Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der Portspiegelung an logischen Schnittstellen

Layer-2-Port-Spiegelungs-Firewall-Filter

In diesem Thema werden die folgenden Informationen beschrieben:

Übersicht über Layer-2-Portspiegelungs-Firewall-Filter

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie einen Firewall-Filterbegriff so konfigurieren, dass die Layer-2-Portspiegelung auf alle Pakete an der Schnittstelle angewendet werden soll, auf die der Firewall-Filter angewendet wird.

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf die logischen Ein- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf den Datenverkehr anwenden, der an ein VLAN weitergeleitet oder an eine VPLS-Routinginstanz weitergeleitet oder überflutet wird.

Router der MX-Serie und Switches der EX-Serie unterstützen Layer-2-Portspiegelung von VPLS- (family ethernet-switching oder family vpls) Datenverkehr und Layer-2-VPN-Datenverkehr mit family ccc in einer Layer-2-Umgebung

Innerhalb eines Firewallfilters termkönnen Sie die Layer 2-Portspiegelungseigenschaften unter der then Anweisung entweder auf folgende Weise angeben:

  • Referenzieren Sie implizit die Layer-2-Portspiegelungseigenschaften, die sich auf den Port auswirken.

  • Verweisen Sie explizit auf eine bestimmte benannte Instanz der Layer 2-Portspiegelung.

Anmerkung:

Wenn Sie einen Layer-2-Firewall-Filter für die Portspiegelung konfigurieren, fügen Sie die optionale from Anweisung, die die Übereinstimmungsbedingungen basierend auf der Routen-Quelladresse angibt, nicht ein. Lassen Sie diese Anweisung so aus, dass alle Pakete als übereinstimmend gelten und alle in der Anweisung angegebenen Aktionen und Aktionsmodifikatorenthen ergriffen werden.

Wenn Sie alle eingehenden Pakete spiegeln möchten, dürfen Sie die from-Anweisung nicht verwenden. /* Kommentar: ein Konfigurations-Filter mit Begriffen von, wenn sie nur eine Teilmenge von Paketen spiegeln möchten.

Anmerkung:

Wenn Sie integriertes Routing und Bridging (IRB) mit dem VLAN (oder der VPLS-Routinginstanz) verknüpfen und auch innerhalb des VLANs (oder der VPLS-Routinginstanz) einen Weiterleitungstabellenfilter mit der port-mirror entsprechenden Aktion port-mirror-instance konfigurieren, wird das IRB-Paket als Layer-2-Paket gespiegelt. Sie können dieses Verhalten deaktivieren, indem Sie die Anweisung no-irb-layer-2-copy in der VLAN - oder VPLS-Routinginstanz konfigurieren.

Eine detaillierte Beschreibung der Konfiguration eines Layer-2-Firewall-Filters zur Portspiegelung finden Sie unter Definieren eines Layer-2-Port-Spiegelungs-Firewallfilters.

Detaillierte Informationen darüber, wie Sie Layer 2-Portspiegelungs-Firewall-Filter mit MX-Routern und Switches der EX-Serie verwenden können, die als Provider Edge-Router (PE)-Router oder PE-Switches konfiguriert sind, finden Sie unter Verstehen der Layer-2-Portspiegelung von logischen PE-Router-Schnittstellen. Detaillierte Informationen zur allgemeinen Konfiguration von Firewall-Filtern (einschließlich in einer Layer-3-Umgebung) finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.

Spiegelung von empfangenen oder an einer logischen Schnittstelle gesendeten Paketen

Wenden Sie einen Firewall-Filter für die Portspiegelung an, um den empfangenen oder gesendeten Layer-2-Datenverkehr auf eine logische Schnittstelle zu spiegeln.

Ein Firewall-Filter zur Portspiegelung kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Understanding Layer 2 Port Mirroring of PE Router Aggregated Ethernet Interfaces.

Anmerkung:

Wenn Firewall-Filter zur Portspiegelung sowohl am Ein- als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an das gleiche Ziel weiterleitet, können Sie die "Mirror-Once"-Option für Layer 2-Portspiegelung in der globalen Instanz für die Layer-2-Paketadressenfamilie aktivieren.

Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet wurden

Zur Spiegelung von Layer 2-Datenverkehr, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird, wenden Sie einen Firewall-Filter mit Portspiegelung auf den Eingang in die Weiterleitungstabelle oder Flood-Tabelle an. Alle Pakete, die für die VLAN-Weiterleitungs- oder Flood-Tabelle empfangen werden und die den Filterbedingungen entsprechen, werden gespiegelt.

Weitere Informationen zu VLANs finden Sie unter Understanding Layer 2 Bridge Domains . Informationen zum Überflutungsverhalten in einem VLAN finden Sie unter Understanding Layer 2 Learning and Forwarding for Bridge Domains .

Anmerkung:

Wenn Sie die Portspiegelung auf jeder Schnittstelle unter einem VLAN konfigurieren, kann das gespiegelte Paket zu einem externen Analyzer in verschiedenen VLANs verschoben werden.

Spiegelung von Paketen, die an eine VPLS-Routinginstanz weitergeleitet oder an eine VPLS-Routinginstanz überflutet wurden

Um Layer 2-Datenverkehr zu spiegeln, der an eine VPLS-Routinginstanz weitergeleitet oder an eine VPLS-Routinginstanz überflutet wird, wenden Sie einen Firewall-Filter für die Portspiegelung auf den Eingang in die Weiterleitungstabelle oder eine Flood-Tabelle an. Jedes Paket, das für die Weiterleitungs- oder Flood-Tabelle der VPLS-Routinginstanz empfangen wird und mit der Filterbedingung übereinstimmt, wird gespiegelt.

Weitere Informationen zu VPLS-Routinginstanzen finden Sie unter Konfigurieren einer VPLS-Routinginstanz und Konfigurieren von VLAN-Identifikatoren für Bridge-Domänen und VPLS-Routinginstanzen. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices.

Definieren eines Layer-2-Firewall-Filters zur Portspiegelung

Für VPLS-Datenverkehrfamily ethernet-switchingfamily vpls(virtual private LAN Service) und für Layer-2-VPNs mit Produktfamilie cccnur auf Routern der MX-Serie und nur auf Switches der EX-Serie können Sie einen Firewall-Filter definieren, der die Layer-2-Portspiegelung als die auszuführende Aktion angibt, wenn ein Paket den im Firewall-Filterbegriff konfigurierten Bedingungen entspricht.

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf folgende Weise verwenden:

  • Spiegelung von empfangenen oder gesendeten Paketen an einer logischen Schnittstelle.

  • Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet wurden.

  • Spiegelung von Paketen, die an eine VPLS-Routinginstanz weitergeleitet oder an diese geflutet wurden.

  • Spiegelung von Eingangspaketen der Tunnelschnittstelle nur zu mehreren Zielen.

Eine Zusammenfassung der drei Arten von Layer 2-Portspiegelung, die Sie auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren können, finden Sie unter Application of Layer 2 Port Mirroring Types.

So definieren Sie einen Firewall-Filter mit einer Layer-2-Portspiegelungsaktion:

  1. Aktivieren der Konfiguration von Firewall-Filtern für Layer-2-Pakete, die Teil eines VLANs, eines Layer 2-Switching-Cross-Connect oder eines Virtual Private LAN Service (VPLS) sind:

    Der Wert der family Option kann ethernet-switching sein , cccoder vpls.

  2. Konfiguration eines Firewall-Filters aktivieren pm-filter-name:
  3. Konfiguration eines Firewall-Filterbegriffs pm-filter-term-nameaktivieren:
  4. (Optional) Geben Sie die Firewall-Filter-Übereinstimmungsbedingungen basierend auf der Routen-Quelladresse nur an, wenn Sie eine Teilmenge der stichprobenierten Pakete spiegeln möchten.
    Anmerkung:

    Wenn Sie möchten, dass alle Stichprobenpakete als übereinstimmend angesehen werden (und den in der then Anweisung angegebenen Aktionen unterworfen werden), dann unterlassen Sie die from Anweisung vollständig.

  5. Aktivieren Sie die Konfiguration der action und action-modifier die Anwendung auf übereinstimmende Pakete:
  6. Geben Sie die Aktionen an, die beim Abgleichen von Paketen zu ergreifen sind:

    Der empfohlene Wert für das action ist accept. Wenn Sie keine Aktion angeben oder die then Anweisung vollständig auslassen, werden alle Pakete akzeptiert, die den Bedingungen in der from Anweisung entsprechen.

  7. Nennen Sie Layer 2-Portspiegelung oder eine Next-Hop-Gruppe als :action-modifier
    • Verwenden Sie port-mirror die Anweisung, um die Layer-2-Portspiegelungseigenschaften zu referenzieren, die derzeit für die Packet Forwarding Engine oder PIC der zugrunde liegenden physischen Schnittstelle gelten:

    • Um auf die in einer bestimmten benannten Instanz konfigurierten Layer-2-Portspiegelungseigenschaften zu verweisen, verwenden Sie den Action Modifier port-mirror-instance pm-instance-name :

      Wenn die zugrunde liegende physische Schnittstelle nicht an eine benannte Instanz der Layer-2-Portspiegelung gebunden ist, sondern implizit an die globale Instanz der Layer 2-Portspiegelung gebunden ist, wird der Datenverkehr an der logischen Schnittstelle entsprechend den eigenschaften gespiegelt, die in der benannten Instanz angegeben werden, auf die port-mirror-instance vom Action Modifier verwiesen wird.

