Auf dieser Seite
Konfigurieren des protokollunabhängigen Firewall-Filters für die Portspiegelung
Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter
Layer-2-Port-Spiegelung der logischen Schnittstellen von PE-Routern oder PE-Switches
Layer-2-Port-Spiegelung von PE-Routern oder PE-Switch-aggregierten Ethernet-Schnittstellen
Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle
Beispiel: Layer-2-Port-Spiegelung an einer logischen Schnittstelle
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN mit LAG-Links
Konfigurieren der Portspiegelung auf logischen Schnittstellen
Layer-2-Port-Spiegelung Firewall-Filter
In diesem Thema werden die folgenden Informationen beschrieben:
- Übersicht über Layer-2-Port-Spiegelung Firewall-Filter
- Spiegelung von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden
- Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet werden
- Spiegelung von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder geflutet werden
Übersicht über Layer-2-Port-Spiegelung Firewall-Filter
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie einen Firewall-Filterbegriff konfigurieren, um anzugeben, dass die Layer-2-Port-Spiegelung auf alle Pakete an der Schnittstelle angewendet werden soll, auf die der Firewall-Filter angewendet wird.
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die logischen Eingangs- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird, oder auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird, anwenden.
Router und Switches der MX-Serie unterstützen Layer-2-Port-Spiegelung von VPLS- (oder ) Datenverkehr und Layer-2-VPN-Datenverkehr in einer Layer-2-Umgebungfamily ethernet-switchingfamily vplsfamily ccc
Innerhalb eines Firewallfilters können Sie die Layer-2-Portspiegelungseigenschaften unter der Anweisung auf eine der folgenden Arten angeben:termthen
Verweisen Sie implizit auf die Layer-2-Port-Spiegelungseigenschaften, die für den Port wirksam sind.
Verweisen Sie explizit auf eine bestimmte benannte Instanz der Layer-2-Port-Spiegelung.
Wenn Sie einen Layer-2-Port-Mirroring-Firewall-Filter konfigurieren, schließen Sie nicht die optionale Anweisung ein, die Übereinstimmungsbedingungen basierend auf der Routing-Quelladresse angibt.from Lassen Sie diese Anweisung weg, damit alle Pakete als übereinstimmend betrachtet werden und alle und in der Anweisung angegeben genommen werden.actionsaction-modifiersthen
Wenn Sie alle eingehenden Pakete spiegeln möchten, dürfen Sie die from-Anweisung nicht verwenden. /*Kommentar: Man konfiguriert Filterbegriffe mit from, wenn man nur eine Teilmenge von Paketen spiegeln möchte.
Wenn Sie integriertes Routing und Bridging (IRB) mit dem VLAN (oder VPLS-Routing-Instanz) verknüpfen und innerhalb des VLAN (oder VPLS-Routing-Instanz) auch einen Weiterleitungstabellenfilter mit der Aktion "oder" konfigurieren, wird das IRB-Paket als Layer-2-Paket gespiegelt.port-mirrorport-mirror-instance Sie können dieses Verhalten deaktivieren, indem Sie die Anweisung no-irb-layer-2-copy im VLAN (oder der VPLS-Routing-Instanz) konfigurieren.https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html
Eine ausführliche Beschreibung der Konfiguration eines Layer-2-Port-Mirroring-Firewall-Filters finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewall-Filters.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
Ausführliche Informationen zur Verwendung von Layer-2-Port-Mirroring-Firewall-Filtern mit MX-Routern und Switches der EX-Serie, die als Provider-Edge-Router (PE)-Router oder PE-Switches konfiguriert sind, finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von logischen PE-Router-Schnittstellen.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html Ausführliche Informationen zum Konfigurieren von Firewall-Filtern im Allgemeinen (auch in einer Layer-3-Umgebung) finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Spiegelung von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden
Um den über eine logische Schnittstelle empfangenen oder gesendeten Layer-2-Datenverkehr zu spiegeln, wenden Sie einen Firewall-Filter zur Portspiegelung auf die Ein- oder Ausgabe der Schnittstelle an.
Ein Port-Mirroring-Firewall-Filter kann auch auf eine aggregierte logische Ethernet-Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Grundlegendes zur Layer-2-Port-Spiegelung von aggregierten Ethernet-Schnittstellen des PE-Routers.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html
Wenn Firewall-Filter zur Portspiegelung sowohl am Eingang als auch am Ausgang einer logischen Schnittstelle angewendet werden, werden zwei Kopien jedes Pakets gespiegelt. Um zu verhindern, dass der Router oder Switch doppelte Pakete an dasselbe Ziel weiterleitet, können Sie die Option "Einmal spiegeln" für die Layer-2-Port-Spiegelung in der globalen Instanz für die Layer-2-Paketadressfamilie aktivieren.
Spiegelung von Paketen, die an ein VLAN weitergeleitet oder überflutet werden
Um Layer-2-Datenverkehr zu spiegeln, der an ein VLAN weitergeleitet oder an ein VLAN überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VLAN-Weiterleitungs- oder Flood-Tabelle empfangen wird und den Filterbedingungen entspricht, wird gespiegelt.
Weitere Informationen zu VLANs finden Sie unter Grundlegendes zu Layer-2-Bridge-Domänen .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html Weitere Informationen zum Flooding-Verhalten in einem VLAN finden Sie unter Grundlegendes zu Layer-2-Lernen und Weiterleitung für Bridge-Domänen .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html
Wenn Sie die Port-Spiegelung auf einer beliebigen Schnittstelle unter einem VLAN konfigurieren, kann das gespiegelte Paket zu einem externen Analyzer verschoben werden, der sich in verschiedenen VLANs befindet.
Spiegelung von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder geflutet werden
Um Layer-2-Datenverkehr zu spiegeln, der an eine VPLS-Routing-Instanz weitergeleitet oder an diese überflutet wird, wenden Sie einen Port-Mirroring-Firewall-Filter auf die Eingabe in die Weiterleitungs- oder Flood-Tabelle an. Jedes Paket, das für die VPLS-Routing-Instanzweiterleitungs- oder Flood-Tabelle empfangen wird und die Filterbedingung erfüllt, wird gespiegelt.
Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
Definieren eines Layer-2-Port-Mirroring-Firewall-Filters
Für VPLS-Datenverkehr ( oder ) und für Layer-2-VPNs mit Familie auf Routern der MX-Serie und nur auf Switches der EX-Serie können Sie einen Firewall-Filter definieren, der die Layer-2-Port-Spiegelung als Aktion angibt, die ausgeführt werden soll, wenn ein Paket den im Firewall-Filterbegriff konfigurierten Bedingungen entspricht.family ethernet-switchingfamily vplsccc
Sie können einen Layer-2-Portspiegelungs-Firewallfilter auf folgende Weise verwenden:
Zum Spiegeln von Paketen, die auf einer logischen Schnittstelle empfangen oder gesendet werden.
Zum Spiegeln von Paketen, die an ein VLAN weitergeleitet oder überflutet werden.
Zum Spiegeln von Paketen, die an eine VPLS-Routing-Instanz weitergeleitet oder überflutet werden.
Zum Spiegeln von Tunnelschnittstellen-Eingabepaketen nur an mehrere Ziele.
Eine Zusammenfassung der drei Arten der Layer-2-Port-Spiegelung, die Sie auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren können, finden Sie unter Anwendung der Layer-2-Port-Spiegelungstypen.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html
So definieren Sie einen Firewall-Filter mit einer Layer-2-Port-Spiegelungsaktion:
Konfigurieren des protokollunabhängigen Firewall-Filters für die Portspiegelung
Auf Routern der MX-Serie mit MPCs können Sie einen Firewall-Filter so konfigurieren, dass Layer-2- und Layer-3-Pakete auf globaler Ebene und auf Instance-Ebene gespiegelt werden. Wenn die Port-Spiegelung am Eingang oder Ausgang konfiguriert ist, wird das Paket, das in eine Schnittstelle ein- oder ausgeht, kopiert und die Kopien werden zur lokalen Überwachung an die lokale Schnittstelle gesendet.
