Grundlegendes zur IP-basierten Filterung und selektiven Portspiegelung des MPLS-Datenverkehrs
In einem MPLS-Paket kommt der IP-Header unmittelbar nach dem MPLS-Header. Die IP-basierte Filterfunktion bietet einen tiefgreifenden Inspektionsmechanismus, bei dem maximal acht MPLS-Labels der inneren Nutzlast inspiziert werden können, um die Filterung des MPLS-Datenverkehrs auf der Grundlage von IP-Parametern zu ermöglichen. Der gefilterte MPLS-Datenverkehr kann auch an ein Überwachungsgerät gespiegelt werden, um netzwerkbasierte Dienste im MPLS-Kernnetzwerk anzubieten.
IP-basierte Filterung des MPLS-Datenverkehrs
Vor Junos OS Version 18.4R1 wurde die Filterung basierend auf IP-Parametern für Filter der MPLS-Familie nicht unterstützt. Mit der Einführung der IP-basierten Filterfunktion können Sie eingehende und ausgehende Filter für IPv4- und IPv6-Pakete mit MPLS-Tags basierend auf IP-Parametern wie Quell- und Zieladressen, Layer-4-Protokolltyp sowie Quell- und Zielports anwenden.
Mit der IP-basierten Filterfunktion können Sie MPLS-Pakete am Eingang einer Schnittstelle filtern, wobei die Filterung mithilfe von Übereinstimmungsbedingungen für die innere Nutzlast des MPLS-Pakets erfolgt. Der selektive MPLS-Datenverkehr kann dann mithilfe logischer Tunnel an ein Fernüberwachungsgerät gespiegelt werden.
Zur Unterstützung der IP-basierten Filterung wurden zusätzliche Übereinstimmungsbedingungen hinzugefügt, die es ermöglichen, MPLS-Pakete gründlich zu untersuchen, um die innere Nutzlast mit Layer-3- und Layer-4-Headern zu analysieren, bevor die entsprechenden Filter angewendet werden.
Die IP-basierte Filterfunktion wird nur für IPv4- und IPv6-Pakete mit MPLS-Tags unterstützt. Mit anderen Worten, die MPLS-Filter stimmen nur dann mit IP-Parametern überein, wenn die IP-Nutzlast unmittelbar nach den MPLS-Bezeichnungen erfolgt.
In anderen Szenarien, in denen die MPLS-Nutzlast Pseudowires, andere Protokolle als inet und inet6 oder andere Kapselungen wie Layer 2 VPN oder VPLS umfasst, wird die IP-basierte Filterfunktion nicht unterstützt.
Die folgenden Übereinstimmungsbedingungen wurden für die IP-basierte Filterung von MPLS-Datenverkehr hinzugefügt:
IPv4-Quelladresse
IPv4-Zieladresse
IPv6-Quelladresse
IPv6-Zieladresse
Protokoll
Quell-Port
Zielhafen
Liste der Quell-IPv4-Präfixe
IPv4-Präfixliste des Ziels
Liste der IPv6-Präfixe (Quell-IPv6)
Liste der IPv6-Zielpräfixe
Die folgenden Übereinstimmungskombinationen werden für die IP-basierte Filterung von MPLS-Datenverkehr unterstützt:
Quell- und Zieladressen stimmen mit IPv4- und IPv6-Präfixlisten überein.
Quell- und Zielportadressen und Protokolltypen stimmen mit den Bedingungen mit IPv4- und IPv6-Präfixlisten überein.
Selektive Port-Spiegelung des MPLS-Datenverkehrs
Port-Spiegelung ist die Fähigkeit, ein Paket zusätzlich zur normalen Verarbeitung und Weiterleitung der Pakete an ein konfiguriertes Ziel zu spiegeln. Die Portspiegelung wird als Aktion für einen Firewallfilter angewendet, der beim Ein- oder Ausgang einer beliebigen Schnittstelle angewendet wird. In ähnlicher Weise bietet die selektive Port-Spiegelungsfunktion die Möglichkeit, MPLS-Datenverkehr, der basierend auf IP-Parametern gefiltert wird, mithilfe logischer Tunnel auf ein gespiegeltes Ziel zu spiegeln.
Um die selektive Portspiegelung zu aktivieren, werden zusätzlich zu den vorhandenen counter, acceptund discard und -Aktionen zusätzliche Aktionen auf Hierarchieebene [edit firewall family mpls filter filter-nameterm term-name then]konfiguriert:
port-mirrorport-mirror-instance
Port Mirroring
Die port-mirror Aktion aktiviert die globale Portspiegelung auf dem Gerät, was für alle Packet Forwarding Engines (PFEs) und zugehörige Schnittstellen gilt.
Für den MPLS-Familienfilter ist die Aktion für die port-mirror globale Portspiegelung aktiviert.
Port Mirroring Instance
Die port-mirror-instance Aktion ermöglicht es Ihnen, jede Instanz mit unterschiedlichen Eigenschaften für Eingabe-Sampling und Port-Spiegelung von Ausgabezielen anzupassen, anstatt eine einzige systemweite Konfiguration für die Port-Spiegelung verwenden zu müssen.
Sie können nur zwei Portspiegelungsinstanzen pro Flexible PIC Concentrator (FPC) konfigurieren, indem Sie die instance port-mirror-instance-name Anweisung auf Hierarchieebene [edit forwarding-options port-mirror] einschließen. Anschließend können Sie einzelne Port-Spiegelungsinstanzen je nach Gerätehardware mit einem FPC, PIC oder (Forwarding Engine Board (FEB) verknüpfen.
Für MPLS-Familienfilter ist die port-mirror-instance Aktion nur für die Portspiegelungsinstanz aktiviert.
Für beide port-mirrorport-mirror-instance Aktionen muss die Ausgabeschnittstelle mit der Layer-2-Familie und nicht mit der MPLS-Familie (Layer-3) aktiviert sein, damit die selektive Port-Spiegelungsfunktion funktioniert.
Beispielkonfigurationen
- Konfiguration der IP-basierten Filterung
- Konfiguration der selektiven Portspiegelung
- Konfiguration des gespiegelten Ziels
Konfiguration der IP-basierten Filterung
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
Konfiguration der selektiven Portspiegelung
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
Die Ausgabeschnittstelle xe-2/0/2.0 ist für die Layer-2-Familie und nicht für die MPLS-Familie konfiguriert.
Für beide port-mirrorport-mirror-instance Aktionen muss die Ausgabeschnittstelle mit der Layer-2-Familie und nicht mit der MPLS-Familie (Layer-3) aktiviert sein, damit die selektive Port-Spiegelungsfunktion funktioniert.
Konfiguration des gespiegelten Ziels
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}