Beispiel: Konfiguration der lokalen Portspiegelung auf PTX-Routern
Dieses Beispiel zeigt, wie Sie die lokale Portspiegelung auf PTX-Plattformen konfigurieren und überprüfen, auf denen Junos Evolved ausgeführt wird. Die PTX-Plattformen umfassen die Gehäuse PTX10001-36MR, LC1201 und LC1202 in den Gehäusen PTX10004, PTX10008 und PTX10016
Bevor Sie beginnen
| Hardware- und Software-Anforderungen | Junos OS Evolved Version 22.2R1.12-EVO oder höher. PTX10001-36MR Im Feature-Explorer finden Sie eine vollständige Liste der unterstützten Plattformen und Junos OS-Versionen. |
| Geschätzte Lesezeit |
Fünfzehn Minuten. |
| Geschätzte Konfigurationszeit |
Dreißig Minuten |
| Auswirkungen auf das Geschäft |
Verwenden Sie dieses Konfigurationsbeispiel, um die lokale Portspiegelungsfunktion zu konfigurieren. Die Portspiegelung ist ein wichtiges Tool für das Debugging und sicherheitsrelevante Aufgaben. Spiegelverkehr kann offline von einer Vielzahl von Tools analysiert werden, um entweder Protokollinteraktionen zu sehen oder Anomalien zu erkennen. |
| Mehr erfahren |
Ein besseres Verständnis der Portspiegelung finden Sie unter Portspiegelung und Analysetools |
| Weitere Informationen |
Schulungsportal |
Funktionsübersicht
Tabelle 1 enthält eine kurze Zusammenfassung der in diesem Beispiel verwendeten Protokolle und Technologien.
| Routing- und Signalisierungsprotokolle |
|
| OSPF und OSPF3 |
Auf allen Routern werden OSPF und OSPF3 als IGP ausgeführt. Alle Router gehören zum Bereich 0 (auch Backbone-Bereich genannt). Die OSPF/OSPF3-Routing-Domänen bieten eine interne Erreichbarkeit für alle Netzwerke und Schnittstellen in der Topologie. In diesem Beispiel sind die CE- und PE/P-Geräte Teil derselben IGP-Routingdomäne. Daher sind keine Tunnel zwischen den PE-Geräten erforderlich, um den CE-Datenverkehr über den Core zu transportieren. Da es sich um einen Anwendungsfall für lokale Spiegelungen handelt, ist eine GRE-Kapselung nicht erforderlich, wenn gespiegelter Datenverkehr an die Überwachungsstation gesendet wird. |
| Routing-Protokolle |
|
| IPv4 und IPv6 |
Alle Geräte sind so konfiguriert, dass sie das Routing von IPv4 und IPv6 unterstützen. |
| Analysator (Überwachungsstation) |
|
| Centos und Wireshark |
Auf dem Analysator läuft Centos 7.x mit einer GUI-Version von Wireshark. |
Überblick über die Topologie
In diesem Beispiel fungiert das R3-Gerät als Testobjekt (Device Under Test, DUT), da hier die Portspiegelung konfiguriert ist. Das Gerät verwendet Firewall-Filter, um die IP-Adressen abzugleichen, die den CE-Geräten zugeordnet sind, um die Portspiegelungsaktion auszulösen. Eine Kombination aus Eingangs- und Ausgangsfiltern wird verwendet, um sowohl den Anforderungs- als auch den Antwortverkehr widerzuspiegeln, der zwischen den CE-Geräten (R1 und R5) fließt.
Die Firewall-Filter, die Paketabtastung hervorrufen, werden auf eine oder mehrere der Transitschnittstellen des R3-Geräts angewendet.
