Auf dieser Seite
Vorrang mehrerer Ebenen der Layer-2-Port-Spiegelung auf einer physischen Schnittstelle
Bindung der Layer-2-Port-Spiegelung an Ports, die auf FPC-Ebene gruppiert sind
Bindung der Layer-2-Port-Spiegelung an Ports, die auf PIC-Ebene gruppiert sind
Beispiele: Layer-2-Port-Spiegelung auf mehreren Ebenen des Gehäuses
Konfigurieren der Layer-2-Port-Spiegelung über die GRE-Schnittstelle
Beispiel: Konfigurieren der Layer-2-Port-Spiegelung über eine GRE-Schnittstelle
Konfigurieren der Portspiegelung auf physischen Schnittstellen
Vorrang mehrerer Ebenen der Layer-2-Port-Spiegelung auf einer physischen Schnittstelle
Sie können verschiedene Sätze von Layer- 2-Port-Spiegelungseigenschaften (die globale Instanz und eine oder mehrere benannte Instanzen) auf verschiedenen Ebenen eines Routers der MX-Serie oder eines Switch-Gehäuses der EX-Serie (auf Chassis-Ebene, auf FPC-Ebene oder auf PIC-Ebene) binden. Daher ist es möglich, dass eine einzelne Gruppe physischer Schnittstellen an mehrere Layer-2-Port-Spiegelungsdefinitionen gebunden wird.
Wenn eine Gruppe von Ports (oder, im Falle einer Bindung auf PIC-Ebene in einem MX960-Router, ein einzelner Port) an mehrere Layer-2-Port-Spiegelungsdefinitionen gebunden ist, wendet der Router (oder Switch) die Layer-2-Port-Spiegelungseigenschaften wie folgt auf diese Ports an:
Port-Mirroring-Eigenschaften auf Chassis-Ebene gelten implizit für alle Ports im Chassis. Wenn ein Router der MX-Serie oder ein Switch der EX-Serie mit der globalen Port-Spiegelungsinstanz konfiguriert ist, gelten diese Port-Spiegelungseigenschaften für alle Ports. Weitere Informationen finden Sie unter Konfigurieren der globalen Instanz der Layer-2-Portspiegelung.
Port-Mirroring-Eigenschaften auf FPC-Ebene haben Vorrang vor Eigenschaften auf Chassis-Ebene. Wenn ein DPC oder FPC an eine benannte Instanz der Portspiegelung gebunden ist, gelten diese Portspiegelungseigenschaften für alle Ports, die diesem DPC oder FPC zugeordnet sind, und überschreiben alle Portspiegelungseigenschaften, die auf Chassis-Ebene gebunden sind. Weitere Informationen finden Sie unter Binden der Layer-2-Portspiegelung an Ports, die auf FPC-Ebene gruppiert sind.
Port-Spiegelungseigenschaften auf PIC-Ebene haben Vorrang vor Eigenschaften auf FPC-Ebene. Wenn eine Paketweiterleitungs-Engine oder ein PIC an eine benannte Instanz der Portspiegelung gebunden ist, gelten diese Portspiegelungseigenschaften für alle Ports, die der Paketweiterleitungs-Engine oder PIC zugeordnet sind, und überschreiben alle Portspiegelungseigenschaften, die auf FPC-Ebene an diese Ports gebunden sind. Weitere Informationen finden Sie unter Binden der Layer-2-Portspiegelung an Ports, die auf PIC-Ebene gruppiert sind.
Bindung der Layer-2-Port-Spiegelung an Ports, die auf FPC-Ebene gruppiert sind
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Port-Spiegelung an einen bestimmten DPC oder an einen bestimmten FPC im Gehäuse des Routers (oder Switches) binden. Dies wird als Bindung einer benannten Instanz der Layer- 2-Port-Spiegelung auf der FPC-Ebene des Router- (oder Switch-)Gehäuses bezeichnet. Die in der benannten Instanz angegebenen Eigenschaften für die Portspiegelung werden auf alle physischen Ports angewendet, die allen Paketweiterleitungsmodulen auf der angegebenen DPC oder FPC zugeordnet sind.
