Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:在 PTX 路由器上配置远程端口镜像

此示例说明如何在运行 Junos Evolved 的 PTX 平台上配置和验证本地端口镜像。PTX 平台包括 PTX10004、PTX10008和PTX10016机箱中的 PTX10001-36MR、LC1201 和 LC1202

开始之前

硬件和软件要求

Junos OS 演化版 22.2R1.12-EVO 或更高版本。

PTX10001-36MR

有关支持的平台和 Junos OS 版本的完整列表,请参阅功能资源管理器

预计阅读时间

十五分钟。

估计配置时间

 三十分钟

业务影响

端口镜像是调试和安全相关任务的关键工具。镜像流量可以通过各种工具离线分析,以分析协议交互、异常检测或合法拦截窃听操作。

了解更多

若要更好地了解端口镜像,请参阅 端口镜像和分析器

了解更多信息

 学习门户

功能概述

远程端口镜像功能概述提供了此示例中部署的协议和技术的快速摘要。

表 1:远程端口镜像功能概述

路由和信令协议

OSPF 和 OSPF3

所有路由器都将 OSPF 和 OSPF3 作为 IGP 运行。所有提供商路由器都属于区域 0(也称为主干区域)。OSPF/OSPF3 路由域为拓扑中的所有网络和接口提供内部可访问性。客户边缘路由器使用 OSPF 和 OSPF3 与 PE 交换路由。
MPLS 和 RSVP 提供商路由器使用 RSVP 协议向 MPLS LSP 发出信号。已启用 IPv6 隧道以支持基于 MPLS 的 IPv6。MPLS 用于支持第 3 层 VPN。
MP-BGP PE 路由器之间使用多协议 BGP 来通告客户 VPN 路由。
第 3 层 VPN PE 路由器使用 VRF 路由实例来支持客户边缘路由器的第 3 层 VPN。客户流量通过 RSVP 信号 LSP 内部的核心进行传输。有关基于 MPLS 的 L3 VPN 操作的更多详细信息,请参阅 示例:配置基于 MPLS 的基本第 3 层 VPN

路由协议

IPv4 和 IPv6

所有路由器均配置为支持 IPv4 和 IPv6 路由。

分析仪(监测站)

Centos 和 Wireshark

该分析器使用 GUI 版本的 Wireshark 运行 Centos 7.x。

拓扑概述

此示例使用基于 MPLS 的 L3 VPN 的上下文来演示 PTX 路由器上的远程端口镜像功能。L3 VPN 配置为支持客户边缘 (CE) 和提供商边缘 (PE) 路由器之间的 IPv4 和 IPv6 流量。

表 2: 远程端口镜像示例拓扑概述
路由器名称

作用

 功能
Ce 发送测试流量以确认端口镜像工作正常的客户边缘 (CE) 路由器。 这些路由器被指定为 客户边缘 路由器。客户边缘路由器从提供商网络获取 L3 VPN 服务。客户边缘不与提供商路由器共享相同的 OSPF 路由域。
体育 连接到客户边缘的提供商边缘 (PE) 路由器。 PE 位于提供商网络的边缘。我们的 PE 通过使用路由实例、MP-BGP、RSVP 和 MPLS 数据平面来支持第 3 层 VPN。

PE1 路由器用作镜像 DUT 的远程端口之一。
P 提供商 (P) 核心路由器。 P 路由器表示无 BGP 的提供商核心路由器。它支持 OSPF、OSPF3 和 MPLS 传输。它不运行 BGP 或携带 VPN 状态。

P 路由器用作镜像 DUT 的远程端口之一。
分析仪 分析器设备接收镜像流量以进行存储和分析。 分析器的细节不在本文档的讨论范围之内。有许多开源和商业选项可用。我们的分析器恰好运行 Centos 7.x,带有支持 GUI 版 Wireshark 的 Gnome 桌面。

拓扑图示

图1:远程端口镜像 Remote Port Mirroring

此示例演示了镜像通过提供商网络发送的 CE 流量的两种方法:

