-group-name

      Para obter informações de configuração sobre grupos de próximo salto, veja Definir um grupo de Next-Hop para espelhamento de portas de camada 2.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-next-hop-group-configuring.html Se você especificar um grupo de próximo salto para espelhamento de portas de Camada 2, o termo filtro de firewall se aplica apenas à entrada da interface do túnel.

  8. Verifique a configuração mínima do filtro de firewall de espelhamento de porta de Camada 2:

    Na declaração do termo do filtro de firewall, pode ser , ou .thenaction-modifierport-mirrorport-mirror-instance next-hop-group pm-next-hop-group-name

Configuração de filtro de firewall independente de protocolo para espelhamento de portas

Em roteadores da Série MX com MPCs, você pode configurar um filtro de firewall para espelhar pacotes de Camada 2 e Camada 3 em nível global e em nível de instância. Quando o espelho de porta é configurado na entrada ou saída, a entrada ou saída de pacotes de uma interface é copiada e as cópias são enviadas para a interface local para monitoramento local.

Nota:

A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte para espelhamento de portas.family any As interfaces de DPC não oferecem suporte .family any

Normalmente, o filtro de firewall é configurado de modo que ele espelha pacotes de Camada 2 ou Camada 3 com base na família configurada na interface. No entanto, no caso de uma interface integrada de roteamento e ponte (IRB), os pacotes de Camada 2 não são completamente espelhados porque as interfaces IRB são configuradas para espelhar apenas pacotes de Camada 3. Em tal interface, você pode configurar um filtro de firewall e parâmetros de espelhamento de porta na família para garantir que um pacote seja completamente espelhado, independentemente de ser um pacote de Camada 2 ou de Camada 3.any

Nota:
  • Para espelhamento de porta em uma instância, você pode configurar uma ou mais famílias, como, e simultaneamente, para a mesma instância.inetinet6cccvpls

  • No caso do espelhamento de portas de Camada 2, as tags VLAN, os cabeçalhos MPLS são retidos e podem ser vistos na cópia espelhada na saída.

  • Para a normalização do VLAN, as informações antes da normalização são vistas para um pacote espelhado na entrada. Da mesma forma, na saída, as informações após a normalização são vistas para o pacote espelhado.

Antes de começar a configurar o espelhamento de portas, você deve configurar interfaces físicas válidas.

Para configurar um filtro de firewall independente de protocolo para espelhamento de portas:

  1. Configure um filtro de firewall global para espelhar o tráfego de saída ou entrada.
  2. Configure um filtro de firewall para espelhar o tráfego por exemplo.
  3. Configure parâmetros de espelhamento para tráfego de saída e entrada.
  4. Configure parâmetros de espelhamento para uma instância. Nesta configuração, você pode especificar a saída ou o destino para que os pacotes de Camada 2 sejam um grupo de próximo salto válido ou uma interface de Camada 2.
  5. Configure o filtro de firewall na interface de entrada ou saída na qual os pacotes são transmitidos.

Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch

  • Junos 14.1X53-D20

Visão geral

Neste exemplo, e servir como conexões para computadores de funcionários.xe-0/0/0xe-0/0/6 A interface está conectada a um dispositivo que executa um aplicativo de analisador.xe-0/0/47

Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente da sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Este exemplo espelha apenas o tráfego enviado de computadores funcionários para a Web.

Topologia

Figura 1 mostra a topologia da rede para este exemplo.

Figura 1: Exemplo de topologia de rede para espelhamento de portas locaisExemplo de topologia de rede para espelhamento de portas locais

Configuração

Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:

Procedimento passo a passo

Para configurar o espelhamento de porta local do funcionário para o tráfego web a partir das duas portas conectadas aos computadores dos funcionários:

  1. Configure uma instância de espelhamento de porta, incluindo a interface de saída e o endereço IP do dispositivo que executa o aplicativo analisador como o próximo salto. (Configure apenas a saída — a entrada vem do filtro.) Você também deve especificar se o espelho é para tráfego IPv4 ().family inet

  2. Configure um filtro de firewall IPv4 chamado que inclui um termo para combinar tráfego enviado à Web e enviar para a instância de espelhamento de portas.family inetwatch-employee O tráfego enviado e chegando da sub-rede corporativa (endereço de destino ou fonte) não precisa ser copiado, então primeiro crie outro termo para aceitar esse tráfego antes de chegar ao termo que envia tráfego Web para a instância:192.0.nn.nn/24

  3. Configure endereços para as interfaces IPv4 conectadas aos computadores dos funcionários e ao dispositivo analisador:

  4. Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:

Resultados

Confira os resultados da configuração:

Verificação

Verificando se o analisador foi criado corretamente

Propósito

Verifique se o analisador foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.

Ação

Você pode verificar se o analisador de espelho de porta foi configurado como esperado usando o comando.show forwarding-options port-mirroring

Significado

Essa saída mostra que a instância de espelhamento de porta tem uma razão de 1 (espelhamento de cada pacote, a configuração padrão) e o tamanho máximo do pacote original que foi espelhado ( indica todo o pacote).0 Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será e a instância não será programada para espelhamento.down

Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE

Para um roteador ou switch configurado como um dispositivo de borda (PE) de provedor na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nos seguintes pontos de entrada e saída para espelhar o tráfego entre o roteador ou switch e os dispositivos de borda do cliente (CE), que normalmente também são roteadores e switches Ethernet.

Tabela 1 descreve as maneiras pelas quais você pode aplicar filtros de firewall de espelhamento de porta de Camada 2 a um roteador ou switch configurado como um dispositivo PE.

Tabela 1: Aplicação de filtros de firewall de espelhamento de portas de camada 2 em dispositivos PE

Ponto de aplicação

Escopo do espelhamento

Notas

Detalhes da configuração

Interface lógica voltada para o cliente de entrada

Pacotes originados na rede de um cliente de provedor de serviços, enviados primeiro a um dispositivo CE e enviados ao lado do dispositivo PE.

Você também pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada.

O tráfego recebido em uma interface Ethernet agregada é encaminhado por uma interface diferente com base em uma visão do endereço MAC de destino (DMAC):

  • Os pacotes destinados a um site local são enviados para fora da interface infantil balanceada por carga.

  • Os pacotes destinados ao local remoto são encapsulados e encaminhados por um caminho comutado por rótulos (LSP).

Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

Interface lógica voltada para o cliente de saída

Pacotes Unicast sendo encaminhados pelo dispositivo PE para outro dispositivo PE.

Se você aplicar um filtro de espelhamento de porta na saída para uma interface lógica, apenas pacotes unicast serão espelhados.NOTE: Para espelhar pacotes multicast, unicast desconhecido e broadcast, aplique um filtro na entrada na tabela de inundação de uma instância de roteamento VLAN ou VPLS.

Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html

Entrada para uma tabela de encaminhamento de VLAN ou tabela de inundação

Encaminhamento de tráfego ou tráfego de inundação enviado para a VLAN a partir de um dispositivo CE.

O tráfego de encaminhamento e inundação normalmente consiste em pacotes de broadcast, pacotes multicast, pacotes unicast com um endereço MAC de destino desconhecido ou pacotes com uma entrada MAC na tabela de roteamento DMAC.

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte.Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

Entrada para uma tabela de encaminhamento de instâncias de roteamento VPLS ou tabela de inundação

Encaminhamento de tráfego ou inundação enviado para a instância de roteamento VPLS a partir de um dispositivo CE.

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-vpls-routing-instance.html Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE

Uma interface Ethernet agregada é um link agregado virtual que consiste em um conjunto de interfaces físicas da mesma velocidade e operando no modo de conexão de enlace full-duplex. Você pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. Se um ou mais links na interface agregada falharem, o tráfego será trocado para os links restantes.

