Configuration de la mise en miroir des ports pour plusieurs destinations
Présentation de la mise en miroir de ports de couche 2 vers plusieurs destinations à l’aide de groupes Next-hop
Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant des groupes de sauts suivants dans les filtres de pare-feu de mise en miroir de port de couche 2 appliqués aux interfaces de tunnel. La mise en miroir de paquets vers plusieurs destinations est également connue sous le nom de mise en miroir de ports multipaquets.
La version 9.5 de Junos OS introduisait la prise en charge de la mise en miroir de ports de couche 2 à l’aide de groupes next-hop sur les routeurs MX Series, mais nécessitait l’installation d’un Tunnel PIC. À partir de Junos OS version 9.6, la mise en miroir de ports de couche 2 à l’aide de groupes next-hop sur des routeurs MX Series ne nécessite pas de PIC de tunnel.
Sur les routeurs MX Series et les commutateurs EX Series, vous pouvez définir un filtre de pare-feu pour la mise en miroir des paquets vers un groupe de sauts suivant. Le groupe next-hop peut contenir des membres de couche 2, des membres de couche 3 et des sous-groupes qui sont soit des listes d’unités (mise en miroir des paquets vers chaque interface), soit équilibrage de charge (mise en miroir des paquets sur l’une des plusieurs interfaces). Le routeur MX Series et le commutateur EX Series prennent en charge jusqu’à 30 groupes next-hop. Chaque groupe next-hop prend en charge jusqu’à 16 adresses next-hop. Chaque groupe next-hop doit spécifier au moins deux adresses.
Pour activer la mise en miroir de ports vers les membres d’un groupe de sauts suivants, spécifiez le groupe de sauts suivants en tant qu’action de filtre d’un filtre de pare-feu, puis appliquez le filtre de pare-feu aux interfaces de tunnel logique (lt-) ou aux interfaces de tunnel virtuel (vt-) sur le routeur MX Series ou sur le commutateur EX Series.
L’utilisation de sous-groupes pour l’équilibrage de charge du trafic en miroir n’est pas prise en charge.
Définition d’un groupe next-hop sur les routeurs MX Series pour la mise en miroir de ports
À partir de la version 14.2, sur les routeurs contenant un circuit intégré spécifique à l’application (ASIC) d’Internet Processor II ou un processeur Internet T Series, vous pouvez envoyer une copie d’un paquet IP version 4 (IPv4) ou IP version 6 (IPv6) du routeur à une adresse hôte externe ou à un outil d’analyse des paquets pour analyse. C’est ce qu’on appelle la mise en miroir des ports.
La mise en miroir des ports est différente de l’échantillonnage du trafic. Dans l’échantillonnage du trafic, une clé déchantillonnage basée sur l’en-tête IPv4 est envoyée au moteur de routage. Là, la clé peut être placée dans un fichier, ou des paquets cflowd basés sur la clé peuvent être envoyés à un serveur cflowd. Dans la mise en miroir de ports, l’intégralité du paquet est copiée et envoyée via une interface next-hop.
Vous pouvez configurer l’utilisation simultanée de l’échantillonnage et de la mise en miroir des ports, et définir une fréquence d’échantillonnage et une durée d’exécution indépendantes pour les paquets mis en miroir des ports. Toutefois, si un paquet est sélectionné à la fois pour l’échantillonnage et la mise en miroir des ports, une seule action peut être effectuée et la mise en miroir des ports est prioritaire. Par exemple, si vous configurez une interface pour échantillonner chaque paquet d’entrée de l’interface et qu’un filtre sélectionne également le paquet à mettre en miroir sur une autre interface, seule la mise en miroir des ports prend effet. Tous les autres paquets qui ne correspondent pas aux critères explicites de mise en miroir des ports du filtre continuent d’être échantillonnés lorsqu’ils sont transférés à leur destination finale.
Les groupes de saut suivant vous permettent d’inclure la mise en miroir de ports sur plusieurs interfaces.
Sur les routeurs MX Series, vous pouvez mettre en miroir le trafic d’entrée de l’interface de tunnel vers plusieurs destinations. Pour cette forme de mise en miroir de ports multipaquets, vous spécifiez deux destinations ou plus dans un groupe de saut suivant, définissez un filtre de pare-feu qui référence le groupe de sauts suivant en tant qu’action de filtrage, puis appliquez le filtre à une interface lt-de tunnel logique ) ou à des interfaces de tunnel virtuel (vt- sur le routeur MX Series.
Pour définir un groupe next-hop pour une action de filtre de pare-feu de mise en miroir de ports de couche 2 :
Exemple : Configuration de la mise en miroir de plusieurs ports avec des groupes Next-Hop sur les routeurs M, MX et T Series
Lorsque vous avez besoin d’analyser du trafic contenant plusieurs types de paquets, ou que vous souhaitez effectuer plusieurs types d’analyse sur un seul type de trafic, vous pouvez implémenter la mise en miroir de plusieurs ports et des groupes de sauts suivants. Vous pouvez créer jusqu’à 16 copies du trafic par groupe et envoyer le trafic aux membres du groupe de saut suivant. Un maximum de 30 groupes peuvent être configurés sur un routeur à un moment donné. Le trafic mis en miroir peut être envoyé vers n’importe quelle interface, à l’exception des interfaces SONET/SDH agrégées, Ethernet agrégées, loopback (lo0) ou administratives (fxp0). Pour envoyer du trafic en miroir de port à plusieurs serveurs de flux ou analyseurs de paquets, vous pouvez utiliser l’instruction next-hop-group au niveau de la [edit forwarding-options] hiérarchie.
Figure 1 montre un exemple de configuration de la mise en miroir de plusieurs ports avec des groupes next-hop. Tout le trafic entre dans le routeur de surveillance à l’interface ge-1/0/0. Un filtre de pare-feu compte et met en miroir tous les paquets entrants sur un PIC de services de tunnel. Un second filtre est appliqué à l’interface du tunnel et divise le trafic en trois catégories : trafic HTTP, trafic FTP et tout autre trafic. Les trois types de trafic sont affectés à trois groupes next-hop distincts. Chaque groupe next-hop contient une paire unique d’interfaces de sortie qui mènent à différents groupes d’analyseurs de paquets et de serveurs de flux.
Les instances activées pour mettre en miroir des paquets vers différentes destinations à partir du même PFE utilisent également des paramètres d’échantillonnage différents pour chaque instance. Lorsque nous configurons la mise en miroir des ports de couche 2 avec la mise en miroir globale des ports et la mise en miroir des ports basée sur les instances, les instances de niveau PIC remplacent le niveau FPC et le niveau FPC remplace l’instance globale.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
Exemple : Mise en miroir de ports de couche 2 vers plusieurs destinations
Sur les routeurs MX Series, vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant des groupes de sauts suivants dans les filtres de pare-feu de mise en miroir de port de couche 2 appliqués aux interfaces de tunnel.
Configurez le châssis pour prendre en charge les services de tunnel au niveau du PIC 0 sur FPC 2. Cette configuration comprend deux interfaces de tunnel logique sur FPC 2, PIC 0, port 10.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }Configurez les interfaces physiques et logiques pour trois domaines de pont et un CCC VPN de couche 2 :
Le domaine de bd pont couvrira les interfaces ge-2/0/1.0 logiques et ge-2/0/1.1.
Le domaine de bd_next_hop_group pont couvrira les interfaces ge-2/2/9.0 logiques et ge-2/0/2.0.
Bridge utilisera bd_port_mirror l’interface lt-2/0/10.2de tunnel logique .
Le CCC if_switch VPN de couche 2 connecte les interfaces ge-2/0/1.2 logiques et lt-2/0/10.1.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }Configurez les trois domaines de pont et le CCC de commutation VPN de couche 2 :
Le domaine de pont bd couvre les interfaces ge-2/0/1.0 logiques et ge-2/0/1.1.
Le domaine de pont bd_next_hop_group couvre les interfaces ge-2/2/9.0 logiques et ge-2/0/2.0.
Bridge domain bd_port_mirror utilise l’interface lt-2/0/10.2de tunnel logique .
Le CCC if_switch VPN de couche 2 connecte les interfaces ge-2/0/1.2 et lt-2/0/10.1.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }Pour plus d’informations sur la configuration de la connexion CCC pour les connexions croisées de commutation de couche 2, consultez le Guide d’utilisation des applications MPLS.
Configurez les options de transfert :
Configurez les propriétés globales de mise en miroir des ports pour mettre en miroir family vpls le trafic vers une interface du domaine bd_port_mirrorde pont .
Configurez le groupe nhg_mirror_to_bd next-hop pour transférer le trafic de couche 2 vers le domaine bd_next_hop_groupde pont .
Ces deux options de transfert sont référencées par le filtre du pare-feu de mise en miroir des ports :
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }Configurez deux filtres de pare-feu de mise en miroir de ports de couche 2 pour family bridge le trafic :
filter_pm_bridge: envoie tout family bridge le trafic vers la destination de mise en miroir du port global.
filter_redirect_to_nhg: envoie tout family bridge le trafic vers le groupe nhg_mirror_to_bdfinal de tronçons suivants.
Les filtres de pare-feu de mise en miroir de ports de couche 2 pour family bridge le trafic s’appliquent au trafic sur une interface physique configurée avec l’encapsulation ethernet-bridge.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.