Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

在逻辑接口上配置端口镜像

2 层端口镜像防火墙过滤器

本主题介绍以下信息:

2 层端口镜像防火墙过滤器概述

在 MX 系列路由器和 EX 系列交换机上,您可以配置防火墙过滤器 术语,以指定将第 2 层端口镜像应用于应用防火墙过滤器的接口上的所有数据包。

您可以将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口),应用于转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。

MX 系列路由器和 EX 系列交换机支持 VPLS(family ethernet-switchingfamily vpls) 流量的第 2 层端口镜像以及第 2 层 VPN 流量以及 family ccc 第 2 层 VPN 流量

在防火墙过滤器 term中,可以通过以下任一方式在 then 语句下指定第 2 层端口镜像属性:

  • 隐式引用对端口生效的第 2 层端口镜像属性。

  • 显式引用第 2 层端口镜像的特定命名实例。

注:

配置第 2 层端口镜像防火墙过滤器时,请勿包含基于路由源地址指定匹配条件的可选 from 语句。省略此语句,以便所有数据包均被视为匹配,并获取语句then中指定的所有actionsaction-modifiers数据包。

如果要镜像所有传入的数据包,则不得使用 from 语句;/*评论:其中一个配置过滤器术语,如果他们只想镜像数据包的一个子集。

注:

如果将集成路由和桥接 (IRB) 与 VLAN(或 VPLS 路由实例)关联,并在 VLAN(或 VPLS 路由实例)中配置带有 port-mirrorport-mirror-instance 操作的转发表过滤器,则 IRB 数据包将镜像为第 2 层数据包。您可以通过在 VLAN(或 VPLS 路由实例)中配置 no-irb-layer-2-copy 语句来禁用此行为。

有关如何配置第 2 层端口镜像防火墙过滤器的详细说明,请参阅 定义第 2 层端口镜像防火墙过滤器

有关如何使用将 MX 路由器和 EX 系列交换机配置为提供商边缘 (PE) 路由器或 PE 交换机的第 2 层端口镜像防火墙过滤器的详细信息,请参阅 了解 PE 路由器逻辑接口的第 2 层端口镜像。有关配置防火墙过滤器常规信息(包括第 3 层环境),请参阅路由策略、防火墙过滤器和流量监管器用户指南

在逻辑接口上接收或发送的数据包的镜像

要镜像 在逻辑接口上接收或发送的第 2 层流量,请对接口的输入或输出应用端口镜像防火墙过滤器。

端口镜像防火墙过滤器也可应用于聚合以太网逻辑接口。有关详细信息,请参阅 了解 PE 路由器聚合以太网接口的第 2 层端口镜像

注:

如果同时在逻辑接口的输入和输出处应用端口镜像防火墙过滤器,则每个数据包的两个副本都会镜像。要防止路由器或交换机将重复数据包转发到同一目标,可以在第 2 层数据包地址家族的全局实例中为第 2 层端口镜像启用“镜像一次”选项。

转发或泛洪到 VLAN 的数据包镜像

要镜像转发到 VLAN 或泛洪到 VLAN 的第 2 层流量,请对转发表或泛洪表的输入应用端口镜像防火墙过滤器。为 VLAN 转发或泛洪表接收且符合过滤器条件的任何数据包都将被镜像。

有关 VLAN 的更多信息,请参阅 了解第 2 层网桥域 。有关 VLAN 中的泛洪行为的信息,请参阅 了解网桥域的第 2 层学习和转发

注:

在一个 VLAN 下的任何接口上配置端口镜像时,镜像的数据包可以移动到位于不同 VLAN 上的外部分析器。

转发或泛洪到 VPLS 路由实例的数据包镜像

要镜像转发至 VPLS 路由实例或泛洪到 VPLS 路由实例的第 2 层流量,请对转发表或泛表的输入应用端口镜像防火墙过滤器。为 VPLS 路由实例转发或泛洪表接收且符合过滤器条件的任何数据包都将被镜像。

有关 VPLS 路由实例的更多信息,请参阅 配置 VPLS 路由实例配置网桥域和 VPLS 路由实例的 VLAN 标识符。有关 VPLS 中的泛洪行为的信息,请参阅 路由设备的 Junos OS VPN 库

定义第 2 层端口镜像防火墙过滤器

对于虚拟专用 LAN 服务 (VPLS) 流量(family ethernet-switchingfamily vpls)以及仅在 MX 系列路由器和 EX 系列交换机上的第 2 层 VPN ccc,您可以定义一个防火墙过滤器,该过滤器将第 2 层端口镜像指定为与防火墙过滤器术语中配置的条件匹配时要执行的操作。

您可以通过以下方式使用第 2 层端口镜像防火墙过滤器:

  • 镜像在逻辑接口上接收或发送的数据包。

  • 将转发或泛洪到 VLAN 的数据包镜像。

  • 将转发或泛洪到 VPLS 路由实例的数据包镜像。

  • 仅将隧道接口输入数据包镜像到多个目标。

有关可在 MX 系列路由器和 EX 系列交换机上配置的三种第 2 层端口镜像的摘要,请参阅 第 2 层端口镜像类型的应用

要定义具有第 2 层端口镜像操作的防火墙过滤器:

  1. 为属于 VLAN、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的第 2 层数据包启用防火墙过滤器配置:

    选项的值family可以是 ethernet-switching 、 或cccvpls

  2. 启用防火墙过滤器 pm-filter-name配置:
  3. 启用防火墙过滤器术语 pm-filter-term-name配置:
  4. (可选)仅当想要镜像取样数据包的子集 时,才 根据路由源地址指定防火墙过滤器匹配条件。
    注:

    如果您希望所有取样数据包都匹配(并受语句中 then 指定的操作的约束),则完全省略该 from 语句。

  5. action启用对匹配数据包的配置并action-modifier应用于匹配的数据包:
  6. 指定要对匹配数据包采取的操作:

    建议的值是actionaccept。如果未指定操作,或者完全省略了语句 then ,则接受与语句中 from 条件匹配的所有数据包。

  7. 将第 2 层端口镜像或下一跃点组指定为 action-modifier

    • 要引用目前对数据包转发引擎或与底层物理接口关联的 PIC 生效的第 2 层端口镜像属性,请使用 port-mirror 以下语句:

    • 要引用在特定命名实例中配置的第 2 层端口镜像属性,请使用端口镜像实例pm-instance-name 操作修改符:

      如果底层物理接口未绑定到第 2 层端口镜像的命名实例,而是隐式绑定到第 2 层端口镜像的全局实例,则逻辑接口上的流量将根据操作修改器引用 port-mirror-instance 的指定实例中指定的属性进行镜像。

    • 要引用指定下一跃点地址的下一跃点组(用于向分析器发送数据包的其他副本),请使用 next-hop-group pm-next-hop-group-name 操作修改符:

      有关下一跃点组的配置信息,请参阅 定义用于第 2 层端口镜像的下一跃点组。如果为第 2 层端口镜像指定下一跃点组,则防火墙过滤器术语仅适用于隧道接口输入。

  8. 验证第 2 层端口镜像防火墙过滤器的最低配置:

    在防火墙过滤器术语语句中action-modifier,可以 port-mirror、或port-mirror-instance next-hop-group pm-next-hop-group-namethen

为端口镜像配置与协议无关的防火墙过滤器

在带有 MPC 的 MX 系列路由器上,您可以配置防火墙过滤器,以在全局级别和实例级别镜像第 2 层和第 3 层数据包。在入口或出口配置端口镜像时,将复制进入或退出接口的数据包,并将副本发送到本地接口进行本地监控。

注:

从 Junos OS 13.3R6 版开始,仅支持 family any MPC 接口进行端口镜像。DPC 接口不支持 family any

通常,防火墙过滤器的配置使其根据接口上配置的家族镜像第 2 层或第 3 层数据包。但是,如果采用集成路由和桥接 (IRB) 接口,则第 2 层数据包不会完全镜像,因为 IRB 接口配置为仅镜像第 3 层数据包。在此类接口上,您可以配置该系列 any 中的防火墙过滤器和端口镜像参数,以确保数据包完全镜像,无论它是第 2 层还是第 3 层数据包。

注:

  • 对于实例的端口镜像,您可以为同一实例配置一个或多个家族,如 inetinet6ccc和,并 vpls 同时配置。

  • 如果是第 2 层端口镜像,VLAN 标记、MPLS 标头将被保留,您可以在出口处的镜像副本中看到。

  • 对于 VLAN 规范化,在入口处可以看到镜像数据包的规范化前的信息。同样,在出口处,可以看到镜像数据包的规范化后的信息。

开始配置端口镜像之前,必须配置有效的物理接口。

要为端口镜像配置与协议无关的防火墙过滤器:

  1. 配置全局防火墙过滤器,用于镜像出口或入口流量。
  2. 配置防火墙过滤器以镜像实例的流量。
  3. 为出口和入口流量配置镜像参数。
  4. 为实例配置镜像参数。在此配置中,您可以将第 2 层数据包的输出或目标指定为有效的下一跃点组或第 2 层接口。
  5. 在传输数据包的入口或出口接口配置防火墙过滤器。

示例:使用防火墙过滤器镜像员工 Web 流量

要求

此示例使用以下硬件和软件组件:

  • 一台交换机

  • Junos 14.1X53-D20

概述

在此示例中, xe-0/0/0xe-0/0/6 用作员工计算机的连接。接口 xe-0/0/47 连接到运行分析器应用程序的设备。

与其镜像所有流量,不如只镜像某些流量。这样可以更有效地利用带宽和硬件,由于这些资产存在约束,可能很有必要。此示例仅镜像从员工计算机发送到 Web 的流量。

拓扑

图 1 显示了此示例的网络拓扑。

图 1: 本地端口镜像的网络拓扑示例本地端口镜像的网络拓扑示例

配置

要指定唯一将镜像的流量是员工发送到 Web 的流量,请执行本节介绍的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。

程序

CLI 快速配置

要快速配置来自员工计算机(发往 Web)的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置从连接到员工计算机的两个端口将员工本地端口镜像到 Web 流量:

  1. 配置端口镜像实例,包括运行分析器应用作为下一跃点的设备的输出接口和 IP 地址。(仅配置输出 — 输入来自过滤器。)您还必须将镜像指定用于 IPv4 流量 (family inet)。

  2. 配置名为watch-employee的 IPv4 (family inet) 防火墙过滤器,其中包含一个术语,以匹配发送到 Web 的流量,并将其发送到端口镜像实例。无需复制发送到企业子网(目标地址或源地址 192.0.nn.nn/24)的流量,因此,在流量到达向实例发送 Web 流量的术语之前,首先创建另一个术语以接受该流量:

  3. 配置连接到员工计算机和分析器设备的 IPv4 接口的地址:

  4. 将防火墙过滤器作为入口过滤器应用于相应的接口:

结果

检查配置结果:

验证

验证是否已正确创建分析器

目的

验证是否已在具有相应输入接口和相应输出接口的交换机上创建分析器。

行动

您可以使用命令验证端口镜像分析器是否已按预期 show forwarding-options port-mirroring 配置。

含义

此输出显示,端口镜像实例的比率为 1(镜像每个数据包,默认设置)和镜像的原始数据包的最大大小(0 表示整个数据包)。如果输出接口的状态处于关闭状态或未配置输出接口,则状态值将是 down ,并且不会为镜像对实例进行编程。

PE 路由器或 PE 交换机逻辑接口的第 2 层端口镜像

对于在面向客户的服务提供商网络边缘上配置为提供商边缘 (PE) 的路由器或交换机,您可以在以下入口点和出口点应用第 2 层端口镜像 防火墙过滤器 ,以镜像路由器或交换机与客户边缘 (CE) 设备(通常也是路由器和以太网交换机)之间的流量。

表 1 介绍了将第 2 层端口镜像防火墙过滤器应用于配置为 PE 设备的路由器或交换机的方式。

表 1: 第 2 层端口镜像防火墙过滤器在 PE 设备上的应用

应用点

镜像的范围

备注

配置详细信息

入口面向客户的逻辑接口

来自服务提供商客户的网络的数据包,先发送到 CE 设备,然后发送到 PE 设备旁边。

您还可以为 VPLS 路由实例配置 CE 设备和 PE 设备之间的聚合以太网接口。流量在聚合接口中的所有链路上实现负载均衡。

基于目标 MAC (DMAC) 地址的查找,在聚合以太网接口上接收的流量会通过其他接口进行转发:

  • 发往本地站点的数据包从负载平衡的子接口发出。

  • 发往远程站点的数据包通过标签交换路径 (LSP) 进行封装和转发。

请参阅 将第 2 层端口镜像应用于逻辑接口

有关 VPLS 路由实例的更多信息,请参阅 配置 VPLS 路由实例配置网桥域和 VPLS 路由实例的 VLAN 标识符

出口面向客户的逻辑接口

PE 设备将单播数据包转发到其他 PE 设备。

NOTE:如果对 逻辑接口的输出应用端口镜像过滤器,则只会镜像单播数据包。要镜像组播、未知单播和广播数据包,请对 VLAN 或 VPLS 路由实例的泛洪表对输入应用过滤器。

请参阅 将第 2 层端口镜像应用于逻辑接口

VLAN 转发表或泛洪表输入

转发从 CE 设备发送到 VLAN 的流量或泛洪流量。

转发和泛洪流量通常包含广播数据包、组播数据包、目标 MAC 地址未知的单播数据包,或 DMAC 路由表中具有 MAC 条目的数据包。

请参阅 将第 2 层端口镜像应用于转发或泛洪到网桥域的流量。有关 VPLS 中的泛洪行为的信息,请参阅 路由设备的 Junos OS VPN 库

VPLS 路由实例转发表或泛洪表的输入

转发从 CE 设备发送到 VPLS 路由实例的流量或泛洪流量。

请参阅 对转发或泛洪至 VPLS 路由实例的流量应用第 2 层端口镜像。有关 VPLS 中的泛洪行为的信息,请参阅 路由设备的 Junos OS VPN 库

PE 路由器或 PE 交换机聚合以太网接口的第 2 层端口镜像

聚合以太网接口是由一组在全双工链路连接模式下运行且运行相同的物理接口组成的虚拟聚合链路。您可以为 VPLS 路由实例在 CE 设备和 PE 设备之间配置聚合以太网接口。流量在聚合接口中的所有链路上实现负载均衡。如果聚合接口中的一个或多个链路发生故障,流量将切换到剩余的链路。

您可以将第 2 层端口镜像 防火墙过滤器 应用于聚合以太网接口,以便在父接口上配置 端口镜像 。但是,如果任何子接口绑定到不同的第 2 层端口镜像实例,则从子接口接收的数据包将镜像到其各自的端口镜像实例指定的目标。因此,多个子接口可以将数据包镜像到多个目标。

例如,假设父聚合以太网接口实例 ae0 有两个子接口:

  • xe-2/0/0

  • xe-3/1/2

假设这些子接口 ae0 绑定到两个不同的第 2 层端口镜像实例:

  • pm_instance_A- 第 2 层端口镜像的命名实例,绑定到子接口 xe-2/0/0

  • pm_instance_B- 第 2 层端口镜像的命名实例,绑定到子接口 xe-3/1/2

现在假设您将第 2 层端口镜像防火墙过滤器应用于发送的第 ae0.0 2 层流量(聚合以太网接口实例0上的逻辑单元0)。这将启用端口镜像ae0.0,这对指定了第 2 层端口镜像属性的子接口上接收的流量的处理有以下影响:

  • 接收 xe-2/0/0 的数据包将镜像到在端口镜像实例 pm_instance_A中配置的输出接口。

  • 接收 xe-3/1/2.0 的数据包将镜像到在端口镜像实例 pm_instance_B中配置的输出接口。

由于pm_instance_A可以pm_instance_B指定不同的数据包选择属性或镜像目标属性,因此接收的xe-2/0/0xe-3/1/2.0数据包可以将不同的数据包镜像到不同的目标。

将第 2 层端口镜像应用于逻辑接口

您可以将第 2 层端口镜像防火墙过滤器应用于逻辑接口的输入或输出,包括聚合以太网逻辑接口。仅镜像过滤器操作指定的地址类型家族的数据包。

开始之前,请完成以下任务:

  • 定义要应用于逻辑接口的输入或输出到逻辑接口的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个第 2 层端口镜像防火墙过滤器:一个过滤器应用于逻辑接口入口流量,一个过滤器应用于逻辑接口出口流量。

要向输入或输出逻辑接口应用第 2 层端口镜像防火墙过滤器:

  1. 为逻辑接口配置底层物理接口。

    1. 启用底层物理接口的配置:

      注:

      端口镜像防火墙过滤器也可应用于聚合以太网逻辑接口。


    2. 对于为 VPLS 配置的千兆以太网接口和聚合以太网接口,启用接口上 802.1Q VLAN 标记的帧的接收和传输:


    3. 对于启用了 IEEE 802.1Q VLAN 标记和桥接且必须接受携带 TPID 0x8100 或用户定义的 TPID 的数据包的以太网接口,请设置逻辑链路层封装类型:

  2. 配置要应用第 2 层端口镜像防火墙过滤器的逻辑接口。

    1. 指定逻辑单元号:


    2. 对于千兆以太网或聚合以太网接口,将 802.1Q VLAN 标记 ID 绑定到逻辑接口:

  3. 启用输入和输出过滤器的规范,以应用于桥接域、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 中的第 2 层数据包。

    • 如果在接口上接收数据包时要评估过滤器:

    • 如果在接口上发送数据包时要评估过滤器:

    选项的值family可以是 ethernet-switching、 或cccvpls

    注:

    如果同时在逻辑接口的输入和输出处应用端口镜像防火墙过滤器,则每个数据包的两个副本都会镜像。要防止路由器或交换机将重复数据包转发到同一目标,请将可选 mirror-once 语句 [edit forwarding-options] 包含在层次结构级别。

  4. 验证将指定的第 2 层端口镜像防火墙过滤器应用于逻辑接口的最低配置:

将第 2 层端口镜像应用于转发或泛洪到网桥域的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到网桥域的流量。只有指定家族类型且已转发或泛洪到该桥接域的数据包才会镜像。

开始之前,请完成以下任务:

  • 定义一个第 2 层端口镜像防火墙过滤器,用于转发到网桥域或泛洪到网桥域的流量。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示了两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于桥接域转发表入口流量,一个过滤器应用于桥接域泛洪表入口流量。

要向网桥域的转发表或泛表应用第 2 层端口镜像防火墙过滤器:

  1. 启用桥接域 bridge-domain-name 的配置,以便为转发或泛洪流量应用第 2 层端口镜像防火墙过滤器:

    • 对于网桥域:

    • 对于路由实例下的网桥域:

      有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 配置网桥域:

    有关详细配置信息,请参阅 配置网桥域为网桥域和 VPLS 路由实例配置 VLAN 标识符

  3. 在桥接域中启用流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于桥接域转发表或泛洪表。

    • 要镜像正在转发到网桥域的数据包:

    • 要将被泛洪的数据包镜像到网桥域:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于网桥域的转发表或泛洪表的最低配置。

    1. 导航至配置网桥域的层级:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示网桥域配置:

将第 2 层端口镜像应用于转发或泛洪至 VPLS 路由实例的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VPLS 路由实例的流量。只有指定家族类型并转发或泛洪到该 VPLS 路由实例的数据包才会镜像。

开始之前,请完成以下任务:

  • 定义一个第 2 层端口镜像防火墙过滤器,用于转发到 VPLS 路由实例或泛洪到 VLAN 的流量。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示了两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VPLS 路由实例转发表入口流量,一个过滤器应用于 VPLS 路由实例泛洪表入口流量。

要向 VPLS 路由实例的转发表或泛表应用第 2 层端口镜像防火墙过滤器:

  1. 启用 VPLS 路由实例的配置,以便为转发或泛洪流量应用第 2 层端口镜像防火墙过滤器:

    有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 在 VPLS 路由实例上启用流量转发配置:
  3. 将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例转发表或泛洪表。

    • 要镜像转发至 VPLS 路由实例的数据包:

    • 要将被泛洪的数据包镜像到 VPLS 路由实例:

  4. 验证将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表的最低配置:

将第 2 层端口镜像应用于转发或泛洪到 VLAN 的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VLAN 的流量。只有指定家族类型并转发或泛洪到该 VLAN 的数据包才会镜像。

开始之前,请完成以下任务:

  • 定义一个第 2 层端口镜像防火墙过滤器,用于转发到 VLAN 或泛洪到 VLAN 的流量。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示了两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VLAN 转发表入口流量,一个过滤器应用于 VLAN 泛表入口流量。

要向 VLAN 的转发表或泛表应用第 2 层端口镜像防火墙过滤器:

  1. 启用要为其应用第 2 层端口镜像防火墙过滤器以用于转发或泛洪流量的 VLAN bridge-domain-name 配置:
  2. 配置 VLAN:

    有关更详细的配置信息,请参阅 配置网桥域为网桥域和 VPLS 路由实例配置 VLAN 标识符

  3. 启用 VLAN 上的流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于 VLAN 转发表或泛洪表。

    • 要镜像转发到 VLAN 的数据包:

    • 要将被泛洪的数据包镜像到 VLAN:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于 VLAN 的转发表或泛洪表的最低配置。

    1. 导航至配置 VLAN 的层级:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示 VLAN 配置:

示例:逻辑接口上的第 2 层端口镜像

以下步骤介绍了一个示例,其中使用全局端口镜像实例和端口镜像防火墙过滤器为逻辑接口的输入配置第 2 层端口镜像。

  1. 配置 VLAN example-bd-with-analyzer(包含外部数据包分析器)和 VLAN example-bd-with-traffic(其中包含镜像的第 2 层流量的源和目标):

    假设逻辑接口 ge-2/0/0.0 与用于接收端口镜像数据包的外部流量分析器相关联。假设逻辑接口 ge-2/0/6.0ge-3/0/1.2 将是流量输入和输出端口,分别。

  2. 为全局实例配置第 2 层端口镜像,其中端口镜像目标为与外部分析器(VLAN 上的逻辑接口)关联的 VLAN example-bd-with-analyzer接口ge-2/0/0.0。请务必启用允许将过滤器应用于此端口镜像目标的选项:

    input层级的[edit forwarding-options port-mirroring]语句指定每十个数据包开始采样一次,并且对所选的前五个数据包中的每一个进行镜像。

    output层级的[edit forwarding-options port-mirroring family ethernet-switching]语句为桥接环境中的第 2 层数据包指定输出镜像接口:

    • 与外部数据包分析器关联的逻辑接口 ge-2/0/0.0被配置为端口镜像目标。

    • optional no-filter-check 语句允许在此目标接口上配置过滤器。

  3. 配置第 2 层端口镜像防火墙过滤器 example-bridge-pm-filter

    当将此防火墙过滤器应用于逻辑接口的输入或输出以用于桥接环境中的流量时,将根据为第 2 层端口镜像全局实例配置的输入数据包采样属性和镜像目标属性执行第 2 层端口镜像。由于此防火墙过滤器配置了单个默认过滤器操作 accept,因此属性 inputrate = 10run-length = 5) 选择的所有数据包都匹配此过滤器。

  4. 配置逻辑接口:

    在 VLAN example-bd-with-traffic 上的逻辑接口ge-2/0/6.0接收的数据包由端口镜像防火墙过滤器example-bridge-pm-filter进行评估。根据防火墙过滤器本身配置的过滤器操作以及全局端口镜像实例中配置的输入数据包采样属性和镜像目标属性,防火墙过滤器对输入流量起作用:

    • 在接收 ge-2/0/6.0 的所有数据包都会在逻辑接口 ge-3/0/1.2处转发到(假设)正常目标。

    • 每十个输入数据包一次,该选项中前五个数据包的副本将转发到其他 VLAN example-bd-with-analyzer逻辑接口ge-0/0/0.0上的外部分析器。

    如果将端口镜像防火墙过滤器 example-bridge-pm-filter 配置为采取 discard 操作而非 accept 操作,则所有原始数据包将被丢弃,而使用全局端口镜像 input 属性选择的数据包的副本将被发送至外部分析器。

示例:第 2 层 VPN 的第 2 层端口镜像

以下示例不是完整的配置,但显示了使用 family ccc在 L2VPN 上配置端口镜像所需的所有步骤。

  1. 配置 VLAN port-mirror-bd,其中包含外部数据包分析器:

  2. 配置第 2 层 VPN CCC 以连接逻辑接口 ge-2/0/1.0 和逻辑接口 ge-2/0/1.1

  3. 为全局实例配置第 2 层端口镜像,其中端口镜像目标为与外部分析器(VLAN 上的逻辑接口)关联的 VLAN example-bd-with-analyzer接口ge-2/2/9.0

  4. 定义第 2 层端口镜像防火墙过滤器pm_filter_cccfamily ccc

  5. 将端口镜像实例应用到机箱:

  6. 配置 VLAN 接口ge-2/2/9,并使用防火墙过滤器配置端口镜像pm_filter_ccc接口ge-2/0/1

发布历史记录表
版本
说明
13.3R6
从 Junos OS 13.3R6 版开始,仅支持 family any MPC 接口进行端口镜像。