Auf dieser Seite
Vorrang mehrerer Ebenen der Layer-2-Portspiegelung an einer physischen Schnittstelle
Bindung der Layer 2-Portspiegelung an Ports, die auf FPC-Ebene gruppiert sind
Layer 2-Portspiegelung an auf PIC-Ebene gruppierte Ports binden
Beispiele: Layer 2-Portspiegelung auf mehreren Ebenen des Gehäuses
Konfigurieren der Layer 2-Portspiegelung über GRE-Schnittstelle
Beispiel: Konfigurieren der Layer 2-Portspiegelung über eine GRE-Schnittstelle
Konfigurieren der Portspiegelung an physischen Schnittstellen
Vorrang mehrerer Ebenen der Layer-2-Portspiegelung an einer physischen Schnittstelle
Sie können verschiedene Sätze von Layer-2-Portspiegelungseigenschaften (die globale Instanz und eine oder mehrere benannte Instanzen) auf verschiedenen Ebenen eines Routers der MX-Serie oder eines Switch-Gehäuses der EX-Serie (auf Gehäuseebene, FPC-Ebene oder PIC-Ebene) binden. Daher ist es möglich, dass eine einzelne Gruppe physischer Schnittstellen an mehrere Layer-2-Port-Spiegelungsdefinitionen gebunden ist.
Wenn eine Gruppe von Ports (oder im Falle einer Bindung auf PIC-Ebene in einem MX960-Router ein einzelner Port) an mehrere Layer-2-Portspiegelungsdefinitionen gebunden ist, wendet der Router (oder Switch) die Layer-2-Portspiegelungseigenschaften wie folgt auf diese Ports an:
Die Portspiegelungseigenschaften auf Gehäuseebene gelten implizit für alle Ports im Gehäuse. Wenn ein Router der MX-Serie oder ein Switch der EX-Serie mit der globalen Portspiegelungsinstanz konfiguriert ist, gelten diese Portspiegeleigenschaften für alle Ports. Siehe Konfigurieren der globalen Instanz der Layer 2-Portspiegelung.
Portspiegelungseigenschaften auf FPC-Ebene überschreiben Eigenschaften auf Gehäuseebene. Wenn eine DPC oder FPC an eine benannte Instanz der Portspiegelung gebunden ist, gelten diese Portspiegelungseigenschaften für alle mit dieser DPC oder FPC verbundenen Ports, wobei alle auf Gehäuseebene gebundenen Portspiegelungseigenschaften außer Kraft gesetzt werden. Siehe Bindung von Layer 2-Portspiegelung zu Ports, die auf FPC-Ebene gruppiert sind.
Portspiegelungseigenschaften auf PIC-Ebene überschreiben FPC-Ebeneneigenschaften. Wenn eine Packet Forwarding Engine oder PIC an eine benannte Instanz der Portspiegelung gebunden ist, gelten diese Portspiegelungseigenschaften für alle ports, die mit der Packet Forwarding Engine oder PIC verbunden sind, und überschreiben alle Portspiegelungseigenschaften, die an diese Ports auf FPC-Ebene gebunden sind. Siehe Bindung von Layer 2-Portspiegelung zu ports, die auf PIC-Ebene gruppiert sind.
Bindung der Layer 2-Portspiegelung an Ports, die auf FPC-Ebene gruppiert sind
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Portspiegelung an eine bestimmte DPC oder an eine bestimmte FPC im Router- (oder Switch)-Gehäuse binden. Dies wird als Bindung einer benannten Instanz von Layer 2-Portspiegelung auf FPC-Ebene des Router- (oder Switch)-Gehäuses bezeichnet. Die in der benannten Instanz angegebenen Portspiegelungseigenschaften werden auf alle physischen Ports angewendet, die mit allen Packet Forwarding Engines der angegebenen DPC oder FPC verbunden sind.
Sie können auch eine benannte Instanz der Layer 2-Portspiegelung an eine bestimmte Packet Forwarding Engine auf einer DPC oder FPC im Router- (oder Switch)-Gehäuse binden.
Für alle Pakettypen, die durch Layer 2-Portspiegelung unterstützt werden
Portspiegelungseigenschaften, die an eine bestimmte DPC oder FPC gebunden sind, überschreiben alle auf globaler Ebene konfigurierten Portspiegelungseigenschaften.
Port-Spiegelungseigenschaften, die an eine bestimmte Packet Forwarding Engine gebunden sind, überschreiben alle auf DPC- oder FPC-Ebene konfigurierten Portspiegelungseigenschaften.
