Filtrage MAC, contrôle des tempêtes et prise en charge de la mise en miroir de ports dans un environnement EVPN-VXLAN
Nous prenons en charge le filtrage MAC, le contrôle des tempêtes et la mise en miroir et l’analyse des ports dans un réseau overlay Ethernet VPN-Virtual Extensible LAN (EVPN-VXLAN).
Nous prenons en charge chacune de ces fonctionnalités en utilisant le style d’entreprise pour la configuration de l’interface.
Nous prenons en charge ces fonctionnalités uniquement dans un overlay ERB (Edge-Routed Bridging) EVPN-VXLAN, également appelé topologie EVPN-VXLAN avec une fabric IP réduite. Ce réseau overlay comprend les composants suivants :
-
Une couche unique de commutateurs Juniper Networks, par exemple QFX10002, QFX5120 ou QFX5110, qui fonctionnent à la fois comme un équipement de cœur de réseau de couche 3 et un équipement de branche de couche 2.
-
Équipements de périphérie client (CE) mono-homed ou multi-homed en mode actif/actif vers les équipements spine-leaf.
Nous prenons en charge la mise en miroir des ports locaux et distants avec EVPN-VXLAN sur certaines plates-formes :
-
local : les paquets sont mis en miroir sur une destination sur le même équipement.
-
distant : les paquets sont mis en miroir sur une destination sur un équipement distant.
Si vous souhaitez utiliser la mise en miroir de port à distance avec EVPN-VXLAN, n’oubliez pas de consulter la page De l’explorateur de fonctionnalités pour la mise en miroir de ports à distance avec l’encapsulation VXLAN pour voir les plates-formes et les versions prises en charge.
Consultez la mise en miroir de ports et les analyseurs pour en savoir plus sur la mise en miroir de ports locaux ou distants avec EVPN-VXLAN.
Cette rubrique comprend les informations suivantes :
Avantages du filtrage MAC, du contrôle de tempête et de la prise en charge de la mise en miroir de ports dans un environnement EVPN-VXLAN
-
Le filtrage MAC vous permet de filtrer et d’accepter les paquets provenant d’interfaces entrantes orientées CE, réduisant ainsi le volume d’adresses MAC associées dans la table de commutation Ethernet et le trafic dans un VXLAN.
-
Storm Control vous permet de surveiller les niveaux de trafic sur les interfaces EVPN-VXLAN et, si un niveau de trafic spécifié est dépassé, d’abandonner les paquets de diffusion, d’unicast inconnus et de multicast (BUM) et sur certains commutateurs Juniper Networks, désactiver l’interface pendant un certain temps. Cette fonctionnalité peut empêcher un trafic excessif de dégrader le réseau.
-
Grâce à la mise en miroir des ports et aux analyseurs, vous pouvez analyser le trafic jusqu’au niveau des paquets dans un environnement EVPN-VXLAN. Vous pouvez utiliser cette fonctionnalité pour appliquer des stratégies liées à l’utilisation du réseau et au partage de fichiers, et pour identifier les sources de problèmes en localisant l’utilisation anormale ou importante de la bande passante par des stations ou applications particulières.
Filtrage MAC
Le filtrage MAC vous permet de filtrer les adresses MAC et d’accepter le trafic. Nous ne prenons en charge cette fonctionnalité que sur les interfaces entrantes orientées CE, qui sont des interfaces sur lesquelles l’encapsulation VXLAN n’est généralement pas activée. Pour utiliser cette fonctionnalité, vous devez effectuer les opérations suivantes :
-
Créez un filtre de pare-feu dans lequel vous spécifiez une ou plusieurs des conditions de correspondance prises en charge dans les tableau 1 et 2.
-
Appliquez le filtre de pare-feu à une interface de couche 2 configurée dans la
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]hiérarchie.
| Conditions de correspondance |
Prise en charge du filtre d’entrée d’interface |
Prise en charge du filtre de sortie d’interface |
|---|---|---|
| Adresse MAC source |
X |
X |
| Adresse MAC de destination |
X |
X |
| ID VLAN utilisateur |
X |
X |
| Port source |
X |
|
| Port de destination |
X |
|
| Type Ether |
X |
|
| Protocole IP |
X |
|
| Priorité IP |
X |
|
| Codes ICMP |
X |
|
| Indicateurs TCP |
X |
|
| Adresse IP |
X |
|
Dans la version 18.4R1 de Junos OS, les commutateurs QFX5100 et QFX5110 ne prennent en charge le filtrage MAC que sur une interface. À partir de la version 18.4R2 de Junos OS et des versions ultérieures, les commutateurs QFX5100, QFX5110, QFX5120-48Y et EX4650-48Y prennent également en charge le filtrage MAC sur un VLAN mappé par VXLAN. La version 22.2 de Junos OS prend en charge le filtrage Mac et la correspondance VNI de transit pour les sous-couches IPv6 pures sur les équipements QFX10002, QFX10008 et QFX10016.
| Conditions de correspondance |
Prise en charge du filtre d’entrée d’interface |
Prise en charge du filtre de sortie d’interface |
|---|---|---|
| Adresse MAC source |
X |
|
| Adresse MAC de destination |
X |
|
| ID VLAN utilisateur |
|
|
| Port source |
X |
X |
| Port de destination |
X |
X |
| Type Ether |
X |
X |
| Protocole IP |
X |
|
| Priorité IP |
X |
X |
| Codes ICMP |
X |
X |
| Indicateurs TCP |
X |
X |
| Adresse IP |
X |
X |
Lors de la configuration des filtres MAC sur les commutateurs QFX10000, gardez à l’esprit les éléments suivants :
-
Vous pouvez appliquer un filtre à une interface uniquement. Vous ne pouvez pas appliquer de filtre à un VLAN mappé par VXLAN.
-
Nous ne prenons pas en charge une combinaison de conditions de correspondance de couche 2 et de conditions de correspondance de couche 3/4 dans le même filtre de pare-feu. Par exemple, si vous incluez des conditions d’adresse MAC source et de correspondance de port source dans le même filtre de pare-feu sur un commutateur QFX10002, le filtre de pare-feu ne fonctionnera pas.
-
Nous ne prenons pas en charge la condition de correspondance de l’ID VLAN de l’utilisateur. Par conséquent, si vous avez besoin de filtrer des interfaces logiques, dont chacune est mappée à un VLAN particulier, vous devez utiliser le style de configuration du fournisseur de services lors de la configuration de l’interface physique et des interfaces logiques associées. Après avoir créé un filtre de pare-feu, vous devez ensuite appliquer le filtre à chaque interface logique pour obtenir l’effet de la condition de correspondance de l’ID VLAN de l’utilisateur.
- Avec la version 22.2 de Junos OS, la prise en charge est également mise en œuvre pour la correspondance des ID réseau VxLAN (VNI) sur les en-têtes IP externes source/destination pour le trafic de transit sur une interface de couche 3 pour les équipements QFX10002, QFX10008 et QFX10016. Les correspondances VNI sont effectuées uniquement sur les en-têtes externes et sur le trafic entrant uniquement. Sur les équipements de transit qui acheminent des paquets de tunnel, le filtrage MAC doit prendre en charge la correspondance du VNI dans l’en-tête externe, ainsi que les adresses IPv6 de destination et de source d’en-tête externes comme conditions de correspondance. Utilisez le filtre de correspondance VNI sous l’option CLI de correspondance vxlan pour le
set firewall family inet6 filterterme de la<vxlan [vni <vni-id>]>commande. Utilisez lashow firewall filtercommande pour afficher des statistiques.
Grâce au filtre de pare-feu, vous spécifiez les adresses MAC associées à un VXLAN autorisées sur une interface particulière.
Après avoir appliqué le filtre de pare-feu à une interface de couche 2, l’interface se trouve sous l’instance de commutateur par défaut.
L’exemple de configuration suivant sur un commutateur QFX5110 crée un filtre de pare-feu nommé DHCP-Discover-In qui accepte et compte le trafic entrant qui répond à plusieurs conditions de correspondance (adresse MAC source, adresse MAC de destination, ports de destination et ID VLAN) sur l’interface logique de couche 2 xe-0/0/6.0 :
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
Storm Control
Par défaut, le contrôle des tempêtes est activé sur les commutateurs QFX et EX pour les interfaces de couche 2 associées aux VXLAN. Le niveau de contrôle des tempêtes est défini à 80 % des flux de trafic BUM combinés.
Le contrôle des tempêtes EVPN-VXLAN fonctionne un peu différemment sur les plates-formes ACX Series. Pour plus de détails, consultez la présentation de Storm Control sur les routeurs ACX Series.
Dans un environnement EVPN-VXLAN, le contrôle de tempête est mis en œuvre et configuré sur les interfaces de couche 2 associées aux VXLAN comme dans un environnement non-EVPN-VXLAN, à l’exception des différences suivantes :
-
Dans un environnement EVPN-VXLAN, les types de trafic que surveillent les tempêtes sont les suivants :
-
Trafic BUM de couche 2 qui provient d’un VXLAN et est transféré vers des interfaces du même VXLAN.
-
Trafic multicast de couche 3 reçu par une interface de routage et de pontage intégré (IRB) dans un VXLAN et transféré vers des interfaces dans un autre VXLAN.
-
-
Après avoir créé un profil de contrôle des tempêtes, vous devez le lier à une interface entrante de couche 2 dans la
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]hiérarchie.Note:Après avoir lié le profil à une interface de couche 2, l’interface se trouve dans l’instance de commutateur par défaut.
-
Si les flux de trafic sur une interface dépassent le niveau de contrôle des tempêtes spécifié, le commutateur Juniper Networks abandonne les paquets excédentaires, ce que l’on appelle la limitation de débit. En outre, les commutateurs QFX10000 dans un environnement EVPN-VXLAN prennent en charge la désactivation de l’interface pendant un certain temps à l’aide de l’énoncé
action-shutdownde configuration au niveau de la[edit forwarding-options storm-control-profiles]hiérarchie et de l’énoncé derecovery-timeoutconfiguration au niveau de la[edit interfaces interface-name unit logical-unit-number family ethernet-switching]hiérarchie.Note:Les commutateurs QFX5100 et QFX5110 dans un environnement EVPN-VXLAN ne prennent pas en charge la désactivation de l’interface pendant un certain temps.
Note:Sur les commutateurs QFX5110, si vous configurez un contrôle des tempêtes amélioré et un analyseur natif sur une interface, et que l’analyseur natif a le VLAN VxLAN en entrée, l’action d’arrêt ne fonctionnera pas pour le VLAN sur cette interface. La limitation des débits fonctionnera comme prévu.
La configuration suivante crée un profil nommé scp, qui spécifie que si la bande passante utilisée par les flux de trafic BUM combinés dépasse 5 % sur l’interface logique de couche 2 et-0/0/23.0, l’interface abandonne le trafic BUM excédentaire.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
La configuration suivante crée un profil nommé scp, qui spécifie que si la bande passante utilisée par le flux de trafic multicast (flux de trafic broadcast et inconnus sont exclus) dépasse 5 % sur l’interface logique de couche 2 et-0/0/23.0, l’interface abandonne le trafic multicast excédentaire.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
La configuration suivante sur un commutateur QFX10000 crée le même profil que dans la configuration précédente. Toutefois, au lieu d’abandonner implicitement le trafic multicast si le flux de trafic dépasse 5 %, la configuration suivante désactive explicitement l’interface pendant 120 secondes, puis remet l’interface en place.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
Mise en miroir de ports et analyseurs
Pour analyser le trafic dans un environnement EVPN-VXLAN, nous prenons en charge les fonctionnalités d’analyse et de mise en miroir de ports suivantes :
-
Mise en miroir locale
-
Sur une interface
-
Sur un VXLAN
-
-
Mise en miroir à distance
-
Sur une interface
-
Sur un VXLAN
-
Les sections suivantes fournissent plus d’informations sur les fonctionnalités prises en charge et incluent des exemples de configurations.
Mise en miroir locale
La mise en miroir locale est comparable à l’analyseur de ports commutateurs (SPAN).
| Entité à laquelle la mise en miroir locale est appliquée |
Sens du trafic |
Assistance basée sur des filtres |
Assistance basée sur les analyseurs |
|---|---|---|---|
| Interface ce-face-à-face |
Pénétration |
Soutenu. Voir cas d’utilisation 1 : exemple de configuration. |
Soutenu. Voir cas d’utilisation 2 : exemple de configuration. |
| Interface ce-face-à-face |
Sortie |
Non pris en charge. |
Soutenu; toutefois, le trafic sortant en miroir peut comporter des balises VLAN incorrectes qui diffèrent des balises du trafic d’origine. Voir cas d’utilisation 3 : exemple de configuration. |
| Interface orientée fabric IP |
Pénétration |
Soutenu. |
Soutenu. Voir cas d’utilisation 4 : exemple de configuration. |
| Interface orientée fabric IP |
Sortie |
Non pris en charge. |
Soutenu. Toutefois, la décision de mettre en miroir se produit au moment de l’entrée, de sorte que l’en-tête de couche 2 ne sera pas la même qu’un paquet commuté ou routé. Les paquets encapsulés VXLAN en miroir n’incluent pas d’en-tête VXLAN. Voir cas d’utilisation 5 : exemple de configuration. |
| VLAN mappé VXLAN |
Pénétration |
Soutenu. |
Prise en charge uniquement pour le trafic entrant via une interface orientée CE. Voir cas d’utilisation 6 : exemple de configuration. |
Configuration de la mise en miroir locale
Use Case 1: Firewall filter-based
Grâce à l’utilisation d’une instance de mise en miroir de port nommée pm1 et d’un filtre de pare-feu, cette configuration spécifie que le trafic de couche 2 qui pénètre dans VXLAN100 via l’interface logique xe-0/0/0/8.0 est mis en miroir sur un analyseur sur l’interface logique xe-0/0/6.0, puis vers l’instance de mise en miroir de port pm1.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui pénètre dans l’interface logique xe-0/0/8.0 est mis en miroir dans un analyseur sur l’interface logique xe-0/0/6.0.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui sort de l’interface logique xe-0/0/8.0 est mis en miroir sur un analyseur sur l’interface logique xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
En utilisant l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui pénètre dans l’interface logique xe-0/0/0/29.0 est mis en miroir sur un analyseur sur l’interface logique xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
En utilisant l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui sort de l’interface logique xe-0/0/0/29.0 est mis en miroir sur un analyseur sur l’interface logique xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui pénètre dans le VLAN nommé VXLAN100 et est mis en miroir dans un analyseur sur l’interface logique xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
Mise en miroir à distance
La mise en miroir des ports distants est utilisée lorsque la destination de sortie n’est pas sur le même commutateur que la source. La mise en miroir à distance fournit le trafic mis en miroir à un ou plusieurs hôtes de destination distants. Il est souvent utilisé dans l’environnement de centre de données pour le dépannage ou la surveillance.
Dans un environnement EVPN-VXLAN, le flux de trafic mis en miroir au niveau du commutateur source est encapsulé et tunnelisé à travers la structure IP underlay jusqu’à l’adresse IP de l’hôte de destination. Nous prenons en charge les types d’encapsulation suivants :
-
L’encapsulation de routage générique (GRE) est utilisée avec la mise en miroir à distance pour encapsuler le trafic entre des commutateurs séparés par un domaine de routage. Dans un overlay EVPN-VXLAN, l’encapsulation GRE permet la mise en miroir entre les équipements de branche sur la structure IP. Utilisez la mise en miroir à distance avec GRE lorsque les hôtes de destination de mise en miroir sont connectés à un commutateur qui fait partie de la même structure que le commutateur source. La mise en miroir à distance avec encapsulation GRE est comparable à l’encapsulation distante encapsulée (ERSPAN).
Note:Sur les plates-formes ACX7100-32C et ACX7100-48L, la version comparable d’ERSPAN est ERSPAN version 2 (ERSPAN v2).
-
L’encapsulation VXLAN prend en charge la mise en miroir à distance pour EVPN-VXLAN lorsque la source et les destinations de sortie se trouvent dans des domaines VNI distincts. Vous devez configurer un VXLAN spécifique pour mettre en miroir le trafic des interfaces de destination de sortie et mapper à un VNI. La mise en miroir à distance avec l’encapsulation VXLAN est comparable au SPAN distant (RSPAN).
| Entité à laquelle la mise en miroir à distance est appliquée |
Sens du trafic |
Assistance basée sur des filtres |
Assistance basée sur les analyseurs |
|---|---|---|---|
| Interface ce-face-à-face |
Pénétration |
Soutenu. Non pris en charge sur l’ACX7100. |
Soutenu. Voir cas d’utilisation 1 : exemple de configuration. Compatible avec l’ACX7100. Cependant, les paquets mis en miroir comprennent un en-tête GRE. |
| Interface ce-face-à-face |
Sortie |
Non pris en charge. |
Soutenu. Voir cas d’utilisation 2 : exemple de configuration. Compatible avec l’ACX7100. Cependant, les paquets mis en miroir comprennent un en-tête GRE. |
| Interface orientée fabric IP |
Pénétration |
Soutenu. Non pris en charge sur l’ACX7100. |
Soutenu. Voir cas d’utilisation 3 : exemple de configuration. Compatible avec l’ACX7100. Toutefois, les paquets VXLAN encapsulés mis en miroir comprennent un en-tête VXLAN et un en-tête GRE. |
| Interface orientée fabric IP |
Sortie |
Non pris en charge. |
Soutenu. Toutefois, la décision de mettre en miroir se produit au moment de l’entrée, de sorte que l’en-tête de couche 2 ne sera pas la même qu’un paquet commuté ou routé. Voir cas d’utilisation 4 : exemple de configuration.
Note:
Le trafic mis en miroir peut inclure une balise d’ID VLAN fausse de 4094 sur la trame MAC native. Compatible avec l’ACX7100. Toutefois, les paquets mis en miroir comprennent un en-tête GRE, mais pas d’en-tête VXLAN. |
| VLAN mappé VXLAN |
Pénétration |
Soutenu. Non pris en charge sur l’ACX7100. |
Prise en charge uniquement pour le trafic entrant dans une interface orientée CE. Voir cas d’utilisation 5 : exemple de configuration. Non pris en charge sur l’ACX7100. |
Configuration de la mise en miroir à distance avec l’encapsulation GRE
Les exemples de configurations suivants sont destinés à la mise en miroir à distance basée sur l’analyseur avec encapsulation GRE.
Pour obtenir un exemple de configuration d’un analyseur distant avec l’encapsulation GRE sur ACX7100, consultez Exemple : Activer une instance d’analyseur à distance sur une interface ESI-LAG.
Use Case 1
Grâce à l’utilisation de l’énoncé analyzer de configuration au [set forwarding-options] niveau hiérarchique, cette configuration spécifie que le trafic de couche 2 qui pénètre dans l’interface logique xe-0/0/8.0 est mis en miroir sur une interface logique distante avec une adresse IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui sort de l’interface logique xe-0/0/8.0 est mis en miroir sur une interface logique distante avec une adresse IP 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui pénètre dans l’interface logique xe-0/0/29.0 est mis en miroir sur une interface logique distante avec une adresse IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
Grâce à l’utilisation de l’énoncé analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui sort de l’interface logique xe-0/0/29.0 est mis en miroir sur une interface logique distante avec une adresse IP 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
Grâce à l’utilisation de l’instruction analyzer de configuration au niveau de la [set forwarding-options] hiérarchie, cette configuration spécifie que le trafic de couche 2 qui pénètre dans VXLAN100, qui est mappé à l’interface logique xe-0/0/8.0, est mis en miroir sur une interface logique distante avec une adresse IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
Configuration de la mise en miroir à distance avec l’encapsulation VXLAN
Pour savoir quelles plates-formes prennent en charge cette fonctionnalité à partir de quelles versions, consultez la page De l’explorateur de fonctionnalités pour la mise en miroir de ports distants avec l’encapsulation VXLAN.
Configuration basée sur l’analyseur
L’exemple de configuration suivant est pour la mise en miroir à distance basée sur l’analyseur avec l’encapsulation VXLAN. Le trafic de couche 2 qui pénètre dans le VLAN100 est mis en miroir sur la destination de sortie distante VLAN3555, qui est mappée à VNI 1555.