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface Ethernet agregada para configurar o espelhamento de portas na interface dos pais. No entanto, se alguma interface infantil estiver vinculada a diferentes instâncias de espelhamento de porta de Camada 2, os pacotes recebidos nas interfaces infantis serão espelhados nos destinos especificados por suas respectivas instâncias de espelhamento de porta. Assim, várias interfaces infantis podem espelhar pacotes em vários destinos.

Por exemplo, suponha que a instância de interface Ethernet agregada pelos pais tenha duas interfaces infantis:ae0

  • xe-2/0/0

  • xe-3/1/2

Suponha que essas interfaces infantis estejam vinculadas a duas instâncias diferentes de espelhamento de porta de Camada 2:ae0

  • — Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface infantil.pm_instance_Axe-2/0/0

  • — Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface infantil.pm_instance_Bxe-3/1/2

Agora suponha que você aplique um filtro de firewall de espelhamento de porta de Camada 2 no tráfego de Camada 2 enviado (unidade lógica na instância de interface Ethernet agregada).ae0.000 Isso permite o espelhamento de portas, que tem o seguinte efeito sobre o processamento do tráfego recebido nas interfaces infantis para as quais as propriedades de espelhamento de porta de Camada 2 são especificadas:ae0.0

  • Os pacotes recebidos são espelhados nas interfaces de saída configuradas em instâncias de espelhamento de porta.xe-2/0/0pm_instance_A

  • Os pacotes recebidos são espelhados nas interfaces de saída configuradas em instâncias de espelhamento de porta.xe-3/1/2.0pm_instance_B

Como e pode especificar diferentes propriedades de seleção de pacotes ou propriedades de destino espelhadas, os pacotes recebidos e podem espelhar diferentes pacotes para diferentes destinos.pm_instance_Apm_instance_Bxe-2/0/0xe-3/1/2.0

Aplicando o espelhamento de porta de camada 2 a uma interface lógica

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 na entrada ou na saída de uma interface lógica, incluindo uma interface lógica Ethernet agregada. Apenas os pacotes da família do tipo de endereço especificados pela ação do filtro são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado à entrada em uma interface ou saída lógica para uma interface lógica. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta de Camada 2: um filtro aplicado ao tráfego de entrada de interface lógica, e um filtro aplicado ao tráfego de saída da interface lógica.

Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 a uma interface lógica de entrada ou saída:

  1. Configure a interface física subjacente para a interface lógica.

    1. Habilite a configuração da interface física subjacente:

      Nota:

      Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet.


    2. Para interfaces Gigabit Ethernet e interfaces Ethernet agregadas configuradas para VPLS, habilite a recepção e a transmissão de quadros com tags VLAN de 802.1Q na interface:


    3. Para interfaces Ethernet que tenham a marcação e a ponte VLAN IEEE 802.1Q habilitadas e que devem aceitar pacotes que transportam TPID 0x8100 ou um TPID definido pelo usuário, defina o tipo lógico de encapsulamento da camada de enlace:

  2. Configure a interface lógica à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2.

    1. Especifique o número da unidade lógica:


    2. Para uma interface Ethernet gigabit ou Ethernet agregada, vincule uma ID da tag VLAN de 802.1Q à interface lógica:

  3. Permita que a especificação de um filtro de entrada ou saída seja aplicada a pacotes de Camada 2 que fazem parte do domínio de ponte, conexões cruzadas de comutação de Camada 2 ou serviço de LAN privada virtual (VPLS).
    • Se o filtro deve ser avaliado quando os pacotes são recebidos na interface:

    • Se o filtro deve ser avaliado quando os pacotes são enviados na interface:

    O valor da opção pode ser family, ou .ethernet-switchingcccvpls

    Nota:

    Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, inclua a declaração opcional no nível hierárquico.mirror-once[edit forwarding-options]

  4. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface lógica:

Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado em um domínio de ponte. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para esse domínio de ponte são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para um domínio de ponte ou inundado para um domínio de ponte. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento de domínios da ponte, e um filtro aplicado à tabela de inundação do domínio da ponte entra o tráfego.

Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de um domínio de ponte:

  1. Habilite a configuração do domínio de ponte ao qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:bridge-domain-name
    • Para um domínio de ponte:

    • Para um domínio de ponte em uma instância de roteamento:

      Para obter informações de configuração mais detalhadas, veja Configuração de uma instância de roteamento VPLS.Configuring a VPLS Routing Instance

  2. Configure o domínio da ponte:

    Para obter informações detalhadas sobre a configuração, veja Configuração de um domínio de ponte e configuração de identificadores VLAN para instâncias de roteamento VPLS e domínio de ponte para domínios de ponte e instâncias de roteamento VPLS.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

  3. Habilite a configuração do encaminhamento de tráfego no domínio da ponte:
  4. Aplique um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento de domínios ou tabela de inundação da ponte.
    • Para espelhar os pacotes que estão sendo encaminhados para o domínio da ponte:

    • Para espelhar os pacotes que estão sendo inundados no domínio da ponte:

  5. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação do domínio da ponte.

    1. Navegue até o nível de hierarquia no qual o domínio da ponte está configurado:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações de domínio da ponte:

Aplicando o espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma instância de roteamento VPLS. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para essa instância de roteamento VPLS são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma instância de roteamento VPLS ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado à tabela de encaminhamento da tabela de encaminhamento de instâncias de roteamento VPLS, e um filtro aplicado à tabela de ingressamento da instância de roteamento VPLS.

Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma instância de roteamento VPLS:

  1. Habilite a configuração da instância de roteamento VPLS à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:

    Para obter informações de configuração mais detalhadas, veja Configuração de uma instância de roteamento VPLS.Configuring a VPLS Routing Instance

  2. Habilite a configuração do encaminhamento de tráfego na instância de roteamento VPLS:
  3. Aplique um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento de instâncias de roteamento VPLS ou na tabela de inundação.
    • Para espelhar os pacotes que estão sendo encaminhados para a instância de roteamento VPLS:

    • Para espelhar os pacotes que estão sendo inundados na instância de roteamento VPLS:

  4. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação da instância de roteamento VPLS:

Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma VLAN. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para que a VLAN sejam espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma VLAN ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento VLAN, e um filtro aplicado à tabela de inundação VLAN permite a entrada do tráfego.

Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma VLAN:

  1. Habilite a configuração da VLAN à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:bridge-domain-name
    • Para uma VLAN:

    • Para uma VLAN em uma instância de roteamento:

      Para obter informações de configuração mais detalhadas, veja Configuração de uma instância de roteamento VPLS.Configuring a VPLS Routing Instance

  2. Configure a VLAN:

    Para obter informações de configuração mais detalhadas, consulte Configurando um domínio de ponte e configurando identificadores VLAN para instâncias de roteamento de VPLS e domínios de ponte.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

  3. Habilite a configuração do encaminhamento de tráfego na VLAN:
  4. Aplique um filtro de firewall de espelhamento de portas de Camada 2 na tabela de encaminhamento de VLAN ou na tabela de inundação.
    • Para espelhar os pacotes que estão sendo encaminhados para a VLAN:

    • Para espelhar os pacotes que estão sendo inundados na VLAN:

  5. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação da VLAN.

    1. Navegue até o nível de hierarquia em que a VLAN está configurada:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações de VLAN:

Exemplo: Espelhamento de porta de camada 2 em uma interface lógica

As etapas a seguir descrevem um exemplo em que a instância global de espelhamento de portas e um filtro de firewall de espelhamento de porta são usados para configurar o espelhamento de portas de Camada 2 para a entrada em uma interface lógica.

