EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持
我们支持以太网 VPN-虚拟可扩展 LAN (EVPN-VXLAN) 叠加网络中的 MAC 过滤、风暴控制以及端口镜像和分析。
我们使用企业样式进行接口配置来支持这些功能中的每一个。
我们还支持使用服务提供商 (SP) 样式进行接口配置的这些功能,但存在一些限制:
-
我们使用 SP 样式接口配置在输入方向上支持带有防火墙过滤器的端口镜像,但在输出方向上不支持。
-
我们仅支持在 SP 样式物理接口配置中的单个逻辑接口上进行风暴控制。您无法在具有 SP 样式配置的多个逻辑接口上配置风暴控制。
-
由于硬件限制,应用于逻辑接口的风暴控制也适用于底层物理接口。
-
配置了风暴控制的逻辑接口会记录风暴,但物理接口上的任何逻辑接口都可能触发风暴控制。
-
我们仅在 EVPN-VXLAN 边缘路由桥接 (ERB) 叠加网络中支持这些功能,这也称为具有折叠 IP 交换矩阵的 EVPN-VXLAN 拓扑。此叠加网络包括以下组件:
-
单层瞻博网络交换机(例如 QFX10002交换机、QFX5120交换机或 QFX5110 交换机),每台交换机都可用作第 3 层主干设备和第 2 层叶设备。
-
在主动/主动模式下处于单宿主或多宿主状态的客户边缘 (CE) 设备连接到脊叶设备。
在某些平台上,我们支持 EVPN-VXLAN 的本地和远程端口镜像:
-
本地 — 数据包将镜像到同一设备上的目标。
-
远程 — 数据包将镜像到远程设备上的目标。
如果要将远程端口镜像与 EVPN-VXLAN 配合使用,请务必查看 使用 VXLAN 封装的远程端口镜像 的功能资源管理器页面,以查看支持的平台和版本。
有关使用 EVPN-VXLAN 进行本地或远程端口镜像的更多信息,请参阅 端口镜像和分析器 。
本主题包含以下信息:
EVPN-VXLAN 环境中 MAC 过滤、风暴控制和端口镜像支持的优势
-
MAC 过滤使您能够过滤并接受来自面向 CE 的入口接口的数据包,从而减少以太网交换表中的关联 MAC 地址量和 VXLAN 中的流量。
-
风暴控制使您能够监控 EVPN-VXLAN 接口上的流量级别,如果超出指定的流量级别,将丢弃广播、未知单播和组播 (BUM) 数据包,并在某些瞻博网络交换机上禁用该接口指定的时间。此功能可以防止过多的流量降低网络性能。
-
借助端口镜像和分析器,您可以在 EVPN-VXLAN 环境中分析低至数据包级别的流量。您可以使用此功能强制实施与网络使用和文件共享相关的策略,并通过查找特定工作站或应用程序的异常或大量带宽使用情况来识别问题来源。
MAC 过滤
MAC 过滤使您能够过滤 MAC 地址并接受流量。我们仅在面向 CE 的入口接口上支持此功能,这些接口通常不会启用 VXLAN 封装。要使用此功能,您必须执行以下操作:
-
将防火墙过滤器应用于层次结构中配置的第
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]2 层接口。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
X |
| 目标 MAC 地址 |
X |
X |
| 用户 VLAN ID |
X |
X |
| 源端口 |
X |
|
| 目标端口 |
X |
|
| 以太型 |
X |
|
| IP 协议 |
X |
|
| IP 优先级 |
X |
|
| ICMP 代码 |
X |
|
| TCP 标志 |
X |
|
| IP 地址 |
X |
|
在 Junos OS 18.4R1 版中,QFX5100 交换机和QFX5110交换机仅支持对接口进行 MAC 过滤。而且,从 Junos OS 18.4R2 版及更高版本开始,QFX5100、QFX5110、QFX5120-48Y 和 EX4650-48Y 交换机也支持 VXLAN 映射 VLAN 上的 MAC 过滤。Junos OS 22.2 版支持 Mac 过滤和中转 VNI 匹配功能,可在 QFX10002、QFX10008 和 QFX10016 设备上实现纯 IPv6 底层网络。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
|
| 目标 MAC 地址 |
X |
|
| 用户 VLAN ID |
|
|
| 源端口 |
X |
X |
| 目标端口 |
X |
X |
| 以太型 |
X |
X |
| IP 协议 |
X |
|
| IP 优先级 |
X |
X |
| ICMP 代码 |
X |
X |
| TCP 标志 |
X |
X |
| IP 地址 |
X |
X |
在 QFX10000 交换机上配置 MAC 过滤器时,请记住以下几点:
-
您只能将过滤器应用于接口。您无法将过滤器应用于 VXLAN 映射的 VLAN。
-
我们不支持在同一防火墙过滤器中混合使用第 2 层匹配条件和第 3 层/第 4 层匹配条件。例如,如果在 QFX10002 交换机上的同一防火墙过滤器中包含源 MAC 地址和源端口匹配条件,则防火墙过滤器将不起作用。
-
