Konfigurieren der Portspiegelung für mehrere Ziele
Grundlegendes zur Layer-2-Port-Spiegelung zu mehreren Zielen mithilfe von Next-Hop-Gruppen
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie den Datenverkehr an mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen in Layer-2-Port-Spiegelungs-Firewall-Filtern konfigurieren, die auf Tunnelschnittstellen angewendet werden. Die Spiegelung von Paketen an mehrere Ziele wird auch als Multipacket-Portspiegelung bezeichnet,
Junos OS Version 9.5 hat Unterstützung für Layer-2-Port-Spiegelung mit Next-Hop-Gruppen auf Routern der MX-Serie eingeführt, erforderte jedoch die Installation eines Tunnel PIC. Ab Junos OS Version 9.6 erfordert die Layer-2-Port-Spiegelung mit Next-Hop-Gruppen auf Routern der MX-Serie keine Tunnel-PICs.
Auf Routern der MX-Serie und auf Switches der EX-Serie können Sie einen Firewall-Filter für die Spiegelung von Paketen in eine Next-Hop-Gruppe definieren. Die Next-Hop-Gruppe kann Layer-2-Mitglieder, Layer-3-Mitglieder und Untergruppen enthalten, die entweder eine Einheitsliste (Spiegelung von Paketen auf jede Schnittstelle) oder lastausgleichend (Spiegelung von Paketen auf eine von mehreren Schnittstellen) sind. Der Router der MX-Serie und der Switch der EX-Serie unterstützen bis zu 30 Next-Hop-Gruppen. Jede Next-Hop-Gruppe unterstützt bis zu 16 Next-Hop-Adressen. Jede Next-Hop-Gruppe muss mindestens zwei Adressen angeben.
Um die Portspiegelung für die Mitglieder einer Next-Hop-Gruppe zu aktivieren, geben Sie die Next-Hop-Gruppe als Filteraktion eines Firewall-Filters an und wenden dann den Firewall-Filter auf logische Tunnelschnittstellen (lt-) oder virtuelle Tunnelschnittstellen (vt-) auf dem Router der MX-Serie oder auf dem Switch der EX-Serie an.
Die Verwendung von Untergruppen für Load Balancing-spiegelungsbasierten Datenverkehr wird nicht unterstützt.
Definieren einer Next-Hop-Gruppe auf Routern der MX-Serie für Port-Spiegelung
Ab Version 14.2 können Sie auf Routern, die einen anwendungsspezifischen integrierten Internetprozessor II (ASIC) oder einen Internetprozessor der T-Serie enthalten, eine Kopie eines Pakets der IP-Version 4 (IPv4) oder ip-Version 6 (IPv6) vom Router an eine externe Hostadresse oder einen Paketanalysator zur Analyse senden. Dies wird als Portspiegelung bezeichnet.
Port-Spiegelung unterscheidet sich von Datenverkehrs-Sampling. Beim Sampling des Datenverkehrs wird ein Samplingschlüssel basierend auf dem IPv4-Header an die Routing-Engine gesendet. Dort kann der Schlüssel in eine Datei gelegt werden, oder cflowd-Pakete basierend auf dem Schlüssel können an einen cflowd-Server gesendet werden. Bei der Portspiegelung wird das gesamte Paket kopiert und über eine Next-Hop-Schnittstelle gesendet.
Sie können die gleichzeitige Verwendung von Sampling und Portspiegelung konfigurieren und eine unabhängige Samplingrate und Lauflänge für Port-gespiegelte Pakete festlegen. Wenn jedoch ein Paket sowohl für Sampling als auch für Portspiegelung ausgewählt wird, kann nur eine Aktion durchgeführt werden, und die Portspiegelung hat Vorrang. Wenn Sie beispielsweise eine Schnittstelle konfigurieren, die jeden Paketeingang an der Schnittstelle abtastet, und ein Filter auch das Paket auswählt, das auf eine andere Schnittstelle gespiegelt werden soll, wird nur die Portspiegelung wirksam. Alle anderen Pakete, die nicht den Kriterien für explizite Filter-Portspiegelung entsprechen, werden weiterhin abgetastet, wenn sie an ihr endgültiges Ziel weitergeleitet werden.
Next-Hop-Gruppen ermöglichen es Ihnen, Portspiegelung auf mehreren Schnittstellen einzubeziehen.
Auf Routern der MX-Serie können Sie den Eingangsdatenverkehr über die Tunnelschnittstelle an mehrere Ziele spiegeln. Für diese Form der Portspiegelung mit mehreren Paketen geben Sie zwei oder mehr Ziele in einer Next-Hop-Gruppe an, definieren einen Firewall-Filter, der als Filteraktion auf die Next-Hop-Gruppe verweist, und wenden den Filter dann auf eine logische Tunnelschnittstelle lt-) oder virtuelle Tunnelschnittstellen (vt- auf dem Router der MX-Serie) an.
