mirror-filter (Security Forwarding Options)
语法
mirror-filter filter-name {
destination-port port-number;
destination-prefix destination-prefix;
interface-in interface-name;
interface-out interface-name;
output (Security Forwarding Options) {
destination-mac mac-address;
interface interface-name;
}
protocol protocol;
source-port port-number;
source-prefix set source-prefix;
}
层次结构级别
[edit security forwarding-options]
描述
配置镜像过滤器,用于过滤要镜像并发送到数据包分析器的 X2 数据包。
作为网络运营商,您需要一种方法来监控 X2 流量,以调试跨 eNodeB 的任何切换问题。镜像过滤器功能允许您执行此操作。来自 IPsec 隧道的流量经过解密、镜像和分析,然后再次加密以进入出站 IPsec 隧道。
要使用镜像过滤器功能监控 X2 流量,请配置镜像过滤器。您最多可以同时配置 15 个不同的镜像过滤器,以过滤各种类型的流量。每个镜像过滤器都包含一组参数及其值,以便与流量匹配。
注意:
SRX 系列镜像过滤器功能是双向的,非常类似于会话。对从符合配置的过滤条件的设备流经 IPSec VPN 的 X2 流量进行镜像和分析。
从 Junos OS 版本 18.4R1 开始,如果为 st0 接口配置了镜像过滤器的输出 X2 接口以过滤要分析的流量,则数据包将通过绑定到 st0 接口的 IPsec 隧道进行复制和加密。此增强功能 支持 SRX 系列防火墙发送从 IPsec 隧道上的端口镜像的流量。
除了镜像过滤器的以下参数外,您还可以在配置过程中指定数据包分析器的输出接口和 MAC 地址。
注意:
尽管镜像过滤器没有最低参数数要求,但请注意,如果指定的条件太少或意外提交不完整的过滤器,则可能会镜像通过系统的超比例流量。
目标 IP 地址前缀
目标端口
IP 协议
源 IP 地址前缀
源端口
传入和传出接口
选项
其余语句将单独解释。请参阅 CLI 资源管理器。
所需权限级别
安全性 - 在配置中查看此信息。
安全控制 - 将其添加到配置中。
发布信息
Junos OS 12.1X46-D10 版中引入的语句。