Sie können auch eine benannte Instanz der Layer-2-Port-Spiegelung an eine bestimmte Paketweiterleitungs-Engine auf einem DPC oder FPC im Gehäuse des Routers (oder Switches) binden.
Für alle Pakettypen, die von der Layer-2-Portspiegelung unterstützt werden
Portspiegelungseigenschaften, die an einen bestimmten DPC oder FPC gebunden sind, setzen alle auf globaler Ebene konfigurierten Portspiegelungseigenschaften außer Kraft.
Port-Spiegelungseigenschaften, die an eine bestimmte Paketweiterleitungs-Engine gebunden sind, setzen alle auf DPC- oder FPC-Ebene konfigurierten Port-Spiegelungseigenschaften außer Kraft.
Sie können bis zu zwei benannte Instanzen der Layer-2-Port-Spiegelung auf dieselbe Gruppe von Ports innerhalb des Router- (oder Switch-)Gehäuses anwenden. Durch die Anwendung von zwei verschiedenen Port-Mirroring-Instanzen auf denselben DPC oder FPC können Sie zwei unterschiedliche Layer-2-Port-Mirroring-Spezifikationen an eine einzige Gruppe von Ports binden.
Bevor Sie beginnen, führen Sie die folgenden Aufgaben aus:
Definieren Sie eine benannte Instanz der Layer-2-Portspiegelung. Weitere Informationen finden Sie unter Definieren einer benannten Instanz der Layer-2-Port-Spiegelung.
Zeigen Sie Informationen über die Anzahl und Typen von DPCs oder FPCs im Router der MX-Serie und im Switch der EX-Serie, die Anzahl der Paketweiterleitungs-Engines sowie die Anzahl und Typen der Ports pro Paketweiterleitungs-Engine an.
So binden Sie eine benannte Instanz der Layer-2-Port-Spiegelung an einen DPC oder FPC und seine Paketweiterleitungs-Engines:
Bindung der Layer-2-Port-Spiegelung an Ports, die auf PIC-Ebene gruppiert sind
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Port-Spiegelung an die Ports binden, die einer bestimmten Paketweiterleitungs-Engine (in einem DPC) oder den Ports zugeordnet sind, die einem bestimmten PIC (in einem FPC installiert) zugeordnet sind. Dies wird als Bindung einer benannten Instanz der Layer- 2-Port-Spiegelung auf der PIC-Ebene des Router- (oder Switch-)Gehäuses bezeichnet. Die in der benannten Instanz angegebenen Portspiegelungseigenschaften werden auf alle physischen Ports angewendet, die der angegebenen Paketweiterleitungs-Engine zugeordnet sind.
Sie können auch eine benannte Instanz der Layer-2-Port-Spiegelung an einen bestimmten DPC oder FPC im Gehäuse des Routers (oder Switches) binden.
Für alle Pakettypenfamilien, die von der Layer-2-Portspiegelung unterstützt werden:
Port-Spiegelungseigenschaften, die an eine bestimmte Paketweiterleitungs-Engine gebunden sind, setzen alle auf DPC- oder FPC-Ebene konfigurierten Port-Spiegelungseigenschaften außer Kraft.
Portspiegelungseigenschaften, die an einen bestimmten DPC oder FPC gebunden sind, setzen alle auf globaler Ebene konfigurierten Portspiegelungseigenschaften außer Kraft.
Sie können bis zu zwei benannte Instanzen der Layer-2-Port-Spiegelung auf dieselbe Gruppe von Ports innerhalb des Router- (oder Switch-)Gehäuses anwenden. Durch die Anwendung von zwei verschiedenen Port-Mirroring-Instanzen auf dieselbe Packet Forwarding Engine oder PIC können Sie zwei unterschiedliche Layer-2-Port-Mirroring-Spezifikationen an eine einzige Gruppe von Ports binden.