| Gerätename | Rolle |
Funktion |
| CE | Customer Edge (CE)-Gerät, das Testdatenverkehr sendet, um zu bestätigen, dass die Probenahme ordnungsgemäß funktioniert. | Diese Geräte werden als CE-Geräte bezeichnet. In den meisten Fällen ist ein CE-Gerät Teil eines VPN-Dienstes. Hier lassen wir das CE denselben OSPF-Bereich 0 wie die Provider-Geräte teilen, um die IP-Konnektivität der Hauptinstanz bereitzustellen. |
| PE | Provider Edge (PE)-Gerät, das an das CE angeschlossen wird. | Geräte am Edge eines Provider-Netzwerks. Unsere PEs laufen nur mit OSPF. BGP und VPNs werden nicht bereitgestellt. |
| P | Einen Provider (P)-Core-Router. | Wir entscheiden uns dafür, die Portspiegelung an einem P-Router zu demonstrieren. Sie können die Portspiegelung auf jedem der Anbietergeräte nach Bedarf konfigurieren. |
| Analysator | Das Analysegerät empfing den gespiegelten Datenverkehr zur Speicherung und Analyse. | Die Einzelheiten des Analysetools liegen außerhalb des Rahmens dieses Dokuments. Es gibt eine Reihe von Open-Source- und kommerziellen Optionen. Auf unserem Analysator läuft zufällig Centos 7.x mit einem Gnome-Desktop, der eine GUIO-Version von Wireshark unterstützt. |
Topologie-Abbildungen
R3-Konfigurationsschritte
Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus
Die vollständige Konfiguration auf allen Geräten finden Sie unter: Anhang 2: Befehle auf allen Geräten festlegen
In diesem Abschnitt werden die wichtigsten Konfigurationsaufgaben hervorgehoben, die zum Konfigurieren des Prüflings erforderlich sind, in diesem Beispiel das P-Gerät (R3). Abgesehen von den für das Sampling verwendeten Besonderheiten verfügen alle Geräte über eine ähnliche Basiskonfiguration, die IPv6- und IPv4-Konnektivität der Hauptinstanz unterstützt.
-
Konfigurieren Sie die IPv4- und IPv6-Routing-Baseline. Dazu gehört die Nummerierung der Loopback- und Core-Schnittstellen für IPv4 und IPv6. Außerdem definieren Sie das Routing-Protokoll OSPF und OSPFv3, um die Erreichbarkeit zwischen allen Netzwerkschnittstellen zu gewährleisten.
Eine passive IGP-Instanz wird für die Schnittstelle bereitgestellt, die an das Analysetool angeschlossen ist. Dies bietet Erreichbarkeit für Diagnosezwecke, ohne dass Hello-Pakete auf der Schnittstelle generiert werden müssen. Eine OSPF-Nachbarschaft zum Analysegerät wird nicht erwartet oder benötigt
[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:100::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0 interface et-0/0/2.0 passive
Hinweis: Für den Anwendungsfall der lokalen Spiegelung ist nur eine IP-Verbindung zwischen dem Analysator und dem Gerät erforderlich, das die Portspiegelung durchführt. In diesem Beispiel führen wir eine passive IGP auf der Schnittstelle aus, die an das Analysetool angeschlossen ist. Außerdem konfigurieren wir eine Standardroute auf dem Analysator, um die IP-Konnektivität zwischen ihm und den anderen Geräten zu gewährleisten. Dies bietet die Möglichkeit, die Konnektivität zwischen dem Analysator und allen anderen Geräten zu testen. in der Topologie.Diese Funktion ist besonders nützlich in einem Fall einer Remote-Port-Spiegelung, in dem eine Layer-3-Erreichbarkeit zwischen dem Probenahmegerät und dem Analysator erforderlich ist.
- Konfigurieren Sie die Abtastrate. Wir verwenden eine Rate von 1, um alle passenden Pakete auszuwählen und zu sampeln. Der Standardwert
run-length0 bleibt erhalten, sofern der gesamte übereinstimmende Datenverkehr bereits abgetastet wurde. Sie müssen auch die Ausgangsschnittstelle und die Adresse des nächsten Hops angeben, an die der gespiegelte Datenverkehr gesendet wird. In diesem Beispiel der lokalen Portspiegelung ist zu beachten, dass die angegebene Schnittstelle und die Adressen des nächsten Hops direkt an den Prüfling angeschlossen sind. Daher werden beim Senden des gespiegelten Datenverkehrs an das Analysegerät keine Tunnel benötigt oder verwendet.[edit] set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family inet output interface et-0/0/2.0 next-hop 10.0.100.1 set forwarding-options port-mirroring family inet6 output interface et-0/0/2.0 next-hop 2001:db8:10:0:100::1
Hinweis:Bei dieser Konfiguration wird davon ausgegangen, dass das Analysetool auf ARP- und ND-Anforderungen antwortet, die vom Testling zur Auflösung von MAC-Adressen gesendet werden. Wenn dies nicht der Fall ist oder wenn Sie möchten, dass ARP-Datenverkehr nicht Teil Ihrer Paketerfassung ist, sollten Sie einen statischen ARP-Eintrag konfigurieren. Stellen Sie sicher, dass Sie die richtige MAC-Adresse für die Schnittstelle auf dem Analysegerät angeben, das an den Prüfling angeschlossen ist.
