NESTA PÁGINA
Exemplo: Solução de ingresso/saída para um dispositivo spine de malha EVPN-VXLAN ERB
Exemplo: solução de ingresso para um dispositivo leaf de malha EVPN-VXLAN ERB
Exemplo: habilite uma instância de espelhamento remoto em uma interface ESI-LAG
Exemplo: habilite uma instância de analisador remoto em uma interface ESI-LAG
Como configurar o espelhamento remoto de portas para malhas EVPN-VXLAN
Sobre este exemplo de configuração de rede
Este exemplo de configuração de rede (NCE) mostra como configurar o espelhamento remoto de portas para malhas EVPN-VXLAN. O espelhamento de porta copia um fluxo de tráfego e o envia para uma estação de monitoramento remoto (RMON) usando um túnel GRE. Assim como o ERSPAN, o espelhamento remoto de portas do tráfego de locatários com encapsulamento VXLAN é frequentemente usado no ambiente de data center para resolução de problemas ou monitoramento.
Demonstramos como adicionar espelhamento remoto de porta em switches lean spine e nos dispositivos leaf com roteamento de borda em uma malha EVPN-VXLAN. Nossa malha amostral é baseada em uma arquitetura de ponte com roteamento de borda (ERB). O espelhamento da porta VXLAN também é suportado em malhas de ponte com roteamento central (CRB).
Veja também
Visão geral do caso de uso
- Espelhamento remoto de portas e malhas EVPN-VXLAN
- Métodos de espelhamento de porta: instância do analisador e instância de espelhamento de porta
Espelhamento remoto de portas e malhas EVPN-VXLAN
O espelhamento remoto da porta copia um fluxo de tráfego e entrega o tráfego espelhado a um ou mais hosts de destino espelhados. O fluxo de tráfego é identificado pela interface de entrada ou saída, em alguns casos usando um filtro de firewall para aumentar a granularidade. Os hosts de destino de espelhamento são conectados a um switch leaf que faz parte da mesma malha que o switch de origem.
Para malhas IP EVPN-VXLAN, o fluxo de tráfego espelhado é encapsulado em encapsulamento de roteamento genérico (GRE) e entregue através da malha IP underlay ao endereço IP do host de monitoramento. Você usa este host como uma estação de monitoramento para capturar e decodificar o fluxo de tráfego.
Espelhamento remoto de porta com um túnel GRE é uma combinação perfeita para malhas IP como EVPN-VXLAN, porque você pode conectar a estação de monitoramento a qualquer switch leaf na malha anunciando a sub-rede do host na subjacência EBGP. Além disso, o switch de destino conectado à estação de monitoramento não precisa realizar o des encapsulamento GRE antes de entregar o fluxo GRE à estação de monitoramento. O túnel GRE pode atravessar vários nós IP intermediários ou ser enviado para fora da malha.
Métodos de espelhamento de porta: instância do analisador e instância de espelhamento de porta
Dois métodos estão disponíveis para espelhamento de porta: uma instância de analisador e uma instância de espelhamento de porta. Cada abordagem oferece vantagens diferentes e é compatível com arquiteturas diferentes. Em ambos os casos, o túnel GRE para fins de espelhamento é criado automaticamente, portanto não há necessidade de configurar um túnel GRE.
A instância do analisador é o espelhamento de porta sem nenhum critério de filtragem. Um analisador é a forma mais simples de espelhamento de tráfego a ser implementada. Você só precisa especificar a interface que é a fonte do tráfego espelhado e se o tráfego a ser espelhado nessa interface é saída, entrada ou ambos. Você também especifica o endereço IP para o destino do tráfego espelhado. Não há necessidade de configurar ou aplicar um filtro de firewall.
Como a instância do analisador não é específica do locatário, ela é a melhor abordagem quando você não tem informações sobre o fluxo de locatários.
A instância de espelhamento de portas usa critérios específicos do tráfego do locatário para espelhar o tráfego. O administrador da malha decide qual endereço IP de origem tenant específico, protocolo, porta ou assim por diante, é de interesse na interface que está sendo espelhada. Use uma instância de espelhamento de porta quando o tráfego específico precisar ser espelhado.
A Juniper Networks oferece suporte a três arquiteturas principais de data center. Todos suportam espelhamento remoto de porta. Para cada arquitetura, recomendamos o seguinte método de espelhamento de portas:
-
Overlay bridged: instância do analisador
-
Ponte com roteamento central (CRB): instância de espelhamento de portas
-
Ponte com roteamento de borda (ERB): instância de espelhamento de porta
Visão geral técnica
- Espelhamento remoto de porta em uma malha EVPN-VXLAN ERB
- Espelhamento remoto de portas com switches da Série QFX
Espelhamento remoto de porta em uma malha EVPN-VXLAN ERB
Este NCE abrange espelhamento remoto de porta para uma arquitetura ERB com um spine enxuto.
Em uma malha EVPN-VXLAN ERB com spine enxuto, fluxos internos específicos de locatários não podem ser enviados seletivamente para o túnel. Apenas a filtragem externa baseada em cabeçalho (underlay) é suportada em um dispositivo spine enxuto. Por exemplo, um switch spine pode filtrar os pacotes provenientes de um endereço de loopback IPv4 de origem específica e enviar o tráfego para a estação de monitoramento conectada a outro dispositivo leaf usando o túnel GRE.
O espelhamento remoto de porta com GRE para fluxo específico de locatários é suportado em dispositivos leaf em uma arquitetura ERB. Nesse caso, você pode implementar o filtro de espelhamento de porta remota na interface integrada de roteamento e ponte (IRB) para espelhar o tráfego inter-VLAN (roteado). Para espelhar o tráfego intra-VLAN (em ponte), aplique um filtro de interface na interface de entrada anexada ao dispositivo de servidor ou host.
Em ambos os métodos, spine ou leaf, o tráfego espelhado flui para o analisador remoto em um túnel GRE.
Espelhamento remoto de portas com switches da Série QFX
Nos exemplos a seguir, demonstramos diferentes maneiras de usar o espelhamento remoto de portas para uma arquitetura ERB baseada em switches da Série QFX.
Os switches QFX5110 e QFX5120 funcionam bem como dispositivos leaf em uma arquitetura de data center de referência ERB, porque esses modelos podem realizar roteamento entre identificadores de rede (VNI).
A Tabela 1 mostra o suporte do tipo instância de espelhamento de porta para vários casos de uso ao usar switches QFX10002 e QFX10008. A Tabela 2 mostra o mesmo ao usar switches QFX5110 e QFX5120.
| Caso de uso |
Caso de subuso |
Instância do analisador |
Instância de espelhamento de porta |
|---|---|---|---|
| Spine fornecendo trânsito IP |
Ingresso de leaf a spine |
Suportado |
Suportado |
| Saída da spine para a folha |
Suportado |
Suportado |
|
| Spine em um cenário de CRB |
Ingresso da IRB que encerra o tráfego |
Apenas interfaces ge, xe, et ae são suportadas |
Não suportado |
| Saída de IRB que encerra o tráfego |
Apenas interfaces ge, xe, et ae são suportadas |
Não suportado |
|
| Encapsulamento de borda |
Acesso à entrada do ESI-LAG |
Suportado |
Suportado |
| Des encapsulamento de borda |
Saída da malha |
Não suportado |
Não suportado |
| Caso de uso |
Caso de subuso |
Instância do analisador |
Instância de espelhamento de porta |
|---|---|---|---|
| Lean spine fornecendo trânsito IP |
Ingresso de leaf a spine |
Suportado |
Suportado |
| Saída da spine para a folha |
Suportado |
Não suportado |
|
| Leaf em um cenário de ERB |
Ingresso da IRB que encerra o tráfego |
Apenas interfaces ge, xe, et ae são suportadas |
Suportado |
| Saída de IRB que encerra o tráfego |
Apenas interfaces ge, xe, et ae são suportadas |
Não suportado |
|
| Encapsulamento de borda |
Acesso à entrada do ESI-LAG |
Suportado |
Suportado |
| Saída de acesso do ESI-LAG |
Suportado |
Não suportado |
|
| Des encapsulamento de borda |
Entrada da malha |
Não suportado |
Não suportado |
| Saída da malha |
Não suportado |
Não suportado |
Todos os switches QFX neste exemplo executam o Junos OS Release 18.4R2 ou superior. Os switches QFX5110 e QFX5120 que executam o Junos OS Release 18.4R2 oferecem suporte a esses números de escalabilidade:
-
Sessões de analisador padrão: 4
-
Sessões de espelhamento de porta: 3 sessões de espelhamento de portas + 1 sessão global de espelhamento de portas
Esta NCE abrange os seguintes casos de uso:
-
Exemplo: a solução de ingresso/saída para um dispositivo spine de malha EVPN-VXLAN ERB mostra como espelhar o tráfego de entrada e saída por meio de um dispositivo spine enxuto em uma malha ERB.
-
Exemplo: a solução de ingresso para um dispositivo EVPN-VXLAN ERB Fabric Leaf demonstra como espelhar o tráfego de entrada por meio de um dispositivo leaf em um cenário de ERB.
-
Exemplo: habilitar uma instância de espelhamento remoto em uma interface ESI-LAG mostra como usar uma instância de espelhamento de porta ou uma instância de analisador no caso de uso do encapsulamento da borda para acessar o tráfego de entrada e saída por meio de uma interface ESI-LAG.
-
Exemplo: habilitar uma instância de analisador remoto em uma interface ESI-LAG mostra como usar uma instância do analisador para espelhar o tráfego de entrada e saída por meio de uma interface ESI-LAG.
Use os procedimentos descritos nesses exemplos para permitir o espelhamento remoto de portas para seu caso de uso específico.
Topologia
Requisitos
Este exemplo de configuração usa os seguintes dispositivos que executam o Junos OS Release 18.4R2 ou superior. Este exemplo foi validado novamente nos switches QFX que executam o Junos 22.2R1.
-
Dois switches QFX5110 como dispositivos lean spine.
-
Um switch QFX10002 como um dispositivo leaf de borda.
-
Dois switches QFX5110 ou 5120 como servidor Leaf 1 e dispositivos Leaf 2 do servidor.
-
Um QFX10002 como servidor Leaf 4. Se desejado, você pode usar um QFX5110 ou QFX5120 em vez de um QFX10002.
-
Dois servidores que enviam e recebem tráfego pela malha EVPN-VXLAN.
-
Uma estação de monitoramento equipada com um aplicativo de analisador. Neste exemplo, usamos Wireshark.
Topologia da linha de base
Esta NCE se concentra em como adicionar diferentes tipos de espelhamento de porta a uma malha EVPN-VXLAN existente. A Figura 1 detalha a topologia da linha de base para todos os exemplos a seguir.
Spines 1 e 2 são dispositivos spines enxutos que não executam nenhum encapsulamento ou des encapsulamento VXLAN. Servidores 1 e 2 compartilham VLAN 101 e a sub-rede 10.1.101.0/24. O servidor 1 começa em casa única para o Leaf 1. Em seções posteriores, o conectamos ao Leaf 2 para formar uma interface ESI-LAG. Servidor 2 conectado ao Leaf 4. O Leaf 3 funciona como uma folha de borda. Sua configuração é a mesma usada nas folhas de servidor. Observe que, neste exemplo, o Leaf 4 é um switch QFX10000 conectado ao dispositivo analisador na interface xe-0/0/33:1.
A topologia oferece suporte a multihoming com ESI-LAG entre Servidor 1 e Leaves 1 e 2. Nem todos os cenários nesta NCE usam esse recurso multihomed. Para as configurações completas do dispositivo inicial, consulte o Apêndice: Configurações completas do dispositivo.
Exemplo: Solução de ingresso/saída para um dispositivo spine de malha EVPN-VXLAN ERB
Visão geral
Neste exemplo, habilitamos o espelhamento remoto de porta em um switch spine enxuto. O tráfego espelhado é enviado através de um túnel GRE para a estação de monitoramento remoto. Este caso de uso é baseado no método de instância de espelhamento de porta.
Este exemplo usa uma arquitetura EVPN-VXLAN ERB na qual ocorre o roteamento de identificador de rede inter-virtual (VNI) unicast nos dispositivos leaf. Os dispositivos lean spine não terminam nenhum túnel VXLAN. Eles fornecem encaminhamento ip e, no caso de um overlay baseado em IBGP, recursos de reflexão de rotas. Nosso overlay é baseado em EBGP, por isso não usamos o reflexão de rotas.
Essa configuração espelha todo o tráfego enviado entre os dispositivos leaf. A estação de monitoramento captura tráfego intra-VLAN (ponte) e inter-VLAN (roteado) para todas as VLANs nas folhas. As informações específicas do locatário não são fornecidas nos dispositivos lean spine, mas você pode habilitar as sessões de espelhamento no lean spine.
Esteja ciente da capacidade da porta do analisador. Uma grande quantidade de tráfego passa pela porta do analisador porque você está espelhando todo o tráfego de overlay enviado entre o pareamento leaf. Os dispositivos leaf são conectados à spine com duas interfaces 40GE, de modo que eles têm a capacidade de transportar grandes volumes de tráfego. Os switches têm recursos de buffer limitados. As quedas de quadro ocorrem se você espelhar mais tráfego do que a estação de monitoramento suporta.
Para adicionar capacidade, use uma interface Ethernet agregada com vários membros do link. Reduza a carga de tráfego realizando espelhamento nos dispositivos leaf e espelhando seletivamente o tráfego para apenas determinados locatários.
Topologia
Este exemplo de configuração usa os componentes de hardware e software mostrados nos Requisitos. Os dispositivos da topologia começam com suas configurações de linha de base conforme fornecido no Apêndice: Configurações completas de dispositivos.
Como mostrado na Figura 2, o Spine 1 espelha o tráfego de overlay de entrada e saída que flui entre Leaf 1 e Leaf 4 por meio de um filtro de firewall aplicado à sua interface et-0/0/7. Essa interface se conecta ao servidor Leaf 1. O tráfego de overlay é gerado pelo envio de tráfego de ping entre o Servidor 1 e o Servidor 2. O tráfego espelhado é enviado pelo Spine 1 para a estação de monitoramento remoto conectada à interface xe-0/33:1 na borda Leaf 3.
spine
A spine usa um túnel GRE para enviar o tráfego espelhado para a estação de monitoramento. O GRE é necessário, pois o tráfego espelhado pode ser a Camada 2 ou a Camada 3 de sobreposição e, portanto, não pode ser direcionado roteado sobre a camada inferior da malha. O túnel GRE se forma automaticamente quando a acessibilidade de IP em direção à sub-rede de monitoramento 172.16.1.0/24 é estabelecida por meio da subjacência.
O servidor 1 é um único lar do Leaf 1 neste cenário.
Configuração
Use este exemplo para espelhar o tráfego que passa pelo Spine 1. Para espelhar todo o tráfego, repita a configuração no Spine 2. Quando o espelhamento de porta é configurado nos Spines 1 e 2, o tráfego é espelhado independentemente de qual malha ECMP next hop é selecionada pelo leaf.
-
(Opcional) Desativar o BGP no Spine 2. Para nossos fins de teste, desativamos a estrofe BGP no Spine 2. Dessa forma, podemos nos concentrar apenas no Spine 1 e garantir que todo o tráfego entre Leaf 1 e Leaf 4 seja espelhado.
user@spine2# deactivate protocols bgp user@spine2# commit
Depois de desativar o BGP no Spine 2, o Leaf 1 tem um único próximo salto para chegar ao loopback do Leaf 4. Isso é através do Spine 1 por meio de sua interface et-0/0/48.
user@leaf1> show route 10.1.255.14 inet.0: 11 destinations, 12 routes (11 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.1.255.14/32 *[BGP/170] 04:10:11, localpref 100 AS path: 65001 65014 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0 -
Crie uma instância de espelhamento no Spine 1 para enviar o tráfego espelhado para a estação de monitoramento remota.
user@spine1# set forwarding-options port-mirroring instance mirror-leaf1-and-leaf4 family inet output ip-address 172.16.1.2
-
Spines enxutos não são conscientes de sobreposição em uma malha ERB. Todo o tráfego encapsulado por VXLAN enviado entre dispositivos leaf usa o endereço VTEP local. O endereço VTEP normalmente combina com o endereço de loopback do dispositivo. Isso significa que podemos usar um filtro nos dispositivos spine para combinar nos endereços de loopback dos dispositivos leaf relacionados para direcionar o tráfego para a instância de espelhamento da porta.