    • Um auf eine Next-Hop-Gruppe zu verweisen, die die Next-Hop-Adressen angibt (zum Senden zusätzlicher Kopien von Paketen an einen Analyzer), verwenden Sie den next-hop-group Action Modifier pm-next-hop-group-name

      Konfigurationsinformationen zu Next-Hop-Gruppen finden Sie unter Definieren einer Next-Hop-Gruppe für Layer 2-Portspiegelung. Wenn Sie eine Next-Hop-Gruppe für die Layer-2-Portspiegelung angeben, gilt der Firewall-Filterbegriff nur für die Eingabe der Tunnelschnittstelle.

  8. Überprüfen Sie die minimale Konfiguration des Layer-2-Firewall-Filters für die Portspiegelung:

    In der Firewall-Filterbegriffanweisung then kann der Action-Modifier der Name oder next-hop-group pm-next-hop-group-name seinport-mirrorport-mirror-instance .

Konfigurieren protokollunabhängiger Firewall-Filter für Portspiegelung

Auf Routern der MX-Serie mit MPCs können Sie einen Firewall-Filter konfigurieren, um Layer 2- und Layer 3-Pakete auf globaler Ebene und auf Instanzebene zu spiegeln. Wenn die Portspiegelung am Eingang oder Ausgang konfiguriert wird, wird das Paket kopiert, das eine Schnittstelle betritt oder verlässt, und die Kopien werden zur lokalen Überwachung an die lokale Schnittstelle gesendet.

Anmerkung:

Ab Junos OS Version 13.3R6 werden nur MPC-Schnittstellen für die Portspiegelung unterstützt family any . DPC-Schnittstellen unterstützen family anykeine .

Normalerweise ist der Firewall-Filter so konfiguriert, dass er Layer-2- oder Layer-3-Pakete basierend auf der an der Schnittstelle konfigurierten Produktfamilie spiegelt. Bei einer integrierten Routing- und Bridging-Schnittstelle (IRB) werden Layer-2-Pakete jedoch nicht vollständig gespiegelt, da IRB-Schnittstellen so konfiguriert sind, dass nur Layer-3-Pakete gespiegelt werden. Auf einer solchen Schnittstelle können Sie einen Firewall-Filter und Portspiegelungsparameter in der Familie any konfigurieren, um sicherzustellen, dass ein Paket vollständig gespiegelt wird, unabhängig davon, ob es sich um ein Layer-2- oder ein Layer-3-Paket handelt.

Anmerkung:
  • Für die Port-Spiegelung an einer Instanz können Sie eine oder mehrere Familien wie inet, inet6cccund vpls gleichzeitig für dieselbe Instanz konfigurieren.

  • Im Falle der Layer-2-Portspiegelung werden VLAN-Tags, MPLS-Header beibehalten und können in der gespiegelten Kopie am Ausgang angezeigt werden.

  • Bei der VLAN-Normalisierung werden die Informationen vor der Normalisierung für ein gespiegeltes Paket am Eingang angezeigt. Ebenso werden am Ausgang die Informationen nach der Normalisierung für das gespiegelte Paket angezeigt.

Bevor Sie mit der Konfiguration der Portspiegelung beginnen, müssen Sie gültige physische Schnittstellen konfigurieren.

So konfigurieren Sie einen protokollunabhängigen Firewall-Filter für die Portspiegelung:

  1. Konfigurieren Sie einen globalen Firewall-Filter für die Spiegelung des ausgehenden oder eingehenden Datenverkehrs.
  2. Konfigurieren Sie einen Firewall-Filter zur Spiegelung des Datenverkehrs für eine Instanz.
  3. Konfigurieren Sie Spiegelungsparameter für ausgehenden und eingehenden Datenverkehr.
  4. Konfigurieren Sie Spiegelungsparameter für eine Instanz. In dieser Konfiguration können Sie die Ausgabe oder das Ziel für die Layer-2-Pakete angeben, die entweder eine gültige Next-Hop-Gruppe oder eine Layer-2-Schnittstelle sein sollen.
  5. Konfigurieren Sie den Firewall-Filter an der Eingangs- oder Ausgangsschnittstelle, auf der die Pakete übertragen werden.

Beispiel: Spiegelung des Mitarbeiter-Webdatenverkehrs mit einem Firewall-Filter

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Switch

  • Junos 14.1X53-D20

Überblick

In diesem Beispiel xe-0/0/0 dienen sie xe-0/0/6 als Verbindungen für Mitarbeitercomputer. Die Schnittstelle xe-0/0/47 ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.

Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen dieser Ressourcen erforderlich sein. In diesem Beispiel wird nur der Datenverkehr dargestellt, der von den Computern der Mitarbeiter an das Internet gesendet wurde.

Topologie

Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.

Abbildung 1: Netzwerktopologie für lokale Portspiegelung BeispielNetzwerktopologie für lokale Portspiegelung Beispiel

Konfiguration

Um festzulegen, dass der einzige Datenverkehr, der gespiegelt wird, der Datenverkehr ist, der von Mitarbeitern an das Web gesendet wird, führen Sie die in diesem Abschnitt erläuterten Aufgaben aus. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewall-Filter, um diesen Datenverkehr anzugeben und ihn zu einer Portspiegelinstanz zu leiten.

Verfahren

CLI-Schnellkonfiguration

Um die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern, der für das Web bestimmt ist, schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in ein Switch-Terminalfenster ein:

Schritt-für-Schritt-Verfahren

Konfigurieren der lokalen Portspiegelung von Mitarbeitern zum Webdatenverkehr von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:

  1. Konfigurieren Sie eine Portspiegelungsinstanz, einschließlich der Ausgangsschnittstelle und der IP-Adresse des Geräts, auf dem die Analyseanwendung als nächsten Hop ausgeführt wird. (Konfigurieren Sie nur den Ausgang – der Eingang stammt vom Filter.) Sie müssen auch angeben, dass der Spiegel für IPv4-Datenverkehr ist (family inet).

  2. Konfigurieren Sie einen IPv4-Firewall-Filterfamily inet namens watch-employee "The Term to match traffic sent to the Web and send it to the port-mirroring instance". Datenverkehr, der an das Unternehmens-Subnetz (Ziel oder Quelladresse von 192.0.nn.nn/24) gesendet wird, muss nicht kopiert werden. Erstellen Sie also zuerst einen anderen Begriff, um den Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:

  3. Konfigurieren Sie Adressen für die mit den Mitarbeiterncomputern und dem Analysegerät verbundenen IPv4-Schnittstellen:

  4. Wenden Sie den Firewall-Filter als Eingangsfilter auf die entsprechenden Schnittstellen an:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Überprüfen der korrekten Erstellung des Analyzers

Zweck

Vergewissern Sie sich, dass der Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgangsschnittstelle erstellt wurde.

Aktion

Sie können überprüfen, ob der Port-Spiegelanalyse-Analyzer mithilfe des show forwarding-options port-mirroring Befehls wie erwartet konfiguriert wurde.

Bedeutung

Diese Ausgabe zeigt, dass die Portspiegelungsinstanz ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung) und die maximale Größe des gespiegelten Originalpakets aufweist (0 gibt das gesamte Paket an). Wenn der Status der Ausgabeschnittstelle ausfällt oder die Ausgabeschnittstelle nicht konfiguriert ist, wird down der Statuswert angegeben und die Instanz wird nicht für die Spiegelung programmiert.

Layer-2-Portspiegelung der logischen PE-Router- oder PE-Switch-Schnittstellen

Für einen Router oder Switch, der als Provider Edge (PE)-Gerät am Kunden-Edge eines Service Provider-Netzwerks konfiguriert ist, können Sie einen Layer-2-Firewall-Filter für die Portspiegelung an den folgenden Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen Router- oder Switch- und Kunden-Edge-Geräten (CE) zu spiegeln, die in der Regel auch Router und Ethernet-Switches sind.

Tabelle 1 beschreibt die Möglichkeiten, wie Sie Layer-2-Firewall-Filter für die Portspiegelung auf einen Router oder Switch anwenden können, der als PE-Gerät konfiguriert ist.

Tabelle 1: Anwendung von Layer-2-Port-Spiegelungs-Firewall-Filtern auf PE-Geräten

Anwendungsort

Umfang der Spiegelung

Hinweise

Konfigurationsdaten

Ingress Customer-Facing Logical Interface

Pakete, die im Netzwerk eines Service Providers stammen, werden zuerst an ein CE-Gerät gesendet und neben dem PE-Gerät gesendet.

Sie können auch aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routinginstanzen konfigurieren. Der Datenverkehr wird über alle Verbindungen in der aggregierten Schnittstelle lastausgleichend.

Datenverkehr, der auf einer aggregierten Ethernet-Schnittstelle empfangen wird, wird über eine andere Schnittstelle weitergeleitet, basierend auf einer Suche nach der Ziel-MAC-Adresse (DMAC):

  • Pakete, die für einen lokalen Standort bestimmt sind, werden über die loadausgleichende untergeordnete Schnittstelle gesendet.

  • Pakete, die für den Remotestandort bestimmt sind, werden verkapselt und über einen Label Switched Path (LSP) weitergeleitet.

Siehe Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle.

Weitere Informationen zu VPLS-Routinginstanzen finden Sie unter Konfigurieren einer VPLS-Routinginstanz und Konfigurieren von VLAN-Identifikatoren für Bridge-Domänen und VPLS-Routinginstanzen.

Ausgehende, vom Kunden ausgerichtete logische Schnittstelle

Unicast-Pakete, die vom PE-Gerät an ein anderes PE-Gerät weitergeleitet werden.

NOTE:Wenn Sie einen Portspiegelungsfilter auf die Ausgabe für eine logische Schnittstelle anwenden, werden nur Unicastpakete gespiegelt. Wenden Sie für die Spiegelung von Multicast-, unbekannten Unicast- und Broadcast-Paketen einen Filter auf die Eingabe in die Flood-Tabelle einer VLAN- oder VPLS-Routinginstanz an.

Siehe Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle.

Eingabe in eine VLAN-Weiterleitungstabelle oder Flood-Tabelle

Weiterleitung des Datenverkehrs oder Überflutung des Datenverkehrs, der von einem CE-Gerät an das VLAN gesendet wird.

Weiterleitung und Überflutung des Datenverkehrs bestehen in der Regel aus Broadcast-Paketen, Multicastpaketen, Unicastpaketen mit einer unbekannten Ziel-MAC-Adresse oder Paketen mit einem MAC-Eintrag in der DMAC-Routingtabelle.

Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices.

Eingabe in eine VPLS Routing-Instanzweiterleitungstabelle oder Flood-Tabelle

Weiterleitung von Datenverkehr oder Überflutung des Datenverkehrs, der von einem CE-Gerät an die VPLS-Routinginstanz gesendet wird.

Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine VPLS-Routinginstanz weitergeleitet oder überflutet wurde. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices.

Layer-2-Portspiegelung von aggregierten PE-Router- oder PE-Switch-Ethernet-Schnittstellen

Eine aggregierte Ethernet-Schnittstelle ist eine virtuelle aggregierte Verbindung, die aus einer Reihe physischer Schnittstellen mit der gleichen Geschwindigkeit und demselben Betrieb im Vollduplex-Verbindungsmodus besteht. Sie können aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routinginstanzen konfigurieren. Der Datenverkehr wird über alle Verbindungen in der aggregierten Schnittstelle lastausgleichend. Wenn eine oder mehrere Verbindungen in der aggregierten Schnittstelle ausfällt, wird der Datenverkehr auf die verbleibenden Verbindungen geschaltet.

Sie können einen Layer-2-Firewall-Filter zur Portspiegelung auf eine aggregierte Ethernet-Schnittstelle anwenden, um die Portspiegelung an der übergeordneten Schnittstelle zu konfigurieren. Wenn untergeordnete Schnittstellen jedoch an verschiedene Layer-2-Portspiegelungsinstanzen gebunden sind, werden an den untergeordneten Schnittstellen empfangene Pakete an die von ihren jeweiligen Portspiegelungsinstanzen angegebenen Ziele gespiegelt. Somit können mehrere untergeordnete Schnittstellen Pakete zu mehreren Zielen spiegeln.

Angenommen, die übergeordnete aggregierte Ethernet-Schnittstelleninstanz ae0 hat zwei untergeordnete Schnittstellen:

  • xe-2/0/0

  • xe-3/1/2

Nehmen wir an, dass diese untergeordneten Schnittstellen an ae0 zwei verschiedene Layer-2-Port-Spiegelungsinstanzen gebunden sind:

  • pm_instance_A– Eine benannte Instanz der Layer 2-Portspiegelung, die an die untergeordnete Schnittstelle xe-2/0/0gebunden ist.

  • pm_instance_B– Eine benannte Instanz der Layer 2-Portspiegelung, die an die untergeordnete Schnittstelle xe-3/1/2gebunden ist.

Nehmen wir an, Sie wenden einen Layer-2-Firewall-Filter für die Portspiegelung auf den gesendeten ae0.0 Layer-2-Datenverkehr an (logische Einheit 0 auf der aggregierten Ethernet-Schnittstelleninstanz 0). Dies ermöglicht die Portspiegelung auf ae0.0, was sich auf die Verarbeitung des Datenverkehrs auswirkt, der an den untergeordneten Schnittstellen empfangen wird, für die Layer-2-Portspiegelungseigenschaften angegeben sind:

  • Die empfangenen xe-2/0/0 Pakete werden an die in der Portspiegelungsinstanz pm_instance_Akonfigurierten Ausgabeschnittstellen gespiegelt.

  • Die empfangenen xe-3/1/2.0 Pakete werden an die in der Portspiegelungsinstanz pm_instance_Bkonfigurierten Ausgabeschnittstellen gespiegelt.

Da pm_instance_A und pm_instance_B sie unterschiedliche Paketauswahleigenschaften oder Spiegelungseigenschaften des Ziels angeben können, können die empfangenen xe-2/0/0xe-3/1/2.0 Pakete verschiedene Pakete zu verschiedenen Zielen spiegeln.

Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Eingang oder die Ausgabe einer logischen Schnittstelle anwenden, einschließlich einer aggregierten logischen Ethernet-Schnittstelle. Es werden nur Pakete der Adresstypfamilie gespiegelt, die von der Filteraktion angegeben wurden.

Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:

  • Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Eingang in eine logische Schnittstelle oder die Ausgabe an eine logische Schnittstelle angewendet werden soll. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.

    Anmerkung:

    Diese Konfigurationsaufgabe zeigt zwei Layer-2-Port-Spiegelungs-Firewall-Filter: ein Filter, der auf den eingehenden Datenverkehr der logischen Schnittstelle und ein Filter auf den ausgehenden Datenverkehr der logischen Schnittstelle angewendet wird.

So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf eine logische Ein- oder Ausgabeschnittstelle an:

  1. Konfigurieren Sie die zugrunde liegende physische Schnittstelle für die logische Schnittstelle.

    1. Aktivierung der Konfiguration der zugrunde liegenden physischen Schnittstelle:

      Anmerkung:

      Ein Firewall-Filter zur Portspiegelung kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden.


    2. Für Fast Ethernet- und Gigabit Ethernet-Schnittstellen und aggregierte Ethernet-Schnittstellen, die für VPLS konfiguriert sind, ermöglichen Sie den Empfang und die Übertragung von 802.1Q VLAN-tagged Frames auf der Schnittstelle:


    3. Legen Sie für Ethernet-Schnittstellen, die IEEE 802.1Q VLAN-Tagging und Bridging aktiviert haben und Pakete akzeptieren müssen, die TPID-0x8100 oder eine benutzerdefinierte TPID tragen, den Kapselungstyp logischer Link-Layer ein:

  2. Konfigurieren Sie die logische Schnittstelle, auf die Sie einen Layer-2-Firewall-Filter für die Portspiegelung anwenden möchten.

    1. Geben Sie die nummer der logischen Einheit an:


    2. Für eine Fast Ethernet-, Gigabit Ethernet- oder Aggregierte Ethernet-Schnittstelle binden Sie eine 802.1Q VLAN-Tag-ID an die logische Schnittstelle:

  3. Ermöglichen die Anwendung der Spezifikation eines Ein- oder Ausgabefilters auf Layer-2-Pakete, die Teil der Bridging-Domäne, layer-2-switching-cross-connects oder virtual private LAN Service (VPLS) sind.
    • Wenn der Filter ausgewertet werden soll, wenn Pakete an der Schnittstelle empfangen werden:

    • Wenn der Filter ausgewertet werden soll, wenn Pakete an die Schnittstelle gesendet werden:

    Der Wert der Familienoption kann sein ethernet-switching, cccoder vpls.

    Anmerkung:

    Wenn Firewall-Filter zur Portspiegelung sowohl am Ein- als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an das gleiche Ziel weiterleitet, fügen Sie die optionale mirror-once Anweisung auf Hierarchieebene [edit forwarding-options] ein.

  4. Überprüfen Sie die Mindestkonfiguration für die Anwendung eines benannten Layer 2-Port-Spiegelungs-Firewallfilters auf eine logische Schnittstelle:

Anwenden der Layer-2-Portspiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an eine Bridge-Domäne überflutet wird. Es werden nur Pakete des angegebenen Familientyps gespiegelt, die an diese Bridge-Domäne weitergeleitet oder überflutet werden.

Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:

  • Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an eine Bridge-Domäne weitergeleitet oder an eine Bridge-Domäne überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.

    Anmerkung:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: Ein Filter wurde auf den eingehenden Datenverkehr der Bridge-Domänenweiterleitungstabelle angewendet, und ein Filter wurde auf den eingehenden Datenverkehr der Bridge-Domänen-Flood-Tabelle angewendet.

So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle einer Bridge-Domäne an:

  1. Aktivieren Sie die Konfiguration des Bridge-Domänen-Bridge-Domänennamens , auf den Sie einen Layer-2-Portspiegelungs-Firewall-Filter für weitergeleiteten oder überfluteten Datenverkehr anwenden möchten:
  2. Konfigurieren Sie die Bridge-Domäne:
  3. Aktivieren der Konfiguration der Datenverkehrsweiterleitung auf der Bridge-Domäne:
  4. Wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Bridge-Domänenweiterleitungstabelle oder die Flood-Tabelle an.
    • Spiegelung von Paketen, die an die Bridge-Domäne weitergeleitet werden:

    • Spiegelung von Paketen, die zur Bridge-Domäne überflutet werden:

  5. Überprüfen Sie die Mindestkonfiguration für das Anwenden eines Layer 2-Firewall-Filters für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle der Bridge-Domäne.

    1. Navigieren Sie zur Hierarchieebene, auf der die Bridge-Domäne konfiguriert ist:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Bridge-Domänenkonfigurationen anzeigen:

Anwenden von Layer 2-Portspiegelung auf Datenverkehr, der an eine VPLS-Routinginstanz weitergeleitet oder überflutet wird

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an eine VPLS-Routinginstanz überflutet wird. Es werden nur Pakete des angegebenen Familientyps gespiegelt und an diese VPLS-Routinginstanz weitergeleitet oder überflutet.

Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:

  • Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an eine VPLS-Routinginstanz weitergeleitet oder an ein VLAN überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.

    Anmerkung:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routinginstanz angewendet wird, und ein Filter auf den Flood-Tabellen-Ingress-Datenverkehr der VPLS-Routinginstanz.

So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle einer VPLS-Routinginstanz an:

  1. Aktivieren Sie die Konfiguration der VPLS-Routinginstanz, auf die Sie einen Layer-2-Portspiegelungs-Firewall-Filter für weitergeleiteten oder überschwemmten Datenverkehr anwenden möchten:

    Ausführlichere Konfigurationsinformationen finden Sie unter Konfigurieren einer VPLS-Routinginstanz.

  2. Aktivieren der Konfiguration der Datenverkehrsweiterleitung auf der VPLS-Routinginstanz:
  3. Wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle der VPLS-Routinginstanz an.
    • Spiegelung von Paketen, die an die VPLS-Routinginstanz weitergeleitet werden:

    • Spiegelung von Paketen, die zur VPLS-Routinginstanz übertragen werden:

  4. Überprüfen Sie die Mindestkonfiguration für das Anwenden eines Layer 2-Firewall-Filters für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle der VPLS-Routinginstanz:

Anwenden der Layer-2-Portspiegelung auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird

Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an ein VLAN übertragen wird. Nur Pakete des angegebenen Familientyps, die an dieses VLAN weitergeleitet oder überflutet werden, werden gespiegelt.

Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:

  • Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.

    Anmerkung:

    Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: ein Filter, der auf den eingehenden Datenverkehr der VLAN-Weiterleitungstabelle angewendet wird, und ein Filter auf den Ingress-Datenverkehr der VLAN-Flood-Tabelle.

So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle eines VLAN an:

  1. Aktivieren Sie die Konfiguration des VLAN bridge-domain-name , auf das Sie einen Layer-2-Firewall-Filter für die Portspiegelung für weitergeleiteten oder überschwemmten Datenverkehr anwenden möchten:
  2. VlaN konfigurieren:
  3. Aktivieren der Konfiguration der Datenverkehrsweiterleitung im VLAN:
  4. Wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die VLAN-Weiterleitungstabelle oder Flood-Tabelle an.
    • Spiegelung von Paketen, die an das VLAN weitergeleitet werden:

    • Spiegelung von Paketen, die zum VLAN überflutet werden:

  5. Überprüfen Sie die Mindestkonfiguration für das Anwenden eines Layer 2-Firewall-Filters für die Portspiegelung auf die Weiterleitungstabelle oder eine Flood-Tabelle des VLAN.

    1. Navigieren Sie zur Hierarchieebene, auf der das VLAN konfiguriert ist:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. VLAN-Konfigurationen anzeigen:

Beispiel: Layer 2-Portspiegelung an einer logischen Schnittstelle

Die folgenden Schritte beschreiben ein Beispiel, in dem die globale Portspiegelungsinstanz und ein Firewall-Filter zur Portspiegelung verwendet werden, um die Layer 2-Portspiegelung für den Eingang an eine logische Schnittstelle zu konfigurieren.

  1. Konfigurieren Sie das VLAN example-bd-with-analyzer, das den externen Paketanalyseer und das VLAN example-bd-with-trafficenthält, das die Quelle und das Ziel des Spiegelungs-Layer-2-Datenverkehrs enthält:

    Gehen Sie davon aus, dass die logische Schnittstelle ge-2/0/0.0 mit einem externen Datenverkehrsanalysegerät verknüpft ist, das Port-gespiegelte Pakete empfangen soll. Gehen Sie davon aus, dass es sich bei logischen Schnittstellen ge-2/0/6.0ge-3/0/1.2 um Ein- bzw. Ausgangsports des Datenverkehrs bzw.

  2. Konfigurieren Sie die Layer 2-Portspiegelung für die globale Instanz, wobei das Ziel für die Portspiegelung die dem externen Analyzer zugeordnete VLAN-Schnittstelle (logische Schnittstelle ge-2/0/0.0 auf VLAN example-bd-with-analyzer) ist. Aktivieren Sie die Option, mit der Filter auf dieses Ziel mit Portspiegelung angewendet werden können:

    Die input Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] gibt an, dass das Sampling jedes zehnte Paket beginnt und dass jedes der ersten fünf ausgewählten Pakete gespiegelt werden soll.

    Die output Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring family ethernet-switching] gibt die Ausgabespiegelschnittstelle für Layer-2-Pakete in einer Bridging-Umgebung an:

    • Die logische Schnittstelle ge-2/0/0.0, die dem externen Paketanalysegerät zugeordnet ist, wird als Ziel für die Portspiegelung konfiguriert.

    • Die optionale no-filter-check Anweisung ermöglicht die Konfiguration von Filtern auf dieser Zielschnittstelle.

  3. Konfigurieren Sie den Layer-2-Firewall-Filter example-bridge-pm-filterfür die Portspiegelung:

    Wenn dieser Firewall-Filter auf den Eingang oder die Ausgabe einer logischen Schnittstelle für Datenverkehr in einer Bridging-Umgebung angewendet wird, wird die Layer 2-Portspiegelung gemäß den Paket-Sampling-Eigenschaften der Eingangsdaten und den Spiegelungszieleigenschaften durchgeführt, die für die globale Layer-2-Portspiegelungsinstanz konfiguriert sind. Da dieser Firewall-Filter mit der einzelnen Standardfilteraktion acceptkonfiguriert ist, stimmen alle von den input Eigenschaften (rate = 10 und run-length = 5) ausgewählten Pakete mit diesem Filter überein.

  4. Konfigurieren Sie die logischen Schnittstellen:

    Pakete, die an der logischen Schnittstelle ge-2/0/6.0 im VLAN example-bd-with-traffic empfangen werden, werden vom Firewall-Filter example-bridge-pm-filterfür die Portspiegelung ausgewertet. Der Firewall-Filter wirkt auf den Eingangsdatenverkehr gemäß den im Firewall-Filter selbst konfigurierten Filteraktionen sowie den Eingangspaket-Sampling-Eigenschaften und den in der globalen Portspiegelungsinstanz konfigurierten Spiegelungseigenschaften des Ziels:

    • Alle empfangenen ge-2/0/6.0 Pakete werden an der logischen Schnittstelle ge-3/0/1.2an ihr (vorausgesetztes) normales Ziel weitergeleitet.

    • Für alle zehn Eingabepakete werden Kopien der ersten fünf Pakete in dieser Auswahl an den externen Analyzer an der logischen Schnittstelle ge-0/0/0.0 im anderen VLAN weitergeleitet, example-bd-with-analyzer.

    Wenn Sie den Firewall-Filter example-bridge-pm-filter für die Portspiegelung so konfigurieren, dass die discard Aktion statt der accept Aktion ausgeführt wird, werden alle Originalpakete verworfen, während Kopien der pakete, die mit den globalen Portspiegelungseigenschaften input ausgewählt wurden, an den externen Analyzer gesendet werden.

Beispiel: Layer 2-Portspiegelung für ein Layer-2-VPN

Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die für die Konfiguration der Portspiegelung auf einem L2VPN mit family cccerforderlich sind.

  1. Konfigurieren Sie das VLAN port-mirror-bd, das den externen Paketanalyser enthält:

  2. Konfigurieren Sie das Layer 2 VPN CCC zur Verbindung von logischer Schnittstelle ge-2/0/1.0 und logischer Schnittstelle ge-2/0/1.1:

  3. Konfigurieren Sie die Layer 2-Portspiegelung für die globale Instanz, wobei das Ziel für die Portspiegelung die dem externen Analyzer zugeordnete VLAN-Schnittstelle ist (logische Schnittstelle ge-2/2/9.0 auf VLAN example-bd-with-analyzer):

  4. Definieren Sie den Layer-2-Firewall-Filter pm_filter_ccc für die Portspiegelung für family ccc:

  5. Wenden Sie die Portspiegelinstanz auf das Gehäuse an:

  6. Konfigurieren Sie die Schnittstelle ge-2/2/9 für die VLANs und konfigurieren Sie die Schnittstelle ge-2/0/1 für die Portspiegelung mit dem pm_filter_ccc Firewall-Filter:

Release-Verlaufstabelle
Release
Beschreibung
13.3R6
Ab Junos OS Version 13.3R6 werden nur MPC-Schnittstellen für die Portspiegelung unterstützt family any .