EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持
我们支持在以太网 VPN 虚拟可扩展 LAN (EVPN-VXLAN) 叠加网络中进行 MAC 过滤、风暴控制以及端口镜像和分析。
我们使用企业样式的接口配置来支持这些功能。
我们还使用服务提供商 (SP) 样式进行接口配置来支持这些功能,但有一些限制:
-
我们使用 SP 样式接口配置在输入方向上支持带有防火墙过滤器的端口镜像,但不支持在输出方向上。
-
我们仅在 SP 样式物理接口配置中的单个逻辑接口上支持风暴控制。您无法在使用 SP 样式配置的多个逻辑接口上配置风暴控制。
-
由于硬件限制,应用于逻辑接口的风暴控制也适用于底层物理接口。
-
配置了风暴控制的逻辑接口会记录风暴,但物理接口上的任何逻辑接口都可以触发风暴控制。
-
我们仅在 EVPN-VXLAN 边缘路由桥接 (ERB) 叠加网络(也称为具有折叠 IP 交换矩阵的 EVPN-VXLAN 拓扑)中支持这些功能。此叠加网络包括以下组件:
-
单层瞻博网络交换机(例如 QFX10002、QFX5120 或 QFX5110 交换机),每层交换机都可用作第 3 层主干设备和第 2 层叶设备。
-
在主动/主动模式下为单宿主或多宿主的客户边缘 (客户边缘) 设备到主干-叶设备。
我们在某些平台上支持 EVPN-VXLAN 进行本地和远程端口镜像:
-
local— 数据包将镜像到同一设备上的目标。
-
远程 — 数据包将镜像到远程设备上的目标。
如果希望将远程端口镜像与 EVPN-VXLAN 配合使用,请务必查看“功能浏览器”页面,了解采用 VXLAN 封装的远程端口镜像 ,以查看支持的平台和版本。
请参阅 端口镜像和分析器 ,了解有关使用 EVPN-VXLAN 进行本地或远程端口镜像的更多信息。
本主题包含以下信息:
EVPN-VXLAN 环境中 MAC 过滤、风暴控制和端口镜像支持的优势
-
MAC 过滤允许您过滤和接受来自面向入口客户边缘的接口的数据包,从而减少以太网交换表中关联的 MAC 地址量和 VXLAN 中的流量。
-
风暴控制使您能够监控 EVPN-VXLAN 接口上的流量级别,如果超过指定的流量级别,则丢弃广播、未知单播和组播 (BUM) 数据包以及某些瞻博网络交换机上的流量级别,禁用接口指定的时间。此功能可以防止过多流量降低网络性能。
-
借助端口镜像和分析器,您可以在 EVPN-VXLAN 环境中分析数据包级别的流量。您可以使用此功能实施与网络使用和文件共享相关的策略,并通过定位特定站点或应用程序的异常或大量带宽使用情况来识别问题来源。
MAC 过滤
您可以通过 MAC 过滤过滤 MAC 地址并接受流量。我们仅在面向客户边缘的入口接口上支持此功能,这些接口通常不启用 VXLAN 封装。要使用此功能,您必须执行以下作:
-
将防火墙过滤器应用于层次结构中
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]配置的第 2 层接口。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
X |
| 目标 MAC 地址 |
X |
X |
| 用户 VLAN ID |
X |
X |
| 源端口 |
X |
|
| 目标端口 |
X |
|
| 以太类型 |
X |
|
| IP 协议 |
X |
|
| IP 优先级 |
X |
|
| ICMP 代码 |
X |
|
| TCP 标志 |
X |
|
| IP 地址 |
X |
在 Junos OS 18.4R1 版中,QFX5100 和 QFX5110 交换机仅在某个接口上支持 MAC 过滤。而且,从 Junos OS 18.4R2 版及更高版本开始,QFX5100、QFX5110、QFX5120-48Y 和 EX4650-48Y 交换机还支持对 VXLAN 映射的 VLAN 进行 MAC 过滤。Junos OS 22.2 版支持 MAC 过滤和传输 VNI 匹配,适用于 QFX10002、QFX10008 和 QFX10016 设备上的纯 IPv6 底层网络。
| 匹配条件 |
接口输入滤波器支持 |
接口输出滤波器支持 |
|---|---|---|
| 源 MAC 地址 |
X |
|
| 目标 MAC 地址 |
X |
|
| 用户 VLAN ID |
||
| 源端口 |
X |
X |
| 目标端口 |
X |
X |
| 以太类型 |
X |
X |
| IP 协议 |
X |
|
| IP 优先级 |
X |
X |
| ICMP 代码 |
X |
X |
| TCP 标志 |
X |
X |
| IP 地址 |
X |
X |
在 QFX10000 交换机上配置 MAC 过滤器时,请记住以下几点:
-
您只能将过滤器应用于某个接口。您无法将过滤器应用于 VXLAN 映射的 VLAN。
-
我们不支持在同一防火墙过滤器中混合使用第 2 层匹配条件和第 3 层/第 4 层匹配条件。例如,如果在QFX10002交换机上的同一防火墙过滤器中包括源MAC 地址和源端口匹配条件,则防火墙过滤器将不起作用。
-
我们不支持用户 VLAN ID 匹配条件。因此,如果需要过滤逻辑接口(每个接口都映射到特定的 VLAN),则在配置物理接口和关联的逻辑接口时,必须使用服务提供商样式的配置。创建防火墙过滤器后,您必须将过滤器应用于每个逻辑接口,以实现用户 VLAN ID 匹配条件的效果。