No Spine 1, crie filtros de firewall que correspondam aos endereços IP de origem e destino do Leaf 1 e Leaf 4. Ao combinar o IP de origem e destino, todo o tráfego de sobreposição enviado entre essas folhas é espelhado no túnel GRE.
Nota:Como os spines enxutos não têm reconhecimento de VXLAN, esse método espelha todo o tráfego de overlay enviado pelo dispositivo leaf. Por exemplo, se o leaf tiver 100 VLAN ou VXLAN VNIs definidos, o tráfego para todas as 100 VNIs será espelhado. Se você quiser se espelhar em um nível mais fino de granularidade, veja Exemplo: solução de ingresso para um dispositivo EVPN-VXLAN ERB Fabric Leaf. Nesse exemplo, a função espelhada ocorre no dispositivo leaf com reconhecimento de VXLAN.
Defina um filtro de firewall para tráfego enviado do Leaf 1. Em nosso exemplo, todo o tráfego VXLAN enviado pelo Leaf 1 (pelos spines) tem um endereço de origem de 10.1.255.11. Todo o tráfego VXLAN enviado pelo Leaf 4 tem um endereço de origem de 10.1.255.14.
[edit firewall family inet filter port-mirror-from-leaf1] user@spine1# set term term1 from source-address 10.1.255.11/32 user@spine1# set term term1 from destination-address 10.1.255.14/32 user@spine1# set term term1 then count from-leaf1-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
Defina um filtro de firewall para tráfego enviado do Leaf 4.
[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from source-address 10.1.255.14/32 user@spine1# set term term1 from destination-address 10.1.255.11/32 user@spine1# set term term1 then count from-leaf4-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
-
Aplique os filtros de firewall nas interfaces de malha voltadas para Leaf 1 e Leaf 4 no Spine 1.
user@spine1# set interfaces et-0/0/7 unit 0 family inet filter input port-mirror-from-leaf1 user@spine1# set interfaces et-0/0/6 unit 0 family inet filter input port-mirror-from-leaf4
Observe a direcionalidade da aplicação do filtro. Nossos filtros acomodam uma plataforma QFX5110, que oferece suporte apenas a filtros de entrada para espelhamento de porta, conforme a Tabela 2. Ao usar filtros de entrada compatíveis com o VTEP da folha local como endereço de origem e o VTEP da folha remota como endereço de destino, garantimos que apenas o tráfego de sobreposição entre essas duas folhas seja espelhado. Se você quiser espelhar todo o tráfego VXLAN enviado por uma folha, independentemente da folha de destino, basta combinar com o endereço de origem da folha local em seu filtro.
-
(Opcional) Adicione quaisquer filtros adicionais.
Neste exemplo, até agora, assumimos que o Servidor 1 é de casa única apenas para o Leaf 1. Se o servidor for multihomed para Leaf 1 e Leaf 2, você precisa adaptar os filtros mostrados para também pegar o tráfego enviado do Leaf 2 para o Leaf 4, e vice-versa.
Como exemplo, essas declarações criam um filtro de entrada para a interface voltada para o Leaf 2 do Spine 1:
[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from source-address 10.1.255.12/32 user@spine1# set term term1 from destination-address 10.1.255.14/32 user@spine1# set term term1 then count from-leaf2-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
[edit] user@spine1# set interfaces et-0/0/8 unit 0 family inet filter input port-mirror-from-leaf2
Uma rápida modificação no filtro existente
port-mirror-from-leaf4também é necessária para combinar com o endereço de destino do 2 VTEP do Leaf.[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from destination-address 10.1.255.12/32
-
Comprometa as mudanças na Spine 1.
As alterações da linha de base EVPN-VXLAN inicial são mostradas:
user@spine1# show | compare rollback 1 [edit interfaces et-0/0/6 unit 0 family inet] + filter { + input port-mirror-from-leaf4; + } [edit interfaces et-0/0/7 unit 0 family inet] + filter { + input port-mirror-from-leaf1; + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1-and-leaf4 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family inet { + filter port-mirror-from-leaf1 { + term term1 { + from { + source-address { + 10.1.255.11/32; + } + destination-address { + 10.1.255.14/32; + } + } + then { + count from-leaf1-vtep; + port-mirror-instance mirror-leaf1-and-leaf4; + accept; + } + } + term term2 { + then accept; + } + } + filter port-mirror-from-leaf4 { + term term1 { + from { + source-address { + 10.1.255.14/32; + } + destination-address { + 10.1.255.11/32; + } + } + then { + count from-leaf4-vtep; + port-mirror-instance mirror-leaf1-and-leaf4; + accept; + } + } + term term2 { + then accept; + } + } + } + } -
Modifique a configuração no Leaf 3 para configurar a interface xe-0/0/33:1 conectada à estação de monitoramento.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
O dispositivo leaf conectado à estação de monitoramento não precisa de configuração GRE explícita. Isso ocorre porque o túnel GRE termina na estação de monitoramento. Você deve garantir que o endereço IP da estação de monitoramento seja alcançável na camada inferior da malha. De forma diferente, a spine não pode enviar o tráfego encapsulado gre para a estação de monitor se não tiver acessibilidade subjacente à estação de monitoramento.
-
Modifique a política de exportação de underlay na borda Leaf 3 para anunciar o prefixo da estação de monitoramento. Nossa topologia usa um underlay EBGP. Nós simplesmente adicionamos um novo termo à política de exportação subjacente existente.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Comprometa as mudanças no Leaf 3 da borda.
As alterações na linha de base inicial são mostradas:
user@bl-leaf3# show | compare rollback 1 [edit interfaces] + xe-0/0/33:1 { + unit 0 { + family inet { + address 172.16.1.1/24; + } + } + } [edit policy-options policy-statement send-direct] term 1 { ... } + term 2 { + from { + protocol direct; + route-filter 172.16.1.0/24 exact; + } + then accept; + }
Verificação
-
Verifique a conectividade subjacente desde o Spine 1 até a estação de monitoramento.
Na Spine 1, exibir a rota para 172.16.1.0/24.
user@spine1> show route 172.16.1.0/24 inet.0: 16 destinations, 17 routes (16 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 00:32:00, localpref 100 AS path: 65013 I, validation-state: unverified > to 10.1.13.2 via et-0/0/5.0Nota:Estritamente falando, é necessária apenas uma conectividade simples entre a spine e a estação de monitoramento. Configuramos uma rota estática na estação de monitoramento para permitir que ela chegue à camada inferior da malha. Isso permite o teste de ping para isolamento de falhas.
Ping na estação de monitoramento para confirmar a conectividade.
user@spine1> ping 172.16.1.2 count 2 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=63 time=1.116 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=63 time=1.046 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.046/1.081/1.116/0.035 ms
A saída confirma a capacidade de alcance do underlay esperada da spine até a estação de monitoramento.
- Confirme as instâncias de espelhamento de porta no Spine 1. Na Spine 1, verifique se o estado de espelhamento remoto da porta é
up.user@spine1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1-and-leaf4 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 .local..0A saída confirma a definição correta da instância de espelhamento de porta. O estado indica
upque a spine tem uma rota subjacente até a estação de monitoramento. Lembre-se que o GRE é um protocolo stateless. É por isso que é uma boa ideia verificar a conectividade entre a spine e a estação de monitoramento, como fizemos na etapa anterior. -
Verifique se os filtros aplicados ao Spine 1 refletem corretamente o tráfego de teste.
