Beispiel: Konfigurieren der lokalen Portspiegelung auf PTX-Routern
In diesem Beispiel erfahren Sie, wie Sie die lokale Portspiegelung auf PTX-Plattformen mit Junos Evolved konfigurieren und überprüfen. Die PTX-Plattformen umfassen PTX10001-36MR, LC1201 und LC1202 in PTX10004-, PTX10008- und PTX10016-Gehäusen
Vorbereitungen
| Hardware- und Softwareanforderungen | Junos OS Evolved Version 22.2R1.12-EVO oder höher. PTX10001-36MR Eine vollständige Liste der unterstützten Plattformen und Junos OS-Versionen finden Sie im Funktions-Explorer. |
| Geschätzte Lesezeit |
Eine Viertelstunde. |
| Geschätzte Konfigurationszeit |
Dreißig Minuten |
| Auswirkungen auf das Geschäft |
Verwenden Sie dieses Konfigurationsbeispiel, um die lokale Portspiegelungsfunktion zu konfigurieren. Die Portspiegelung ist ein wichtiges Tool für das Debugging und sicherheitsrelevante Aufgaben. Mirror-Datenverkehr kann offline von einer Vielzahl von Tools analysiert werden, um entweder Protokollinteraktionen anzuzeigen oder Anomalien zu erkennen. |
| Mehr erfahren |
Informationen zur Portspiegelung finden Sie unter Portspiegelung und Analysen. |
| Weitere Informationen |
Lernportal |
Funktionsübersicht
Tabelle 1 enthält eine kurze Zusammenfassung der in diesem Beispiel verwendeten Protokolle und Technologien.
| Routing- und Signalisierungsprotokolle |
|
| OSPF und OSPF3 |
Auf allen Routern wird OSPF und OSPF3 als IGP ausgeführt. Alle Router gehören zum Bereich 0 (auch Backbone-Bereich genannt). Die OSPF/OSPF3-Routingdomänen bieten eine interne Erreichbarkeit für alle Netzwerke und Schnittstellen in der Topologie. In diesem Beispiel sind die CE- und PE/P-Geräte Teil derselben IGP-Routing-Domäne. Daher sind keine Tunnel zwischen den PE-Geräten erforderlich, um den CE-Datenverkehr über den Core zu transportieren. Da es sich um einen Anwendungsfall für die lokale Spiegelung handelt, ist eine GRE-Kapselung nicht erforderlich, wenn gespiegelter Datenverkehr an die Überwachungsstation gesendet wird. |
| Routing-Protokolle |
|
| IPv4 und IPv6 |
Alle Geräte sind so konfiguriert, dass sie sowohl IPv4- als auch IPv6-Routing unterstützen. |
| Analysator (Überwachungsstation) |
|
| Centos und Wireshark |
Der Analyzer führt Centos 7.x mit einer GUI-Version von Wireshark aus. |
Topologieübersicht
In diesem Beispiel fungiert das R3-Gerät als Prüfling (Device Under Test, DUT), da hier die Portspiegelung konfiguriert wird. Das Gerät verwendet Firewall-Filter, um die IP-Adressen abzugleichen, die den CE-Geräten zugeordnet sind, um die Port-Spiegelungsaktion auszulösen. Eine Kombination aus Eingangs- und Ausgangsfiltern wird verwendet, um sowohl den Anforderungs- als auch den Antwortverkehr zwischen den CE-Geräten (R1 und R5) widerzuspiegeln.
Die Firewall-Filter, die das Packet Sampling hervorrufen, werden auf eine oder mehrere der Transitschnittstellen auf dem R3-Gerät angewendet.
| Gerätename | Rolle |
Funktion |
| CE | Customer Edge (CE)-Gerät, das Testdatenverkehr sendet, um zu bestätigen, dass die Stichprobenentnahme ordnungsgemäß funktioniert. | Diese Geräte werden als CE-Geräte bezeichnet. In den meisten Fällen ist ein CE-Gerät Teil eines VPN-Dienstes. Hier teilen sich die CE denselben OSPF-Bereich 0 wie die Geräte des Anbieters, um die IP-Konnektivität der Hauptinstanz bereitzustellen. |
| PE | Provider Edge (PE)-Gerät, das an die CE angeschlossen wird. | Geräte am Edge eines Provider-Netzwerks. Unsere PEs laufen nur mit OSPF. BGP und VPNs werden nicht bereitgestellt. |
| P | Ein Provider-Core-Router (P). | Wir haben uns dafür entschieden, die Port-Spiegelung an einem P-Router zu demonstrieren. Sie können die Portspiegelung auf jedem der Provider-Geräte nach Bedarf konfigurieren. |
| Analyzer | Das Analysegerät empfing den Spiegelverkehr zur Speicherung und Analyse. | Die Einzelheiten des Analysators werden in diesem Dokument nicht behandelt. Es gibt eine Reihe von Open-Source- und kommerziellen Optionen. Unser Analysator läuft zufällig Centos 7.x mit einem Gnome-Desktop, der eine GUIO-Version von Wireshark unterstützt. |
Topologie-Illustrationen
Schritte zur R3-Konfiguration
Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus
Eine vollständige Konfiguration auf allen Geräten finden Sie unter: Anhang 2: Festlegen von Befehlen auf allen Geräten
In diesem Abschnitt werden die wichtigsten Konfigurationsaufgaben beschrieben, die für die Konfiguration des Prüflings erforderlich sind, in diesem Beispiel das P-Gerät (R3). Abgesehen von den für das Sampling verwendeten Besonderheiten verfügen alle Geräte über eine ähnliche Basiskonfiguration, die IPv6- und IPv4-Konnektivität der Hauptinstanz unterstützt.
-
Konfigurieren Sie die IPv4- und IPv6-Routing-Baseline. Dazu gehört die Nummerierung der Loopback- und Core-Schnittstellen für IPv4 und IPv6. Außerdem definieren Sie das OSPF- und OSPFv3-Routingprotokoll, um die Erreichbarkeit zwischen allen Netzwerkschnittstellen zu gewährleisten.
Für die Schnittstelle, die an den Analyzer angeschlossen ist, wird eine passive IGP-Instanz bereitgestellt. Dies bietet Erreichbarkeit für Diagnosezwecke, ohne dass Hello-Pakete auf der Schnittstelle generiert werden. Eine OSPF-Nachbarschaft zum Analysegerät wird nicht erwartet oder benötigt
[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:100::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0 interface et-0/0/2.0 passive
Hinweis: Für den Anwendungsfall der lokalen Spiegelung ist nur eine IP-Verbindung zwischen dem Analysegerät und dem Gerät erforderlich, das die Portspiegelung durchführt. In diesem Beispiel führen wir eine passive IGP auf der Schnittstelle aus, die an den Analysator angeschlossen ist. Wir konfigurieren auch eine Standardroute auf dem Analysegerät, um die IP-Konnektivität zwischen ihm und den anderen Geräten herzustellen. Dies bietet die Möglichkeit, die Konnektivität zwischen dem Analysator und allen anderen Geräten zu testen. in der Topologie.Diese Funktion ist am nützlichsten in einem Remote-Port-Mirror-Fall, in dem eine Layer-3-Erreichbarkeit zwischen dem Probenahmegerät und dem Analysator erforderlich ist.
- Konfigurieren Sie die Abtastrate. Wir verwenden eine Rate von 1, um alle übereinstimmenden Pakete auszuwählen und zu testen. Der Standardwert
run-length0 bleibt bestehen, da der gesamte übereinstimmende Datenverkehr bereits abgetastet wurde. Sie müssen auch die Ausgangsschnittstelle und die Adresse des nächsten Hops angeben, an die der gespiegelte Datenverkehr gesendet wird. In diesem Beispiel der lokalen Portspiegelung ist zu beachten, dass die angegebenen Schnittstellen- und Next-Hop-Adressen direkt an den Prüfling angehängt sind. Daher werden keine Tunnel benötigt oder verwendet, wenn der gespiegelte Datenverkehr an den Analyzer gesendet wird.[edit] set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family inet output interface et-0/0/2.0 next-hop 10.0.100.1 set forwarding-options port-mirroring family inet6 output interface et-0/0/2.0 next-hop 2001:db8:10:0:100::1
Hinweis:Bei dieser Konfiguration wird davon ausgegangen, dass der Analyzer auf ARP- und ND-Anforderungen antwortet, die vom Prüfling zur Auflösung der MAC-Adresse gesendet werden. Wenn dies nicht der Fall ist oder wenn Sie möchten, dass ARP-Datenverkehr nicht Teil Ihrer Paketerfassungen ist, sollten Sie einen statischen ARP-Eintrag konfigurieren. Stellen Sie sicher, dass Sie die richtige MAC-Adresse für die Schnittstelle auf dem Analysegerät angeben, das an den Prüfling angeschlossen ist.
-
Definieren Sie den Firewall-Filter, der abgeglichen werden soll, und spiegeln Sie dann IPv4-Pakete. Beachten Sie, dass die Aktion des Filters eine Port-Spiegelungsaktion angibt. Diese Aktion leitet übereinstimmenden Datenverkehr an die zuvor konfigurierten Portspiegelungsinstanzen weiter. Es sind zwei Filter definiert, jeweils einer für die Quell- und Zieladressen von CE1 bzw. CE2. Die Filter verfügen über eine Zählfunktion, die bei der Bestätigung des ordnungsgemäßen Betriebs hilft.
Vergessen Sie nicht den letzten
accept-allBegriff, der die Standardaktiondeny-alleines Junos-Firewallfilters außer Kraft setzt![edit] set firewall filter mirror_ce1 term term1 from source-address 172.16.1.1/32 set firewall filter mirror_ce1 term term1 from destination-address 172.16.2.1/32 set firewall filter mirror_ce1 term term1 then count mirror_ce1 set firewall filter mirror_ce1 term term1 then port-mirror set firewall filter mirror_ce1 term term1 then accept set firewall filter mirror_ce1 term accept-all then accept set firewall filter mirror_ce2 term term1 from source-address 172.16.2.1/32 set firewall filter mirror_ce2 term term1 from destination-address 172.16.1.1/32 set firewall filter mirror_ce2 term term1 then count mirror_ce2 set firewall filter mirror_ce2 term term1 then port-mirror set firewall filter mirror_ce2 term term1 then accept set firewall filter mirror_ce2 term accept-all then accept
-
Definieren Sie den Firewall-Filter so, dass IPv6-Pakete abgeglichen und gespiegelt werden.
[edit] set firewall family inet6 filter ce1_v6 term 1 from source-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce1_v6 term 1 from destination-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce1_v6 term 1 then count ce1_v6 set firewall family inet6 filter ce1_v6 term 1 then port-mirror set firewall family inet6 filter ce1_v6 term 1 then accept set firewall family inet6 filter ce1_v6 term accept-all then accept set firewall family inet6 filter ce2_v6 term 1 from source-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce2_v6 term 1 from destination-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce2_v6 term 1 then count ce2_v6 set firewall family inet6 filter ce2_v6 term 1 then port-mirror set firewall family inet6 filter ce2_v6 term 1 then accept set firewall family inet6 filter ce2_v6 term accept-all then accept
-
Wenden Sie die IPv4- und IPv6-Filter auf die gewünschten Schnittstellen an. In unserem Beispiel wenden wir beide Filter auf die Schnittstelle et-0/0/0 an. Beachten Sie die Richtungsabhängigkeit der Filteranwendung. Für jeden CE-Datenverkehrsfluss (IPv4 oder IPv6) wenden wir einen Filter als Eingang und den anderen als Ausgang an. Diese Anwendungsmethode ist mit der Schreibweise der Filter unter Berücksichtigung der Adresszuweisungen und der Richtungsabhängigkeit des Datenverkehrs kompatibel.
[edit] set interfaces et-0/0/0 unit 0 family inet filter input mirror_ce1 set interfaces et-0/0/0 unit 0 family inet filter output mirror_ce2 set interfaces et-0/0/0 unit 0 family inet6 filter input ce1_v6 set interfaces et-0/0/0 unit 0 family inet6 filter output ce2_v6
Überprüfung
-
Bestätigen Sie OSPF- und OSPF3-Nachbarn und Routen zu allen Loopback-Adressen.
user@r3-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.1 et-0/0/0.0 Full 192.168.0.2 128 31 10.0.34.2 et-0/0/1.0 Full 192.168.0.4 128 38 user@r3-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.2 et-0/0/0.0 Full 128 30 Neighbor-address fe80::c6ba:25ff:fe48:9 192.168.0.4 et-0/0/1.0 Full 128 32 Neighbor-address fe80::6204:30ff:fe6e:ffff regress@r3-ptx> show route protocol ospf | match /32 172.16.1.1/32 *[OSPF/10] 01:04:02, metric 2 172.16.2.1/32 *[OSPF/10] 6d 00:47:07, metric 2 192.168.0.2/32 *[OSPF/10] 01:04:02, metric 1 192.168.0.4/32 *[OSPF/10] 6d 00:47:12, metric 1 224.0.0.5/32 *[OSPF/10] 6d 00:48:28, metric 1 224.0.0.6/32 *[OSPF/10] 6d 00:48:28, metric 1 regress@r3-ptx> show route protocol ospf3 | match /128 2001:db8:172:16:1::1/128 2001:db8:172:16:2::1/128 2001:db8:192:168::2/128*[OSPF3/10] 01:04:09, metric 1 2001:db8:192:168::4/128*[OSPF3/10] 6d 00:47:15, metric 1 ff02::5/128 *[OSPF3/10] 6d 00:48:35, metric 1 ff02::6/128 *[OSPF3/10] 6d 00:48:35, metric 1
-
Bestätigen Sie die Portspiegelungsinstanz auf R3. Stellen Sie sicher, dass der Port-Spiegelungsstatus für die Spiegelungsschnittstelle gilt
up. Stellen Sie sicher, dass Sie denupStatus sowohl für die IPv4- als auch für die IPv6-Familie bestätigen. In diesem Fall empfiehlt es sich, die IP-Konnektivität zwischen dem Prüfling und dem Analysator zu bestätigen. In unserem Setup ist auf dem Analyzer eine Standardroute konfiguriert, um Ping-Tests von allen Punkten des Netzwerks aus zu ermöglichen. Technisch gesehen muss der Analysator nur für den Prüfling erreichbar sein (R3), da es sich hierbei um ein Beispiel für Local Port Mirroring handelt.user@r3-ptx> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up et-0/0/2.0 10.0.100.1 inet6 up et-0/0/2.0 2001:db8:10:0:100::1 -
Löschen Sie die Firewall-Zähler und Schnittstellenstatistiken auf R3. Generieren Sie als Nächstes IPv4- und IPv6-Testdatenverkehr zwischen den CE-Geräten, und zeigen Sie die Firewall-Zähler auf R3 an. Stellen Sie sicher, dass die auf R3 angewendeten Filter den Testdatenverkehr korrekt widerspiegeln.
user@r3-ptx> clear firewall all user@r3-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 10 rapid PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. --- 172.16.2.1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 711ms rtt min/avg/max/mdev = 11.161/72.078/364.497/121.714 ms, ipg/ewma 78.945/100.962 ms user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 10 rapid ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 10 rapid PING 2001:db8:172:16:2::1(2001:db8:172:16:2::1) from 2001:db8:172:16:1::1 : 56 data bytes --- 2001:db8:172:16:2::1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 2436ms rtt min/avg/max/mdev = 11.363/247.188/518.314/226.132 ms, pipe 2, ipg/ewma 270.652/201.439 ms
-
Zeigen Sie die Firewall-Leistungsindikatoren auf R3 an. Überprüfen Sie, ob die auf R3 angewendeten Filter den von Ihnen generierten Testdatenverkehr korrekt wiedergeben.
user@r3-ptx> show firewall Filter: mirror_ce1 Counters: Name Bytes Packets mirror_ce1 840 10 Filter: mirror_ce2 Counters: Name Bytes Packets mirror_ce2 840 10 Filter: ce1_v6 Counters: Name Bytes Packets ce1_v6 1040 10 Filter: ce2_v6 Counters: Name Bytes Packets ce2_v6 1040 10
-
Zeigt Schnittstellenstatistiken für die et-0/0/2.0-Schnittstelle von R3 an, die an den Analysator angeschlossen ist. Das Ziel besteht darin, Ausgabedatenverkehrszähler zu bestätigen, die mit dem generierten Testdatenverkehr korrelieren. Mit zehn Pings für IPv4 und IPv6 und angesichts der Tatsache, dass wir sowohl Anfragen als auch Antworten spiegeln, können Sie mit etwa 40 Ausgabepaketen rechnen.
user@r3-ptx> show interfaces et-0/0/2.0 detail Logical interface et-0/0/2.0 (Index 1017) (SNMP ifIndex 541) (Generation 704374637676) Flags: Up SNMP-Traps Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 3760 Input packets: 0 Output packets: 40 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 3760 0 bps Input packets: 0 0 pps Output packets: 40 0 pps -
Führen Sie tcpdump oder die Analyseanwendung Ihrer Wahl auf der Überwachungsstation aus, um den Empfang und die Verarbeitung des gespiegelten Testdatenverkehrs zu bestätigen. Um die Größe der Erfassung kleiner zu halten, haben wir neuen Testdatenverkehr mit nur zwei Ping-Anfragen für IPv4 und IPv6 generiert. Die Erfassung und Decodierung bestätigt, dass die Portspiegelung von IPv4 und IPv6 basierend auf einem Firewall-Filterabgleich wie erwartet funktioniert. Beachten Sie, dass sowohl der Anforderungs- als auch der Antwortverkehr angezeigt wird.
Beachten Sie bei der Erfassung außerdem, dass nur der Layer-3-Datenverkehr gespiegelt wird. Die gezeigte Layer-2-Kapselung wird vom Prüfling (R3) erzeugt, wenn der gespiegelte Datenverkehr an den Analysator weitergeleitet wird. Sie können die Port-Spiegelung für Layer-2-Services wie Ethernet-Switching oder VXLAN konfigurieren, wenn Sie den ursprünglichen Layer-2-Frame beibehalten müssen.
Anhang: Festlegen von Befehlen auf allen Geräten
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.
R1 (CE)
set system host-name r1-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2 (PE)
set system host-name r2-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/2 unit 0 family inet tunnel-termination set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set routing-options router-id 192.168.0.2 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R3 (Prüfling)
set system host-name r3-ptx set interfaces et-0/0/0 unit 0 family inet filter input mirror_ce1 set interfaces et-0/0/0 unit 0 family inet filter output mirror_ce2 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 filter input ce1_v6 set interfaces et-0/0/0 unit 0 family inet6 filter output ce2_v6 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:100::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring input run-length 0 set forwarding-options port-mirroring family inet output interface et-0/0/2.0 next-hop 10.0.100.1 set forwarding-options port-mirroring family inet6 output interface et-0/0/2.0 next-hop 2001:db8:10:0:100::1 set firewall family inet6 filter ce1_v6 term 1 from source-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce1_v6 term 1 from destination-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce1_v6 term 1 then count ce1_v6 set firewall family inet6 filter ce1_v6 term 1 then port-mirror set firewall family inet6 filter ce1_v6 term 1 then accept set firewall family inet6 filter ce1_v6 term accept-all then accept set firewall family inet6 filter ce2_v6 term 1 from source-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce2_v6 term 1 from destination-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce2_v6 term 1 then count ce2_v6 set firewall family inet6 filter ce2_v6 term 1 then port-mirror set firewall family inet6 filter ce2_v6 term 1 then accept set firewall family inet6 filter ce2_v6 term accept-all then accept set firewall filter mirror_ce1 term 1 from source-address 172.16.1.1/32 set firewall filter mirror_ce1 term 1 from destination-address 172.16.2.1/32 set firewall filter mirror_ce1 term 1 then count mirror_ce1 set firewall filter mirror_ce1 term 1 then port-mirror set firewall filter mirror_ce1 term 1 then accept set firewall filter mirror_ce1 term accept-all then accept set firewall filter mirror_ce2 term term1 from source-address 172.16.2.1/32 set firewall filter mirror_ce2 term 1 from destination-address 172.16.1.1/32 set firewall filter mirror_ce2 term 1 then count mirror_ce2 set firewall filter mirror_ce2 term 1 then port-mirror set firewall filter mirror_ce2 term 1 then accept set firewall filter mirror_ce2 term accept-all then accept set routing-options router-id 192.168.0.3 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive
R4 (PE)
set system host-name r4-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:200::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set routing-options router-id 192.168.0.4 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R5 (CE)
set system host-name r5-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable