Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configurer la mise en miroir des paquets avec des en-têtes de couche 2 pour le trafic transféré de couche 3

Les filtres de mise en miroir sélective des paquets peuvent constituer un mécanisme de dépannage très efficace et peuvent également être utilisés à des fins de surveillance des performances.

Comprendre la mise en miroir des paquets avec des en-têtes de couche 2 pour le trafic transféré de couche 3

Le présent document permet de sélectionner le trafic à l’aide d’une grande variété de conditions de correspondance de filtre IPv4 ou IPv6 et de mettre en miroir des paquets entiers avec leurs informations d’en-tête de couche 2 d’origine.

Les informations d’en-tête de couche 2 peuvent être essentielles pour identifier un client spécifique dans un déploiement de routeur de périphérie ou un pair Internet spécifique dans un cas d’appairage public.

Fonctionnalités de la mise en miroir des paquets avec en-têtes de couche 2 pour le trafic transféré de couche 3

En un mot, vous pouvez mettre en miroir l’en-tête de paquet de couche 2 d’origine lorsque l’action l2-mirror est configurée dans un family inet filtre ou family inet6 . Les paquets peuvent être mis en miroir localement ou à distance à l’aide de tunnels GRE.

Si vous spécifiez l’interface de sortie dans votre configuration de mise en miroir en tant qu’interface de tunnel GRE, les paquets sont encapsulés dans GRE avant la transmission. Une instance de mise en miroir de ports peut être configurée avec plusieurs familles de protocoles de sortie.

Limitations de la configuration de mise en miroir au niveau des paquets

  • La nouvelle action, l2-mirror, n’est prise en charge que pour family inet les filtres et family inet6.

  • La mise en miroir de couche 2 n’est pas prise en charge sur les interfaces gr-*/*/*.

Configurer un filtre à l’aide d’une instance de mise en miroir de port ou d’une mise en miroir de port globale

La configuration l2-mirror se fait sous firewall family (inet | inet6) filter filter-name term then port-mirror (mise en miroir globale des ports) ou firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (instances de mise en miroir des ports, ou « instances PM »).

Le fait d’avoir l2-mirror configuré pour un terme indique que pour les paquets correspondant à ce terme, le paquet de couche 2 est mis en miroir. Le logiciel effectue des vérifications de validation pour les configurations non valides, par exemple lorsque l2-mirror est configuré mais qu’aucune interface de sortie de mise en miroir de port n’est configurée family any dans la configuration de mise en miroir de port au niveau global ou au niveau de l’instance. Si vous désactivez l2-mirrorl’option , le comportement de mise en miroir revient à la mise en miroir de couche 3.

Les deux exemples suivants montrent la configuration d’un filtre (le nom du filtre dans les exemples est f1) avec une instance de mise en miroir de port et avec une mise en miroir de port globale. Dans les deux exemples, le trafic est mis en miroir vers la destination distante via un tunnel GRE.

REMARQUE :

Les configurations de mise en miroir des ports, qui sont sous forwarding-options, sont configurées avec family any, mais les conditions de correspondance dans la configuration du filtre sont effectuées sous family inet. L’utilisation family any active la mise en miroir des paquets de couche 2.
  1. Pour configurer le filtre à l’aide d’une instance de mise en miroir des ports :
    REMARQUE :

    Vous pouvez spécifier une interface gr- comme destination de miroir. Reportez-vous à la section Configuration de la tunnelisation d’encapsulation de routage générique sur ACX Series pour plus d’informations sur la configuration des interfaces gr- (le document fait spécifiquement référence aux routeurs ACX Series ; les mêmes informations s’appliquent à divers autres routeurs, y compris MX10003).
  2. Pour configurer le filtre avec la mise en miroir globale des ports :

Configurer la mise en miroir pour les tunnels FTI

Lorsque le chemin de données traverse un tunnel FTI (Flexible Tunnel Interface), le paquet de sortie est envoyé avec une encapsulation de tunnel. Vous pouvez configurer une configuration qui reflète le paquet d’origine ainsi que le paquet avec toutes les encapsulations à mesure qu’il sort.

Pour mettre en miroir le paquet d’origine, configurez la mise en miroir d’entrée sur l’interface WAN entrante.

Pour mettre en miroir le paquet avec toutes les encapsulations, activez la mise en miroir de sortie sur l’interface WAN de sortie.

Pour activer la mise en miroir en fonction d’un filtre installé sur l’interface FTI, vous devez suivre un processus en deux étapes :

  1. Vous marquez les paquets pour la mise en miroir à l’aide de l’action de stratégie sur l’interface fti-. L’action de stratégie est généralement utilisée pour sélectionner la règle de réécriture de sortie, mais dans ce cas, l’action de stratégie est utilisée pour marquer les paquets intéressants avec un attribut de stratégie interne, sans qu’aucune règle de réécriture spéciale ne soit configurée.
  2. Vous avez le logiciel qui intercepte les paquets qui correspondent à la stratégie spécifique du côté du WAN de sortie et qui déclenche l’action l2-mirror . Les paquets sont signalés avec des informations d’en-tête de couche 2, y compris l’encapsulation du tunnel.
REMARQUE :

L’exemple suivant illustre la mise en miroir de ports de couche 3. Pour obtenir la mise en miroir de ports de couche 2, il suffit de configurer l’action l2-mirror comme indiqué dans les exemples précédents de ce document.
  1. Définissez policy-map policy-map-name sous la class-of-service strophe :
  2. Appliquer un filtre de sortie sur le FTI avec l’action policy-map pm1:
  3. La sortie de configuration suivante montre la configuration FTI sur l’interface fti0.1001. (Pour plus de détails sur la configuration d’un tunnel FTI, reportez-vous à la section Présentation des interfaces de tunnel flexibles.)
  4. Ajouter un filtre (nommé ici mirror-all) sur l’interface WAN sortante avec la correspondance de policy-map pm1 then port-mirror:

Points d’attache pour les filtres

Point d’attache du filtre Type d’interface En-tête de couche 2 de paquets en miroir
Entrée N’importe quel Ethernet, à l’exception de gr- et fti- L’en-tête de couche 2 du paquet entrant est signalé
Sortie N’importe quel Ethernet, à l’exception de gr- et fti- L’en-tête de couche 2 du paquet entrant est signalé
Entrée ou sortie GR- Interface Non pris en charge
Entrée Interface FTI En-tête entrant de couche 2 du paquet d’origine (tel qu’il a été vu sur le port WAN)
Sortie Interface FTI En-tête entrant de couche 2 du paquet d’origine (tel qu’il a été vu sur le port WAN)
Entrée Interface IRB En-tête entrant de couche 2 du paquet d’origine (tel qu’il a été vu sur le port WAN)
Sortie Interface IRB Non pris en charge

Suggestions d’améliorations à apporter à votre configuration de filtrage de paquets

Considérez ce qui suit comme pratique supplémentaire pour améliorer la configuration de la télémétrie de votre réseau de filtres :

Vous pouvez utiliser des filtres de chaîne d’entrée et de chaîne de sortie pour séparer la configuration de filtre utilisée pour la mise en miroir des filtres existants, ce qui vous permet d’éviter les erreurs de configuration accidentelles lors du dépannage. Pour plus d’informations sur cette fonctionnalité, reportez-vous à la section Exemple : Utilisation de chaînes de filtres de pare-feu.