Auf dieser Seite
Definieren eines Layer-2-Firewall-Filters zur Portspiegelung
Konfigurieren protokollunabhängiger Firewall-Filter für Portspiegelung
Beispiel: Spiegelung des Mitarbeiter-Webdatenverkehrs mit einem Firewall-Filter
Layer-2-Portspiegelung der logischen PE-Router- oder PE-Switch-Schnittstellen
Layer-2-Portspiegelung von aggregierten PE-Router- oder PE-Switch-Ethernet-Schnittstellen
Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle
Beispiel: Layer 2-Portspiegelung an einer logischen Schnittstelle
Beispiel: Layer 2-Portspiegelung für ein Layer-2-VPN mit LAG-Verbindungen
Konfigurieren der Portspiegelung an logischen Schnittstellen
Layer-2-Port-Spiegelungs-Firewall-Filter
In diesem Thema werden die folgenden Informationen beschrieben:
- Übersicht über Layer-2-Portspiegelungs-Firewall-Filter
- Spiegelung von empfangenen oder an einer logischen Schnittstelle gesendeten Paketen
- Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet wurden
- Spiegelung von Paketen, die an eine VPLS-Routinginstanz weitergeleitet oder an eine VPLS-Routinginstanz überflutet wurden
Übersicht über Layer-2-Portspiegelungs-Firewall-Filter
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie einen Firewall-Filterbegriff so konfigurieren, dass die Layer-2-Portspiegelung auf alle Pakete an der Schnittstelle angewendet werden soll, auf die der Firewall-Filter angewendet wird.
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf die logischen Ein- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf den Datenverkehr anwenden, der an ein VLAN weitergeleitet oder an eine VPLS-Routinginstanz weitergeleitet oder überflutet wird.
Router der MX-Serie und Switches der EX-Serie unterstützen Layer-2-Portspiegelung von VPLS- (family ethernet-switching oder family vpls) Datenverkehr und Layer-2-VPN-Datenverkehr mit family ccc in einer Layer-2-Umgebung
Innerhalb eines Firewallfilters termkönnen Sie die Layer 2-Portspiegelungseigenschaften unter der then Anweisung entweder auf folgende Weise angeben:
Referenzieren Sie implizit die Layer-2-Portspiegelungseigenschaften, die sich auf den Port auswirken.
Verweisen Sie explizit auf eine bestimmte benannte Instanz der Layer 2-Portspiegelung.
Wenn Sie einen Layer-2-Firewall-Filter für die Portspiegelung konfigurieren, fügen Sie die optionale from Anweisung, die die Übereinstimmungsbedingungen basierend auf der Routen-Quelladresse angibt, nicht ein. Lassen Sie diese Anweisung so aus, dass alle Pakete als übereinstimmend gelten und alle in der Anweisung angegebenen Aktionen und Aktionsmodifikatorenthen ergriffen werden.
Wenn Sie alle eingehenden Pakete spiegeln möchten, dürfen Sie die from-Anweisung nicht verwenden. /* Kommentar: ein Konfigurations-Filter mit Begriffen von, wenn sie nur eine Teilmenge von Paketen spiegeln möchten.
Wenn Sie integriertes Routing und Bridging (IRB) mit dem VLAN (oder der VPLS-Routinginstanz) verknüpfen und auch innerhalb des VLANs (oder der VPLS-Routinginstanz) einen Weiterleitungstabellenfilter mit der port-mirror entsprechenden Aktion port-mirror-instance konfigurieren, wird das IRB-Paket als Layer-2-Paket gespiegelt. Sie können dieses Verhalten deaktivieren, indem Sie die Anweisung no-irb-layer-2-copy in der VLAN - oder VPLS-Routinginstanz konfigurieren.
Eine detaillierte Beschreibung der Konfiguration eines Layer-2-Firewall-Filters zur Portspiegelung finden Sie unter Definieren eines Layer-2-Port-Spiegelungs-Firewallfilters.
Detaillierte Informationen darüber, wie Sie Layer 2-Portspiegelungs-Firewall-Filter mit MX-Routern und Switches der EX-Serie verwenden können, die als Provider Edge-Router (PE)-Router oder PE-Switches konfiguriert sind, finden Sie unter Verstehen der Layer-2-Portspiegelung von logischen PE-Router-Schnittstellen. Detaillierte Informationen zur allgemeinen Konfiguration von Firewall-Filtern (einschließlich in einer Layer-3-Umgebung) finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.
Spiegelung von empfangenen oder an einer logischen Schnittstelle gesendeten Paketen
Wenden Sie einen Firewall-Filter für die Portspiegelung an, um den empfangenen oder gesendeten Layer-2-Datenverkehr auf eine logische Schnittstelle zu spiegeln.
Ein Firewall-Filter zur Portspiegelung kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Understanding Layer 2 Port Mirroring of PE Router Aggregated Ethernet Interfaces.
Wenn Firewall-Filter zur Portspiegelung sowohl am Ein- als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an das gleiche Ziel weiterleitet, können Sie die "Mirror-Once"-Option für Layer 2-Portspiegelung in der globalen Instanz für die Layer-2-Paketadressenfamilie aktivieren.
Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet wurden
Zur Spiegelung von Layer 2-Datenverkehr, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird, wenden Sie einen Firewall-Filter mit Portspiegelung auf den Eingang in die Weiterleitungstabelle oder Flood-Tabelle an. Alle Pakete, die für die VLAN-Weiterleitungs- oder Flood-Tabelle empfangen werden und die den Filterbedingungen entsprechen, werden gespiegelt.
Weitere Informationen zu VLANs finden Sie unter Understanding Layer 2 Bridge Domains . Informationen zum Überflutungsverhalten in einem VLAN finden Sie unter Understanding Layer 2 Learning and Forwarding for Bridge Domains .
Wenn Sie die Portspiegelung auf jeder Schnittstelle unter einem VLAN konfigurieren, kann das gespiegelte Paket zu einem externen Analyzer in verschiedenen VLANs verschoben werden.
Spiegelung von Paketen, die an eine VPLS-Routinginstanz weitergeleitet oder an eine VPLS-Routinginstanz überflutet wurden
Um Layer 2-Datenverkehr zu spiegeln, der an eine VPLS-Routinginstanz weitergeleitet oder an eine VPLS-Routinginstanz überflutet wird, wenden Sie einen Firewall-Filter für die Portspiegelung auf den Eingang in die Weiterleitungstabelle oder eine Flood-Tabelle an. Jedes Paket, das für die Weiterleitungs- oder Flood-Tabelle der VPLS-Routinginstanz empfangen wird und mit der Filterbedingung übereinstimmt, wird gespiegelt.
Weitere Informationen zu VPLS-Routinginstanzen finden Sie unter Konfigurieren einer VPLS-Routinginstanz und Konfigurieren von VLAN-Identifikatoren für Bridge-Domänen und VPLS-Routinginstanzen. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices.
Definieren eines Layer-2-Firewall-Filters zur Portspiegelung
Für VPLS-Datenverkehrfamily ethernet-switchingfamily vpls(virtual private LAN Service) und für Layer-2-VPNs mit Produktfamilie cccnur auf Routern der MX-Serie und nur auf Switches der EX-Serie können Sie einen Firewall-Filter definieren, der die Layer-2-Portspiegelung als die auszuführende Aktion angibt, wenn ein Paket den im Firewall-Filterbegriff konfigurierten Bedingungen entspricht.
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf folgende Weise verwenden:
Spiegelung von empfangenen oder gesendeten Paketen an einer logischen Schnittstelle.
Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet wurden.
Spiegelung von Paketen, die an eine VPLS-Routinginstanz weitergeleitet oder an diese geflutet wurden.
Spiegelung von Eingangspaketen der Tunnelschnittstelle nur zu mehreren Zielen.
Eine Zusammenfassung der drei Arten von Layer 2-Portspiegelung, die Sie auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren können, finden Sie unter Application of Layer 2 Port Mirroring Types.
So definieren Sie einen Firewall-Filter mit einer Layer-2-Portspiegelungsaktion:
Konfigurieren protokollunabhängiger Firewall-Filter für Portspiegelung
Auf Routern der MX-Serie mit MPCs können Sie einen Firewall-Filter konfigurieren, um Layer 2- und Layer 3-Pakete auf globaler Ebene und auf Instanzebene zu spiegeln. Wenn die Portspiegelung am Eingang oder Ausgang konfiguriert wird, wird das Paket kopiert, das eine Schnittstelle betritt oder verlässt, und die Kopien werden zur lokalen Überwachung an die lokale Schnittstelle gesendet.
Ab Junos OS Version 13.3R6 werden nur MPC-Schnittstellen für die Portspiegelung unterstützt family any . DPC-Schnittstellen unterstützen family anykeine .
Normalerweise ist der Firewall-Filter so konfiguriert, dass er Layer-2- oder Layer-3-Pakete basierend auf der an der Schnittstelle konfigurierten Produktfamilie spiegelt. Bei einer integrierten Routing- und Bridging-Schnittstelle (IRB) werden Layer-2-Pakete jedoch nicht vollständig gespiegelt, da IRB-Schnittstellen so konfiguriert sind, dass nur Layer-3-Pakete gespiegelt werden. Auf einer solchen Schnittstelle können Sie einen Firewall-Filter und Portspiegelungsparameter in der Familie any konfigurieren, um sicherzustellen, dass ein Paket vollständig gespiegelt wird, unabhängig davon, ob es sich um ein Layer-2- oder ein Layer-3-Paket handelt.
Für die Port-Spiegelung an einer Instanz können Sie eine oder mehrere Familien wie inet, inet6cccund vpls gleichzeitig für dieselbe Instanz konfigurieren.
Im Falle der Layer-2-Portspiegelung werden VLAN-Tags, MPLS-Header beibehalten und können in der gespiegelten Kopie am Ausgang angezeigt werden.
Bei der VLAN-Normalisierung werden die Informationen vor der Normalisierung für ein gespiegeltes Paket am Eingang angezeigt. Ebenso werden am Ausgang die Informationen nach der Normalisierung für das gespiegelte Paket angezeigt.
Bevor Sie mit der Konfiguration der Portspiegelung beginnen, müssen Sie gültige physische Schnittstellen konfigurieren.
So konfigurieren Sie einen protokollunabhängigen Firewall-Filter für die Portspiegelung:
Beispiel: Spiegelung des Mitarbeiter-Webdatenverkehrs mit einem Firewall-Filter
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch
Junos 14.1X53-D20
Überblick
In diesem Beispiel xe-0/0/0 dienen sie xe-0/0/6 als Verbindungen für Mitarbeitercomputer. Die Schnittstelle xe-0/0/47 ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.
Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen dieser Ressourcen erforderlich sein. In diesem Beispiel wird nur der Datenverkehr dargestellt, der von den Computern der Mitarbeiter an das Internet gesendet wurde.
Topologie
Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.
Konfiguration
Um festzulegen, dass der einzige Datenverkehr, der gespiegelt wird, der Datenverkehr ist, der von Mitarbeitern an das Web gesendet wird, führen Sie die in diesem Abschnitt erläuterten Aufgaben aus. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewall-Filter, um diesen Datenverkehr anzugeben und ihn zu einer Portspiegelinstanz zu leiten.
Verfahren
CLI-Schnellkonfiguration
Um die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern, der für das Web bestimmt ist, schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in ein Switch-Terminalfenster ein:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Schritt-für-Schritt-Verfahren
Konfigurieren der lokalen Portspiegelung von Mitarbeitern zum Webdatenverkehr von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:
Konfigurieren Sie eine Portspiegelungsinstanz, einschließlich der Ausgangsschnittstelle und der IP-Adresse des Geräts, auf dem die Analyseanwendung als nächsten Hop ausgeführt wird. (Konfigurieren Sie nur den Ausgang – der Eingang stammt vom Filter.) Sie müssen auch angeben, dass der Spiegel für IPv4-Datenverkehr ist (
family inet).[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Konfigurieren Sie einen IPv4-Firewall-Filter
family inetnamenswatch-employee"The Term to match traffic sent to the Web and send it to the port-mirroring instance". Datenverkehr, der an das Unternehmens-Subnetz (Ziel oder Quelladresse von192.0.nn.nn/24) gesendet wird, muss nicht kopiert werden. Erstellen Sie also zuerst einen anderen Begriff, um den Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Konfigurieren Sie Adressen für die mit den Mitarbeiterncomputern und dem Analysegerät verbundenen IPv4-Schnittstellen:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Wenden Sie den Firewall-Filter als Eingangsfilter auf die entsprechenden Schnittstellen an:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
Überprüfung
Überprüfen der korrekten Erstellung des Analyzers
Zweck
Vergewissern Sie sich, dass der Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgangsschnittstelle erstellt wurde.
Aktion
Sie können überprüfen, ob der Port-Spiegelanalyse-Analyzer mithilfe des show forwarding-options port-mirroring Befehls wie erwartet konfiguriert wurde.
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 Bedeutung
Diese Ausgabe zeigt, dass die Portspiegelungsinstanz ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung) und die maximale Größe des gespiegelten Originalpakets aufweist (0 gibt das gesamte Paket an). Wenn der Status der Ausgabeschnittstelle ausfällt oder die Ausgabeschnittstelle nicht konfiguriert ist, wird down der Statuswert angegeben und die Instanz wird nicht für die Spiegelung programmiert.
Layer-2-Portspiegelung der logischen PE-Router- oder PE-Switch-Schnittstellen
Für einen Router oder Switch, der als Provider Edge (PE)-Gerät am Kunden-Edge eines Service Provider-Netzwerks konfiguriert ist, können Sie einen Layer-2-Firewall-Filter für die Portspiegelung an den folgenden Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen Router- oder Switch- und Kunden-Edge-Geräten (CE) zu spiegeln, die in der Regel auch Router und Ethernet-Switches sind.
Tabelle 1 beschreibt die Möglichkeiten, wie Sie Layer-2-Firewall-Filter für die Portspiegelung auf einen Router oder Switch anwenden können, der als PE-Gerät konfiguriert ist.
Anwendungsort |
Umfang der Spiegelung |
Hinweise |
Konfigurationsdaten |
|---|---|---|---|
Ingress Customer-Facing Logical Interface |
Pakete, die im Netzwerk eines Service Providers stammen, werden zuerst an ein CE-Gerät gesendet und neben dem PE-Gerät gesendet. |
Sie können auch aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routinginstanzen konfigurieren. Der Datenverkehr wird über alle Verbindungen in der aggregierten Schnittstelle lastausgleichend. Datenverkehr, der auf einer aggregierten Ethernet-Schnittstelle empfangen wird, wird über eine andere Schnittstelle weitergeleitet, basierend auf einer Suche nach der Ziel-MAC-Adresse (DMAC):
|
Siehe Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle. Weitere Informationen zu VPLS-Routinginstanzen finden Sie unter Konfigurieren einer VPLS-Routinginstanz und Konfigurieren von VLAN-Identifikatoren für Bridge-Domänen und VPLS-Routinginstanzen. |
Ausgehende, vom Kunden ausgerichtete logische Schnittstelle |
Unicast-Pakete, die vom PE-Gerät an ein anderes PE-Gerät weitergeleitet werden. NOTE:Wenn Sie einen Portspiegelungsfilter auf die Ausgabe für eine logische Schnittstelle anwenden, werden nur Unicastpakete gespiegelt. Wenden Sie für die Spiegelung von Multicast-, unbekannten Unicast- und Broadcast-Paketen einen Filter auf die Eingabe in die Flood-Tabelle einer VLAN- oder VPLS-Routinginstanz an. |
Siehe Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle. |
|
Eingabe in eine VLAN-Weiterleitungstabelle oder Flood-Tabelle |
Weiterleitung des Datenverkehrs oder Überflutung des Datenverkehrs, der von einem CE-Gerät an das VLAN gesendet wird. |
Weiterleitung und Überflutung des Datenverkehrs bestehen in der Regel aus Broadcast-Paketen, Multicastpaketen, Unicastpaketen mit einer unbekannten Ziel-MAC-Adresse oder Paketen mit einem MAC-Eintrag in der DMAC-Routingtabelle. |
Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices. |
Eingabe in eine VPLS Routing-Instanzweiterleitungstabelle oder Flood-Tabelle |
Weiterleitung von Datenverkehr oder Überflutung des Datenverkehrs, der von einem CE-Gerät an die VPLS-Routinginstanz gesendet wird. |
Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine VPLS-Routinginstanz weitergeleitet oder überflutet wurde. Informationen zu Überflutungsverhalten in VPLS finden Sie in der Junos OS VPNs Library for Routing Devices. |
Layer-2-Portspiegelung von aggregierten PE-Router- oder PE-Switch-Ethernet-Schnittstellen
Eine aggregierte Ethernet-Schnittstelle ist eine virtuelle aggregierte Verbindung, die aus einer Reihe physischer Schnittstellen mit der gleichen Geschwindigkeit und demselben Betrieb im Vollduplex-Verbindungsmodus besteht. Sie können aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routinginstanzen konfigurieren. Der Datenverkehr wird über alle Verbindungen in der aggregierten Schnittstelle lastausgleichend. Wenn eine oder mehrere Verbindungen in der aggregierten Schnittstelle ausfällt, wird der Datenverkehr auf die verbleibenden Verbindungen geschaltet.
Sie können einen Layer-2-Firewall-Filter zur Portspiegelung auf eine aggregierte Ethernet-Schnittstelle anwenden, um die Portspiegelung an der übergeordneten Schnittstelle zu konfigurieren. Wenn untergeordnete Schnittstellen jedoch an verschiedene Layer-2-Portspiegelungsinstanzen gebunden sind, werden an den untergeordneten Schnittstellen empfangene Pakete an die von ihren jeweiligen Portspiegelungsinstanzen angegebenen Ziele gespiegelt. Somit können mehrere untergeordnete Schnittstellen Pakete zu mehreren Zielen spiegeln.
Angenommen, die übergeordnete aggregierte Ethernet-Schnittstelleninstanz ae0 hat zwei untergeordnete Schnittstellen:
xe-2/0/0xe-3/1/2
Nehmen wir an, dass diese untergeordneten Schnittstellen an ae0 zwei verschiedene Layer-2-Port-Spiegelungsinstanzen gebunden sind:
pm_instance_A– Eine benannte Instanz der Layer 2-Portspiegelung, die an die untergeordnete Schnittstellexe-2/0/0gebunden ist.pm_instance_B– Eine benannte Instanz der Layer 2-Portspiegelung, die an die untergeordnete Schnittstellexe-3/1/2gebunden ist.
Nehmen wir an, Sie wenden einen Layer-2-Firewall-Filter für die Portspiegelung auf den gesendeten ae0.0 Layer-2-Datenverkehr an (logische Einheit 0 auf der aggregierten Ethernet-Schnittstelleninstanz 0). Dies ermöglicht die Portspiegelung auf ae0.0, was sich auf die Verarbeitung des Datenverkehrs auswirkt, der an den untergeordneten Schnittstellen empfangen wird, für die Layer-2-Portspiegelungseigenschaften angegeben sind:
Die empfangenen
xe-2/0/0Pakete werden an die in der Portspiegelungsinstanzpm_instance_Akonfigurierten Ausgabeschnittstellen gespiegelt.Die empfangenen
xe-3/1/2.0Pakete werden an die in der Portspiegelungsinstanzpm_instance_Bkonfigurierten Ausgabeschnittstellen gespiegelt.
Da pm_instance_A und pm_instance_B sie unterschiedliche Paketauswahleigenschaften oder Spiegelungseigenschaften des Ziels angeben können, können die empfangenen xe-2/0/0xe-3/1/2.0 Pakete verschiedene Pakete zu verschiedenen Zielen spiegeln.
Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Eingang oder die Ausgabe einer logischen Schnittstelle anwenden, einschließlich einer aggregierten logischen Ethernet-Schnittstelle. Es werden nur Pakete der Adresstypfamilie gespiegelt, die von der Filteraktion angegeben wurden.
Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:
Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Eingang in eine logische Schnittstelle oder die Ausgabe an eine logische Schnittstelle angewendet werden soll. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.
Anmerkung:Diese Konfigurationsaufgabe zeigt zwei Layer-2-Port-Spiegelungs-Firewall-Filter: ein Filter, der auf den eingehenden Datenverkehr der logischen Schnittstelle und ein Filter auf den ausgehenden Datenverkehr der logischen Schnittstelle angewendet wird.
So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf eine logische Ein- oder Ausgabeschnittstelle an:
Anwenden der Layer-2-Portspiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an eine Bridge-Domäne überflutet wird. Es werden nur Pakete des angegebenen Familientyps gespiegelt, die an diese Bridge-Domäne weitergeleitet oder überflutet werden.
Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:
Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an eine Bridge-Domäne weitergeleitet oder an eine Bridge-Domäne überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.
Anmerkung:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: Ein Filter wurde auf den eingehenden Datenverkehr der Bridge-Domänenweiterleitungstabelle angewendet, und ein Filter wurde auf den eingehenden Datenverkehr der Bridge-Domänen-Flood-Tabelle angewendet.
So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle einer Bridge-Domäne an:
Anwenden von Layer 2-Portspiegelung auf Datenverkehr, der an eine VPLS-Routinginstanz weitergeleitet oder überflutet wird
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an eine VPLS-Routinginstanz überflutet wird. Es werden nur Pakete des angegebenen Familientyps gespiegelt und an diese VPLS-Routinginstanz weitergeleitet oder überflutet.
Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:
Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an eine VPLS-Routinginstanz weitergeleitet oder an ein VLAN überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.
Anmerkung:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routinginstanz angewendet wird, und ein Filter auf den Flood-Tabellen-Ingress-Datenverkehr der VPLS-Routinginstanz.
So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle einer VPLS-Routinginstanz an:
Anwenden der Layer-2-Portspiegelung auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird
Sie können einen Layer-2-Firewall-Filter für die Portspiegelung auf den Datenverkehr anwenden, der weitergeleitet oder an ein VLAN übertragen wird. Nur Pakete des angegebenen Familientyps, die an dieses VLAN weitergeleitet oder überflutet werden, werden gespiegelt.
Führen Sie die folgende Aufgabe aus, bevor Sie beginnen:
Definieren Sie einen Layer-2-Firewall-Filter für die Portspiegelung, der auf den Datenverkehr angewendet wird, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Firewall-Filters für die Portspiegelung.
Anmerkung:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Firewall-Filter zur Portspiegelung: ein Filter, der auf den eingehenden Datenverkehr der VLAN-Weiterleitungstabelle angewendet wird, und ein Filter auf den Ingress-Datenverkehr der VLAN-Flood-Tabelle.
So wenden Sie einen Layer-2-Firewall-Filter für die Portspiegelung auf die Weiterleitungstabelle oder Flood-Tabelle eines VLAN an:
Beispiel: Layer 2-Portspiegelung an einer logischen Schnittstelle
Die folgenden Schritte beschreiben ein Beispiel, in dem die globale Portspiegelungsinstanz und ein Firewall-Filter zur Portspiegelung verwendet werden, um die Layer 2-Portspiegelung für den Eingang an eine logische Schnittstelle zu konfigurieren.
Konfigurieren Sie das VLAN example-bd-with-analyzer, das den externen Paketanalyseer und das VLAN example-bd-with-trafficenthält, das die Quelle und das Ziel des Spiegelungs-Layer-2-Datenverkehrs enthält:
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }Gehen Sie davon aus, dass die logische Schnittstelle ge-2/0/0.0 mit einem externen Datenverkehrsanalysegerät verknüpft ist, das Port-gespiegelte Pakete empfangen soll. Gehen Sie davon aus, dass es sich bei logischen Schnittstellen ge-2/0/6.0ge-3/0/1.2 um Ein- bzw. Ausgangsports des Datenverkehrs bzw.
Konfigurieren Sie die Layer 2-Portspiegelung für die globale Instanz, wobei das Ziel für die Portspiegelung die dem externen Analyzer zugeordnete VLAN-Schnittstelle (logische Schnittstelle ge-2/0/0.0 auf VLAN example-bd-with-analyzer) ist. Aktivieren Sie die Option, mit der Filter auf dieses Ziel mit Portspiegelung angewendet werden können:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }Die
inputAnweisung auf Hierarchieebene[edit forwarding-options port-mirroring]gibt an, dass das Sampling jedes zehnte Paket beginnt und dass jedes der ersten fünf ausgewählten Pakete gespiegelt werden soll.Die
outputAnweisung auf Hierarchieebene[edit forwarding-options port-mirroring family ethernet-switching]gibt die Ausgabespiegelschnittstelle für Layer-2-Pakete in einer Bridging-Umgebung an:Die logische Schnittstelle ge-2/0/0.0, die dem externen Paketanalysegerät zugeordnet ist, wird als Ziel für die Portspiegelung konfiguriert.
Die optionale
no-filter-checkAnweisung ermöglicht die Konfiguration von Filtern auf dieser Zielschnittstelle.
Konfigurieren Sie den Layer-2-Firewall-Filter example-bridge-pm-filterfür die Portspiegelung:
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }Wenn dieser Firewall-Filter auf den Eingang oder die Ausgabe einer logischen Schnittstelle für Datenverkehr in einer Bridging-Umgebung angewendet wird, wird die Layer 2-Portspiegelung gemäß den Paket-Sampling-Eigenschaften der Eingangsdaten und den Spiegelungszieleigenschaften durchgeführt, die für die globale Layer-2-Portspiegelungsinstanz konfiguriert sind. Da dieser Firewall-Filter mit der einzelnen Standardfilteraktion acceptkonfiguriert ist, stimmen alle von den input Eigenschaften (rate = 10 und run-length = 5) ausgewählten Pakete mit diesem Filter überein.
Konfigurieren Sie die logischen Schnittstellen:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }Pakete, die an der logischen Schnittstelle ge-2/0/6.0 im VLAN example-bd-with-traffic empfangen werden, werden vom Firewall-Filter example-bridge-pm-filterfür die Portspiegelung ausgewertet. Der Firewall-Filter wirkt auf den Eingangsdatenverkehr gemäß den im Firewall-Filter selbst konfigurierten Filteraktionen sowie den Eingangspaket-Sampling-Eigenschaften und den in der globalen Portspiegelungsinstanz konfigurierten Spiegelungseigenschaften des Ziels:
Alle empfangenen ge-2/0/6.0 Pakete werden an der logischen Schnittstelle ge-3/0/1.2an ihr (vorausgesetztes) normales Ziel weitergeleitet.
Für alle zehn Eingabepakete werden Kopien der ersten fünf Pakete in dieser Auswahl an den externen Analyzer an der logischen Schnittstelle ge-0/0/0.0 im anderen VLAN weitergeleitet, example-bd-with-analyzer.
Wenn Sie den Firewall-Filter example-bridge-pm-filter für die Portspiegelung so konfigurieren, dass die discard Aktion statt der accept Aktion ausgeführt wird, werden alle Originalpakete verworfen, während Kopien der pakete, die mit den globalen Portspiegelungseigenschaften input ausgewählt wurden, an den externen Analyzer gesendet werden.
Beispiel: Layer 2-Portspiegelung für ein Layer-2-VPN
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die für die Konfiguration der Portspiegelung auf einem L2VPN mit family cccerforderlich sind.
Konfigurieren Sie das VLAN port-mirror-bd, das den externen Paketanalyser enthält:
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }Konfigurieren Sie das Layer 2 VPN CCC zur Verbindung von logischer Schnittstelle ge-2/0/1.0 und logischer Schnittstelle ge-2/0/1.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }Konfigurieren Sie die Layer 2-Portspiegelung für die globale Instanz, wobei das Ziel für die Portspiegelung die dem externen Analyzer zugeordnete VLAN-Schnittstelle ist (logische Schnittstelle ge-2/2/9.0 auf VLAN example-bd-with-analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }Definieren Sie den Layer-2-Firewall-Filter pm_filter_ccc für die Portspiegelung für family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }Wenden Sie die Portspiegelinstanz auf das Gehäuse an:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }Konfigurieren Sie die Schnittstelle ge-2/2/9 für die VLANs und konfigurieren Sie die Schnittstelle ge-2/0/1 für die Portspiegelung mit dem pm_filter_ccc Firewall-Filter:
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Beispiel: Layer 2-Portspiegelung für ein Layer-2-VPN mit LAG-Verbindungen
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die zur Konfiguration der Portspiegelung auf einem L2VPN mit family ccc und aggregierten Ethernet-Verbindungen erforderlich sind.
Konfigurieren Sie das VLAN port_mirror_bd, das den externen Paketanalyser enthält:
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }Konfiguration des Layer 2 VPN CCC zur Verbindung von Schnittstelle ae0.0 und Schnittstelle ae0.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }Konfigurieren Sie die Layer 2-Portspiegelung für die globale Instanz, wobei das Ziel für die Portspiegelung die dem externen Analyzer zugeordnete VLAN-Schnittstelle ist (logische Schnittstelle ge-2/2/9.0 auf VLAN example_bd_with_analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }Konfigurieren Sie den Firewall-Filter pm_ccc für family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }Wenden Sie die aggregierten Ethernet-Schnittstellen und die Portspiegelinstanz auf das Gehäuse an:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }Konfigurieren Sie Schnittstellen ae0 und ge-2/0/2 (für aggregiertes Ethernet) und ge-2/2/8 (für die Portspiegelung) mit dem pm_ccc Filter:
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
family any .