- 在 Junos OS 22.2 版中,还支持在源/目标 IP 外部报头上进行 VXLAN 网络 ID (VNI) 匹配,用于 QFX10002、QFX10008 和 QFX10016 设备的第 3 层接口上的中转流量。VNI 匹配仅在外部标头和入口流量上进行。在路由隧道数据包的中转设备上,MAC 过滤必须支持将外部标头中的 VNI 以及外部标头源地址和目标 IPv6 地址匹配为匹配条件。对于命令中的
<vxlan [vni <vni-id>]>术语,请使用set firewall family inet6 filtervxlan 匹配 CLI 选项下的 VNI 匹配过滤器。使用命令show firewall filter显示统计信息。
通过防火墙过滤器,您可以指定与特定接口上允许的 VXLAN 相关联的 MAC 地址。
将防火墙过滤器应用于第 2 层接口后,该接口将驻留在默认交换机实例下。
在 QFX5110 交换机上,以下示例配置创建了一个名为 DHCP-Discover-In 的防火墙过滤器,用于接受并计算第 2 层逻辑接口 xe-0/0/6.0 上满足多个匹配条件(源 MAC 地址、目标 MAC 地址、目标端口和 VLAN ID)的传入流量:
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
风暴控制
默认情况下,对于与 VXLAN 关联的第 2 层接口,QFX 和 EX 交换机会启用风暴控制。风暴控制级别设置为组合 BUM 流量流的 80%。
EVPN-VXLAN 风暴控制在 ACX 系列平台上的工作方式略有不同。有关详细信息,请参阅 特定于平台的风暴控制行为。
在 EVPN-VXLAN 环境中,风暴控制在与 VXLAN 关联的第 2 层接口上实施和配置与非 EVPN-VXLAN 环境相同,但存在以下区别:
-
在 EVPN-VXLAN 环境中,风暴控制监控的流量类型如下:
-
源自 VXLAN 并转发至同一 VXLAN 内的接口的第 2 层 BUM 流量。
-
第 3 层组播流量,由 VXLAN 中的集成路由和桥接 (IRB) 接口接收并转发至其他 VXLAN 中的接口。
-
-
创建风暴控制配置文件后,您必须将其绑定到层次结构中的
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]入口第 2 层接口。注意:将配置文件绑定到第 2 层接口后,该接口将驻留在默认交换机实例中。
-
如果接口上的流量流超过指定的风暴控制级别,瞻博网络交换机将丢弃多余的数据包,这称为速率限制。此外,EVPN-VXLAN 环境中的 QFX10000 交换机支持在层次结构级别使用
[edit forwarding-options storm-control-profiles]配置语句和recovery-timeout在层次结构级别使用配置语句[edit interfaces interface-name unit logical-unit-number family ethernet-switching]在action-shutdown指定时间内禁用接口。注意:EVPN-VXLAN 环境中的 QFX5100 和 QFX5110 交换机不支持在指定时间内禁用接口。
注意:在 QFX5110 交换机上,如果在某个接口上配置了增强型风暴控制和本机分析器,并且本机分析器将 VXLAN VLAN 作为输入,则关闭作将不适用于该接口上的 VLAN。速率限制将按预期工作。
以下配置将创建一个名为 scp 的配置文件,该配置文件指定如果组合 BUM 流量流使用的带宽在第 2 层逻辑接口 et-0/0/23.0 上超过 5%,则接口将丢弃多余的 BUM 流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
以下配置可创建一个名为 scp 的配置文件,其指定如果第 2 层逻辑接口 et-0/0/23.0 上组播流量流(不包括广播和未知单播流量流)使用的带宽超过 5%,则接口将丢弃多余的组播流量。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
QFX10000 交换机上的以下配置将创建与之前配置相同的配置文件。但是,如果流量流超过 5%,以下配置不会隐式丢弃组播流量,而是显式禁用接口 120 秒,然后重新启用接口。
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
端口镜像和分析器
为了分析 EVPN-VXLAN 环境中的流量,我们支持以下端口镜像和分析器功能:
-
本地镜像
-
在接口上
-
在 VXLAN 上
-
-
远程镜像
-
在接口上
-
在 VXLAN 上
-
以下部分提供了有关支持功能的详细信息,并包括示例配置。
本地镜像
本地镜像可与交换端口分析器 (SPAN) 相媲美。
| 应用本地镜像的实体 |
流量方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向客户边缘的接口 |
入口 |
支持。 请参阅用例 1:示例配置。 |
支持。 请参阅用例 2:示例配置。 |
| 面向客户边缘的接口 |
出口 |
不支持。 |
支持;但是,出口镜像流量可能携带与原始流量中的标记不同的不正确 VLAN 标记。 请参阅用例 3:示例配置。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 |
支持。 请参阅用例 4:示例配置。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像决策发生在入口处,因此第 2 层标头与交换数据包或路由数据包不同。镜像 VXLAN 封装的数据包不会包含 VXLAN 标头。 请参阅用例 5:示例配置。 |
| VXLAN 映射 VLAN |
入口 |
支持。 |
仅支持通过面向客户边缘的接口进入的流量。 请参阅用例 6:示例配置。 |
配置本地镜像
Use Case 1: Firewall filter-based
通过使用名为 pm1 的端口镜像实例和防火墙过滤器,此配置指定通过逻辑接口 xe-0/0/8.0 进入VXLAN100的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器,然后镜像到端口镜像实例 pm1。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
通过在层次结构级别使用 analyzer [set forwarding-options] configuration 语句,此配置指定进入逻辑接口 xe-0/0/8.0 的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置指定退出逻辑接口 xe-0/0/8.0 的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
通过在[set forwarding-options]层次结构级别使用 analyzer configuration 语句,此配置指定进入逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
通过在层次结构级别使用 analyzer [set forwarding-options] configuration 语句,此配置指定退出逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到逻辑接口 xe-0/0/6.0 上的分析器。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置将指定进入名为 VXLAN100 的 VLAN 并镜像到逻辑接口 xe-0/0/6.0 上的分析器的第 2 层流量。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
远程镜像
当输出目标与源不在同一交换机上时,将使用远程端口镜像。远程镜像将镜像流量传送到一个或多个远程目标主机。它通常在数据中心环境中用于故障排除或监控。
在 EVPN-VXLAN 环境中,源交换机上的镜像流量将经过封装,并通过底层 IP 交换矩阵以隧道传输到目标主机 IP 地址。我们支持以下类型的封装:
-
通用路由封装 (GRE) 与远程镜像配合使用,可在由路由域分隔的交换机之间封装流量。在 EVPN-VXLAN 叠加中,GRE 封装支持通过 IP 交换矩阵在叶设备之间进行镜像。当镜像目标主机连接到与源交换机属于同一交换矩阵的交换机时,可通过 GRE 使用远程镜像。使用 GRE 封装的远程镜像可与封装远程 SPAN (ERSPAN) 相媲美。
注意:在 ACX7100-32C 和 ACX7100-48L 平台上,ERSPAN 的可比版本是 ERSPAN 版本 2 (ERSPAN v2)。
-
当源和输出目标位于不同的 VNI 域中时,VXLAN封装支持 EVPN-VXLAN 的远程镜像。您必须配置特定的 VXLAN,以便镜像输出目标接口的流量并映射到 VNI。使用 VXLAN 封装的远程镜像可与远程 SPAN (RSPAN) 相媲美。
| 应用远程镜像的实体 |
流量方向 |
基于过滤器的支持 |
基于分析器的支持 |
|---|---|---|---|
| 面向客户边缘的接口 |
入口 |
支持。 ACX7100 不支持。 |
支持。请参阅用例 1:示例配置。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向客户边缘的接口 |
出口 |
不支持。 |
支持。请参阅用例 2:示例配置。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头。 |
| 面向 IP 交换矩阵的接口 |
入口 |
支持。 ACX7100 不支持。 |
支持。请参阅用例 3:示例配置。 在 ACX7100 上受支持。但是,镜像 VXLAN 封装的数据包包括 VXLAN 标头和 GRE 标头。 |
| 面向 IP 交换矩阵的接口 |
出口 |
不支持。 |
支持。但是,镜像决策发生在入口处,因此第 2 层标头与交换数据包或路由数据包不同。请参阅用例 4:示例配置。
注意:
镜像流量可能在本征 MAC 帧上包含 4094 的虚假 VLAN ID 标记。 在 ACX7100 上受支持。但是,镜像数据包包含 GRE 标头,但不包含 VXLAN 标头。 |
| VXLAN 映射 VLAN |
入口 |
支持。 ACX7100 不支持。 |
仅支持进入面向客户边缘的接口的流量。请参阅用例 5:示例配置。 ACX7100 不支持。 |
使用 GRE 封装配置远程镜像
以下示例配置用于使用 GRE 封装进行基于分析器的远程镜像。
有关在 ACX7100 上使用 GRE 封装配置远程分析器的示例,请参阅 示例:在 ESI-LAG 接口上启用远程分析器实例。
Use Case 1
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置指定进入逻辑接口 xe-0/0/8.0 的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
通过在[set forwarding-options]层次结构级别使用 analyzer configuration 语句,此配置指定退出逻辑接口 xe-0/0/8.0 的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置指定进入逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置指定退出逻辑接口 xe-0/0/29.0 的第 2 层流量将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
通过 analyzer 在层次结构级别使用 [set forwarding-options] configuration 语句,此配置指定进入 VXLAN100 的第 2 层流量(映射到逻辑接口 xe-0/0/8.0)将镜像到 IP 地址为 10.9.9.2 的远程逻辑接口。
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
使用 VXLAN 封装配置远程镜像
要了解哪些平台在哪些版本中支持此功能,请参阅“功能浏览器”页面,了解 使用 VXLAN 封装的远程端口镜像。
基于分析器的配置
以下示例配置用于采用 VXLAN 封装的基于分析器的远程镜像。进入VLAN100的第 2 层流量将镜像到映射至 VNI 1555 的远程输出目标VLAN3555。
此配置使用目标 VLAN 上的环路接口来封装镜像数据包。
-
目标接口 xe-0/0/2 从外部连接到环路接口 xe-0/0/3。
- 逻辑接口 xe-0/0/2.0 和 xe-0/0/3.0 是目标VLAN3555的成员。
- 接口 xe-0/0/2.0 采用企业样式配置,不带任何 VNI 映射,而接口 xe-0/0/3.0 采用服务提供商样式配置,具有相同的 VLAN ID 和 VNI 映射。这是为了防止这些端口之间出现泛洪或环路。
- 必须在 xe-0/0/2.0 上禁用 Mac-learning。
入口接口必须在中继模式下配置,以便对封装的数据包进行标记。要对标记的数据包进行解封装,请在解封装节点上配置 set protocols l2-learning decapsulate-accept-inner-vlan 命令。
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
要配置逻辑环路接口而不是使用外部连接,请使用以下命令:
set interfaces interface-name ether-options loopback
以下示例配置在接口 xe-0/0/2 上使用逻辑环路:
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
基于防火墙过滤器的配置
以下配置将防火墙过滤器 应用于 filter1接口 xe-0/0/34 上的入口流量。在此接口上进入的流量将镜像到目标 VLAN3555。目标 VLAN 使用名为 pm1的端口镜像实例定义。
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
使用 VNI 匹配条件的远程端口镜像
对于 QFX10002、QFX10008 和 QFX10016 系列交换机,在过滤流量以进行远程端口镜像时,可以使用 VXLAN 网络标识符 (VNI) 值作为匹配条件。这种能力通常用于网络规划和分析,例如深度包检测 (DPI)。
远程端口镜像功能用于创建目标入口数据包的副本,这些数据包封装在外部 IPv4 GRE 报头中,然后转发到指定的远程目标。支持 VNI 匹配条件意味着您可以基于其 VNI 选择要镜像的数据包,以便仅将这些流量定向至远程镜像端口。您还可以配置差异服务代码点 (DSCP) 值来确定流的优先级,例如,高优先级或尽力而为的交付。集成路由和桥接 (IRB) 接口不支持作为目标镜像端口。
概括而言,基于 VNI 的远程端口镜像过程是创建远程端口镜像实例,将防火墙过滤器家族中的 VNI 提升以处理 VNI,创建必要的过滤器规则和作,然后将防火墙策略应用于入口接口。用于发送镜像数据包的接口上也应建立 GRE 隧道。
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
以下代码示例重点介绍了根据 VNI 镜像数据包所需的关键 Junos CLI 配置。
- 启用远程端口镜像,并配置要将镜像数据包发送到的流量源和目标。
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- 创建防火墙过滤器(此处名为 bf_vni_st),并将此过滤器中的 VNI 提升为数据包转发模块(换句话说,此命令可设置整个过滤器以优化 VNI 匹配条件)。
set firewall family inet filter fbf_vni_st promote vni
- 创建入口防火墙过滤器 (bf_vni_st),用于指定 VNI 匹配条件(此示例中为 6030)和作(此示例中为 count)。
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- 将过滤器应用于要镜像的接口上的入口流量。
set interfaces interface unit number family inet filter input fbf_vni_st