Ab Junos OS Version 13.3R6 unterstützen nur MPC-Schnittstellen die Portspiegelung.family any DPC-Schnittstellen unterstützen keine .family any
In der Regel ist der Firewallfilter so konfiguriert, dass er entweder Layer-2- oder Layer-3-Pakete basierend auf der an der Schnittstelle konfigurierten Familie widerspiegelt. Bei einer integrierten Routing- und Bridging-Schnittstelle (IRB) werden Layer-2-Pakete jedoch nicht vollständig gespiegelt, da IRB-Schnittstellen so konfiguriert sind, dass sie nur Layer-3-Pakete spiegeln. Auf einer solchen Schnittstelle können Sie einen Firewall-Filter und Port-Spiegelungsparameter in der Familie konfigurieren, um sicherzustellen, dass ein Paket vollständig gespiegelt wird, unabhängig davon, ob es sich um ein Layer-2- oder ein Layer-3-Paket handelt.any
Für die Portspiegelung auf einer Instance können Sie eine oder mehrere Familien konfigurieren, z. B. , , und gleichzeitig für dieselbe Instance.inetinet6cccvpls
Bei der Layer-2-Port-Spiegelung bleiben VLAN-Tags und MPLS-Header erhalten und sind in der gespiegelten Kopie am Ausgang sichtbar.
Bei der VLAN-Normalisierung werden die Informationen vor der Normalisierung für ein gespiegeltes Paket beim Eingang angezeigt. In ähnlicher Weise werden beim Ausgang die Informationen nach der Normalisierung für das gespiegelte Paket angezeigt.
Bevor Sie mit der Konfiguration der Portspiegelung beginnen, müssen Sie gültige physische Schnittstellen konfigurieren.
So konfigurieren Sie einen protokollunabhängigen Firewall-Filter für die Portspiegelung:
Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Schalter
Junos 14.1X53-D20
Überblick
In diesem Beispiel dienen und als Verbindungen für Mitarbeitercomputer.xe-0/0/0xe-0/0/6 Die Schnittstelle ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.xe-0/0/47
Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung Ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen für diese Ressourcen erforderlich sein. In diesem Beispiel wird nur der Datenverkehr widergespiegelt, der von den Computern der Mitarbeiter an das Web gesendet wird.
Topologie
Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.
Konfiguration
Führen Sie die in diesem Abschnitt erläuterten Aufgaben aus, um anzugeben, dass nur Datenverkehr gespiegelt wird, der von Mitarbeitern an das Web gesendet wird. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewallfilter, um diesen Datenverkehr anzugeben und an eine Portspiegelungsinstanz zu leiten.
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern zu konfigurieren, der für das Web bestimmt ist, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die lokale Portspiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:
Konfigurieren Sie eine Portspiegelungsinstanz, einschließlich der Ausgabeschnittstelle und der IP-Adresse des Geräts, auf dem die Analyseanwendung ausgeführt wird, als nächsten Hop. (Konfigurieren Sie nur die Ausgabe – die Eingabe kommt vom Filter.) Sie müssen auch angeben, dass der Spiegel für IPv4-Datenverkehr () vorgesehen ist.
family inet[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Konfigurieren Sie einen IPv4-Firewallfilter (), der einen Begriff enthält, um den an das Web gesendeten Datenverkehr abzugleichen und an die Portspiegelungsinstanz zu senden.
family inetwatch-employeeDatenverkehr, der an das Unternehmenssubnetz gesendet wird und von diesem eintrifft (Ziel- oder Quelladresse von ), muss nicht kopiert werden. Erstellen Sie also zuerst einen anderen Begriff, um diesen Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:192.0.nn.nn/24[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Konfigurieren Sie die Adressen für die IPv4-Schnittstellen, die mit den Mitarbeitercomputern und dem Analysegerät verbunden sind:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Wenden Sie den Firewallfilter als Eingangsfilter auf die entsprechenden Schnittstellen an:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
Überprüfung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.
Was
Mit dem Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert wurde.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 Bedeutung
Diese Ausgabe zeigt, dass die Port-Mirroring-Instanz ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung) und die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde ( gibt das gesamte Paket an) hat.0 Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist der Wert von state, und die Instanz wird nicht für die Spiegelung programmiert.down
Layer-2-Port-Spiegelung der logischen Schnittstellen von PE-Routern oder PE-Switches
Für einen Router oder Switch, der als Provider-Edge-Gerät (PE)-Gerät am kundenseitigen Edge eines Service-Provider-Netzwerks konfiguriert ist, können Sie einen Layer-2-Port-Mirroring-Firewall-Filter an den folgenden Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen dem Router oder Switch und Kunden-Edge-Geräten (CE) widerzuspiegeln, bei denen es sich in der Regel auch um Router und Ethernet-Switches handelt.
Tabelle 1 beschreibt, wie Sie Layer-2-Port-Mirroring-Firewall-Filter auf einen Router oder Switch anwenden können, der bzw. der als PE-Gerät konfiguriert ist.
Anwendungspunkt |
Umfang der Spiegelung |
Hinweise |
Konfigurationsdaten |
|---|---|---|---|
Kundenorientierte Eingangsschnittstelle |
Pakete, die aus dem Netzwerk eines Service Provider-Kunden stammen und zuerst an ein CE-Gerät und dann neben dem PE-Gerät gesendet werden. |
Sie können auch aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt. Der auf einer aggregierten Ethernet-Schnittstelle empfangene Datenverkehr wird basierend auf einer Suche nach der Ziel-MAC-Adresse (DMAC) über eine andere Schnittstelle weitergeleitet:
|
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html Weitere Informationen zu VPLS-Routing-Instanzen finden Sie unter Konfigurieren einer VPLS-Routing-Instanz und Konfigurieren von VLAN-IDs für Bridge-Domänen und VPLS-Routing-Instanzen.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html |
Kundenorientierte logische Schnittstelle für ausgehenden Datenverkehr |
Unicast-Pakete, die vom PE-Gerät an ein anderes PE-Gerät weitergeleitet werden. Wenn Sie einen Portspiegelungsfilter auf die Ausgabe für eine logische Schnittstelle anwenden, werden nur Unicastpakete gespiegelt.NOTE: Um Multicast-, unbekannte Unicast- und Broadcast-Pakete zu spiegeln, wenden Sie einen Filter auf die Eingabe in der Flood-Tabelle einer VLAN- oder VPLS-Routing-Instanz an. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html |
|
Eingabe in eine VLAN-Weiterleitungstabelle oder Flood-Tabelle |
Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an das VLAN gesendet wird. |
Weiterleitungs- und Flood-Datenverkehr besteht in der Regel aus Broadcast-Paketen, Multicast-Paketen, Unicast-Paketen mit einer unbekannten MAC-Zieladresse oder Paketen mit einem MAC-Eintrag in der DMAC-Routing-Tabelle. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird.Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Eingabe in eine VPLS-Routing-Instanz-Weiterleitungstabelle oder Flood-Tabelle |
Weiterleiten von Datenverkehr oder Flood-Datenverkehr, der von einem CE-Gerät an die VPLS-Routing-Instanz gesendet wird. |
Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-vpls-routing-instance.html Weitere Informationen zum Flooding-Verhalten in VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Layer-2-Port-Spiegelung von PE-Routern oder PE-Switch-aggregierten Ethernet-Schnittstellen
Eine aggregierte Ethernet-Schnittstelle ist eine virtuelle aggregierte Verbindung, die aus einer Reihe physischer Schnittstellen mit gleicher Geschwindigkeit besteht und im Vollduplex-Verbindungsmodus arbeitet. Sie können aggregierte Ethernet-Schnittstellen zwischen CE-Geräten und PE-Geräten für VPLS-Routing-Instanzen konfigurieren. Der Datenverkehr wird über alle Links in der aggregierten Schnittstelle verteilt. Wenn eine oder mehrere Verbindungen in der aggregierten Schnittstelle ausfallen, wird der Datenverkehr auf die verbleibenden Verbindungen umgeschaltet.
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf eine aggregierte Ethernet-Schnittstelle anwenden, um die Port-Spiegelung auf der übergeordneten Schnittstelle zu konfigurieren. Wenn jedoch untergeordnete Schnittstellen an verschiedene Layer-2-Portspiegelungsinstanzen gebunden sind, werden Pakete, die an den untergeordneten Schnittstellen empfangen werden, an die Ziele gespiegelt, die von den jeweiligen Portspiegelungsinstanzen angegeben werden. So können mehrere untergeordnete Schnittstellen Pakete an mehrere Ziele spiegeln.
Angenommen, die übergeordnete aggregierte Ethernet-Schnittstelleninstanz verfügt über zwei untergeordnete Schnittstellen:ae0
xe-2/0/0xe-3/1/2
Angenommen, diese untergeordneten Schnittstellen sind an zwei verschiedene Layer-2-Port-Mirroring-Instanzen gebunden:ae0
– Eine benannte Instanz der Layer-2-Port-Spiegelung, die an die untergeordnete Schnittstelle gebunden ist.
pm_instance_Axe-2/0/0– Eine benannte Instanz der Layer-2-Port-Spiegelung, die an die untergeordnete Schnittstelle gebunden ist.
pm_instance_Bxe-3/1/2
Angenommen, Sie wenden einen Layer-2-Port-Mirroring-Firewall-Filter auf den gesendeten Layer-2-Datenverkehr an (logische Einheit auf der aggregierten Ethernet-Schnittstelleninstanz ).ae0.000 Dadurch wird die Portspiegelung aktiviert, was sich wie folgt auf die Verarbeitung des Datenverkehrs auswirkt, der auf den untergeordneten Schnittstellen empfangen wird, für die Layer-2-Portspiegelungseigenschaften angegeben sind:ae0.0
Die empfangenen Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanz konfiguriert sind.
xe-2/0/0pm_instance_ADie empfangenen Pakete werden auf die Ausgabeschnittstellen gespiegelt, die in der Port-Mirroring-Instanz konfiguriert sind.
xe-3/1/2.0pm_instance_B
Da und unterschiedliche Paketauswahleigenschaften oder Spiegelzieleigenschaften angeben kann, können die empfangenen Pakete verschiedene Pakete an verschiedene Ziele spiegeln.pm_instance_Apm_instance_Bxe-2/0/0xe-3/1/2.0
Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf die Eingabe oder die Ausgabe einer logischen Schnittstelle anwenden, einschließlich einer aggregierten logischen Ethernet-Schnittstelle. Es werden nur Pakete der Adresstypfamilie gespiegelt, die durch die Filteraktion angegeben wurde.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf die Eingabe in eine logische Schnittstelle oder die Ausgabe in eine logische Schnittstelle angewendet werden soll. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer-2-Port-Mirroring-Firewall-Filter: Ein Filter, der auf den Eingangsdatenverkehr der logischen Schnittstelle angewendet wird, und ein Filter, der auf den Ausgangsdatenverkehr der logischen Schnittstelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf eine logische Eingabe- oder Ausgabeschnittstelle an:
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine Bridge-Domäne weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese Bridge-Domäne weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine Bridge-Domäne weitergeleitet oder an eine Bridge-Domäne überflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: Ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der Bridge-Domain-Flood-Tabelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer Bridge-Domäne an:
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an diese VPLS-Routing-Instanz weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an eine VPLS-Routing-Instanz weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance für die Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VPLS-Routing-Instance Flood Table angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle einer VPLS-Routing-Instanz an:
Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird
Sie können einen Layer-2-Port-Mirroring-Firewall-Filter auf Datenverkehr anwenden, der an ein VLAN weitergeleitet oder überflutet wird. Nur Pakete des angegebenen Familientyps, die an dieses VLAN weitergeleitet oder überflutet werden, werden gespiegelt.
Bevor Sie beginnen, führen Sie die folgende Aufgabe aus:
Definieren Sie einen Layer-2-Port-Mirroring-Firewall-Filter, der auf den Datenverkehr angewendet wird, der an ein VLAN weitergeleitet oder an ein VLAN geflutet wird. Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewallfilters.
HINWEIS:Diese Konfigurationsaufgabe zeigt zwei Layer_2 Portspiegelung von Firewall-Filtern: ein Filter, der auf den eingehenden Datenverkehr der VLAN-Weiterleitungstabelle angewendet wird, und ein Filter, der auf den eingehenden Datenverkehr der VLAN-Flood-Tabelle angewendet wird.
So wenden Sie einen Layer-2-Port-Mirroring-Firewall-Filter auf die Weiterleitungs- oder Flood-Tabelle eines VLANs an:
Beispiel: Layer-2-Port-Spiegelung an einer logischen Schnittstelle
In den folgenden Schritten wird ein Beispiel beschrieben, in dem die globale Portspiegelungsinstanz und ein Firewallfilter für die Portspiegelung verwendet werden, um die Layer-2-Portspiegelung für die Eingabe an eine logische Schnittstelle zu konfigurieren.
Konfigurieren Sie das VLAN, das den externen Paketanalysator enthält, und das VLAN, das die Quelle und das Ziel des zu spiegelnden Layer-2-Datenverkehrs enthält:example-bd-with-analyzerexample-bd-with-traffic
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }Angenommen, die logische Schnittstelle ist einem externen Datenverkehrsanalysator zugeordnet, der Port-gespiegelte Pakete empfangen soll.ge-2/0/0.0 Es wird davon ausgegangen, dass logische Schnittstellen und Datenverkehrs-Ein- bzw. -Ausgabe-Ports sind.ge-2/0/6.0ge-3/0/1.2
Konfigurieren Sie die Layer-2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle im VLAN ).ge-2/0/0.0example-bd-with-analyzer Stellen Sie sicher, dass Sie die Option aktivieren, mit der Filter auf dieses Portspiegelungsziel angewendet werden können:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }Die Anweisung auf der Hierarchieebene gibt an, dass das Sampling jedes zehnte Paket beginnt und dass jedes der ersten fünf ausgewählten Pakete gespiegelt werden soll.
input[edit forwarding-options port-mirroring]Die Anweisung auf Hierarchieebene spezifiziert die Ausgabespiegelschnittstelle für Layer-2-Pakete in einer Bridging-Umgebung:
output[edit forwarding-options port-mirroring family ethernet-switching]Die logische Schnittstelle , die dem externen Paketanalysator zugeordnet ist, ist als Ziel für die Portspiegelung konfiguriert.ge-2/0/0.0
Die optional-Anweisung ermöglicht die Konfiguration von Filtern auf dieser Zielschnittstelle.
no-filter-check
Konfigurieren Sie den Layer-2-Port-Mirroring-Firewall-Filter :example-bridge-pm-filter
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }Wenn dieser Firewall-Filter auf die Ein- oder Ausgabe einer logischen Schnittstelle für Datenverkehr in einer Bridging-Umgebung angewendet wird, wird die Layer-2-Port-Spiegelung gemäß den Eingabe-Paket-Sampling-Eigenschaften und Spiegelzieleigenschaften durchgeführt, die für die globale Layer-2-Port-Spiegelungsinstanz konfiguriert sind. Da dieser Firewallfilter mit der einzelnen Standardfilteraktion konfiguriert ist, entsprechen alle Pakete, die von den Eigenschaften ( = und = ) ausgewählt werden, diesem Filter.acceptinputrate10run-length5
Konfigurieren Sie die logischen Schnittstellen:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }Pakete, die an der logischen Schnittstelle im VLAN empfangen werden, werden vom Port-Mirroring-Firewall-Filter ausgewertet.ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter Der Firewall-Filter reagiert auf den Eingangsdatenverkehr gemäß den im Firewall-Filter selbst konfigurierten Filteraktionen sowie den in der globalen Port-Mirroring-Instanz konfigurierten Eigenschaften für das Input Packet Sampling und den Mirror-Zieleigenschaften:
Alle Pakete, die um empfangen werden, werden an ihr (angenommenes) normales Ziel an der logischen Schnittstelle weitergeleitet.ge-2/0/6.0ge-3/0/1.2
Für jeweils zehn Eingangspakete werden Kopien der ersten fünf Pakete in dieser Auswahl an den externen Analysator an der logischen Schnittstelle im anderen VLAN, weitergeleitet.ge-0/0/0.0example-bd-with-analyzer
Wenn Sie den Firewallfilter für die Portspiegelung so konfigurieren, dass er die Aktion anstelle der Aktion ausführt, werden alle ursprünglichen Pakete verworfen, während Kopien der Pakete, die mit den globalen Eigenschaften der Portspiegelung ausgewählt wurden, an den externen Analyzer gesendet werden.example-bridge-pm-filterdiscardacceptinput
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die erforderlich sind, um die Portspiegelung auf einem L2VPN mit zu konfigurieren.family ccc
Konfigurieren Sie das VLAN , das den externen Paketanalysator enthält:port-mirror-bd
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }Konfigurieren Sie den Layer 2 VPN CCC so, dass die logische Schnittstelle und die logische Schnittstelle verbunden werden:ge-2/0/1.0ge-2/0/1.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }Konfigurieren Sie die Layer-2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle im VLAN ):ge-2/2/9.0example-bd-with-analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }Definieren Sie den Layer-2-Port-Mirroring-Firewall-Filter für :pm_filter_cccfamily ccc
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }Wenden Sie die Port-Mirror-Instanz auf das Chassis an:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }Konfigurieren Sie die Schnittstelle für die VLANs und konfigurieren Sie die Schnittstelle für die Portspiegelung mit dem Firewallfilter:ge-2/2/9ge-2/0/1pm_filter_ccc
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Beispiel: Layer-2-Port-Spiegelung für ein Layer-2-VPN mit LAG-Links
Das folgende Beispiel ist keine vollständige Konfiguration, sondern zeigt alle Schritte, die erforderlich sind, um die Portspiegelung auf einem L2VPN unter Verwendung von aggregierten Ethernet-Verbindungen zu konfigurieren.family ccc
Konfigurieren Sie das VLAN , das den externen Paketanalysator enthält:port_mirror_bd
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }Konfigurieren Sie den Layer 2 VPN CCC so, dass Schnittstelle und Schnittstelle verbunden werden:ae0.0ae0.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }Konfigurieren Sie die Layer-2-Port-Spiegelung für die globale Instanz, wobei das Ziel der Port-Spiegelung die VLAN-Schnittstelle ist, die dem externen Analysator zugeordnet ist (logische Schnittstelle im VLAN ):ge-2/2/9.0example_bd_with_analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }Konfigurieren Sie den Firewall-Filter für :pm_cccfamily ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }Wenden Sie die aggregierten Ethernet-Schnittstellen und die Portspiegelungsinstanz auf das Gehäuse an:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }Konfigurieren Sie Schnittstellen und (für aggregiertes Ethernet) und (für Port-Spiegelung) mit dem Filter:ae0ge-2/0/2ge-2/2/8pm_ccc
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
family any