Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在逻辑接口上配置端口镜像

2 层端口镜像防火墙过滤器

本主题介绍以下信息:

2 层端口镜像防火墙过滤器概述

在 MX 系列路由器和 EX 系列交换机上,您可以配置防火墙过滤 器术语,指定将第 2 层端口镜像应用于应用防火墙过滤器的接口上的所有数据包。

您可将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口),将流量转发或淹没到 VLAN,或者将流量转发或淹没到 VPLS 路由实例。

MX 系列路由器和 EX 系列交换机在第 2 层环境中支持 VPLS(family ethernet-switchingfamily vpls)流量和第 2 层 VPN 流量 family ccc 的 2 层端口镜像

在防火墙过滤器 term中,您可以通过以下任一方式在语句下 then 指定第 2 层端口镜像属性:

  • 默示引用第 2 层端口镜像属性,对端口有效。

  • 明确引用第 2 层端口镜像的指定实例。

注:

配置第 2 层端口镜像防火墙过滤器时,不包括可根据路由源地址指定匹配条件的 from 可选语句。省略此语句,以便所有数据包均被视为匹配,并且会采取语句中then指定的所有操作操作修改符

如果您想镜像所有传入数据包,则不得使用语句中的语句;/* 评论:一个配置过滤器术语,其中包含是否仅对仅镜像一部分数据包感兴趣。

注:

如果将集成路由和桥接 (IRB) 与 VLAN(或 VPLS 路由实例)相关联,并在 VLAN(或 VPLS 路由实例)中配置转发表过滤器与 port-mirrorport-mirror-instance 操作,则 IRB 数据包将镜像为第 2 层数据包。您可通过在 VLAN(或 VPLS 路由实例)中配置 无 iRB 层-2 复制 语句来禁用此行为。

有关如何配置第 2 层端口镜像防火墙过滤器的详细说明,请参阅 定义第 2 层端口镜像防火墙过滤器

有关如何使用配置为提供商边缘 (PE) 路由器或 PE 交换机的 MX 路由器和 EX 系列交换机的 2 层端口镜像防火墙过滤器的详细信息,请参阅 了解 PE 路由器逻辑接口的 2 层端口镜像。有关一般配置防火墙过滤器(包括在第 3 层环境中)的详细信息,请参阅路由策略、防火墙过滤器和流量监管器用户指南

在逻辑接口上接收或发送的数据包镜像

要镜像逻辑 接口上接收或发送的第 2 层信息流,请将端口镜像防火墙过滤器应用于接口的输入或输出。

端口镜像防火墙过滤器也可应用于聚合以太网逻辑接口。有关详细信息,请参阅 了解 PE 路由器聚合以太网接口的 2 层端口镜像

注:

如果在逻辑接口的输入和输出上应用端口镜像防火墙过滤器,则会镜像每个数据包的两个副本。为了防止路由器或交换机将重复数据包转发到同一目标,您可以为第 2 层数据包地址族的全局实例中第 2 层端口镜像启用“镜像一次”选项。

转发或淹没到 VLAN 的数据包镜像

要将转发至或泛洪到 VLAN 的第 2 层流量镜像,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VLAN 转发表或泛洪表接收且符合过滤条件的任何数据包均会镜像。

有关 VLAN 的详细信息,请参阅 了解第 2 层桥接域 。有关 VLAN 中的泛洪行为的信息,请参阅 了解桥接域第 2 层学习和转发

注:

在一个 VLAN 下的任何接口上配置端口镜像时,镜像的数据包可以移动到位于不同 VLAN 上的外部分析器。

转发或淹没到 VPLS 路由实例的数据包镜像

要将转发至或泛洪到 VPLS 路由实例的第 2 层信息流镜像,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VPLS 路由实例转发或泛洪表接收且与过滤条件匹配的任何数据包均会镜像。

有关 VPLS 路由实例的详细信息,请参阅 为桥接域和 VPLS 路由实例配置 VPLS 路由实例和配置 VLAN 标识符Configuring a VPLS Routing Instance有关 VPLS 中的泛洪行为的信息,请参阅 用于路由设备的 Junos OS VPN 库

定义第 2 层端口镜像防火墙过滤器

对于虚拟专用 LAN 服务 (VPLS) 流量 (family ethernet-switchingfamily vpls)以及对于 MX 系列路由器和 EX 系列交换机上有家族 ccc的第 2 层 VPN,您可以定义一个防火墙过滤器,该过滤器可指定第 2 层端口镜像作为在数据包与防火墙过滤器术语中配置的条件匹配时执行的操作。

您可以使用第 2 层端口镜像防火墙过滤器,方法如下:

  • 镜像在逻辑接口上接收或发送的数据包。

  • 将转发或泛滥的数据包镜像到 VLAN。

  • 将转发或泛滥的数据包镜像到 VPLS 路由实例。

  • 要将隧道接口输入数据包镜像到多个目标。

有关可在 MX 系列路由器和 EX 系列交换机上配置的三种第 2 层端口镜像类型的摘要,请参阅 第 2 层端口镜像类型的应用

要使用第 2 层端口镜像操作定义防火墙过滤器:

  1. 为属于 VLAN、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的 2 层数据包启用防火墙过滤器配置:

    选项的 family 值可以是 ethernet-switchingcccvpls

  2. 启用防火墙过滤器 pm-filter-name配置:
  3. 启用防火墙过滤器术语 pm-filter-term-name配置:
  4. (可选)仅当您想镜像所采样数据包的子集 时,请 根据路由源地址指定防火墙过滤器匹配条件。
    注:

    如果您希望将所有取样的数据包视为匹配(并受语句中 then 指定的操作约束),则完全省略该 from 语句。

  5. 启用和应用到匹配的数据包的actionaction-modifier配置:
  6. 指定要对匹配数据包采取的操作:

    建议的 action 值为 accept。如果不指定操作,或者如果完全省略语 then 句,则会接受与语句中 from 条件匹配的所有数据包。

  7. 指定第 2 层端口镜像或下一跳跃组作为 action-modifier
    • 要参考当前适用于与底层物理接口相关联的数据包转发引擎或 PIC 的第 2 层端口镜像属性,请使用 port-mirror 以下语句:

    • 要参考特定命名实例中配置的第 2 层端口镜像属性,请使用端口镜像实例 pm-instance-name 操作修改器:

      如果底层物理接口未绑定到第 2 层端口镜像的指定实例,而是暗中绑定到第 2 层端口镜像的全局实例,则逻辑接口上的流量将根据操作修改器引用 port-mirror-instance 的指定实例中指定的属性镜像。

    • 要参考指定下一跳跃地址的下一跳跃组(用于将数据包的附加副本发送到分析器),请使用 next-hop-group pm-next-next-group 名称 操作修改器:

      有关下一跳跃组的配置信息,请参阅 为第 2 层端口镜像定义下一跳跃组。如果为第 2 层端口镜像指定下一跳跃组,防火墙过滤器术语仅适用于隧道接口输入。

  8. 验证第 2 层端口镜像防火墙过滤器的最低配置:

    在防火墙过滤器术语then中,操作修改器可以是 port-mirrornext-hop-group pm-next-hop-group-nameport-mirror-instance 

为端口镜像配置与协议无关的防火墙过滤器

在带有 MPC 的 MX 系列路由器上,您可以配置一个防火墙过滤器,以在全球级别和实例级别镜像第 2 层和第 3 层数据包。在入口或出口配置端口镜像时,会复制进出接口的数据包,并将副本发送到本地接口进行本地监控。

注:

从 Junos OS 版本 13.3R6 开始,只有 MPC 接口支持 family any 执行端口镜像。DPC 接口不支持 family any

防火墙过滤器通常配置为根据接口上配置的家族来镜像第 2 层或第 3 层数据包。但是,在集成路由和桥接 (IRB) 接口的情况下,第 2 层数据包不会完全镜像,因为 IRB 接口配置为仅镜像第 3 层数据包。在此类接口上,您可以在家族 any 中配置防火墙过滤器和端口镜像参数,以确保数据包无论是第 2 层还是第 3 层数据包,都能完全镜像。

注:
  • 对于实例中的端口镜像,您可以为同一实例同时配置一个或多个系列,例如 inetinet6ccc、 和 vpls

  • 如果第 2 层端口镜像、VLAN 标记、MPLS 标头将被保留,可在出口的镜像副本中看到。

  • 对于 VLAN 规范化,在入向看到镜像数据包正常化之前的信息。同样,在出口处,也会看到镜像数据包正常化后的信息。

开始配置端口镜像之前,必须配置有效的物理接口。

要配置协议无关防火墙过滤器以进行端口镜像:

  1. 配置全局防火墙过滤器,用于镜像出口或入口流量。
  2. 配置防火墙过滤器以镜像某个实例的流量。
  3. 配置出向和入口流量的镜像参数。
  4. 为实例配置镜像参数。在此配置中,您可以将第 2 层数据包指定为有效的下一跳跃组或第 2 层接口的输出或目标。
  5. 在数据包传输的入口或出口接口上配置防火墙过滤器。

示例:使用防火墙过滤器镜像员工 Web 流量

要求

此示例使用以下硬件和软件组件:

  • 一台交换机

  • Junos 14.1X53-D20

概述

在本示例中用作 xe-0/0/0xe-0/0/6 员工计算机的连接。接口 xe-0/0/47 连接到运行分析器应用程序的设备。

通常只能镜像某些流量,而不是镜像所有流量。这是更有效地使用带宽和硬件,可能由于这些资产受到限制而必需。此示例仅反映从员工计算机发送到 Web 的流量。

拓扑

图 1 显示了此示例的网络拓扑。

图 1: 本地端口镜像示例的网络拓扑本地端口镜像示例的网络拓扑

配置

要指定将镜像的唯一流量是员工发送到 Web 的流量,请执行本节中说明的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。

程序

CLI 快速配置

要快速配置来自发送到 Web 的员工计算机的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要将员工的本地端口镜像配置为从连接到员工计算机的两个端口的 Web 流量:

  1. 配置端口镜像实例,包括作为下一跳跃运行分析器应用程序的设备的输出接口和 IP 地址。(仅配置输出 — 输入来自过滤器。)您还必须指定镜像用于 IPv4 流量 (family inet)。

  2. 配置称为的 IPv4 (family inet) 防火墙过滤器 watch-employee ,其中包括一个术语,用于匹配发送到 Web 的流量并将其发送至端口镜像实例。无需复制从公司子网(目标或源地址)发送到和到达的 192.0.nn.nn/24流量,因此首先创建另一个术语来接受该流量,然后再发送到将 Web 流量发送至实例的术语:

  3. 为连接到员工计算机和分析器设备的 IPv4 接口配置地址:

  4. 将防火墙过滤器应用于相应的接口,作为入口过滤器:

结果

检查配置结果:

验证

验证分析器是否已正确创建

目的

验证分析器是否已使用适当的输入接口和相应的输出接口在交换机上创建。

行动

您可以使用 show forwarding-options port-mirroring 命令验证端口镜像分析器是否已按照预期配置。

意义

此输出显示端口镜像实例的比率为 1(镜像每个数据包,默认设置)和镜像的原始数据包的最大大小(0 指示整个数据包)。如果输出接口的状态已关闭或未配置输出接口,则状态值将 down 为 ,并且不会为镜像编程实例。

PE 路由器或 PE 交换机逻辑接口的 2 层端口镜像

对于在服务提供商网络面向客户的边缘上配置为提供商边缘 (PE) 设备的路由器或交换机,您可以在以下入口和出口点应用第 2 层端口镜像 防火墙过滤器 ,以镜像路由器或交换机与客户边缘 (CE) 设备(通常也是路由器和以太网交换机)之间的流量。

表 1 介绍了如何将第 2 层端口镜像防火墙过滤器应用于配置为 PE 设备的路由器或交换机。

表 1: 在 PE 设备上应用第 2 层端口镜像防火墙过滤器

应用点

镜像范围

备注

配置详细信息

面向客户的入口逻辑接口

源自服务提供商客户网络的数据包,先发送至 CE 设备,并在 PE 设备旁边发送。

您也可为 VPLS 路由实例在 CE 设备和 PE 设备之间配置聚合以太网接口。流量在聚合接口中的所有链路之间实现负载平衡。

聚合以太网接口上接收的信息流将根据目标 MAC (DMAC) 地址的查找通过不同接口进行转发:

  • 发送到本地站点的数据包将从负载平衡的儿童接口中发送。

  • 发往远程站点的数据包通过标签交换系列 (LSP) 进行封装和转发。

请参阅 将第 2 层端口镜像应用于逻辑接口

有关 VPLS 路由实例的详细信息,请参阅 为桥接域和 VPLS 路由实例配置 VPLS 路由实例和配置 VLAN 标识符Configuring a VPLS Routing Instance

