在本页
在逻辑接口上配置端口镜像
第 2 层端口镜像防火墙过滤器
本主题介绍以下信息:
第 2 层端口镜像防火墙过滤器概述
在 MX 系列路由器和 EX 系列交换机上,您可以配置防火墙过滤器 术语,以指定将第 2 层端口镜像应用于应用防火墙过滤器的接口上的所有数据包。
您可以将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。
MX 系列路由器和 EX 系列交换机支持在第 2 层环境中对 VPLS( 或 )流量和第 2 层 VPN 流量 进行第 2 层端口镜像family ethernet-switching
family vpls
family ccc
在 防火墙过滤器 中,您可以通过以下任一方式在语句下 指定第 2 层端口镜像属性:term
then
隐式引用对端口有效的第 2 层端口镜像属性。
显式引用第 2 层端口镜像的特定命名实例。
配置第 2 层端口镜像防火墙过滤器时,请勿包含基于路由源地址指定匹配条件的可选 语句。from
省略此语句,以便认为所有数据包都匹配,并且采用语句中指定的所有数据包。actionsaction-modifiersthen
如果要镜像所有传入数据包,则不得使用 from 语句;/*评论:如果对仅镜像数据包子集感兴趣,则可以使用 From 配置过滤器术语。
如果将集成路由和桥接 (IRB) 与 VLAN(或 VPLS 路由实例)相关联,并在 VLAN(或 VPLS 路由实例)中配置了具有或操作的转发表过滤器,则 IRB 数据包将镜像为第 2 层数据包。port-mirror
port-mirror-instance
您可以通过在 VLAN(或 VPLS 路由实例)中配置 no-irb-layer-2-copy 语句来禁用此行为。https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html
有关如何配置第 2 层端口镜像防火墙过滤器的详细说明,请参阅 定义第 2 层端口镜像防火墙过滤器。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
有关如何将第 2 层端口镜像防火墙过滤器与配置为提供商边缘 (PE) 路由器或 PE 交换机的 MX 路由器和 EX 系列交换机配合使用的详细信息,请参阅 了解 PE 路由器逻辑接口的第 2 层端口镜像。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html有关常规配置防火墙过滤器(包括在第 3 层环境中)的详细信息,请参阅路由策略、防火墙过滤器和流量监管器用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
镜像在逻辑接口上接收或发送的数据包
要镜像逻辑接口上接收或发送的第 2 层流量,请将端口镜像防火墙过滤器应用于 接口的输入或输出。
端口镜像防火墙过滤器也可以应用于聚合以太网逻辑接口。有关详细信息,请参阅 了解 PE 路由器聚合以太网接口的第 2 层端口镜像。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html
如果在逻辑接口的输入和输出端同时应用了端口镜像防火墙过滤器,则会镜像每个数据包的两个副本。为防止路由器或交换机将重复数据包转发至同一目标,您可以在第 2 层数据包地址族的全局实例中为第 2 层端口镜像启用“镜像一次”选项。
转发或泛洪到 VLAN 的数据包的镜像
要镜像转发到 VLAN 或泛洪到 VLAN 的第 2 层流量,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VLAN 转发表或泛洪表接收的、与过滤条件匹配的任何数据包都将被镜像。
有关 VLAN 的详细信息,请参阅 了解第 2 层桥接域 。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html有关 VLAN 中的泛洪行为的信息,请参阅 了解桥接域的第 2 层学习和转发 。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html
在一个 VLAN 下的任何接口上配置端口镜像时,镜像数据包可以移动到位于不同 VLAN 上的外部分析器。
转发或泛洪到 VPLS 路由实例的数据包的镜像
要镜像转发到 VPLS 路由实例或泛洪到 VPLS 路由实例的第 2 层流量,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VPLS 路由实例转发或泛洪表接收的、与筛选条件匹配的任何数据包都将被镜像。
有关 VPLS 路由实例的更多信息,请参阅配置 VPLS 路由实例和为桥接域和 VPLS 路由实例配置 VLAN 标识符。Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html有关 VPLS 中的泛洪行为的信息,请参阅 适用于路由设备的 Junos OS VPN 库。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
定义第 2 层端口镜像防火墙过滤器
对于虚拟专用 LAN 服务 (VPLS) 流量( 或 ),以及仅适用于 MX 系列路由器和 EX 系列交换机上的第 2 层 VPN ,您可以定义一个防火墙过滤器,将第 2 层端口镜像指定为数据包与防火墙过滤器术语中配置的条件匹配时要执行的操作。family ethernet-switching
family vpls
ccc
您可以通过以下方式使用第 2 层端口镜像防火墙过滤器:
镜像在逻辑接口上接收或发送的数据包。
镜像转发或泛洪到 VLAN 的数据包。
镜像转发或泛洪到 VPLS 路由实例的数据包。
将仅将隧道接口输入数据包镜像到多个目标。
有关可在 MX 系列路由器和 EX 系列交换机上配置的三种第 2 层端口镜像类型的摘要,请参阅 第 2 层端口镜像类型的应用。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html
要使用第 2 层端口镜像操作定义防火墙过滤器,请执行以下操作:
为端口镜像配置与协议无关的防火墙过滤器
在带有 MPC 的 MX 系列路由器上,您可以配置防火墙过滤器,以便在全局级别和实例级别镜像第 2 层和第 3 层数据包。在入口或出口处配置端口镜像时,将复制进入或退出接口的数据包,并将副本发送到本地接口进行本地监控。
从 Junos OS 13.3R6 版开始,只有 MPC 接口支持 执行端口镜像。family any
DPC 接口不支持 。family any
通常,防火墙过滤器的配置使其根据接口上配置的家族镜像第 2 层或第 3 层数据包。但是,在使用集成路由和桥接 (IRB) 接口的情况下,不会完全镜像第 2 层数据包,因为 IRB 接口配置为仅镜像第 3 层数据包。在此类接口上,您可以在该系列 中配置防火墙过滤器和端口镜像参数,以确保数据包完全镜像,无论它是第 2 层还是第 3 层数据包。any
对于实例上的端口镜像,您可以为同一实例配置一个或多个族,例如 、 、 和 。inetinet6cccvpls
在第 2 层端口镜像的情况下,VLAN 标记、MPLS 报头将被保留,并且可以在出口处的镜像副本中看到。
对于 VLAN 规范化,将在入口处看到镜像数据包规范化之前的信息。同样,在出口处,可以看到镜像数据包的规范化后的信息。
在开始配置端口镜像之前,必须配置有效的物理接口。
要为端口镜像配置与协议无关的防火墙过滤器,请执行以下操作:
示例:使用防火墙过滤器镜像员工 Web 流量
要求
此示例使用以下硬件和软件组件:
一台交换机
Junos 14.1X53-D20
概述
在此示例中, 并 用作员工计算机的连接。xe-0/0/0
xe-0/0/6
接口 连接到运行分析器应用程序的设备。xe-0/0/47
通常希望仅镜像某些流量,而不是镜像所有流量。这是对带宽和硬件的更有效使用,由于这些资产的限制,这可能是必要的。此示例仅镜像从员工计算机发送到 Web 的流量。
配置
若要指定将镜像的唯一流量是员工发送到 Web 的流量,请执行本节中介绍的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。
程序
CLI 快速配置
要快速配置来自员工计算机的发往 Web 的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
分步过程
要配置来自连接到员工计算机的两个端口的员工到 Web 流量的本地端口镜像,请执行以下操作:
将端口镜像实例(包括输出接口和运行分析器应用程序的设备的 IP 地址)配置为下一跃点。(仅配置输出 — 输入来自过滤器。还必须指定镜像用于 IPv4 流量 ()。
family inet
[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
配置一个名为的 IPv4 () 防火墙过滤器,该过滤器包含一个术语,用于匹配发送到 Web 的流量并将其发送到端口镜像实例。
family inet
watch-employee
传入和传出公司子网(目标 或源地址)的流量不需要复制,因此请先创建另一个术语,以便在流量到达将 Web 流量发送到实例的术语之前接受该流量:192.0.nn.nn/24
[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
配置连接到员工计算机和分析器设备的 IPv4 接口的地址:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
将防火墙过滤器作为入口过滤器应用于相应的接口:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
成果
检查配置结果:
[edit] user@switch# show forwarding-options { port-mirroring { employee-web-monitor { output { ip-address 192.0.2.100.0; } } } } } } ... firewall family inet { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirror; } } } ... interfaces { xe-0/0/0 { unit 0 { family inet { filter { input watch-employee; } } } } xe-0/0/6 { family inet { filter { input watch-employee; } } } }
验证
验证是否已正确创建分析器
目的
验证是否已使用适当的输入接口和输出接口在交换机上创建分析器。
操作
可以使用命令验证 端口镜像分析器是否已按预期配置。show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up xe-0/0/47.0 192.0.2.100
意义
此输出显示端口镜像实例的比率为 1(镜像每个数据包,默认设置)和被镜像的原始数据包的最大大小( 表示整个数据包)。0
如果输出接口的状态为关闭或未配置输出接口,则状态值将为 ,并且不会对实例进行编程以进行镜像。down
PE 路由器或 PE 交换机逻辑接口的第 2 层端口镜像
对于在服务提供商网络面向客户的边缘上配置为提供商边缘 (PE) 设备的路由器或交换机,您可以在以下入口点和出口点应用第 2 层端口镜像 防火墙过滤器 ,以镜像路由器或交换机与客户边缘 (CE) 设备(通常也是路由器和以太网交换机)之间的流量。
表 1 介绍了将第 2 层端口镜像防火墙过滤器应用于配置为 PE 设备的路由器或交换机的方法。
