Definición de un puerto de capa 2-copia espejada filtro Firewall
Para el tráfico del servicio de LAN privada virtual (VPLS) (conmutación Ethernet de la familia o VPLS familiar) y para VPN de capa 2 con CCC familia sólo en enrutadores de la serie MX y sólo en conmutadores de la serie EX, puede definir un filtro de firewall que especifique la duplicación de puerto de capa 2 como la acción que se debe llevar a cabo si un paquete coincide con las condiciones configuradas en el término de filtro del firewall.
Puede utilizar un filtro Firewall de puerto de capa 2 de las siguientes maneras:
Para reflejar los paquetes recibidos o enviados en una interfaz lógica.
Para reflejar los paquetes reenviados o desbordarse a una VLAN.
Para reflejar los paquetes reenviados o inundados en una instancia de enrutamiento VPLS.
Para reflejar los paquetes de entrada de interfaz de túnel solo a varios destinos.
Para obtener un resumen de los tres tipos de duplicación de puerto de capa 2 que puede configurar en un enrutador serie MX y en un conmutador de la serie EX, consulte aplicación de tipos de duplicación de puerto de capa 2.
Para definir un filtro de cortafuegos con una acción de duplicación del puerto de capa 2:
- El valor de la serie opción puede ser conmutación Ethernet, Nº, o bien VPLS.
Habilite la configuración de filtros del Firewall para paquetes de capa 2 que formen parte de una VLAN , una conmutación de capa 2 o un servicio LAN privada virtual (VPLS):
[edit]user@host# edit firewall family family Activar la configuración de un filtro de Firewall PM-Filter-Name:
[edit firewall family family]user@host# edit filter pm-filter-nameActivar la configuración de un término de filtro de Firewall PM-Filter-term-Name:
[edit firewall family family filter pm-filter-name]user@host# edit term pm-filter-term-name- Adicional Especifique las condiciones de coincidencia de filtro de Firewall basadas en la dirección de origen de ruta solo si desea reflejar un subconjunto de los paquetes muestreados.
Para obtener información detallada sobre los puentes de capa 2 condiciones de coincidencia del filtro de Firewall (que solo se admiten en enrutadores de la serie mx y conmutadores de serie ex), vea Firewall Filter Match Conditions for Layer 2 Bridging Traffic.
Para obtener más información sobre VPLS condiciones de coincidencia de filtros de firewall, consulte Firewall Filter Match Conditions for VPLS Traffic.
Para obtener información detallada acerca de las condiciones de coincidencia de ajuste entre conexiones del circuito de capa 2 (CCC), consulte Firewall Filter Match Conditions for Layer 2 CCC Traffic.
Nota Si desea que todos los paquetes muestreados se considere que coincidan (y estén sujetos a las acciones especificadas en then la instrucción), omita la from instrucción por completo.
Activar la configuración del intervención y Action-modificador para aplicar a los paquetes coincidentes:
[edit firewall family family filter pm-filter-name term pm-filter-term-name]user@host# edit then- El valor recomendado para el intervención es recibir. Si no especifica ninguna acción, o si omite la then instrucción completamente, se aceptarán todos los paquetes que coincidan con las condiciones from de la instrucción.
Especifique las acciones que se deben llevar a cabo en los paquetes coincidentes:
[edit firewall family family filter pm-filter-name term pm-filter-term-name then]user@host# set action Especifique la creación de reflejo del puerto de capa 2 o un grupo de salto siguiente como el Action-modificador:
Para hacer referencia a las propiedades de duplicación del puerto de capa 2 vigentes actualmente para el motor de reenvío de paquetes o PIC asociado a la interfaz port-mirror física subyacente, utilice la siguiente instrucción:
[edit firewall family family filter pm-filter-name term pm-filter-term-name then]user@host# set port-mirrorPara hacer referencia a las propiedades de duplicación del puerto de capa 2 configuradas en una instancia con nombre específica, utilice el instancia de espejo de Puerto PM-nombre de instancia modificador de acción:
[edit firewall family family filter pm-filter-name term pm-filter-term-name then]user@host# set port-mirror-instance pm-instance-nameSi la interfaz física subyacente no está enlazada a una instancia con nombre del duplicado de puertos de capa 2, sino que está enlazada implícitamente a la instancia global de la duplicación de puertos de capa 2, el tráfico en la interfaz lógica se refleja de acuerdo con el propiedades especificadas en la instancia con nombre a la que hace referencia la instancia de espejo de Puerto modificador de acción.
Para hacer referencia a un grupo de salto siguiente que especifica las direcciones de próximo salto (para enviar copias adicionales de paquetes a un analizador), utilice el siguiente grupo de saltos PM-Next-hop-Group-Name modificador de acción:
[edit firewall family family filter pm-filter-name term pm-filter-term-name then]user@host# set next-hop-group pm-next-hop-group-namePara obtener información de configuración acerca de los grupos de próximos saltos, consulte Defining a Next-Hop Group for Layer 2 Port Mirroring. Si especifica un grupo de próximo salto para la creación de reflejo del puerto de capa 2, el término filtro de Firewall se aplica solo a la entrada de interfaz de túnel.
- En la instrucción del término then de filtro del firewall, el Action-modificador puede ser Port-Mirror, instancia de espejo de Puerto PM-nombre de instancia, o bien siguiente grupo de saltos PM-Next-hop-Group-Name.
Compruebe la configuración mínima del filtro de Firewall de la creación de reflejo del puerto de capa 2:
[edit firewall ... ]user@host# top[edit]user@host# show firewallfamily (ethernet-switching | ccc | vpls) { # Type of packets to mirrorfilter pm-filter-name { # Firewall filter nameterm pm-filter-term-name {from { # Do not specify match conditions based on route source address}then {action; # Recommended action is ’accept’action-modifier; # Three options for Layer 2 port mirroring}}}}