AUF DIESER SEITE
Unterstützung von MAC-Filterung, Storm Control und Port-Spiegelung in einer EVPN-VXLAN-Umgebung
Wir unterstützen MAC-Filterung, Sturmkontrolle sowie Port-Spiegelung und -Analyse in einem Ethernet VPN-Virtual Extensible LAN (EVPN-VXLAN) Overlay-Netzwerk.
Wir unterstützen jede dieser Funktionen im Enterprise-Stil für die Schnittstellenkonfiguration.
Wir unterstützen diese Funktionen auch im SP-Stil (Service Provider) für die Schnittstellenkonfiguration mit einigen Einschränkungen:
-
Wir unterstützen die Port-Spiegelung mit einem Firewall-Filter in Eingangsrichtung unter Verwendung der SP-Schnittstellenkonfiguration, jedoch nicht in Ausgaberichtung.
-
Wir unterstützen die Sturmsteuerung nur auf einer einzigen logischen Schnittstelle in physischen Schnittstellenkonfigurationen im SP-Stil. Sie können die Sturmsteuerung nicht auf mehreren logischen Schnittstellen mit SP-Konfigurationen konfigurieren.
-
Aufgrund von Hardwarebeschränkungen gilt die Sturmsteuerung, die auf eine logische Schnittstelle angewendet wird, auch für die zugrunde liegende physische Schnittstelle.
-
Die logische Schnittstelle, für die die Sturmsteuerung konfiguriert ist, protokolliert den Sturm, aber jede logische Schnittstelle auf der physischen Schnittstelle kann die Sturmsteuerung auslösen.
-
Wir unterstützen diese Funktionen nur in einem EVPN-VXLAN-ERB-Overlay (Edge-Routing-Bridging), das auch als EVPN-VXLAN-Topologie mit einer reduzierten IP-Fabric bezeichnet wird. Dieses Overlay-Netzwerk umfasst die folgenden Komponenten:
-
Eine einzelne Schicht von Juniper Networks-Switches – z. B. QFX10002-, QFX5120- oder QFX5110-Switches –, von denen jede sowohl als Layer-3-Spine-Gerät als auch als Layer-2-Leaf-Gerät fungiert.
-
Kunden-Edge-Geräte (CE), die im Aktiv/Aktiv-Modus einfach oder mehrfach zu den Spine-Leaf-Geräten gehören.
Wir unterstützen sowohl die lokale als auch die Remote-Port-Spiegelung mit EVPN-VXLAN auf einigen Plattformen:
-
local: Die Pakete werden an ein Ziel auf demselben Gerät gespiegelt.
-
remote: Die Pakete werden an ein Ziel auf einem Remote-Gerät gespiegelt.
Wenn Sie die Remote-Port-Spiegelung mit EVPN-VXLAN verwenden möchten, sehen Sie sich auf der Funktions-Explorer-Seite für Remote-Port-Spiegelung mit VXLAN-Kapselung die unterstützten Plattformen und Versionen an.
Weitere Informationen zur lokalen oder Remote-Portspiegelung mit EVPN-VXLAN finden Sie unter Portspiegelung und Analysen .
Dieses Thema enthält die folgenden Informationen:
Vorteile der Unterstützung von MAC-Filterung, Storm Control und Port-Spiegelung in einer EVPN-VXLAN-Umgebung
-
Die MAC-Filterung ermöglicht es Ihnen, Pakete von eingehenden CE-Schnittstellen zu filtern und zu akzeptieren und dadurch das Volumen der zugehörigen MAC-Adressen in der Ethernet-Switching-Tabelle und den Datenverkehr in einem VXLAN zu reduzieren.
-
Storm Control ermöglicht es Ihnen, das Datenverkehrsniveau auf EVPN-VXLAN-Schnittstellen zu überwachen und bei Überschreitung eines bestimmten Datenverkehrsniveaus Broadcast-, unbekannte Unicast- und Multicast-Pakete (BUM) zu verwerfen und auf einigen Switches von Juniper Networks die Schnittstelle für einen bestimmten Zeitraum zu deaktivieren. Diese Funktion kann verhindern, dass übermäßiger Datenverkehr das Netzwerk beeinträchtigt.
-
Mit Port-Spiegelung und -Analyzern können Sie den Datenverkehr in einer EVPN-VXLAN-Umgebung bis auf Paketebene analysieren. Sie können diese Funktion verwenden, um Richtlinien in Bezug auf die Netzwerknutzung und die Dateifreigabe durchzusetzen und Problemquellen zu identifizieren, indem Sie abnormale oder starke Bandbreitennutzung durch bestimmte Stationen oder Anwendungen lokalisieren.
MAC-Filterung
Mit der MAC-Filterung können Sie MAC-Adressen filtern und Datenverkehr akzeptieren. Wir unterstützen diese Funktion nur für eingehende CE-Schnittstellen, bei denen die VXLAN-Kapselung in der Regel nicht aktiviert ist. Um diese Funktion zu verwenden, müssen Sie die folgenden Schritte ausführen:
-
Erstellen Sie einen Firewallfilter, in dem Sie eine oder mehrere der unterstützten Übereinstimmungsbedingungen in Tabelle 1 und Tabelle 2 angeben.
-
Wenden Sie den Firewallfilter auf eine in der
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]Hierarchie konfigurierte Layer-2-Schnittstelle an.
| Spielbedingungen |
Unterstützung von Schnittstelleneingangsfiltern |
Unterstützung von Schnittstellen-Ausgangsfiltern |
|---|---|---|
| MAC-Quelladresse |
X |
X |
| MAC-Zieladresse |
X |
X |
| Benutzer-VLAN-ID |
X |
X |
| Quell-Port |
X |
|
| Zielhafen |
X |
|
| Ether-Typ |
X |
|
| IP-Protokoll |
X |
|
| IP-Präzedenz |
X |
|
| ICMP-Codes |
X |
|
| TCP-Flags |
X |
|
| IP-Adresse |
X |
|
In Junos OS Version 18.4R1 unterstützen QFX5100- und QFX5110-Switches die MAC-Filterung nur auf einer Schnittstelle. Ab Junos OS Version 18.4R2 und späteren Versionen unterstützen QFX5100-, QFX5110-, QFX5120-48Y- und EX4650-48Y-Switches auch die MAC-Filterung in einem VXLAN-zugeordneten VLAN. Junos OS Version 22.2 unterstützt Mac-Filterung und Transit-VNI-Abgleich für reines IPv6-Underlay auf QFX10002-, QFX10008- und QFX10016-Geräten.
| Spielbedingungen |
Unterstützung von Schnittstelleneingangsfiltern |
Unterstützung von Schnittstellen-Ausgangsfiltern |
|---|---|---|
| MAC-Quelladresse |
X |
|
| MAC-Zieladresse |
X |
|
| Benutzer-VLAN-ID |
|
|
| Quell-Port |
X |
X |
| Zielhafen |
X |
X |
| Ether-Typ |
X |
X |
| IP-Protokoll |
X |
|
| IP-Präzedenz |
X |
X |
| ICMP-Codes |
X |
X |
| TCP-Flags |
X |
X |
| IP-Adresse |
X |
X |
Beachten Sie bei der Konfiguration von MAC-Filtern auf QFX10000-Switches Folgendes:
-
Sie können einen Filter nur auf eine Schnittstelle anwenden. Sie können keinen Filter auf ein VXLAN-zugeordnetes VLAN anwenden.
-
Wir unterstützen keine Mischung aus Layer-2-Übereinstimmungsbedingungen und Layer-3/Layer-4-Übereinstimmungsbedingungen im selben Firewall-Filter. Wenn Sie beispielsweise Übereinstimmungsbedingungen für Quell-MAC-Adressen und Quellports in denselben Firewall-Filter auf einem QFX10002-Switch aufnehmen, funktioniert der Firewall-Filter nicht.
-
Die Übereinstimmungsbedingung der Benutzer-VLAN-ID wird nicht unterstützt. Wenn Sie also logische Schnittstellen filtern müssen, von denen jede einem bestimmten VLAN zugeordnet ist, müssen Sie bei der Konfiguration der physischen Schnittstelle und der zugehörigen logischen Schnittstellen den Service Provider-Konfigurationsstil verwenden. Nachdem Sie einen Firewall-Filter erstellt haben, müssen Sie den Filter auf jede logische Schnittstelle anwenden, um den Effekt der Übereinstimmungsbedingung für die Benutzer-VLAN-ID zu erzielen.