  • 第一种方法在 PE-CE VRF 接口上使用全匹配过滤器。

  • 第二种方法演示了应用于提供商 (P) 路由器的 MPLS 标签匹配过滤器。

PE1 路由器 (R2) 和 P 路由器 (R3) 是配置远程端口镜像并用作我们的 DUT 的路由器。这些路由器使用系列 any 防火墙过滤器来匹配端口镜像的选定流量。入口和出口过滤器的组合用于镜像客户边缘路由器(R1 和 R5)之间的请求和响应流量。

远程端口镜像使用 GRE 封装隧道将镜像流量发送到远程分析器设备。我们的拓扑有两个分析仪。一个连接到 R2/PE1 路由器,另一个连接到 R3/P 路由器。这使我们能够演示镜像 CE 流量的两种方式,一种在 PE 上,另一种在核心 P 路由器上。我们使用带有 Wireshark 的 Centos 主机进行数据包捕获和分析。

PTX 平台使用灵活隧道接口 (fti) 基础架构来支持各种隧道应用。对于远程端口镜像,会在 fti 接口上配置 GRE 隧道,以将镜像的流量传输到远程分析器设备。作为此示例的一部分,您将配置基于 FTI 的 GRE 隧道、镜像实例以及选择要镜像的流量的防火墙过滤器。

R2/PE1 配置步骤

有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

注意:

有关所有路由器的完整配置,请参阅: 附录 2:在所有路由器上设置命令

本节重点介绍此示例中配置 PE1/R2 路由器所需的配置任务。我们在附录中提供了所有路由器的完整配置。步骤 1 总结了示例的基线。此基准由 IPv4 和 IPv6 连接、MPLS 和第 3 层 VPN 组成。我们的示例侧重于配置和验证远程端口镜像。

注意:

有关 L3 VPN 操作和基准配置的详细信息,请参阅 示例:配置基于 MPLS 的基本第 3 层 VPN

  1. 在 PE1 路由器上配置 IP 路由和 L3 VPN 基准。这涉及以下内容:

    1. 对 IPv4 和 IPv6 的接口进行编号,包括 family mpls 对面向核心的接口的支持。

    2. 配置 OSPF 和 OSPFv3 路由协议以提供所有网络接口之间的可访问性。

    3. RSVP 和 MPLS 标记交换路径 (LSP) 以支持 L3 VPN 流量。

    4. 使用 PE 路由器的地址族配置 inet-vpn and inet6-vpn VRF 和 BGP 对等互连。我们的 VRF 示例使用 OSPF 和 OSPF3 作为 PE-CE 路由协议。

    完成基准介绍后,其余步骤侧重于配置 R2/PE1 路由器,以端口镜像在其面向 CE1 的 VRF 接口上发送和接收的所有流量。

  2. 首先配置 GRE 隧道。在 PTX 路由器上,隧道通过 FTI 接口实现。GRE 隧道的源地址不必是可路由的,除非您希望执行源自 GRE 隧道源或发往 GRE 隧道源的诊断性 ping 测试。PE1 镜像的流量的 GRE 目标是分析器 1 路由器。必须可到达此目标才能将镜像流量发送到分析器。我们使用被动 IGP 实例来确保 IGP 可访问分析器网络。

    目标地址映射到连接到 P/ R3 路由器上 et-0/0/2 接口的分析器 1 设备。您必须使用 配置 family ccc fti 逻辑接口以支持 PTX 上的远程端口镜像。这是因为镜像操作发生在第 2 层。

    注意:

    为连接到分析器设备的接口预配被动 IGP 实例。这为 GRE 封装镜像流量的分析器端口提供了 IGP 可访问性。被动设置可防止向分析器生成 hello 数据包,因为这只会使捕获变得混乱。

    此外,我们在分析器设备上配置了一个静态路由,以允许它响应 ping 作为诊断测试的辅助手段。严格地说,DUT 和分析仪之间只需要单工连接或路由,远程端口镜像就可以正常工作。