Für MX960-Router gibt es eine Eins-zu-Eins-Zuordnung von Packet Forwarding Engines zu Ethernet-Ports. Daher können Sie nur auf MX960-Routern eine benannte Instanz der Layer- 2-Port-Spiegelung an einen bestimmten Port binden, indem Sie die Instanz an die Packet Forwarding Engine binden, die dem Port zugeordnet ist.
Bevor Sie beginnen, führen Sie die folgenden Aufgaben aus:
Definieren Sie eine benannte Instanz der Layer-2-Portspiegelung. Weitere Informationen finden Sie unter Definieren einer benannten Instanz der Layer-2-Port-Spiegelung.
Zeigen Sie Informationen über die Anzahl und Typen der DPCs im Router der MX-Serie oder im Switch der EX-Serie, die Anzahl der Paketweiterleitungsmodule auf jedem DPC sowie die Anzahl und Typen der Ports pro Paketweiterleitungsmodul an.
So binden Sie eine benannte Instanz der Layer-2-Portspiegelung an eine Paketweiterleitungs-Engine:
Beispiele: Layer-2-Port-Spiegelung auf mehreren Ebenen des Gehäuses
Auf einem Router der MX-Serie oder einem Switch der EX-Serie können Sie benannte Instanzen der Layer-2-Port-Spiegelung auf der FPC- oder DPC-Ebene des Gehäuses oder auf der PIC-Ebene des Gehäuses anwenden. Sie können jedoch nur eine globale Instanz der Layer-2-Port-Spiegelung für das gesamte Gehäuse konfigurieren (und implizit anwenden).
- Layer-2-Port-Spiegelung auf FPC-Ebene
- Layer-2-Port-Spiegelung auf PIC-Ebene
- Layer-2-Port-Spiegelung auf FPC- und PIC-Ebene
Layer-2-Port-Spiegelung auf FPC-Ebene
In dieser Beispielkonfiguration eines Routers der MX-Serie oder eines Switch-Gehäuses der EX-Serie ist eine benannte Instanz der Layer- 2-Port-Spiegelung (pm1) an physische Ports gebunden, die auf FPC-Ebene gruppiert sind:
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
}
}
Dies ist keine vollständige Konfiguration. Die physischen Schnittstellen, die dem FPC oder DPC in Steckplatz 2 zugeordnet sind, müssen auf Hierarchieebene [edit interfaces] konfiguriert werden. Die benannte Layer- 2-Port-Spiegelungsinstanz pm1 muss auf Hierarchieebene [edit forwarding-options port-mirroring instance] konfiguriert werden.
Layer-2-Port-Spiegelung auf PIC-Ebene
In dieser Beispielkonfiguration eines Routers der MX-Serie oder eines Switch-Gehäuses der EX-Serie wird eine benannte Instanz der Layer- 2-Port-Spiegelung (pm2) an die physischen Ports gebunden, die auf PIC-Ebene gruppiert sind:
[edit]
chassis {
fpc 2 {
pic 0 {
port-mirror-instance pm2;
}
}
}
Dies ist keine vollständige Konfiguration. Die physischen Schnittstellen, die dem FPC oder DPC in Steckplatz 2 zugeordnet sind, müssen auf Hierarchieebene [edit interfaces] konfiguriert werden. Die benannte Layer- 2-Port-Spiegelungsinstanz pm2 muss auf Hierarchieebene [edit forwarding-options port-mirroring instance] konfiguriert werden.
Layer-2-Port-Spiegelung auf FPC- und PIC-Ebene
In dieser Beispielkonfiguration eines Routergehäuses der MX-Serie oder eines Switches der EX-Serie wird eine benannte Instanz der Layer- 2-Port-Spiegelung (pm1) auf der FPC-Ebene des Router- (oder Switch-)Gehäuses angewendet. Eine zweite benannte Instanz (pm2) wird auf PIC-Ebene angewendet:
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
pic 0 {
port-mirror-instance pm2;
}
}
}
Dies ist keine vollständige Konfiguration. Physische Schnittstellen, die dem FPC oder DPC in Steckplatz 2 zugeordnet sind, einschließlich physischer Schnittstellen, die mit pic 0zugeordnet sind, müssen auf Hierarchieebene [edit interfaces] konfiguriert werden. Der Layer- 2-Port spiegelt benannte Instanzen pm1 und pm2 muss auf Hierarchieebene [edit forwarding-options port-mirroring instance] konfiguriert werden.
Konfigurieren der Layer-2-Port-Spiegelung über die GRE-Schnittstelle
Port-Spiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Paketanalysator zu senden. Eine Anwendung für die Port-Spiegelung sendet ein doppeltes Paket an einen virtuellen Tunnel. Eine Next-Hop-Gruppe kann dann so konfiguriert werden, dass Kopien dieses doppelten Pakets an mehrere Schnittstellen weitergeleitet werden. Junos OS unterstützt die Layer-2-Port-Spiegelung auf einen Remote-Collector über eine GRE-Schnittstelle.
Gehen Sie wie folgt vor, um die Layer-2-Port-Spiegelung über eine GRE-Schnittstelle zu konfigurieren:
Siehe auch
Beispiel: Konfigurieren der Layer-2-Port-Spiegelung über eine GRE-Schnittstelle
In diesem Beispiel wird gezeigt, wie die Layer-2-Port-Spiegelung über eine GRE-Schnittstelle für die Analyse konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie
Junos OS Version 16.1 oder höher, das auf allen Geräten ausgeführt wird
Überblick
Port-Spiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Paketanalysator zu senden. Eine Anwendung für die Port-Spiegelung sendet ein doppeltes Paket an einen virtuellen Tunnel. Eine Next-Hop-Gruppe kann dann so konfiguriert werden, dass Kopien dieses doppelten Pakets an mehrere Schnittstellen weitergeleitet werden. Ab Junos OS Version 16.1 wird die Layer-2-Port-Spiegelung auf einen Remote-Collector über eine GRE-Schnittstelle unterstützt.
Topologie
Abbildung 1 zeigt die Port-Spiegelung, die über eine GRE-Schnittstelle konfiguriert ist. Das Interface gr-4/0/0 ist als Familienbrücke konfiguriert. Der Bridge-Filter f1 der Firewall-Familie ist als Port-Mirror konfiguriert. Das Spiegelziel ist als gr-4/0/0 konfiguriert. Der Bridge-Filter f1 der Firewall-Familie wird am Ein- und Ausgang der xe-3/2/5.0-Schnittstelle angewendet, die Pakete auf das Spiegelziel gr-4/0/0 spiegelt.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
R0
set chassis fpc4 pic0 tunnel-services bandwidth 10g set chassis network-services enhanced-ip set interfaces xe-3/2/5 flexible-vlan-tagging set interfaces xe-3/2/5 encapsulation flexible-ethernet-services set interfaces xe-3/2/5 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/5 unit 0 vlan-id 100 set interfaces xe-3/2/5 unit 0 family bridge filter input f1 set interfaces xe-3/2/5 unit 0 family bridge filter output f1 set interfaces xe-3/2/9 flexible-vlan-tagging set interfaces xe-3/2/9 encapsulation flexible-ethernet-services set interfaces xe-3/2/9 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/9 unit 0 vlan-id 100 set interfaces gr-4/0/0 unit 0 tunnel source 10.1.1.1 set interfaces gr-4/0/0 unit 0 tunnel destination 10.1.1.2 set interfaces gr-4/0/0 unit 0 family bridge interface-mode trunk set interfaces gr-4/0/0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring input rate 1 set forwarding-options family vpls output interface gr-4/0/0.0 set firewall family bridge filter f1 term t then count c set firewall family bridge filter f1 term t then port-mirror set bridge-domains b vlan-id 100 set bridge-domains b interface xe-3/2/5.0 set bridge-domains b interface xe-3/2/9.0
R0 konfigurieren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter "Using the CLI Editor in Configuration Mode" im Junos OS CLI-Benutzerhandbuch .
So konfigurieren Sie Gerät R0:
Konfigurieren Sie die flexiblen PIC-Konzentratorparameter des Chassis.
[edit chassis] user@R0# set fpc4 pic0 tunnel-services bandwidth 10g user@R0# set network-services enhanced-ip
Konfigurieren Sie die Enhanced-IP-Netzwerkdienste des Gehäuses.
[edit chassis] user@R0# set network-services enhanced-ip
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@R0# set xe-3/2/5 flexible-vlan-tagging user@R0# set xe-3/2/5 encapsulation flexible-ethernet-services user@R0# set xe-3/2/5 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/5 unit 0 vlan-id 100 user@R0# set xe-3/2/5 unit 0 family bridge filter input f1 user@R0# set xe-3/2/5 unit 0 family bridge filter output f1 user@R0# set xe-3/2/9 flexible-vlan-tagging user@R0# set xe-3/2/9 encapsulation flexible-ethernet-services user@R0# set xe-3/2/9 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/9 unit 0 vlan-id 100 user@R0# set gr-4/0/0 unit 0 tunnel source 10.1.1.1 user@R0# set gr-4/0/0 unit 0 tunnel destination 10.1.1.2 user@R0# set gr-4/0/0 unit 0 family bridge interface-mode trunk user@R0# set gr-4/0/0 unit 0 family bridge vlan-id 100
Konfigurieren Sie die Rate der Eingabepakete, die abgetastet werden sollen.
[edit forwarding-options] user@R0# set port-mirroring input rate 1
Konfigurieren Sie die Ausgabeschnittstelle für die VPLS-Adressfamilie von Paketen, die gespiegelt werden soll.
[edit forwarding-options] user@R0# set family vpls output interface gr-4/0/0.0
Konfigurieren Sie die Protokollfamilie BRIDGE für den Firewall-Filter.
[edit firewall] user@R0# set family bridge filter f1 term t then count c user@R0# set family bridge filter f1 term t then port-mirror
Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.
[edit bridge-domains] user@R0# set b vlan-id 100 user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
Konfigurieren Sie die Schnittstelle für die Bridge-Domäne.
[edit bridge-domains] user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show bridge-domainsBefehle , show chassis, show forwarding-options, show firewallund show interfaces eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R0# show chassis
fpc 4 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
network-services enhanced-ip;
user@R0# show interfaces
}
xe-3/2/5 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
family bridge {
filter {
input f1;
output f1;
}
}
}
}
xe-3/2/9 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
}
}
gr-4/0/0 {
unit 0 {
tunnel {
source 10.1.1.1;
destination 10.1.1.2;
}
family bridge {
interface-mode trunk;
vlan-id 100;
}
}
}
user@R0# show forwarding-options
port-mirroring {
input {
rate 1;
}
family vpls {
output {
interface gr-4/0/0.0;
}
}
}
user@R0# show firewall
family bridge {
filter f1 {
term t {
then {
count c;
port-mirror;
}
}
}
}
user@R0# show bridge-domains
b {
vlan-id 100;
interface xe-3/2/5.0;
interface xe-3/2/9.0;
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Portspiegelung des Datenverkehrs
Zweck
Port-Spiegelung der Datenverkehrsinformationen.
Action!
Führen Sie auf Gerät R0 im Betriebsmodus den show forwarding-options port-mirroring Befehl aus, um die Portspiegelung der Datenverkehrsinformationen anzuzeigen.
user@R0> show forwarding-options port-mirroring
Instance Name: & globalinstance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
Instance Name: pm_instance
Instance Id: 2
Input parameters:
Rate : 10
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0 Bedeutung
Die Ausgabe zeigt die Port-Spiegelung der Datenverkehrsinformationen.