在此页面上

了解 X2 流量监控
示例：为 X2 流量监控配置镜像过滤器

监控 X2 流量

本主题介绍 SRX 系列防火墙上的 X2 流量监控。

了解 X2 流量监控

在 LTE 移动网络中，SRX 系列防火墙充当连接演进节点 B （eNodeB）的安全网关，以实现信号切换、监控和无线电覆盖。SRX 系列防火墙使用 IPsec 隧道连接 eNodeB。从一个 eNodeB 流向另一个 eNodeB 的用户平面和控制平面流量称为 X2 流量。

X2 流量监控概述
X2 流量监控的局限性
X2 流量术语

X2 流量监控概述

通过 IPsec 隧道的 X2 流量已加密。因此，移动网络运营商需要一种方法来监控 X2 流量，以便他们可以调试跨 eNodeB 的切换问题。Junos OS 实施允许监控 X2 流量，方法是在流量解密之后和再次加密之前，窥探明文 X2 流量，当这些流量流经 SRX 系列防火墙并进入另一个 IPsec 隧道时。

图 1 显示了 SRX 系列防火墙内的 X2 流量。当流量到达一个 st0.x 接口上的 SRX 系列防火墙时，流量将被解密。然后，它被加密并通过其专用的st0.y接口转发到目标eNodeB。侦听对 SRX 系列防火墙上解密的 X2 流量执行。

图 1：LTE 移动网络中 SRX Series Firewall in an LTE Mobile Network

的 SRX 系列防火墙

图 2 显示了一个移动运营商网络，其中 SRX 系列防火墙在两个 eNodeB 之间提供 IPsec 隧道连接。SRX 系列防火墙连接到数据包分析器（也称为 sniffing 设备），用于收集和监控 X2 流量。来自每个 eNodeB 的 IPsec 隧道在 SRX 系列防火墙上的专用安全隧道接口上终止。来自 IPsec 隧道的入站流量将被解密，而离开设备的出站流量将被加密。

图 2：监控 X2 流量 Monitoring X2 Traffic

要监控 X2 流量，您可以配置多达 15 个不同的镜像过滤器，这些过滤器指定与流量匹配的唯一参数集。过滤后的数据包将被复制并发送到物理接口。要允许数据包分析器捕获过滤后的数据包，请指定 SRX 系列防火墙上的输出接口和数据包分析器的 MAC 地址。由于输出接口与数据包分析器连接到相同的第 2 层网络，因此一旦打开镜像过滤，数据包分析器就可以收集和分析 X2 流量。

SRX 系列镜像过滤器功能是双向的，非常类似于会话。对流经与镜像过滤器匹配的 IPSec VPN 的 X2 流量进行镜像和分析;从这些设备返回的流量也会被镜像和分析。

从 Junos OS 版本 18.4R1 开始，如果为 st0 接口配置了镜像过滤器的输出 X2 接口以过滤要分析的流量，则数据包将通过绑定到 st0 接口的 IPsec 隧道进行复制和加密。此增强功能支持 SRX 系列防火墙发送从 IPsec 隧道上的端口镜像的流量。镜像流量包括未修改的第 3 层标头。

注意：

尽管镜像过滤器没有最低参数数要求，但请注意，如果指定的条件太少或意外提交不完整的过滤器，则可能会镜像通过系统的超比例流量。

X2 流量监控的局限性

对于机箱群集设置中的 X2 流量，镜像数据包无法遍历数据链路（结构接口）。
启用 PowerMode IPsec （PMI）后，对 X2 流量镜像的支持不可用。如果在一个方向上启用了 PMI，但在另一个方向上禁用了 PMI，则只能捕获 PMI 未处于活动状态的方向的 X2 流量镜像。

X2 流量术语

表 1 列出了一些与 X2 流量相关的术语及其说明。

表 1：X2 流量术语
术语	描述
演进型数据包核心（EPC）	系统架构演进（SAE）的主要组成部分，也称为SAE核心。EPC 支持 IP 网络，并且使用移动管理实体（MME）、服务网关（SGW）和分组数据网络网关（PGW）子组件，相当于通用分组无线服务（GPRS）网络。
演进的通用地面无线接入网络（E-UTRAN）	无线接入网络标准。E-UTRAN是一种新的空中接口系统。它提供更高的数据速率和更低的延迟，并针对分组数据进行了优化。下行链路采用正交频分多址接入（OFDMA），上行链路采用单载波频分多址接入。
演进节点 B （eNodeB）	连接到移动电话网络，直接与移动听筒电话通信的设备，类似于全球移动通信系统（GSM）网络中的基站。eNodeB 由无线网络控制器（RNC）控制。
长期演进（LTE）	用于移动电话和数据终端的高速数据无线通信的标准。它使用不同的无线电接口提高容量和速度，并进行核心网络改进。
X2 接口	两个 eNodeB 与 E-UTRAN 之间的点对点逻辑接口。它支持在两个 eNodeB 之间交换信令信息，并支持将协议数据单元（PDU）转发到相应的隧道端点。
X2 应用协议（X2AP）	X2 接口使用的协议。它用于处理E-UTRAN内的用户设备移动性，并提供以下功能：管理移动性和负载报告一般错误情况设置和重置 X2 接口更新 eNodeB 配置

