Nesta página
Definindo um filtro de firewall com espelhamento de portas de Camada 2
Configuração de filtro de firewall independente de protocolo para espelhamento de portas
Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall
Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE
Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE
Aplicando o espelhamento de porta de camada 2 a uma interface lógica
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN
Exemplo: Espelhamento de porta de camada 2 em uma interface lógica
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2 com links LAG
Configuração do espelhamento de portas em interfaces lógicas
Filtros de firewall de espelhamento de porta de camada 2
Este tópico descreve as seguintes informações:
- Visão geral dos filtros de firewall de espelhamento de porta de camada 2
- Espelhamento de pacotes recebidos ou enviados em uma interface lógica
- Espelhamento de pacotes encaminhados ou inundados para uma VLAN
- Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS
Visão geral dos filtros de firewall de espelhamento de porta de camada 2
Em um roteador da Série MX e em um switch da Série EX, você pode configurar um termode filtro de firewall para especificar que o espelhamento de porta de Camada 2 deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado.
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nas interfaces lógicas de entrada ou saída (incluindo interfaces lógicas Ethernet agregadas), ao tráfego encaminhado ou inundado a uma VLAN, ou ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.
Roteadores da Série MX e switches da Série EX oferecem suporte a espelhamento de portas de Camada 2 de tráfego VPLS ( ou ) e tráfego VPN de Camada 2 com em um ambiente de Camada 2family ethernet-switching
family vpls
family ccc
Dentro de um filtro de firewall, você pode especificar as propriedades de espelhamento de porta de Camada 2 sob a declaração de qualquer uma das seguintes maneiras:term
then
Referencia implicitamente as propriedades de espelhamento de porta de Camada 2 em vigor na porta.
Consulte explicitamente uma instância nomeada em particular do espelhamento de porta de Camada 2.
Ao configurar um filtro de firewall de espelhamento de porta de Camada 2, não inclua a declaração opcional que especifica condições de correspondência com base no endereço de origem da rota.from
Omite esta declaração para que todos os pacotes sejam considerados compatíveis e todos e especificados na declaração sejam tomados.actionsaction-modifiersthen
Se você quiser espelhar todos os pacotes recebidos, então você não deve usar a declaração; /*Comentário: configure os termos do filtro com a partir de se eles estiverem interessados em espelhar apenas um subconjunto de pacotes.
Se você associar o roteamento integrado e a ponte (IRB) à VLAN (ou instância de roteamento VPLS), e também configurar dentro da VLAN (ou instância de roteamento VPLS) um filtro de tabela de encaminhamento com a ou ação, então o pacote IRB é espelhado como um pacote de Camada 2.port-mirror
port-mirror-instance
Você pode desabilitar esse comportamento configurando a declaração sem irb de camada 2 na VLAN (ou instância de roteamento VPLS).https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html
Para obter uma descrição detalhada de como configurar um filtro de firewall de espelhamento de porta de Camada 2, consulte Definir um filtro de firewall espelhamento de portas de Camada 2.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
Para obter informações detalhadas sobre como você pode usar filtros de firewall de espelhamento de porta de Camada 2 com roteadores MX e switches da Série EX configurados como roteadores de borda de provedor (PE) ou switches PE, consulte Entendendo o espelhamento de portas de Camada 2 das interfaces lógicas do roteador PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html Para obter informações detalhadas sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), consulte as políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Espelhamento de pacotes recebidos ou enviados em uma interface lógica
Para espelhar o tráfego de Camada 2 recebido ou enviado em uma interface lógica, aplique um filtro de firewall de espelhamento de portas na entrada ou saída da interface.
Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet. Para obter mais informações, veja Entendendo o espelhamento de portas de Camada 2 das interfaces de ethernet agregadas do roteador PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html
Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, você pode habilitar a opção "mirror-once" para espelhamento de portas de Camada 2 na instância global para a família de endereços de pacotes de Camada 2.
Espelhamento de pacotes encaminhados ou inundados para uma VLAN
Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma VLAN, aplique um filtro de firewall de espelhamento de porta na entrada para a tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de VLAN ou tabela de inundação e que corresponda às condições do filtro é espelhado.
Para obter mais informações sobre VLANs, consulte Entendendo os domínios da ponte de Camada 2 .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html Para obter informações sobre o comportamento de inundação em uma VLAN, consulte Entendendo o aprendizado e o encaminhamento de camada 2 para domínios de ponte .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html
Ao configurar o espelhamento de porta em qualquer interface sob uma VLAN, o pacote espelhado pode passar para um analisador externo localizado em diferentes VLANs.
Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS
Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS, aplique um filtro de firewall de espelhamento de portas na entrada da tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de instâncias de roteamento VPLS ou tabela de inundação e que corresponda à condição do filtro é espelhado.
Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
Definindo um filtro de firewall com espelhamento de portas de Camada 2
Para tráfego de LAN privada virtual (VPLS) ( ou ) e para VPNs de Camada 2 com família em roteadores da Série MX e apenas em switches da Série EX, você pode definir um filtro de firewall que especifica o espelhamento de portas de Camada 2 como a ação a ser realizada se um pacote corresponde às condições configuradas no termo filtro de firewall.family ethernet-switching
family vpls
ccc
Você pode usar um filtro de firewall de espelhamento de porta de Camada 2 das seguintes maneiras:
Espelhar pacotes recebidos ou enviados em uma interface lógica.
Para espelhar pacotes encaminhados ou inundados para uma VLAN.
Espelhar pacotes encaminhados ou inundados para uma instância de roteamento VPLS.
Espelhar pacotes de entrada de interface de túnel apenas para vários destinos.
Para obter um resumo dos três tipos de espelhamento de porta de Camada 2, você pode configurar em um roteador da Série MX e em um switch da Série EX, veja aplicação de tipos de espelhamento de portas de Camada 2.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html
Para definir um filtro de firewall com uma ação de espelhamento de porta de Camada 2:
Configuração de filtro de firewall independente de protocolo para espelhamento de portas
Em roteadores da Série MX com MPCs, você pode configurar um filtro de firewall para espelhar pacotes de Camada 2 e Camada 3 em nível global e em nível de instância. Quando o espelho de porta é configurado na entrada ou saída, a entrada ou saída de pacotes de uma interface é copiada e as cópias são enviadas para a interface local para monitoramento local.
A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte para espelhamento de portas.family any
As interfaces de DPC não oferecem suporte .family any
Normalmente, o filtro de firewall é configurado de modo que ele espelha pacotes de Camada 2 ou Camada 3 com base na família configurada na interface. No entanto, no caso de uma interface integrada de roteamento e ponte (IRB), os pacotes de Camada 2 não são completamente espelhados porque as interfaces IRB são configuradas para espelhar apenas pacotes de Camada 3. Em tal interface, você pode configurar um filtro de firewall e parâmetros de espelhamento de porta na família para garantir que um pacote seja completamente espelhado, independentemente de ser um pacote de Camada 2 ou de Camada 3.any
Para espelhamento de porta em uma instância, você pode configurar uma ou mais famílias, como, e simultaneamente, para a mesma instância.inetinet6cccvpls
No caso do espelhamento de portas de Camada 2, as tags VLAN, os cabeçalhos MPLS são retidos e podem ser vistos na cópia espelhada na saída.
Para a normalização do VLAN, as informações antes da normalização são vistas para um pacote espelhado na entrada. Da mesma forma, na saída, as informações após a normalização são vistas para o pacote espelhado.
Antes de começar a configurar o espelhamento de portas, você deve configurar interfaces físicas válidas.
Para configurar um filtro de firewall independente de protocolo para espelhamento de portas:
Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch
Junos 14.1X53-D20
Visão geral
Neste exemplo, e servir como conexões para computadores de funcionários.xe-0/0/0
xe-0/0/6
A interface está conectada a um dispositivo que executa um aplicativo de analisador.xe-0/0/47
Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente da sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Este exemplo espelha apenas o tráfego enviado de computadores funcionários para a Web.
Topologia
Figura 1 mostra a topologia da rede para este exemplo.
Configuração
Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procedimento passo a passo
Para configurar o espelhamento de porta local do funcionário para o tráfego web a partir das duas portas conectadas aos computadores dos funcionários:
Configure uma instância de espelhamento de porta, incluindo a interface de saída e o endereço IP do dispositivo que executa o aplicativo analisador como o próximo salto. (Configure apenas a saída — a entrada vem do filtro.) Você também deve especificar se o espelho é para tráfego IPv4 ().
family inet
[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configure um filtro de firewall IPv4 chamado que inclui um termo para combinar tráfego enviado à Web e enviar para a instância de espelhamento de portas.
family inet
watch-employee
O tráfego enviado e chegando da sub-rede corporativa (endereço de destino ou fonte) não precisa ser copiado, então primeiro crie outro termo para aceitar esse tráfego antes de chegar ao termo que envia tráfego Web para a instância:192.0.nn.nn/24
[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configure endereços para as interfaces IPv4 conectadas aos computadores dos funcionários e ao dispositivo analisador:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados
Confira os resultados da configuração:
[edit] user@switch# show forwarding-options { port-mirroring { employee-web-monitor { output { ip-address 192.0.2.100.0; } } } } } } ... firewall family inet { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirror; } } } ... interfaces { xe-0/0/0 { unit 0 { family inet { filter { input watch-employee; } } } } xe-0/0/6 { family inet { filter { input watch-employee; } } } }
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador de espelho de porta foi configurado como esperado usando o comando.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up xe-0/0/47.0 192.0.2.100
Significado
Essa saída mostra que a instância de espelhamento de porta tem uma razão de 1 (espelhamento de cada pacote, a configuração padrão) e o tamanho máximo do pacote original que foi espelhado ( indica todo o pacote).0
Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será e a instância não será programada para espelhamento.down
Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE
Para um roteador ou switch configurado como um dispositivo de borda (PE) de provedor na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nos seguintes pontos de entrada e saída para espelhar o tráfego entre o roteador ou switch e os dispositivos de borda do cliente (CE), que normalmente também são roteadores e switches Ethernet.
Tabela 1 descreve as maneiras pelas quais você pode aplicar filtros de firewall de espelhamento de porta de Camada 2 a um roteador ou switch configurado como um dispositivo PE.
Ponto de aplicação |
Escopo do espelhamento |
Notas |
Detalhes da configuração |
---|---|---|---|
Interface lógica voltada para o cliente de entrada |
Pacotes originados na rede de um cliente de provedor de serviços, enviados primeiro a um dispositivo CE e enviados ao lado do dispositivo PE. |
Você também pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. O tráfego recebido em uma interface Ethernet agregada é encaminhado por uma interface diferente com base em uma visão do endereço MAC de destino (DMAC):
|
Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html |
Interface lógica voltada para o cliente de saída |
Pacotes Unicast sendo encaminhados pelo dispositivo PE para outro dispositivo PE. Se você aplicar um filtro de espelhamento de porta na saída para uma interface lógica, apenas pacotes unicast serão espelhados.NOTE: Para espelhar pacotes multicast, unicast desconhecido e broadcast, aplique um filtro na entrada na tabela de inundação de uma instância de roteamento VLAN ou VPLS. |
Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html |
|
Entrada para uma tabela de encaminhamento de VLAN ou tabela de inundação |
Encaminhamento de tráfego ou tráfego de inundação enviado para a VLAN a partir de um dispositivo CE. |
O tráfego de encaminhamento e inundação normalmente consiste em pacotes de broadcast, pacotes multicast, pacotes unicast com um endereço MAC de destino desconhecido ou pacotes com uma entrada MAC na tabela de roteamento DMAC. |
Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte.Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Entrada para uma tabela de encaminhamento de instâncias de roteamento VPLS ou tabela de inundação |
Encaminhamento de tráfego ou inundação enviado para a instância de roteamento VPLS a partir de um dispositivo CE. |
Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-vpls-routing-instance.html Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE
Uma interface Ethernet agregada é um link agregado virtual que consiste em um conjunto de interfaces físicas da mesma velocidade e operando no modo de conexão de enlace full-duplex. Você pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. Se um ou mais links na interface agregada falharem, o tráfego será trocado para os links restantes.
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface Ethernet agregada para configurar o espelhamento de portas na interface dos pais. No entanto, se alguma interface infantil estiver vinculada a diferentes instâncias de espelhamento de porta de Camada 2, os pacotes recebidos nas interfaces infantis serão espelhados nos destinos especificados por suas respectivas instâncias de espelhamento de porta. Assim, várias interfaces infantis podem espelhar pacotes em vários destinos.
Por exemplo, suponha que a instância de interface Ethernet agregada pelos pais tenha duas interfaces infantis:ae0
xe-2/0/0
xe-3/1/2
Suponha que essas interfaces infantis estejam vinculadas a duas instâncias diferentes de espelhamento de porta de Camada 2:ae0
— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface infantil.
pm_instance_A
xe-2/0/0
— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface infantil.
pm_instance_B
xe-3/1/2
Agora suponha que você aplique um filtro de firewall de espelhamento de porta de Camada 2 no tráfego de Camada 2 enviado (unidade lógica na instância de interface Ethernet agregada).ae0.0
0
0
Isso permite o espelhamento de portas, que tem o seguinte efeito sobre o processamento do tráfego recebido nas interfaces infantis para as quais as propriedades de espelhamento de porta de Camada 2 são especificadas:ae0.0
Os pacotes recebidos são espelhados nas interfaces de saída configuradas em instâncias de espelhamento de porta.
xe-2/0/0
pm_instance_A
Os pacotes recebidos são espelhados nas interfaces de saída configuradas em instâncias de espelhamento de porta.
xe-3/1/2.0
pm_instance_B
Como e pode especificar diferentes propriedades de seleção de pacotes ou propriedades de destino espelhadas, os pacotes recebidos e podem espelhar diferentes pacotes para diferentes destinos.pm_instance_A
pm_instance_B
xe-2/0/0
xe-3/1/2.0
Aplicando o espelhamento de porta de camada 2 a uma interface lógica
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 na entrada ou na saída de uma interface lógica, incluindo uma interface lógica Ethernet agregada. Apenas os pacotes da família do tipo de endereço especificados pela ação do filtro são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado à entrada em uma interface ou saída lógica para uma interface lógica. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta de Camada 2: um filtro aplicado ao tráfego de entrada de interface lógica, e um filtro aplicado ao tráfego de saída da interface lógica.
Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 a uma interface lógica de entrada ou saída:
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado em um domínio de ponte. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para esse domínio de ponte são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para um domínio de ponte ou inundado para um domínio de ponte. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento de domínios da ponte, e um filtro aplicado à tabela de inundação do domínio da ponte entra o tráfego.
Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de um domínio de ponte:
Aplicando o espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma instância de roteamento VPLS. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para essa instância de roteamento VPLS são espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma instância de roteamento VPLS ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado à tabela de encaminhamento da tabela de encaminhamento de instâncias de roteamento VPLS, e um filtro aplicado à tabela de ingressamento da instância de roteamento VPLS.
Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma instância de roteamento VPLS:
Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN
Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma VLAN. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para que a VLAN sejam espelhados.
Antes de começar, preencha a seguinte tarefa:
Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma VLAN ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.
Nota:Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento VLAN, e um filtro aplicado à tabela de inundação VLAN permite a entrada do tráfego.
Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma VLAN:
Exemplo: Espelhamento de porta de camada 2 em uma interface lógica
As etapas a seguir descrevem um exemplo em que a instância global de espelhamento de portas e um filtro de firewall de espelhamento de porta são usados para configurar o espelhamento de portas de Camada 2 para a entrada em uma interface lógica.
Configure o VLAN , que contém o analisador externo de pacotes e o VLAN , que contém a origem e o destino do tráfego de Camada 2 sendo espelhado:example-bd-with-analyzerexample-bd-with-traffic
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }
Suponha que a interface lógica esteja associada a um analisador de tráfego externo que deve receber pacotes espelhados por porta.ge-2/0/0.0 Assuma que as interfaces lógicas e as portas de entrada e saída de tráfego, respectivamente.ge-2/0/6.0ge-3/0/1.2
Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de portas sendo a interface VLAN associada ao analisador externo (interface lógica na VLAN ).ge-2/0/0.0example-bd-with-analyzer Certifique-se de habilitar a opção que permite que filtros sejam aplicados a este destino de espelhamento de portas:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }
A declaração no nível de hierarquia especifica que a amostragem começa a cada dez pacotes e que cada um dos cinco primeiros pacotes selecionados devem ser espelhados.
input
[edit forwarding-options port-mirroring]
A declaração no nível de hierarquia especifica a interface de espelho de saída para pacotes de Camada 2 em um ambiente de ponte:
output
[edit forwarding-options port-mirroring family ethernet-switching]
A interface lógica, associada ao analisador externo de pacotes, está configurada como o destino de espelhamento de portas.ge-2/0/0.0
A declaração opcional permite que os filtros sejam configurados nesta interface de destino.
no-filter-check
Configure o filtro de firewall de espelhamento de porta de Camada 2:example-bridge-pm-filter
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }
Quando este filtro de firewall é aplicado à entrada ou saída de uma interface lógica para tráfego em um ambiente de ponte, o espelhamento de portas de Camada 2 é realizado de acordo com as propriedades de amostragem de pacotes de entrada e as propriedades de destino espelhadas configuradas para a instância global de espelhamento de porta de Camada 2. Como este filtro de firewall está configurado com a ação de filtro padrão, todos os pacotes selecionados pelas propriedades ( = e = ) combinam com este filtro.acceptinputrate10run-length5
Configure as interfaces lógicas:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }
Os pacotes recebidos na interface lógica na VLAN são avaliados pelo filtro de firewall de espelhamento de portas.ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter O filtro de firewall atua no tráfego de entrada de acordo com as ações de filtro configuradas no próprio filtro de firewall, além das propriedades de amostragem de pacotes de entrada e propriedades de destino espelhadas configuradas na instância global de espelhamento de porta:
Todos os pacotes recebidos são encaminhados para seu (assumido) destino normal na interface lógica.ge-2/0/6.0ge-3/0/1.2
Para cada dez pacotes de entrada, cópias dos cinco primeiros pacotes nessa seleção são encaminhadas ao analisador externo na interface lógica na outra VLAN, .ge-0/0/0.0example-bd-with-analyzer
Se você configurar o filtro de firewall de espelhamento de portas para agir em vez da ação , todos os pacotes originais serão descartados enquanto cópias dos pacotes selecionados usando as propriedades globais de espelhamento de porta são enviadas ao analisador externo.example-bridge-pm-filterdiscardacceptinput
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2
O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando .family ccc
Configure o VLAN , que contém o analisador externo de pacotes:port-mirror-bd
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }
Configure o CCC VPN de Camada 2 para conectar interface lógica e interface lógica:ge-2/0/1.0ge-2/0/1.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }
Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface lógica na VLAN ):ge-2/2/9.0example-bd-with-analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }
Definir o filtro de firewall de espelhamento de porta de Camada 2 para :pm_filter_cccfamily ccc
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }
Aplique a instância do espelho de porta no chassi:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }
Configure a interface para as VLANs e configure a interface para espelhamento de portas com o filtro de firewall:ge-2/2/9ge-2/0/1pm_filter_ccc
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2 com links LAG
O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando e links Ethernet agregados.family ccc
Configure o VLAN , que contém o analisador externo de pacotes:port_mirror_bd
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }
Configure o CCC VPN de Camada 2 para conectar interface e interface :ae0.0ae0.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }
Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface lógica na VLAN ):ge-2/2/9.0example_bd_with_analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }
Configure o filtro de firewall para :pm_cccfamily ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }
Aplique as interfaces Ethernet agregadas e a instância de espelho de porta no chassi:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }
Configure interfaces e (para Ethernet agregada) e (para espelhamento de portas) com o filtro:ae0ge-2/0/2ge-2/2/8pm_ccc
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.
family any