Sur cette page
Exemple : Configurer la mise en miroir des ports avec Family any et un filtre de pare-feu
Présentation
• Famille any (pour la famille any, ccc, ethernet-switching, ou mpls)
Vous utilisez l’option de configuration de la famille any pour traiter les 4 familles.
Vous l’utilisez [edit forwarding-options port-mirroring] pour la mise en miroir de ports locaux ou [edit forwarding-options port-mirroring instance instance-name] pour la mise en miroir de ports distants, ces deux configurations nécessitant également un filtre de pare-feu.
Le texte suivant répertorie les mises en garde et les limitations que vous devez connaître lorsque vous configurez cette fonctionnalité :
Avertissements
-
Si vous devez modifier la configuration de sortie de mise en miroir des ports, supprimez d’abord la configuration de sortie existante, puis configurez la nouvelle configuration de sortie.
-
Si le nombre d’instances de mise en miroir de port distant dépasse 15, aucune erreur de validation ne s’affiche.
-
Un message d’erreur du moteur de transfert de paquets est généré si le nombre d’instances de mise en miroir de port dépasse 15. Cependant, si vous supprimez l’une des instances existantes, la seizième instance n’est pas programmée automatiquement. Vous devez d’abord supprimer la seizième instance, puis l’ajouter à nouveau.
-
Un paquet échantillonné ne peut être envoyé qu’à un seul dispositif NMS.
-
Chaque famille consomme une instance, donc
maximum number of instances = number of instances + number of families
-
Une interface FTI doit fonctionner en mode bouclage.
REMARQUE :Les interfaces FTI sont incluses dans les configurations de mise en miroir de ports distants.
-
Vous pouvez configurer la longueur maximale des paquets sous la forme d’un multiple de 128 octets ; La taille d’un paquet exporté est inférieure de 22 octets à la valeur configurée.
-
Ne configurez pas plusieurs interfaces pour la même instance : elles ne sont pas prises en charge et aucune erreur de validation n’est créée si vous essayez de valider plusieurs interfaces pour la même instance.
-
Le redémarrage du démon miroir (en miroir) et de GRES a tous deux une baisse momentanée.
-
Les paquets terminés par un tunnel dans le sens sortant ne sont pas mis en miroir.
-
Les actions
port-mirrorcombinées etdiscarddans le sens de sortie ne sont pas prises en charge. -
Le trafic Jumbo dans le sens sortant de l’interface FTI n’est pas pris en charge.
Limitations
-
La configuration L2 de type fournisseur d’entreprise (
ethernet-switching) n’est pas prise en charge par le filtre de familleany. -
Un paquet échantillonné ne peut être envoyé qu’à une seule instance de mise en miroir de port distant. Le même paquet échantillonné ne peut pas être envoyé à plusieurs périphériques NMS.
-
Les statistiques relatives aux paquets mis en miroir sur les ports doivent être vérifiées à l’aide du filtre de pare-feu ou du FTI.
-
Le trafic MPLS sortant n’est pas pris en charge par le filtre de famille
any. -
Une interface Ethernet agrégée (ae) n’est pas prise en charge en tant qu’interface sortante sur le filtre de famille
any.
Conditions préalables
-
PTX10008 ou PTX10016
-
Junos OS Evolved version 22.2R1 ou ultérieure
Topologie
L’exemple suivant montre une configuration de mise en miroir de ports locaux avec une famille any et un filtre de pare-feu.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
Résultats
Vérifiez les résultats de la configuration :
firewall {
family any {
filter mirror_to_analytics {
term port-mirror {
from {
learn-vlan-id 1024-1055;
}
then count c1;
then port-mirror;
}
term all-else {
then accept;
}
}
}
}
interfaces {
ae10 {
encapsulation flexible-ethernet-services;
aggregated-ether-options {
lacp {
active;
periodic fast;
}
}
unit 1038 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1038;
unit 1046 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1046;
}
} vlan-tagging;
}
et-0/0/0:3 {
encapsulation ethernet ccc;
unit 0 {
family ccc;
}
forwarding-options {
port-mirroring {
input {
rate 1; (We recommend 1:1000 so you don't mirror all the traffic.)
}
family any {
output {
interface et-0/0/0:3.0;
}
}
}
}