-
Definieren Sie den Firewallfilter so, dass IPv4-Pakete eingegriffen und dann gespiegelt werden. Beachten Sie, dass die Aktion des Filters eine Portspiegelungsaktion angibt. Diese Aktion leitet übereinstimmenden Datenverkehr an die zuvor konfigurierten Portspiegelungsinstanzen weiter. Es werden zwei Filter definiert, jeweils einer für die Quell- und Zieladressen von CE1 und CE2. Die Filter enthalten eine Zählfunktion, die bei der Bestätigung des ordnungsgemäßen Betriebs hilft.
Übersehen Sie nicht den letzten
accept-allBegriff, der die Standardaktiondeny-alleines Junos-Firewall-Filters außer Kraft setzt![edit] set firewall filter mirror_ce1 term term1 from source-address 172.16.1.1/32 set firewall filter mirror_ce1 term term1 from destination-address 172.16.2.1/32 set firewall filter mirror_ce1 term term1 then count mirror_ce1 set firewall filter mirror_ce1 term term1 then port-mirror set firewall filter mirror_ce1 term term1 then accept set firewall filter mirror_ce1 term accept-all then accept set firewall filter mirror_ce2 term term1 from source-address 172.16.2.1/32 set firewall filter mirror_ce2 term term1 from destination-address 172.16.1.1/32 set firewall filter mirror_ce2 term term1 then count mirror_ce2 set firewall filter mirror_ce2 term term1 then port-mirror set firewall filter mirror_ce2 term term1 then accept set firewall filter mirror_ce2 term accept-all then accept
-
Definieren Sie den Firewall-Filter so, dass er IPv6-Pakete abgleicht und spiegelt.
[edit] set firewall family inet6 filter ce1_v6 term 1 from source-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce1_v6 term 1 from destination-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce1_v6 term 1 then count ce1_v6 set firewall family inet6 filter ce1_v6 term 1 then port-mirror set firewall family inet6 filter ce1_v6 term 1 then accept set firewall family inet6 filter ce1_v6 term accept-all then accept set firewall family inet6 filter ce2_v6 term 1 from source-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce2_v6 term 1 from destination-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce2_v6 term 1 then count ce2_v6 set firewall family inet6 filter ce2_v6 term 1 then port-mirror set firewall family inet6 filter ce2_v6 term 1 then accept set firewall family inet6 filter ce2_v6 term accept-all then accept
-
Wenden Sie die IPv4- und IPv6-Filter auf die gewünschten Schnittstellen an. In unserem Beispiel wenden wir beide Filter auf die Schnittstelle et-0/0/0 an. Beachten Sie die Richtungsabhängigkeit der Filteranwendung. Für jeden CE-Datenstrom (IPv4 oder IPv6) wenden wir einen Filter als Eingang und den anderen als Ausgang an. Diese Art der Anwendung ist kompatibel mit der Art und Weise, wie die Filter geschrieben werden, unter Berücksichtigung der Adresszuweisungen und der Richtungsabhängigkeit des Datenverkehrs.
[edit] set interfaces et-0/0/0 unit 0 family inet filter input mirror_ce1 set interfaces et-0/0/0 unit 0 family inet filter output mirror_ce2 set interfaces et-0/0/0 unit 0 family inet6 filter input ce1_v6 set interfaces et-0/0/0 unit 0 family inet6 filter output ce2_v6
Verifizierung
-
Bestätigen Sie OSPF- und OSPF3-Nachbarn und routen Sie sie an alle Loopback-Adressen.
