Auf dieser Seite
Konfigurieren des protokollunabhängigen Firewall-Filters für die Portspiegelung
Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter
Layer-2-Port-Spiegelung der logischen Schnittstellen von PE-Routern oder PE-Switches
Layer-2-Port-Spiegelung von PE-Routern oder PE-Switch-aggregierten Ethernet-Schnittstellen
Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle
Beispiel: Layer-2-Port-Spiegelung an einer logischen Schnittstelle
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN mit LAG-Links
Konfigurieren der Portspiegelung auf logischen Schnittstellen
Layer-2-Port-Spiegelung Firewall-Filter
In diesem Thema werden die folgenden Informationen beschrieben:
- Übersicht über Layer-2-Port-Spiegelung Firewall-Filter
- Spiegelung von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden
- Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet werden
- Spiegelung von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder geflutet werden
Übersicht über Layer-2-Port-Spiegelung Firewall-Filter
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie einen Firewall-Filterbegriff konfigurieren, um anzugeben, dass die Layer- 2-Port-Spiegelung auf alle Pakete an der Schnittstelle angewendet werden soll, auf die der Firewall-Filter angewendet wird.
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die logischen Eingangs- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird, oder auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird, anwenden.
Router und Switches der MX-Serie unterstützen Layer- 2-Port-Spiegelung von VPLS- (family ethernet-switching
family vpls
oder ) Datenverkehr und Layer- 2-VPN-Datenverkehr in family ccc
einer Layer- 2-Umgebung
Innerhalb eines Firewallfilters term
können Sie die Layer- 2-Portspiegelungseigenschaften unter der then
Anweisung auf eine der folgenden Arten angeben:
Verweisen Sie implizit auf die Layer-2-Port-Spiegelungseigenschaften, die für den Port wirksam sind.
Verweisen Sie explizit auf eine bestimmte benannte Instanz der Layer-2-Port-Spiegelung.
Wenn Sie einen Layer- 2-Port-Mirroring-Firewall-Filter konfigurieren, schließen Sie nicht die optionale from
Anweisung ein, die Übereinstimmungsbedingungen basierend auf der Routing-Quelladresse angibt. Lassen Sie diese Anweisung weg, damit alle Pakete als übereinstimmend betrachtet werden und alle actions und action-modifiers in der then
Anweisung angegeben genommen werden.
Wenn Sie alle eingehenden Pakete spiegeln möchten, dürfen Sie die from-Anweisung nicht verwenden. /*Kommentar: Man konfiguriert Filterbegriffe mit from, wenn man nur eine Teilmenge von Paketen spiegeln möchte.
Wenn Sie integriertes Routing und Bridging (IRB) mit dem VLAN (oder VPLS-Routing-Instanz) verknüpfen und innerhalb des VLAN (oder VPLS-Routing-Instanz) auch einen Weiterleitungstabellenfilter mit der port-mirror
Aktion "oder port-mirror-instance
" konfigurieren, wird das IRB-Paket als Layer-2-Paket gespiegelt. Sie können dieses Verhalten deaktivieren, indem Sie die Anweisung no-irb-layer-2-copy im VLAN (oder der VPLS-Routing-Instanz) konfigurieren.
Eine ausführliche Beschreibung der Konfiguration eines Layer- 2-Port-Mirroring-Firewall-Filters finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewall-Filters.
Ausführliche Informationen zur Verwendung von Layer- 2-Port-Mirroring-Firewall-Filtern mit MX-Routern und Switches der EX-Serie, die als Provider-Edge-Router (PE)-Router oder PE-Switches konfiguriert sind, finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von logischen PE-Router-Schnittstellen. Ausführliche Informationen zum Konfigurieren von Firewall-Filtern im Allgemeinen (auch in einer Layer- 3-Umgebung) finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers.
Spiegelung von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden
Um den über eine logische Schnittstelleempfangenen oder gesendeten Layer- 2-Datenverkehr zu spiegeln, wenden Sie einen Firewall-Filter zur Portspiegelung auf die Ein- oder Ausgabe der Schnittstelle an.
Ein Port-Mirroring-Firewall-Filter kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von aggregierten Ethernet-Schnittstellen des PE-Routers.
Wenn Firewall-Filter zur Portspiegelung sowohl am Eingang als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an dasselbe Ziel weiterleitet, können Sie die Option "Einmal spiegeln" für die Layer-2-Port-Spiegelung in der globalen Instanz für die Layer-2-Paketadressfamilie aktivieren.
Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet werden
Um Layer-2-Datenverkehr zu spiegeln, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VLAN-Weiterleitungs- oder Flood-Tabelle empfangen wird und den Filterbedingungen entspricht, wird gespiegelt.
Weitere Informationen zu VLANs finden Sie unter Grundlegendes zu Layer-2-Bridge-Domänen . Weitere Informationen zum Flooding-Verhalten in einem VLAN finden Sie unter Grundlegendes zu Layer-2-Lernen und Weiterleitung für Bridge-Domänen .
Wenn Sie die Port-Spiegelung auf einer beliebigen Schnittstelle unter einem VLAN konfigurieren, kann das gespiegelte Paket zu einem externen Analyzer verschoben werden, der sich in verschiedenen VLANs befindet.
Spiegelung von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder geflutet werden
Um Layer-2-Datenverkehr zu spiegeln, der an eine VPLS-Routing-Instanz weitergeleitet oder an diese überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VPLS-Routing-Instanzweiterleitungs- oder Flood-Tabelle empfangen wird und die Filterbedingung erfüllt, wird gespiegelt.
Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.
Definieren eines Layer-2-Port-Mirroring-Firewall-Filters
Für VPLS-Datenverkehrfamily ethernet-switching
( oder family vpls
) und für Layer-2-VPNs mit Familie ccc
auf Routern der MX-Serie und nur auf Switches der EX-Serie können Sie einen Firewall-Filter definieren, der die Layer- 2-Port-Spiegelung als Aktion angibt, die ausgeführt werden soll, wenn ein Paket den im Firewall-Filterbegriff konfigurierten Bedingungen entspricht.
Sie können einen Layer-2-Portspiegelungs-Firewallfilter auf folgende Weise verwenden:
Zum Spiegeln von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden.
Zum Spiegeln von Paketen, die an ein VLAN weitergeleitet oder überflutet werden.
Zum Spiegeln von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder überflutet werden.
Zum Spiegeln von Tunnelschnittstellen-Eingabepaketen nur an mehrere Ziele.
Eine Zusammenfassung der drei Arten der Layer-2-Port-Spiegelung, die Sie auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren können, finden Sie unter Anwendung der Layer-2-Port-Spiegelungstypen.
So definieren Sie einen Firewall-Filter mit einer Layer-2-Port-Spiegelungsaktion:
Konfigurieren des protokollunabhängigen Firewall-Filters für die Portspiegelung
Auf Routern der MX-Serie mit MPCs können Sie einen Firewall-Filter so konfigurieren, dass Layer-2- und Layer-3-Pakete auf globaler Ebene und auf Instance-Ebene gespiegelt werden. Wenn die Port-Spiegelung am Eingang oder Ausgang konfiguriert ist, wird das Paket, das in eine Schnittstelle ein- oder ausgeht, kopiert und die Kopien werden zur lokalen Überwachung an die lokale Schnittstelle gesendet.
Ab Junos OS Version 13.3R6 unterstützen family any
nur MPC-Schnittstellen die Portspiegelung. DPC-Schnittstellen unterstützen family any
keine .
In der Regel ist der Firewallfilter so konfiguriert, dass er entweder Layer-2- oder Layer-3-Pakete basierend auf der an der Schnittstelle konfigurierten Familie widerspiegelt. Bei einer integrierten Routing- und Bridging-Schnittstelle (IRB) werden Layer-2-Pakete jedoch nicht vollständig gespiegelt, da IRB-Schnittstellen so konfiguriert sind, dass sie nur Layer-3-Pakete spiegeln. Auf einer solchen Schnittstelle können Sie einen Firewall-Filter und Port-Spiegelungsparameter in der Familie any konfigurieren, um sicherzustellen, dass ein Paket vollständig gespiegelt wird, unabhängig davon, ob es sich um ein Layer-2- oder ein Layer-3-Paket handelt.