我们不支持用户 VLAN ID 匹配条件。因此,如果需要过滤逻辑接口(每个逻辑接口都映射到一个特定 VLAN),则必须在配置物理接口和关联的逻辑接口时使用服务提供商的配置样式。创建防火墙过滤器后,您必须将过滤器应用于每个逻辑接口,以实现用户 VLAN ID 匹配条件的效果。
- 在 Junos OS 22.2 版中,还支持 VxLAN 网络 ID (VNI) 匹配,用于 QFX10002、QFX10008 和 QFX10016 设备的第 3 层接口上的传输流量的源/目标 IP 外部标头。VNI 匹配仅在外部标头和入口流量上进行。在路由隧道数据包的中转设备上,MAC 过滤必须支持将外部标头中的 VNI 以及外部标头源和目标 IPv6 地址匹配为匹配条件。对命令中的
<vxlan [vni <vni-id>]>术语使用set firewall family inet6 filtervxlan 匹配 CLI 选项下的 VNI 匹配过滤器。使用该show firewall filter命令显示统计信息。
通过防火墙过滤器,您可以指定特定接口上允许的与 VXLAN 关联的 MAC 地址。
将防火墙过滤器应用于第 2 层接口后,该接口将驻留在默认交换机实例下。
QFX5110交换机上的以下示例配置会创建一个名为 DHCP-Discover-In 的防火墙过滤器,该过滤器接受并计算在第 2 层逻辑接口 xe-0/0/6.0 上满足多个匹配条件(源 MAC 地址、目标 MAC 地址、目标端口和 VLAN ID)的传入流量:
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
风暴控制
默认情况下,在 QFX 和 EX 交换机上为与 VXLAN 关联的第 2 层接口启用风暴控制。风暴控制级别设置为组合 BUM 流量流的 80%。
EVPN-VXLAN 风暴控制在 ACX 系列平台上的工作方式略有不同。有关详细信息,请参阅 ACX 系列路由器上的风暴控制概述。
在 EVPN-VXLAN 环境中,风暴控制在与 VXLAN 关联的第 2 层接口上实施和配置,与在非 EVPN-VXLAN 环境中相同,但存在以下差异:
-
在 EVPN-VXLAN 环境中,风暴控制监视器的流量类型如下:
-
源自 VXLAN 并转发至同一 VXLAN 中的接口的第 2 层 BUM 流量。
-
由 VXLAN 中的集成路由和桥接 (IRB) 接口接收并转发到另一个 VXLAN 中的接口的第 3 层组播流量。
-
-
创建风暴控制配置文件后,必须将其绑定到层次结构中的
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]入口第 2 层接口。注意:将配置文件绑定到第 2 层接口后,该接口将驻留在默认交换机实例中。
-
如果接口上的流量超过指定的风暴控制级别,瞻博网络交换机将丢弃多余的数据包,这称为速率限制。此外,EVPN-VXLAN 环境中的QFX10000交换机支持在指定时间内使用层次结构级别的
recovery-timeout配置语句[edit forwarding-options storm-control-profiles]和层次结构级别的配置语句[edit interfaces interface-name unit logical-unit-number family ethernet-switching]禁用action-shutdown接口。注意:EVPN-VXLAN 环境中的QFX5100和QFX5110交换机不支持在指定时间内禁用接口。
注意:在 QFX5110 交换机上,如果在接口上配置了增强型风暴控制和本机分析器,并且本机分析器将 VxLAN VLAN 作为输入,则关闭操作将不适用于该接口上的 VLAN。速率限制将按预期工作。
以下配置将创建一个名为 scp 的配置文件,该配置文件指定,如果组合 BUM 流量流使用的带宽在第 2 层逻辑接口 et-0/0/23.0 上超过 5%,则该接口将丢弃多余的 BUM 流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
以下配置将创建一个名为 scp 的配置文件,该配置文件指定如果组播流量流(不包括广播和未知单播流量流)在第 2 层逻辑接口 et-0/0/23.0 上使用的带宽超过 5%,则该接口将丢弃多余的组播流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
QFX10000交换机上的以下配置将创建与先前配置中相同的配置文件。但是,如果流量流超过 5%,则不会隐式丢弃组播流量,而是以下配置显式禁用接口 120 秒,然后恢复接口。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
端口镜像和分析器
为了分析 EVPN-VXLAN 环境中的流量,我们支持以下端口镜像和分析器功能:
-
本地镜像
-
在接口上
-
在 VXLAN 上
-
-
远程镜像
-
在接口上
-
在 VXLAN 上
-
以下各节提供有关受支持功能的详细信息,并包括示例配置。
本地镜像
本地镜像可与交换端口分析器 (SPAN) 相媲美。
| 应用本地镜像的实体 |
交通方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向 CE 的接口 |
入口 |
支持。 请参阅用例 1:示例配置。 |
支持。 请参阅用例 2:示例配置。 |
| 面向 CE 的接口 |
出口 |
不支持。 |
支持;但是,出口镜像流量可能会携带与原始流量中的标记不同的错误 VLAN 标记。 请参阅用例 3:示例配置。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 |
支持。 请参阅用例 4:示例配置。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像的决定发生在入口处,因此第 2 层标头将与交换或路由数据包不同。镜像的 VXLAN 封装数据包不包含 VXLAN 标头。 请参阅用例 5:示例配置。 |
| VXLAN 映射的 VLAN |
入口 |
支持。 |
仅支持通过面向 CE 的接口进入的流量。 请参阅用例 6:示例配置。 |
配置本地镜像
Use Case 1: Firewall filter-based
通过使用名为 pm1 的端口镜像实例和防火墙过滤器,此配置指定通过逻辑接口 xe-0/0/8.0 进入VXLAN100的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器,然后再镜像到端口镜像实例 pm1。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将进入逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将退出逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将进入逻辑接口 xe-0/0/29.0 的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定退出逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定进入 VLAN 的第 2 层流量名为 VXLAN100,并镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
远程镜像
当输出目标与源不在同一交换机上时,将使用远程端口镜像。远程镜像将镜像的流量传递到一个或多个远程目标主机。它通常用于数据中心环境中的故障排除或监控。
在 EVPN-VXLAN 环境中,源交换机上的镜像流量经过封装,并通过底层 IP 交换矩阵通过隧道传输到目标主机 IP 地址。我们支持以下类型的封装:
-
通用路由封装 (GRE) 与远程镜像配合使用,以封装由路由域分隔的交换机之间的流量。在 EVPN-VXLAN 叠加网络中,GRE 封装允许通过 IP 交换矩阵在叶设备之间进行镜像。当镜像目标主机连接到与源交换机属于同一结构的交换机时,将远程镜像与 GRE 配合使用。使用 GRE 封装的远程镜像可与封装的远程 SPAN (ERSPAN) 相媲美。
注意:在ACX7100-32C和ACX7100-48L平台上,ERSPAN的可比版本是ERSPAN版本2(ERSPAN v2)。
-
当源和输出目标位于不同的 VNI 域中时,VXLAN 封装支持 EVPN-VXLAN 的远程镜像。您必须配置特定的 VXLAN,用于镜像输出目标接口的流量并映射到 VNI。使用 VXLAN 封装的远程镜像可与远程 SPAN (RSPAN) 相媲美。
| 应用远程镜像的实体 |
交通方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向 CE 的接口 |
入口 |
支持。 ACX7100不支持。 |
支持。请参阅用例 1:示例配置。 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向 CE 的接口 |
出口 |
不支持。 |
支持。请参阅用例 2:示例配置。 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 ACX7100不支持。 |
支持。请参阅用例 3:示例配置。 ACX7100 上受支持。但是,镜像 VXLAN 封装的数据包包括 VXLAN 报头和 GRE 报头。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像的决定发生在入口处,因此第 2 层标头将与交换或路由数据包不同。请参阅用例 4:示例配置。
注意:
镜像流量可能包含本机 MAC 帧上的虚假 VLAN ID 标记 4094。 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头,但不包含 VXLAN 标头。 |
| VXLAN 映射的 VLAN |
入口 |
支持。 ACX7100不支持。 |
仅支持进入面向 CE 的接口的流量。请参阅用例 5:示例配置。 ACX7100不支持。 |
使用 GRE 封装配置远程镜像
以下示例配置适用于使用 GRE 封装的基于分析器的远程镜像。
有关在ACX7100上配置具有 GRE 封装的远程分析器的示例,请参阅 示例:在 ESI-LAG 接口上启用远程分析器实例。
Use Case 1
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将进入逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将退出逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将进入逻辑接口 xe-0/0/29.0 的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定将退出逻辑接口 xe-0/0/29.0 的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
通过在层次结构级别使用 analyzer 配置语句 [set forwarding-options] ,此配置指定进入 VXLAN100(映射到逻辑接口 xe-0/0/8.0)的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
使用 VXLAN 封装配置远程镜像
要了解哪些平台在哪些版本中支持此功能,请参阅 使用 VXLAN 封装的远程端口镜像的功能资源管理器页面。
基于分析器的配置
以下示例配置适用于使用 VXLAN 封装的基于分析器的远程镜像。进入 VLAN100 的第 2 层流量将镜像到映射到 VNI 1555 的远程输出目标 VLAN3555。
此配置使用目标 VLAN 上的环路接口来封装镜像数据包。
-
目标接口 xe-0/0/2 从外部连接到环路接口 xe-0/0/3。
- 逻辑接口 xe-0/0/2.0 和 xe-0/0/3.0 是目标 VLAN3555 的成员。
- 接口 xe-0/0/2.0 以企业样式配置,没有任何 VNI 映射,而接口 xe-0/0/3.0 以服务提供商样式配置,具有相同的 VLAN ID 和 VNI 映射。这是为了防止这些端口之间的泛洪或环路。
- 必须在 xe-0/0/2.0 上禁用 Mac 学习。
入口接口必须在中继模式下配置,以便标记封装的数据包。要解封装标记的数据包,请在解封装节点上配置 set protocols l2-learning decapsulate-accept-inner-vlan 命令。
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
要配置逻辑环路接口而不是使用外部连接,请使用以下命令:
set interfaces interface-name ether-options loopback
以下示例配置在接口 xe-0/0/2 上使用逻辑环回:
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
基于防火墙过滤器的配置
以下配置将防火墙过滤器 应用于 filter1接口 xe-0/0/34 上的入口流量。此接口上的流量入口将镜像到目标 VLAN3555。目标 VLAN 是使用名为 的 pm1端口镜像实例定义的。
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
使用 VNI 匹配条件的远程端口镜像
对于 QFX10002、QFX10008 和 QFX10016 系列交换机,在过滤远程端口镜像流量时,您可以将 VXLAN 网络标识符 (VNI) 值用作匹配条件。此功能通常用于网络规划和深度包检测 (DPI) 等分析。
远程端口镜像功能用于创建目标入口数据包的副本,这些数据包封装在外部 IPv4 GRE 标头中,然后转发到指定的远程目标。支持 VNI 匹配条件意味着您可以根据数据包的 VNI 选择要镜像的数据包,以便仅将这些流量定向到远程镜像端口。您还可以配置差异服务代码点 (DSCP) 值以确定流的优先级,例如,高优先级或尽力交付。不支持将集成路由和桥接 (IRB) 接口用作目标镜像端口。
概括而言,基于 VNI 的远程端口镜像过程是创建远程端口镜像实例,在防火墙过滤器系列中提升 VNI 以处理 VNI,创建必要的过滤规则和操作,然后将防火墙策略应用于入口接口。用于发送镜像数据包的接口上也应设置 GRE 隧道。
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
以下代码示例重点介绍了根据 VNI 镜像数据包所需的关键 Junos CLI 配置。
- 启用远程端口镜像,并配置要将镜像数据包发送到的流量源和目标。
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- 创建一个防火墙过滤器(此处名为 bf_vni_st),并将此过滤器中的 VNI 提升为数据包转发模块(换句话说,此命令将整个过滤器设置为优化 VNI 匹配条件)。
set firewall family inet filter fbf_vni_st promote vni
- 创建一个入口防火墙过滤器 (bf_vni_st),用于指定 VNI 匹配条件(此示例中为 6030)和操作(此示例中为 count)。
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- 将过滤器应用于要镜像的接口上的入口流量。
set interfaces interface unit number family inet filter input fbf_vni_st