Libere os contadores pouco antes de gerar pings.
user@server1> clear firewall all
Inicie pings entre o Servidor 1 e o Servidor 2 na malha.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Agora exibir os contadores de firewall no Spine 1. Verifique se os filtros aplicados ao Spine 1 refletem corretamente o tráfego de teste. Nossa topologia de exemplo tem apenas um VLAN e um par de servidores. Isso torna mais fácil correlacionar o tráfego de teste para filtrar correspondências. Qualquer contagem não zero é um bom sinal de que o filtro está funcionando.
user@spine1> show firewall Filter: port-mirror-from-leaf1 Counters: Name Bytes Packets from-leaf1-vtep 1520 10 Filter: port-mirror-from-leaf4 Counters: Name Bytes Packets from-leaf4-vtep 1520 10
Os contadores de firewall refletem corretamente o tráfego de teste entre os dois servidores.
-
Confirme que o tráfego enviado entre o Servidor 1 e o Servidor 2 é espelhado na Spine 1 e enviado para a estação de monitoramento.
Mais uma vez, gere tráfego entre o Servidor 1 e 2 (não mostrado para brevidade). Use a opção
rapidem seu comando de ping para gerar um volume maior de tráfego de teste que facilita a correlação.O tráfego de interface de monitor conta com a interface na borda leaf 3 que se conecta à estação de monitoramento. Confirme que a contagem de pacotes de saída reflete o tráfego de teste gerado.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]A saída confirma que o tráfego é espelhado na estação de monitoramento. A falta de pacotes de entrada é esperada, pois a estação de monitor não gera respostas ao tráfego GRE recebido.
-
Use Wireshark ou um aplicativo de analisador equivalente para capturar e decodificar o tráfego espelhado.
Figura 3: Análise
de tráfego espelhado
A captura mostra que o Servidor 1 envia tráfego de ping para o Servidor 2, e que o Servidor 2 responde. Isso confirma que o tráfego de sobreposição enviado entre a combinação Leaf 1 e Leaf 4 é corretamente espelhado no Spine 1. Observe que o tráfego encapsulado VXLAN (porta UDP 4789) está, por sua vez, encapsulado em GRE (protocolo IP 47). O tipo de protocolo do cabeçalho GRE é "ERSPAN" (comparável ao espelhamento remoto de portas) e todas as outras bandeiras estão definidas para zero.
O decódigo permite que você veja o VTEP leaf ou endereços de loopback usados na camada inferior (10.1.255.x). Também está presente o quadro de Camada 2 original enviado pelos servidores, agora mostrado como encapsulado no VXLAN usando o VNI 101. O pacote IP enviado pelos servidores também é decodificado. Os endereços IP usados pelos servidores na sobreposição são visíveis (10.1.100.x/24), assim como os detalhes dos pacotes IP/ICMP que geraram.
Você configurou com sucesso o espelhamento de porta em sua topologia.
Exemplo: solução de ingresso para um dispositivo leaf de malha EVPN-VXLAN ERB
Visão geral
Use o exemplo a seguir para espelhar o tráfego que flui por um dispositivo leaf em uma malha EVPN-VXLAN ERB. Ao contrário do cenário de espelhamento de porta com base em spine enxuto coberto pelo primeiro exemplo, o leaf tem reconhecimento de tenant e VLAN em um design ERB. Isso significa que podemos espelhar tráfego específico enviado entre nossos dispositivos leaf em vez de todo o tráfego overlay. Os fluxos de locatário que correspondem aos critérios de filtragem no dispositivo leaf ERB são espelhados em um túnel GRE que termina na estação de monitoramento anexada à borda leaf 3.
Topologia
Este exemplo de configuração usa os componentes de hardware e software mostrados nos Requisitos. Os dispositivos da topologia começam com suas configurações de linha de base conforme fornecido no Apêndice: Configurações completas de dispositivos.
A Figura 4 mostra a topologia para espelhamento remoto de portas com recursos de filtragem de fluxo de tenant.
Leaf
Observe que o Servidor 1 ainda é exclusivo do Leaf 1. A diferença é que os filtros e a instância de espelhamento de porta agora são definidos no dispositivo leaf. O objetivo é combinar todo o tráfego enviado pelo Servidor 1 à sub-rede 10.1.101.0/24 associada ao VLAN 101. O tráfego enviado dos destinos do Servidor 1 para VLAN 101 é compatível e enviado para a estação de espelhamento de portas na borda Leaf 3.
Configuração
No primeiro cenário, desativamos o BGP no Spine 2 para focar no aplicativo de filtro no Spine 1. Nos exemplos restantes, tanto Spine 1 quanto Spine 2 estão totalmente operacionais.
-
Configure uma instância de espelhamento de porta no Leaf 1. Use o endereço IP 172.16.1.2 para a estação de monitoramento.
user@leaf1# set forwarding-options port-mirroring instance mirror-leaf1-v101 family inet output ip-address 172.16.1.2
-
Em seguida, crie um filtro de firewall que corresponda à sub-rede atribuída ao VLAN 101. O objetivo é espelhar todo o tráfego intra-VLAN 101 enviado pelo Servidor 1 até o Leaf 1. Para pegar o tráfego inter-VLAN, especifique a sub-rede do VLAN alvo para o endereço de destino.
[edit firewall family ethernet-switching filter mirror-leaf-1] user@leaf1# set term 1 from ip-source-address 10.1.101.0/24 user@leaf1# set term 1 from ip-destination-address 10.1.101.0/24 user@leaf1# set term 1 then accept user@leaf1# set term 1 then port-mirror-instance mirror-leaf1-v101 user@leaf1# set term 1 then count from-s1-v101 user@leaf1# set term 2 then accept
Nota:Se você quiser espelhar apenas o tráfego roteado (inter-VLAN), use um
family inetfiltro aplicado à interface IRB da VLAN. Apenas uma interface IRB é definida para cada VLAN. Um filtro aplicado à interface IRB da VLAN captura todo o tráfego inter-VLAN para o VLAN associado, independentemente de qual porta do painel frontal o tráfego chega.O método aqui mostrado funciona para tráfego inter-VLAN e intra-VLAN, mas exige que os filtros sejam aplicados a interfaces voltadas para servidores com base em sua assinatura VLAN. Um
inetfiltro aplicado a uma interface IRB não vê tráfego em ponte (intra-VLAN). -
Aplique o filtro de firewall de espelhamento de porta remota na porta de acesso anexada ao Servidor 1 na direção da entrada.
user@leaf1# set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input mirror-leaf-1
Nota:Nos switches QFX5110 e QFX5120, o filtro de firewall não pode ser aplicado na direção de saída ou usado nas interfaces de malha conectadas aos dispositivos spine.
-
O Leaf 3 de borda não precisa ser configurado para realizar o des encapsulamento GRE, já que o túnel GRE termina na estação de monitoramento. No entanto, o Leaf 3 precisa anunciar a alcance da sub-rede da estação de monitoramento na subjacência da malha. Configure o seguinte no Leaf 3 para estabelecer a alcance da estação de monitoramento.
Comece configurando a interface xe-0/0/33:1 conectada à estação de monitoramento.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
-
Modifique a política de exportação de underlay na borda Leaf 3 para anunciar o prefixo da estação de monitoramento. Nossa topologia usa um underlay EBGP. Nós simplesmente adicionamos um novo termo à política de exportação subjacente existente.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Confirmar a configuração.
As mudanças da linha de base inicial são mostradas no Leaf 1.
user@bl-leaf1# show | compare rollback 1 [edit interfaces xe-0/0/0 unit 0 family ethernet-switching] + filter { + input mirror-leaf-1; + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family ethernet-switching { + filter mirror-leaf-1 { + term 1 { + from { + ip-source-address { + 10.1.101.0/24; + } + ip-destination-address { + 10.1.101.0/24; + } + } + then { + accept; + port-mirror-instance mirror-leaf1; + count from-s1; + } + } + term 2 { + then accept; + } + } + } + }Você configurou com sucesso o espelhamento remoto de porta através de um dispositivo leaf em uma malha EVPN-VXLAN ERB.
Verificação
-
Verifique a conectividade underlay do Leaf 1 até a estação de monitor.
No Leaf 1, exibir a rota para 172.16.1.0/24.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Nota:Estritamente falando, é necessária apenas conectividade simples entre a folha e a estação de monitoramento. Configuramos uma rota estática na estação de monitoramento para permitir que ela chegue à camada inferior da malha. Isso permite que o teste de ping ajude no isolamento de falhas.
Ping na estação de monitoramento para confirmar a conectividade.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
A saída confirma a capacidade de alcance de underlay esperada do Leaf 1 até a estação de monitoramento. Precisamos obter o ping do endereço de loopback da leaf porque nossa política de exportação de underlay anuncia apenas a alcance do endereço de loopback. A aquisição do endereço de loopback não era necessária no exemplo de spine enxuto. Isso ocorre porque o spine e o leaf de borda estão diretamente conectados por um enlace de malha. Assim, o leaf de borda é capaz de rotear a resposta de ping de volta para a spine quando ela é originada da interface de malha voltada para o leaf da spine.
-
Confirme a instância de espelhamento de porta no Leaf 1.
No Leaf 1, verifique se o estado de espelhamento remoto da porta é
up.user@leaf1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 et-0/0/48.0A saída confirma a definição correta da instância de espelhamento de porta. O estado indica
upque a leaf tem uma rota subjacente até a estação de monitoramento. Lembre-se que o GRE é um protocolo stateless. É por isso que é uma boa ideia verificar a conectividade entre a folha e a estação de monitoramento, como fizemos na etapa anterior. -
Verificar se o filtro aplicado ao Leaf 1 reflete corretamente o tráfego de teste.
Inicie pings entre o Servidor 1 e o Servidor 2 na malha. Verifique se o filtro aplicado ao Leaf 1 reflete corretamente o tráfego. Nossa topologia de exemplo tem apenas um VLAN e um par de servidores. Isso torna mais fácil correlacionar o tráfego de teste para filtrar correspondências. Qualquer contagem não zero é um bom sinal de que o filtro está funcionando.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Libere os contadores pouco antes de gerar pings.
user@server1> clear firewall all
Agora exibir os contadores de firewall no Spine 1.
user@leaf1> show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 1020 10
Os contadores de firewall refletem corretamente o tráfego de teste entre os dois servidores.
-
Confirme que o tráfego enviado entre o Servidor 1 e o Servidor 2 é espelhado no Leaf 1 para a estação de monitoramento.
Mais uma vez, gere tráfego entre o Servidor 1 e 2 (não mostrado para brevidade). Usamos a opção rápida para o comando de ping para gerar um volume maior de pacotes para facilitar a detecção.
Monitore contadores de tráfego de interface na borda Leaf 3 para verificar se o tráfego de teste está sendo enviado para a estação de monitoramento.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]A saída confirma que o tráfego é espelhado na estação de monitoramento. A falta de pacotes de entrada é esperada porque a estação de monitor não gera respostas ao tráfego GRE que recebe.
-
Use Wireshark ou um aplicativo de analisador equivalente para capturar e decodificar o tráfego espelhado.
Figura 5: Análise
de tráfego espelhado
A captura mostra que o Servidor 1 envia tráfego de ping para o Servidor 2. O tráfego de resposta não é espelhado porque aplicamos nosso filtro na direção de entrada apenas no Leaf 1. Aplique uma instância espelhada de porta semelhante e uma configuração de filtro no Leaf 4 para também espelhar o tráfego de retorno. Lembre-se que, no caso da spine enxuta, o tráfego espelhado mostrou encapsulamento VXLAN. Em nosso caso de leaf ERB, espelhamos o tráfego de Camada 2 antes de ser encapsulado em VXLAN. O filtro usado para espelhar o tráfego é aplicado como um filtro de entrada na interface voltada para o servidor. Na entrada não há encapsulamento VXLAN.
Isso é semelhante ao caso de aplicar o filtro à interface IRB de uma VLAN. No caso da IRB, o tráfego espelhado não contém encapsulamento VXLAN. Os filtros baseados em IRB processam o tráfego inter-VLAN na camada IP. Assim, para o caso do filtro IRB, apenas o tráfego IP de Camada 3 é espelhado.
O decodificado mostra que o túnel GRE está entre o Leaf 1 e a estação de monitoramento através da camada inferior. O quadro Ethernet e o pacote IP relacionado, conforme enviado pelo Servidor 1, são decodificados. Os endereços IP atribuídos aos servidores são visíveis (10.1.100.x/24), assim como os detalhes do pacote IP/ICMP que está sendo gerado pelo Servidor 1.
Você configurou com sucesso o espelhamento de porta em sua topologia.
Exemplo: habilite uma instância de espelhamento remoto em uma interface ESI-LAG
Visão geral
Um identificador de segmento de Ethernet (ESI) é o número exclusivo de 10 byte que identifica um segmento Ethernet em uma malha EVPN-VXLAN conectada ao servidor. A ESI está configurada na interface que se conecta ao servidor. Quando vários links formam um grupo de agregação de enlace (LAG) e são conectados ao servidor, isso forma uma interface ESI-LAG, também conhecida como EVPN LAG. Em alguns casos, você precisará habilitar o espelhamento de porta para todo ou parte do tráfego que entra ou sai da interface ESI-LAG.
Use esta seção para permitir o espelhamento remoto de portas no nível ESI-LAG de uma malha EVPN-VXLAN ERB.
Topologia
Este exemplo de configuração usa os componentes de hardware e software mostrados nos Requisitos. Os dispositivos da topologia começam com suas configurações de linha de base conforme fornecido no Apêndice: Configurações completas de dispositivos.
Nesse caso, modificamos a malha EVPN para oferecer suporte a multihoming do Servidor 1 para as folhas 1 e 2. Fazemos isso usando interfaces ESI-LAG, também conhecidas como EVPN LAG. Consulte as melhores práticas de configuração de EVPN LAG para melhores práticas.
A Figura 6 mostra a topologia para este exemplo. Ambos os spines estão operacionais nesta topologia. O ECMP significa que o Leaf 1 e o Leaf 2 podem enviar tráfego por qualquer dispositivo spine. Para simplificar a ilustração, mostramos o tráfego e os caminhos espelhados com o Spine 1 como foco.
ESI-LAG
Interface ae0.0 é a interface ESI-LAG conectada ao Servidor 1. O servidor 1 é atribuído endereço IP 10.1.101.10/24, e está associado à VLAN 101. O objetivo é filtrar, depois espelhar, o tráfego enviado do Servidor 1 conforme ele passa pelo ae0.0 em cada leaf. O tráfego espelhado é colocado em um túnel GRE e enviado para a estação de monitoramento. Como antes, você deve garantir que a sub-rede da estação de monitoramento seja alcançável na subjacência do EBGP.
Antes de começar
Se você estiver começando a partir da configuração de linha de base mostrada no Apêndice: Configurações completas do dispositivo, siga essas etapas para modificar sua topologia antes de começar.
-
Modifique a configuração do Leaf 1 e leaf 2 para oferecer suporte a um anexo multihomed do Servidor 1. Comece renomeando a interface xe-0/0/0/0 existente para se tornar a nova interface ae0.0. Isso se preocupa com qualquer configuração da interface xe-0/0/0 para economizar algum tempo.
user@leaf1# rename interfaces xe-0/0/0 to ae0 user@leaf1# set interfaces ae0 esi 00:02:02:02:02:02:02:02:00:04 user@leaf1# set interfaces ae0 esi all-active user@leaf1# set interfaces ae0 aggregated-ether-options lacp active user@leaf1# set interfaces ae0 aggregated-ether-options lacp system-id 00:00:02:02:00:04
-
As especificidades de configuração para a interface Ethernet agregada do servidor, muitas vezes chamada de interface vinculada no Linux, estão além do escopo deste NCE. Observe que, para o servidor, existe apenas uma configuração Ethernet agregada padrão. As declarações relacionadas ao ESI-LAG são aplicadas apenas aos dispositivos leaf.
Nota:A configuração inicial da linha de base permite uma interface Ethernet agregada por meio da declaração de
set chassis aggregated-devices ethernet device-count 1configuração. Você deve habilitar o suporte do chassi para dispositivos agregados ou a interface agregada não é criada. -
Após aplicar e comprometer essas alterações em dispositivos leaf e servidor, confirme que a interface ae0 está ativa em ambas as folhas. A saída de exemplo abaixo foi abreviada para clareza.
user@leaf2> show interfaces ae0 Physical interface: ae0, Enabled, Physical link is Up Physical interface: ae0, Enabled, Physical link is Up [...] Current address: b8:c2:53:ba:8b:80, Hardware address: b8:c2:53:ba:8b:80 Ethernet segment value: 00:02:02:02:02:02:02:02:00:04, Mode: all-active Last flapped : 2022-09-07 14:57:53 UTC (01:06:43 ago) [...] Egress queues: 12 supported, 5 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 81129 81129 0 3 0 0 0 4 0 0 0 7 4135 4135 0 8 64 64 0 [...] Protocol eth-switch, MTU: 1514, Generation: 266, Route table: 7, Mesh Group: __all_ces__, EVPN multi-homed status: Forwarding, EVPN multi-homed ESI Split Horizon Label: 0, Next-hop: 1665, vpls-status: up Local Bias Logical Interface Name: vtep.32769, Index: 554, VXLAN Endpoint Address: 10.1.255.11 Flags: Is-PrimaryVerifique também se o Servidor 1 é capaz de pingar servidor 2 (não mostrado para brevidade).
Configuração
Este exemplo mostra como habilitar o espelhamento remoto de portas no nível ESI-LAG usando uma instância de espelhamento de porta remota. Esse método oferece suporte a critérios de correspondência específicos de locatários (dentro de um VLAN overlay) para espelhar seletivamente o tráfego.
-
Configure uma instância de espelhamento de porta tanto no Leaf 1 quanto no Leaf 2. O servidor 1 pode enviar tráfego para vLAN 101 em qualquer uma de suas interfaces de membro LAG. ECMP significa que o tráfego pode chegar em qualquer leaf. O endereço IP 172.16.1.2 é a estação de monitoramento.
user@leaf1# set forwarding-options port-mirroring instance mirror-leaf1-v101 family inet output ip-address 172.16.1.2
-
Em seguida, crie um filtro de firewall que corresponda à sub-rede atribuída ao VLAN 101 em ambas as folhas. O objetivo é espelhar todo o tráfego intra-VLAN 101 enviado pelo Servidor 1 através do Leaf 1 ou Leaf 2. Para pegar o tráfego inter-VLAN, especifique a sub-rede do VLAN alvo para o endereço de destino.
Se você precisar filtrar vários endereços IP de origem ou destino, considere usar um
source-prefix-liste/ou umdestination-prefix-listem seu filtro. Dessa forma, você pode fazer alterações na lista de prefixo sem precisar modificar a definição do filtro.[edit firewall family ethernet-switching filter mirror-leaf-1] user@leaf1# set term 1 from ip-source-address 10.1.101.0/24 user@leaf1# set term 1 from ip-destination-address 10.1.101.0/24 user@leaf1# set term 1 then accept user@leaf1# set term 1 then port-mirror-instance mirror-leaf1-v101 user@leaf1# set term 1 then count from-s1-v101 user@leaf1# set term 2 then accept
Nota:Se você quiser espelhar apenas o tráfego roteado (inter-VLAN), use um
family inetfiltro aplicado à interface IRB da VLAN. Apenas uma interface IRB é definida para cada VLAN. Um filtro aplicado à interface IRB da VLAN captura, portanto, todo o tráfego inter-VLAN para o VLAN associado, independentemente de qual painel frontal a porta do tráfego esteja ingressada.O método mostrado neste exemplo funciona para tráfego inter-VLAN e intra-VLAN, mas exige que os filtros sejam aplicados a interfaces voltadas para o servidor com base em sua assinatura VLAN. Um
inetfiltro aplicado a uma interface IRB não vê tráfego em ponte (intra-VLAN). -
Aplique o filtro de firewall de espelhamento de porta remota na interface ae0.0 como um filtro de entrada em ambas as folhas.
user@leaf1# set interfaces ae0 unit 0 family ethernet-switching filter input mirror-leaf-1
Nota:Nos switches QFX5110 e QFX5120, o filtro de firewall não pode ser habilitado na direção de saída ou usado nas interfaces conectadas aos dispositivos spine.
-
O Leaf 3 de borda não precisa ser configurado para realizar o des encapsulamento GRE, já que o túnel GRE termina na estação de monitoramento. No entanto, o Leaf 3 precisa anunciar a alcance da sub-rede da estação de monitoramento na subjacência da malha. Configure a interface xe-0/0/33:1 que se conecta à estação de monitoramento.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
Modifique a política de exportação de underlay na borda Leaf 3 para anunciar o prefixo da estação de monitoramento. Nossa topologia usa um underlay EBGP. Nós simplesmente adicionamos um novo termo à política de exportação subjacente existente.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
As mudanças na linha de base inicial são mostradas no Leaf 1.
#user@leaf1# show | compare base [edit interfaces xe-0/0/0] + gigether-options { + 802.3ad ae0; + } [edit interfaces xe-0/0/0] - unit 0 { - family ethernet-switching { - vlan { - members v101; - } - } - } [edit interfaces] + ae0 { + esi { + 00:02:02:02:02:02:02:02:00:04; + all-active; + } + aggregated-ether-options { + lacp { + active; + system-id 00:00:02:02:00:04; + } + } + unit 0 { + family ethernet-switching { + interface-mode access; + vlan { + members v101; + } + filter { + input mirror-leaf-1; + } + } + } + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family ethernet-switching { + filter mirror-leaf-1 { + term 1 { + from { + ip-source-address { + 10.1.101.0/24; + } + ip-destination-address { + 10.1.101.0/24; + } + } + then { + accept; + port-mirror-instance mirror-leaf1; + count from-s1; + } + } + term 2 { + then accept; + } + } + } + }Você configurou com sucesso o espelhamento remoto de porta através de um dispositivo leaf em uma malha EVPN-VXLAN ERB.
Verificação
-
Verifique a conectividade underlay do Leaf 1 até a estação de monitoramento.
No Leaf 1, exibir a rota para 172.16.1.0/24.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Nota:Estritamente falando, apenas a conectividade simples é necessária entre a leaf e a estação de monitoramento. Configuramos uma rota estática na estação de monitoramento para permitir que ela chegue à camada inferior da malha. Isso permite o teste de ping como uma ferramenta de isolamento de falhas.
Ping na estação de monitoramento para confirmar a conectividade.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
A saída confirma a capacidade de alcance de underlay esperada do Leaf 1 até a estação de monitoramento. Precisamos obter o ping do endereço de loopback da leaf porque nossa política de exportação de underlay anuncia apenas a alcance do endereço de loopback. A aquisição do endereço de loopback não é necessária no caso lean spine. Isso ocorre porque o spine e o leaf de borda compartilham um enlace de malha diretamente conectado.
-
Confirme a instância de espelhamento de porta no Leaf 1.
No Leaf 1, verifique se o estado de espelhamento remoto da porta é
up.user@leaf1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 et-0/0/48.0A saída confirma a definição correta da instância de espelhamento de porta. O estado indica
upque a leaf tem uma rota subjacente até a estação de monitoramento. Lembre-se que o GRE é um protocolo stateless. É por isso que é uma boa ideia verificar a conectividade entre a folha e a estação de monitoramento, como fizemos na etapa anterior. -
Verifique se o filtro aplicado ao Leaf 1 e leaf 2 reflete corretamente o tráfego de teste. Inicie pings entre o Servidor 1 e o Servidor 2 na malha.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Verifique se o filtro aplicado ao Leaf 1 e leaf 2 reflete corretamente o tráfego. Nossa topologia de exemplo tem apenas um VLAN e um par de servidores. Isso torna mais fácil correlacionar o tráfego de teste para filtrar correspondências. Qualquer contagem não zero é um bom sinal de que o filtro está funcionando.
Devido ao comportamento do ECMP, o fluxo de ping único chega a apenas um dos links de membros da interface Ethernet agregada. Isso significa que espera-se que o tráfego de teste seja enviado para uma folha, ou outra, mas não para ambas. Se o Servidor 1 gerar inúmeros fluxos, espere ver pacotes encaminhados para ambas as folhas usando ambas as interfaces de membro.
Libere os contadores pouco antes de gerar pings.
user@server1> clear firewall all
Agora exibir os contadores de firewall no Leaf 1 e Leaf 2.
user@leaf1> show firewall user@leaf1# run show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 0 0
A saída mostra que nenhum pacote é visto no Leaf 1. Isso indica que, para esse fluxo, o servidor está acelerando para o Leaf 2.
Verifique os contadores de firewall no Leaf 2:
user@leaf2> show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 1020 10
O contador de firewall do Leaf 2 reflete corretamente o tráfego de teste gerado.
-
Confirme que o tráfego enviado entre o Servidor 1 e o Servidor 2 é espelhado no Leaf 1 e/ou Leaf 2 para transmissão à estação de monitoramento.
Mais uma vez, gere tráfego entre o Servidor 1 e 2 (não mostrado para brevidade). Use a opção rápida para o comando de ping para gerar um volume maior de pacotes para facilitar a detecção.
Monitore contadores de tráfego de interface na borda Leaf 3 para verificar se o tráfego de teste chega à estação de monitoramento.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]A saída confirma que o tráfego é enviado para a estação de monitoramento. A falta de pacotes de entrada é esperada porque a estação de monitor não gera respostas ao tráfego GRE que recebe.
-
Use Wireshark ou um aplicativo de analisador equivalente para capturar e decodificar o tráfego espelhado.
Figura 7: Análise
de tráfego espelhado
A captura mostra que o Servidor 1 envia tráfego de ping para o Servidor 2. O tráfego de resposta não é espelhado porque aplicamos nosso filtro no Leaf 1 e Leaf 2 apenas na direção de entrada. Aplique uma instância espelhada de porta semelhante e uma configuração de filtro no Leaf 4 para espelhar o tráfego de retorno. Lembre-se que, no caso da spine enxuta, o tráfego espelhado mostrou encapsulamento VXLAN. Neste caso de leaf ERB, espelhamos o tráfego de Camada 2 antes de ser encapsulado no VXLAN. O filtro usado para espelhar o tráfego é aplicado como um filtro de entrada na interface ae0.0 voltada para o servidor. Não há encapsulamento VXLAN na entrada.
Isso é semelhante ao caso de aplicar um filtro na interface IRB da VLAN. No caso de filtragem de IRB, o tráfego espelhado também não contém encapsulamento VXLAN. A IRB filtra apenas o tráfego inter-VLAN na camada IP. Assim, para o caso do filtro IRB, apenas o tráfego IP de Camada 3 é espelhado.
O decodificado mostra que o túnel GRE está entre o Leaf 2 e a estação de monitoramento através da camada inferior. O quadro Ethernet e o pacote IP enviados pelo Servidor 1 também são decodificados. Os endereços IP atribuídos aos servidores são visíveis (10.1.100.x/24), assim como os detalhes do pacote IP/ICMP gerado pelo Servidor 1.
Você configurou com sucesso o espelhamento de porta em sua topologia.
Exemplo: habilite uma instância de analisador remoto em uma interface ESI-LAG
Visão geral
Um identificador de segmento de Ethernet (ESI) é o número exclusivo de 10 byte que identifica um segmento de Ethernet. A ESI é habilitada na interface conectada ao servidor. Quando vários links formam um grupo de agregação de enlaces (LAG), o resultado é uma interface ESI-LAG, também conhecida como EVPN LAG. Em alguns casos, você precisará habilitar o espelhamento de porta diretamente para todo ou parte do tráfego que entra ou sai da interface ESI-LAG.
Ambas as instâncias de análise de saída e entrada são suportadas para interfaces ESI-LAG em dispositivos leaf em uma malha EVPN-VXLAN. Isso é útil em um data center onde o administrador precisa enviar todo o tráfego entrando ou saindo de uma determinada porta ESI-LAG para, ou de um host remoto. Use esta seção para habilitar uma instância de analisador no nível ESI-LAG de uma malha EVPN-VXLAN ERB.
Uma instância do analisador difere de uma instância de espelhamento de porta na qual o analisador trabalha na entrada, na saída ou em ambas as direções. Além disso, ele espelha todo o tráfego na interface. Por exemplo, se o Servidor 1 tiver 10 VLANs usando uma interface de tronco, o tráfego de todas as 10 VLANs é enviado para a estação de monitoramento. No exemplo de espelhamento de porta anterior, um filtro é usado para permitir espelhamento seletivo de tráfego de um VLAN ou de endereços IP específicos em uma VLAN.
As instâncias do analisador não usam filtros de firewall para correspondência granular. Todo o tráfego na direção especificada na interface especificada é espelhado.
Topologia
Este exemplo de configuração usa os componentes de hardware e software mostrados nos Requisitos. Os dispositivos da topologia começam com suas configurações de linha de base conforme fornecido no Apêndice: Configurações completas de dispositivos.
Neste exemplo, uma interface ESI-LAG, também conhecida como EVPN LAG, é usada entre o Servidor 1 e o Leaf 1 e o Leaf 2. Consulte as melhores práticas de configuração de EVPN LAG para melhores práticas.
Você pode configurar a instância do analisador em um switch ACX7100 executando o Junos OS Evolved 22.3R1 ou posterior.
A Figura 8 mostra a topologia para este exemplo.
ESI-LAG
Interface ae0.0 é a interface ESI-LAG conectada ao Servidor 1. O servidor 1 é atribuído endereço IP 10.1.101.10/24, e está associado à VLAN 101. O objetivo é configurar uma instância de analisador para encaminhar todo o tráfego enviado e recebido na interface ae0.0 tanto no Leaf 1 quanto no Leaf 2. O tráfego espelhado é colocado em um túnel GRE e enviado para a estação de monitoramento. Como antes, você deve garantir que a sub-rede da estação de monitoramento seja alcançável na subjacência do EBGP.
Ambos os spines estão operacionais nesta topologia. O ECMP significa que o leaf 1 e o leaf 2 podem enviar tráfego por ambos os dispositivos spine. Para reduzir a desordem no desenho, mostramos o tráfego e os caminhos espelhados com o dispositivo Spine 1 como foco.
Antes de começar
Se você estiver começando a partir da configuração de linha de base mostrada no Apêndice: Configurações completas do dispositivo, siga essas etapas para modificar sua topologia antes de começar.
-
Modifique a configuração do Leaf 1 e leaf 2 para oferecer suporte a um anexo multihomed do Servidor 1. Começamos renomeando a interface xe-0/0/0/0 existente para se tornar a nova interface ae0.0. Isso se preocupa com qualquer configuração da interface xe-0/0/0 para economizar algum tempo.
user@leaf1# rename interfaces xe-0/0/0 to ae0 user@leaf1# set interfaces ae0 esi 00:02:02:02:02:02:02:02:00:04 user@leaf1# set interfaces ae0 esi all-active user@leaf1# set interfaces ae0 aggregated-ether-options lacp active user@leaf1# set interfaces ae0 aggregated-ether-options lacp system-id 00:00:02:02:00:04
As especificidades de configuração para a interface Ethernet agregada do servidor, muitas vezes chamada de interface vinculada no Linux, estão além do escopo deste NCE. Observe que, para o servidor, existe apenas uma configuração Ethernet agregada padrão. As declarações relacionadas ao ESI-LAG são aplicadas apenas aos dispositivos leaf.
Nota:A configuração inicial da linha de base permite um dispositivo Ethernet agregado usando a declaração de
set chassis aggregated-devices ethernet device-count 1configuração. Você deve habilitar o suporte do chassi para dispositivos agregados ou a interface agregada não é criada. -
Após aplicar e comprometer essas alterações em dispositivos leaf e servidor, confirme que a interface ae0 está ativa em ambas as folhas. A saída de exemplo abaixo foi abreviada para clareza.
user@leaf2> show interfaces ae0 Physical interface: ae0, Enabled, Physical link is Up Physical interface: ae0, Enabled, Physical link is Up [...] Current address: b8:c2:53:ba:8b:80, Hardware address: b8:c2:53:ba:8b:80 Ethernet segment value: 00:02:02:02:02:02:02:02:00:04, Mode: all-active Last flapped : 2022-09-07 14:57:53 UTC (01:06:43 ago) [...] Queue counters: Queued packets Transmitted packets Dropped packets 0 81129 81129 0 3 0 0 0 4 0 0 0 7 4135 4135 0 8 64 64 0 [...] Protocol eth-switch, MTU: 1514, Generation: 266, Route table: 7, Mesh Group: __all_ces__, EVPN multi-homed status: Forwarding, EVPN multi-homed ESI Split Horizon Label: 0, Next-hop: 1665, vpls-status: up Local Bias Logical Interface Name: vtep.32769, Index: 554, VXLAN Endpoint Address: 10.1.255.11 Flags: Is-PrimaryVerifique se o servidor 1 é capaz de pingar servidor 2 (não mostrado para brevidade).
Configuração
Este exemplo mostra como habilitar o espelhamento remoto de portas no nível ESI-LAG usando uma instância de analisador remoto.
-
A interface ae0.0 é a interface ESI-LAG onde o tenant Server 1 se conecta. Este ESI-LAG termina tanto no Leaf 1 quanto no Leaf 2. Configure a instância do analisador em ambas as folhas para a interface ae0.0. Observe que você configura um analisador remoto para as direções de entrada e saída.
[edit forwarding-options analyzer my-analyzer1] user@leaf1# set input ingress interface ae0.0 user@leaf1# set input egress interface ae0.0 user@leaf1# set output ip-address 172.16.1.2
-
O Leaf 3 de borda não precisa ser configurado para realizar a descapsulação gre, já que o túnel GRE termina na estação de monitoramento. No entanto, o Leaf 3 precisa anunciar a alcance da sub-rede da estação de monitoramento na subjacência da malha.
Configure a interface xe-0/0/33:1 que se conecta à estação de monitoramento.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
Modifique a política de exportação de underlay na borda Leaf 3 para anunciar o prefixo da estação de monitoramento. Nossa topologia usa um underlay EBGP. Nós simplesmente adicionamos um novo termo à política de exportação subjacente existente.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set pterm 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
As mudanças da linha de base inicial são mostradas no Leaf 1.
user@leaf1# show | compare base [edit interfaces xe-0/0/0] + gigether-options { + 802.3ad ae0; + } [edit interfaces xe-0/0/0] - unit 0 { - family ethernet-switching { - vlan { - members v101; - } - } - } [edit interfaces] + ae0 { + esi { + 00:02:02:02:02:02:02:02:00:04; + all-active; + } + aggregated-ether-options { + lacp { + active; + system-id 00:00:02:02:00:04; + } + } + unit 0 { + family ethernet-switching { + interface-mode access; + vlan { + members v101; + } + } + } + } [edit] + forwarding-options { + analyzer { + my-analyzer1 { + input { + ingress { + interface ae0.0; + } + egress { + interface ae0.0; + } + } + output { + ip-address 172.16.1.2; + } + } + } + }Você configurou com sucesso o espelhamento remoto de porta através de um dispositivo leaf em uma malha EVPN-VXLAN ERB.
Verificação
-
Verifique a conectividade underlay do Leaf 1 e leaf 2 até a estação de monitoramento.
No Leaf 1, exibir a rota para 172.16.1.0/24.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Nota:Estritamente falando, apenas a conectividade simples é necessária entre a leaf e a estação de monitoramento. Configuramos uma rota estática na estação de monitoramento para permitir que ela chegue à camada inferior da malha. Isso permite o teste de ping como uma ferramenta de isolamento de falhas.
Ping na estação de monitoramento para confirmar a conectividade.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
A saída confirma a capacidade de alcance de underlay esperada do Leaf 1 até a estação de monitoramento. Precisamos obter o ping do endereço de loopback da leaf porque nossa política de exportação de underlay anuncia apenas a alcance do endereço de loopback. A aquisição do endereço de loopback não foi necessária no exemplo de spine enxuto, porque o spine e o leaf de borda são conectados diretamente por uma sub-rede de enlace de malha compartilhada.
-
Confirme a instância do analisador no Leaf 1 e Leaf 2.
No Leaf 1, verifique se o estado do analisador remoto é
up.user@leaf1> show forwarding-options analyzer Analyzer name : my-analyzer1 Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ae0.0 Egress monitored interfaces : ae0.0 Destination IP : 172.16.1.2
A saída confirma a definição correta da instância do analisador. O estado indica
upque a leaf tem uma rota subjacente até a estação de monitoramento. Lembre-se que o GRE é um protocolo stateless. É por isso que é uma boa ideia verificar a conectividade entre a folha e a estação de monitoramento, como fizemos na etapa anterior. -
Confirme que o tráfego enviado entre o Servidor 1 e o Servidor 2 é espelhado pelo Leaf 1 e/ou Leaf 2 até a estação de monitoramento.
Mais uma vez, gere tráfego entre o Servidor 1 e 2 (não mostrado para brevidade). Usamos a opção rápida para o comando de ping para gerar um volume maior de pacotes para facilitar a detecção.
Monitore contadores de tráfego de interface na borda Leaf 3 para verificar se o tráfego de teste chega à estação de monitoramento.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]A saída confirma que o tráfego chega à estação de monitoramento. A falta de pacotes de entrada é esperada, pois a estação de monitor não gera respostas ao tráfego GRE que recebe.
-
Use Wireshark ou um aplicativo de analisador equivalente para capturar e decodificar o tráfego espelhado.
Figura 9: Análise
de tráfego espelhado
A captura mostra que o Servidor 1 envia tráfego de ping para o Servidor 2. Devido às instâncias do analisador serem aplicadas em ambas as direções da interface ae0.0, o tráfego de resposta também é espelhado. Como o analisador funciona no nível da interface, o LACP, que é um protocolo de nível de enlace usado na interface Ethernet agregada, também é espelhado. Lembre-se que, no caso da spine enxuta, o tráfego espelhado mostrou encapsulamento VXLAN. Neste caso de leaf ERB capturamos o tráfego de Camada 2 antes de ser encapsulado em VXLAN. Na entrada não há encapsulamento VXLAN.
Isso é semelhante ao caso de aplicar um filtro à interface IRB de uma VLAN. Nesse caso, o tráfego espelhado também não contém encapsulamento VXLAN. Os filtros baseados em IRB só captam tráfego inter-VLAN na camada IP. Assim, para o caso do filtro IRB, apenas o tráfego IP de Camada 3 encapsulado não VXLAN é espelhado.
O decodificado mostra que o túnel GRE está entre o Leaf 2 (10.1.12.2) e a estação de monitoramento através da camada inferior. O quadro Ethernet e o pacote IP relacionado, conforme enviado pelo Servidor 1, também são decodificados. Os endereços IP atribuídos aos servidores são visíveis (10.1.100.x/24), assim como os detalhes do pacote IP/ICMP gerado pelo Servidor 1. A resposta do Servidor 2 também é espelhada porque a instância do analisador é aplicada bidirecionalmente em nosso exemplo.
Você configurou com sucesso o espelhamento de porta em sua topologia.