Auf dieser Seite
Beispiel: Konfigurieren der Portspiegelung mit Family Any und einem Firewall-Filter
Überblick
• Familie any (für Familie any, ccc, ethernet-switchingoder mpls)
Sie verwenden die Familienkonfigurationsoption any , um alle 4 Familien zu verarbeiten.
Sie verwenden [edit forwarding-options port-mirroring] für die lokale Portspiegelung oder [edit forwarding-options port-mirroring instance instance-name] für die Remote-Portspiegelung, wobei für beide Konfigurationen auch ein Firewallfilter erforderlich ist.
Im folgenden Text sind die Vorsichtsmaßnahmen und Einschränkungen aufgeführt, die Sie bei der Konfiguration dieser Funktion beachten müssen:
Verwahrungen
-
Wenn Sie die Ausgabekonfiguration für die Portspiegelung ändern müssen, löschen Sie zuerst die vorhandene Ausgabekonfiguration und konfigurieren Sie dann die neue Ausgabekonfiguration.
-
Wenn die Anzahl der Remote-Port-Spiegelinstanzen 15 überschreitet, wird kein Commit-Fehler angezeigt.
-
Eine Fehlermeldung der Packet Forwarding Engine wird generiert, wenn die Anzahl der Portspiegelungsinstanzen 15 überschreitet. Wenn Sie jedoch eine der vorhandenen Instanzen löschen, wird die sechzehnte Instanz nicht automatisch programmiert. Sie müssen zuerst die sechzehnte Instanz löschen und dann erneut hinzufügen.
-
Ein abgetastetes Paket kann nur an ein NMS-Gerät gesendet werden.
-
Jede Familie verbraucht eine Instanz, also
maximum number of instances = number of instances + number of families
-
Eine FTI-Schnittstelle muss im Loopback-Modus arbeiten.
HINWEIS:FTI-Schnittstellen sind in Remote-Port-Mirroring-Konfigurationen enthalten.
-
Sie können die maximale Paketlänge als Vielfaches von 128 Byte konfigurieren. Ein exportiertes Paket ist 22 Byte kleiner als der konfigurierte Wert.
-
Konfigurieren Sie nicht mehrere Schnittstellen für dieselbe Instanz – sie werden nicht unterstützt, und es wird kein Commit-Fehler erstellt, wenn Sie versuchen, mehrere Schnittstellen für dieselbe Instanz zu bestätigen.
-
Der Neustart des Spiegel-Daemons (gespiegelt) und GRES haben beide einen kurzzeitigen Drop.
-
Tunnelterminierte Pakete in Ausgangsrichtung werden nicht gespiegelt.
-
Kombinierte Aktionen
port-mirrorunddiscardAktionen in Ausgangsrichtung werden nicht unterstützt. -
Jumbo-Datenverkehr in Ausgangsrichtung für die FTI-Schnittstelle wird nicht unterstützt.
Begrenzungen
-
Die L2-Konfiguration (
ethernet-switching) im Enterprise-Provider-Stil wird vom Familienfilteranynicht unterstützt. -
Ein abgetastetes Paket kann nur an eine Remote-Port-Mirror-Instanz gesendet werden. Das gleiche abgetastete Paket kann nicht an mehrere NMS-Geräte gesendet werden.
-
Statistiken, die sich auf Port-gespiegelte Pakete beziehen, müssen über den Firewall-Filter oder die FTI überprüft werden.
-
MPLS-Datenverkehr am Ausgang wird vom Familienfilter
anynicht unterstützt. -
Eine aggregierte Ethernet-Schnittstelle (ae) wird als ausgehende Schnittstelle für den Familienfilter
anynicht unterstützt.
Anforderungen
-
PTX10008 oder PTX10016
-
Junos OS Evolved Version 22.2R1 oder höher
Topologie
Das folgende Beispiel zeigt eine Konfiguration der lokalen Portspiegelung mit Familie any und einem Firewallfilter.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
firewall {
family any {
filter mirror_to_analytics {
term port-mirror {
from {
learn-vlan-id 1024-1055;
}
then count c1;
then port-mirror;
}
term all-else {
then accept;
}
}
}
}
interfaces {
ae10 {
encapsulation flexible-ethernet-services;
aggregated-ether-options {
lacp {
active;
periodic fast;
}
}
unit 1038 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1038;
unit 1046 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1046;
}
} vlan-tagging;
}
et-0/0/0:3 {
encapsulation ethernet ccc;
unit 0 {
family ccc;
}
forwarding-options {
port-mirroring {
input {
rate 1; (We recommend 1:1000 so you don't mirror all the traffic.)
}
family any {
output {
interface et-0/0/0:3.0;
}
}
}
}