Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando o espelhamento de portas em interfaces lógicas

Filtros de Firewall de Espelhamento de Portas de Camada 2

Este tópico descreve as seguintes informações:

Visão geral dos filtros de firewall de espelhamento de portas de Camada 2

Em um roteador da Série MX e em um switch da Série EX, você pode configurar um termo de filtro de firewall para especificar que o espelhamento de porta de Camada 2 deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado.

Você pode aplicar um filtro de firewall com espelhamento de porta 2 às interfaces lógicas de entrada ou saída (incluindo interfaces lógicas ethernet agregadas), ao tráfego encaminhado ou inundado para uma VLAN ou tráfego encaminhado ou inundado para uma instância de roteamento VPLS.

Os roteadores da Série MX e os switches da Série EX são de suporte ao espelhamento de portas de Camada 2 de VPLS (ou) tráfego e tráfego VPN de Camada 2 com um ambiente family ethernet-switchingfamily vpls de Camada family ccc 2

Dentro de um filtro de firewall, você pode especificar as propriedades de espelhamento de porta Camada 2 na instrução de qualquer termthen das seguintes maneiras:

  • Referência implícita às propriedades de espelhamento de porta Camada 2 em vigor na porta.

  • Referência explicitamente a uma instância específica nomeada de espelhamento de portas de Camada 2.

Nota:

Ao configurar um filtro de firewall com espelhamento de portas Camada 2, não inclua a instrução opcional que especifica as condições de combinação com base from no endereço de origem da rota. Omita essa declaração para que todos os pacotes sejam considerados como de acordo, e todas as ações e modificadores de ação especificados then na instrução sejam tomadas.

Se você quiser espelhar todos os pacotes recebidos, não deve usar a declaração; /* Comentário: configurar termos de filtro com a partir de se eles estão interessados em espelhar apenas um subconjunto de pacotes.

Nota:

Se você associar o roteamento e a ponte integrados (IRB) à instância de roteamento VLAN (ou VPLS) e também configurar na instância de roteamento VLAN (ou VPLS) um filtro de tabela de encaminhamento com a ação ou a ação, o pacote IRB será espelhado como um pacote de port-mirrorport-mirror-instance Camada 2. Você pode desativar esse comportamento configurando a instrução no-irb-layer-2-copy na instância de roteamento VLAN (ou VPLS).

Para uma descrição detalhada de como configurar um filtro de firewall com espelhamento de portas Camada 2, consulte Definir um filtro de firewall espelhamento de portas Camada 2.

Para informações detalhadas sobre como você pode usar filtros de firewall com espelhamento de portas Camada 2 com switches da série MX e série EX configurados como roteadores de borda do provedor (PE) ou switches PE, consulte Entender o espelhamento de portas de Camada 2 das Interfaces Lógicasdo Roteador PE. Para obter informações detalhadas sobre a configuração de filtros de firewall em geral (incluindo um ambiente de Camada 3), consulte o Guia de Usuário de Políticas de Roteamento, Filtros de Firewall e Agentes de tráfego.

Espelhamento de pacotes recebidos ou enviados em uma interface lógica

Para espelhar o tráfego da Camada 2 recebido ou enviado em uma interfacelógica, aplique um filtro de firewall de espelhamento de portas à entrada ou saída da interface.

Um filtro de firewall com espelhamento de portas também pode ser aplicado a uma interface lógica agregada-Ethernet. Para obter detalhes, consulte Entender o espelhamento de portas de Camada 2 de Interfaces Ethernet Agregadasdo Roteador PE.

Nota:

Caso filtros de firewall com espelhamento de porta sejam aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para impedir que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, você pode habilitar a opção "espelhamento uma vez" para espelhamento de portas de Camada 2 na instância global da família de endereços de pacotes Camada 2.

Espelhamento de pacotes encaminhados ou inundados para uma VLAN

Para espelhar o tráfego da Camada 2 encaminhado ou inundado para uma VLAN, aplique um filtro de firewall de espelhamento de porta à entrada na tabela de encaminhamento ou na tabela de inundação. Qualquer pacote recebido para a tabela de encaminhamento ou inundação de VLAN que corresponde às condições do filtro seja espelhado.

Para obter mais informações sobre VLANs, consulte Entender domínios de ponte de Camada 2. Para obter informações sobre comportamento de inundação em uma VLAN, consulte Entender o aprendizado e o encaminhamento da Camada 2 para domínios de ponte.

Nota:

Ao configurar o espelhamento de porta em qualquer interface em um VLAN, o pacote espelhado pode passar para um analisador externo localizado em VLANs diferentes.

Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento de VPLS

Para espelhar o tráfego da Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS, aplique um filtro de firewall de espelhamento de porta na entrada à tabela de encaminhamento ou à tabela de inundação. Qualquer pacote recebido para o encaminhamento ou a tabela de inundação de instâncias de VPLS que corresponde à condição do filtro seja espelhado.

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configurar uma Instância de Roteamento VPLS e Configurando identificadores de VLAN para domínios de ponte e instâncias de roteamento VPLS. Para obter informações sobre comportamento de inundação em VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

Definindo um filtro de firewall com espelhamento de portas de Camada 2

Para tráfego de serviço de LAN privada virtual (VPLS) (ou) e para VPNs de Camada 2 com família em roteadores da Série MX e somente com switches da Série EX, você pode definir um filtro de firewall que especifica o espelhamento de porta camada 2 como a ação a ser executada se um pacote estiver de acordo com as condições configuradas no termo do filtro family ethernet-switchingfamily vpls do ccc firewall.

Você pode usar um filtro de firewall com espelhamento de portas Camada 2 das seguintes maneiras:

  • Para espelhar pacotes recebidos ou enviados em uma interface lógica.

  • Para espelhar pacotes encaminhados ou inundados para uma VLAN.

  • Para espelhar pacotes encaminhados ou inundados para uma instância de roteamento VPLS.

  • Para espelhar pacotes de entrada da interface do túnel apenas para vários destinos.

Para um resumo dos três tipos de espelhamento de portas Camada 2, você pode configurar em um roteador da Série MX e em um switch da Série EX, consulte Tipos de Espelhamento de Portas de Camada 2.

Para definir um filtro de firewall com uma ação de espelhamento de portas Camada 2:

  1. Habilitar a configuração de filtros de firewall para pacotes de Camada 2 que fazem parte de uma VLAN, um comutação de Camada 2 cruzado ou um serviço de LAN privada virtual (VPLS):

    O valor da family opção pode ethernet-switching ccc ser, ou vpls .

  2. Habilitar a configuração de um filtro de pm-filter-name firewall:
  3. Habilitar a configuração de um termo de filtro de pm-filter-term-name firewall:
  4. (Opcional) Especifique as condições de combinação do filtro de firewall com base no endereço de origem da rota apenas se você quiser espelhar um subconjunto dos pacotes amostrados.
    • Para obter informações detalhadas sobre as condições de combinação do filtro de firewall da Camada 2 (que são suportadas apenas em roteadores da Série MX e switches da Série EX), consulte Condições de combinação do filtro de firewall para tráfego de ponte camada 2.

    • Para obter informações detalhadas sobre as condições do filtro de firewall VPLS, consulte Condições de combinação do filtro de firewall para tráfego VPLS.

    • Para obter informações detalhadas sobre as condições do filtro de filtro de firewall de conexão cruzada (CCC) de Circuito 2 de Camada 2, consulte Firewall Filter Match Conditions for Layer 2 CCC Traffic.

    Nota:

    Se você quiser que todos os pacotes amostrados sejam considerados como uma combinação (e que sejam sujeitos às ações especificadas na then instrução), omitam totalmente from a declaração.

  5. Habilitar a action configuração do e action-modifier aplicar a pacotes correspondentes:
  6. Especifique as ações a serem tomadas em pacotes correspondentes:

    O valor recomendado para action o é accept . Se você não especificar uma ação ou se omitir totalmente a declaração, todos os pacotes que corresponderem às condições thenfrom da declaração serão aceitos.

  7. Especifique o espelhamento de porta de Camada 2 ou um grupo de next-hop action-modifier como:
    • Para referenciar as propriedades de espelhamento de porta de Camada 2 atualmente vigentes para o Mecanismo de Encaminhamento de Pacotes ou o PIC associados à interface física subjacente, use a port-mirror instrução:

    • Para referenciar as propriedades de espelhamento de porta Camada 2 configuradas em uma instância nomeada específica, use o modificador de ação de nome de pm-instância do espelhamento da porta:

      Se a interface física subjacente não estiver ligada a uma instância nomeada do espelhamento de portas de Camada 2, mas se estiver implícitamente ligada à instância global do espelhamento de portas de Camada 2, o tráfego na interface lógica será espelhado de acordo com as propriedades especificadas na instância nomeada referenciada pelo modificador de port-mirror-instance ação.

    • Para referenciar um grupo de next-hop que especifique os endereços de next-hop (para enviar cópias adicionais de pacotes para um analisador), use o modificador de ação next-hop-grouppm-next-hop-group-name: 

      Para informações de configuração sobre grupos de next-hop, consulte Como definir um grupo de Next-Hop paraespelhamento de portas de Camada 2. Se você especificar um grupo de next-hop para espelhamento de portas de Camada 2, o termo filtro de firewall se aplica apenas à entrada da interface do túnel.

  8. Verificar a configuração mínima do filtro de firewall com espelhamento de portas Camada 2:

    Na instrução de termo do filtro de firewall, o modificador de ação pode thenport-mirrorport-mirror-instance  ser, ou next-hop-group pm-next-hop-group-name.

Configuração de filtro de firewall independente de protocolo para espelhamento de portas

Em roteadores da Série MX com MPCs, você pode configurar um filtro de firewall para espelhar pacotes de Camada 2 e Camada 3 em nível global e em um nível de instância. Quando o espelhamento de porta está configurado na entrada ou saída, o pacote que entra ou sai de uma interface é copiado e as cópias são enviadas para a interface local para monitoramento local.

Nota:

A começar pelo Junos OS Release 13.3R6, somente interfaces MPC são family any suportadas para espelhamento de portas. DPC interfaces não são family any suportadas.

Normalmente, o filtro de firewall é configurado para espelhar pacotes de Camada 2 ou Camada 3 com base na família configurada na interface. No entanto, no caso de uma interface integrada de roteamento e conexão (IRB), os pacotes de Camada 2 não são totalmente espelhados porque as interfaces IRB estão configuradas para espelhar apenas pacotes de Camada 3. Nessa interface, você pode configurar um filtro de firewall e parâmetros de espelhamento de porta na família para garantir que um pacote seja completamente espelhado, independentemente de ser um pacote de Camada 2 ou Camada any 3.

Nota:
  • Para espelhamento de portas em uma instância, você pode configurar uma ou mais famílias, como, e ao mesmo inetinet6cccvpls tempo, na mesma instância.

  • No caso do espelhamento da porta de Camada 2, as tags VLAN MPLS os cabeamentos estão retidos e podem ser vistos na cópia espelhada na saída.

  • Para a normalização de VLAN, as informações antes da normalização são vistas como um pacote espelhado na entrada. Da mesma forma, na saída, as informações após a normalização são vistas para o pacote espelhado.

Antes de começar a configurar o espelhamento de portas, você deve configurar interfaces físicas válidas.

Para configurar um filtro de firewall independente de protocolo para espelhamento de portas:

  1. Configure um filtro de firewall global para espelhamento de saída ou tráfego de entrada.
  2. Configure um filtro de firewall para espelhar o tráfego por uma instância.
  3. Configure parâmetros de espelhamento para tráfego de saída e entrada.
  4. Configure parâmetros de espelhamento para uma instância. Nesta configuração, você pode especificar a saída ou o destino dos pacotes de Camada 2 como um grupo de next-hop válido ou uma interface de Camada 2.
  5. Configure o filtro de firewall na interface de entrada ou saída na qual os pacotes são transmitidos.

Exemplo: Espelhamento do tráfego web do funcionário com um filtro de firewall

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch

  • Junos 14.1X53-D20

Visão geral

Neste exemplo, e xe-0/0/0 servem xe-0/0/6 como conexões para computadores de funcionários. A xe-0/0/47 interface está conectada a um dispositivo que executa um aplicativo de analisador.

Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Esse é um uso mais eficiente de sua largura de banda e hardware e pode ser necessário devido a restrições a esses ativos. Este exemplo espelha apenas o tráfego enviado dos computadores dos funcionários para a Web.