Sie können bis zu zwei benannte Instanzen der Layer 2-Portspiegelung auf dieselbe Portgruppe innerhalb des Router- (oder Switch-Gehäuses) anwenden. Durch die Anwendung von zwei verschiedenen Portspiegelungsinstanzen auf dieselbe DPC oder FPC können Sie zwei verschiedene Layer 2-Portspiegelungsspezifikationen an eine einzige Gruppe von Ports binden.
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
Definieren Sie eine benannte Instanz der Layer 2-Portspiegelung. Siehe Definition einer benannten Instanz der Layer-2-Portspiegelung.
Zeigen Sie Informationen über die Anzahl und die Typen von DPCs oder FPCs im Router der MX-Serie und im Switch der EX-Serie, die Anzahl der Jeweils paketweiterleitungs-Engines sowie die Anzahl und arten von Ports pro Packet Forwarding Engine an.
So binden Sie eine benannte Instanz der Layer 2-Portspiegelung an eine DPC oder FPC und deren Packet Forwarding Engines:
Layer 2-Portspiegelung an auf PIC-Ebene gruppierte Ports binden
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Portspiegelung an die Ports binden, die mit einer bestimmten Packet Forwarding Engine (auf einer DPC) oder mit den Ports verbunden sind, die mit einer bestimmten PIC (in einer FPC installiert) verbunden sind. Dies wird als Bindung einer benannten Instanz von Layer 2-Portspiegelung auf PIC-Ebene des Router- (oder Switch)-Gehäuses bezeichnet. Die in der benannten Instanz angegebenen Portspiegelungseigenschaften werden auf alle physischen Ports angewendet, die der angegebenen Packet Forwarding Engine zugeordnet sind.
Sie können auch eine benannte Instanz der Layer 2-Portspiegelung an eine bestimmte DPC oder FPC im Router- (oder Switch)-Gehäuse binden.
Für alle Pakettypen, die durch Layer 2-Portspiegelung unterstützt werden:
Port-Spiegelungseigenschaften, die an eine bestimmte Packet Forwarding Engine gebunden sind, überschreiben alle auf DPC- oder FPC-Ebene konfigurierten Portspiegelungseigenschaften.
Portspiegelungseigenschaften, die an eine bestimmte DPC oder FPC gebunden sind, überschreiben alle auf globaler Ebene konfigurierten Portspiegelungseigenschaften.
Sie können bis zu zwei benannte Instanzen der Layer 2-Portspiegelung auf dieselbe Portgruppe innerhalb des Router- (oder Switch-Gehäuses) anwenden. Durch die Anwendung von zwei verschiedenen Portspiegelungsinstanzen auf dieselbe Packet Forwarding Engine oder PIC können Sie zwei verschiedene Layer-2-Portspiegelungsspezifikationen an eine einzige Gruppe von Ports binden.
Für MX960-Router gibt es eine One-to-One-Zuordnung von Packet Forwarding Engines zu Ethernet-Ports. Daher können Sie nur bei MX960-Routern eine benannte Instanz der Layer-2-Portspiegelung an einen bestimmten Port binden, indem Sie die Instanz an die mit dem Port verbundene Packet Forwarding Engine binden.
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
Definieren Sie eine benannte Instanz der Layer 2-Portspiegelung. Siehe Definition einer benannten Instanz der Layer-2-Portspiegelung.
Zeigen Sie Informationen über die Anzahl und die Arten von DPCs im Router der MX-Serie oder im Switch der EX-Serie, die Anzahl der Packet Forwarding Engines auf jeder DPC und die Anzahl und die Arten von Ports pro Packet Forwarding Engine an.
So binden Sie eine benannte Instanz der Layer 2-Portspiegelung an eine Packet Forwarding Engine:
Beispiele: Layer 2-Portspiegelung auf mehreren Ebenen des Gehäuses
Auf einem Router der MX-Serie oder auf einem Switch der EX-Serie können Sie benannte Instanzen der Layer 2-Portspiegelung auf FPC- oder DPC-Ebene des Gehäuses oder auf PIC-Ebene des Gehäuses anwenden. Sie können jedoch nur eine globale Instanz von Layer 2-Portspiegelung für das gesamte Gehäuse konfigurieren (und implizit anwenden).
- Layer 2-Portspiegelung auf FPC-Ebene
- Layer 2-Portspiegelung auf PIC-Ebene
- Layer 2-Portspiegelung auf FPC- und PIC-Ebenen
Layer 2-Portspiegelung auf FPC-Ebene
In diesem Beispiel ist die Konfiguration eines Routers der MX-Serie oder eines Switch-Gehäuses der EX-Serie eine benannte Instanz der Layer 2-Portspiegelung (pm1) an physische Ports gebunden, die auf FPC-Ebene gruppiert sind:
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
}
}
Dies ist keine vollständige Konfiguration. Die mit der FPC oder DPC in Steckplatz 2 verbundenen physischen Schnittstellen müssen auf Hierarchieebene [edit interfaces] konfiguriert werden. Die Layer-2-Portspiegelung namens Instanz pm1 muss auf der [edit forwarding-options port-mirroring instance] Hierarchieebene konfiguriert werden.
