Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

Selektive Paketspiegelungsfilter können als hocheffektiver Fehlerbehebungsmechanismus dienen und auch zur Leistungsüberwachung verwendet werden.

Grundlegendes zur Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

Dieses Dokument konzentriert sich auf die Möglichkeit, Datenverkehr mithilfe einer Vielzahl von IPv4- oder IPv6-Filterübereinstimmungsbedingungen auszuwählen und ganze Pakete mit ihren ursprünglichen Layer-2-Header-Informationen zu spiegeln.

Layer-2-Header-Informationen können für die Identifizierung eines bestimmten Kunden in einer Edge-Router-Bereitstellung oder eines bestimmten Internet-Peers in einem öffentlichen Peering-Fall unerlässlich sein.

Funktionen der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

Kurz gesagt, Sie können den ursprünglichen Layer-2-Paket-Header spiegeln, wenn die l2-mirror Aktion in einem family inet oder-Filter family inet6 konfiguriert ist. Pakete können lokal oder remote mithilfe von GRE-Tunneln gespiegelt werden.

Wenn Sie die Ausgabeschnittstelle in Ihrer Spiegelungskonfiguration als GRE-Tunnelschnittstelle angeben, werden Pakete vor der Übertragung in GRE gekapselt. Eine Port-Mirroring-Instanz kann mit mehreren Ausgabeprotokollfamilien konfiguriert werden.

Einschränkungen für die Spiegelungskonfiguration auf Paketebene

  • Die neue Aktion l2-mirror, wird nur für family inet und family inet6Filter unterstützt.

  • Die Layer-2-Spiegelung wird auf gr-*/*/*-Schnittstellen nicht unterstützt.

Konfigurieren eines Filters mit einer Port-Mirroring-Instanz oder mit globaler Port-Spiegelung

Die Konfiguration erfolgt l2-mirror entweder firewall family (inet | inet6) filter filter-name term then port-mirror unter (globale Portspiegelung) oder firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (Portspiegelungsinstanzen oder "PM-Instanzen").

Die l2-mirror Konfiguration für einen Begriff gibt an, dass für Pakete, die diesem Begriff entsprechen, das Layer-2-Paket gespiegelt wird. Die Software führt Commit-Prüfungen auf ungültige Konfigurationen durch, z. B. wenn l2-mirror konfiguriert ist, aber keine Port-Spiegelungs-Ausgabeschnittstelle für family any die Port-Spiegelung in der Port-Spiegelungskonfiguration auf globaler oder Instanzebene konfiguriert ist. Wenn Sie diese Option deaktivieren l2-mirror, wird das Spiegelungsverhalten auf die Layer-3-Spiegelung zurückgesetzt.

Die folgenden beiden Beispiele zeigen die Konfiguration eines Filters (der Filtername in den Beispielen ist f1) mit einer Portspiegelungsinstanz und mit globaler Portspiegelung. In beiden Beispielen wird der Datenverkehr über einen GRE-Tunnel an das Remoteziel gespiegelt.

HINWEIS:

Die Port-Mirroring-Konfigurationen, die sich unter forwarding-optionsbefinden, werden mit family anykonfiguriert, aber die Übereinstimmungsbedingungen in der Filterkonfiguration werden unter family inetdurchgeführt. Using family any ermöglicht die Spiegelung von Layer-2-Paketen.
  1. So konfigurieren Sie den Filter mit einer Port-Mirroring-Instanz:
    HINWEIS:

    Sie können eine gr-Schnittstelle als Spiegelziel angeben. Informationen zur Konfiguration von gr-Schnittstellen finden Sie unter Konfigurieren von generischem Routing-Encapsulation-Tunneling auf der ACX-Serie (das Dokument bezieht sich speziell auf Router der ACX-Serie; die gleichen Informationen gelten für verschiedene andere Router, einschließlich MX10003).
  2. So konfigurieren Sie den Filter mit globaler Portspiegelung:

Konfigurieren der Spiegelung für FTI-Tunnel

Wenn der Datenpfad einen FTI-Tunnel (Flexible Tunnel Interface) durchquert, wird das Ausgabepaket mit Tunnelkapselung gesendet. Sie können eine Konfiguration einrichten, die sowohl das ursprüngliche Paket als auch das Paket mit allen Kapselungen widerspiegelt, wenn es ausgeht.

Um das ursprüngliche Paket zu spiegeln, konfigurieren Sie die Eingabespiegelung auf der Eingangs-WAN-Schnittstelle.

Um das Paket mit allen Kapselungen zu spiegeln, aktivieren Sie die Ausgabespiegelung auf der Ausgangs-WAN-Schnittstelle.

Um die Spiegelung basierend auf einem auf der FTI-Schnittstelle installierten Filter zu aktivieren, verwenden Sie einen zweistufigen Prozess:

  1. Sie markieren Pakete für die Spiegelung mit der Richtlinienaktion an der fti-Schnittstelle. Die Richtlinienaktion wird normalerweise verwendet, um die Ausgangs-Rewrite-Regel auszuwählen, aber in diesem Fall wird die Richtlinienaktion verwendet, um interessante Pakete mit einem internen Richtlinienattribut zu markieren, ohne dass eine spezielle Rewrite-Regel konfiguriert ist.
  2. Die Software fängt Pakete ab, die der spezifischen Richtlinie auf der Ausgangs-WAN-Seite entsprechen, und leitet die l2-mirror Aktion ein. Pakete werden mit Layer-2-Header-Informationen, einschließlich Tunnelkapselung, gemeldet.
HINWEIS:

Das folgende Beispiel zeigt die Layer-3-Portspiegelung. Um eine Layer-2-Port-Spiegelung zu erhalten, konfigurieren Sie einfach die l2-mirror Aktion wie in den vorherigen Beispielen in diesem Dokument gezeigt.
  1. Definiere policy-map policy-map-name unter der class-of-service Strophe:
  2. Wenden Sie einen Ausgabefilter auf die FTI mit der Aktion policy-map pm1:
  3. Die folgende Konfigurationsausgabe zeigt die FTI-Konfiguration auf der Schnittstelle fti0.1001. (Weitere Informationen zur Konfiguration eines FTI-Tunnels finden Sie unter Übersicht über flexible Tunnelschnittstellen.)
  4. Fügen Sie einen Filter (hier mit dem Namen mirror-all) auf der Ausgangs-WAN-Schnittstelle mit Übereinstimmung von policy-map pm1 then port-mirrorhinzu:

Befestigungspunkte für Filter

Filter-Zuordnungspunkt Schnittstellentyp Gespiegelter Paket-Layer-2-Header
Eingabe Beliebiges Ethernet außer gr- und fti- Der Layer-2-Header des eingehenden Pakets wird gemeldet
Ausgabe Beliebiges Ethernet außer gr- und fti- Der Layer-2-Header des eingehenden Pakets wird gemeldet
Eingabe oder Ausgabe GR-Schnittstelle Nicht unterstützt
Eingabe FTI-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Ausgabe FTI-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Eingabe IRB-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Ausgabe IRB-Schnittstelle Nicht unterstützt

Vorschläge für Verbesserungen der Paketfilterkonfiguration

Betrachten Sie Folgendes als zusätzliche Maßnahme, um Ihr Filternetzwerk-Telemetrie-Setup zu verbessern:

Sie können Eingabeketten- und Ausgabekettenfilter verwenden, um die für die Spiegelung verwendete Filterkonfiguration von vorhandenen Filtern zu trennen und so unbeabsichtigte Konfigurationsfehler bei der Fehlerbehebung zu vermeiden. Weitere Informationen zu dieser Funktion finden Sie unter Beispiel: Verwenden von Firewall-Filterketten.