Topologia

Figura 1 mostra a topologia de rede, por exemplo.

Figura 1: Exemplo de topologia de rede para espelhamento de portas locaisExemplo de topologia de rede para espelhamento de portas locais

Configurando

Para especificar que o único tráfego espelhado é o tráfego enviado pelos funcionários à Web, realize as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcionar ele para uma instância de espelhamento de portas.

Procedimento

Configuração rápida CLI

Para configurar rapidamente o espelhamento de portas local do tráfego dos computadores dos funcionários destinados à Web, copie os seguintes comandos e os confique em uma janela do terminal do switch:

Procedimento passo a passo

Para configurar o espelhamento de portas local do funcionário ao tráfego da Web a partir das duas portas conectadas aos computadores dos funcionários:

  1. Configure uma instância de espelhamento de porta, incluindo a interface de saída e o endereço IP do dispositivo que executa o aplicativo analisador como o próximo salto. (Configure apenas a saída; a entrada vem do filtro.) Você também deve especificar que o espelhamento é para tráfego IPv4 ( family inet ).

  2. Configure um filtro de firewall IPv4 () chamado que inclui um termo para combinar o tráfego enviado à Web e enviá-lo para a instância family inetwatch-employee de espelhamento de portas. O tráfego enviado para e chegando da subnet corporativa (destino ou endereço de origem) não precisa ser copiado, então primeiro crie outro termo para aceitar esse tráfego antes que ele alcance o termo que envia o tráfego da Web para a 192.0.nn.nn/24 instância:

  3. Configure endereços para as interfaces IPv4 conectadas aos computadores dos funcionários e ao dispositivo analisador:

  4. Aplique o filtro de firewall às interfaces apropriadas como um filtro de entrada:

Resultados

Veja os resultados da configuração:

Verificação

Verificar se o analisador foi criado corretamente

Propósito

Verifique se o analisador foi criado no switch com as interfaces de entrada adequadas e a interface de saída apropriada.

Ação

Você pode verificar se o analisador de espelhamento de portas foi configurado como esperado usando o show forwarding-options port-mirroring comando.

Significado

Essa saída mostra que a instância de espelhamento de porta tem uma razão de 1 (espelhamento de cada pacote, a configuração padrão) e o tamanho máximo do pacote original espelhado (indica todo o 0 pacote). Se o estado da interface de saída estiver baixo ou se a interface de saída não estiver configurada, o valor do estado estará e a instância não será programada para down espelhamento.

Espelhamento de portas de Camada 2 de Interfaces Lógicas do Roteador PE ou do Switch PE

Para um roteador ou switch configurado como um dispositivo de borda do provedor (PE) na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall espelhamento de porta Camada 2 nos seguintes pontos de entrada e saída para espelhar o tráfego entre o roteador ou switch e os dispositivos de borda do cliente (CE), que normalmente também são roteadores e switches de Ethernet.

Tabela 1 descreve as maneiras como você pode aplicar filtros de firewall com espelhamento de portas Camada 2 a um roteador ou switch configurado como um dispositivo PE.

Tabela 1: Aplicação de filtros de firewall de espelhamento de portas de Camada 2 em dispositivos PE

Ponto de aplicação

Escopo do espelhamento

Notas

Detalhes da configuração

Interface lógica voltada para o cliente de entrada

Pacotes originados na rede de um cliente do provedor de serviços, enviados primeiro para um CE e enviados ao lado do dispositivo PE.

Você também pode configurar interfaces Ethernet agregadas entre CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é balanceado de carga em todos os links da interface agregada.

O tráfego recebido em uma interface Ethernet agregada é encaminhado por uma interface diferente com base em uma busca do endereço MAC (DMAC) de destino:

  • Pacotes destinados a um site local são enviados da interface de crianças balanceada por carga.

  • Os pacotes destinados ao site remoto são encapsulados e encaminhados por um caminho comutado por rótulos (LSP).

Consulte Como aplicar o espelhamento de portas de Camada 2 a uma interface lógica.

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configurar uma Instância de Roteamento VPLS e Configurando identificadores de VLAN para domínios de ponte e instâncias de roteamento VPLS.

Interface lógica voltada para o cliente de saída

Pacotes Unicast sendo encaminhados pelo dispositivo PE para outro dispositivo PE.

NOTE:Se você aplicar um filtro de espelhamento de porta à saída para uma interfacelógica, somente os pacotes unicast serão espelhados. Para espelhar pacotes multicast, unicast e broadcast desconhecidos, aplique um filtro à entrada à tabela de inundação de uma instância de roteamento VLAN ou VPLS.

Consulte Como aplicar o espelhamento de portas de Camada 2 a uma interface lógica.

Entrada em uma tabela de encaminhamento de VLAN ou tabela de inundação

Encaminhamento de tráfego ou tráfego de inundação enviado para a VLAN a partir de um CE de segurança.

O encaminhamento e o tráfego de inundação normalmente consistem em pacotes de broadcast, pacotes multicast, pacotes unicast com um endereço MAC de destino desconhecido ou pacotes com uma entrada MAC na tabela de roteamento DMAC.

Consulte Como aplicar o espelhamento de portas de Camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte. Para obter informações sobre comportamento de inundação em VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

Entrada em uma Tabela de Encaminhamento de Instância de VPLS ou Tabela de Inundação

Encaminhamento de tráfego ou tráfego de inundação enviado para a instância de roteamento VPLS de um CE de segurança.

Consulte Como aplicar o espelhamento de portas de Camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS. Para obter informações sobre comportamento de inundação em VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

Espelhamento de portas de Camada 2 de Interfaces Ethernet Agregadas do Roteador PE ou do Switch PE

Uma interface Ethernet agregada é um enlace agregado virtual que consiste em um conjunto de interfaces físicas da mesma velocidade e funcionando no modo de conexão full-duplex. Você pode configurar interfaces Ethernet agregadas entre CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é balanceado de carga em todos os links da interface agregada. Se um ou mais links na interface agregada falharem, o tráfego será comutado para os links restantes.

Você pode aplicar um filtro de firewall com espelhamento de portas Camada 2 a uma interface Ethernet agregada para configurar o espelhamento de portas na interface dos pais. No entanto, se quaisquer interfaces crianças estão ligadas a diferentes instâncias de espelhamento de porta Camada 2, os pacotes recebidos nas interfaces crianças serão espelhados aos destinos especificados por suas respectivas instâncias de espelhamento de porta. Assim, várias interfaces de crianças podem espelhar pacotes para vários destinos.

Por exemplo, imagine que a instância da interface Ethernet agregada pelos pais ae0 tenha duas interfaces crianças:

  • xe-2/0/0

  • xe-3/1/2

Imagine que essas interfaces de crianças estão ligadas a duas instâncias diferentes de espelhamento de portas Camada ae0 2:

  • pm_instance_A— Uma instância nomeada de espelhamento de portas Camada 2, ligada à interface de xe-2/0/0 crianças.

  • pm_instance_B— Uma instância nomeada de espelhamento de portas Camada 2, ligada à interface de xe-3/1/2 crianças.

Agora imagine que você aplique um filtro de firewall com espelhamento de portas Camada 2 ao tráfego de Camada 2 enviado (unidade lógica na instância da ae0.00 interface Ethernet 0 agregada). Isso permite o espelhamento de porta , que tem o seguinte efeito no processamento do tráfego recebido nas interfaces crianças para as quais as propriedades de espelhamento de porta Camada 2 são ae0.0 especificadas:

  • Os pacotes recebidos são espelhados para as interfaces de xe-2/0/0 saída configuradas na instância de espelhamento de pm_instance_A porta.

  • Os pacotes recebidos são espelhados para as interfaces de xe-3/1/2.0 saída configuradas na instância de espelhamento de pm_instance_B porta.

Como e pode especificar diferentes propriedades de seleção de pacotes ou espelhar propriedades de destino, os pacotes são recebidos e podem espelhar diferentes pacotes pm_instance_Apm_instance_B para diferentes xe-2/0/0xe-3/1/2.0 destinos.

Aplicar o espelhamento de portas de Camada 2 a uma interface lógica

Você pode aplicar um filtro de firewall com espelhamento de porta 2 na entrada ou na saída de uma interface lógica, incluindo uma interface lógica Ethernet agregada. Somente pacotes da família do tipo de endereço especificados pela ação do filtro são espelhados.