面向客户的出口逻辑接口

由 PE 设备转发至另一个 PE 设备的单播数据包。

NOTE:如果将端口镜像过滤器应用于 逻辑接口的输出,则仅镜像单播数据包。要镜像组播、未知单播和广播数据包,请将过滤器应用于 VLAN 或 VPLS 路由实例的泛洪表。

请参阅 将第 2 层端口镜像应用于逻辑接口

输入 VLAN 转发表或泛洪表

从 CE 设备转发流量或泛滥发送至 VLAN 的信息流。

转发和泛洪流量通常包括广播数据包、组播数据包、具有未知目标 MAC 地址的单播数据包或 DMAC 路由表中带有 MAC 条目的数据包。

请参阅 应用第 2 层端口镜像以将流量转发或泛洪到桥接域。有关 VPLS 中的泛洪行为的信息,请参阅 用于路由设备的 Junos OS VPN 库

输入 VPLS 路由实例转发表或泛洪表

从 CE 设备转发信息流或泛滥发送至 VPLS 路由实例的信息流。

请参阅 应用第 2 层端口镜像以将流量转发或淹没到 VPLS 路由实例。有关 VPLS 中的泛洪行为的信息,请参阅 用于路由设备的 Junos OS VPN 库

PE 路由器或 PE 交换机聚合以太网接口的 2 层端口镜像

聚合以太网接口是一种虚拟聚合链路,由一组速度相同的物理接口组成,可在全双工链路连接模式下运行。您可以为 VPLS 路由实例在 CE 设备和 PE 设备之间配置聚合以太网接口。流量在聚合接口中的所有链路之间实现负载平衡。如果聚合接口中的一个或多个链路出现故障,信息流将切换至其余链路。

您可以将第 2 层端口镜像 防火墙过滤器 应用于聚合以太网接口,以配置父层接口上的 端口镜像 。但是,如果任何儿童接口绑定到不同的第 2 层端口镜像实例,则在儿童接口接收的数据包将镜像到其相应的端口镜像实例指定的目标。因此,多个儿童接口可以将数据包镜像到多个目标。

例如,假设父层聚合以太网接口实例 ae0 有两个子接口:

  • xe-2/0/0

  • xe-3/1/2

假设上 ae0 这些儿童接口绑定到两个不同的第 2 层端口镜像实例:

  • pm_instance_A-第 2 层端口镜像命名实例,绑定到儿童接口 xe-2/0/0

  • pm_instance_B-第 2 层端口镜像命名实例,绑定到儿童接口 xe-3/1/2

现在假设您将第 2 层端口镜像防火墙过滤器应用于上ae0.0发送的第 2 层信息流(聚合以太网接口实例0上的逻辑单元0)。这允许 端口镜像ae0.0对处理在指定第 2 层端口镜像属性的儿童接口上收到的信息流具有以下效果:

  • xe-2/0/0 收到的数据包镜像到端口镜像实例 pm_instance_A中配置的输出接口。

  • xe-3/1/2.0 收到的数据包镜像到端口镜像实例 pm_instance_B中配置的输出接口。

因为pm_instance_Apm_instance_B可以指定不同的数据包选择属性或镜像目标属性,因此接收xe-2/0/0xe-3/1/2.0的数据包可以将不同的数据包镜像到不同的目标。

将第 2 层端口镜像应用于逻辑接口

您可以将第 2 层端口镜像防火墙过滤器应用于逻辑接口的输入或输出,包括聚合以太网逻辑接口。仅镜像过滤器操作指定的地址类型系列的数据包。

开始之前,请完成以下任务:

  • 定义要应用于逻辑接口的输入或输出到逻辑接口的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个 2 层端口镜像防火墙过滤器:一个应用于逻辑接口入口信息流的过滤器,一个应用于逻辑接口出口信息流的过滤器。

要将第 2 层端口镜像防火墙过滤器应用到输入或输出逻辑接口:

  1. 为逻辑接口配置底层物理接口。

    1. 启用底层物理接口的配置:

      注:

      端口镜像防火墙过滤器也可应用于聚合以太网逻辑接口。


    2. 对于为 VPLS 配置的快速以太网和千兆位以太网接口和聚合以太网接口,可在接口上接收和传输 802.1Q VLAN 标记帧:


    3. 对于已启用 IEEE 802.1Q VLAN 标记和桥接且必须接受携带 TPID 0x8100或用户定义 TPID 的数据包的以太网接口,设置逻辑链路层封装类型:

  2. 配置要应用第 2 层端口镜像防火墙过滤器的逻辑接口。

    1. 指定逻辑单元号:


    2. 对于快速以太网、千兆以太网或聚合以太网接口,将 802.1Q VLAN 标记 ID 绑定到逻辑接口:

  3. 启用输入或输出过滤器的规格,以应用于桥接域、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的 2 层数据包。
    • 如果要在接口上接收数据包时评估过滤器:

    • 如果要在接口上发送数据包时评估过滤器:

    家庭选项的价值可以是 ethernet-switchingcccvpls

    注:

    如果在逻辑接口的输入和输出上应用端口镜像防火墙过滤器,则会镜像每个数据包的两个副本。要防止路由器或交换机将重复数据包转发至同一目标,请在层次结构级别中[edit forwarding-options]包含可选mirror-once语句。

  4. 验证将命名的第 2 层端口镜像防火墙过滤器应用于逻辑接口的最低配置:

应用第 2 层端口镜像以将流量转发或泛洪到桥接域

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到桥接域的信息流。仅镜像指定家族类型以及转发或泛洪到桥接域的数据包。

开始之前,请完成以下任务:

  • 定义第 2 层端口镜像防火墙过滤器,以应用于转发至桥接域或泛洪到桥接域的信息流。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于桥接域转发表入口信息流,一个过滤器应用于桥接域泛洪表入口信息流。

要将第 2 层端口镜像防火墙过滤器应用于桥接域的转发表或泛洪表:

  1. 启用桥接域 网桥域名称 配置,您希望将第 2 层端口镜像防火墙过滤器应用于转发或泛洪的信息流:
    • 对于桥接域:

    • 对于路由实例下的桥接域:

      有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 配置桥接域:

    有关详细配置信息,请参阅 配置桥接域配置桥接域和 VPLS 路由实例的 VLAN 标识符

  3. 启用桥接域上的流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于桥接域转发表或泛洪表。
    • 要将转发到桥接域的数据包镜像:

    • 要将泛洪的数据包镜像到桥接域:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于桥接域转发表或泛洪表的最低配置。

    1. 导航到桥接域配置的层次结构级别:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示桥接域配置:

应用第 2 层端口镜像以将流量转发或淹没到 VPLS 路由实例

您可以将第 2 层端口镜像防火墙过滤器应用于转发或淹没到 VPLS 路由实例的信息流。仅镜像指定家族类型以及转发或淹没到该 VPLS 路由实例的数据包。

开始之前,请完成以下任务:

  • 定义第 2 层端口镜像防火墙过滤器,以应用于转发至 VPLS 路由实例或被淹没到 VLAN 的信息流。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个应用于 VPLS 路由实例转发表入口信息流的过滤器,以及一个应用于 VPLS 路由实例泛洪表入口信息流的过滤器。

要将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表:

  1. 启用 VPLS 路由实例配置,您希望将第 2 层端口镜像防火墙过滤器应用于转发或泛滥的信息流:

    有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 在 VPLS 路由实例上启用流量转发配置:
  3. 将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例转发表或泛洪表。
    • 要将转发至 VPLS 路由实例的数据包镜像:

    • 要将被淹没的数据包镜像到 VPLS 路由实例:

  4. 验证将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表的最低配置:

应用第 2 层端口镜像以将流量转发或淹没到 VLAN

您可以将第 2 层端口镜像防火墙过滤器应用于转发或淹没到 VLAN 的信息流。仅镜像指定家族类型以及转发或淹没到该 VLAN 的数据包。

开始之前,请完成以下任务:

  • 定义第 2 层端口镜像防火墙过滤器,以便应用于转发至 VLAN 或被淹没到 VLAN 的信息流。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个应用于 VLAN 转发表入口流量的过滤器,以及一个应用于 VLAN 泛洪表入口流量的过滤器。

要将第 2 层端口镜像防火墙过滤器应用于 VLAN 的转发表或泛洪表:

  1. 启用 VLAN bridge-domain-name 配置,您希望将第 2 层端口镜像防火墙过滤器应用于转发或泛滥的信息流:
  2. 配置 VLAN:

    有关更详细的配置信息,请参阅 配置桥接域配置桥接域和 VPLS 路由实例的 VLAN 标识符

  3. 启用 VLAN 上的流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于 VLAN 转发表或泛洪表。
    • 要将转发至 VLAN 的数据包镜像:

    • 要将被淹没的数据包镜像到 VLAN:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于 VLAN 转发表或泛洪表的最低配置。

    1. 导航到配置 VLAN 的层次结构级别:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示 VLAN 配置:

示例:逻辑接口上第 2 层端口镜像

以下步骤介绍了一个示例,其中的全局端口镜像实例和端口镜像防火墙过滤器用于配置输入到逻辑接口的第 2 层端口镜像。

  1. 配置 VLAN example-bd-with-analyzer(包含外部数据包分析器)和 VLAN example-bd-with-traffic(包含所镜像的第 2 层流量的来源和目标):

    假设逻辑接口 ge-2/0/0.0 与接收端口镜像数据包的外部流量分析器相关联。假设逻辑接口 ge-2/0/6.0ge-3/0/1.2 将是信息流输入和输出端口。

  2. 为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN example-bd-with-analyzer上的逻辑接口ge-2/0/0.0)。请务必启用允许将过滤器应用于此端口镜像目标的选项:

    input层次结构级别的[edit forwarding-options port-mirroring]语句指定每十个数据包开始采样,所选的前五个数据包中的每一个都将镜像。

    output层级语[edit forwarding-options port-mirroring family ethernet-switching]句指定桥接环境中第 2 层数据包的输出镜像接口:

    • 逻辑接口 ge-2/0/0.0与外部数据包分析器相关联,配置为端口镜像目标。

    • 可选 no-filter-check 语句允许在此目标接口上配置过滤器。

  3. 配置第 2 层端口镜像防火墙过滤器 example-bridge-pm-filter

    将此防火墙过滤器应用于桥接环境中信息流的逻辑接口的输入或输出时,将根据为第 2 层端口镜像全局实例配置的输入数据包采样属性和镜像目标属性执行第 2 层端口镜像。由于此防火墙过滤器配置了单个默认过滤器操作accept,因此由input属性 (rate= 和 run-length = 105) 选择的所有数据包都与此过滤器匹配。

  4. 配置逻辑接口:

    在 VLAN example-bd-with-traffic 逻辑接口ge-2/0/6.0接收的数据包由端口镜像防火墙过滤器example-bridge-pm-filter评估。防火墙过滤器根据防火墙过滤器本身配置的过滤器操作以及全局端口镜像实例中配置的输入数据包采样属性和镜像目标属性对输入信息流进行操作:

    • 接收的所有数据包均在 ge-2/0/6.0 逻辑接口 ge-3/0/1.2上转发至其(假定)正常目标。

    • 对于每十个输入数据包,该选择中前五个数据包的副本将转发至其他 VLAN example-bd-with-analyzer中的逻辑接口ge-0/0/0.0上的外部分析器。

    如果将端口镜像防火墙过滤器example-bridge-pm-filter配置为采取行动而非accept操作discard,则所有原始数据包将被丢弃,同时将使用全局端口镜像input属性所选数据包的副本发送至外部分析器。

示例:用于第 2 层 VPN 的 2 层端口镜像

以下示例并非完整配置,但显示了使用 family ccc在 L2VPN 上配置端口镜像所需的所有步骤。

  1. 配置包含外部数据包分析器的 VLAN port-mirror-bd

  2. 配置第 2 层 VPN CCC 以连接逻辑接口和逻辑接口ge-2/0/1.0ge-2/0/1.1

  3. 为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN example-bd-with-analyzer上的逻辑接口ge-2/2/9.0):

  4. 定义第 2 层端口镜像防火墙过滤器 pm_filter_ccc ,以实现 family ccc

  5. 将端口镜像实例应用于机箱:

  6. 为 VLAN 配置接口ge-2/2/9,并配置使用防火墙过滤器进行端口镜像的pm_filter_ccc接口ge-2/0/1

发布历史记录表
版本
说明
13.3R6
从 Junos OS 版本 13.3R6 开始,只有 MPC 接口支持 family any 执行端口镜像。