Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Kenntnis über IP-basierte Filterung und selektive Portspiegelung MPLS Datenverkehrs

In einem MPLS wird der IP-Header direkt hinter dem Header MPLS. Die IP-basierte Filterfunktion bietet einen Deep Inspection-Mechanismus, über den maximal acht MPLS-Label der inneren Payload geprüft werden können, um eine Filterung des MPLS-Datenverkehrs basierend auf IP-Parametern zu ermöglichen. Der gefilterte MPLS kann auch zu einem Überwachungsgerät gespiegelt werden, um netzwerkbasierte Dienste im Core-Netzwerk MPLS bieten.

IP-basierte Filterung des MPLS Datenverkehrs

Vor Junos OS Veröffentlichung 18.4R1 wurde eine Filterung basierend auf IP-Parametern für den MPLS-Familienfilter nicht unterstützt. Mit der Einführung der IP-basierten Filterfunktion können Sie eingehende und ausgehende Filter für MPLS-tagged IPv4- und IPv6-Pakete auf der Basis von IP-Parametern, wie Quell- und Zieladressen, Layer 4-Protokolltyp und Quell- und Ziel-Ports anwenden.

Die IP-basierte Filterfunktion ermöglicht es Ihnen, MPLS Pakete am Eindringen einer Schnittstelle zu filtern, wobei die Filterung anhand von Übereinstimmungsbedingungen auf der inneren Payload des Pakets MPLS wird. Der selektive MPLS kann dann mithilfe logischer Tunnel zu einem Remote-Überwachungsgerät gespiegelt werden.

Zur Unterstützung IP-basierter Filterung werden zusätzliche Bedingungen hinzugefügt, anhand derer MPLS-Pakete genau untersucht werden können, um die inneren Payloads mit Layer 3- und Layer 4-Headern zu analysieren, bevor die entsprechenden Filter angewendet werden.

Anmerkung:

Die IP-basierte Filterfunktion wird nur für Tags MPLS IPv4- und IPv6-Pakete unterstützt. Anders gesagt: Die MPLS-Filter entsprechen IP-Parametern nur dann, wenn die IP-Payload unmittelbar nach der MPLS wird.

In anderen Szenarien wird die IP-basierte Filterfunktion in anderen Szenarien nicht unterstützt, wenn die MPLS-Payload Pseudowires, andere Protokolle als Inet und Inet6 oder andere Einkapselungen wie Layer 2 VPN oder VPLS umfasst.

Für die IP-basierte Filterung des Datenverkehrs für MPLS werden die folgenden Bedingungen hinzugefügt:

  • IPv4-Quelladresse

  • IPv4-Zieladresse

  • IPv6-Quelladresse

  • IPv6-Zieladresse

  • Protokoll

  • Quell-Port

  • Ziel-Port

  • IPv4-Quell-Präfixliste

  • Ziel-IPv4-Präfixliste

  • IPv6-Quell-Präfixliste

  • Ziel-IPv6-Präfixliste

Anmerkung:

Die folgenden Übereinstimmungskombinationen werden für die IP-basierte Filterung von MPLS unterstützt:

  • Quell- und Zieladressen-Übereinstimmungsbedingungen mit IPv4- und IPv6-Präfixlisten.

  • Quell- und Ziel-Portadressen- und Protokolltypen erfüllen die Bedingungen mit IPv4- und IPv6-Präfixlisten.

Selektive Portspiegelung des MPLS Datenverkehrs

Port-Spiegelung ist die Fähigkeit, ein Paket zusätzlich zur normalen Verarbeitung und Weiterleitung der Pakete zu einem konfigurierten Ziel zu spiegeln. Port-Spiegelung wird als Aktion für einen Firewall-Filter angewendet, der am Ingress oder Egress einer beliebigen Schnittstelle angewendet wird. In ähnlicher Weise bietet die selektive Portspiegelungsfunktion die Möglichkeit, den MPLS Datenverkehr, der anhand von IP-Parametern gefiltert wird, mithilfe logischer Tunnel zu einem gespiegelten Ziel zu spiegeln.

Um eine selektive Portspiegelung zu ermöglichen, werden zusätzliche Aktionen auf der Hierarchieebene konfiguriert, zusätzlich zu den vorhandenen [edit firewall family mpls filter filter-nameterm term-name then]counter , und acceptdiscard Aktionen:

  • port-mirror

  • port-mirror-instance

Port Mirroring

Die Aktion ermöglicht eine globale Portspiegelung auf dem Gerät, die für alle Packet Forwarding Engines (PFEs) und die port-mirror zugehörigen Schnittstellen gilt.

Der MPLS wird für den Familienfilter aktiviert. Die Aktion port-mirror wird für die globale Portspiegelung aktiviert.

Port Mirroring Instance

Diese Aktion ermöglicht Ihnen, jede Instanz mit unterschiedlichen Eigenschaften für Eingabe-Sampling und Port-Spiegelung der Ausgabeziele anzupassen, anstatt für die Portspiegelung eine einzige systemweite Konfiguration port-mirror-instance verwenden zu müssen.

Sie können pro Flexible PIC Concentrator (FPC) nur zwei Port-Spiegelungsinstanzen konfigurieren, indem Sie die Anweisung instance port-mirror-instance-name auf der [edit forwarding-options port-mirror] Hierarchieebene einordnen. Sie können dann je nach Gerätehardware einzelne Port-Spiegelungsinstanzen mit einer FPC, PIC oder (Forwarding Engine Board (FEB) verknüpfen.

Als MPLS-Familienfilter ist die Aktion nur für port-mirror-instance die Port-Spiegelungsinstanz aktiviert.

Anmerkung:

Sowohl für Aktionen als auch für Aktionen muss die Ausgabeschnittstelle mit der Layer-2-Familie und nicht mit der Familie MPLS (Layer 3) aktiviert werden, damit die selektive port-mirrorport-mirror-instance Portspiegelungsfunktion funktioniert.

Beispielkonfigurationen

Konfiguration IP-basierter Filterung

Konfiguration selektiver Port-Spiegelung

Anmerkung:

Die Ausgabeschnittstelle xe-2/0/2.0 ist für Layer-2-Familie konfiguriert, nicht für MPLS.

Sowohl für Aktionen als auch für Aktionen muss die Ausgabeschnittstelle mit der Layer-2-Familie und nicht mit der Familie MPLS (Layer 3) aktiviert werden, damit die selektive port-mirrorport-mirror-instance Portspiegelungsfunktion funktioniert.

Spiegelung der Zielkonfiguration