示例：为 X2 流量监控配置镜像过滤器

此示例说明如何配置镜像过滤器以监控 LTE 移动网络中两个 eNodeB 之间的 X2 流量。

要求
概述
配置
验证

要求

准备工作：

了解 X2 流量监控。.
配置接口、安全区域、安全策略和基于路由的 VPN 隧道，以便在 SRX 系列防火墙和两个 eNodeB 之间安全地传输数据。

概述

作为网络运营商，您需要一种方法来监控 X2 流量，以调试跨 eNodeB 的任何切换问题。镜像过滤器功能允许您执行此操作。来自 IPsec 隧道的流量经过解密、镜像和分析，然后再次加密以进入出站 IPsec 隧道。

更具体地说，与镜像过滤器匹配的流量将被镜像并发送到连接到数据包分析器（也称为 sniffing 设备）的输出接口。数据包分析器会分析 X2 流量，以便您对其进行监控。然后，在将流量发送到出站 IPsec 隧道之前，再次对其进行加密。

要使用镜像过滤器功能监控 X2 流量，请配置镜像过滤器。您最多可以同时配置 15 个不同的镜像过滤器，以过滤各种类型的流量。每个镜像过滤器都包含一组参数及其值，以便与流量匹配。

注意：

尽管镜像过滤器没有最低参数数要求，但请注意，如果指定的条件太少或意外提交不完整的过滤器，则可能会镜像通过系统的超比例流量。

镜像过滤器可以包含以下部分或全部参数来过滤流量：

目标 IP 地址前缀
目标端口
IP 协议
源 IP 地址前缀
源端口
传入和传出接口

您还可以在配置中指定数据包分析器的输出接口和 MAC 地址。

在此示例中，SRX 系列防火墙使用 IPsec 隧道连接 LTE 移动网络中的两个 eNodeB。该示例配置一个名为 traffic-https 的镜像筛选器。

图 3 显示了使用 IPsec 隧道连接到 eNodeB 的 SRX 系列防火墙。SRX 系列防火墙也连接到数据包分析器。

图 3：为 X2 流量监控 Configuring Mirror Filters for X2 Traffic Monitoring

配置镜像过滤器

在此示例中，将分析所有 HTTPS 流量，其目标地址是 IP 地址前缀为 203.0.113.0/24 且目标端口 443（HTTPS 流量的默认端口）的设备。与流量 https 过滤器匹配的数据包将被镜像，并通过输出接口 ge-0/0/5 发送到 MAC 地址为 00：50：56：87：20：5E 的数据包分析器。来自这些设备的返回流量也会受到监控。

注意：

镜像过滤器的输出接口是数据包分析器的接口，这就是使用 HTTP 协议的原因。

数据包分析器的输出接口使用 HTTP 协议。

配置

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改与您的网络配置匹配所需的任何详细信息，将命令复制并粘贴到层次结构级别的 CLI [edit] 中，然后从配置模式进入 commit 。

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置镜像过滤器以监控 X2 流量，请执行以下操作：

创建一个名为 traffic-https 的镜像筛选器。

指定与流量匹配的镜像过滤器参数。

指定要发送到数据包分析器的镜像数据包的输出接口。

将数据包分析器的 MAC 地址指定为所有镜像数据包（即与镜像过滤器匹配的数据包）的目标。

结果

在配置模式下，输入 show security forwarding-options 命令确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明以进行更正。

如果完成设备配置，请从配置模式输入 commit 。

验证

确认配置工作正常。

验证镜像过滤器的状态

目的
行动
意义

目的

验证镜像过滤器是否处于活动状态。

行动

在操作模式下，输入 show security forward-options mirror-filter 特定镜像过滤器的命令。

意义

输出提供镜像过滤器状态。它显示名为 traffic-https 的镜像过滤器处于活动状态。流量 https 镜像过滤器指定流量必须匹配的协议、目标前缀和目标端口，以便对其进行镜像和分析。

此输出显示镜像了两个数据包。