user@r3-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.1 et-0/0/0.0 Full 192.168.0.2 128 31 10.0.34.2 et-0/0/1.0 Full 192.168.0.4 128 38 user@r3-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.2 et-0/0/0.0 Full 128 30 Neighbor-address fe80::c6ba:25ff:fe48:9 192.168.0.4 et-0/0/1.0 Full 128 32 Neighbor-address fe80::6204:30ff:fe6e:ffff regress@r3-ptx> show route protocol ospf | match /32 172.16.1.1/32 *[OSPF/10] 01:04:02, metric 2 172.16.2.1/32 *[OSPF/10] 6d 00:47:07, metric 2 192.168.0.2/32 *[OSPF/10] 01:04:02, metric 1 192.168.0.4/32 *[OSPF/10] 6d 00:47:12, metric 1 224.0.0.5/32 *[OSPF/10] 6d 00:48:28, metric 1 224.0.0.6/32 *[OSPF/10] 6d 00:48:28, metric 1 regress@r3-ptx> show route protocol ospf3 | match /128 2001:db8:172:16:1::1/128 2001:db8:172:16:2::1/128 2001:db8:192:168::2/128*[OSPF3/10] 01:04:09, metric 1 2001:db8:192:168::4/128*[OSPF3/10] 6d 00:47:15, metric 1 ff02::5/128 *[OSPF3/10] 6d 00:48:35, metric 1 ff02::6/128 *[OSPF3/10] 6d 00:48:35, metric 1
-
Bestätigen Sie die Portspiegelungsinstanz auf R3. Stellen Sie sicher, dass der Status der Portspiegelung für die Spiegelungsschnittstelle gilt
up. Vergewissern Sie sich, dass Sie denupStatus sowohl für die IPv4- als auch für die IPv6-Familie bestätigen. Hier empfiehlt es sich, die IP-Konnektivität zwischen dem Prüfling und dem Analysator zu überprüfen. In unserem Setup ist auf dem Analysator eine Standardroute konfiguriert, um Ping-Tests von allen Punkten des Netzwerks aus zu ermöglichen. Technisch gesehen muss der Analysator nur über den Prüfling (R3) erreichbar sein, da dies ein Beispiel für lokale Portspiegelung ist.user@r3-ptx> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up et-0/0/2.0 10.0.100.1 inet6 up et-0/0/2.0 2001:db8:10:0:100::1 -
Löschen Sie die Firewall-Zähler und Schnittstellenstatistiken auf R3. Generieren Sie als Nächstes IPv4- und IPv6-Testdatenverkehr zwischen den CE-Geräten und zeigen Sie die Firewall-Zähler auf R3 an. Überprüfen Sie, ob die auf R3 angewendeten Filter den Testdatenverkehr korrekt widerspiegeln.
user@r3-ptx> clear firewall all user@r3-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 10 rapid PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. --- 172.16.2.1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 711ms rtt min/avg/max/mdev = 11.161/72.078/364.497/121.714 ms, ipg/ewma 78.945/100.962 ms user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 10 rapid ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 10 rapid PING 2001:db8:172:16:2::1(2001:db8:172:16:2::1) from 2001:db8:172:16:1::1 : 56 data bytes --- 2001:db8:172:16:2::1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 2436ms rtt min/avg/max/mdev = 11.363/247.188/518.314/226.132 ms, pipe 2, ipg/ewma 270.652/201.439 ms
-
Zeigen Sie die Firewall-Zähler auf R3 an. Überprüfen Sie, ob die auf R3 angewendeten Filter den von Ihnen generierten Testdatenverkehr korrekt widerspiegeln.
user@r3-ptx> show firewall Filter: mirror_ce1 Counters: Name Bytes Packets mirror_ce1 840 10 Filter: mirror_ce2 Counters: Name Bytes Packets mirror_ce2 840 10 Filter: ce1_v6 Counters: Name Bytes Packets ce1_v6 1040 10 Filter: ce2_v6 Counters: Name Bytes Packets ce2_v6 1040 10
-
Zeigen Sie Schnittstellenstatistiken für die et-0/0/2.0-Schnittstelle von R3 an, die an das Analysetool angeschlossen ist. Ziel ist es, Ausgabedatenverkehrszähler zu bestätigen, die mit dem generierten Testdatenverkehr korrelieren. Mit zehn Pings für IPv4 und IPv6 und da wir sowohl Anfragen als auch Antworten spiegeln, können Sie mit etwa 40 Ausgabepaketen rechnen.
user@r3-ptx> show interfaces et-0/0/2.0 detail Logical interface et-0/0/2.0 (Index 1017) (SNMP ifIndex 541) (Generation 704374637676) Flags: Up SNMP-Traps Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 3760 Input packets: 0 Output packets: 40 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 3760 0 bps Input packets: 0 0 pps Output packets: 40 0 pps -
Führen Sie tcpdump oder eine Analyseanwendung Ihrer Wahl auf der Überwachungsstation aus, um den Empfang und die Verarbeitung des gespiegelten Testdatenverkehrs zu bestätigen. Um die Größe der Erfassung kleiner zu halten, haben wir neuen Testdatenverkehr mit nur zwei Ping-Anfragen für IPv4 und IPv6 generiert. Die Erfassung und Dekodierung bestätigt, dass die Portspiegelung von IPv4 und IPv6 auf der Grundlage eines Firewall-Filterabgleichs wie erwartet funktioniert. Beachten Sie, dass sowohl Anforderungs- als auch Antwortdatenverkehr angezeigt werden.
Beachten Sie bei der Erfassung außerdem, dass nur der Layer-3-Datenverkehr gespiegelt wird. Die gezeigte Layer-2-Kapselung wird vom Testobjekt (R3) generiert, wenn der gespiegelte Datenverkehr an den Analysator weitergeleitet wird. Sie können die Portspiegelung für Layer-2-Services wie Ethernet-Switching oder VXLAN konfigurieren, wenn der ursprüngliche Layer-2-Frame beibehalten werden muss.
Anhang: Befehle auf allen Geräten festlegen
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.
R1 (CE)
set system host-name r1-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2 (PE)
set system host-name r2-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/2 unit 0 family inet tunnel-termination set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set routing-options router-id 192.168.0.2 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R3 (ANT)
set system host-name r3-ptx set interfaces et-0/0/0 unit 0 family inet filter input mirror_ce1 set interfaces et-0/0/0 unit 0 family inet filter output mirror_ce2 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 filter input ce1_v6 set interfaces et-0/0/0 unit 0 family inet6 filter output ce2_v6 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:100::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring input run-length 0 set forwarding-options port-mirroring family inet output interface et-0/0/2.0 next-hop 10.0.100.1 set forwarding-options port-mirroring family inet6 output interface et-0/0/2.0 next-hop 2001:db8:10:0:100::1 set firewall family inet6 filter ce1_v6 term 1 from source-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce1_v6 term 1 from destination-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce1_v6 term 1 then count ce1_v6 set firewall family inet6 filter ce1_v6 term 1 then port-mirror set firewall family inet6 filter ce1_v6 term 1 then accept set firewall family inet6 filter ce1_v6 term accept-all then accept set firewall family inet6 filter ce2_v6 term 1 from source-address 2001:db8:172:16:2::1/128 set firewall family inet6 filter ce2_v6 term 1 from destination-address 2001:db8:172:16:1::1/128 set firewall family inet6 filter ce2_v6 term 1 then count ce2_v6 set firewall family inet6 filter ce2_v6 term 1 then port-mirror set firewall family inet6 filter ce2_v6 term 1 then accept set firewall family inet6 filter ce2_v6 term accept-all then accept set firewall filter mirror_ce1 term 1 from source-address 172.16.1.1/32 set firewall filter mirror_ce1 term 1 from destination-address 172.16.2.1/32 set firewall filter mirror_ce1 term 1 then count mirror_ce1 set firewall filter mirror_ce1 term 1 then port-mirror set firewall filter mirror_ce1 term 1 then accept set firewall filter mirror_ce1 term accept-all then accept set firewall filter mirror_ce2 term term1 from source-address 172.16.2.1/32 set firewall filter mirror_ce2 term 1 from destination-address 172.16.1.1/32 set firewall filter mirror_ce2 term 1 then count mirror_ce2 set firewall filter mirror_ce2 term 1 then port-mirror set firewall filter mirror_ce2 term 1 then accept set firewall filter mirror_ce2 term accept-all then accept set routing-options router-id 192.168.0.3 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive
R4 (PE)
set system host-name r4-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces et-0/0/2 unit 0 family inet6 address 2001:db8:10:0:200::2/64 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set routing-options router-id 192.168.0.4 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R5 (CE)
set system host-name r5-ptx set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable