Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der Portspiegelung auf logischen Schnittstellen

Layer-2-Port-Spiegelung Firewall-Filter

In diesem Thema werden die folgenden Informationen beschrieben:

Übersicht über Layer-2-Port-Spiegelung Firewall-Filter

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie einen Firewall-Filterbegriff konfigurieren, um anzugeben, dass die Layer- 2-Port-Spiegelung auf alle Pakete an der Schnittstelle angewendet werden soll, auf die der Firewall-Filter angewendet wird.

Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die logischen Eingangs- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird, oder auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird, anwenden.

Router und Switches der MX-Serie unterstützen Layer- 2-Port-Spiegelung von VPLS- (family ethernet-switchingfamily vplsoder ) Datenverkehr und Layer- 2-VPN-Datenverkehr in family ccc einer Layer- 2-Umgebung

Innerhalb eines Firewallfilters termkönnen Sie die Layer- 2-Portspiegelungseigenschaften unter der then Anweisung auf eine der folgenden Arten angeben:

  • Verweisen Sie implizit auf die Layer-2-Port-Spiegelungseigenschaften, die für den Port wirksam sind.

  • Verweisen Sie explizit auf eine bestimmte benannte Instanz der Layer-2-Port-Spiegelung.

HINWEIS:

Wenn Sie einen Layer- 2-Port-Mirroring-Firewall-Filter konfigurieren, schließen Sie nicht die optionale from Anweisung ein, die Übereinstimmungsbedingungen basierend auf der Routing-Quelladresse angibt. Lassen Sie diese Anweisung weg, damit alle Pakete als übereinstimmend betrachtet werden und alle actions und action-modifiers in der then Anweisung angegeben genommen werden.

Wenn Sie alle eingehenden Pakete spiegeln möchten, dürfen Sie die from-Anweisung nicht verwenden. /*Kommentar: Man konfiguriert Filterbegriffe mit from, wenn man nur eine Teilmenge von Paketen spiegeln möchte.

HINWEIS:

Wenn Sie integriertes Routing und Bridging (IRB) mit dem VLAN (oder VPLS-Routing-Instanz) verknüpfen und innerhalb des VLAN (oder VPLS-Routing-Instanz) auch einen Weiterleitungstabellenfilter mit der port-mirror Aktion "oder port-mirror-instance " konfigurieren, wird das IRB-Paket als Layer-2-Paket gespiegelt. Sie können dieses Verhalten deaktivieren, indem Sie die Anweisung no-irb-layer-2-copy im VLAN (oder der VPLS-Routing-Instanz) konfigurieren.

Eine ausführliche Beschreibung der Konfiguration eines Layer- 2-Port-Mirroring-Firewall-Filters finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewall-Filters.

Ausführliche Informationen zur Verwendung von Layer- 2-Port-Mirroring-Firewall-Filtern mit MX-Routern und Switches der EX-Serie, die als Provider-Edge-Router (PE)-Router oder PE-Switches konfiguriert sind, finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von logischen PE-Router-Schnittstellen. Ausführliche Informationen zum Konfigurieren von Firewall-Filtern im Allgemeinen (auch in einer Layer- 3-Umgebung) finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers.

Spiegelung von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden

Um den über eine logische Schnittstelleempfangenen oder gesendeten Layer- 2-Datenverkehr zu spiegeln, wenden Sie einen Firewall-Filter zur Portspiegelung auf die Ein- oder Ausgabe der Schnittstelle an.

Ein Port-Mirroring-Firewall-Filter kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von aggregierten Ethernet-Schnittstellen des PE-Routers.

HINWEIS:

Wenn Firewall-Filter zur Portspiegelung sowohl am Eingang als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an dasselbe Ziel weiterleitet, können Sie die Option "Einmal spiegeln" für die Layer-2-Port-Spiegelung in der globalen Instanz für die Layer-2-Paketadressfamilie aktivieren.

Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet werden

Um Layer-2-Datenverkehr zu spiegeln, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VLAN-Weiterleitungs- oder Flood-Tabelle empfangen wird und den Filterbedingungen entspricht, wird gespiegelt.

Weitere Informationen zu VLANs finden Sie unter Grundlegendes zu Layer-2-Bridge-Domänen . Weitere Informationen zum Flooding-Verhalten in einem VLAN finden Sie unter Grundlegendes zu Layer-2-Lernen und Weiterleitung für Bridge-Domänen .

HINWEIS:

Wenn Sie die Port-Spiegelung auf einer beliebigen Schnittstelle unter einem VLAN konfigurieren, kann das gespiegelte Paket zu einem externen Analyzer verschoben werden, der sich in verschiedenen VLANs befindet.

Spiegelung von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder geflutet werden

Um Layer-2-Datenverkehr zu spiegeln, der an eine VPLS-Routing-Instanz weitergeleitet oder an diese überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VPLS-Routing-Instanzweiterleitungs- oder Flood-Tabelle empfangen wird und die Filterbedingung erfüllt, wird gespiegelt.

Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.

Definieren eines Layer-2-Port-Mirroring-Firewall-Filters

Für VPLS-Datenverkehrfamily ethernet-switching ( oder family vpls) und für Layer-2-VPNs mit Familie cccauf Routern der MX-Serie und nur auf Switches der EX-Serie können Sie einen Firewall-Filter definieren, der die Layer- 2-Port-Spiegelung als Aktion angibt, die ausgeführt werden soll, wenn ein Paket den im Firewall-Filterbegriff konfigurierten Bedingungen entspricht.

Sie können einen Layer-2-Portspiegelungs-Firewallfilter auf folgende Weise verwenden:

  • Zum Spiegeln von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden.

  • Zum Spiegeln von Paketen, die an ein VLAN weitergeleitet oder überflutet werden.

  • Zum Spiegeln von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder überflutet werden.

  • Zum Spiegeln von Tunnelschnittstellen-Eingabepaketen nur an mehrere Ziele.

Eine Zusammenfassung der drei Arten der Layer-2-Port-Spiegelung, die Sie auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren können, finden Sie unter Anwendung der Layer-2-Port-Spiegelungstypen.

So definieren Sie einen Firewall-Filter mit einer Layer-2-Port-Spiegelungsaktion:

  1. Aktivieren Sie die Konfiguration von Firewall-Filtern für Layer-2-Pakete, die Teil eines VLANs, eines Layer-2-Switching-Cross-Connect-Netzwerks oder eines Virtual Private LAN Service (VPLS) sind:

    Der Wert der family Option kann , cccoder vplsseinethernet-switching .

  2. Aktivieren Sie die Konfiguration eines Firewall-Filters pm-filter-name:
  3. Aktivieren Sie die Konfiguration eines Firewall-Filterbegriffs pm-filter-term-name:
  4. (Optional) Geben Sie die Übereinstimmungsbedingungen für den Firewallfilter basierend auf der Routing-Quelladresse nur dann an , wenn Sie eine Teilmenge der Stichprobenpakete spiegeln möchten.
    HINWEIS:

    Wenn Sie möchten, dass alle abgetasteten Pakete als übereinstimmend betrachtet werden (und den in der then Anweisung angegebenen Aktionen unterzogen werden), lassen Sie die from Anweisung vollständig weg.

  5. Aktivieren Sie die action Konfiguration von und action-modifier für übereinstimmende Pakete:
  6. Geben Sie die Aktionen an, die für übereinstimmende Pakete ausgeführt werden sollen:

    Der empfohlene Wert für die action ist accept. Wenn Sie keine Aktion angeben oder die then Anweisung vollständig weglassen, werden alle Pakete akzeptiert, die den Bedingungen in der from Anweisung entsprechen.

  7. Geben Sie Layer- 2-Port-Spiegelung oder eine Next-Hop-Gruppe als Folgendes an action-modifier:
    • Verwenden Sie die folgende Anweisung, um auf die Layer- 2-Port-Spiegelungseigenschaften zu verweisen, die derzeit für die Packet Forwarding Engine oder den PIC gelten, die port-mirror der zugrunde liegenden physischen Schnittstelle zugeordnet sind:

    • Um auf die Layer- 2-Port-Spiegelungseigenschaften zu verweisen, die in einer bestimmten benannten Instanz konfiguriert sind, verwenden Sie den Aktionsmodifikator port-mirror-instance pm-instance-name

      Wenn die zugrunde liegende physische Schnittstelle nicht an eine benannte Instanz der Layer- 2-Port-Spiegelung, sondern implizit an die globale Instanz der Layer- 2-Port-Spiegelung gebunden ist, wird der Datenverkehr an der logischen Schnittstelle gemäß den Eigenschaften gespiegelt, die in der benannten Instanz angegeben sind, auf die der port-mirror-instance Aktionsmodifizierer verweist.

    • Verwenden Sie den next-hop-group pm-next-hop-group-name Aktionsmodifizierer, um auf eine Next-Hop-Gruppe zu verweisen, die die Next-Hop-Adressen angibt (um zusätzliche Kopien von Paketen an einen Analyzer zu senden):

      Konfigurationsinformationen zu Next-Hop-Gruppen finden Sie unter Definieren einer Next-Hop-Gruppe für die Layer-2-Port-Spiegelung. Wenn Sie eine Next-Hop-Gruppe für die Layer-2-Port-Spiegelung angeben, gilt der Firewall-Filterbegriff nur für die Tunnelschnittstelleneingabe.

  8. Überprüfen Sie die Mindestkonfiguration des Layer-2-Portspiegelungs-Firewallfilters:

    In der Firewallfilterbegriffsanweisung then kann es action-modifier sich um port-mirror, port-mirror-instance oder next-hop-group pm-next-hop-group-name.

Konfigurieren des protokollunabhängigen Firewall-Filters für die Portspiegelung

Auf Routern der MX-Serie mit MPCs können Sie einen Firewall-Filter so konfigurieren, dass Layer-2- und Layer-3-Pakete auf globaler Ebene und auf Instance-Ebene gespiegelt werden. Wenn die Port-Spiegelung am Eingang oder Ausgang konfiguriert ist, wird das Paket, das in eine Schnittstelle ein- oder ausgeht, kopiert und die Kopien werden zur lokalen Überwachung an die lokale Schnittstelle gesendet.

HINWEIS:

Ab Junos OS Version 13.3R6 unterstützen family any nur MPC-Schnittstellen die Portspiegelung. DPC-Schnittstellen unterstützen family anykeine .

In der Regel ist der Firewallfilter so konfiguriert, dass er entweder Layer-2- oder Layer-3-Pakete basierend auf der an der Schnittstelle konfigurierten Familie widerspiegelt. Bei einer integrierten Routing- und Bridging-Schnittstelle (IRB) werden Layer-2-Pakete jedoch nicht vollständig gespiegelt, da IRB-Schnittstellen so konfiguriert sind, dass sie nur Layer-3-Pakete spiegeln. Auf einer solchen Schnittstelle können Sie einen Firewall-Filter und Port-Spiegelungsparameter in der Familie any konfigurieren, um sicherzustellen, dass ein Paket vollständig gespiegelt wird, unabhängig davon, ob es sich um ein Layer-2- oder ein Layer-3-Paket handelt.

HINWEIS:
  • Für die Portspiegelung auf einer Instance können Sie eine oder mehrere Familien konfigurieren, z. B inet. , inet6, cccund vpls gleichzeitig für dieselbe Instance.

  • Bei der Layer-2-Port-Spiegelung bleiben VLAN-Tags und MPLS-Header erhalten und sind in der gespiegelten Kopie am Ausgang sichtbar.

  • Bei der VLAN-Normalisierung werden die Informationen vor der Normalisierung für ein gespiegeltes Paket beim Eingang angezeigt. In ähnlicher Weise werden beim Ausgang die Informationen nach der Normalisierung für das gespiegelte Paket angezeigt.

Bevor Sie mit der Konfiguration der Portspiegelung beginnen, müssen Sie gültige physische Schnittstellen konfigurieren.

So konfigurieren Sie einen protokollunabhängigen Firewall-Filter für die Portspiegelung:

  1. Konfigurieren Sie einen globalen Firewallfilter für die Spiegelung von ausgehendem oder eingehendem Datenverkehr.
  2. Konfigurieren Sie einen Firewall-Filter, um den Datenverkehr für eine Instanz widerzuspiegeln.
  3. Konfigurieren Sie Spiegelungsparameter für ausgehenden und eingehenden Datenverkehr.
  4. Konfigurieren Sie die Spiegelungsparameter für eine Instanz. In dieser Konfiguration können Sie angeben, dass die Ausgabe oder das Ziel für die Layer-2-Pakete entweder eine gültige Next-Hop-Gruppe oder eine Layer-2-Schnittstelle ist.
  5. Konfigurieren Sie den Firewallfilter an der Eingangs- oder Ausgangsschnittstelle, über die die Pakete übertragen werden.

Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Schalter

  • Junos 14.1X53-D20

Überblick

In diesem Beispiel xe-0/0/0 dienen und xe-0/0/6 als Verbindungen für Mitarbeitercomputer. Die Schnittstelle xe-0/0/47 ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.

Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung Ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen für diese Ressourcen erforderlich sein. In diesem Beispiel wird nur der Datenverkehr widergespiegelt, der von den Computern der Mitarbeiter an das Web gesendet wird.

Topologie

Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.

Abbildung 1: Beispiel für eine Netzwerktopologie für die lokale PortspiegelungBeispiel für eine Netzwerktopologie für die lokale Portspiegelung

Konfiguration

Führen Sie die in diesem Abschnitt erläuterten Aufgaben aus, um anzugeben, dass nur Datenverkehr gespiegelt wird, der von Mitarbeitern an das Web gesendet wird. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewallfilter, um diesen Datenverkehr anzugeben und an eine Portspiegelungsinstanz zu leiten.

Verfahren

CLI-Schnellkonfiguration

Um schnell die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern zu konfigurieren, der für das Web bestimmt ist, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:

HINWEIS:

Der ip-address Befehl unten set forwarding options port-mirroring family inet output wird für die EX9253-Plattform nicht unterstützt.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die lokale Portspiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:

  1. Konfigurieren Sie eine Portspiegelungsinstanz, einschließlich der Ausgabeschnittstelle und der IP-Adresse des Geräts, auf dem die Analyseanwendung ausgeführt wird, als nächsten Hop. (Konfigurieren Sie nur die Ausgabe – die Eingabe kommt vom Filter.) Sie müssen auch angeben, dass der Spiegel für IPv4-Datenverkehr (family inet) vorgesehen ist.

  2. Konfigurieren Sie einen IPv4-Firewallfilter watch-employee (family inet), der einen Begriff enthält, um den an das Web gesendeten Datenverkehr abzugleichen und an die Portspiegelungsinstanz zu senden. Datenverkehr, der an das Unternehmenssubnetz gesendet wird und von diesem eintrifft (Ziel- oder Quelladresse von 192.0.nn.nn/24), muss nicht kopiert werden. Erstellen Sie also zuerst einen anderen Begriff, um diesen Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:

  3. Konfigurieren Sie die Adressen für die IPv4-Schnittstellen, die mit den Mitarbeitercomputern und dem Analysegerät verbunden sind:

  4. Wenden Sie den Firewallfilter als Eingangsfilterauf die entsprechenden Schnittstellen an:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Verifizierung

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.

Action!

Mit dem show forwarding-options port-mirroring Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert wurde.

Bedeutung

Diese Ausgabe zeigt, dass die Port-Mirroring-Instanz ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung) und die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde (0 gibt das gesamte Paket an) hat. Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist down der Wert von state, und die Instanz wird nicht für die Spiegelung programmiert.

Layer-2-Port-Spiegelung der logischen Schnittstellen von PE-Routern oder PE-Switches

Für einen Router oder Switch, der als Provider-Edge-Gerät (PE)-Gerät am kundenseitigen Edge eines Service-Provider-Netzwerks konfiguriert ist, können Sie einen Layer- 2-Port-Mirroring-Firewall-Filter an den folgenden Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen dem Router oder Switch und Kunden-Edge-Geräten (CE) widerzuspiegeln, bei denen es sich in der Regel auch um Router und Ethernet-Switches handelt.

Tabelle 1 beschreibt, wie Sie Layer-2-Port-Mirroring-Firewall-Filter auf einen Router oder Switch anwenden können, der bzw. der als PE-Gerät konfiguriert ist.

Tabelle 1: Anwendung von Layer-2-Port-Mirroring-Firewall-Filtern auf PE-Geräten

Anwendungspunkt

Umfang der Spiegelung

Notes

Konfigurationsdaten

Kundenorientierte Eingangsschnittstelle

Pakete, die aus dem Netzwerk eines Service Provider-Kunden stammen und zuerst an ein CE-Gerät und dann neben dem PE-Gerät gesendet werden.

Sie können auch aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt.

Der auf einer aggregierten Ethernet-Schnittstelle empfangene Datenverkehr wird basierend auf einer Suche nach der Ziel-MAC-Adresse (DMAC) über eine andere Schnittstelle weitergeleitet:

  • Pakete, die für einen lokalen Standort bestimmt sind, werden von der untergeordneten Schnittstelle mit Lastenausgleich gesendet.

  • Pakete, die für den Remote-Standort bestimmt sind, werden gekapselt und über einen label-switched-Pfad (LSP) weitergeleitet.

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle.

Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen.

Kundenorientierte logische Schnittstelle für ausgehenden Datenverkehr

Unicast-Pakete, die vom PE-Gerät an ein anderes PE-Gerät weitergeleitet werden.

NOTE: Wenn Sie einen Portspiegelungsfilter auf die Ausgabe für eine logische Schnittstelleanwenden, werden nur Unicastpakete gespiegelt. Um Multicast-, unbekannte Unicast- und Broadcast-Pakete zu spiegeln, wenden Sie einen Filter auf die Eingabe in der Flood-Tabelle einer VLAN- oder VPLS-Routing-Instanz an.

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle.

Eingabe in eine VLAN-Weiterleitungstabelle oder Flood-Tabelle

Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an das VLAN gesendet wird.

Weiterleitungs- und Flood-Datenverkehr besteht in der Regel aus Broadcast-Paketen, Multicast-Paketen, Unicast-Paketen mit einer unbekannten MAC-Zieladresse oder Paketen mit einem MAC-Eintrag in der DMAC-Routing-Tabelle.

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.

Eingabe in eine VPLS-Routing-Instanz-Weiterleitungstabelle oder Flood-Tabelle

Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an die VPLS-Routing-Instanz gesendet wird.

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird. Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.

Layer-2-Port-Spiegelung von PE-Routern oder PE-Switch-aggregierten Ethernet-Schnittstellen

Eine aggregierte Ethernet-Schnittstelle ist eine virtuelle aggregierte Verbindung, die aus einer Reihe physischer Schnittstellen mit gleicher Geschwindigkeit besteht und im Vollduplex-Verbindungsmodus arbeitet. Sie können aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt. Wenn eine oder mehrere Verbindungen in der aggregierten Schnittstelle ausfallen, wird der Datenverkehr auf die verbleibenden Verbindungen umgeschaltet.

Sie können einen Layer- 2-Port-Mirroring-Firewall-Filter auf eine aggregierte Ethernet-Schnittstelle anwenden, um die Port-Spiegelung auf der übergeordneten Schnittstelle zu konfigurieren. Wenn jedoch untergeordnete Schnittstellen an verschiedene Layer-2-Portspiegelungsinstanzen gebunden sind, werden Pakete, die an den untergeordneten Schnittstellen empfangen werden, an die Ziele gespiegelt, die von den jeweiligen Portspiegelungsinstanzen angegeben werden. So können mehrere untergeordnete Schnittstellen Pakete an mehrere Ziele spiegeln.

Angenommen, die übergeordnete aggregierte Ethernet-Schnittstelleninstanz ae0 verfügt über zwei untergeordnete Schnittstellen:

  • xe-2/0/0

  • xe-3/1/2

Angenommen, diese untergeordneten Schnittstellen ae0 sind an zwei verschiedene Layer- 2-Port-Mirroring-Instanzen gebunden:

  • pm_instance_A– Eine benannte Instanz der Layer- 2-Port-Spiegelung, die an die untergeordnete Schnittstelle xe-2/0/0gebunden ist.

  • pm_instance_B– Eine benannte Instanz der Layer- 2-Port-Spiegelung, die an die untergeordnete Schnittstelle xe-3/1/2gebunden ist.

Angenommen, Sie wenden einen Layer- 2-Port-Mirroring-Firewall-Filter auf den gesendeten ae0.0 Layer-2-Datenverkehr an (logische Einheit 0 auf der aggregierten Ethernet-Schnittstelleninstanz 0). Dadurch wird die Portspiegelung aktiviert ae0.0, was sich wie folgt auf die Verarbeitung des Datenverkehrs auswirkt, der auf den untergeordneten Schnittstellen empfangen wird, für die Layer- 2-Portspiegelungseigenschaften angegeben sind:

  • Die empfangenen xe-2/0/0 Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanz pm_instance_Akonfiguriert sind.

  • Die empfangenen xe-3/1/2.0 Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanz pm_instance_Bkonfiguriert sind.

Da pm_instance_A und pm_instance_B unterschiedliche Paketauswahleigenschaften oder Spiegelzieleigenschaften angeben kann, können die empfangenen Pakete verschiedene xe-2/0/0xe-3/1/2.0 Pakete an verschiedene Ziele spiegeln.

Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle

Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die Eingabe oder die Ausgabe einer logischen Schnittstelle anwenden, einschließlich einer aggregierten logischen Ethernet-Schnittstelle. Es werden nur Pakete der Adresstypfamilie gespiegelt, die durch die Filteraktion angegeben wurde.

Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:

  • Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf die Eingabe in eine logische Schnittstelle oder die Ausgabe in eine logische Schnittstelle angewendet werden soll. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.

    HINWEIS:

    Diese Konfigurationsaufgabe zeigt zwei Layer-2-Port-Mirroring-Firewall-Filter: Ein Filter, der auf den Eingangsdatenverkehr der logischen Schnittstelle angewendet wird, und ein Filter, der auf den Ausgangsdatenverkehr der logischen Schnittstelle angewendet wird.

So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf eine logische Eingabe- oder Ausgabeschnittstelle an:

  1. Konfigurieren Sie die zugrunde liegende physische Schnittstelle für die logische Schnittstelle.

    1. Aktivieren Sie die Konfiguration der zugrunde liegenden physischen Schnittstelle:

      HINWEIS:

      Ein Port-Mirroring-Firewall-Filter kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden.


    2. Aktivieren Sie für Gigabit-Ethernet-Schnittstellen und aggregierte Ethernet-Schnittstellen, die für VPLS konfiguriert sind, den Empfang und die Übertragung von 802.1Q-VLAN-getaggten Frames auf der Schnittstelle:


    3. Legen Sie für Ethernet-Schnittstellen, für die IEEE 802.1Q VLAN-Tagging und -Bridging aktiviert ist und die Pakete mit TPID-0x8100 oder einer benutzerdefinierten TPID akzeptieren müssen, den logischen Link-Layer-Kapselungstyp fest:

  2. Konfigurieren Sie die logische Schnittstelle, auf die Sie einen Layer-2-Portspiegelungs-Firewallfilter anwenden möchten.

    1. Geben Sie die Nummer der logischen Einheit an:


    2. Binden Sie für eine Gigabit-Ethernet- oder aggregierte Ethernet-Schnittstelle eine 802.1Q-VLAN-Tag-ID an die logische Schnittstelle:

  3. Ermöglichen Sie die Angabe eines Eingabe- oder Ausgabefilters, der auf Layer-2-Pakete angewendet werden soll, die Teil von Bridging-Domains, Layer-2-Switching-Crossconnects oder Virtual Private LAN Service (VPLS) sind.
    • Wenn der Filter ausgewertet werden soll, wenn Pakete auf der Schnittstelle empfangen werden:

    • Wenn der Filter ausgewertet werden soll, wenn Pakete über die Schnittstelle gesendet werden:

    Der Wert der family Option kann , cccoder vplsseinethernet-switching.

    HINWEIS:

    Wenn Firewall-Filter zur Portspiegelung sowohl am Eingang als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an dasselbe Ziel weiterleitet, fügen Sie die optionale mirror-once Anweisung auf Hierarchieebene [edit forwarding-options] ein.

  4. Überprüfen Sie die Mindestkonfiguration für die Anwendung eines benannten Layer-2-Port-Mirroring-Firewall-Filters auf eine logische Schnittstelle:

Anwenden der Layer-2-Port-Spiegelung auf den CCC-Datenverkehr der Familie mit logischen Demux-Schnittstellen über aggregiertes Ethernet

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

Dieses Thema enthält Richtlinien und Schritte, die Ihnen beim Einrichten der logischen Demux-Schnittstellen helfen, um die Verwendung physischer Memberschnittstellen in einem AE-Bundle zu sparen.

Richtlinien

Wir werden auf die Konfigurationselemente hinweisen, die für diese Verwendung der Konfiguration der logischen Demux-Schnittstellen über aggregierte Ethernet-Schnittstellen spezifisch sind.

  • Konfigurieren Sie die Familie wie ccc folgt

    • Die Port-Mirroring-Konfiguration unter edit forwarding-options port mirroring family

    • Die Firewall-Filterkonfiguration unter edit firewall family

    • Die Konfiguration der Demux-Schnittstelle unter edit interfaces demux0 unit 0 family

  • Stellen Sie sicher, dass die Konfigurationen der Familien für Firewallfilter und Portspiegelung entweder (1) identisch sind oder (2) in derselben Hierarchie liegen.

  • Sie können die Demux-Schnittstelle über eine ae Schnittstelle für die globale Portspiegelung und für Portspiegelungsinstanzen konfigurieren.

  • Für den Firewallfilter zusätzlich zur Verwendung ccc als Familie:

    • Verwenden Sie port-mirror diese Option als Aktion für den Filter.

    • Wenden Sie den Filter auf die Demux-Schnittstelle an.

  • Konfigurieren Sie die ae Schnittstelle als zugrunde liegende Schnittstelle der logischen Demux-Schnittstelle, indem Sie die underlying-interface folgende Anweisung verwenden:

Konfigurationsbeispiel

Das Folgende ist eine spärliche Konfiguration – wir möchten Ihnen nur ein Bild davon zeigen, wie sich die vorherigen Richtlinien in einer Beispielkonfiguration auswirken würden.

Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird

Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese Bridge-Domäne weitergeleitet oder überflutet werden, werden gespiegelt.

Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:

  • Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine Bridge-Domäne weitergeleitet oder an eine Bridge-Domäne überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.

    HINWEIS:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: Ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Flood-Tabelle angewendet wird.

So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer Bridge-Domäne an:

  1. Aktivieren Sie die Konfiguration der Bridge-Domain bridge-domain-name , auf die Sie einen Layer- 2-Port-Mirroring-Firewall-Filter für weitergeleiteten oder überfluteten Datenverkehr anwenden möchten:
  2. Konfigurieren Sie die Bridge-Domäne:
  3. Aktivieren Sie die Konfiguration der Datenverkehrsweiterleitung in der Bridge-Domäne:
  4. Wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Bridge-Domain-Weiterleitungstabelle oder die Flood-Tabelle an.
    • So spiegeln Sie Pakete, die an die Bridge-Domäne weitergeleitet werden:

    • So spiegeln Sie Pakete, die in die Bridge-Domäne geflutet werden:

  5. Überprüfen Sie die Mindestkonfiguration für die Anwendung eines Layer-2-Port-Mirroring-Firewall-Filters auf die Weiterleitungs- oder Flood-Tabelle der Bridge-Domain.

    1. Navigieren Sie zu der Hierarchieebene, auf der die Bridge-Domäne konfiguriert ist:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Zeigen Sie die Bridge-Domänenkonfigurationen an:

Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird

Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese VPLS-Routing-Instanz weitergeleitet oder überflutet werden, werden gespiegelt.

Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:

  • Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine VPLS-Routing-Instanz weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.

    HINWEIS:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance für die Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance Flood Table angewendet wird.

So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer VPLS-Routing-Instanz an:

  1. Aktivieren Sie die Konfiguration der VPLS-Routing-Instanz, auf die Sie einen Layer-2-Port-Mirroring-Firewall-Filter für weitergeleiteten oder überfluteten Datenverkehr anwenden möchten:

    Ausführlichere Konfigurationsinformationen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz.

  2. Aktivieren Sie die Konfiguration der Datenverkehrsweiterleitung auf der VPLS-Routing-Instanz:
  3. Wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die VPLS-Routing-Instanz, die Weiterleitungstabelle oder die Flood-Tabelle an.
    • So spiegeln Sie Pakete, die an die VPLS-Routing-Instanz weitergeleitet werden:

    • So spiegeln Sie Pakete, die überflutet werden, an die VPLS-Routing-Instanz:

  4. Überprüfen Sie die Mindestkonfiguration für die Anwendung eines Layer-2-Port-Mirroring-Firewall-Filters auf die Weiterleitungs- oder Flood-Tabelle der VPLS-Routing-Instanz:

Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird

Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an ein VLAN weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an dieses VLAN weitergeleitet oder überflutet werden, werden gespiegelt.

Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:

  • Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an ein VLAN weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.

    HINWEIS:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VLAN-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VLAN-Flood-Tabelle angewendet wird.

So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle eines VLANs an:

  1. Aktivieren Sie die Konfiguration des VLANs bridge-domain-name , auf das Sie einen Layer- 2-Port-Mirroring-Firewall-Filter für weitergeleiteten oder überfluteten Datenverkehr anwenden möchten:
  2. Konfigurieren Sie das VLAN:
  3. Aktivieren Sie die Konfiguration der Datenverkehrsweiterleitung im VLAN:
  4. Wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die VLAN-Weiterleitungstabelle oder Flood-Tabelle an.
    • So spiegeln Sie Pakete, die an das VLAN weitergeleitet werden:

    • So spiegeln Sie Pakete, die in das VLAN geflutet werden:

  5. Überprüfen Sie die Mindestkonfiguration für die Anwendung eines Layer-2-Port-Mirroring-Firewall-Filters auf die Weiterleitungs- oder Flood-Tabelle des VLANs.

    1. Navigieren Sie zur Hierarchieebene, auf der das VLAN konfiguriert ist:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Zeigen Sie die VLAN-Konfigurationen an:

Beispiel: Layer-2-Port-Spiegelung an einer logischen Schnittstelle

In den folgenden Schritten wird ein Beispiel beschrieben, in dem die globale Portspiegelungsinstanz und ein Firewallfilter für die Portspiegelung verwendet werden, um die Layer-2-Portspiegelung für die Eingabe an eine logische Schnittstelle zu konfigurieren.

  1. Konfigurieren Sie das VLAN example-bd-with-analyzer, das den externen Paketanalysator enthält, und das VLAN example-bd-with-traffic, das die Quelle und das Ziel des zu spiegelnden Layer- 2-Datenverkehrs enthält:

    Angenommen, die logische Schnittstelle ge-2/0/0.0 ist einem externen Datenverkehrsanalysator zugeordnet, der Port-gespiegelte Pakete empfangen soll. Es wird davon ausgegangen, dass logische Schnittstellen ge-2/0/6.0 und ge-3/0/1.2 Datenverkehrs-Ein- bzw. -Ausgabe-Ports sind.

  2. Konfigurieren Sie die Layer- 2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle ge-2/0/0.0 im VLAN example-bd-with-analyzer). Stellen Sie sicher, dass Sie die Option aktivieren, mit der Filter auf dieses Portspiegelungsziel angewendet werden können:

    Die input Anweisung auf der [edit forwarding-options port-mirroring] Hierarchieebene gibt an, dass das Sampling jedes zehnte Paket beginnt und dass jedes der ersten fünf ausgewählten Pakete gespiegelt werden soll.

    Die output Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring family ethernet-switching] spezifiziert die Ausgabespiegelschnittstelle für Layer- 2-Pakete in einer Bridging-Umgebung:

    • Die logische Schnittstelle ge-2/0/0.0, die dem externen Paketanalysator zugeordnet ist, ist als Ziel für die Portspiegelung konfiguriert.

    • Die optional-Anweisung no-filter-check ermöglicht die Konfiguration von Filtern auf dieser Zielschnittstelle.

  3. Konfigurieren Sie den Layer- 2-Port-Mirroring-Firewall-Filter example-bridge-pm-filter:

    Wenn dieser Firewall-Filter auf die Ein- oder Ausgabe einer logischen Schnittstelle für Datenverkehr in einer Bridging-Umgebung angewendet wird, wird die Layer-2-Port-Spiegelung gemäß den Eingabe-Paket-Sampling-Eigenschaften und Spiegelzieleigenschaften durchgeführt, die für die globale Layer-2-Port-Spiegelungsinstanz konfiguriert sind. Da dieser Firewallfilter mit der einzelnen Standardfilteraktion acceptkonfiguriert ist, entsprechen alle Pakete, die von den input Eigenschaften (rate = 10 und run-length = 5) ausgewählt werden, diesem Filter.

  4. Konfigurieren Sie die logischen Schnittstellen:

    Pakete, die an der logischen Schnittstelle ge-2/0/6.0 im VLAN example-bd-with-traffic empfangen werden, werden vom Port-Mirroring-Firewall-Filter example-bridge-pm-filterausgewertet. Der Firewall-Filter reagiert auf den Eingangsdatenverkehr gemäß den im Firewall-Filter selbst konfigurierten Filteraktionen sowie den in der globalen Port-Mirroring-Instanz konfigurierten Eigenschaften für das Input Packet Sampling und den Mirror-Zieleigenschaften:

    • Alle Pakete, die um ge-2/0/6.0 empfangen werden, werden an ihr (angenommenes) normales Ziel an der logischen Schnittstelle ge-3/0/1.2weitergeleitet.

    • Für jeweils zehn Eingangspakete werden Kopien der ersten fünf Pakete in dieser Auswahl an den externen Analysator an der logischen Schnittstelle ge-0/0/0.0 im anderen VLAN, example-bd-with-analyzerweitergeleitet.

    Wenn Sie den Firewallfilter example-bridge-pm-filter für die Portspiegelung so konfigurieren, dass er die discard Aktion anstelle der accept Aktion ausführt, werden alle ursprünglichen Pakete verworfen, während Kopien der Pakete, die mit den globalen Eigenschaften der Portspiegelung input ausgewählt wurden, an den externen Analyzer gesendet werden.

Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN

Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die erforderlich sind, um die Portspiegelung auf einem L2VPN mit family ccczu konfigurieren.

  1. Konfigurieren Sie das VLAN port-mirror-bd, das den externen Paketanalysator enthält:

  2. Konfigurieren Sie den Layer 2 VPN CCC so, dass die logische Schnittstelle ge-2/0/1.0 und die logische Schnittstelle ge-2/0/1.1verbunden werden:

  3. Konfigurieren Sie die Layer- 2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle ge-2/2/9.0 im VLAN example-bd-with-analyzer):

  4. Definieren Sie den Layer- 2-Port-Mirroring-Firewall-Filter pm_filter_ccc für family ccc:

  5. Wenden Sie die Port-Mirror-Instanz auf das Chassis an:

  6. Konfigurieren Sie die Schnittstelle ge-2/2/9 für die VLANs und konfigurieren Sie die Schnittstelle ge-2/0/1 für die Portspiegelung mit dem pm_filter_ccc Firewallfilter:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
13.3R6
Ab Junos OS Version 13.3R6 unterstützen family any nur MPC-Schnittstellen die Portspiegelung.