EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持
我们支持以太网 VPN-虚拟可扩展 LAN (EVPN-VXLAN) 叠加网络中的 MAC 过滤、风暴控制以及端口镜像和分析。
我们使用企业级接口配置样式来支持这些功能。
我们还使用服务提供商 (SP) 样式支持这些功能进行接口配置,但存在一些限制:
-
我们支持使用 SP 样式接口配置在输入方向上通过防火墙过滤器进行端口镜像,但不支持在输出方向上。
-
我们仅在采用 SP 样式物理接口配置的单个逻辑接口上支持风暴控制。您无法在具有 SP 样式配置的多个逻辑接口上配置风暴控制。
-
由于硬件限制,应用于逻辑接口的风暴控制也适用于底层物理接口。
-
配置了风暴控制的逻辑接口会记录风暴,但物理接口上的任何逻辑接口都可能触发风暴控制。
-
我们仅在 EVPN-VXLAN 边缘路由桥接 (ERB) 叠加网络中支持这些功能,该叠加也称为具有折叠 IP 交换矩阵的 EVPN-VXLAN 拓扑。此叠加网络包括以下组件:
-
单层瞻博网络交换机,例如 QFX10002、QFX5120 或QFX5110交换机,每个交换机既可作为第 3 层主干设备,又可用作第 2 层叶设备。
-
主干-分叶设备在单宿主或多宿主模式下的客户边缘 (CE) 设备。
在某些平台上,我们支持使用 EVPN-VXLAN 进行本地和远程端口镜像:
-
local — 数据包镜像到同一设备上的目标。
-
远程 — 数据包镜像到远程设备上的目标。
如果要通过 EVPN-VXLAN 使用远程端口镜像,请务必查看 具有 VXLAN 封装的远程端口镜像 的功能浏览器页面,查看支持的平台和版本。
有关使用 EVPN-VXLAN 进行本地或远程端口镜像的更多信息 ,请参阅端口镜像和分析器 。
本主题包含以下信息:
EVPN-VXLAN 环境中 MAC 过滤、风暴控制和端口镜像支持的优势
-
通过 MAC 过滤,您可以过滤和接受来自面向 CE 的入口接口的数据包,从而减少以太网交换表中关联 MAC 地址的体积和 VXLAN 中的流量。
-
风暴控制允许您监控 EVPN-VXLAN 接口上的流量级别,如果超过指定的流量级别,则丢弃广播、未知单播和组播 (BUM) 数据包;在某些瞻博网络交换机上,禁用该接口一段指定时间。此功能可以防止过多的流量降低网络质量。
-
借助端口镜像和分析器,您可以在 EVPN-VXLAN 环境中分析低至数据包级别的流量。您可以使用此功能来实施与网络使用和文件共享相关的策略,并通过定位特定工作站或应用程序的异常或大量带宽使用情况来识别问题来源。
MAC 过滤
MAC 过滤使您能够过滤 MAC 地址并接受流量。我们仅在面向入口 CE 的接口上支持此功能,这些接口通常不启用 VXLAN 封装。若要使用此功能,必须执行以下作:
-
将防火墙过滤器应用于层次结构中
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]配置的第 2 层接口。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
X |
| 目标 MAC 地址 |
X |
X |
| 用户 VLAN ID |
X |
X |
| 源端口 |
X |
|
| 目标端口 |
X |
|
| 乙醚型 |
X |
|
| IP 协议 |
X |
|
| IP 优先级 |
X |
|
| ICMP 代码 |
X |
|
| TCP 标志 |
X |
|
| IP地址 |
X |
在 Junos OS 18.4R1 版本中,QFX5100 和 QFX5110 交换机仅支持接口上的 MAC 过滤。而且,从 Junos OS 版本 18.4R2 及更高版本开始,QFX5100、QFX5110、QFX5120-48Y 和 EX4650-48Y 交换机还支持在 VXLAN 映射的 VLAN 上进行 MAC 过滤。Junos OS 22.2 版支持 Mac 过滤和中转 VNI 匹配,适用于 QFX10002、QFX10008 和 QFX10016 设备上的纯 IPv6 底层网络。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
|
| 目标 MAC 地址 |
X |
|
| 用户 VLAN ID |
||
| 源端口 |
X |
X |
| 目标端口 |
X |
X |
| 乙醚型 |
X |
X |
| IP 协议 |
X |
|
| IP 优先级 |
X |
X |
| ICMP 代码 |
X |
X |
| TCP 标志 |
X |
X |
| IP地址 |
X |
X |
在 QFX10000 交换机上配置 MAC 过滤器时,请记住以下几点:
-
您只能将过滤器应用于接口。您无法将过滤器应用于 VXLAN 映射的 VLAN。
-
我们不支持在同一防火墙过滤器中混合使用第 2 层匹配条件和第 3 层/第 4 层匹配条件。例如,如果在 QFX10002 交换机上的同一防火墙过滤器中包括源MAC 地址和源端口匹配条件,则防火墙过滤器将不起作用。
-
我们不支持用户 VLAN ID 匹配条件。因此,如果需要过滤逻辑接口(每个逻辑接口都映射到一个特定的 VLAN),则在配置物理接口和关联的逻辑接口时,必须使用服务提供商的配置样式。创建防火墙过滤器后,您必须将过滤器应用于每个逻辑接口,以实现用户 VLAN ID 匹配条件的效果。
- 在 Junos OS 22.2 版中,还支持在第 3 层接口上为 QFX10002、QFX10008 和 QFX10016 设备传输流量的源/目标 IP 外部报头上的 VXLAN 网络 ID (VNI) 匹配。VNI 匹配仅在外部标头和入口流量上进行。在路由隧道数据包的中转设备上,MAC 过滤必须支持外部报头中的 VNI 匹配,同时将外部报头源地址和目标 IPv6 地址作为匹配条件。对命令中的
<vxlan [vni <vni-id>]>术语使用 vxlan 匹配 CLI 选项set firewall family inet6 filter下的 VNI 匹配过滤器。show firewall filter使用命令显示统计信息。
通过防火墙过滤器,您可以指定特定接口上允许的与 VXLAN 关联的 MAC 地址。
将防火墙过滤器应用于第 2 层接口后,该接口将驻留在默认交换机实例下。
QFX5110交换机上的以下示例配置创建名为 DHCP-Discover-In 的防火墙过滤器,用于接受并计算第 2 层逻辑接口 xe-0/0/6.0 上满足多个匹配条件(源MAC 地址、目标MAC 地址、目标端口和 VLAN ID)的传入流量:
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
风暴控制
默认情况下,QFX 和 EX 交换机会为与 VXLAN 关联的第 2 层接口启用风暴控制。风暴控制级别设置为组合 BUM 流量流的 80%。
EVPN-VXLAN 风暴控制在 ACX 系列平台上的工作方式略有不同。有关详细信息,请参阅 特定于平台的风暴控制行为。
在 EVPN-VXLAN 环境中,风暴控制在与 VXLAN 关联的第 2 层接口上实施和配置,与非 EVPN-VXLAN 环境相同,但存在以下差异:
-
在 EVPN-VXLAN 环境中,风暴控制监控的流量类型如下:
-
第 2 层 BUM 流量,源自 VXLAN 并转发到同一 VXLAN 中的接口。
-
由 VXLAN 中的集成路由和桥接 (IRB) 接口接收并转发至其他 VXLAN 中的接口的第 3 层组播流量。
-
-
创建风暴控制配置文件后,必须将其绑定到层次结构中的
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]入口第 2 层接口。注意:将配置文件绑定到第 2 层接口后,该接口将驻留在默认交换机实例中。
-
如果接口上的流量流超过指定的风暴控制级别,瞻博网络交换机就会丢弃多余的数据包,这称为 速率限制。此外,EVPN-VXLAN 环境中的QFX10000交换机支持使用
action-shutdown层级配置语句[edit forwarding-options storm-control-profiles]和recovery-timeout层级配置语句[edit interfaces interface-name unit logical-unit-number family ethernet-switching]在指定时间段内禁用接口。注意:EVPN-VXLAN 环境中的 QFX5100 和 QFX5110 交换机在指定时间内不支持禁用接口。
注意:在QFX5110交换机上,如果在接口上配置增强型风暴控制和本机分析器,并且本机分析仪将 VxLAN VLAN 作为输入,则关机作将不适用于该接口上的 VLAN。速率限制将按预期工作。
以下配置创建一个名为 scp 的配置文件,用于指定如果组合 BUM 流量流使用的带宽在第 2 层逻辑接口 et-0/0/23.0 上超过 5%,则接口将丢弃多余的 BUM 流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
以下配置创建一个名为 scp 的配置文件,用于指定如果组播流量流(广播和未知单播流量流除外)使用的带宽在第 2 层逻辑接口 et-0/0/23.0 上超过 5%,则接口将丢弃多余的组播流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
QFX10000交换机上的以下配置可创建与之前配置中的配置文件相同的配置文件。但是,如果流量流超过 5%,则不会隐式丢弃组播流量,而是显式禁用接口 120 秒,然后重新启动接口。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
端口镜像和分析器
要分析 EVPN-VXLAN 环境中的流量,我们支持以下端口镜像和分析器功能:
-
本地镜像
-
在接口上
-
在 VXLAN 上
-
-
远程镜像
-
在接口上
-
在 VXLAN 上
-
以下部分提供有关支持的功能的详细信息,并包括示例配置。
本地镜像
本地镜像可与交换端口分析器 (SPAN) 相媲美。
| 应用本地镜像的实体 |
交通方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向 CE 的接口 |
入口 |
支持。 请参阅用例 1:配置示例。 |
支持。 请参阅用例 2:配置示例。 |
| 面向 CE 的接口 |
出口 |
不支持。 |
支持;但是,出口镜像流量可能携带不正确的 VLAN 标记,这些标记与原始流量中的标记不同。 请参阅用例 3:配置示例。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 |
支持。 请参阅用例 4:配置示例。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像的决定发生在入口处,因此第 2 层标头将与交换或路由的数据包不同。镜像 VXLAN 封装的数据包将不包含 VXLAN 标头。 请参阅用例 5:配置示例。 |
| VXLAN 映射的 VLAN |
入口 |
支持。 |
仅支持通过面向 CE 的接口进入的流量。 请参阅用例 6:配置示例。 |
配置本地镜像
Use Case 1: Firewall filter-based
通过使用名为 pm1 的端口镜像实例和防火墙过滤器,此配置指定通过逻辑接口 xe-0/0/8.0 进入VXLAN100的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器,然后镜像到端口镜像实例 pm1。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定进入逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定从逻辑接口 xe-0/0/8.0 退出的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定进入逻辑接口 xe-0/0/29.0 的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定从逻辑接口 xe-0/0/29.0 退出的第 2 层流量镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
通过在[set forwarding-options]层级使用analyzer配置语句,此配置将指定进入名为 VXLAN100 的 VLAN 的第 2 层流量,并将其镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
远程镜像
当输出目标与源不在同一交换机上时,使用远程端口镜像。远程镜像将镜像流量传送到一个或多个远程目标主机。它通常在数据中心环境中用于故障排除或监控。
在 EVPN-VXLAN 环境中,源交换机上的镜像流量经过封装,并通过底层 IP 交换矩阵通过隧道传输至目标主机 IP 地址。我们支持以下类型的封装:
-
通用路由封装 (GRE) 与远程镜像配合使用,以封装由路由域分隔的交换机之间的流量。在 EVPN-VXLAN 叠加网络中,GRE 封装支持通过 IP 交换矩阵在叶设备之间进行镜像。如果镜像目标主机连接到与源交换机属于同一交换矩阵的交换机,则通过 GRE 使用远程镜像。使用 GRE 封装的远程镜像可与封装远程 SPAN (ERSPAN) 相媲美。
注意:在 ACX7100-32C 和 ACX7100-48L 平台上,ERSPAN 的可比版本是 ERSPAN 版本 2 (ERSPAN v2)。
-
当源和输出目标位于不同的 VNI 域中时,VXLAN 封装支持对 EVPN-VXLAN 进行远程镜像。您必须配置特定的 VXLAN,以便为输出目标接口镜像流量并映射到 VNI。使用 VXLAN 封装的远程镜像可与远程 SPAN (RSPAN) 相媲美。
| 应用远程镜像的实体 |
交通方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向 CE 的接口 |
入口 |
支持。 ACX7100 上不受支持。 |
支持。请参阅用例 1:配置示例。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向 CE 的接口 |
出口 |
不支持。 |
支持。请参阅用例 2:配置示例。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 ACX7100 上不受支持。 |
支持。请参阅用例 3:配置示例。 在 ACX7100 上受支持。但是,镜像 VXLAN 封装的数据包包括 VXLAN 标头和 GRE 标头。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像的决定发生在入口处,因此第 2 层标头将与交换或路由的数据包不同。请参阅用例 4:配置示例。
注意:
镜像流量可能在本机 MAC 帧上包含虚假的 VLAN ID 标记 4094。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头,但不包含 VXLAN 标头。 |
| VXLAN 映射的 VLAN |
入口 |
支持。 ACX7100 上不受支持。 |
仅支持进入面向 CE 的接口的流量。请参阅用例 5:配置示例。 ACX7100 上不受支持。 |
使用 GRE 封装配置远程镜像
以下示例配置用于使用 GRE 封装的基于分析器的远程镜像。
有关在ACX7100上配置具有 GRE 封装的远程分析器的示例,请参阅 示例:在 ESI-LAG 接口上启用远程分析器实例。
Use Case 1
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定进入逻辑接口 xe-0/0/8.0 的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定从逻辑接口 xe-0/0/8.0 退出的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定进入逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定从逻辑接口 xe-0/0/29.0 退出的第 2 层流量镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
通过在[set forwarding-options]层次结构级别使用analyzer配置语句,此配置指定进入 VXLAN100 的第 2 层流量(映射到逻辑接口 xe-0/0/8.0)镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
使用 VXLAN 封装配置远程镜像
要了解从哪些版本开始,哪些平台支持此功能,请参阅“功能浏览器”页面,了解 使用 VXLAN 封装的远程端口镜像。
基于分析器的配置
以下示例配置用于使用 VXLAN 封装的基于分析器的远程镜像。进入VLAN100的第 2 层流量将镜像到映射到 VNI 1555 的远程输出目标 VLAN3555。
此配置在目标 VLAN 上使用环路接口来封装镜像数据包。
-
目标接口 xe-0/0/2 从外部连接到环路接口 xe-0/0/3。
- 逻辑接口 xe-0/0/2.0 和 xe-0/0/3.0 是目标 VLAN3555 的成员。
- 接口 xe-0/0/2.0 以企业样式配置,不使用任何 VNI 映射,而接口 xe-0/0/3.0 以服务提供商样式配置,具有相同的 VLAN ID 和 VNI 映射。这是为了防止这些端口之间出现泛洪或环路。
- 必须在 xe-0/0/2.0 上禁用 Mac-learning。
入口接口必须在中继中继模式下配置,以便对封装的数据包进行标记。要对已标记的数据包进行解封装,请在解封装节点配置 set protocols l2-learning decapsulate-accept-inner-vlan 命令。
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
要配置逻辑环路接口而不是使用外部连接,请使用以下命令:
set interfaces interface-name ether-options loopback
以下示例配置在接口 xe-0/0/2 上使用逻辑环路:
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
基于防火墙过滤器的配置
以下配置将防火墙过滤器 filter1应用于接口 xe-0/0/34 上的入口流量。此接口上的流量入口将镜像到目标 VLAN3555。目标 VLAN 是使用名为 pm1的端口镜像实例定义的。
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
使用 VNI 匹配条件的远程端口镜像
对于 QFX10002、QFX10008 和 QFX10016 系列交换机,在过滤远程端口镜像流量时,可以使用 VXLAN 网络标识符 (VNI) 值作为匹配条件。此功能通常用于网络规划和分析,例如深度包检测 (DPI)。
远程端口镜像功能用于创建目标入口数据包的副本,这些数据包封装在外部 IPv4 GRE 标头中,然后转发到指定的远程目的地。支持 VNI 匹配条件意味着您可以根据数据包的 VNI 选择要镜像的数据包,以便仅将这些流量定向到远程镜像端口。您还可以配置差异化服务代码点 (DSCP) 值来确定流的优先级,例如,高优先级或尽力而为交付。不支持将集成路由和桥接 (IRB) 接口用作目标镜像端口。
概括地说,基于 VNI 的远程端口镜像的过程是创建远程端口镜像实例,在防火墙过滤器系列中提升 VNI 以处理 VNI,创建必要的过滤器规则和作,然后将防火墙策略应用于入口接口。用于发送镜像数据包的接口上也应存在 GRE 隧道。
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
下面的代码示例突出显示了根据 VNI 镜像数据包所需的关键 Junos CLI 配置。
- 启用远程端口镜像,并配置要将镜像数据包发送到的流量源和目标。
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- 创建防火墙过滤器(此处名为 bf_vni_st),并将此过滤器中的 VNI 提升为数据包转发模块(换句话说,此命令将设置整个过滤器以优化 VNI 匹配条件)。
set firewall family inet filter fbf_vni_st promote vni
- 创建一个入口防火墙过滤器 (bf_vni_st),用于指定 VNI 匹配条件(此示例中为 6030)和作(此示例中的 count)。
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- 将过滤器应用于要镜像的接口上的入口流量。
set interfaces interface unit number family inet filter input fbf_vni_st