- Mit Junos OS Version 22.2 wird auch Unterstützung für den VxLAN-Netzwerk-ID-Abgleich (VNI) auf äußeren Quell-/Ziel-IP-Headern für den Transitdatenverkehr auf einer Layer-3-Schnittstelle für QFX10002-, QFX10008- und QFX10016-Geräte implementiert. VNI-Übereinstimmungen werden nur für äußere Header und nur für eingehenden Datenverkehr vorgenommen. Auf Transitgeräten, die Tunnelpakete weiterleiten, muss die MAC-Filterung den Abgleich von VNI im äußeren Header sowie die Quell- und Ziel-IPv6-Adressen des äußeren Headers als Übereinstimmungsbedingungen unterstützen. Verwenden Sie den VNI-Übereinstimmungsfilter unter der CLI-Option vxlan match für den
set firewall family inet6 filterBegriff aus dem<vxlan [vni <vni-id>]>Befehl. Verwenden Sie denshow firewall filterBefehl, um Statistiken anzuzeigen.
Über den Firewallfilter geben Sie MAC-Adressen an, die einem VXLAN zugeordnet sind und auf einer bestimmten Schnittstelle zulässig sind.
Nachdem Sie den Firewallfilter auf eine Layer-2-Schnittstelle angewendet haben, befindet sich die Schnittstelle unter der Standard-Switch-Instanz.
In der folgenden Beispielkonfiguration auf einem QFX5110 Switch wird ein Firewall-Filter mit dem Namen "DHCP-Discover-In" erstellt, der eingehenden Datenverkehr akzeptiert und zählt, der mehrere Übereinstimmungsbedingungen (Quell-MAC-Adresse, Ziel-MAC-Adresse, Zielports und VLAN-ID) auf der logischen Layer-2-Schnittstelle xe-0/0/6.0 erfüllt:
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
Sturmkontrolle
Standardmäßig ist die Sturmkontrolle auf QFX- und EX-Switches für Layer-2-Schnittstellen aktiviert, die VXLANs zugeordnet sind. Die Sturmkontrollstufe ist auf 80 Prozent der kombinierten BUM-Datenverkehrsströme festgelegt.
Die EVPN-VXLAN-Sturmkontrolle funktioniert auf Plattformen der ACX-Serie etwas anders. Weitere Informationen finden Sie unter Übersicht über Storm Control auf Routern der ACX-Serie.
In einer EVPN-VXLAN-Umgebung wird die Sturmsteuerung auf Layer-2-Schnittstellen, die VXLANs zugeordnet sind, genauso implementiert und konfiguriert wie in einer Nicht-EVPN-VXLAN-Umgebung, mit Ausnahme der folgenden Unterschiede:
-
In einer EVPN-VXLAN-Umgebung werden von der Sturmsteuerung die folgenden Datenverkehrstypen überwacht:
-
Layer-2-BUM-Datenverkehr, der von einem VXLAN stammt und an Schnittstellen innerhalb desselben VXLAN weitergeleitet wird.
-
Layer-3-Multicast-Datenverkehr, der von einer integrierten Routing- und Bridging-Schnittstelle (IRB) in einem VXLAN empfangen und an Schnittstellen in einem anderen VXLAN weitergeleitet wird.
-
-
Nachdem Sie ein Sturmsteuerungsprofil erstellt haben, müssen Sie es an eine Eingangs-Layer-2-Schnittstelle in der
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]Hierarchie binden.Hinweis:Nachdem Sie das Profil an eine Layer-2-Schnittstelle gebunden haben, befindet sich die Schnittstelle in der Standard-Switch-Instanz.
-
Wenn die Datenverkehrsströme auf einer Schnittstelle die angegebene Sturmsteuerungsstufe überschreiten, verwirft der Switch von Juniper Networks die überschüssigen Pakete, was als Ratenbegrenzung bezeichnet wird. Darüber hinaus unterstützen QFX10000 Switches in einer EVPN-VXLAN-Umgebung die Deaktivierung der Schnittstelle für einen bestimmten Zeitraum mithilfe der
action-shutdownKonfigurationsanweisung auf Hierarchieebene[edit forwarding-options storm-control-profiles]und derrecovery-timeoutKonfigurationsanweisung auf Hierarchieebene[edit interfaces interface-name unit logical-unit-number family ethernet-switching].Hinweis:QFX5100- und QFX5110-Switches in einer EVPN-VXLAN-Umgebung unterstützen das Deaktivieren der Schnittstelle für einen bestimmten Zeitraum nicht.
Hinweis:Wenn Sie auf QFX5110-Switches eine erweiterte Sturmkontrolle und einen nativen Analyzer auf einer Schnittstelle konfigurieren und der native Analyzer über das VxLAN-VLAN als Eingabe verfügt, funktioniert die Aktion zum Herunterfahren nicht für das VLAN auf dieser Schnittstelle. Die Ratenbegrenzung funktioniert wie erwartet.
In der folgenden Konfiguration wird ein Profil mit dem Namen scp erstellt, das angibt, dass die Schnittstelle den überschüssigen BUM-Datenverkehr verwirft, wenn die Bandbreite, die von den kombinierten BUM-Datenverkehrsströmen verwendet wird, auf der logischen Layer-2-Schnittstelle et-0/0/23.0 5 Prozent überschreitet.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
In der folgenden Konfiguration wird ein Profil mit dem Namen scp erstellt, das angibt, dass die Schnittstelle den überschüssigen Multicastdatenverkehr verwirft, wenn die vom Multicast-Datenverkehrsstrom verwendete Bandbreite (Broadcast- und unbekannte Unicast-Datenströme sind ausgeschlossen) auf der logischen Layer-2-Schnittstelle et-0/0/23.0 5 Prozent überschreitet.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
Die folgende Konfiguration auf einem QFX10000 Switch erstellt dasselbe Profil wie in der vorherigen Konfiguration. Anstatt jedoch den Multicastdatenverkehr implizit zu verwerfen, wenn der Datenstrom 5 Prozent überschreitet, wird die Schnittstelle in der folgenden Konfiguration explizit für 120 Sekunden deaktiviert und dann wieder aktiviert.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
Port-Spiegelung und Analysatoren
Um den Datenverkehr in einer EVPN-VXLAN-Umgebung zu analysieren, unterstützen wir die folgenden Port-Spiegelungs- und Analysefunktionen:
-
Lokale Spiegelung
-
Auf einer Schnittstelle
-
Auf einem VXLAN
-
-
Remote-Spiegelung
-
Auf einer Schnittstelle
-
Auf einem VXLAN
-
In den folgenden Abschnitten finden Sie weitere Informationen zu den unterstützten Funktionen und Beispielkonfigurationen.
Lokale Spiegelung
Die lokale Spiegelung ist vergleichbar mit dem Switched Port Analyzer (SPAN).
| Entität, auf die die lokale Spiegelung angewendet wird |
Fahrtrichtung |
Filterbasierte Unterstützung |
Analyzer-basierte Unterstützung |
|---|---|---|---|
| CE-Schnittstelle |
Eindringen |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 1: Beispielkonfiguration. |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 2: Beispielkonfiguration. |
| CE-Schnittstelle |
Ausstieg |
Nicht unterstützt. |
Unterstützt; Der ausgehende gespiegelte Datenverkehr kann jedoch falsche VLAN-Tags enthalten, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden. Weitere Informationen finden Sie unter Anwendungsfall 3: Beispielkonfiguration. |
| IP-Fabric-Schnittstelle |
Eindringen |
Unterstützt. |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 4: Beispielkonfiguration. |
| IP-Fabric-Schnittstelle |
Ausstieg |
Nicht unterstützt. |
Unterstützt. Die Entscheidung für die Spiegelung erfolgt jedoch beim Eingang, sodass der Layer-2-Header nicht mit einem geswitchten oder gerouteten Paket identisch ist. Gespiegelte, VXLAN-gekapselte Pakete enthalten keinen VXLAN-Header. Weitere Informationen finden Sie unter Anwendungsfall 5: Beispielkonfiguration. |
| VXLAN-zugeordnetes VLAN |
Eindringen |
Unterstützt. |
Wird nur für Datenverkehr unterstützt, der über eine CE-Schnittstelle eingegeben wird. Weitere Informationen finden Sie unter Anwendungsfall 6: Beispielkonfiguration. |
Konfigurieren der lokalen Spiegelung
Use Case 1: Firewall filter-based
Durch die Verwendung einer Portspiegelungsinstanz mit dem Namen pm1 und eines Firewallfilters gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der über die logische Schnittstelle xe-0/0/8.0 in VXLAN100 gelangt, an einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 und dann an die Portspiegelungsinstanz pm1 gespiegelt wird.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der in die logische Schnittstelle xe-0/0/8.0 gelangt, auf einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 gespiegelt wird.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der die logische Schnittstelle xe-0/0/8.0 verlässt, an einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der in die logische Schnittstelle xe-0/0/29.0 gelangt, an einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der die logische Schnittstelle xe-0/0/29.0 verlässt, an einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der in das VLAN mit dem Namen VXLAN100 eintritt und auf einen Analyzer auf der logischen Schnittstelle xe-0/0/6.0 gespiegelt wird, gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
Remote-Spiegelung
Die Remote-Port-Spiegelung wird verwendet, wenn sich das Ausgabeziel nicht auf demselben Switch wie die Quelle befindet. Die Remote-Spiegelung liefert den gespiegelten Datenverkehr an einen oder mehrere Remote-Zielhosts. Es wird häufig in der Umgebung von Datencentern zur Fehlerbehebung oder Überwachung verwendet.
In einer EVPN-VXLAN-Umgebung wird der gespiegelte Datenverkehrsfluss am Quell-Switch gekapselt und durch die Underlay-IP-Fabric zur IP-Adresse des Zielhosts getunnelt. Wir unterstützen die folgenden Arten der Verkapselung:
-
Generic Routing Encapsulation (GRE) wird bei der Remote-Spiegelung verwendet, um den Datenverkehr zwischen Switches zu kapseln, die durch eine Routing-Domäne getrennt sind. In einem EVPN-VXLAN-Overlay ermöglicht die GRE-Kapselung die Spiegelung zwischen Leaf-Geräten über die IP-Fabric. Verwenden Sie Remote-Spiegelung mit GRE, wenn die Spiegelungsziel-Hosts mit einem Switch verbunden sind, der Teil derselben Fabric wie der Quell-Switch ist. Die Remote-Spiegelung mit GRE-Kapselung ist vergleichbar mit der gekapselten Remote-SPAN (ERSPAN).
Hinweis:Auf den Plattformen ACX7100-32C und ACX7100-48L ist die vergleichbare Version von ERSPAN ERSPAN Version 2 (ERSPAN v2).
-
Die VXLAN-Kapselung unterstützt die Remote-Spiegelung für EVPN-VXLAN, wenn sich die Quell- und Ausgabeziele in getrennten VNI-Domänen befinden. Sie müssen ein bestimmtes VXLAN für die Spiegelung des Datenverkehrs für die Ausgabezielschnittstellen konfigurieren und einem VNI zuordnen. Die Remote-Spiegelung mit VXLAN-Kapselung ist vergleichbar mit Remote-SPAN (RSPAN).
| Entität, auf die die Remote-Spiegelung angewendet wird |
Fahrtrichtung |
Filterbasierte Unterstützung |
Analyzer-basierte Unterstützung |
|---|---|---|---|
| CE-Schnittstelle |
Eindringen |
Unterstützt. Wird auf ACX7100 nicht unterstützt. |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 1: Beispielkonfiguration. Wird auf ACX7100 unterstützt. Gespiegelte Pakete enthalten jedoch einen GRE-Header. |
| CE-Schnittstelle |
Ausstieg |
Nicht unterstützt. |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 2: Beispielkonfiguration. Wird auf ACX7100 unterstützt. Gespiegelte Pakete enthalten jedoch einen GRE-Header. |
| IP-Fabric-Schnittstelle |
Eindringen |
Unterstützt. Wird auf ACX7100 nicht unterstützt. |
Unterstützt. Weitere Informationen finden Sie unter Anwendungsfall 3: Beispielkonfiguration. Wird auf ACX7100 unterstützt. Gespiegelte VXLAN-gekapselte Pakete enthalten jedoch einen VXLAN-Header und einen GRE-Header. |
| IP-Fabric-Schnittstelle |
Ausstieg |
Nicht unterstützt. |
Unterstützt. Die Entscheidung für die Spiegelung erfolgt jedoch beim Eingang, sodass der Layer-2-Header nicht mit einem geswitchten oder gerouteten Paket identisch ist. Weitere Informationen finden Sie unter Anwendungsfall 4: Beispielkonfiguration.