Cette configuration utilise une interface de bouclage sur le VLAN de destination pour encapsuler les paquets mis en miroir.
-
L’interface de destination xe-0/0/2 est connectée en externe à l’interface de bouclage xe-0/0/3.
- Les interfaces logiques xe-0/0/2.0 et xe-0/0/3.0 sont membres du VLAN de destination3555.
- L’interface xe-0/0/2.0 est configurée dans un style d’entreprise sans mappage VNI, tandis que l’interface xe-0/0/3.0 est configurée dans le style fournisseur de services avec le même id vlan et avec le mappage VNI. Il s’agit d’éviter les inondations ou les boucles entre ces ports.
- L’apprentissage Mac doit être désactivé sur xe-0/0/2.0.
L’interface entrante doit être configurée en mode trunk pour que les paquets encapsulés soient balisés. Pour décapiter les paquets balisés, configurez la set protocols l2-learning decapsulate-accept-inner-vlan commande au niveau du nœud de décasulation.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Pour configurer une interface de bouclage logique au lieu d’utiliser une connexion externe, utilisez la commande suivante :
set interfaces interface-name ether-options loopback
L’exemple de configuration ci-dessous utilise un bouclage logique sur l’interface xe-0/0/2 :
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Configuration basée sur les filtres de pare-feu
La configuration suivante applique un filtre de pare-feu , filter1au trafic entrant au niveau de l’interface xe-0/0/34. Le trafic entrant sur cette interface est mis en miroir à la destination VLAN3555. Le VLAN de destination est défini à l’aide d’une instance de mise en miroir de port nommée pm1.
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
Mise en miroir des ports distants à l’aide des conditions de correspondance VNI
Pour les commutateurs QFX10002, QFX10008 et QFX10016 Series, vous pouvez utiliser les valeurs d’identifiant de réseau VXLAN (VNI) comme condition de correspondance lors du filtrage du trafic pour la mise en miroir de ports distants. Cette capacité est souvent utilisée dans la planification du réseau et pour les analyses telles que l’inspection approfondie des paquets (DPI).
La fonctionnalité de mise en miroir des ports distants crée une copie des paquets entrants ciblés, qui sont encapsulés dans un en-tête GRE IPv4 externe, puis transférés vers une destination distante désignée. La prise en charge des conditions de correspondance VNI signifie que vous pouvez sélectionner les paquets à mettre en miroir sur la base de leur VNI afin que seuls ces flux soient dirigés vers le port miroir distant. Vous pouvez également configurer une valeur de point de code de service (DSCP) différenciée pour hiérarchiser le flux, par exemple, une priorité élevée ou une prestation de meilleurs efforts. Les interfaces de routage et de pontage intégrés (IRB) ne sont pas prises en charge en tant que port miroir de destination.
D’un point de vue plus élevé, la procédure de mise en miroir des ports distants basée sur des VNI consiste à créer une instance de mise en miroir de port distant, à promouvoir le VNI dans la famille de filtres de pare-feu pour gérer les VNI, à créer les règles et actions de filtre nécessaires, puis à appliquer la stratégie de pare-feu à une interface entrante. La tunnelisation GRE doit également être en place sur l’interface utilisée pour envoyer les paquets en miroir.
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
Les exemples de code ci-dessous mettent en évidence les configurations cli Junos clés dont vous avez besoin pour mettre en miroir les paquets en fonction du VNI.
- Activez la mise en miroir des ports distants et configurez également la source du trafic et la destination vers laquelle vous souhaitez envoyer les paquets mis en miroir.
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- Créez un filtre de pare-feu (ici, nommé bf_vni_st) et faites du VNI le module de transfert de paquets (en d’autres termes, cette commande définit l’ensemble du filtre pour optimiser les conditions de correspondance VNI).
set firewall family inet filter fbf_vni_st promote vni
- Créez un filtre de pare-feu entrant (bf_vni_st), qui spécifie une condition de correspondance VNI (6 030 dans cet exemple) et une action (compter, dans cet exemple).
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- Appliquez le filtre au trafic entrant au niveau de l’interface que vous souhaitez mettre en miroir.
set interfaces interface unit number family inet filter input fbf_vni_st