Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Definición de un puerto de capa 2-copia espejada filtro Firewall

 

Para el tráfico del servicio de LAN privada virtual (VPLS) (Puente de familia o VPLS familiar) y para VPN de capa 2 con cccfamilia sobre enrutadores serie mx y sólo en conmutadores de la serie ex, puede definir un filtro de firewall que especifique la duplicación de puerto de capa 2 como la acción que se debe llevar a cabo si un paquete coincide con las condiciones configuradas en el término de filtro de Firewall

Puede utilizar un filtro Firewall de puerto de capa 2 de las siguientes maneras:

  • Para reflejar los paquetes recibidos o enviados en una interfaz lógica.

  • Para reflejar los paquetes reenviados o desbordarse a un dominio de puente.

  • Para reflejar los paquetes reenviados o inundados en una instancia de enrutamiento VPLS.

  • Para reflejar los paquetes de entrada de interfaz de túnel solo a varios destinos.

Para obtener un resumen de los tres tipos de duplicación de puerto de capa 2 que puede configurar en un enrutador serie MX, consulte aplicación de tipos de duplicación de puerto de capa 2.

Para definir un filtro de cortafuegos con una acción de duplicación del puerto de capa 2:

  1. Habilite la configuración de filtros del Firewall para paquetes de capa 2 que forman parte de un dominio de puente , un conmutador de capa 2 de conexión cruzada o un servicio LAN privada virtual (VPLS):

    El valor de la serie opción puede ser puente de red, , o bien VPLS.
  2. Activar la configuración de un filtro de Firewall PM-Filter-Name:

  3. Activar la configuración de un término de filtro de Firewall PM-Filter-term-Name:

  4. Adicional Especifique las condiciones de coincidencia de filtro de Firewall basadas en la dirección de origen de ruta solo si desea reflejar un subconjunto de los paquetes muestreados. Nota

    Si desea que todos los paquetes muestreados se considere que coincidan (y estén sujetos a las acciones especificadas en then la instrucción), omita la from instrucción por completo.

  5. Activar la configuración del intervención y Action-modificador para aplicar a los paquetes coincidentes:

  6. Especifique las acciones que se deben llevar a cabo en los paquetes coincidentes:

    El valor recomendado para el intervención es recibir. Si no especifica ninguna acción, o si omite la then instrucción completamente, se aceptarán todos los paquetes que coincidan con las condiciones from de la instrucción.
  7. Especifique la creación de reflejo del puerto de capa 2 o un grupo de salto siguiente como el Action-modificador:

    • Para hacer referencia a las propiedades de duplicación del puerto de capa 2 vigentes actualmente para el motor de reenvío de paquetes o PIC asociado a la interfaz port-mirror física subyacente, utilice la siguiente instrucción:

    • Para hacer referencia a las propiedades de duplicación del puerto de capa 2 configuradas en una instancia con nombre específica, utilice el instancia de espejo de Puerto PM-nombre de instancia modificador de acción:

      Si la interfaz física subyacente no está enlazada a una instancia con nombre del duplicado de puertos de capa 2, sino que está enlazada implícitamente a la instancia global de la duplicación de puertos de capa 2, el tráfico en la interfaz lógica se refleja de acuerdo con el propiedades especificadas en la instancia con nombre a la que hace referencia la instancia de espejo de Puerto modificador de acción.

    • Para hacer referencia a un grupo de salto siguiente que especifica las direcciones de próximo salto (para enviar copias adicionales de paquetes a un analizador), utilice el siguiente grupo de saltos PM-Next-hop-Group-Name modificador de acción:

      Para obtener información de configuración acerca de los grupos de próximos saltos, consulte Defining a Next-Hop Group for Layer 2 Port Mirroring. Si especifica un grupo de próximo salto para la creación de reflejo del puerto de capa 2, el término filtro de Firewall se aplica solo a la entrada de interfaz de túnel.

  8. Compruebe la configuración mínima del filtro de Firewall de la creación de reflejo del puerto de capa 2:

    En la instrucción del término then de filtro del firewall, el Action-modificador puede ser Port-Mirror, instancia de espejo de Puerto PM-nombre de instancia, o bien siguiente grupo de saltos PM-Next-hop-Group-Name.