AUF DIESER SEITE
Informationen zu diesem Beispiel für die Netzwerkkonfiguration
Beispiel: Eingangs-/Ausgangslösung für ein EVPN-VXLAN ERB Fabric Spine-Gerät
Beispiel: Eingangslösung für ein EVPN-VXLAN ERB Fabric Leaf-Gerät
Beispiel: Aktivieren einer Remote-Spiegelungsinstanz an einer ESI-LAG-Schnittstelle
Beispiel: Aktivieren einer Remote-Analyzer-Instanz an einer ESI-LAG-Schnittstelle
Konfigurieren der Remote-Portspiegelung für EVPN-VXLAN-Fabrics
Informationen zu diesem Beispiel für die Netzwerkkonfiguration
In diesem Beispiel für die Netzwerkkonfiguration (NETWORK Configuration Example, NCE) wird die Konfiguration der Remote-Portspiegelung für EVPN-VXLAN-Fabrics erläutert. Die Port-Spiegelung kopiert einen Datenverkehrsfluss und sendet ihn über einen GRE-Tunnel an eine RMON-Station (Remote Monitoring). Wie ERSPAN wird die Remote-Portspiegelung des Mandantendatenverkehrs mit VXLAN-Einkapselung häufig in der Rechenzentrumsumgebung zur Fehlerbehebung oder Überwachung verwendet.
Wir demonstrieren, wie Sie Remote-Portspiegelung an Lean Spine-Switches und an den Edge-Routing-Leaf-Geräten in einer EVPN-VXLAN-Fabric hinzufügen. Unsere Beispiel-Fabric basiert auf einer Edge-Routingd Bridging (ERB)-Architektur. VXLAN-Portspiegelung wird auch in zentral gerouteten Bridging (CRB)-Fabrics unterstützt.
Siehe auch
Anwendungsfallübersicht
- Remote Port Mirroring und EVPN-VXLAN Fabrics
- Methoden zur Portspiegelung: Analyzer-Instanz und Port-Spiegelungsinstanz
Remote Port Mirroring und EVPN-VXLAN Fabrics
Die Remote-Portspiegelung kopiert einen Datenverkehrsfluss und liefert den gespiegelten Datenverkehr an einen oder mehrere Spiegelungs-Zielhosts. Der Datenverkehrsfluss wird durch die Eingangs- oder Ausgangsschnittstelle identifiziert, in einigen Fällen über einen Firewall-Filter, um eine zusätzliche Granularität zu erhalten. Die Spiegelungszielhosts sind mit einem Leaf-Switch verbunden, der Teil derselben Fabric wie der Quell-Switch ist.
Bei EVPN-VXLAN IP-Fabrics wird der gespiegelte Datenverkehrsfluss in Generic Routing Encapsulation (GRE) eingekapselt und über die Underlay-IP-Fabric an die IP-Adresse des Überwachungshosts geliefert. Sie verwenden diesen Host als Überwachungsstation, um den Datenverkehrsfluss zu erfassen und zu entschlüsseln.
Die Remote-Portspiegelung mit einem GRE-Tunnel passt perfekt zu IP-Fabrics wie EVPN-VXLAN, da Sie die Überwachungsstation mit jedem Leaf-Switch in der Fabric verbinden können, indem Sie das Host-Subnetz in das EBGP-Underlay senden. Darüber hinaus muss der an die Überwachungsstation angeschlossene Zielswitch keine GRE-Entkapselung durchführen, bevor er den GRE-Stream an die Überwachungsstation liefert. Der GRE-Tunnel kann mehrere Zwischen-IP-Knoten passieren oder außerhalb der Fabric gesendet werden.
Methoden zur Portspiegelung: Analyzer-Instanz und Port-Spiegelungsinstanz
Für die Portspiegelung stehen zwei Methoden zur Verfügung: eine Analyzer-Instanz und eine Port-Spiegelungsinstanz. Jeder Ansatz bietet unterschiedliche Vorteile und ist mit unterschiedlichen Architekturen kompatibel. In beiden Fällen wird der GRE-Tunnel für Spiegelungszwecke automatisch erstellt, sodass kein GRE-Tunnel konfiguriert werden muss.
Die Analyzer-Instanz ermöglicht die Portspiegelung ohne Filterkriterien. Ein Analyzer ist die einfachste Form der Datenverkehrsspiegelung, die implementiert werden kann. Sie müssen nur die Schnittstelle angeben, die die Quelle des gespiegelten Datenverkehrs ist, und ob der Datenverkehr, der auf dieser Schnittstelle gespiegelt werden soll, ausgehend, eingehend oder beides ist. Sie geben auch die IP-Adresse für das Ziel des gespiegelten Datenverkehrs an. Es ist nicht erforderlich, einen Firewall-Filter zu konfigurieren oder anzuwenden.
Da die Analyseinstanz nicht mandantenspezifisch ist, ist dies der beste Ansatz, wenn Sie keine Informationen über den Mandanten-Stream haben.
Die Port-Spiegelungsinstanz verwendet mandantenspezifische Kriterien für die Spiegelung des Datenverkehrs. Der Administrator der Fabric entscheidet, welche spezifische Mandanten-Quell-IP-Adresse, das Protokoll, der Port usw. für die gespiegelte Schnittstelle von Interesse ist. Verwenden Sie eine Portspiegelungsinstanz, wenn bestimmter Datenverkehr gespiegelt werden muss.
Juniper Networks unterstützt drei Hauptarchitekturen für Datencenter. Alle unterstützen Remote-Portspiegelung. Für jede Architektur empfehlen wir die folgende Methode der Portspiegelung:
-
Bridged Overlay: Analyzer-Instanz
-
Centrally Routed Bridging (CRB): Port-Spiegelungsinstanz
-
Edge-Routing Bridging (ERB): Port-Spiegelungsinstanz
Technische Übersicht
- Remote-Port-Spiegelung in einer EVPN-VXLAN ERB-Fabric
- Remote-Portspiegelung mit Switches der QFX-Serie
Remote-Port-Spiegelung in einer EVPN-VXLAN ERB-Fabric
Dieses NCE deckt die Remote-Portspiegelung für eine ERB-Architektur mit Lean Spine ab.
In einer EVPN-VXLAN ERB-Fabric mit Lean Spine können mandantenspezifische interne Datenströme nicht selektiv in den Tunnel gesendet werden. Nur eine headerbasierte Filterung (Underlay) wird auf einem Lean Spine-Gerät unterstützt. Beispielsweise kann ein Spine-Switch die Pakete filtern, die von einer bestimmten Quell-IPv4-Loopback-Adresse stammen, und den Datenverkehr über den GRE-Tunnel an die Überwachungsstation senden, die mit einem anderen Leaf-Gerät verbunden ist.
Remote-Portspiegelung mit GRE für mandantenspezifischen Datenfluss wird auf Leaf-Geräten in einer ERB-Architektur unterstützt. In diesem Fall können Sie den Remote-Port-Spiegelungsfilter an der integrierten Routing- und Bridging -Schnittstelle (IRB) implementieren, um datenverkehrsübergreifenden (gerouteten) Datenverkehr zu spiegeln. Zur Spiegelung des intra-VLAN-Datenverkehrs (Bridged) wenden Sie einen Schnittstellenfilter auf die an den Server oder das Hostgerät angeschlossene Eingangsschnittstelle an.
Bei beiden Methoden, Spine oder Leaf, fließt der gespiegelte Datenverkehr über einen GRE-Tunnel zum Remote-Analyzer.
Remote-Portspiegelung mit Switches der QFX-Serie
In den folgenden Beispielen zeigen wir verschiedene Möglichkeiten zur Verwendung von Remote-Portspiegelung für eine ERB-Architektur basierend auf Switches der QFX-Serie.
QFX5110- und QFX5120-Switches funktionieren gut als Leaf-Geräte in einer ERB-Referenzrechenzentrumsarchitektur, da diese Modelle VNI-Routing (Inter-Virtual Network Identifier) ausführen können.
Tabelle 1 zeigt die Unterstützung von Portspiegelungsinstanztyp für verschiedene Anwendungsfälle bei der Verwendung von QFX10002- und QFX10008-Switches. Tabelle 2 zeigt dasselbe, wenn QFX5110- und QFX5120-Switches verwendet werden.
| Anwendungsszenario |
Sub-Anwendungsfall |
Analyzer-Instanz |
Port-Spiegelungsinstanz |
|---|---|---|---|
| Spine zur Bereitstellung von IP-Transit |
Eingang von Leaf zu Spine |
Unterstützt |
Unterstützt |
| Ausgehend von Spine zu Leaf |
Unterstützt |
Unterstützt |
|
| Spine in einem CRB-Szenario |
Eingang von IRB zur Beendigung des Datenverkehrs |
Es werden nur GE-, xe-, et-ae-Schnittstellen unterstützt. |
Nicht unterstützt |
| Ausgang von IRB zur Beendigung des Datenverkehrs |
Es werden nur GE-, xe-, et-ae-Schnittstellen unterstützt. |
Nicht unterstützt |
|
| Randkapselung |
Zugriffszugang für ESI-LAG |
Unterstützt |
Unterstützt |
| Border-Entkapselung |
Ausgang der Fabric |
Nicht unterstützt |
Nicht unterstützt |
| Anwendungsszenario |
Sub-Anwendungsfall |
Analyzer-Instanz |
Port-Spiegelungsinstanz |
|---|---|---|---|
| Lean Spine für IP-Transit |
Eingang von Leaf zu Spine |
Unterstützt |
Unterstützt |
| Ausgehend von Spine zu Leaf |
Unterstützt |
Nicht unterstützt |
|
| Leaf in einem ERB-Szenario |
Eingang von IRB zur Beendigung des Datenverkehrs |
Es werden nur GE-, xe-, et-ae-Schnittstellen unterstützt. |
Unterstützt |
| Ausgang von IRB zur Beendigung des Datenverkehrs |
Es werden nur GE-, xe-, et-ae-Schnittstellen unterstützt. |
Nicht unterstützt |
|
| Randkapselung |
Zugriffszugang für ESI-LAG |
Unterstützt |
Unterstützt |
| Zugriffs-Ausgang der ESI-LAG |
Unterstützt |
Nicht unterstützt |
|
| Border-Entkapselung |
Eingang der Fabric |
Nicht unterstützt |
Nicht unterstützt |
| Ausgang der Fabric |
Nicht unterstützt |
Nicht unterstützt |
Alle QFX-Switches in diesem Beispiel führen Junos OS Version 18.4R2 oder höher aus. QFX5110- und QFX5120-Switches mit Junos OS Version 18.4R2 unterstützen diese Skalierungszahlen:
-
Standardanalysesitzungen: 4
-
Sitzungen zur Portspiegelung: 3 Portspiegelungssitzungen + 1 globale Portspiegelungssitzung
Diese NCE deckt die folgenden Anwendungsfälle ab:
-
Beispiel: Die Eingangs-/Ausgangslösung für ein EVPN-VXLAN ERB-Fabric-Spine-Gerät zeigt Ihnen, wie Der eingehende und ausgehende Datenverkehr über ein Lean-Spine-Gerät in einer ERB-Fabric gespiegelt werden kann.
-
Beispiel: Die Eingangslösung für ein EVPN-VXLAN ERB Fabric Leaf-Gerät veranschaulicht die Spiegelung des eingehenden Datenverkehrs über ein Leaf-Gerät in einem ERB-Szenario.
-
Beispiel: Aktivieren einer Remote-Spiegelungsinstanz an einer ESI-LAG-Schnittstelle zeigt Ihnen, wie Sie eine Portspiegelungsinstanz oder eine Analyzer-Instanz im Rahmenkapselungs-Anwendungsszenario für den Zugriff auf den Eingehenden und ausgehenden Datenverkehr über eine ESI-LAG-Schnittstelle verwenden.
-
Beispiel: Aktivieren einer Remote Analyzer-Instanz an einer ESI-LAG-Schnittstelle zeigt Ihnen, wie Sie mit einer Analyzer-Instanz den Eingehenden und ausgehenden Datenverkehr über eine ESI-LAG-Schnittstelle spiegeln können.
Verwenden Sie die in diesen Beispielen beschriebenen Verfahren, um die Remote-Portspiegelung für Ihren speziellen Anwendungsfall zu ermöglichen.
Topologie
Anforderungen
In diesem Konfigurationsbeispiel werden die folgenden Geräte verwendet, auf denen Junos OS Version 18.4R2 oder höher ausgeführt wird. Dieses Beispiel wurde auf QFX-Switches mit Junos 22.2R1 erneut validiert.
-
Zwei QFX5110-Switches als Lean-Spine-Geräte.
-
Ein QFX10002-Switch als Leaf-Randgerät.
-
Zwei QFX5110- oder 5120-Switches als Server-Leaf-1- und Server-Leaf-2-Geräte.
-
Ein QFX10002 als Server Leaf 4. Falls gewünscht, können Sie einen QFX5110 oder QFX5120 anstelle eines QFX10002 verwenden.
-
Zwei Server, die Datenverkehr über die EVPN-VXLAN-Fabric senden und empfangen.
-
Eine Überwachungsstation, die mit einer Analyseanwendung ausgestattet ist. In diesem Beispiel verwenden wir Wireshark.
Basistopologie
Dieser NCE konzentriert sich darauf, wie verschiedene Arten von Portspiegelung zu einer bestehenden EVPN-VXLAN-Fabric hinzugefügt werden können. Abbildung 1 beschreibt die Basistopologie für alle folgenden Beispiele.
Spines 1 und 2 sind Lean Spines-Geräte, die keine VXLAN-Einkapselung oder Entkapselung durchführen. Server 1 und 2 teilen VLAN 101 und das Subnetz 10.1.101.0/24. Server 1 beginnt single-homed zu Leaf 1. In einem späteren Abschnitt hängen wir es an Leaf 2 an, um eine ESI-LAG-Schnittstelle zu bilden. Server 2 ist an Leaf 4 angebunden. Leaf 3 fungiert als Randblatt. Die Konfiguration ist die gleiche wie die auf dem Server verwendeten Leaves. Beachten Sie, dass leaf 4 in diesem Beispiel ein QFX10000-Switch ist, der an das Analysegerät an der xe-0/0/33:1-Schnittstelle angeschlossen ist.
Die Topologie unterstützt Multihoming mit ESI-LAG zwischen Server 1 und Leaves 1 und 2. Nicht alle Szenarien in diesem NCE verwenden diese Multihomed-Funktion. Die vollständigen Konfigurationen der Startgeräte finden Sie im Anhang: Vollständige Gerätekonfigurationen.
Beispiel: Eingangs-/Ausgangslösung für ein EVPN-VXLAN ERB Fabric Spine-Gerät
Übersicht
In diesem Beispiel ermöglichen wir die Remote-Portspiegelung auf einem Lean Spine-Switch. Der gespiegelte Datenverkehr wird über einen GRE-Tunnel an die Remote-Überwachungsstation gesendet. Dieser Anwendungsfall basiert auf der Methode der Portspiegelungsinstanz.
In diesem Beispiel wird eine EVPN-VXLAN ERB-Architektur verwendet, bei der das Unicast Inter-Virtual Network Identifier (VNI)-Routing auf den Leaf-Geräten stattfindet. Die Lean-Spine-Geräte beenden keine VXLAN-Tunnel. Sie bieten IP-Weiterleitung und im Falle eines IBGP-basierten Overlays Routenreflektionsfunktionen. Unser Overlay ist EBGP-basiert, sodass wir keine Routenreflektion verwenden.
Diese Konfiguration spiegelt den gesamten Datenverkehr, der zwischen den Leaf-Geräten gesendet wird, wieder. Die Überwachungsstation erfasst sowohl intra-VLAN (überbrückt) als auch inter-VLAN (geroutet) Datenverkehr für alle VLANs auf den Leaves. Die spezifischen Informationen des Mandanten werden nicht auf den Lean-Spine-Geräten bereitgestellt, aber Sie können die Spiegelungssitzungen im Lean Spine aktivieren.
Achten Sie auf die Kapazität des Analyseports. Ein großer Teil des Datenverkehrs passiert den Analyse-Port, da Sie den gesamten Overlay-Datenverkehr, der zwischen den Leaf-Paarungen gesendet wird, spiegelt. Die Leaf-Geräte sind mit zwei 40-GE-Schnittstellen an den Spine angeschlossen, sodass sie die Kapazität haben, ein hohes Datenverkehrsvolumen zu übertragen. Switches verfügen über begrenzte Pufferungsfunktionen. Frameverluste treten auf, wenn mehr Datenverkehr gespiegelt wird als von der Überwachungsstation unterstützt.
Um die Kapazität zu erweitern, verwenden Sie eine aggregierte Ethernet-Schnittstelle mit mehreren Verbindungsmitgliedern. Reduzieren Sie die Datenverkehrslast durch Spiegelung der Leaf-Geräte und selektive Spiegelung des Datenverkehrs nur für bestimmte Mandanten.
Topologie
In diesem Konfigurationsbeispiel werden die in Den Anforderungen dargestellten Hardware- und Softwarekomponenten verwendet. Die Geräte in der Topologie beginnen mit ihren Basiskonfigurationen, wie im Anhang angegeben: Vollständige Gerätekonfigurationen.
Wie in Abbildung 2 dargestellt, spiegelt Spine 1 den eingehenden und ausgehenden Overlay-Datenverkehr, der zwischen Leaf 1 und Leaf 4 durch einen Firewall-Filter fließt, der auf seine et-0/0/7-Schnittstelle angewendet wird. Diese Schnittstelle ist an Denkserver Leaf 1 angebunden. Overlay-Datenverkehr wird generiert, indem Ping-Datenverkehr zwischen Server 1 und Server 2 gesendet wird. Der gespiegelte Datenverkehr wird von Spine 1 an die Remote-Überwachungsstation gesendet, die mit der xe-0/0/33:1-Schnittstelle am Rand von Leaf 3 verbunden ist.
Der Spine verwendet einen GRE-Tunnel, um den gespiegelten Datenverkehr an die Überwachungsstation zu senden. GRE ist erforderlich, da der gespiegelte Datenverkehr Layer 2 oder Overlay Layer 3 sein kann und daher nicht über das Fabric-Underlay geleitet werden kann. Der GRE-Tunnel wird automatisch gebildet, sobald die IP-Erreichbarkeit zum Überwachungs-Subnetz 172.16.1.0/24 über das Underlay eingerichtet wurde.
Server 1 ist in diesem Szenario single-homed zu Leaf 1.
Konfiguration
Verwenden Sie dieses Beispiel, um den Datenverkehr, der Spine 1 passiert, zu spiegeln. Um den gesamten Datenverkehr zu spiegeln, wiederholen Sie die Konfiguration auf Spine 2. Wenn die Portspiegelung auf spines 1 und 2 konfiguriert ist, wird der Datenverkehr gespiegelt, unabhängig davon, welche ECMP-Fabric next Hop vom Leaf ausgewählt wird.
-
(Optional) BGP auf Spine 2 deaktivieren. Zu unseren Testzwecken deaktivieren wir die BGP stanza auf Spine 2. So können wir uns nur auf Spine 1 konzentrieren und sicherstellen, dass der gesamte Datenverkehr zwischen Leaf 1 und Leaf 4 gespiegelt wird.
user@spine2# deactivate protocols bgp user@spine2# commit
Nach der Deaktivierung von BGP auf Spine 2 hat Leaf 1 einen einzigen nächsten Hop, um das Loopback von Leaf 4 zu erreichen. Dies geschieht über Spine 1 über seine et-0/0/48-Schnittstelle.
user@leaf1> show route 10.1.255.14 inet.0: 11 destinations, 12 routes (11 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.1.255.14/32 *[BGP/170] 04:10:11, localpref 100 AS path: 65001 65014 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0 -
Erstellen Sie eine Spiegelungsinstanz in Spine 1, um den gespiegelten Datenverkehr an die Remote-Überwachungsstation zu senden.
user@spine1# set forwarding-options port-mirroring instance mirror-leaf1-and-leaf4 family inet output ip-address 172.16.1.2
-
Lean Spines sind in einer ERB-Fabric nicht Overlay-fähig. Der gesamte VXLAN-eingekapselte Datenverkehr, der zwischen Leaf-Geräten gesendet wird, verwendet die lokale VTEP-Adresse. Die VTEP-Adresse entspricht normalerweise der Loopback-Adresse des Geräts. Das bedeutet, dass wir einen Filter auf den Spine-Geräten verwenden können, um die Loopback-Adressen der zugehörigen Leaf-Geräte abgleichen zu können, um den Datenverkehr in die Portspiegelinstanz zu leiten.
Erstellen Sie bei Spine 1 Firewall-Filter, die mit den Quell- und Ziel-IP-Adressen von Leaf 1 und Leaf 4 übereinstimmen. Durch das Abgleichen sowohl der Quell- als auch der Ziel-IP wird der gesamte Overlay-Datenverkehr, der zwischen diesen Leafs gesendet wird, in den GRE-Tunnel gespiegelt.
Hinweis:Da die Lean Spines nicht VXLAN-fähig sind, spiegelt diese Methode den gesamten Overlay-Datenverkehr, der vom Leaf-Gerät gesendet wird, wieder. Wenn beispielsweise auf dem Leaf 100 VLAN- oder VXLAN-VNIs definiert sind, wird der Datenverkehr für alle 100 VNIs gespiegelt. Wenn Sie einen Spiegel auf einer feineren Granularität spiegeln möchten, finden Sie unter Beispiel: Eingangslösung für ein EVPN-VXLAN ERB Fabric Leaf-Gerät. In diesem Beispiel tritt die Spiegelungsfunktion auf dem VXLAN-fähigen Leaf-Gerät auf.
Legen Sie einen Firewall-Filter für den Datenverkehr fest, der von Leaf 1 gesendet wird. In unserem Beispiel hat der gesamte VXLAN-Datenverkehr, der von Leaf 1 (über die Spines) gesendet wird, eine Quelladresse von 10.1.255.11. Der gesamte von Leaf 4 gesendete VXLAN-Datenverkehr hat die Quelladresse 10.1.255.14.
[edit firewall family inet filter port-mirror-from-leaf1] user@spine1# set term term1 from source-address 10.1.255.11/32 user@spine1# set term term1 from destination-address 10.1.255.14/32 user@spine1# set term term1 then count from-leaf1-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
Richten Sie einen Firewall-Filter für den Datenverkehr ein, der von Leaf 4 gesendet wird.
[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from source-address 10.1.255.14/32 user@spine1# set term term1 from destination-address 10.1.255.11/32 user@spine1# set term term1 then count from-leaf4-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
-
Wenden Sie die Firewall-Filter auf die Leaf 1- und Leaf 4-Fabric-Schnittstellen an Spine 1 an.
user@spine1# set interfaces et-0/0/7 unit 0 family inet filter input port-mirror-from-leaf1 user@spine1# set interfaces et-0/0/6 unit 0 family inet filter input port-mirror-from-leaf4
Notieren Sie sich die Ausrichtung der Filteranwendung. Unsere Filter unterstützen eine QFX5110-Plattform, die gemäß Tabelle 2 nur Eingangsfilter für die Portspiegelung unterstützt. Durch die Verwendung von Eingabefiltern, die mit dem VTEP des lokalen Leafs als Quelladresse und dem VTEP des Remote-Leafs als Zieladresse übereinstimmen, stellen wir sicher, dass nur der Overlay-Datenverkehr zwischen diesen beiden Leaves gespiegelt wird. Wenn Sie den gesamten VXLAN-Datenverkehr, der von einem Leaf gesendet wird, spiegeln möchten, unabhängig vom Zielblatt, passen Sie einfach die Quelladresse des lokalen Leafs in Ihrem Filter an.
-
(Optional) Fügen Sie zusätzliche Filter hinzu.
In diesem Beispiel haben wir bisher davon ausgegangen, dass Server 1 nur für Leaf 1 als Single-Homed-Server verwendet wird. Wenn der Server zu Leaf 1 und Leaf 2 multihomed ist, müssen Sie die angezeigten Filter anpassen, um auch Datenverkehr abzufangen, der von Leaf 2 nach Leaf 4 gesendet wird, und umgekehrt.
Diese Anweisungen erstellen beispielsweise einen Eingabefilter für die Leaf 2-orientierte Schnittstelle von Spine 1:
[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from source-address 10.1.255.12/32 user@spine1# set term term1 from destination-address 10.1.255.14/32 user@spine1# set term term1 then count from-leaf2-vtep user@spine1# set term term1 then port-mirror-instance mirror-leaf1-and-leaf4 user@spine1# set term term1 then accept user@spine1# set term term2 then accept
[edit] user@spine1# set interfaces et-0/0/8 unit 0 family inet filter input port-mirror-from-leaf2
Eine schnelle Änderung des vorhandenen
port-mirror-from-leaf4Filters ist erforderlich, um auch auf die Zieladresse von Leaf 2 VTEP zu passen.[edit firewall family inet filter port-mirror-from-leaf4] user@spine1# set term term1 from destination-address 10.1.255.12/32
-
Übernehmen Sie die Änderungen in Spine 1.
Die Änderungen von der EVPN-VXLAN-Ausgangsbasis werden angezeigt:
user@spine1# show | compare rollback 1 [edit interfaces et-0/0/6 unit 0 family inet] + filter { + input port-mirror-from-leaf4; + } [edit interfaces et-0/0/7 unit 0 family inet] + filter { + input port-mirror-from-leaf1; + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1-and-leaf4 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family inet { + filter port-mirror-from-leaf1 { + term term1 { + from { + source-address { + 10.1.255.11/32; + } + destination-address { + 10.1.255.14/32; + } + } + then { + count from-leaf1-vtep; + port-mirror-instance mirror-leaf1-and-leaf4; + accept; + } + } + term term2 { + then accept; + } + } + filter port-mirror-from-leaf4 { + term term1 { + from { + source-address { + 10.1.255.14/32; + } + destination-address { + 10.1.255.11/32; + } + } + then { + count from-leaf4-vtep; + port-mirror-instance mirror-leaf1-and-leaf4; + accept; + } + } + term term2 { + then accept; + } + } + } + } -
Ändern Sie die Konfiguration bei Leaf 3, um die xe-0/0/33:1-Schnittstelle zu konfigurieren, die mit der Monitorstation verbunden ist.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
Das mit der Überwachungsstation verbundene Leaf-Gerät benötigt keine explizite GRE-Konfiguration. Dies liegt daran, dass der GRE-Tunnel an der Überwachungsstation endet. Sie müssen sicherstellen, dass die IP-Adresse der Überwachungsstation im Fabric-Underlay erreichbar ist. Anders angegeben kann der Spine den GRE-eingekapselten Datenverkehr nicht an die Überwachungsstation senden, wenn er nicht über eine Erreichbarkeit des Underlays an die Überwachungsstation verfügen.
-
Ändern Sie die Underlay-Exportrichtlinie am Rand von Leaf 3, um das Präfix der Überwachungsstation anzuzeigen. Unsere Topologie verwendet ein EBGP-Underlay. Wir fügen der bestehenden Underlay-Exportrichtlinie einfach einen neuen Begriff hinzu.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Übernehmen Sie die Änderungen auf Leaf 3-Rand.
Die Änderungen an der Ausgangsbasis werden angezeigt:
user@bl-leaf3# show | compare rollback 1 [edit interfaces] + xe-0/0/33:1 { + unit 0 { + family inet { + address 172.16.1.1/24; + } + } + } [edit policy-options policy-statement send-direct] term 1 { ... } + term 2 { + from { + protocol direct; + route-filter 172.16.1.0/24 exact; + } + then accept; + }
Überprüfung
-
Überprüfen Sie die Underlay-Konnektivität von Spine 1 zur Überwachungsstation.
Zeigen Sie auf Spine 1 die Route zu 172.16.1.0/24 an.
user@spine1> show route 172.16.1.0/24 inet.0: 16 destinations, 17 routes (16 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 00:32:00, localpref 100 AS path: 65013 I, validation-state: unverified > to 10.1.13.2 via et-0/0/5.0Hinweis:Streng genommen ist nur eine einfache Konnektivität zwischen Spine und Überwachungsstation erforderlich. Wir haben eine statische Route auf der Überwachungsstation so konfiguriert, dass sie das Fabric-Underlay erreicht. Dies ermöglicht Ping-Tests zur Fehlerisolierung.
Pingen Sie die Überwachungsstation an, um die Konnektivität zu bestätigen.
user@spine1> ping 172.16.1.2 count 2 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=63 time=1.116 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=63 time=1.046 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.046/1.081/1.116/0.035 ms
Der Ausgang bestätigt die erwartete Erreichbarkeit des Underlays vom Spine zur Überwachungsstation.
- Bestätigen Sie die Portspiegelungsinstanzen auf Spine 1. Überprüfen Sie auf Spine 1, ob der Remote-Port-Spiegelungsstatus ist
up.user@spine1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1-and-leaf4 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 .local..0Die Ausgabe bestätigt die korrekte Definition der Port-Spiegelungsinstanz. Der Status von
upzeigt an, dass die Spine einen Underlay-Weg zur Überwachungsstation hat. Erinnern Sie sich daran, dass GRE ein zustandsloses Protokoll ist. Deshalb ist es eine gute Idee, die Konnektivität zwischen Spine und Überwachungsstation zu überprüfen, wie im vorherigen Schritt. -
Überprüfen Sie, ob die auf Spine 1 angewendeten Filter den Testdatenverkehr korrekt widerspiegeln.
Löschen Sie die Zähler kurz vor dem Generieren von Pings.
user@server1> clear firewall all
Starten Sie Pings zwischen Server 1 und Server 2 über die Fabric.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Zeigen Sie jetzt die Firewall-Zähler auf Spine 1 an. Überprüfen Sie, ob die auf Spine 1 angewendeten Filter den Testdatenverkehr korrekt widerspiegeln. Unsere Beispieltopologie hat nur ein VLAN und ein Serverpaar. Dies macht es einfach, Testdatenverkehr zu Filter-Übereinstimmungen zu korrelieren. Jede Zahl, die nicht null ist, ist ein gutes Zeichen, dass der Filter funktioniert.
user@spine1> show firewall Filter: port-mirror-from-leaf1 Counters: Name Bytes Packets from-leaf1-vtep 1520 10 Filter: port-mirror-from-leaf4 Counters: Name Bytes Packets from-leaf4-vtep 1520 10
Der Firewall-Zähler gibt den Testdatenverkehr zwischen den beiden Servern korrekt an.
-
Bestätigen Sie, dass der Datenverkehr, der zwischen Server 1 und Server 2 gesendet wird, auf Spine 1 gespiegelt und an die Überwachungsstation gesendet wird.
Generieren Sie erneut Datenverkehr zwischen Server 1 und 2 (aus Gründen der Kürze nicht dargestellt). Verwenden Sie die
rapidOption in Ihrem Ping-Befehl, um ein größeres Volumen an Testdatenverkehr zu generieren, wodurch die Korrelation einfacher wird.Überwachung des Schnittstellendatenverkehrs auf der Schnittstelle an Leaf 3-Rand, die mit der Überwachungsstation verbunden ist. Bestätigen Sie, dass die Ausgangspaketanzahl den generierten Testdatenverkehr widerspiegelt.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]Die Ausgabe bestätigt, dass der Datenverkehr zur Überwachungsstation gespiegelt wird. Das Fehlen von Eingangspaketen wird erwartet, da die Überwachungsstation keine Antworten auf den empfangenen GRE-Datenverkehr generiert.
-
Verwenden Sie Wireshark oder eine entsprechende Analyseanwendung, um den gespiegelten Datenverkehr zu erfassen und zu entschlüsseln.
Abbildung 3: Spiegelung der Datenverkehrsanalyse
Die Erfassung zeigt an, dass Server 1 Ping-Datenverkehr an Server 2 sendet und Server 2 antwortet. Dadurch wird bestätigt, dass der Overlay-Datenverkehr, der zwischen Leaf 1- und Leaf 4-Paarung gesendet wird, in Spine 1 korrekt gespiegelt wird. Beachten Sie, dass der VXLAN-eingekapselte Datenverkehr (UDP-Port 4789) wiederum in GRE eingekapselt ist (IP-Protokoll 47). Der Protokolltyp des GRE-Headers ist "ERSPAN" (vergleichbar mit der Remote-Portspiegelung), und alle anderen Flags sind auf Null gesetzt.
Der Decode ermöglicht es Ihnen, die im Underlay verwendeten Leaf-VTEP- oder Loopback-Adressen zu sehen (10.1.255.x). Es ist auch der ursprüngliche Layer-2-Frame vorhanden, der von den Servern gesendet wird und nun als in VXLAN mit VNI 101 verkapselt dargestellt wird. Das ip-Paket, das von den Servern gesendet wird, wird ebenfalls decodiert. Die von den Servern im Overlay verwendeten IP-Adressen sind sichtbar (10.1.100.x/24), ebenso wie die Details der von ihnen generierten IP/ICMP-Pakete.
Sie haben die Portspiegelung in Ihrer Topologie erfolgreich konfiguriert.
Beispiel: Eingangslösung für ein EVPN-VXLAN ERB Fabric Leaf-Gerät
Übersicht
Verwenden Sie das folgende Beispiel, um den Datenverkehr zu spiegeln, der durch ein Leaf-Gerät in einer EVPN-VXLAN ERB Fabric fließt. Im Gegensatz zu dem im ersten Beispiel behandelten Lean Spine-basierten Port-Spiegelungsszenario ist das Leaf mandanten- und VLAN-fähig in einem ERB-Design. Das bedeutet, dass wir spezifischen Datenverkehr, der zwischen unseren Leaf-Geräten gesendet wird, spiegeln können, anstatt den gesamten Overlay-Datenverkehr. Die Tenant-Flows, die den Filterkriterien auf dem ERB Leaf-Gerät entsprechen, werden in einen GRE-Tunnel gespiegelt, der an der Überwachungsstation endet, die an Leaf 3-Rand angeschlossen ist.
Topologie
In diesem Konfigurationsbeispiel werden die in Den Anforderungen dargestellten Hardware- und Softwarekomponenten verwendet. Die Geräte in der Topologie beginnen mit ihren Basiskonfigurationen, wie im Anhang angegeben: Vollständige Gerätekonfigurationen.
Abbildung 4 zeigt die Topologie für Remote-Port-Spiegelung mit Mandanten-Flow-Filterungsfunktionen.
Beachten Sie, dass Server 1 weiterhin nur für Leaf 1 als Single-Homed dient. Der Unterschied besteht darin, dass die Filter und die Portspiegelungsinstanz jetzt auf dem Leaf-Gerät definiert sind. Ziel ist es, den gesamten Datenverkehr, der von Server 1 an das VLAN 101.1.101.0/24-Subnetz gesendet wird, zuzuordnen. Der Datenverkehr, der von Server 1 an VLAN-101-Ziele gesendet wird, wird abgesendet und an die Portspiegelstation am Rand von Leaf 3 gesendet.
Konfiguration
Im ersten Szenario haben wir BGP auf Spine 2 deaktiviert, um uns auf die Filteranwendung bei Spine 1 zu konzentrieren. In den verbleibenden Beispielen sind Sowohl Spine 1 als auch Spine 2 vollständig einsatzbereit.
-
Konfigurieren Sie eine Portspiegelungsinstanz bei Leaf 1. Verwenden Sie die IP-Adresse 172.16.1.2 für die Überwachungsstation.
user@leaf1# set forwarding-options port-mirroring instance mirror-leaf1-v101 family inet output ip-address 172.16.1.2
-
Als nächstes erstellen Sie einen Firewall-Filter, der auf das dem VLAN 101 zugewiesene Subnetz übereinstimmt. Das Ziel ist die Spiegelung des gesamten VLAN-101-Datenverkehrs, der von Server 1 über Leaf 1 gesendet wird. Geben Sie für die Zieladresse das Ziel-VLAN-Subnetz an, um den Datenverkehr zwischen VLANs abzufangen.
[edit firewall family ethernet-switching filter mirror-leaf-1] user@leaf1# set term 1 from ip-source-address 10.1.101.0/24 user@leaf1# set term 1 from ip-destination-address 10.1.101.0/24 user@leaf1# set term 1 then accept user@leaf1# set term 1 then port-mirror-instance mirror-leaf1-v101 user@leaf1# set term 1 then count from-s1-v101 user@leaf1# set term 2 then accept
Hinweis:Wenn Sie nur gerouteten Datenverkehr (inter-VLAN) spiegeln möchten, verwenden Sie einen
family inetFilter, der auf die IRB-Schnittstelle des VLANs angewendet wird. Für jedes VLAN wird nur eine IRB-Schnittstelle definiert. Ein auf die IRB-Schnittstelle des VLAN angewendeter Filter fängt den gesamten Inter-VLAN-Datenverkehr für das zugehörige VLAN ab, unabhängig davon, auf welchem Port an der Vorderseite der Datenverkehr eintrifft.Die hier dargestellte Methode funktioniert für inter-VLAN- und intra-VLAN-Datenverkehr, erfordert jedoch die Anwendung von Filtern auf Serverschnittstellen basierend auf ihrer VLAN-Mitgliedschaft. Ein
inetFilter, der auf eine IRB-Schnittstelle angewendet wird, sieht keinen überbrückten (intra-VLAN)-Datenverkehr. -
Wenden Sie den Firewall-Filter für die Remote-Portspiegelung an den an Server 1 angeschlossenen Zugriffsport in Eingangsrichtung an.
user@leaf1# set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input mirror-leaf-1
Hinweis:Auf QFX5110- und QFX5120-Switches kann der Firewall-Filter nicht in Ausgaberichtung angewendet oder an den mit den Spine-Geräten verbundenen Fabric-Schnittstellen verwendet werden.
-
Border Leaf 3 muss nicht für die GRE-Entkapselung konfiguriert werden, da der GRE-Tunnel an der Überwachungsstation endet. Leaf 3 muss jedoch die Erreichbarkeit für das Subnetz der Überwachungsstation im Underlay der Fabric anzeigen. Konfigurieren Sie Folgendes auf Leaf 3, um die Erreichbarkeit zur Überwachungsstation zu gewährleisten.
Beginnen Sie mit der Konfiguration der an die Überwachungsstation angeschlossenen xe-0/0/33:1-Schnittstelle.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
-
Ändern Sie die Underlay-Exportrichtlinie am Rand von Leaf 3, um das Präfix der Überwachungsstation anzuzeigen. Unsere Topologie verwendet ein EBGP-Underlay. Wir fügen der bestehenden Underlay-Exportrichtlinie einfach einen neuen Begriff hinzu.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Konfiguration bestätigen.
Die Änderungen von der Ausgangsbasis werden bei Leaf 1 dargestellt.
user@bl-leaf1# show | compare rollback 1 [edit interfaces xe-0/0/0 unit 0 family ethernet-switching] + filter { + input mirror-leaf-1; + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family ethernet-switching { + filter mirror-leaf-1 { + term 1 { + from { + ip-source-address { + 10.1.101.0/24; + } + ip-destination-address { + 10.1.101.0/24; + } + } + then { + accept; + port-mirror-instance mirror-leaf1; + count from-s1; + } + } + term 2 { + then accept; + } + } + } + }Sie haben die Remote-Portspiegelung über ein Leaf-Gerät in einer EVPN-VXLAN ERB-Fabric erfolgreich konfiguriert.
Überprüfung
-
Überprüfen Sie die Underlay-Konnektivität von Leaf 1 zur Monitorstation.
Zeigen Sie auf Leaf 1 die Route zu 172.16.1.0/24 an.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Hinweis:Streng genommen ist nur eine einfache Verbindung zwischen Leaf und Überwachungsstation erforderlich. Wir haben eine statische Route auf der Überwachungsstation so konfiguriert, dass sie das Fabric-Underlay erreicht. Dies ermöglicht Ping-Tests, um die Fehlerisolierung zu unterstützen.
Pingen Sie die Überwachungsstation an, um die Konnektivität zu bestätigen.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
Der Ausgang bestätigt die erwartete Erreichbarkeit des Underlays von Leaf 1 zur Überwachungsstation. Wir müssen den Ping von der Loopback-Adresse des Leafs beziehen, da unsere Underlay-Exportrichtlinie nur die Erreichbarkeit der Loopback-Adresse ankündigen. Die Beschaffung von der Loopback-Adresse war im Lean Spine-Beispiel nicht erforderlich. Dies liegt daran, dass Spine und Border Leaf direkt über eine Fabric-Verbindung verbunden sind. So ist das Border Leaf in der Lage, die Ping-Antwort zurück zum Spine zu routen, wenn sie von der Leaf-Fabric-Schnittstelle des Spine stammt.
-
Bestätigen Sie die Port-Spiegelungsinstanz auf Leaf 1.
Vergewissern Sie sich auf Leaf 1, dass der Remote-Port-Spiegelungsstatus lautet
up.user@leaf1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 et-0/0/48.0Die Ausgabe bestätigt die korrekte Definition der Port-Spiegelungsinstanz. Der Status von
upzeigt an, dass das Leaf über eine Underlay-Route zur Überwachungsstation verfügt. Erinnern Sie sich daran, dass GRE ein zustandsloses Protokoll ist. Aus diesem Grund ist es eine gute Idee, die Konnektivität zwischen Leaf und Überwachungsstation zu überprüfen, wie im vorherigen Schritt. -
Überprüfen Sie, ob der auf Leaf 1 angewendete Filter den Testdatenverkehr korrekt widerspiegelt.
Starten Sie Pings zwischen Server 1 und Server 2 über die Fabric. Überprüfen Sie, ob der auf Leaf 1 angewendete Filter den Datenverkehr korrekt widerspiegelt. Unsere Beispieltopologie hat nur ein VLAN und ein Serverpaar. Dies macht es einfach, Testdatenverkehr zu Filter-Übereinstimmungen zu korrelieren. Jede Zahl, die nicht null ist, ist ein gutes Zeichen, dass der Filter funktioniert.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Löschen Sie die Zähler kurz vor dem Generieren von Pings.
user@server1> clear firewall all
Zeigen Sie jetzt die Firewall-Zähler auf Spine 1 an.
user@leaf1> show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 1020 10
Die Firewall-Zähler geben den Testdatenverkehr zwischen den beiden Servern korrekt an.
-
Bestätigen Sie, dass der Datenverkehr, der zwischen Server 1 und Server 2 gesendet wird, bei Leaf 1 zur Überwachungsstation gespiegelt wird.
Generieren Sie erneut Datenverkehr zwischen Server 1 und 2 (aus Gründen der Kürze nicht dargestellt). Wir nutzten die schnelle Option für den Ping-Befehl, um eine größere Menge an Paketen zu generieren, um die Erkennung zu erleichtern.
Überwachung der Schnittstellendatenverkehrszähler an Leaf 3-Rand, um zu überprüfen, ob der Testdatenverkehr an die Überwachungsstation gesendet wird.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]Die Ausgabe bestätigt, dass der Datenverkehr zur Überwachungsstation gespiegelt wird. Das Fehlen von Eingangspaketen wird erwartet, da die Überwachungsstation keine Reaktionen auf den von ihr empfangenen GRE-Datenverkehr generiert.
-
Verwenden Sie Wireshark oder eine entsprechende Analyseanwendung, um den gespiegelten Datenverkehr zu erfassen und zu entschlüsseln.
Abbildung 5: Analyse des gespiegelten Datenverkehrs
Die Erfassung zeigt an, dass Server 1 Ping-Datenverkehr an Server 2 sendet. Der Antwortdatenverkehr wird nicht gespiegelt, da wir unseren Filter nur in die Eingaberichtung bei Leaf 1 angewendet haben. Wenden Sie eine ähnliche Portspiegelinstanz an und filtern Sie die Konfiguration bei Leaf 4, um auch den Rücklaufverkehr zu spiegeln. Erinnern Sie sich daran, dass im Lean Spine-Fall der gespiegelte Datenverkehr eine VXLAN-Einkapselung anzeigte. In unserem ERB Leaf-Fall spiegeln wir Layer 2-Datenverkehr, bevor er in VXLAN eingekapselt wurde. Der zur Spiegelung des Datenverkehrs verwendete Filter wird als Eingabefilter auf die serverorientierte Schnittstelle angewendet. Beim Eingang erfolgt keine VXLAN-Einkapselung.
Dies ist ähnlich wie bei der Anwendung des Filters auf die IRB-Schnittstelle eines VLANs. Im IRB-Fall enthält der gespiegelte Datenverkehr keine VXLAN-Einkapselung. IRB-basierte Filter verarbeiten inter-VLAN-Datenverkehr auf der IP-Ebene. Somit wird für den IRB-Filterfall nur Layer-3-IP-Datenverkehr gespiegelt.
Der Code zeigt, dass sich der GRE-Tunnel zwischen Leaf 1 und der Überwachungsstation durch das Underlay befindet. Der Ethernet-Frame und das zugehörige IP-Paket, das von Server 1 gesendet wird, werden decodiert. Die den Servern zugewiesenen IP-Adressen sind sichtbar (10.1.100.x/24), ebenso wie die Details des IP/ICMP-Pakets, das von Server 1 generiert wird.
Sie haben die Portspiegelung in Ihrer Topologie erfolgreich konfiguriert.
Beispiel: Aktivieren einer Remote-Spiegelungsinstanz an einer ESI-LAG-Schnittstelle
Übersicht
Ein Ethernet Segment Identifier (ESI) ist die eindeutige 10-Byte-Nummer, die ein Ethernet-Segment in einer mit dem Server verbundenen EVPN-VXLAN-Fabric identifiziert. Der ESI wird über die Schnittstelle konfiguriert, die eine Verbindung zum Server herstellt. Wenn mehrere Verbindungen eine Link Aggregation Group (LAG) bilden und mit dem Server verbunden sind, bildet dies eine ESI-LAG-Schnittstelle, auch EVPN LAG genannt. In einigen Fällen müssen Sie die Port-Spiegelung für den gesamten oder einen Teil des Datenverkehrs aktivieren, der an die ESI-LAG-Schnittstelle gelangt oder verlässt.
Verwenden Sie diesen Abschnitt, um die Remote-Portspiegelung auf ESI-LAG-Ebene einer EVPN-VXLAN ERB-Fabric zu ermöglichen.
Topologie
In diesem Konfigurationsbeispiel werden die in Den Anforderungen dargestellten Hardware- und Softwarekomponenten verwendet. Die Geräte in der Topologie beginnen mit ihren Basiskonfigurationen, wie im Anhang angegeben: Vollständige Gerätekonfigurationen.
In diesem Fall ändern wir die EVPN-Fabric zur Unterstützung von Multihoming von Server 1 in Leaves 1 und 2. Wir tun dies mit ESI-LAG, auch bekannt als EVPN LAG, Schnittstellen. Best Practices zur EVPN LAG-Konfiguration finden Sie unter Best Practices.
Abbildung 6 zeigt die Topologie für dieses Beispiel. Beide Spines sind in dieser Topologie einsatzbereit. ECMP bedeutet, dass Leaf 1 und Leaf 2 Datenverkehr über jedes Spine-Gerät senden können. Um die Illustration zu vereinfachen, zeigen wir den Datenverkehr und Spiegelpfade mit Spine 1 als Schwerpunkt.
Schnittstelle ae0.0 ist die ESI-LAG-Schnittstelle, die an Server 1 angeschlossen ist. Server 1 erhält die IP-Adresse 10.1.101.10/24 und ist mit VLAN 101 verknüpft. Das Ziel ist es, den Datenverkehr, der von Server 1 gesendet wird, zu filtern und dann zu spiegeln, während er ae0.0 auf beiden Leafs passiert. Der gespiegelte Datenverkehr wird in einen GRE-Tunnel gelegt und an die Überwachungsstation gesendet. Wie zuvor müssen Sie sicherstellen, dass das Monitoring-Stations-Subnetz im EBGP-Underlay erreichbar ist.
Bevor Sie mit dem Start beginnen
Wenn Sie mit der im Anhang: Vollständigen Gerätekonfigurationen dargestellten Basiskonfiguration beginnen, führen Sie diese Schritte aus, um Ihre Topologie zu ändern, bevor Sie beginnen.
-
Ändern Sie die Konfiguration von Leaf 1 und Leaf 2, um eine Multihomed-Anlage von Server 1 zu unterstützen. Beginnen Sie mit der Umbenennung der vorhandenen xe-0/0-Schnittstelle, um die neue ae0.0-Schnittstelle zu werden. Diese Karies über jede Konfiguration von der xe-0/0/0-Schnittstelle, um einige Zeit zu sparen.
user@leaf1# rename interfaces xe-0/0/0 to ae0 user@leaf1# set interfaces ae0 esi 00:02:02:02:02:02:02:02:00:04 user@leaf1# set interfaces ae0 esi all-active user@leaf1# set interfaces ae0 aggregated-ether-options lacp active user@leaf1# set interfaces ae0 aggregated-ether-options lacp system-id 00:00:02:02:00:04
-
Die Konfigurationsspezifitäten für die aggregierte Ethernet-Schnittstelle des Servers, die oft als Bonded Interface in Linux bezeichnet wird, sprengen den Rahmen dieses NCE. Beachten Sie, dass es für den Server nur eine aggregierte Standard-Ethernet-Konfiguration gibt. Die Aussagen in Bezug auf ESI-LAG werden nur auf die Leaf-Geräte angewendet.
Hinweis:Die Ausgangsbasiskonfiguration ermöglicht eine aggregierte Ethernet-Schnittstelle über die
set chassis aggregated-devices ethernet device-count 1Konfigurationsanweisung. Sie müssen die Gehäuseunterstützung für aggregierte Geräte aktivieren, oder die aggregierte Schnittstelle wird nicht erstellt. -
Nachdem Sie diese Änderungen sowohl auf Leaf-Geräte als auch auf den Server angewendet und vorgenommen haben, bestätigen Sie, dass die ae0-Schnittstelle auf beiden Leaves aktiv ist. Die nachstehende Beispielausgabe wurde zur Verdeutlichung verkürzt.
user@leaf2> show interfaces ae0 Physical interface: ae0, Enabled, Physical link is Up Physical interface: ae0, Enabled, Physical link is Up [...] Current address: b8:c2:53:ba:8b:80, Hardware address: b8:c2:53:ba:8b:80 Ethernet segment value: 00:02:02:02:02:02:02:02:00:04, Mode: all-active Last flapped : 2022-09-07 14:57:53 UTC (01:06:43 ago) [...] Egress queues: 12 supported, 5 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 81129 81129 0 3 0 0 0 4 0 0 0 7 4135 4135 0 8 64 64 0 [...] Protocol eth-switch, MTU: 1514, Generation: 266, Route table: 7, Mesh Group: __all_ces__, EVPN multi-homed status: Forwarding, EVPN multi-homed ESI Split Horizon Label: 0, Next-hop: 1665, vpls-status: up Local Bias Logical Interface Name: vtep.32769, Index: 554, VXLAN Endpoint Address: 10.1.255.11 Flags: Is-PrimaryVergewissern Sie sich auch, dass Server 1 Server 2 pingen kann (aus Gründen der Kürze nicht angezeigt).
Konfiguration
In diesem Beispiel wird gezeigt, wie die Remote-Portspiegelung auf ESI-LAG-Ebene mithilfe einer Remote-Portspiegelungsinstanz ermöglicht wird. Diese Methode unterstützt mandantenspezifische Übereinstimmungskriterien (innerhalb eines Overlay-VLANs), um den Datenverkehr selektiv zu spiegeln.
-
Konfigurieren Sie eine Port-Spiegelungsinstanz sowohl für Leaf 1 als auch für Leaf 2. Server 1 kann Datenverkehr für VLAN 101 über eine der LAG-Member-Schnittstellen senden. ECMP bedeutet, dass der Datenverkehr an beiden Leafs eintreffen kann. DIE IP-Adresse 172.16.1.2 ist die Überwachungsstation.
user@leaf1# set forwarding-options port-mirroring instance mirror-leaf1-v101 family inet output ip-address 172.16.1.2
-
Als nächstes erstellen Sie einen Firewall-Filter, der im Subnet, das VLAN 101 auf beiden Leaves zugewiesen wurde, übereinstimmt. Das Ziel ist die Spiegelung des gesamten VLAN-101-Datenverkehrs, der von Server 1 über Leaf 1 oder Leaf 2 gesendet wird. Geben Sie für die Zieladresse das Ziel-VLAN-Subnetz an, um den Datenverkehr zwischen VLANs abzufangen.
Wenn Sie nach mehreren Quell- oder Ziel-IP-Adressen filtern müssen, sollten Sie ein
source-prefix-listund/oder eindestination-prefix-listin Ihrem Filter verwenden. Auf diese Weise können Sie Änderungen an der Präfixliste vornehmen, ohne die Filterdefinition ändern zu müssen.[edit firewall family ethernet-switching filter mirror-leaf-1] user@leaf1# set term 1 from ip-source-address 10.1.101.0/24 user@leaf1# set term 1 from ip-destination-address 10.1.101.0/24 user@leaf1# set term 1 then accept user@leaf1# set term 1 then port-mirror-instance mirror-leaf1-v101 user@leaf1# set term 1 then count from-s1-v101 user@leaf1# set term 2 then accept
Hinweis:Wenn Sie nur gerouteten Datenverkehr (inter-VLAN) spiegeln möchten, verwenden Sie einen
family inetFilter, der auf die IRB-Schnittstelle des VLANs angewendet wird. Für jedes VLAN wird nur eine IRB-Schnittstelle definiert. Ein auf die IRB-Schnittstelle des VLAN angewendeter Filter fängt daher den gesamten Inter-VLAN-Datenverkehr für das zugehörige VLAN ab, unabhängig davon, an welchem Port an der Vorderseite der Datenverkehr eingeht.Die in diesem Beispiel dargestellte Methode funktioniert für Datenverkehr zwischen VLANs und innerhalb des VLANs, erfordert jedoch die Anwendung von Filtern auf Serverschnittstellen basierend auf der VLAN-Mitgliedschaft. Ein
inetFilter, der auf eine IRB-Schnittstelle angewendet wird, sieht keinen überbrückten (intra-VLAN)-Datenverkehr. -
Wenden Sie den Firewall-Filter für die Remote-Portspiegelung auf die ae0.0-Schnittstelle als Eingabefilter auf beiden Leaves an.
user@leaf1# set interfaces ae0 unit 0 family ethernet-switching filter input mirror-leaf-1
Hinweis:Auf QFX5110- und QFX5120-Switches kann der Firewall-Filter nicht in Ausgangsrichtung aktiviert oder an den mit den Spine-Geräten verbundenen Schnittstellen verwendet werden.
-
Border Leaf 3 muss nicht für die GRE-Entkapselung konfiguriert werden, da der GRE-Tunnel an der Überwachungsstation endet. Leaf 3 muss jedoch die Erreichbarkeit für das Subnetz der Überwachungsstation im Underlay der Fabric anzeigen. Konfigurieren Sie die xe-0/0/33:1-Schnittstelle, die an die Überwachungsstation angeschlossen ist.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
Ändern Sie die Underlay-Exportrichtlinie am Rand von Leaf 3, um das Präfix der Überwachungsstation anzuzeigen. Unsere Topologie verwendet ein EBGP-Underlay. Wir fügen der bestehenden Underlay-Exportrichtlinie einfach einen neuen Begriff hinzu.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set term 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Die Änderungen an der Ausgangsbasis werden bei Leaf 1 dargestellt.
#user@leaf1# show | compare base [edit interfaces xe-0/0/0] + gigether-options { + 802.3ad ae0; + } [edit interfaces xe-0/0/0] - unit 0 { - family ethernet-switching { - vlan { - members v101; - } - } - } [edit interfaces] + ae0 { + esi { + 00:02:02:02:02:02:02:02:00:04; + all-active; + } + aggregated-ether-options { + lacp { + active; + system-id 00:00:02:02:00:04; + } + } + unit 0 { + family ethernet-switching { + interface-mode access; + vlan { + members v101; + } + filter { + input mirror-leaf-1; + } + } + } + } [edit] + forwarding-options { + port-mirroring { + instance { + mirror-leaf1 { + family inet { + output { + ip-address 172.16.1.2; + } + } + } + } + } + } + firewall { + family ethernet-switching { + filter mirror-leaf-1 { + term 1 { + from { + ip-source-address { + 10.1.101.0/24; + } + ip-destination-address { + 10.1.101.0/24; + } + } + then { + accept; + port-mirror-instance mirror-leaf1; + count from-s1; + } + } + term 2 { + then accept; + } + } + } + }Sie haben die Remote-Portspiegelung über ein Leaf-Gerät in einer EVPN-VXLAN ERB-Fabric erfolgreich konfiguriert.
Überprüfung
-
Überprüfen Sie die Underlay-Konnektivität von Leaf 1 zur Überwachungsstation.
Zeigen Sie auf Leaf 1 die Route zu 172.16.1.0/24 an.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Hinweis:Streng genommen ist nur eine einfache Verbindung zwischen Leaf und Überwachungsstation erforderlich. Wir haben eine statische Route auf der Überwachungsstation so konfiguriert, dass sie das Fabric-Underlay erreicht. Dies ermöglicht Ping-Tests als Tool zur Fehlerisolierung.
Pingen Sie die Überwachungsstation an, um die Konnektivität zu bestätigen.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
Der Ausgang bestätigt die erwartete Erreichbarkeit des Underlays von Leaf 1 zur Überwachungsstation. Wir müssen den Ping von der Loopback-Adresse des Leafs beziehen, da unsere Underlay-Exportrichtlinie nur die Erreichbarkeit der Loopback-Adresse ankündigen. Die Beschaffung von der Loopback-Adresse ist im Lean Spine-Fall nicht erforderlich. Dies liegt daran, dass Spine- und Border Leaf einen direkt verbundenen Fabric-Link teilen.
-
Bestätigen Sie die Port-Spiegelungsinstanz auf Leaf 1.
Vergewissern Sie sich auf Leaf 1, dass der Remote-Port-Spiegelungsstatus lautet
up.user@leaf1> show forwarding-options port-mirroring detail Instance Name: mirror-leaf1 Instance Id: 2 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up 172.16.1.2 et-0/0/48.0Die Ausgabe bestätigt die korrekte Definition der Port-Spiegelungsinstanz. Der Status von
upzeigt an, dass das Leaf über eine Underlay-Route zur Überwachungsstation verfügt. Erinnern Sie sich daran, dass GRE ein zustandsloses Protokoll ist. Aus diesem Grund ist es eine gute Idee, die Konnektivität zwischen Leaf und Überwachungsstation zu überprüfen, wie im vorherigen Schritt. -
Überprüfen Sie, ob der auf Leaf 1 und Leaf 2 angewendete Filter den Testdatenverkehr korrekt widerspiegelt. Starten Sie Pings zwischen Server 1 und Server 2 über die Fabric.
user@server1> ping 10.1.101.20 count 10 rapid PING 10.1.101.20 (10.1.101.20): 56 data bytes !!!!!!!!!! --- 10.1.101.20 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.731/0.800/1.300/0.167 ms
Überprüfen Sie, ob der auf Leaf 1 angewendete Filter und Leaf 2 den Datenverkehr korrekt widerspiegeln. Unsere Beispieltopologie hat nur ein VLAN und ein Serverpaar. Dies macht es einfach, Testdatenverkehr zu Filter-Übereinstimmungen zu korrelieren. Jede Zahl, die nicht null ist, ist ein gutes Zeichen, dass der Filter funktioniert.
Aufgrund des ECMP-Verhaltens werden einzelne Ping-Flow-Hashes an nur eine der aggregierten Ethernet-Schnittstellenverbindungen gesendet. Das bedeutet, dass erwartet wird, dass der Testdatenverkehr an ein Leaf oder das andere gesendet wird, aber nicht beide. Wenn Server 1 zahlreiche Datenströme generiert, erwarten Sie, dass Pakete über beide Memberschnittstellen an beide Leaves weitergeleitet werden.
Löschen Sie die Zähler kurz vor dem Generieren von Pings.
user@server1> clear firewall all
Zeigen Sie jetzt die Firewall-Zähler auf Leaf 1 und Leaf 2 an.
user@leaf1> show firewall user@leaf1# run show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 0 0
Die Ausgabe zeigt, dass bei Leaf 1 keine Pakete angezeigt werden. Dies deutet darauf hin, dass der Server für diesen Datenfluss Hashing zu Leaf 2 angibt.
Überprüfen Sie die Firewall-Zähler bei Leaf 2:
user@leaf2> show firewall Filter: mirror-leaf-1 Counters: Name Bytes Packets from-s1 1020 10
Der Firewall-Zähler bei Leaf 2 gibt den generierten Testdatenverkehr korrekt an.
-
Bestätigen Sie, dass der Datenverkehr, der zwischen Server 1 und Server 2 gesendet wird, bei Leaf 1 und/oder Leaf 2 zur Übertragung an die Überwachungsstation gespiegelt wird.
Generieren Sie erneut Datenverkehr zwischen Server 1 und 2 (aus Gründen der Kürze nicht dargestellt). Verwenden Sie die schnelle Option für den Ping-Befehl, um eine größere Menge an Paketen zu generieren, um die Erkennung zu erleichtern.
Überwachen Sie die Schnittstellendatenzähler an Leaf 3-Rand, um zu überprüfen, ob der Testdatenverkehr an der Überwachungsstation eintrifft.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]Die Ausgabe bestätigt, dass der Datenverkehr an die Überwachungsstation gesendet wird. Das Fehlen von Eingangspaketen wird erwartet, da die Überwachungsstation keine Reaktionen auf den von ihr empfangenen GRE-Datenverkehr generiert.
-
Verwenden Sie Wireshark oder eine entsprechende Analyseanwendung, um den gespiegelten Datenverkehr zu erfassen und zu entschlüsseln.
Abbildung 7: Spiegelung der Datenverkehrsanalyse
Die Erfassung zeigt an, dass Server 1 Ping-Datenverkehr an Server 2 sendet. Der Antwortdatenverkehr wird nicht gespiegelt, da wir unseren Filter nur in Leaf 1 und Leaf 2 in Die Eingaberichtung angewendet haben. Wenden Sie eine ähnliche Portspiegelinstanz an und filtern Sie die Konfiguration bei Leaf 4, um den Rücklaufverkehr zu spiegeln. Erinnern Sie sich daran, dass im Lean Spine-Fall der gespiegelte Datenverkehr eine VXLAN-Einkapselung zeigte. In diesem ERB-Leaf-Fall spiegeln wir Layer-2-Datenverkehr, bevor er in VXLAN verkapselt wurde. Der zur Spiegelung des Datenverkehrs verwendete Filter wird als Eingabefilter auf die serverorientierte ae0.0-Schnittstelle angewendet. Es gibt keine VXLAN-Einkapselung am Eingang.
Dies ist ähnlich wie bei der Anwendung eines Filters auf die IRB-Schnittstelle des VLANs. Im IRB-Filterfall enthält der gespiegelte Datenverkehr auch keine VXLAN-Einkapselung. IRB-Filter verarbeiten nur inter-VLAN-Datenverkehr auf der IP-Ebene. So wird für den IRB-Filterfall nur Layer-3-IP-Datenverkehr gespiegelt.
Der Code zeigt, dass sich der GRE-Tunnel zwischen Leaf 2 und der Überwachungsstation durch das Underlay befindet. Das von Server 1 gesendete Ethernet-Frame- und IP-Paket wird ebenfalls decodiert. Die den Servern zugewiesenen IP-Adressen sind sichtbar (10.1.100.x/24), ebenso wie die Details des von Server 1 generierten IP/ICMP-Pakets.
Sie haben die Portspiegelung in Ihrer Topologie erfolgreich konfiguriert.
Beispiel: Aktivieren einer Remote-Analyzer-Instanz an einer ESI-LAG-Schnittstelle
Übersicht
Ein Ethernet Segment Identifier (ESI) ist die eindeutige 10-Byte-Nummer, die ein Ethernet-Segment identifiziert. Der ESI ist an der mit dem Server verbundenen Schnittstelle aktiviert. Wenn mehrere Verbindungen eine Link Aggregation Group (LAG) bilden, entsteht eine ESI-LAG,auch EVPN LAG genannt, Schnittstelle. In einigen Fällen müssen Sie die Portspiegelung direkt für den gesamten oder einen Teil des Datenverkehrs aktivieren, der an die ESI-LAG-Schnittstelle gelangt oder verlässt.
Sowohl Egress- als auch Ingress-Analyzer-Instanzen werden für ESI-LAG-Schnittstellen auf Leaf-Geräten in einer EVPN-VXLAN-Fabric unterstützt. Dies ist in einem Rechenzentrum nützlich, in dem der Administrator den gesamten Datenverkehr, der einen bestimmten ESI-LAG-Port betritt oder verlässt, an einen remoten Host senden muss. Verwenden Sie diesen Abschnitt, um eine Analyzer-Instanz auf ESI-LAG-Ebene einer EVPN-VXLAN ERB-Fabric zu aktivieren.
Eine Analyseinstanz unterscheidet sich von einer Portspiegelungsinstanz dadurch, dass der Analyzer im Eingang, im Ausgang oder in beide Richtungen arbeitet. Außerdem wird der gesamte Datenverkehr auf der Schnittstelle gespiegelt. Wenn Server 1 beispielsweise über 10 VLANs mit einer Trunkschnittstelle verfügt, wird der Datenverkehr von allen 10 VLANs an die Überwachungsstation gesendet. Im vorherigen Beispiel für die Portspiegelung wird ein Filter verwendet, um eine selektive Spiegelung des Datenverkehrs von einem VLAN oder von bestimmten IP-Adressen in einem VLAN zu ermöglichen.
Analyseinstanzen verwenden keine Firewall-Filter für die granulare Abgleichung. Der gesamte Datenverkehr in der angegebenen Richtung auf der angegebenen Schnittstelle wird gespiegelt.
Topologie
In diesem Konfigurationsbeispiel werden die in Den Anforderungen dargestellten Hardware- und Softwarekomponenten verwendet. Die Geräte in der Topologie beginnen mit ihren Basiskonfigurationen, wie im Anhang angegeben: Vollständige Gerätekonfigurationen.
In diesem Beispiel wird eine ESI-LAG, auch EVPN LAG genannt, Schnittstelle zwischen Server 1 und Leaf 1 und Leaf 2 verwendet. Best Practices zur EVPN LAG-Konfiguration finden Sie unter Best Practices.
Sie können die Analyzer-Instanz auf einem ACX7100-Switch konfigurieren, auf dem Junos OS Evolved 22.3R1 oder höher ausgeführt wird.
Abbildung 8 zeigt die Topologie für dieses Beispiel.
Schnittstelle ae0.0 ist die ESI-LAG-Schnittstelle, die an Server 1 angeschlossen ist. Server 1 erhält die IP-Adresse 10.1.101.10/24 und ist mit VLAN 101 verknüpft. Ziel ist es, eine Analyzer-Instanz so zu konfigurieren, dass der gesamte an der ae0.0-Schnittstelle gesendete und empfangene Datenverkehr sowohl an Leaf 1 als auch an Leaf 2 weitergeleitet wird. Der gespiegelte Datenverkehr wird in einen GRE-Tunnel gelegt und an die Überwachungsstation gesendet. Wie zuvor müssen Sie sicherstellen, dass das Monitoring-Stations-Subnetz im EBGP-Underlay erreichbar ist.
Beide Spines sind in dieser Topologie einsatzbereit. ECMP bedeutet, dass Leaf 1 und Leaf 2 Datenverkehr über jedes Spine-Gerät senden können. Um unübersichtlich zu sein, zeigen wir den Datenverkehr und die Spiegelungspfade mit dem Spine 1-Gerät als Schwerpunkt.
Bevor Sie mit dem Start beginnen
Wenn Sie mit der im Anhang: Vollständigen Gerätekonfigurationen dargestellten Basiskonfiguration beginnen, führen Sie diese Schritte aus, um Ihre Topologie zu ändern, bevor Sie beginnen.
-
Ändern Sie die Konfiguration von Leaf 1 und Leaf 2, um eine Multihomed-Anlage von Server 1 zu unterstützen. Wir beginnen mit der Umbenennung der vorhandenen xe-0/0-Schnittstelle zur neuen ae0.0-Schnittstelle. Diese Karies über jede Konfiguration von der xe-0/0/0-Schnittstelle, um einige Zeit zu sparen.
user@leaf1# rename interfaces xe-0/0/0 to ae0 user@leaf1# set interfaces ae0 esi 00:02:02:02:02:02:02:02:00:04 user@leaf1# set interfaces ae0 esi all-active user@leaf1# set interfaces ae0 aggregated-ether-options lacp active user@leaf1# set interfaces ae0 aggregated-ether-options lacp system-id 00:00:02:02:00:04
Die Konfigurationsspezifitäten für die aggregierte Ethernet-Schnittstelle des Servers, die oft als Bonded Interface in Linux bezeichnet wird, sprengen den Rahmen dieses NCE. Beachten Sie, dass es für den Server nur eine aggregierte Standard-Ethernet-Konfiguration gibt. Die Aussagen in Bezug auf ESI-LAG werden nur auf die Leaf-Geräte angewendet.
Hinweis:Die Ausgangsbasiskonfiguration ermöglicht ein aggregiertes Ethernet-Gerät mithilfe der
set chassis aggregated-devices ethernet device-count 1Konfigurationsanweisung. Sie müssen die Gehäuseunterstützung für aggregierte Geräte aktivieren, oder die aggregierte Schnittstelle wird nicht erstellt. -
Nachdem Sie diese Änderungen sowohl auf Leaf-Geräte als auch auf den Server angewendet und vorgenommen haben, bestätigen Sie, dass die ae0-Schnittstelle auf beiden Leaves aktiv ist. Die nachstehende Beispielausgabe wurde zur Verdeutlichung verkürzt.
user@leaf2> show interfaces ae0 Physical interface: ae0, Enabled, Physical link is Up Physical interface: ae0, Enabled, Physical link is Up [...] Current address: b8:c2:53:ba:8b:80, Hardware address: b8:c2:53:ba:8b:80 Ethernet segment value: 00:02:02:02:02:02:02:02:00:04, Mode: all-active Last flapped : 2022-09-07 14:57:53 UTC (01:06:43 ago) [...] Queue counters: Queued packets Transmitted packets Dropped packets 0 81129 81129 0 3 0 0 0 4 0 0 0 7 4135 4135 0 8 64 64 0 [...] Protocol eth-switch, MTU: 1514, Generation: 266, Route table: 7, Mesh Group: __all_ces__, EVPN multi-homed status: Forwarding, EVPN multi-homed ESI Split Horizon Label: 0, Next-hop: 1665, vpls-status: up Local Bias Logical Interface Name: vtep.32769, Index: 554, VXLAN Endpoint Address: 10.1.255.11 Flags: Is-PrimaryVergewissern Sie sich, dass Server 1 Server 2 pingen kann (aus Gründen der Kürze nicht angezeigt).
Konfiguration
Dieses Beispiel zeigt, wie Sie die Remote-Portspiegelung auf ESI-LAG-Ebene mithilfe einer Remote-Analyseinstanz aktivieren.
-
Die ae0.0-Schnittstelle ist die ESI-LAG-Schnittstelle, über die der Mandant Server 1 verbunden ist. Diese ESI-LAG endet sowohl bei Leaf 1 als auch bei Leaf 2. Konfigurieren Sie die Analyzer-Instanz auf beiden Leaves für die ae0.0-Schnittstelle. Beachten Sie, dass Sie einen Remote-Analyzer sowohl für die Ein- als auch die Ausgangsrichtung konfigurieren.
[edit forwarding-options analyzer my-analyzer1] user@leaf1# set input ingress interface ae0.0 user@leaf1# set input egress interface ae0.0 user@leaf1# set output ip-address 172.16.1.2
-
Border Leaf 3 muss nicht für die GRE-Entkapselung konfiguriert werden, da der GRE-Tunnel an der Überwachungsstation beendet wird. Leaf 3 muss jedoch die Erreichbarkeit für das Subnetz der Überwachungsstation im Underlay der Fabric anzeigen.
Konfigurieren Sie die xe-0/0/33:1-Schnittstelle, die an die Überwachungsstation angeschlossen ist.
user@bl-leaf3# set interfaces xe-0/0/33:1 unit 0 family inet address 172.16.1.1/24
Ändern Sie die Underlay-Exportrichtlinie am Rand von Leaf 3, um das Präfix der Überwachungsstation anzuzeigen. Unsere Topologie verwendet ein EBGP-Underlay. Wir fügen der bestehenden Underlay-Exportrichtlinie einfach einen neuen Begriff hinzu.
[edit policy-options policy-statement send-direct] user@bl-leaf3# set term 2 from protocol direct user@bl-leaf3# set pterm 2 from route-filter 172.16.1.0/24 exact user@bl-leaf3# set term 2 then accept
-
Die Änderungen von der Ausgangsbasis werden bei Leaf 1 dargestellt.
user@leaf1# show | compare base [edit interfaces xe-0/0/0] + gigether-options { + 802.3ad ae0; + } [edit interfaces xe-0/0/0] - unit 0 { - family ethernet-switching { - vlan { - members v101; - } - } - } [edit interfaces] + ae0 { + esi { + 00:02:02:02:02:02:02:02:00:04; + all-active; + } + aggregated-ether-options { + lacp { + active; + system-id 00:00:02:02:00:04; + } + } + unit 0 { + family ethernet-switching { + interface-mode access; + vlan { + members v101; + } + } + } + } [edit] + forwarding-options { + analyzer { + my-analyzer1 { + input { + ingress { + interface ae0.0; + } + egress { + interface ae0.0; + } + } + output { + ip-address 172.16.1.2; + } + } + } + }Sie haben die Remote-Portspiegelung über ein Leaf-Gerät in einer EVPN-VXLAN ERB-Fabric erfolgreich konfiguriert.
Überprüfung
-
Überprüfen Sie die Underlay-Konnektivität von Leaf 1 und Leaf 2 zur Überwachungsstation.
Zeigen Sie auf Leaf 1 die Route zu 172.16.1.0/24 an.
user@leaf1> show route 172.16.1.0/24 inet.0: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.1.0/24 *[BGP/170] 4d 00:56:23, localpref 100 AS path: 65001 65013 I, validation-state: unverified > to 10.1.11.1 via et-0/0/48.0Hinweis:Streng genommen ist nur eine einfache Verbindung zwischen Leaf und Überwachungsstation erforderlich. Wir haben eine statische Route auf der Überwachungsstation so konfiguriert, dass sie das Fabric-Underlay erreicht. Dies ermöglicht Ping-Tests als Tool zur Fehlerisolierung.
Pingen Sie die Überwachungsstation an, um die Konnektivität zu bestätigen.
user@leaf1> ping 172.16.1.2 count 2 source 10.1.255.11 PING 172.16.1.2 (172.16.1.2): 56 data bytes 64 bytes from 172.16.1.2: icmp_seq=0 ttl=62 time=1.380 ms 64 bytes from 172.16.1.2: icmp_seq=1 ttl=62 time=7.614 ms --- 172.16.1.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.380/4.497/7.614/3.117 ms
Der Ausgang bestätigt die erwartete Erreichbarkeit des Underlays von Leaf 1 zur Überwachungsstation. Wir müssen den Ping von der Loopback-Adresse des Leafs beziehen, da unsere Underlay-Exportrichtlinie nur die Erreichbarkeit der Loopback-Adresse ankündigen. Die Beschaffung der Loopback-Adresse wurde im Lean Spine-Beispiel nicht benötigt, da Spine und Border Leaf direkt über ein gemeinsam genutztes Fabric-Link-Subnetz verbunden sind.
-
Bestätigen Sie die Analyseinstanz auf Leaf 1 und Leaf 2.
Vergewissern Sie sich auf Leaf 1, dass der Remote-Analysestatus lautet
up.user@leaf1> show forwarding-options analyzer Analyzer name : my-analyzer1 Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ae0.0 Egress monitored interfaces : ae0.0 Destination IP : 172.16.1.2
Die Ausgabe bestätigt die korrekte Definition der Analyzer-Instanz. Der Status von
upzeigt an, dass das Leaf über eine Underlay-Route zur Überwachungsstation verfügt. Erinnern Sie sich daran, dass GRE ein zustandsloses Protokoll ist. Aus diesem Grund ist es eine gute Idee, die Konnektivität zwischen Leaf und Überwachungsstation zu überprüfen, wie im vorherigen Schritt. -
Bestätigen Sie, dass der Datenverkehr, der zwischen Server 1 und Server 2 gesendet wird, von Leaf 1 und/oder Leaf 2 an die Überwachungsstation gespiegelt wird.
Generieren Sie erneut Datenverkehr zwischen Server 1 und 2 (aus Gründen der Kürze nicht dargestellt). Wir nutzten die schnelle Option für den Ping-Befehl, um eine größere Menge an Paketen zu generieren, um die Erkennung zu erleichtern.
Überwachen Sie die Schnittstellendatenzähler an Leaf 3-Rand, um zu überprüfen, ob der Testdatenverkehr an der Überwachungsstation eintrifft.
user@bl-leaf3> monitor interface xe-0/0/33:1 bl-leaf3 Seconds: 17 Time: 19:58:30 Delay: 1/0/1 Interface: xe-0/0/33:1, Enabled, Link is Up Encapsulation: Ethernet, Speed: 10000mbps Traffic statistics: Current delta Input bytes: 1019608 (0 bps) [0] Output bytes: 5699872 (4752824 bps) [3382190] Input packets: 10115 (0 pps) [0] Output packets: 34752 (3126 pps) [17801]Die Ausgabe bestätigt, dass der Datenverkehr an der Überwachungsstation eintrifft. Das Fehlen von Eingangspaketen wird erwartet, da die Überwachungsstation keine Reaktionen auf den von ihr empfangenen GRE-Datenverkehr generiert.
-
Verwenden Sie Wireshark oder eine entsprechende Analyseanwendung, um den gespiegelten Datenverkehr zu erfassen und zu entschlüsseln.
Abbildung 9: Spiegelung der Datenverkehrsanalyse
Die Erfassung zeigt an, dass Server 1 Ping-Datenverkehr an Server 2 sendet. Da die Analyseinstanzen auf beide Richtungen der ae0.0-Schnittstelle angewendet werden, wird auch der Antwortdatenverkehr gespiegelt. Da der Analyzer auf Schnittstellenebene funktioniert, wird auch LACP, ein Protokoll auf Link-Ebene, das auf der aggregierten Ethernet-Schnittstelle verwendet wird, gespiegelt. Erinnern Sie sich daran, dass im Lean Spine-Fall der gespiegelte Datenverkehr eine VXLAN-Einkapselung anzeigte. In diesem ERB-Leaf-Fall erfassen wir Layer-2-Datenverkehr, bevor er in VXLAN eingekapselt wurde. Beim Eingang erfolgt keine VXLAN-Einkapselung.
Dies ist ähnlich wie bei der Anwendung eines Filters auf die IRB-Schnittstelle eines VLANs. In diesem Fall enthält der gespiegelte Datenverkehr auch keine VXLAN-Einkapselung. IRB-basierte Filter erfassen den Datenverkehr zwischen VLANs nur auf der IP-Ebene. So wird für den IRB-Filterfall nur nicht-VXLAN-verkapselter Layer 3-IP-Datenverkehr gespiegelt.
Der Code zeigt, dass sich der GRE-Tunnel zwischen Leaf 2 (10.1.12.2) und der Überwachungsstation durch das Underlay befindet. Der Ethernet-Frame und das zugehörige IP-Paket, das von Server 1 gesendet wird, werden ebenfalls decodiert. Die den Servern zugewiesenen IP-Adressen sind sichtbar (10.1.100.x/24), ebenso wie die Details des von Server 1 generierten IP/ICMP-Pakets. Die Antwort von Server 2 wird ebenfalls gespiegelt, da die Analyzer-Instanz in unserem Beispiel bidirektional angewendet wird.
Sie haben die Portspiegelung in Ihrer Topologie erfolgreich konfiguriert.