Konfigurieren der Portspiegelung für mehrere Ziele
Grundlegendes zur Layer-2-Port-Spiegelung an mehrere Ziele mithilfe von Next-Hop-Gruppen
Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie den Datenverkehr auf mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen in Layer-2-Port-Mirroring-Firewall-Filtern konfigurieren, die auf Tunnelschnittstellen angewendet werden. Die Spiegelung von Paketen auf mehrere Ziele wird auch als Multipacket-Port-Spiegelung bezeichnet.
Mit Junos OS Version 9.5 wurde die Unterstützung für die Layer-2-Port-Spiegelung mithilfe von Next-Hop-Gruppen auf Routern der MX-Serie eingeführt, es war jedoch die Installation eines Tunnel-PIC erforderlich. Ab Junos OS Version 9.6 sind für die Layer-2-Port-Spiegelung mithilfe von Next-Hop-Gruppen auf Routern der MX-Serie keine Tunnel-PICs mehr erforderlich.
Auf Routern der MX-Serie und auf Switches der EX-Serie können Sie einen Firewall-Filter für die Spiegelung von Paketen in eine Next-Hop-Gruppe definieren. Die Next-Hop-Gruppe kann Layer-2-Mitglieder, Layer-3-Mitglieder und Untergruppen enthalten, die entweder Unit-Liste (Spiegelung von Paketen auf jede Schnittstelle) oder Lastenausgleich (Spiegelung von Paketen auf eine von mehreren Schnittstellen) sind. Der Router der MX-Serie und der Switch der EX-Serie unterstützen bis zu 30 Next-Hop-Gruppen. Jede Next-Hop-Gruppe unterstützt bis zu 16 Next-Hop-Adressen. Jede Next-Hop-Gruppe muss mindestens zwei Adressen angeben.
Um die Portspiegelung für die Mitglieder einer Next-Hop-Gruppe zu aktivieren, geben Sie die Next-Hop-Gruppe als Filteraktion eines Firewall-Filters an und wenden dann den Firewall-Filter auf logische Tunnelschnittstellen () oder virtuelle Tunnelschnittstellen () auf dem Router der MX-Serie oder auf dem Switch der EX-Serie an.lt-vt-
Die Verwendung von Untergruppen für den Lastenausgleich von gespiegeltem Datenverkehr wird nicht unterstützt.
Definieren einer Next-Hop-Gruppe auf Routern der MX-Serie für die Port-Spiegelung
Ab Version 14.2 können Sie auf Routern, die einen Internet Processor II ASIC (Application-Specific Integrated Circuit) oder einen Internetprozessor der T-Serie enthalten, eine Kopie eines IP-Pakets der Version 4 (IPv4) oder IP Version 6 (IPv6) vom Router zur Analyse an eine externe Hostadresse oder einen Paketanalysator senden. Dies wird als Port-Spiegelung bezeichnet.
Die Portspiegelung unterscheidet sich vom Traffic-Sampling. Beim Datenverkehrs-Sampling wird ein Sampling-Schlüssel basierend auf dem IPv4-Header an die Routing-Engine gesendet. Dort kann der Schlüssel in einer Datei abgelegt werden, oder cflowd-Pakete, die auf dem Schlüssel basieren, können an einen cflowd-Server gesendet werden. Bei der Portspiegelung wird das gesamte Paket kopiert und über eine Next-Hop-Schnittstelle gesendet.
Sie können die gleichzeitige Verwendung von Sampling und Port-Spiegelung konfigurieren und eine unabhängige Samplingrate und -laufzeit für Port-gespiegelte Pakete festlegen. Wenn ein Paket jedoch sowohl für das Sampling als auch für die Portspiegelung ausgewählt wird, kann nur eine Aktion ausgeführt werden, und die Portspiegelung hat Vorrang. Wenn Sie z. B. eine Schnittstelle so konfigurieren, dass jede Paketeingabe an die Schnittstelle abgetastet wird, und ein Filter auch das Paket auswählt, das an eine andere Schnittstelle gespiegelt werden soll, wird nur die Portspiegelung wirksam. Alle anderen Pakete, die nicht den Kriterien für die explizite Filter-Port-Spiegelung entsprechen, werden weiterhin abgetastet, wenn sie an ihr endgültiges Ziel weitergeleitet werden.
Mit Next-Hop-Gruppen können Sie Portspiegelung auf mehreren Schnittstellen einbinden.
Auf Routern der MX-Serie können Sie den Eingangsdatenverkehr der Tunnelschnittstelle auf mehrere Ziele spiegeln. Bei dieser Form der Multipaket-Portspiegelung geben Sie zwei oder mehr Ziele in einer Next-Hop-Gruppe an, definieren einen Firewall-Filter, der als Filteraktion auf die Next-Hop-Gruppe verweist, und wenden den Filter dann auf eine logische Tunnelschnittstelle ) oder virtuelle Tunnelschnittstellen ( auf dem Router der MX-Serie an.lt-vt-
So definieren Sie eine Next-Hop-Gruppe für eine Layer-2-Port-Mirroring-Firewall-Filteraktion:
Beispiel: Konfigurieren der Mehrfachport-Spiegelung mit Next-Hop-Gruppen auf Routern der M-, MX- und T-Serie
Wenn Sie Datenverkehr analysieren müssen, der mehr als einen Pakettyp enthält, oder wenn Sie mehrere Analysetypen für einen einzelnen Datenverkehrstyp durchführen möchten, können Sie mehrere Portspiegelung und Next-Hop-Gruppen implementieren. Sie können bis zu 16 Kopien des Datenverkehrs pro Gruppe erstellen und den Datenverkehr an die Mitglieder der Next-Hop-Gruppe senden. Auf einem Router können maximal 30 Gruppen gleichzeitig konfiguriert werden. Der portgespiegelte Datenverkehr kann an jede beliebige Schnittstelle gesendet werden, mit Ausnahme von aggregierten SONET/SDH-, aggregierten Ethernet-, Loopback- (lo0) oder administrativen () Schnittstellen.fxp0 Um portgespiegelten Datenverkehr an mehrere Datenflussserver oder Paketanalysatoren zu senden, können Sie die Anweisung auf Hierarchieebene verwenden.next-hop-group[edit forwarding-options]
Abbildung 1 Zeigt ein Beispiel für die Konfiguration der Spiegelung mehrerer Ports mit Next-Hop-Gruppen. Der gesamte Datenverkehr gelangt über die Schnittstelle ge-1/0/0 in den Überwachungsrouter. Ein Firewallfilter zählt und spiegelt alle eingehenden Pakete in ein Tunnel Services PIC. Ein zweiter Filter wird auf die Tunnelschnittstelle angewendet und teilt den Datenverkehr in drei Kategorien auf: HTTP-Datenverkehr, FTP-Datenverkehr und der gesamte andere Datenverkehr. Die drei Datenverkehrstypen werden drei separaten Next-Hop-Gruppen zugewiesen. Jede Next-Hop-Gruppe enthält ein eindeutiges Paar von Exit-Schnittstellen, die zu verschiedenen Gruppen von Paketanalysatoren und Datenflussservern führen.
Instances, die in der Lage sind, Pakete von derselben PFE an verschiedene Ziele zu spiegeln, verwenden ebenfalls unterschiedliche Sampling-Parameter für jede Instance. Wenn wir die Layer2-Port-Spiegelung sowohl mit globaler Port-Spiegelung als auch mit instanzbasierter Port-Spiegelung konfigurieren, überschreiben Instanzen auf PIC-Ebene die FPC-Ebene und die FPC-Ebene überschreibt die globale Instanz.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
Beispiel: Layer-2-Port-Spiegelung an mehrere Ziele
Auf Routern der MX-Serie können Sie den Datenverkehr auf mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen in Layer-2-Port-Mirroring-Firewall-Filtern konfigurieren, die auf Tunnelschnittstellen angewendet werden.
Konfigurieren Sie das Gehäuse so, dass Tunneldienste bei PIC 0 auf FPC 2 unterstützt werden. Diese Konfiguration umfasst zwei logische Tunnelschnittstellen auf FPC 2, PIC 0, Port 10.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }Konfigurieren Sie die physischen und logischen Schnittstellen für drei Bridge-Domänen und einen Layer-2-VPN-CCC:
Die Bridge-Domäne erstreckt sich über logische Schnittstellen und .bdge-2/0/1.0ge-2/0/1.1
Die Bridge-Domäne erstreckt sich über logische Schnittstellen und .bd_next_hop_groupge-2/2/9.0ge-2/0/2.0
Die Bridge-Domäne verwendet die logische Tunnelschnittstelle .bd_port_mirrorlt-2/0/10.2
Layer 2 VPN CCC verbindet logische Schnittstellen und .if_switchge-2/0/1.2lt-2/0/10.1
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }Konfigurieren Sie die drei Bridge-Domänen und den Layer-2-VPN-Switching-CCC:
Die Bridge-Domäne erstreckt sich über logische Schnittstellen und .bdge-2/0/1.0ge-2/0/1.1
Die Bridge-Domäne erstreckt sich über logische Schnittstellen und .bd_next_hop_groupge-2/2/9.0ge-2/0/2.0
Die Bridge-Domäne verwendet die logische Tunnelschnittstelle .bd_port_mirrorlt-2/0/10.2
Layer 2 VPN CCC verbindet Schnittstellen und .if_switchge-2/0/1.2lt-2/0/10.1
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }Ausführliche Informationen zur Konfiguration der CCC-Verbindung für Layer-2-Switching-Cross-Connects finden Sie im Benutzerhandbuch für MPLS-Anwendungen.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-mpls-applications/config-guide-mpls-applications.html
Konfigurieren Sie die Weiterleitungsoptionen:
Konfigurieren Sie globale Port-Mirroring-Eigenschaften, um den Datenverkehr auf eine Schnittstelle in der Bridge-Domäne zu spiegeln.family vplsbd_port_mirror
Konfigurieren Sie die Next-Hop-Gruppe so, dass Layer-2-Datenverkehr an die Bridge-Domäne weitergeleitet wird.nhg_mirror_to_bdbd_next_hop_group
Der Port-Mirroring-Firewall-Filter verweist auf diese beiden Weiterleitungsoptionen:
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }Konfigurieren Sie zwei Layer-2-Port-Mirroring-Firewall-Filter für den Datenverkehr:family bridge
- Sendet den gesamten Datenverkehr an das globale Port Mirroring-Ziel.filter_pm_bridgefamily bridge
: Sendet den gesamten Datenverkehr an die letzte Next-Hop-Gruppe .filter_redirect_to_nhgfamily bridgenhg_mirror_to_bd
Layer-2-Port-Mirroring-Firewall-Filter für Datenverkehr gelten für Datenverkehr auf einer physischen Schnittstelle, die mit Kapselung konfiguriert ist.family bridgeethernet-bridge
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.