PE 路由器或 PE 交换机聚合以太网接口的第 2 层端口镜像
聚合以太网接口是一种虚拟聚合链路,由一组速度相同且在全双工链路连接模式下运行的物理接口组成。您可以为 VPLS 路由实例配置 CE 设备和 PE 设备之间的聚合以太网接口。流量在聚合接口中的所有链路之间进行负载平衡。如果聚合接口中的一个或多个链路发生故障,流量将切换到其余链路。
您可以将第 2 层端口镜像 防火墙过滤器 应用于聚合以太网接口,以便在父接口上配置 端口镜像 。但是,如果任何子接口绑定到不同的第 2 层端口镜像实例,则在子接口接收的数据包将镜像到其各自端口镜像实例指定的目标。因此,多个子接口可以将数据包镜像到多个目标。
例如,假设父聚合以太网接口实例 有两个子接口:ae0
xe-2/0/0
xe-3/1/2
假设 上的 这些子接口绑定到两个不同的第 2 层端口镜像实例:ae0
— 第 2 层端口镜像的命名实例,绑定到子接口 。
pm_instance_A
xe-2/0/0
— 第 2 层端口镜像的命名实例,绑定到子接口 。
pm_instance_B
xe-3/1/2
现在假设您将第 2 层端口镜像防火墙过滤器应用于发送的第 2 层流量(聚合以太网接口实例上的逻辑单元)。ae0.0
0
0
这将启用 上的端口镜像,这将对指定了第 2 层端口镜像属性的子接口上接收的流量的处理产生以下影响:ae0.0
上 接收到的数据包将镜像到端口镜像实例 中配置的输出接口。
xe-2/0/0
pm_instance_A
上 接收到的数据包将镜像到端口镜像实例 中配置的输出接口。
xe-3/1/2.0
pm_instance_B
由于和可以指定不同的数据包选择属性或镜像目标属性,因此在和上接收的数据包可以将不同的数据包镜像到不同的目的地。pm_instance_A
pm_instance_B
xe-2/0/0
xe-3/1/2.0
将第 2 层端口镜像应用于逻辑接口
您可以将第 2 层端口镜像防火墙过滤器应用于逻辑接口(包括聚合以太网逻辑接口)的输入或输出。仅镜像过滤器操作指定的地址类型系列的数据包。
在开始之前,请完成以下任务:
定义要应用于逻辑接口输入或逻辑接口输出的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器。
注:此配置任务显示两个第 2 层端口镜像防火墙过滤器:一个过滤器应用于逻辑接口入口流量,另一个过滤器应用于逻辑接口出口流量。
要将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口,请执行以下操作:
将第 2 层端口镜像应用于转发或泛洪到网桥域的流量
您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到桥接域的流量。仅镜像指定系列类型并转发或泛洪到该桥接域的数据包。
在开始之前,请完成以下任务:
定义要应用于转发到桥接域或泛洪到桥接域的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器。
注:此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于网桥域转发表入口流量,另一个过滤器应用于网桥域泛洪表入口流量。
要将第 2 层端口镜像防火墙过滤器应用于网桥域的转发表或泛洪表,请执行以下操作:
将第 2 层端口镜像应用于转发或泛洪到 VPLS 路由实例的流量
您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VPLS 路由实例的流量。仅镜像指定系列类型并转发或泛洪到该 VPLS 路由实例的数据包。
在开始之前,请完成以下任务:
定义要应用于转发到 VPLS 路由实例或泛洪到 VLAN 的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器。
注:此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VPLS 路由实例转发表入口流量,另一个过滤器应用于 VPLS 路由实例泛洪表入口流量。
要将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表,请执行以下操作:
将第 2 层端口镜像应用于转发或泛洪到 VLAN 的流量
您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VLAN 的流量。仅镜像指定系列类型并转发或泛洪到该 VLAN 的数据包。
在开始之前,请完成以下任务:
定义要应用于转发到 VLAN 或泛洪到 VLAN 的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器。
注:此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VLAN 转发表入口流量,另一个过滤器应用于 VLAN 泛洪表入口流量。
要将第 2 层端口镜像防火墙过滤器应用于 VLAN 的转发表或泛洪表,请执行以下操作:
示例:逻辑接口上的第 2 层端口镜像
以下步骤描述了一个示例,其中使用全局端口镜像实例和端口镜像防火墙过滤器为逻辑接口的输入配置第 2 层端口镜像。
配置 VLAN (包含外部数据包分析器)和 VLAN (包含要镜像的第 2 层流量的源和目标):example-bd-with-analyzerexample-bd-with-traffic
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }
假定逻辑接口 与要接收端口镜像数据包的外部流量分析器相关联。ge-2/0/0.0 假设逻辑接口 和将分别是流量输入和 输出端口。ge-2/0/6.0ge-3/0/1.2
为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN 上的逻辑接口)。ge-2/0/0.0example-bd-with-analyzer 请务必启用允许将筛选器应用于此端口镜像目标的选项:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }
层次结构级别的语句指定每 10 个数据包开始采样一次,并且要镜像所选的前 5 个数据包中的每一个。
input
[edit forwarding-options port-mirroring]
层次结构级别的语句指定桥接环境中第 2 层数据包的输出镜像接口:
output
[edit forwarding-options port-mirroring family ethernet-switching]
与外部数据包分析器关联的逻辑接口 配置为端口镜像目标。ge-2/0/0.0
可选 语句允许在此目标接口上配置过滤器。
no-filter-check
配置第 2 层端口镜像防火墙过滤器 :example-bridge-pm-filter
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }
将此防火墙过滤器应用于桥接环境中流量的逻辑接口的输入或输出时,将根据为第 2 层端口镜像全局实例配置的输入数据包采样属性和镜像目标属性执行第 2 层端口镜像。由于此防火墙过滤器配置了单个默认过滤器操作,因此属性( = 和 = )选择的所有数据包都与此过滤器匹配。acceptinputrate10run-length5
配置逻辑接口:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }
在 VLAN 上的逻辑接口接收的数据包由端口镜像防火墙过滤器进行评估。ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter 防火墙过滤器根据防火墙过滤器本身中配置的过滤器操作,以及在全局端口镜像实例中配置的输入数据包采样属性和镜像目标属性,对输入流量进行操作:
在 接收 的所有数据包都将转发到逻辑接口 上(假定的)正常目的地。ge-2/0/6.0ge-3/0/1.2
对于每 10 个输入数据包,该选择中的前 5 个数据包的副本将被转发到位于另一个 VLAN 中的逻辑接口的外部分析器 。ge-0/0/0.0example-bd-with-analyzer
如果将端口镜像防火墙过滤器 配置为执行 操作而不是 该操作,则所有原始数据包都将被丢弃,而使用全局端口镜像 属性选择的数据包副本将发送到外部分析器。example-bridge-pm-filterdiscardacceptinput
示例:第 2 层 VPN 的第 2 层端口镜像
以下示例并非完整配置,但显示了使用 在 L2VPN 上配置端口镜像所需的所有步骤。family ccc
配置 VLAN ,其中包含外部数据包分析器:port-mirror-bd
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }
配置第 2 层 VPN CCC 以连接逻辑接口和逻辑接口:ge-2/0/1.0ge-2/0/1.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }
为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN 上的逻辑接口):ge-2/2/9.0example-bd-with-analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }
定义第 2 层端口镜像防火墙过滤器:pm_filter_cccfamily ccc
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }
将端口镜像实例应用到机箱:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }
配置 VLAN 接口,并使用防火墙过滤器配置端口镜像接口:ge-2/2/9ge-2/0/1pm_filter_ccc
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
示例:具有 LAG 链路的第 2 层 VPN 的第 2 层端口镜像
以下示例并非完整配置,但显示了使用聚合以太网链路在 L2VPN 上配置端口镜像所需的所有步骤。family ccc
配置 VLAN ,其中包含外部数据包分析器:port_mirror_bd
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }
配置第 2 层 VPN CCC 以连接接口和接口:ae0.0ae0.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }
为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN 上的逻辑接口):ge-2/2/9.0example_bd_with_analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }
配置防火墙过滤器:pm_cccfamily ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }
将聚合以太网接口和端口镜像实例应用到机箱:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }
使用过滤器配置接口和(对于聚合以太网)和 (用于端口镜像):ae0ge-2/0/2ge-2/2/8pm_ccc
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
family any