So definieren Sie eine Next-Hop-Gruppe für eine Layer-2-Port-Spiegelungs-Firewall-Filteraktion:
Beispiel: Konfiguration mehrerer Portspiegelung mit Next-Hop-Gruppen auf Routern der M-, MX- und T-Serie
Wenn Sie Datenverkehr mit mehr als einem Pakettyp analysieren müssen oder mehrere Arten von Analysen für eine einzelne Art von Datenverkehr durchführen möchten, können Sie mehrere Portspiegelung und Next-Hop-Gruppen implementieren. Sie können bis zu 16 Kopien des Datenverkehrs pro Gruppe erstellen und den Datenverkehr an Mitglieder der Next-Hop-Gruppe senden. Auf einem Router können jederzeit maximal 30 Gruppen konfiguriert werden. Der portgespiegelte Datenverkehr kann an jede Schnittstelle gesendet werden, außer an aggregierte SONET/SDH-, aggregierte Ethernet-, Loopback- (lo0) oder administrative (fxp0) Schnittstellen. Um portgespiegelten Datenverkehr an mehrere Datenstromserver oder Paketanalysatoren zu senden, können Sie die next-hop-group Anweisung auf [edit forwarding-options] Hierarchieebene verwenden.
Abbildung 1 zeigt ein Beispiel für die Konfiguration mehrerer Portspiegelung mit Next-Hop-Gruppen. Der gesamte Datenverkehr gelangt über die Schnittstelle ge-1/0/0 in den Überwachungsrouter. Ein Firewall-Filter zählt und spiegelt alle eingehenden Pakete an einen Tunnel Services PIC. Ein zweiter Filter wird auf die Tunnelschnittstelle angewendet und unterteilt den Datenverkehr in drei Kategorien: HTTP-Datenverkehr, FTP-Datenverkehr und alle anderen Datenverkehr. Die drei Datenverkehrstypen sind drei separaten Next-Hop-Gruppen zugewiesen. Jede Next-Hop-Gruppe enthält ein eindeutiges Paar von Exit-Schnittstellen, die zu verschiedenen Gruppen von Paketanalysatoren und Datenstromservern führen.
Instanzen, die Pakete von derselben PFE an unterschiedliche Ziele spiegeln können, verwenden auch unterschiedliche Sampling-Parameter für jede Instanz. Wenn wir Layer2-Port-Spiegelung sowohl mit globaler Port-Spiegelung als auch mit instanzbasierter Portspiegelung konfigurieren, überschreiben INSTANZEN auf PIC-Ebene die FPC-Ebene und die FPC-Ebene überschreibt die Globale Instanz.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
Beispiel: Layer 2-Port-Spiegelung zu mehreren Zielen
Auf Routern der MX-Serie können Sie den Datenverkehr an mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen in Layer-2-Port-Spiegelungs-Firewall-Filtern konfigurieren, die auf Tunnelschnittstellen angewendet werden.
Konfigurieren Sie das Gehäuse zur Unterstützung von Tunnelservices bei PIC 0 auf FPC 2. Diese Konfiguration umfasst zwei logische Tunnelschnittstellen auf FPC 2, PIC 0 und Port 10.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }Konfigurieren Sie die physischen und logischen Schnittstellen für drei Bridge-Domänen und einen Layer-2-VPN-CCC:
Die Bridge-Domain bd erstreckt sich über logische Schnittstellen ge-2/0/1.0 und ge-2/0/1.1.
Die Bridge-Domain bd_next_hop_group erstreckt sich über logische Schnittstellen ge-2/2/9.0 und ge-2/0/2.0.
Die Bridge-Domain bd_port_mirror verwendet die logische Tunnelschnittstelle lt-2/0/10.2.
Layer 2 VPN CCC if_switch verbindet logische Schnittstellen ge-2/0/1.2 und lt-2/0/10.1.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }Konfigurieren Sie die drei Bridge-Domänen und das Layer-2-VPN-Switching-CCC:
Bridge-Domain bd überspannt logische Schnittstellen ge-2/0/1.0 und ge-2/0/1.1.
Bridge-Domain bd_next_hop_group überspannt logische Schnittstellen ge-2/2/9.0 und ge-2/0/2.0.
Bridge Domain bd_port_mirror verwendet die logische Tunnelschnittstelle lt-2/0/10.2.
Layer 2 VPN CCC if_switch verbindet Schnittstellen ge-2/0/1.2 und lt-2/0/10.1.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }Ausführliche Informationen zur Konfiguration der CCC-Verbindung für Layer-2-Switching-Verbindungen finden Sie im Benutzerhandbuch zu MPLS-Anwendungen.
Konfiguration von Weiterleitungsoptionen:
Konfigurieren Sie globale Portspiegelungseigenschaften, um den Datenverkehr an eine Schnittstelle in der Bridge-Domäne bd_port_mirrorzu spiegelnfamily vpls.
Konfigurieren Sie die Next-Hop-Gruppe nhg_mirror_to_bd , um Layer-2-Datenverkehr an die Bridge-Domäne weiterzuleiten bd_next_hop_group.
Beide Weiterleitungsoptionen werden durch den Port-Spiegelungs-Firewall-Filter referenziert:
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }Konfigurieren Sie zwei Layer-2-Port-Spiegelungs-Firewall-Filter für family bridge den Datenverkehr:
filter_pm_bridge– Sendet den gesamten family bridge Datenverkehr an das globale Portspiegelungsziel.
filter_redirect_to_nhg– Sendet den gesamten family bridge Datenverkehr an die letzte Next-Hop-Gruppe nhg_mirror_to_bd.
Layer-2-Port-Spiegelungs-Firewall-Filter für den Datenverkehr gelten für family bridge den Datenverkehr auf einer physischen Schnittstelle, die mit Kapselung konfiguriert ist ethernet-bridge.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }