Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der Paketspiegelung mit Layer 2-Headern für Layer 3-weitergeleiteten Datenverkehr

SUMMARY Selektive Paketspiegelungsfilter können als äußerst effektiver Fehlerbehebungsmechanismus dienen und auch zur Leistungsüberwachung verwendet werden.

Understanding Packet Mirroring with Layer 2 Headers for Layer 3 Forwarded Traffic

Dieses Dokument konzentriert sich auf die Fähigkeit, den Datenverkehr mit einer Vielzahl von IPv4- oder IPv6-Filterübereinstimmungen auszuwählen und ganze Pakete mit ihren ursprünglichen Layer 2-Headerinformationen zu spiegeln.

Layer 2-Header-Informationen sind möglicherweise unerlässlich, um einen bestimmten Kunden in einer Edge-Router-Bereitstellung oder einen bestimmten Internet-Peer in einem öffentlichen Peering-Fall zu identifizieren.

Funktionen der Paketspiegelung mit Layer 2-Headern für Layer 3-Weiterleitungsverkehr

Kurz gesagt können Sie den ursprünglichen Layer 2-Paket-Header spiegeln, wenn die l2-mirror Aktion in einem oder family inet6 einem family inet Filter konfiguriert ist. Pakete können lokal oder aus der Ferne mithilfe von GRE-Tunneln gespiegelt werden.

Wenn Sie die Ausgabeschnittstelle in Ihrer Spiegelungskonfiguration als GRE-Tunnelschnittstelle angeben, werden Pakete vor der Übertragung in GRE verkapselt. Eine Port-Spiegelungsinstanz kann mit mehreren Ausgabeprotokollfamilien konfiguriert werden.

Einschränkungen für die Spiegelungskonfiguration auf Paketebene

  • Die neue Aktion wird l2-mirrornur für family inet und family inet6Filter unterstützt.

  • Layer 2-Spiegelung wird an gr-*/*/* Schnittstellen nicht unterstützt.

Konfigurieren Sie einen Filter mit einer Portspiegelungsinstanz oder mit Global Port Mirroring

Sie konfigurieren l2-mirror entweder firewall family (inet | inet6) filter filter-name term then port-mirror unter (globale Portspiegelung) oder firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (Portspiegelungsinstanzen oder "PM-Instanzen").

Nach l2-mirror der Konfiguration für einen Begriff wird angegeben, dass für Pakete, die diesem Begriff entsprechen, das Layer-2-Paket gespiegelt wird. Die Software führt Commit-Prüfungen für ungültige Konfigurationen durch, z. B. wenn l2-mirror konfiguriert ist, aber in der Konfiguration der Portspiegelung auf globaler Ebene oder Instanzebene ist keine Ausgabeschnittstelle für family any die Portspiegelung konfiguriert. Deaktiviert man l2-mirror, wird das Spiegelungsverhalten auf Layer 3-Spiegelung umgestellt.

Die folgenden beiden Beispiele zeigen die Konfiguration eines Filters (der Filtername in den Beispielen ist f1) mit einer Portspiegelinstanz und mit globaler Portspiegelung. In beiden Beispielen wird der Datenverkehr über einen GRE-Tunnel zum Remote-Ziel gespiegelt.

Anmerkung:

Die Port-Spiegelungskonfigurationen, die unter forwarding-optionsstehen, sind mit family anykonfiguriert, aber die Übereinstimmungsbedingungen in der Filterkonfiguration werden unter family inetdurchgeführt. Ermöglicht family any die Spiegelung von Layer-2-Paketen.

  1. So konfigurieren Sie den Filter mit einer Portspiegelungsinstanz:
    Anmerkung:

    Sie können eine GR-Schnittstelle als Spiegelungsziel angeben. Informationen zur Konfiguration von GR-Schnittstellen finden Sie unter Konfigurieren von Generic Routing Encapsulation Tunneling auf der ACX-Serie (das Dokument bezieht sich speziell auf Router der ACX-Serie; die gleichen Informationen gelten für verschiedene andere Router, einschließlich MX10003.)

  2. So konfigurieren Sie den Filter mit globaler Portspiegelung:

Konfigurieren der Spiegelung für FTI-Tunnel

Wenn der Datenpfad einen Flexible Tunnel Interface (FTI)-Tunnel durchläuft, wird das Ausgabepaket mit Tunnelkapselung gesendet. Sie können eine Konfiguration einrichten, die sowohl das Originalpaket als auch das Paket mit allen Einkapselungen beim Ausgehenden abbildet.

Konfigurieren Sie die Eingangsspiegelung auf der Eingangs-WAN-Schnittstelle, um das originale Paket zu spiegeln.

Um das Paket mit allen Einkapselungen zu spiegeln, aktivieren Sie die Ausgabespiegelung an der Ausgangs-WAN-Schnittstelle.

Um Spiegelung basierend auf einem auf der FTI-Schnittstelle installierten Filter zu ermöglichen, verwenden Sie einen zweistufigen Prozess:

  1. Sie markieren Pakete für die Spiegelung mithilfe der Richtlinienaktion an der FTI-Schnittstelle. Die Richtlinienaktion wird normalerweise verwendet, um die Ausgangs-Rewrite-Regel auszuwählen, aber in diesem Fall wird die Richtlinienaktion verwendet, um interessante Pakete mit einem internen Richtlinienattribut zu markieren, ohne dass eine spezielle Rewrite-Regel konfiguriert ist.
  2. Die Software fängt Pakete ab, die mit der jeweiligen Richtlinie auf der Ausgangs-WAN-Seite übereinstimmen, und initiieren die l2-mirror Aktion. Pakete werden mit Layer-2-Header-Informationen gemeldet, einschließlich Tunnelkapselung.
Anmerkung:

Das folgende Beispiel zeigt die Layer-3-Portspiegelung. Um Layer-2-Portspiegelung zu erhalten, konfigurieren Sie einfach die l2-mirror Aktion wie in den vorhergehenden Beispielen in diesem Dokument dargestellt.

  1. Definieren policy-map policy-map-name unter dem class-of-service Abschnitt:
  2. Anwenden eines Ausgabefilters auf das FTI mit Aktion policy-map pm1:
  3. Die folgende Konfigurationsausgabe zeigt die FTI-Konfiguration an der Schnittstelle fti0.1001. (Weitere Informationen zur Konfiguration eines FTI-Tunnels finden Sie unter Übersicht über flexible Tunnelschnittstellen.)
  4. Fügen Sie einen Filter (hier benanntmirror-all) auf der Ausgangs-WAN-Schnittstelle hinzu, der mit der Übereinstimmung von:policy-map pm1 then port-mirror

Befestigungspunkte für Filter

Anlagepunkt filtern Schnittstellentyp Gespiegelter Paket-Layer-2-Header
Eingabe Jedes Ethernet außer gr- und fti- Layer 2-Header des eingehenden Pakets wird gemeldet
Ausgabe Jedes Ethernet außer gr- und fti- Layer 2-Header des eingehenden Pakets wird gemeldet
Ein- oder Ausgang GR-Schnittstelle Nicht unterstützt
Eingabe FTI-Schnittstelle Eingehender Layer 2-Header des Originalpakets (wie am WAN-Port zu sehen)
Ausgabe FTI-Schnittstelle Eingehender Layer 2-Header des Originalpakets (wie am WAN-Port zu sehen)
Eingabe IRB-Schnittstelle Eingehender Layer 2-Header des Originalpakets (wie am WAN-Port zu sehen)
Ausgabe IRB-Schnittstelle Nicht unterstützt

Vorschläge für Verbesserungen der Paketfilterungskonfiguration

Betrachten Sie Folgendes als zusätzliche Praxis, um Ihre Filter-Netzwerktelemetrieeinrichtung zu verbessern:

Mithilfe von Filtern mit Eingangs- und Ausgabekette können Sie die für die Spiegelung verwendete Filterkonfiguration von vorhandenen Filtern trennen und so unbeabsichtigte Konfigurationsfehler bei der Fehlerbehebung vermeiden. Weitere Informationen zu dieser Funktion finden Sie unter Beispiel: Verwendung von Firewall-Filterketten.