Antes de começar, complete a seguinte tarefa:

  • Defina um filtro de firewall com espelhamento de porta 2 para ser aplicado à entrada de uma interface ou saída lógica a uma interface lógica. Para obter detalhes, consulte Como definir um filtro de firewall com espelhamento de portas camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de portas Camada 2: um filtro aplicado ao tráfego de entrada da interface lógica e um filtro aplicado ao tráfego de saída da interface lógica.

Para aplicar um filtro de firewall com espelhamento de portas Camada 2 a uma interface lógica de entrada ou saída:

  1. Configure a interface física subjacente para a interface lógica.

    1. Habilitar a configuração da interface física subjacente:

      Nota:

      Um filtro de firewall com espelhamento de portas também pode ser aplicado a uma interface lógica agregada-Ethernet.


    2. Para interfaces Ethernet rápidas e Gigabit Ethernet e interfaces Ethernet agregadas configuradas para VPLS, possibilite a recepção e transmissão de quadros com tags VLAN 802.1Q na interface:


    3. Para interfaces Ethernet que tenham sido habilitadas para IEEE 802,1Q VLAN, que devem aceitar pacotes que transportam TPID 0x8100 ou um TPID definido pelo usuário, deem o tipo de encapsulamento da camada de enlace lógico:

  2. Configure a interface lógica à qual deseja aplicar um filtro de firewall com espelhamento de portas Camada 2.

    1. Especifique o número da unidade lógica:


    2. Para uma interface Ethernet rápida, Gigabit Ethernet ou Ethernet agregada, vincular uma ID de tags VLAN 802.1Q à interface lógica:

  3. Habilitar a especificação de um filtro de entrada ou saída a ser aplicado a pacotes de Camada 2 que fazem parte do domínio de conexão, comutação de Camada 2 de conexão cruzada ou serviço de LAN privada virtual (VPLS).
    • Caso o filtro seja avaliado quando os pacotes são recebidos na interface:

    • Caso o filtro seja avaliado quando os pacotes são enviados na interface:

    O valor da opção da família pode ethernet-switchingccc ser, ou vpls .

    Nota:

    Caso filtros de firewall com espelhamento de porta sejam aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para impedir que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, inclua a instrução opcional mirror-once no nível [edit forwarding-options] da hierarquia.

  4. Verificar a configuração mínima para aplicar um filtro de firewall de espelhamento de portas camada 2 nomeado a uma interface lógica:

Aplicar o espelhamento de portas de Camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte

Você pode aplicar um filtro de firewall com espelhamento de portas Camada 2 ao tráfego que está sendo encaminhado ou inundado para um domínio de ponte. Somente pacotes do tipo de família especificado e encaminhados ou inundados para esse domínio de ponte são espelhados.

Antes de começar, complete a seguinte tarefa:

  • Defina um filtro de firewall com espelhamento de portas Camada 2 a ser aplicado ao tráfego que está sendo encaminhado a um domínio da ponte ou inundado para um domínio de ponte. Para obter detalhes, consulte Como definir um filtro de firewall com espelhamento de portas camada 2.

    Nota:

    Esta tarefa de configuração mostra dois Layer_2 de firewall com espelhamento de portas: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento do domínio da ponte e um filtro aplicado ao tráfego de entrada na tabela de inundação do domínio da ponte.

Para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação de um domínio de ponte:

  1. Habilitar a configuração do nome do domínio da ponte com o qual você deseja aplicar um filtro de firewall de espelhamento de porta Camada 2 para tráfego encaminhado ou inundado:
    • Para um domínio de ponte:

    • Para um domínio de ponte em uma instância de roteamento:

      Para obter informações de configuração mais detalhadas, consulte Configurar uma instância de roteamento VPLS.

  2. Configure o domínio da ponte:

    Para informações de configuração detalhadas, consulte Configurando um domínio de ponte e configurando identificadores de VLAN para domínios de ponte e instâncias de roteamento VPLS.

  3. Habilitar a configuração do encaminhamento de tráfego no domínio da ponte:
  4. Aplique um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento do domínio da ponte ou à tabela de inundação.
    • Para espelhar pacotes sendo encaminhados para o domínio da ponte:

    • Para espelhar pacotes sendo inundados para o domínio da ponte:

  5. Verificar a configuração mínima para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação do domínio da ponte.

    1. Navegar até o nível da hierarquia no qual o domínio da ponte está configurado:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações do domínio da ponte:

Aplicar o espelhamento de porta de Camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS

Você pode aplicar um filtro de firewall com espelhamento de portas Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma instância de roteamento VPLS. Somente pacotes do tipo da família especificada e encaminhados ou inundados para essa instância de roteamento VPLS são espelhados.

Antes de começar, complete a seguinte tarefa:

  • Defina um filtro de firewall com espelhamento de porta 2 de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado a uma instância de roteamento VPLS ou inundado para uma VLAN. Para obter detalhes, consulte Como definir um filtro de firewall com espelhamento de portas camada 2.

    Nota:

    Esta tarefa de configuração mostra dois Layer_2 de firewall com espelhamento de portas: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento da instância de roteamento VPLS e um filtro aplicado ao tráfego de entrada da tabela de inundação da instância de roteamento VPLS.

Para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação de uma instância de roteamento VPLS:

  1. Habilitar a configuração da instância de roteamento VPLS na qual você deseja aplicar um filtro de firewall de espelhamento de porta Camada 2 para tráfego encaminhado ou inundado:

    Para obter informações de configuração mais detalhadas, consulte Configurar uma instância de roteamento VPLS.

  2. Habilitar a configuração do encaminhamento de tráfego na instância de roteamento VPLS:
  3. Aplique um filtro de firewall com espelhamento de porta 2 na tabela de encaminhamento de instâncias de VPLS ou na tabela de inundação.
    • Para espelhar pacotes sendo encaminhados para a instância de roteamento VPLS:

    • Para espelhar pacotes sendo inundados até a instância de roteamento VPLS:

  4. Verificar a configuração mínima para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação da instância de roteamento VPLS:

Aplicar o espelhamento de porta de Camada 2 ao tráfego encaminhado ou inundado para uma VLAN

Você pode aplicar um filtro de firewall com espelhamento de portas Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma VLAN. Somente pacotes do tipo de família especificado e encaminhados ou inundados para esse VLAN são espelhados.

Antes de começar, complete a seguinte tarefa:

  • Defina um filtro de firewall com espelhamento de porta 2 para ser aplicado ao tráfego que está sendo encaminhado a uma VLAN ou inundado para uma VLAN. Para obter detalhes, consulte Como definir um filtro de firewall com espelhamento de portas camada 2.

    Nota:

    Esta tarefa de configuração mostra dois Layer_2 de firewall com espelhamento de portas: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento VLAN e um filtro aplicado ao tráfego de entrada da tabela de inundação VLAN.

Para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação de uma VLAN:

  1. Habilitar a configuração da VLAN à qual você deseja aplicar um filtro de firewall com espelhamento de portas Camada 2 para tráfego encaminhado bridge-domain-name ou inundado:
    • Para uma VLAN:

    • Para uma VLAN em uma instância de roteamento:

      Para obter informações de configuração mais detalhadas, consulte Configurar uma instância de roteamento VPLS.

  2. Configure o VLAN:

    Para obter informações de configuração mais detalhadas, consulte Configurando um domínio de ponte e configurando identificadores de VLAN para domínios de ponte e instâncias de roteamento VPLS.

  3. Habilitar a configuração do encaminhamento de tráfego na VLAN:
  4. Aplique um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação VLAN.
    • Para espelhar pacotes sendo encaminhados para a VLAN:

    • Para espelhar pacotes sendo inundados até a VLAN:

  5. Verificar a configuração mínima para aplicar um filtro de firewall com espelhamento de portas Camada 2 à tabela de encaminhamento ou à tabela de inundação do VLAN.

    1. Navegar até o nível da hierarquia no qual a VLAN está configurada:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações de VLAN:

Exemplo: Espelhamento de portas de Camada 2 em uma interface lógica

As etapas a seguir descreverão um exemplo em que a instância global de espelhamento de portas e um filtro de firewall com espelhamento de porta são usados para configurar o espelhamento de portas de Camada 2 para a entrada em uma interface lógica.

  1. Configure o VLAN, que contém o analisador de pacotes externos, e o VLAN, que contém a origem e o destino do tráfego example-bd-with-analyzerexample-bd-with-traffic de Camada 2 espelhados:

    Assuma que a interface lógica está associada a um analisador de tráfego externo que deve receber pacotes ge-2/0/0.0 espelhados por porta. Assuma que as interfaces lógicas e as portas de entrada e saída de tráfego ge-2/0/6.0ge-3/0/1.2 serão, respectivamente.

  2. Configure o espelhamento de porta Camada 2 para a instância global, sendo o destino do espelhamento de porta a interface VLAN associada ao analisador externo (interface lógica em ge-2/0/0.0example-bd-with-analyzer VLAN). Ative a opção que permite aplicar filtros a esse destino de espelhamento de portas:

    A instrução em nível de hierarquia especifica que a amostra começa a cada dez pacotes e que cada um dos cinco primeiros pacotes selecionados deve input[edit forwarding-options port-mirroring] ser espelhado.

    A instrução em nível de hierarquia especifica a interface espelhada de saída para pacotes output[edit forwarding-options port-mirroring family ethernet-switching] de Camada 2 em um ambiente de ponte:

    • A interface lógica, associada ao analisador de pacotes ge-2/0/0.0 externo, está configurada como o destino do espelhamento de portas.

    • A no-filter-check instrução opcional permite que os filtros sejam configurados nesta interface de destino.

  3. Configure o filtro de firewall com espelhamento de portas Camada example-bridge-pm-filter 2:

    Quando esse filtro de firewall é aplicado à entrada ou saída de uma interface lógica para tráfego em um ambiente de ponte, o espelhamento de portas da Camada 2 é realizado de acordo com as propriedades de amostra de pacotes de entrada e propriedades de destino espelhada configuradas para a instância global de espelhamento de portas Camada 2. Como esse filtro de firewall está configurado com a ação de filtro única e padrão, todos os pacotes selecionados pelas propriedades ( = e = ) corresponderão acceptinput a esse rate10run-length5 filtro.

  4. Configure as interfaces lógicas:

    Os pacotes recebidos na interface ge-2/0/6.0 lógica em VLAN example-bd-with-traffic são avaliados pelo filtro de firewall de espelhamento de example-bridge-pm-filter portas. O filtro de firewall atua no tráfego de entrada de acordo com as ações de filtro configuradas no próprio filtro de firewall, além das propriedades de amostra de pacotes de entrada e propriedades de destino espelhada configuradas na instância global de espelhamento de portas:

    • Todos os pacotes recebidos ge-2/0/6.0 são encaminhados para o destino normal (assumido) na interface ge-3/0/1.2 lógica.

    • Para cada dez pacotes de entrada, as cópias dos cinco primeiros pacotes nessa seleção são encaminhadas ao analisador externo na interface lógica ge-0/0/0.0 da outra VLAN, example-bd-with-analyzer .

    Se você configurar o filtro de firewall de espelhamento de porta para fazer a ação em vez da ação, todos os pacotes originais serão descartados enquanto as cópias dos pacotes selecionados usando as propriedades de espelhamento de porta globais são enviadas ao analisador example-bridge-pm-filterdiscardacceptinput externo.

Exemplo: Espelhamento de portas de Camada 2 para uma VPN de Camada 2

O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de porta em uma L2VPN usando family ccc .

  1. Configure o port-mirror-bd VLAN, que contém o analisador de pacotes externo:

  2. Configure o CCC de VPN de Camada 2 para conectar interface lógica ge-2/0/1.0 e interface ge-2/0/1.1 lógica:

  3. Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface lógica ge-2/2/9.0 em VLAN example-bd-with-analyzer ):

  4. Defina o filtro de firewall com espelhamento de portas Camada 2 pm_filter_cccfamily ccc para:

  5. Aplique a instância do espelhamento de porta ao chassi:

  6. Configure a interface ge-2/2/9 para as VLANs e configure a interface ge-2/0/1 para espelhamento de portas com o pm_filter_ccc filtro de firewall:

Tabela de histórico de liberação
Versão
Descrição
13.3R6
A começar pelo Junos OS Release 13.3R6, somente interfaces MPC são family any suportadas para espelhamento de portas.