Hinweis:
Gespiegelter Datenverkehr kann das gefälschte VLAN-ID-Tag 4094 auf dem nativen MAC-Frame enthalten. Wird auf ACX7100 unterstützt. Gespiegelte Pakete enthalten jedoch einen GRE-Header, aber keinen VXLAN-Header. |
| VXLAN-zugeordnetes VLAN |
Eindringen |
Unterstützt. Wird auf ACX7100 nicht unterstützt. |
Wird nur für Datenverkehr unterstützt, der über eine CE-Schnittstelle eintritt. Weitere Informationen finden Sie unter Anwendungsfall 5: Beispielkonfiguration. Wird auf ACX7100 nicht unterstützt. |
Konfigurieren der Remote-Spiegelung mit GRE-Kapselung
Die folgenden Beispielkonfigurationen gelten für die analysatorbasierte Remotespiegelung mit GRE-Kapselung.
Ein Beispiel für die Konfiguration eines Remote-Analyzers mit GRE-Kapselung auf ACX7100 finden Sie unter Beispiel: Aktivieren einer Remote-Analyzer-Instanz an einer ESI-LAG-Schnittstelle.
Use Case 1
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der in die logische Schnittstelle xe-0/0/8.0 gelangt, auf eine logische Remoteschnittstelle mit der IP-Adresse 10.9.9.2 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der die logische Schnittstelle xe-0/0/8.0 verlässt, auf eine logische Remoteschnittstelle mit der IP-Adresse 10.9.9.2 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der die logische Schnittstelle xe-0/0/29.0 erreicht, auf eine logische Remoteschnittstelle mit der IP-Adresse 10.9.9.2 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der die logische Schnittstelle xe-0/0/29.0 verlässt, auf eine logische Remoteschnittstelle mit der IP-Adresse 10.9.9.2 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
Durch die Verwendung der analyzer Konfigurationsanweisung auf Hierarchieebene [set forwarding-options] gibt diese Konfiguration an, dass Layer-2-Datenverkehr, der in VXLAN100 eingeht, die der logischen Schnittstelle xe-0/0/8.0 zugeordnet ist, auf eine logische Remoteschnittstelle mit der IP-Adresse 10.9.9.2 gespiegelt wird.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
Konfigurieren der Remote-Spiegelung mit VXLAN-Kapselung
Informationen dazu, welche Plattformen dieses Feature ab welchen Versionen unterstützen, finden Sie auf der Seite Feature-Explorer für Remote-Portspiegelung mit VXLAN-Kapselung.
Analyzer-basierte Konfiguration
Die folgende Beispielkonfiguration gilt für die analysatorbasierte Remotespiegelung mit VXLAN-Kapselung. Layer-2-Datenverkehr, der VLAN100 erreicht, wird auf das Remoteausgabeziel VLAN3555 gespiegelt, das VNI 1555 zugeordnet ist.
Diese Konfiguration verwendet eine Loopback-Schnittstelle im Ziel-VLAN, um die gespiegelten Pakete zu kapseln.
-
Die Zielschnittstelle xe-0/0/2 ist extern mit der Loopback-Schnittstelle xe-0/0/3 verbunden.
- Die logischen Schnittstellen xe-0/0/2.0 und xe-0/0/3.0 sind Mitglieder der Ziel-VLAN3555.
- Die Schnittstelle xe-0/0/2.0 wird im Enterprise-Stil ohne VNI-Zuordnung konfiguriert, während die Schnittstelle xe-0/0/3.0 im Service-Provider-Stil mit derselben VLAN-ID und mit der VNI-Zuordnung konfiguriert wird. Dadurch soll eine Überflutung oder Schleife zwischen diesen Ports verhindert werden.
- Mac-Learning muss auf xe-0/0/2.0 deaktiviert sein.
Die Eingangsschnittstelle muss im Trunk-Modus konfiguriert werden, damit die gekapselten Pakete mit Tags versehen werden. Um die getaggten Pakete zu entkapseln, konfigurieren Sie den set protocols l2-learning decapsulate-accept-inner-vlan Befehl am Entkapselungsknoten.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Verwenden Sie den folgenden Befehl, um eine logische Loopback-Schnittstelle anstelle einer externen Verbindung zu konfigurieren:
set interfaces interface-name ether-options loopback
Die folgende Beispielkonfiguration verwendet ein logisches Loopback auf der Schnittstelle xe-0/0/2:
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Auf Firewall-Filtern basierende Konfiguration
In der folgenden Konfiguration wird ein Firewallfilter angewendet, filter1auf eingehenden Datenverkehr an der Schnittstelle xe-0/0/34. Der auf dieser Schnittstelle eingehende Datenverkehr wird an das Ziel VLAN3555gespiegelt. Das Ziel-VLAN wird mithilfe einer Port-Mirroring-Instanz mit dem Namen pm1definiert.
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
Remote-Port-Spiegelung mit VNI-Übereinstimmungsbedingungen
Für Switches der Serien QFX10002, QFX10008 und QFX10016 können Sie VXLAN-VNI-Werte (Network Identifier) als Übereinstimmungsbedingung verwenden, wenn Sie den Datenverkehr für die Remote-Port-Spiegelung filtern. Diese Fähigkeit wird häufig in der Netzwerkplanung und für Analysen wie Deep Packet Inspection (DPI) verwendet.
Die Remote-Port-Spiegelungsfunktion erstellt eine Kopie von gezielten eingehenden Paketen, die in einem äußeren IPv4-GRE-Header gekapselt und dann an ein bestimmtes Remoteziel weitergeleitet werden. Die Unterstützung für VNI-Übereinstimmungsbedingungen bedeutet, dass Sie Pakete auswählen können, die auf der Grundlage ihres VNI gespiegelt werden sollen, sodass nur diese Datenströme an den Remote-Spiegelungsport geleitet werden. Sie können auch einen DSCP-Wert (Differentiated Service Code Point) konfigurieren, um den Flow zu priorisieren, z. B. hohe Priorität oder bestmögliche Bereitstellung. Integrierte Routing- und Bridging-Schnittstellen (IRB) werden als Ziel-Mirror-Port nicht unterstützt.
Im Großen und Ganzen besteht das Verfahren für die Remote-Port-Spiegelung basierend auf VNIs darin, eine Remote-Port-Spiegelungsinstanz zu erstellen, VNI in der Firewallfilterfamilie für die Verarbeitung von VNIs hochzustufen, die erforderlichen Filterregeln und -aktionen zu erstellen und dann die Firewallrichtlinie auf eine Eingangsschnittstelle anzuwenden. GRE-Tunneling sollte auch auf der Schnittstelle vorhanden sein, die zum Senden der gespiegelten Pakete verwendet wird.
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
In den folgenden Codebeispielen werden die wichtigsten Junos CLI-Konfigurationen hervorgehoben, die Sie zum Spiegeln von Paketen gemäß VNI benötigen.
- Aktivieren Sie die Remote-Portspiegelung, und konfigurieren Sie außerdem die Datenverkehrsquelle und das Ziel, an das Sie die gespiegelten Pakete senden möchten.
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- Erstellen Sie einen Firewallfilter (hier mit dem Namen bf_vni_st), und stufen Sie VNI in diesem Filter zum Paketweiterleitungsmodul hoch (mit anderen Worten, dieser Befehl legt den gesamten Filter fest, um die VNI-Übereinstimmungsbedingungen zu optimieren).
set firewall family inet filter fbf_vni_st promote vni
- Erstellen Sie einen Eingangsfirewallfilter (bf_vni_st), der eine VNI-Übereinstimmungsbedingung (6030 in diesem Beispiel) und eine Aktion (Anzahl in diesem Beispiel) angibt.
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- Wenden Sie den Filter auf den eingehenden Datenverkehr an der Schnittstelle an, die Sie spiegeln möchten.
set interfaces interface unit number family inet filter input fbf_vni_st