Layer 2-Portspiegelung auf PIC-Ebene
In diesem Beispiel ist die Konfiguration eines Routers der MX-Serie oder eines Switch-Gehäuses derpm2 EX-Serie an die auf PIC-Ebene gruppierten physischen Ports gebunden:
[edit]
chassis {
fpc 2 {
pic 0 {
port-mirror-instance pm2;
}
}
}
Dies ist keine vollständige Konfiguration. Die mit der FPC oder DPC in Steckplatz 2 verbundenen physischen Schnittstellen müssen auf Hierarchieebene [edit interfaces] konfiguriert werden. Die Layer-2-Portspiegelung namens Instanz pm2 muss auf der [edit forwarding-options port-mirroring instance] Hierarchieebene konfiguriert werden.
Layer 2-Portspiegelung auf FPC- und PIC-Ebenen
In diesem Beispiel wird die Konfiguration eines Routergehäuses der MX-Serie oder eines Switches der EX-Serie auf der FPC-Ebene des Router-Gehäuses (oder Switches) mit einer benannten Instanz der Layer 2-Portspiegelung (pm1) angewendet. Eine zweite benannte Instanz (pm2) wird auf PIC-Ebene angewendet:
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
pic 0 {
port-mirror-instance pm2;
}
}
}
Dies ist keine vollständige Konfiguration. Physische Schnittstellen, die mit der FPC oder DPC in Steckplatz 2 verbunden sind, einschließlich der zugehörigen physischen Schnittstellen pic 0, müssen auf der [edit interfaces] Hierarchieebene konfiguriert werden. Die Layer-2-Portspiegelung namens Instanzen pm1 muss pm2 auf Hierarchieebene [edit forwarding-options port-mirroring instance] konfiguriert werden.
Konfigurieren der Layer 2-Portspiegelung über GRE-Schnittstelle
Port-Spiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Paketanalyse-Switch zu senden. Eine Anwendung zur Portspiegelung sendet ein doppeltes Paket an einen virtuellen Tunnel. Eine Next-Hop-Gruppe kann dann so konfiguriert werden, dass Kopien dieses duplizierten Pakets an mehrere Schnittstellen weitergeleitet werden. Junos OS unterstützt layer 2-Portspiegelung zu einem Remote-Collector über eine GRE-Schnittstelle.
So konfigurieren Sie die Layer-2-Portspiegelung über eine GRE-Schnittstelle:
Siehe auch
Beispiel: Konfigurieren der Layer 2-Portspiegelung über eine GRE-Schnittstelle
Dieses Beispiel zeigt, wie Sie die Layer-2-Portspiegelung über eine GRE-Schnittstelle für die Analyse konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie
Junos OS Version 16.1 oder höher, die auf allen Geräten ausgeführt wird
Überblick
Port-Spiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Paketanalyse-Switch zu senden. Eine Anwendung zur Portspiegelung sendet ein doppeltes Paket an einen virtuellen Tunnel. Eine Next-Hop-Gruppe kann dann so konfiguriert werden, dass Kopien dieses duplizierten Pakets an mehrere Schnittstellen weitergeleitet werden. Ab Junos OS Version 16.1 wird layer 2-Portspiegelung zu einem Remote-Collector über eine GRE-Schnittstelle unterstützt.
Topologie
Abbildung 1 zeigt die über eine GRE-Schnittstelle konfigurierte Portspiegelung. Die Schnittstelle gr-4/0/0 ist als Family Bridge konfiguriert. Der Bridge-Filter der Firewall-Familie f1 ist als Portspiegel konfiguriert. Spiegelungsziel wird als gr-4/0/0 konfiguriert. Der Bridge-Filter der Firewall-Familie f1 wird am Eingang und Ausgang der xe-3/2/5.0-Schnittstelle angewendet, wodurch Pakete zur Spiegelung des Zielziels gr-4/0/0 gespiegelt werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
R0
set chassis fpc4 pic0 tunnel-services bandwidth 10g set chassis network-services enhanced-ip set interfaces xe-3/2/5 flexible-vlan-tagging set interfaces xe-3/2/5 encapsulation flexible-ethernet-services set interfaces xe-3/2/5 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/5 unit 0 vlan-id 100 set interfaces xe-3/2/5 unit 0 family bridge filter input f1 set interfaces xe-3/2/5 unit 0 family bridge filter output f1 set interfaces xe-3/2/9 flexible-vlan-tagging set interfaces xe-3/2/9 encapsulation flexible-ethernet-services set interfaces xe-3/2/9 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/9 unit 0 vlan-id 100 set interfaces gr-4/0/0 unit 0 tunnel source 10.1.1.1 set interfaces gr-4/0/0 unit 0 tunnel destination 10.1.1.2 set interfaces gr-4/0/0 unit 0 family bridge interface-mode trunk set interfaces gr-4/0/0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring input rate 1 set forwarding-options family vpls output interface gr-4/0/0.0 set firewall family bridge filter f1 term t then count c set firewall family bridge filter f1 term t then port-mirror set bridge-domains b vlan-id 100 set bridge-domains b interface xe-3/2/5.0 set bridge-domains b interface xe-3/2/9.0
Konfigurieren von R0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie in verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter "Using the CLI Editor in Configuration Mode" im Cli-Benutzerhandbuch von Junos OS .
So konfigurieren Sie Gerät R0:
Konfigurieren Sie die flexiblen PIC-Concentrator-Parameter des Gehäuses.
[edit chassis] user@R0# set fpc4 pic0 tunnel-services bandwidth 10g user@R0# set network-services enhanced-ip
Konfigurieren Sie die erweiterten IP-Netzwerkservices des Gehäuses.
[edit chassis] user@R0# set network-services enhanced-ip
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@R0# set xe-3/2/5 flexible-vlan-tagging user@R0# set xe-3/2/5 encapsulation flexible-ethernet-services user@R0# set xe-3/2/5 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/5 unit 0 vlan-id 100 user@R0# set xe-3/2/5 unit 0 family bridge filter input f1 user@R0# set xe-3/2/5 unit 0 family bridge filter output f1 user@R0# set xe-3/2/9 flexible-vlan-tagging user@R0# set xe-3/2/9 encapsulation flexible-ethernet-services user@R0# set xe-3/2/9 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/9 unit 0 vlan-id 100 user@R0# set gr-4/0/0 unit 0 tunnel source 10.1.1.1 user@R0# set gr-4/0/0 unit 0 tunnel destination 10.1.1.2 user@R0# set gr-4/0/0 unit 0 family bridge interface-mode trunk user@R0# set gr-4/0/0 unit 0 family bridge vlan-id 100
Konfigurieren Sie die Rate der zu prüfenden Eingangspakete.
[edit forwarding-options] user@R0# set port-mirroring input rate 1
Konfigurieren Sie die Ausgabeschnittstelle für die VPLS-Adressfamilie von Paketen zur Spiegelung.
[edit forwarding-options] user@R0# set family vpls output interface gr-4/0/0.0
Konfigurieren Sie die Bridge-Protokollfamilie für den Firewall-Filter.
[edit firewall] user@R0# set family bridge filter f1 term t then count c user@R0# set family bridge filter f1 term t then port-mirror
Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.
[edit bridge-domains] user@R0# set b vlan-id 100 user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
Konfigurieren Sie die Schnittstelle für die Bridge-Domäne.
[edit bridge-domains] user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show bridge-domainsBefehle , , show chassisshow forwarding-options, show firewallund eingebenshow interfaces. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R0# show chassis
fpc 4 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
network-services enhanced-ip;
user@R0# show interfaces
}
xe-3/2/5 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
family bridge {
filter {
input f1;
output f1;
}
}
}
}
xe-3/2/9 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
}
}
gr-4/0/0 {
unit 0 {
tunnel {
source 10.1.1.1;
destination 10.1.1.2;
}
family bridge {
interface-mode trunk;
vlan-id 100;
}
}
}
user@R0# show forwarding-options
port-mirroring {
input {
rate 1;
}
family vpls {
output {
interface gr-4/0/0.0;
}
}
}
user@R0# show firewall
family bridge {
filter f1 {
term t {
then {
count c;
port-mirror;
}
}
}
}
user@R0# show bridge-domains
b {
vlan-id 100;
interface xe-3/2/5.0;
interface xe-3/2/9.0;
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung der Portspiegelung des Datenverkehrs
Zweck
Portspiegelung von Datenverkehrsinformationen anzeigen.
Aktion
Führen Sie auf Gerät R0 im Betriebsmodus den show forwarding-options port-mirroring Befehl aus, um die Portspiegelung der Datenverkehrsinformationen anzuzeigen.
user@R0> show forwarding-options port-mirroring
Instance Name: & globalinstance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
Instance Name: pm_instance
Instance Id: 2
Input parameters:
Rate : 10
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0 Bedeutung
Die Ausgabe zeigt die Portspiegelung der Datenverkehrsinformationen.