  1. Configure o VLAN , que contém o analisador externo de pacotes e o VLAN , que contém a origem e o destino do tráfego de Camada 2 sendo espelhado:example-bd-with-analyzerexample-bd-with-traffic

    Suponha que a interface lógica esteja associada a um analisador de tráfego externo que deve receber pacotes espelhados por porta.ge-2/0/0.0 Assuma que as interfaces lógicas e as portas de entrada e saída de tráfego, respectivamente.ge-2/0/6.0ge-3/0/1.2

  2. Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de portas sendo a interface VLAN associada ao analisador externo (interface lógica na VLAN ).ge-2/0/0.0example-bd-with-analyzer Certifique-se de habilitar a opção que permite que filtros sejam aplicados a este destino de espelhamento de portas:

    A declaração no nível de hierarquia especifica que a amostragem começa a cada dez pacotes e que cada um dos cinco primeiros pacotes selecionados devem ser espelhados.input[edit forwarding-options port-mirroring]

    A declaração no nível de hierarquia especifica a interface de espelho de saída para pacotes de Camada 2 em um ambiente de ponte:output[edit forwarding-options port-mirroring family ethernet-switching]

    • A interface lógica, associada ao analisador externo de pacotes, está configurada como o destino de espelhamento de portas.ge-2/0/0.0

    • A declaração opcional permite que os filtros sejam configurados nesta interface de destino.no-filter-check

  3. Configure o filtro de firewall de espelhamento de porta de Camada 2:example-bridge-pm-filter

    Quando este filtro de firewall é aplicado à entrada ou saída de uma interface lógica para tráfego em um ambiente de ponte, o espelhamento de portas de Camada 2 é realizado de acordo com as propriedades de amostragem de pacotes de entrada e as propriedades de destino espelhadas configuradas para a instância global de espelhamento de porta de Camada 2. Como este filtro de firewall está configurado com a ação de filtro padrão, todos os pacotes selecionados pelas propriedades ( = e = ) combinam com este filtro.acceptinputrate10run-length5

  4. Configure as interfaces lógicas:

    Os pacotes recebidos na interface lógica na VLAN são avaliados pelo filtro de firewall de espelhamento de portas.ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter O filtro de firewall atua no tráfego de entrada de acordo com as ações de filtro configuradas no próprio filtro de firewall, além das propriedades de amostragem de pacotes de entrada e propriedades de destino espelhadas configuradas na instância global de espelhamento de porta:

    • Todos os pacotes recebidos são encaminhados para seu (assumido) destino normal na interface lógica.ge-2/0/6.0ge-3/0/1.2

    • Para cada dez pacotes de entrada, cópias dos cinco primeiros pacotes nessa seleção são encaminhadas ao analisador externo na interface lógica na outra VLAN, .ge-0/0/0.0example-bd-with-analyzer

    Se você configurar o filtro de firewall de espelhamento de portas para agir em vez da ação , todos os pacotes originais serão descartados enquanto cópias dos pacotes selecionados usando as propriedades globais de espelhamento de porta são enviadas ao analisador externo.example-bridge-pm-filterdiscardacceptinput

Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2

O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando .family ccc

  1. Configure o VLAN , que contém o analisador externo de pacotes:port-mirror-bd

  2. Configure o CCC VPN de Camada 2 para conectar interface lógica e interface lógica:ge-2/0/1.0ge-2/0/1.1

  3. Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface lógica na VLAN ):ge-2/2/9.0example-bd-with-analyzer

  4. Definir o filtro de firewall de espelhamento de porta de Camada 2 para :pm_filter_cccfamily ccc

  5. Aplique a instância do espelho de porta no chassi:

  6. Configure a interface para as VLANs e configure a interface para espelhamento de portas com o filtro de firewall:ge-2/2/9ge-2/0/1pm_filter_ccc

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
13.3R6
A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte para espelhamento de portas.family any