Für die Portspiegelung auf einer Instance können Sie eine oder mehrere Familien konfigurieren, z. B inet. , inet6, cccund vpls gleichzeitig für dieselbe Instance.
Bei der Layer-2-Port-Spiegelung bleiben VLAN-Tags und MPLS-Header erhalten und sind in der gespiegelten Kopie am Ausgang sichtbar.
Bei der VLAN-Normalisierung werden die Informationen vor der Normalisierung für ein gespiegeltes Paket beim Eingang angezeigt. In ähnlicher Weise werden beim Ausgang die Informationen nach der Normalisierung für das gespiegelte Paket angezeigt.
Bevor Sie mit der Konfiguration der Portspiegelung beginnen, müssen Sie gültige physische Schnittstellen konfigurieren.
So konfigurieren Sie einen protokollunabhängigen Firewall-Filter für die Portspiegelung:
Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Schalter
Junos 14.1X53-D20
Überblick
In diesem Beispiel xe-0/0/0
dienen und xe-0/0/6
als Verbindungen für Mitarbeitercomputer. Die Schnittstelle xe-0/0/47
ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.
Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung Ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen für diese Ressourcen erforderlich sein. In diesem Beispiel wird nur der Datenverkehr widergespiegelt, der von den Computern der Mitarbeiter an das Web gesendet wird.
Topologie
Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.

Konfiguration
Führen Sie die in diesem Abschnitt erläuterten Aufgaben aus, um anzugeben, dass nur Datenverkehr gespiegelt wird, der von Mitarbeitern an das Web gesendet wird. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewallfilter, um diesen Datenverkehr anzugeben und an eine Portspiegelungsinstanz zu leiten.
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern zu konfigurieren, der für das Web bestimmt ist, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Der ip-address
Befehl unten set forwarding options port-mirroring family inet output
wird für die EX9253-Plattform nicht unterstützt.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die lokale Portspiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:
Konfigurieren Sie eine Portspiegelungsinstanz, einschließlich der Ausgabeschnittstelle und der IP-Adresse des Geräts, auf dem die Analyseanwendung ausgeführt wird, als nächsten Hop. (Konfigurieren Sie nur die Ausgabe – die Eingabe kommt vom Filter.) Sie müssen auch angeben, dass der Spiegel für IPv4-Datenverkehr (
family inet
) vorgesehen ist.[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Konfigurieren Sie einen IPv4-Firewallfilter
watch-employee
(family inet
), der einen Begriff enthält, um den an das Web gesendeten Datenverkehr abzugleichen und an die Portspiegelungsinstanz zu senden. Datenverkehr, der an das Unternehmenssubnetz gesendet wird und von diesem eintrifft (Ziel- oder Quelladresse von192.0.nn.nn/24
), muss nicht kopiert werden. Erstellen Sie also zuerst einen anderen Begriff, um diesen Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Konfigurieren Sie die Adressen für die IPv4-Schnittstellen, die mit den Mitarbeitercomputern und dem Analysegerät verbunden sind:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Wenden Sie den Firewallfilter als Eingangsfilterauf die entsprechenden Schnittstellen an:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options { port-mirroring { employee-web-monitor { output { ip-address 192.0.2.100.0; } } } } } } ... firewall family inet { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirror; } } } ... interfaces { xe-0/0/0 { unit 0 { family inet { filter { input watch-employee; } } } } xe-0/0/6 { family inet { filter { input watch-employee; } } } }
Verifizierung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.
Action!
Mit dem show forwarding-options port-mirroring
Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert wurde.
user@switch> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up xe-0/0/47.0 192.0.2.100
Bedeutung
Diese Ausgabe zeigt, dass die Port-Mirroring-Instanz ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung) und die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde (0
gibt das gesamte Paket an) hat. Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist down
der Wert von state, und die Instanz wird nicht für die Spiegelung programmiert.
Layer-2-Port-Spiegelung der logischen Schnittstellen von PE-Routern oder PE-Switches
Für einen Router oder Switch, der als Provider-Edge-Gerät (PE)-Gerät am kundenseitigen Edge eines Service-Provider-Netzwerks konfiguriert ist, können Sie einen Layer- 2-Port-Mirroring-Firewall-Filter an den folgenden Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen dem Router oder Switch und Kunden-Edge-Geräten (CE) widerzuspiegeln, bei denen es sich in der Regel auch um Router und Ethernet-Switches handelt.
Tabelle 1 beschreibt, wie Sie Layer-2-Port-Mirroring-Firewall-Filter auf einen Router oder Switch anwenden können, der bzw. der als PE-Gerät konfiguriert ist.
Anwendungspunkt |
Umfang der Spiegelung |
Notes |
Konfigurationsdaten |
---|---|---|---|
Kundenorientierte Eingangsschnittstelle |
Pakete, die aus dem Netzwerk eines Service Provider-Kunden stammen und zuerst an ein CE-Gerät und dann neben dem PE-Gerät gesendet werden. |
Sie können auch aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt. Der auf einer aggregierten Ethernet-Schnittstelle empfangene Datenverkehr wird basierend auf einer Suche nach der Ziel-MAC-Adresse (DMAC) über eine andere Schnittstelle weitergeleitet:
|
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle. Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen. |
Kundenorientierte logische Schnittstelle für ausgehenden Datenverkehr |
Unicast-Pakete, die vom PE-Gerät an ein anderes PE-Gerät weitergeleitet werden. NOTE: Wenn Sie einen Portspiegelungsfilter auf die Ausgabe für eine logische Schnittstelleanwenden, werden nur Unicastpakete gespiegelt. Um Multicast-, unbekannte Unicast- und Broadcast-Pakete zu spiegeln, wenden Sie einen Filter auf die Eingabe in der Flood-Tabelle einer VLAN- oder VPLS-Routing-Instanz an. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle. |
|
Eingabe in eine VLAN-Weiterleitungstabelle oder Flood-Tabelle |
Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an das VLAN gesendet wird. |
Weiterleitungs- und Flood-Datenverkehr besteht in der Regel aus Broadcast-Paketen, Multicast-Paketen, Unicast-Paketen mit einer unbekannten MAC-Zieladresse oder Paketen mit einem MAC-Eintrag in der DMAC-Routing-Tabelle. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte. |
Eingabe in eine VPLS-Routing-Instanz-Weiterleitungstabelle oder Flood-Tabelle |
Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an die VPLS-Routing-Instanz gesendet wird. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte. |
Layer-2-Port-Spiegelung von PE-Routern oder PE-Switch-aggregierten Ethernet-Schnittstellen
Eine aggregierte Ethernet-Schnittstelle ist eine virtuelle aggregierte Verbindung, die aus einer Reihe physischer Schnittstellen mit gleicher Geschwindigkeit besteht und im Vollduplex-Verbindungsmodus arbeitet. Sie können aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt. Wenn eine oder mehrere Verbindungen in der aggregierten Schnittstelle ausfallen, wird der Datenverkehr auf die verbleibenden Verbindungen umgeschaltet.
Sie können einen Layer- 2-Port-Mirroring-Firewall-Filter auf eine aggregierte Ethernet-Schnittstelle anwenden, um die Port-Spiegelung auf der übergeordneten Schnittstelle zu konfigurieren. Wenn jedoch untergeordnete Schnittstellen an verschiedene Layer-2-Portspiegelungsinstanzen gebunden sind, werden Pakete, die an den untergeordneten Schnittstellen empfangen werden, an die Ziele gespiegelt, die von den jeweiligen Portspiegelungsinstanzen angegeben werden. So können mehrere untergeordnete Schnittstellen Pakete an mehrere Ziele spiegeln.
Angenommen, die übergeordnete aggregierte Ethernet-Schnittstelleninstanz ae0
verfügt über zwei untergeordnete Schnittstellen:
xe-2/0/0
xe-3/1/2
Angenommen, diese untergeordneten Schnittstellen ae0
sind an zwei verschiedene Layer- 2-Port-Mirroring-Instanzen gebunden:
pm_instance_A
– Eine benannte Instanz der Layer- 2-Port-Spiegelung, die an die untergeordnete Schnittstellexe-2/0/0
gebunden ist.pm_instance_B
– Eine benannte Instanz der Layer- 2-Port-Spiegelung, die an die untergeordnete Schnittstellexe-3/1/2
gebunden ist.
Angenommen, Sie wenden einen Layer- 2-Port-Mirroring-Firewall-Filter auf den gesendeten ae0.0
Layer-2-Datenverkehr an (logische Einheit 0
auf der aggregierten Ethernet-Schnittstelleninstanz 0
). Dadurch wird die Portspiegelung aktiviert ae0.0
, was sich wie folgt auf die Verarbeitung des Datenverkehrs auswirkt, der auf den untergeordneten Schnittstellen empfangen wird, für die Layer- 2-Portspiegelungseigenschaften angegeben sind:
Die empfangenen
xe-2/0/0
Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanzpm_instance_A
konfiguriert sind.Die empfangenen
xe-3/1/2.0
Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanzpm_instance_B
konfiguriert sind.
Da pm_instance_A
und pm_instance_B
unterschiedliche Paketauswahleigenschaften oder Spiegelzieleigenschaften angeben kann, können die empfangenen Pakete verschiedene xe-2/0/0
xe-3/1/2.0
Pakete an verschiedene Ziele spiegeln.
Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die Eingabe oder die Ausgabe einer logischen Schnittstelle anwenden, einschließlich einer aggregierten logischen Ethernet-Schnittstelle. Es werden nur Pakete der Adresstypfamilie gespiegelt, die durch die Filteraktion angegeben wurde.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf die Eingabe in eine logische Schnittstelle oder die Ausgabe in eine logische Schnittstelle angewendet werden soll. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer-2-Port-Mirroring-Firewall-Filter: Ein Filter, der auf den Eingangsdatenverkehr der logischen Schnittstelle angewendet wird, und ein Filter, der auf den Ausgangsdatenverkehr der logischen Schnittstelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf eine logische Eingabe- oder Ausgabeschnittstelle an:
Anwenden der Layer-2-Port-Spiegelung auf den CCC-Datenverkehr der Familie mit logischen Demux-Schnittstellen über aggregiertes Ethernet
Dieses Thema enthält Richtlinien und Schritte, die Ihnen beim Einrichten der logischen Demux-Schnittstellen helfen, um die Verwendung physischer Memberschnittstellen in einem AE-Bundle zu sparen.
Richtlinien
Wir werden auf die Konfigurationselemente hinweisen, die für diese Verwendung der Konfiguration der logischen Demux-Schnittstellen über aggregierte Ethernet-Schnittstellen spezifisch sind.
-
Konfigurieren Sie die Familie wie
ccc
folgt-
Die Port-Mirroring-Konfiguration unter
edit forwarding-options port mirroring family
-
Die Firewall-Filterkonfiguration unter
edit firewall family
-
Die Konfiguration der Demux-Schnittstelle unter
edit interfaces demux0 unit 0 family
-
-
Stellen Sie sicher, dass die Konfigurationen der Familien für Firewallfilter und Portspiegelung entweder (1) identisch sind oder (2) in derselben Hierarchie liegen.
-
Sie können die Demux-Schnittstelle über eine
ae
Schnittstelle für die globale Portspiegelung und für Portspiegelungsinstanzen konfigurieren. -
Für den Firewallfilter zusätzlich zur Verwendung
ccc
als Familie:-
Verwenden Sie
port-mirror
diese Option als Aktion für den Filter. -
Wenden Sie den Filter auf die Demux-Schnittstelle an.
-
- Konfigurieren Sie die
ae
Schnittstelle als zugrunde liegende Schnittstelle der logischen Demux-Schnittstelle, indem Sie dieunderlying-interface
folgende Anweisung verwenden:set interfaces demux0 unit 0 demux-options underlying-interface ae0
Konfigurationsbeispiel
Das Folgende ist eine spärliche Konfiguration – wir möchten Ihnen nur ein Bild davon zeigen, wie sich die vorherigen Richtlinien in einer Beispielkonfiguration auswirken würden.
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0 set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1 set interfaces xe-0/0/2:2 encapsulation ethernet-bridge set interfaces xe-0/0/2:2 unit 0 family bridge set interfaces xe-0/0/2:3 encapsulation ethernet-bridge set interfaces xe-0/0/2:3 unit 0 family bridge set interfaces ae0 flexible-vlan-tagging set interfaces ae0 encapsulation flexible-ethernet-services set interfaces ae1 flexible-vlan-tagging set interfaces ae1 encapsulation flexible-ethernet-services set interfaces demux0 unit 0 encapsulation vlan-ccc set interfaces demux0 unit 0 vlan-id 300 set interfaces demux0 unit 0 demux-options underlying-interface ae0 set interfaces demux0 unit 0 family ccc filter input port-mirror set interfaces demux0 unit 1 encapsulation vlan-ccc set interfaces demux0 unit 1 vlan-id 300 set interfaces demux0 unit 1 demux-options underlying-interface ae1 set interfaces demux0 unit 1 family ccc set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0 set firewall family ccc filter port-mirror term term1 then count Counter1 set firewall family ccc filter port-mirror term term1 then port-mirror set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1 set protocols mpls interface demux0.0 set protocols mpls interface demux0.1 set bridge-domains br1 interface xe-0/0/2:0.0 set bridge-domains br1 interface xe-0/0/2:3.0 set bridge-domains br1 interface xe-0/0/2:1.0 set bridge-domains br2 vlan-id 300
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese Bridge-Domäne weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine Bridge-Domäne weitergeleitet oder an eine Bridge-Domäne überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: Ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Flood-Tabelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer Bridge-Domäne an:
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese VPLS-Routing-Instanz weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine VPLS-Routing-Instanz weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance für die Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance Flood Table angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer VPLS-Routing-Instanz an:
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an ein VLAN weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an dieses VLAN weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an ein VLAN weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VLAN-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VLAN-Flood-Tabelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle eines VLANs an:
Beispiel: Layer-2-Port-Spiegelung an einer logischen Schnittstelle
In den folgenden Schritten wird ein Beispiel beschrieben, in dem die globale Portspiegelungsinstanz und ein Firewallfilter für die Portspiegelung verwendet werden, um die Layer-2-Portspiegelung für die Eingabe an eine logische Schnittstelle zu konfigurieren.
Konfigurieren Sie das VLAN example-bd-with-analyzer, das den externen Paketanalysator enthält, und das VLAN example-bd-with-traffic, das die Quelle und das Ziel des zu spiegelnden Layer- 2-Datenverkehrs enthält:
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }
Angenommen, die logische Schnittstelle ge-2/0/0.0 ist einem externen Datenverkehrsanalysator zugeordnet, der Port-gespiegelte Pakete empfangen soll. Es wird davon ausgegangen, dass logische Schnittstellen ge-2/0/6.0 und ge-3/0/1.2 Datenverkehrs-Ein- bzw. -Ausgabe-Ports sind.
Konfigurieren Sie die Layer- 2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle ge-2/0/0.0 im VLAN example-bd-with-analyzer). Stellen Sie sicher, dass Sie die Option aktivieren, mit der Filter auf dieses Portspiegelungsziel angewendet werden können:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }
Die
input
Anweisung auf der[edit forwarding-options port-mirroring]
Hierarchieebene gibt an, dass das Sampling jedes zehnte Paket beginnt und dass jedes der ersten fünf ausgewählten Pakete gespiegelt werden soll.Die
output
Anweisung auf Hierarchieebene[edit forwarding-options port-mirroring family ethernet-switching]
spezifiziert die Ausgabespiegelschnittstelle für Layer- 2-Pakete in einer Bridging-Umgebung:Die logische Schnittstelle ge-2/0/0.0, die dem externen Paketanalysator zugeordnet ist, ist als Ziel für die Portspiegelung konfiguriert.
Die optional-Anweisung
no-filter-check
ermöglicht die Konfiguration von Filtern auf dieser Zielschnittstelle.
Konfigurieren Sie den Layer- 2-Port-Mirroring-Firewall-Filter example-bridge-pm-filter:
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }
Wenn dieser Firewall-Filter auf die Ein- oder Ausgabe einer logischen Schnittstelle für Datenverkehr in einer Bridging-Umgebung angewendet wird, wird die Layer-2-Port-Spiegelung gemäß den Eingabe-Paket-Sampling-Eigenschaften und Spiegelzieleigenschaften durchgeführt, die für die globale Layer-2-Port-Spiegelungsinstanz konfiguriert sind. Da dieser Firewallfilter mit der einzelnen Standardfilteraktion acceptkonfiguriert ist, entsprechen alle Pakete, die von den input Eigenschaften (rate = 10 und run-length = 5) ausgewählt werden, diesem Filter.
Konfigurieren Sie die logischen Schnittstellen:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }
Pakete, die an der logischen Schnittstelle ge-2/0/6.0 im VLAN example-bd-with-traffic empfangen werden, werden vom Port-Mirroring-Firewall-Filter example-bridge-pm-filterausgewertet. Der Firewall-Filter reagiert auf den Eingangsdatenverkehr gemäß den im Firewall-Filter selbst konfigurierten Filteraktionen sowie den in der globalen Port-Mirroring-Instanz konfigurierten Eigenschaften für das Input Packet Sampling und den Mirror-Zieleigenschaften:
Alle Pakete, die um ge-2/0/6.0 empfangen werden, werden an ihr (angenommenes) normales Ziel an der logischen Schnittstelle ge-3/0/1.2weitergeleitet.
Für jeweils zehn Eingangspakete werden Kopien der ersten fünf Pakete in dieser Auswahl an den externen Analysator an der logischen Schnittstelle ge-0/0/0.0 im anderen VLAN, example-bd-with-analyzerweitergeleitet.
Wenn Sie den Firewallfilter example-bridge-pm-filter für die Portspiegelung so konfigurieren, dass er die discard Aktion anstelle der accept Aktion ausführt, werden alle ursprünglichen Pakete verworfen, während Kopien der Pakete, die mit den globalen Eigenschaften der Portspiegelung input ausgewählt wurden, an den externen Analyzer gesendet werden.
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die erforderlich sind, um die Portspiegelung auf einem L2VPN mit family ccczu konfigurieren.
Konfigurieren Sie das VLAN port-mirror-bd, das den externen Paketanalysator enthält:
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }
Konfigurieren Sie den Layer 2 VPN CCC so, dass die logische Schnittstelle ge-2/0/1.0 und die logische Schnittstelle ge-2/0/1.1verbunden werden:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }
Konfigurieren Sie die Layer- 2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle ge-2/2/9.0 im VLAN example-bd-with-analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }
Definieren Sie den Layer- 2-Port-Mirroring-Firewall-Filter pm_filter_ccc für family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }
Wenden Sie die Port-Mirror-Instanz auf das Chassis an:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }
Konfigurieren Sie die Schnittstelle ge-2/2/9 für die VLANs und konfigurieren Sie die Schnittstelle ge-2/0/1 für die Portspiegelung mit dem pm_filter_ccc Firewallfilter:
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN mit LAG-Links
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die erforderlich sind, um die Portspiegelung auf einem L2VPN unter Verwendung family ccc von aggregierten Ethernet-Verbindungen zu konfigurieren.
Konfigurieren Sie das VLAN port_mirror_bd, das den externen Paketanalysator enthält:
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }
Konfigurieren Sie den Layer 2 VPN CCC so, dass Schnittstelle ae0.0 und Schnittstelle ae0.1verbunden werden:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }
Konfigurieren Sie die Layer- 2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle ge-2/2/9.0 im VLAN example_bd_with_analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }
Konfigurieren Sie den Firewall-Filter pm_ccc für family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }
Wenden Sie die aggregierten Ethernet-Schnittstellen und die Portspiegelungsinstanz auf das Gehäuse an:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }
Konfigurieren Sie Schnittstellen ae0 und ge-2/0/2 (für aggregiertes Ethernet) und ge-2/2/8 (für Port-Spiegelung) mit dem pm_ccc Filter:
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
family any
nur MPC-Schnittstellen die Portspiegelung.