  3. 配置采样实例。我们使用 1 的比率对所有匹配的数据包进行采样。假设已对所有匹配流量进行采样,则保留默认值 run-length 1。您必须在 FTI 路由器上指定用于传输镜像流量的逻辑接口。您在上一步中为 GRE 隧道在 fti0 接口上配置 unit 1 了配置,以便将同一接口和单元指定为镜像实例中的输出接口。
    注意:

    您可以使用该maximum-packet-length选项指定层次结构中[edit forwarding-options port-mirroring instance instance-name input]镜像流量的最大数据包长度。默认情况下,数据包长度为 0,这意味着将镜像整个数据包。

  4. 定义两个系列 any 防火墙过滤器以匹配和镜像 CE 流量。定义了两个过滤器,一个用于将 CE1 镜像到 CE2 流量,另一个用于将 CE2 镜像到 CE1。过滤器包括计数功能以协助验证。端口镜像操作会将匹配的流量定向到您之前配置的端口镜像实例。

    系列 any 过滤器支持第 2 层和第 3 层匹配。对于前者,您可以在 VLAN ID、接口、MAC 地址或 MPLS 标签上进行匹配。对于后者,您可以在标准 IPv4 或 IPv6 标头字段上进行匹配。

    鉴于我们的拓扑,我们使用匹配所有术语来捕获 CE 发送或接收 的所有 流量。这包括 IPv4、IPv6、ARP、LLDP 和任何路由协议,如 OSPF。

    两个过滤器都以匹配所有接受项结尾,以覆盖 Junos 过滤器末尾的默认拒绝所有操作。这样,就可以接受在第一个术语中不匹配的流量。添加此术语是为了在以后将特定匹配条件添加到第一个术语时进行保护。

    如果需要,您可以在过滤器中调用监管器操作,以限制通过 GRE 隧道发送的镜像数据包数。监管器具有带宽和突发限制,以及对超出监管器的流量的丢弃操作进行定义。

    您不能在出口方向应用具有监管器操作的 PM 过滤器。
    注意:

    如果只想匹配在 CE 设备的 IPv4 环路地址之间发送的 ICMP 流量,请向过滤器添加第 3 层匹配标准。

  5. 将过滤器应用于 R2/PE1 上面向 CE 的接口。对于我们的示例,这意味着将过滤器应用于 PE1 上的 et-0/0/0 接口。请注意筛选器应用程序的方向性。需要入口和出口过滤器来镜像 CE 流量的两个方向。

为了完整起见,我们以大括号格式显示了 R2/PE1 的配置。

R3 配置步骤

有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

注意:

有关所有路由器的完整配置,请参阅: 附录 2:在所有路由器上设置命令

本节重点介绍此示例中配置 P/R3 路由器所需的主要配置任务。我们从基于 MPLS 的 L3 VPN 基准开始。然后,我们展示在 P 路由器上配置远程端口镜像以匹配和镜像 MPLS 流量所需的步骤。

  1. 在 P/R3 路由器上配置 IPv4 和 IPv6 路由以及 MPLS 基线。这涉及以下几点:

    1. 对 IPv4 和 IPv6 的接口进行编号,包括 family mpls 对面向核心的接口的支持。

    2. 配置 OSPF 和 OSPFv3 路由协议,以提供所有网络接口之间的可访问性。

    3. RSVP 和 MPLS 以支持 L3 VPN 数据平面。作为 P 路由器,不存在 BGP 对等互连和 VRF 定义。

      P1/R3 路由器通过 et-0/0/2 接口连接到分析器 1。当镜像流量使用 GRE 封装作为 IPv4 到达时,我们在此接口上禁用 RSVP 协议和 MPLS 支持。LSP 不会扩展到分析器。

      注意:

      此处使用的 et-0/0/2 接口配置假定分析器回复 DUT 发送的 ARP 和 ND 请求,以实现 MAC 地址解析。如果不是这种情况,或者您希望 ARP 流量不是数据包捕获的一部分,则应配置静态 ARP 条目。确保为连接到 DUT 的分析器设备上的接口指定正确的 MAC 地址。

    涵盖基准后,以下步骤重点介绍如何为 P 路由器上的 MPLS 流量配置远程端口镜像。

  2. 您首先了解 GRE 隧道的定义。在 PTX 平台上,隧道在 FTI 接口上实现。GRE 隧道的源地址不必是可路由的,除非您希望执行源自 GRE 隧道源或发往 GRE 隧道源的诊断性 ping 测试。镜像流量的 GRE 目标是连接到 PE2/R4 的分析器 2 设备。必须可到达此目标才能将镜像流量发送到分析器。我们使用被动 IGP 实例来确保 IGP 可访问分析器网络。

    您必须使用 配置 family ccc fti 逻辑接口以支持 PTX 上的远程端口镜像。这是因为镜像操作发生在第 2 层。

    注意:

    为连接到分析器设备的接口预配被动 IGP 实例。这为 GRE 封装镜像流量的分析器端口提供了 IGP 可访问性。被动设置可防止向分析器生成 hello 数据包,因为这只会使数据包捕获变得混乱。

    此外,我们在分析器设备上配置了一个静态路由,以便它可以响应 ping 作为诊断测试的辅助手段。严格地说,DUT 和分析仪之间只需要单工连接或路由,远程端口镜像就可以正常工作。

  3. 配置采样实例。我们使用 1 的速率来选择和采样所有匹配的数据包。默认情况下为 run-length 1。这很好,因为所有匹配流量都以 1 的速率采样。您必须在 FTI 路由器上指定用于发送镜像流量的逻辑接口。您在上一步中为 fti 接口配置了单元 1,以便将同一单元指定为镜像实例的输出接口。

  4. 定义防火墙过滤器以镜像客户边缘路由器之间发送的流量。

    系列 any 过滤器仅允许第 2 层匹配类型。例如,VLAN ID、接口、MAC 地址或 MPLS 标签。因此,您无法使用 IPv4 或 IPv4 特定的匹配条件。

    定义了两个过滤器,一个过滤器用于 CE 之间的每个流量方向。

    鉴于我们的目标是在 P 路由器上镜像 VPN 流量,因此编写过滤器以匹配标识两个 PE 路由器之间的 MPLS 流量流的特定标签。

    对于 CE1 到 CE2 方向,过滤器与 PE1 使用的 RSVP 传输标签匹配,以到达 PE2。由于 PHP 和出口应用程序,CE2 到 CE1 方向中使用的过滤器与 PE1 到 PE2 播发的 VRF 标签上匹配。匹配流量会唤起对之前定义的镜像实例的端口镜像操作。过滤器包括计数功能,以帮助确认正确操作。

    我们使用以下命令确定了正确的标签:

    1. 对于 CE1 发送到 CE2 的流量,将使用命令显示 show rsvp session ingress detail 当前 RSVP 传输标签。这是 PE1 用于通过 MPLS 访问 PE2 的 RSVP 分配标签。应该注意的是,在此 PE 对之间发送的所有 VPN 流量都使用相同的 RSVP 传输。生成的过滤器不特定于 PE 路由器上的 CE1 VRF。

      在这种情况下,输出显示 RSVP 标签 22 已分配给 PE1/R2 路由器,以到达 PE2/R4 路由器上的 LSP 出口。

    2. 对于 CE2 发送到 CE1 的流量,您必须在 VRF 标签上匹配。这是因为 P 路由器是倒数第二个跃点节点,在出口接口上会弹出 RSVP 传输标签。这会在 VRF 标签上留下作为堆栈的底部。使用 show route advertising-protocol bgp remote-peer-address detail 命令确认 PE1 向 PE2 播发的 VRF 标签。此命令显示本地 PE 播发的路由以及绑定到路由实例的 VRF 标签。

      输出显示,对于与 CE1 路由实例关联的路由,PE1 向 PE2 路由器发送了 VRF 标签 16 信号。

      使用前面命令中的信息,我们知道要在防火墙过滤器中匹配哪些 RSVP/VRF 标签。

      过滤器以匹配所有接受项结尾,以覆盖 Junos 过滤器末尾的默认拒绝全部。这样,就可以接受在第一个术语中不匹配的流量。这对于避免中断使用此接口的所有其他流量至关重要!

      注意:

      RSVP 标签可能会因链路中断或其他配置更改导致的 LSP 重新信令而更改。我们将演示如何使用过滤器来匹配特定标签,以帮助限制镜像的流量。您始终可以应用“全部匹配”过滤器,以确保 MPLS 标签更改不会影响镜像。匹配所有方法的缺点是,您将镜像 P 路由器接口上接收的所有流量,以包括核心协议和非 VPN 流量。

  5. 将过滤器应用于 P/R3 路由器上面向 PE1 的接口。过滤器应用的方向性很重要。我们的过滤器设计用于在 CE1 到 CE2 流量的输入方向上运行,在 CE2 到 CE1 流量的出口方向上运行。由于这些是系列任何过滤器,因此它们独立于 IPv4 或 IPv6 在单元级别应用。系列 任何过滤器在第 2 层运行,该层独立于任何协议家族。

为了完整起见,我们以大括号格式显示了 R2/PE1 的配置。

验证

在此示例中,有两个 DUT 配置了端口镜像。验证机制是相同的。在这两种情况下,您都将确认过滤器与预期流量匹配,并且镜像数据包已发送到关联的分析器。

使用我们的配置 PE,镜像流量将发送到分析器 1,而 P 路由器镜像流量将发送到分析器 2。如果需要,可以将所有镜像流量发送到同一目标,但如果端口镜像同时发生在多个位置,则会导致流量穿插。

可以根据需要在其中一个或两个 DUT 路由器上执行这些步骤。R2/PE1 是第一个 DUT,P 路由器/R3 是第二个。

  1. 确认 OSPF 和 OSPF3 邻居以及到所有环路地址的路由。此外,验证到远程分析器 IP 地址的路由。您必须能够将 IPv4 数据包发送到远程分析器。(可选)分析器可以配置静态路由,以便它可以回复。

    注意:

    在上述输出中,在路由实例中 ce1 学习 172.16.1.1/32 路由。因此,使用此命令,您已确认核心和客户边缘中的 OSPF 操作正确!仅列出本地 CE1 环路,因为远程 CE 环路是作为 BGP 路由获知的。

    在连接到分析器的接口上配置的无源 IGP 实例提供了所需的 IP 连接。同样,我们向分析器添加静态路由,以允许用于诊断测试的返回流量。

  2. 确认 fti 接口和 GRE 隧道状态。

    输出中的突出显示指示隧道接口和 GRE 隧道正在运行。非 0 输出数据包计数器是正在镜像流量的好兆头。我们不需要任何输入数据包,因为此 GRE 隧道仅用于将镜像流量发送到远程分析器。

  3. 确认端口镜像实例。端口镜像状态应为 up,并且目标下应列出正确的镜像接口。该系列 any 表示这是一个与协议家族无关的第 2 层端口镜像实例。镜像流量包括原始第 2 层帧及其内容。

  4. 清除 DUT 上的防火墙计数器和接口统计信息。然后在客户边缘路由器环路地址之间生成已知数量的 IPv4 和 IPv6 测试数据包。

  5. 返回到 R2/PE1,显示防火墙计数器和接口统计信息,以确认它们反映了测试流量。您可能会看到在 CE1 到 CE 2 方向上计数的一些额外数据包,这些数据包反映了 CE12 和 PE1 路由器之间的 OSPF、OSPF3 或 ARP 交换。请注意,在 CE12 到 CE1 方向上,出口方向的过滤器应用程序仅捕获端到端流量。因此,CE2-CE1 计数器会反映生成的测试流量。

    显示用于将流量镜像到远程分析器的 fti0./1 接口的接口统计信息。

    生成 8 个测试数据包后,您可能会惊讶地发现 fti0.1 接口出口处的数据包计数为 20。首先,回想一下,CE1 路由器发送的 OSPF 和 OSPF3 hellos 数据包正在被镜像。其次,考虑到 ping 请求和回复都在 PE1/R2 上镜像。这意味着有 8 个 ping 请求和 8 个回复,总共 16 个 ICMP 测试数据包。

  6. 在监控站上运行 tcpdump 或您选择的分析应用程序,以确认接收并处理镜像测试流量。我们的设置有两个分析器设备,或者准确地说,一个具有两个接口的分析器主机。如果需要,您可以同时在两个分析器接口上执行此步骤。回想一下,镜像到分析器 2 上的 eth2 接口的流量在 P 路由器/R3 上镜像,因此包括 MPLS 封装。从 R1/PE1 镜像的流量不包括 MPLS 封装。

    我们首先在 eth1 接口上进行捕获,该接口接收来自 R2/PE1 的镜像流量。开始捕获后,我们在客户边缘路由器之间执行单个 IPv4 ping。

    注意:

    捕获后,我们将基于文本的 tcpdump 输出粘贴到显示行号的文本应用程序中。这样可以更轻松地调出捕获的关键部分。我们还启用了换行以提高可见性。

    捕获中需要注意的区域包括:

    1. 我们在 eth1 接口上调用 tcpdump,并包含标志以防止名称解析、提供详细信息、捕获多达 400 个字节以及包含第 2 层标头。

    2. 第 3 行是第一个第 2 层帧和 IP 数据包的起点。以太网帧是 R3/P1 路由器用于将流量发送到本地连接的分析器设备的封装。目标 MAC 地址归分析器 1 上的 eth1 接口所有。100.0.100.1 IP 到 MAC 地址解析通过 ARP 执行。以太网帧表示它携带 IP 协议。在 IP 层,我们看到数据包设置了不分段位,并标识有效负载为 GRE。

    3. 第 4 行显示外部 IP 数据包的解码及其 GRE 有效负载。源 IP 地址和目标 IP 地址反映在 R2/PE1 上通过 fti0.1 接口配置的 GRE 隧道。GRE 报头通过透明以太网桥接 (TEB) 协议 ID 标识其有效负载为第 2 层帧。这确认了带有家族 any 过滤器的 PTX 平台上的远程端口镜像会导致第 2 层帧的镜像。

    4. 第 5 行是 GRE 数据包有效负载的解码。源和目标 MAC 地址(分别为 de:99:7e:32:ff:ff 和 01:00:5e:00:00:05)反映了用于链路层 OSPF hello 组播的地址。第 5 行还显示 GRE 封装的第 2 层帧的有效负载为 IP,IP 数据包的有效负载为 OSPF。

      注意:

      CE 和 PE 之间的 OSPF 呼叫交换在第 3 层 VPN 中是本地的。我们看到本地客户边缘发送的 OSPF 数据包,因为入口处的端口镜像操作捕获了所有流量。远程 CE 生成的 OSPF hello 数据包不会通过核心传输,因此在捕获中不会被视为出口。

    5. 第 6 行解码 CE1 路由器发送的 OSPF 呼叫。源 IP 地址分配给 CE1 的 et-0/0/0.0 接口。目标 IP 地址用于 OSPF 组播。

    6. 我们跳过 OSPF 解码并降落在第 16 行。这是捕获中的第二帧,反映 IPv4 ICMP 回显请求。第 2 层帧再次反映 P1/R3 和分析器 1 设备的 MAC 地址。我们看到外部帧携带一个带有 GRE 有效负载的 IP 数据包。外部 IP 数据包的源和目标 IP 地址反映在 R2/PE2 上配置的 GRE 隧道。

    7. 第 18 行开始解码 GRE 有效负载。我们再次看到 CE1 和 PE1 路由器的 MAC 地址。在 IP 层,我们看到数据包是从 CE1 路由器的环路地址发送的。目标 IP 是 CE2 的环路地址。内部 IP 数据包的有效负载是从 CE1 发送到 CE2 的 ICMP 回显请求。

    8. 第 20 行解码 CE2 发送的 ICMP 回显回复。这确认端口镜像在CE1发射和接收方向上均正常工作。

  7. 接下来,我们在客户边缘路由器之间生成一个 IPv6 ping,同时在分析器 2 的 eth2 接口上进行捕获。这将确认 R3/P 路由器上的端口镜像配置以及 IPv6 端口镜像支持。

    注意:

    捕获后,我们将基于文本的 tcpdump 输出粘贴到显示行号的文本应用程序中。这样可以更轻松地调出捕获的关键部分。我们还启用了换行以提高可见性。

    请注意,会显示请求和响应流量。鉴于此端口镜像发生在 P 路由器上,则客户边缘路由器之间的 OSPF 数据包不会镜像,因为它们不会通过提供商核心发送。此捕获中需要注意的事项包括:

    1. 在第 3 行对外部以太网帧进行解码。源和目标 MAC 地址现在分别反映 R4/PE2 和分析器设备。

    2. 在第 4 行对内部 IP 数据包进行解码。帧指示 GRE 封装,源 IP 和目标 IP 确认此流量通过 R3/P1 路由器上配置的 fti0.1 GRE 隧道进行镜像。GRE 封装显示 TEB 协议,表示封装了第 2 层以太网帧。

    3. 第 5 行开始解码内部以太网帧及其 MPLS 有效负载。源 MAC 地址分配给 R2/PE1 路由器上的 et-0/0/1 接口。目标 MAC 与 R3/P1 路由器上的 et-0/0/0 接口相关联。

      内部以太网帧标识 MPLS 的有效负载。这与在 P 路由器上执行的第 2 层端口镜像一致,MPLS 标签上的过滤器术语匹配。

      请注意,在 CE1 到 CE2 方向上,镜像流量会显示两个 MPLS 标签。RSVP 传输标签为 24(这可能会因 LSP 重新信令而更改),内部 VRF 标签设置为 23,这是与 R2/PE1 路由器上的 CE1 路由实例关联的 VRF 标签。

      注意:

      在此捕获时,PE1 用于到达 PE2 的 MPLS 传输标签已更改。我们更新了 R3/P1 处的过滤器定义,以反映本节中捕获的当前 RSVP 传输标签值 24。

    4. 第 7 行解码 MPLS 帧的 IPv6 有效负载。这是 CE1 发送到 CE2 的 IPv6 数据包。IPv6 数据包将其有效负载标识为 ICMP6,并显示这是一个回显请求。

    5. 第 8 行开始解码来自 CE2 的回复流量。在 CE2 到 CE1 方向上,镜像流量中仅存在一个标签。这是在将流量发送到 R2/PE1 路由器之前执行倒数第二跳弹出 (PHP) 后保留的 VRF 标签。流量在 P1 到 PE2 方向的出口处镜像。

      两个分析器设备上的捕获确认远程端口镜像按预期工作。

  8. 最后,我们将对在 Analyzer 2 设备上捕获的相同 CE 到 CE 测试流量进行 GUI 解码。再次请注意,在基于 MPLS 的 PE 路由器上,存在反映端口镜像操作的 MPLS 标签。 捕获显示正在镜像的 IPv4 和 IPv6 测试流量。此捕获反映由 P 路由器镜像的流量。因此,存在 MPLS 封装。

附录:在所有路由器上设置命令

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

R1 (CE1)

R2 (PE1) DUT1

R3(P 路由器)DUT 2

R4 (PE2)

R5 (CE2)

注意事项和限制

本节列出了在 PTX 平台上进行远程端口镜像的注意事项和限制。

  1. 如果必须更改端口镜像实例配置的输出部分,则应先删除现有输出配置并提交更改,然后再添加新配置。

  2. 总共支持 15 个镜像实例。如果远程端口镜像实例数超过 15,则不会提交错误。

  3. 一个给定的镜像数据包只能发送到一个远程分析器。

  4. 最大数据包长度可配置为 128 字节的倍数。导出的数据包将比配置的值少 22 个字节。

  5. 给定镜像实例不支持多个输出接口。如果配置了多个输出接口,则不会发生提交错误。

  6. 不支持 GRES 采样过程。如果发生 GRES 事件或进程重新启动 mirrord ,镜像流量将被丢弃。

  7. 在本地路由器上终止的隧道流量无法在出口方向上镜像。

  8. 不能将端口镜像与在出口方向上调用监管器操作的过滤器一起使用。

  9. 必须通过防火墙计数器或 FTI 接口统计信息来验证与镜像数据包相关的统计信息。