Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

SUMMARY Selektive Paketspiegelungsfilter können als hocheffektiver Fehlerbehebungsmechanismus dienen und auch zur Leistungsüberwachung verwendet werden.

Grundlegendes zur Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

Dieses Dokument konzentriert sich auf die Möglichkeit, Datenverkehr mithilfe einer Vielzahl von IPv4- oder IPv6-Filterübereinstimmungsbedingungen auszuwählen und ganze Pakete mit ihren ursprünglichen Layer-2-Header-Informationen zu spiegeln.

Layer-2-Header-Informationen können für die Identifizierung eines bestimmten Kunden in einer Edge-Router-Bereitstellung oder eines bestimmten Internet-Peers in einem öffentlichen Peering-Fall unerlässlich sein.

Funktionen der Paketspiegelung mit Layer-2-Headern für weitergeleiteten Layer-3-Datenverkehr

Kurz gesagt, Sie können den ursprünglichen Layer-2-Paket-Header spiegeln, wenn die Aktion in einem oder-Filter konfiguriert ist.l2-mirrorfamily inetfamily inet6 Pakete können lokal oder remote mithilfe von GRE-Tunneln gespiegelt werden.

Wenn Sie die Ausgabeschnittstelle in Ihrer Spiegelungskonfiguration als GRE-Tunnelschnittstelle angeben, werden Pakete vor der Übertragung in GRE gekapselt. Eine Port-Mirroring-Instanz kann mit mehreren Ausgabeprotokollfamilien konfiguriert werden.

Einschränkungen für die Spiegelungskonfiguration auf Paketebene

  • Die neue Aktion , wird nur für und Filter unterstützt.l2-mirrorfamily inetfamily inet6

  • Die Layer-2-Spiegelung wird auf gr-*/*/*-Schnittstellen nicht unterstützt.

Konfigurieren eines Filters mit einer Port-Mirroring-Instanz oder mit globaler Port-Spiegelung

Die Konfiguration erfolgt entweder unter (globale Portspiegelung) oder (Portspiegelungsinstanzen oder "PM-Instanzen").l2-mirrorfirewall family (inet | inet6) filter filter-name term then port-mirrorfirewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name

Die Konfiguration für einen Begriff gibt an, dass für Pakete, die diesem Begriff entsprechen, das Layer-2-Paket gespiegelt wird.l2-mirror Die Software führt Commit-Prüfungen auf ungültige Konfigurationen durch, z. B. wenn konfiguriert ist, aber keine Port-Spiegelungs-Ausgabeschnittstelle für die Port-Spiegelung in der Port-Spiegelungskonfiguration auf globaler oder Instanzebene konfiguriert ist.l2-mirrorfamily any Wenn Sie diese Option deaktivieren , wird das Spiegelungsverhalten auf die Layer-3-Spiegelung zurückgesetzt.l2-mirror

Die folgenden beiden Beispiele zeigen die Konfiguration eines Filters (der Filtername in den Beispielen ist f1) mit einer Portspiegelungsinstanz und mit globaler Portspiegelung. In beiden Beispielen wird der Datenverkehr über einen GRE-Tunnel an das Remoteziel gespiegelt.

HINWEIS:

Die Port-Mirroring-Konfigurationen, die sich unter befinden, werden mit konfiguriert, aber die Übereinstimmungsbedingungen in der Filterkonfiguration werden unter durchgeführt.forwarding-optionsfamily anyfamily inet Using ermöglicht die Spiegelung von Layer-2-Paketen.family any
  1. So konfigurieren Sie den Filter mit einer Port-Mirroring-Instanz:
    HINWEIS:

    Sie können eine gr-Schnittstelle als Spiegelziel angeben. Informationen zur Konfiguration von gr-Schnittstellen finden Sie unter Konfigurieren von generischem Routing-Encapsulation-Tunneling auf der ACX-Serie (das Dokument bezieht sich speziell auf Router der ACX-Serie; die gleichen Informationen gelten für verschiedene andere Router, einschließlich MX10003).https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/gre-tunnel-services-cli-acx-series.html
  2. So konfigurieren Sie den Filter mit globaler Portspiegelung:

Konfigurieren der Spiegelung für FTI-Tunnel

Wenn der Datenpfad einen FTI-Tunnel (Flexible Tunnel Interface) durchquert, wird das Ausgabepaket mit Tunnelkapselung gesendet. Sie können eine Konfiguration einrichten, die sowohl das ursprüngliche Paket als auch das Paket mit allen Kapselungen widerspiegelt, wenn es ausgeht.

Um das ursprüngliche Paket zu spiegeln, konfigurieren Sie die Eingabespiegelung auf der Eingangs-WAN-Schnittstelle.

Um das Paket mit allen Kapselungen zu spiegeln, aktivieren Sie die Ausgabespiegelung auf der Ausgangs-WAN-Schnittstelle.

Um die Spiegelung basierend auf einem auf der FTI-Schnittstelle installierten Filter zu aktivieren, verwenden Sie einen zweistufigen Prozess:

  1. Sie markieren Pakete für die Spiegelung mit der Richtlinienaktion an der fti-Schnittstelle. Die Richtlinienaktion wird normalerweise verwendet, um die Ausgangs-Rewrite-Regel auszuwählen, aber in diesem Fall wird die Richtlinienaktion verwendet, um interessante Pakete mit einem internen Richtlinienattribut zu markieren, ohne dass eine spezielle Rewrite-Regel konfiguriert ist.
  2. Die Software fängt Pakete ab, die der spezifischen Richtlinie auf der Ausgangs-WAN-Seite entsprechen, und leitet die Aktion ein.l2-mirror Pakete werden mit Layer-2-Header-Informationen, einschließlich Tunnelkapselung, gemeldet.
HINWEIS:

Das folgende Beispiel zeigt die Layer-3-Portspiegelung. Um eine Layer-2-Port-Spiegelung zu erhalten, konfigurieren Sie einfach die Aktion wie in den vorherigen Beispielen in diesem Dokument gezeigt.l2-mirror
  1. Definiere unter der Strophe:policy-map policy-map-name class-of-service
  2. Wenden Sie einen Ausgabefilter auf die FTI mit der Aktion :policy-map pm1
  3. Die folgende Konfigurationsausgabe zeigt die FTI-Konfiguration auf der Schnittstelle fti0.1001. (Weitere Informationen zur Konfiguration eines FTI-Tunnels finden Sie unter Übersicht über flexible Tunnelschnittstellen.) https://www.juniper.net/documentation/en_US/junos/topics/concept/flexible_tunnel_interfaces_overview.html
  4. Fügen Sie einen Filter (hier mit dem Namen ) auf der Ausgangs-WAN-Schnittstelle mit Übereinstimmung von hinzu:mirror-allpolicy-map pm1 then port-mirror

Befestigungspunkte für Filter

Filter-Zuordnungspunkt Schnittstellentyp Gespiegelter Paket-Layer-2-Header
Eingabe Beliebiges Ethernet außer gr- und fti- Der Layer-2-Header des eingehenden Pakets wird gemeldet
Ausgabe Beliebiges Ethernet außer gr- und fti- Der Layer-2-Header des eingehenden Pakets wird gemeldet
Eingabe oder Ausgabe GR-Schnittstelle Nicht unterstützt
Eingabe FTI-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Ausgabe FTI-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Eingabe IRB-Schnittstelle Eingehender Layer-2-Header des ursprünglichen Pakets (wie er auf dem WAN-Port angezeigt wurde)
Ausgabe IRB-Schnittstelle Nicht unterstützt

Vorschläge für Verbesserungen der Paketfilterkonfiguration

Betrachten Sie Folgendes als zusätzliche Maßnahme, um Ihr Filternetzwerk-Telemetrie-Setup zu verbessern:

Sie können Eingabeketten- und Ausgabekettenfilter verwenden, um die für die Spiegelung verwendete Filterkonfiguration von vorhandenen Filtern zu trennen und so unbeabsichtigte Konfigurationsfehler bei der Fehlerbehebung zu vermeiden. Weitere Informationen zu dieser Funktion finden Sie unter Beispiel: Verwenden von Firewall-Filterketten.