Konfigurieren der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr
SUMMARY Selektive Paketspiegelungsfilter können als hocheffektiver Fehlerbehebungsmechanismus dienen und auch zur Leistungsüberwachung verwendet werden.
Grundlegendes zur Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr
Dieses Dokument konzentriert sich auf die Möglichkeit, Datenverkehr mithilfe einer Vielzahl von IPv4- oder IPv6-Filterübereinstimmungsbedingungen auszuwählen und ganze Pakete mit ihren ursprünglichen Layer-2-Header-Informationen zu spiegeln.
Layer-2-Header-Informationen können für die Identifizierung eines bestimmten Kunden in einer Edge-Router-Bereitstellung oder eines bestimmten Internet-Peers in einem öffentlichen Peering-Fall unerlässlich sein.
- Funktionen der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr
- Einschränkungen für die Spiegelungskonfiguration auf Paketebene
Funktionen der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr
Kurz gesagt, Sie können den ursprünglichen Layer-2-Paket-Header spiegeln, wenn die Aktion in einem oder-Filter konfiguriert ist.l2-mirror
family inet
family inet6
Pakete können lokal oder remote mithilfe von GRE-Tunneln gespiegelt werden.
Wenn Sie die Ausgabeschnittstelle in Ihrer Spiegelungskonfiguration als GRE-Tunnelschnittstelle angeben, werden Pakete vor der Übertragung in GRE gekapselt. Eine Port-Mirroring-Instanz kann mit mehreren Ausgabeprotokollfamilien konfiguriert werden.
Einschränkungen für die Spiegelungskonfiguration auf Paketebene
-
Die neue Aktion , wird nur für und Filter unterstützt.
l2-mirror
family inet
family inet6
- Die Layer-2-Spiegelung wird auf gr-*/*/*-Schnittstellen nicht unterstützt.
Konfigurieren eines Filters mit einer Port-Mirroring-Instanz oder mit globaler Port-Spiegelung
Die Konfiguration erfolgt entweder unter (globale Portspiegelung) oder (Portspiegelungsinstanzen oder "PM-Instanzen").l2-mirror
firewall family (inet | inet6) filter filter-name term then port-mirror
firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name
Die Konfiguration für einen Begriff gibt an, dass für Pakete, die diesem Begriff entsprechen, das Layer-2-Paket gespiegelt wird.l2-mirror
Die Software führt Commit-Prüfungen auf ungültige Konfigurationen durch, z. B. wenn konfiguriert ist, aber keine Port-Spiegelungs-Ausgabeschnittstelle für die Port-Spiegelung in der Port-Spiegelungskonfiguration auf globaler oder Instanzebene konfiguriert ist.l2-mirror
family any
Wenn Sie diese Option deaktivieren , wird das Spiegelungsverhalten auf die Layer-3-Spiegelung zurückgesetzt.l2-mirror
Die folgenden beiden Beispiele zeigen die Konfiguration eines Filters (der Filtername in den Beispielen ist f1) mit einer Portspiegelungsinstanz und mit globaler Portspiegelung. In beiden Beispielen wird der Datenverkehr über einen GRE-Tunnel an das Remoteziel gespiegelt.
Die Port-Mirroring-Konfigurationen, die sich unter befinden, werden mit konfiguriert, aber die Übereinstimmungsbedingungen in der Filterkonfiguration werden unter durchgeführt.forwarding-options
family any
family inet
Using ermöglicht die Spiegelung von Layer-2-Paketen.family any
Konfigurieren der Spiegelung für FTI-Tunnel
Wenn der Datenpfad einen FTI-Tunnel (Flexible Tunnel Interface) durchquert, wird das Ausgabepaket mit Tunnelkapselung gesendet. Sie können eine Konfiguration einrichten, die sowohl das ursprüngliche Paket als auch das Paket mit allen Kapselungen widerspiegelt, wenn es ausgeht.
Um das ursprüngliche Paket zu spiegeln, konfigurieren Sie die Eingabespiegelung auf der Eingangs-WAN-Schnittstelle.
Um das Paket mit allen Kapselungen zu spiegeln, aktivieren Sie die Ausgabespiegelung auf der Ausgangs-WAN-Schnittstelle.
Um die Spiegelung basierend auf einem auf der FTI-Schnittstelle installierten Filter zu aktivieren, verwenden Sie einen zweistufigen Prozess:
- Sie markieren Pakete für die Spiegelung mit der Richtlinienaktion an der fti-Schnittstelle. Die Richtlinienaktion wird normalerweise verwendet, um die Ausgangs-Rewrite-Regel auszuwählen, aber in diesem Fall wird die Richtlinienaktion verwendet, um interessante Pakete mit einem internen Richtlinienattribut zu markieren, ohne dass eine spezielle Rewrite-Regel konfiguriert ist.
- Die Software fängt Pakete ab, die der spezifischen Richtlinie auf der Ausgangs-WAN-Seite entsprechen, und leitet die Aktion ein.
l2-mirror
Pakete werden mit Layer-2-Header-Informationen, einschließlich Tunnelkapselung, gemeldet.
Das folgende Beispiel zeigt die Layer-3-Portspiegelung. Um eine Layer-2-Port-Spiegelung zu erhalten, konfigurieren Sie einfach die Aktion wie in den vorherigen Beispielen in diesem Dokument gezeigt.l2-mirror
Befestigungspunkte für Filter
Filter-Zuordnungspunkt | Schnittstellentyp | Gespiegelter Paket-Layer-2-Header |
Eingabe | Beliebiges Ethernet außer gr- und fti- | Der Layer-2-Header des eingehenden Pakets wird gemeldet |
Ausgabe | Beliebiges Ethernet außer gr- und fti- | Der Layer-2-Header des eingehenden Pakets wird gemeldet |
Eingabe oder Ausgabe | GR-Schnittstelle | Nicht unterstützt |
Eingabe | FTI-Schnittstelle | Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde) |
Ausgabe | FTI-Schnittstelle | Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde) |
Eingabe | IRB-Schnittstelle | Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde) |
Ausgabe | IRB-Schnittstelle | Nicht unterstützt |
Vorschläge für Verbesserungen der Paketfilterkonfiguration
Betrachten Sie Folgendes als zusätzliche Maßnahme, um Ihr Filternetzwerk-Telemetrie-Setup zu verbessern:
Sie können Eingabeketten- und Ausgabekettenfilter verwenden, um die für die Spiegelung verwendete Filterkonfiguration von vorhandenen Filtern zu trennen und so unbeabsichtigte Konfigurationsfehler bei der Fehlerbehebung zu vermeiden. Weitere Informationen zu dieser Funktion finden Sie unter Beispiel: Verwenden von Firewall-Filterketten.