Sur cette page
Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2
Configuration d’un filtre de pare-feu indépendant du protocole pour la mise en miroir des ports
Exemple : Mise en miroir du trafic Web des employés à l’aide d’un filtre de pare-feu
Mise en miroir de ports de couche 2 des interfaces logiques des routeurs PE ou des commutateurs PE
Application de la mise en miroir de ports de couche 2 à une interface logique
Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un VLAN
Exemple : Mise en miroir de ports de couche 2 au niveau d’une interface logique
Exemple : Mise en miroir des ports de couche 2 pour un VPN de couche 2
Exemple : Mise en miroir de ports de couche 2 pour un VPN de couche 2 avec liaisons LAG
Configuration de la mise en miroir des ports sur les interfaces logiques
Filtres de pare-feu de mise en miroir de ports de couche 2
Cette rubrique décrit les informations suivantes :
- Présentation des filtres de pare-feu de mise en miroir de ports de couche 2
- Mise en miroir des paquets reçus ou envoyés sur une interface logique
- Mise en miroir des paquets transférés ou inondés vers un VLAN
- Mise en miroir des paquets transférés ou inondés vers une instance de routage VPLS
Présentation des filtres de pare-feu de mise en miroir de ports de couche 2
Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez configurer un terme de filtre de pare-feu pour spécifier que la mise en miroir de ports de couche 2 doit être appliquée à tous les paquets à l’interface à laquelle le filtre de pare-feu est appliqué.
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 aux interfaces logiques d’entrée ou de sortie (y compris les interfaces logiques Ethernet agrégées), au trafic transféré ou inondé vers un VLAN, ou au trafic transféré ou inondé vers une instance de routage VPLS.
Les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir des ports de couche 2 du trafic VPLS (family ethernet-switching ou family vpls) et le trafic family ccc VPN de couche 2 dans un environnement de couche 2
Dans un filtre termde pare-feu , vous pouvez spécifier les propriétés de mise en miroir de port de couche 2 sous l’instruction de l’une then des manières suivantes :
Référencez implicitement les propriétés de mise en miroir de port de couche 2 en vigueur sur le port.
Référencez explicitement une instance nommée particulière de la mise en miroir de ports de couche 2.
Lors de la configuration d’un filtre de pare-feu de mise en miroir de ports de couche 2, n’incluez pas l’instruction facultative from qui spécifie les conditions de correspondance en fonction de l’adresse source de route. Omettez cette instruction afin que tous les paquets soient considérés comme correspondants et que tous les actionsaction-modifiers paquets spécifiés dans l’instruction then soient pris.
Si vous souhaitez mettre en miroir tous les paquets entrants, vous ne devez pas utiliser l’instruction from ; /*Commentaire: On configure les termes de filtre avec from s’ils ne souhaitent mettre en miroir qu’un sous-ensemble de paquets.
Si vous associez le routage et pontage intégré (IRB) au VLAN (ou instance de routage VPLS) et que vous configurez également dans le VLAN (ou l’instance de routage VPLS) un filtre de table de transfert avec l’action port-mirror ou port-mirror-instance , le paquet IRB est mis en miroir en tant que paquet de couche 2. Vous pouvez désactiver ce comportement en configurant l’instruction no-irb-layer-2-copy dans le VLAN (ou l’instance de routage VPLS).
Pour obtenir une description détaillée de la configuration d’un filtre de pare-feu de mise en miroir de ports de couche 2, reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.
Pour plus d’informations sur l’utilisation des filtres de pare-feu de mise en miroir de port de couche 2 avec des routeurs MX et des commutateurs EX Series configurés en tant que routeurs Provider Edge (PE) ou commutateurs PE, reportez-vous à la section Présentation de la mise en miroir de ports de couche 2 des interfaces logiques de routeur PE. Pour plus d’informations sur la configuration générale des filtres de pare-feu (y compris dans un environnement de couche 3), reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Mise en miroir des paquets reçus ou envoyés sur une interface logique
Pour mettre en miroir le trafic de couche 2 reçu ou envoyé sur une interface logique, appliquez un filtre de pare-feu de mise en miroir de port à l’entrée ou à la sortie de l’interface.
Un filtre de pare-feu de mise en miroir des ports peut également être appliqué à une interface logique Ethernet agrégée. Pour plus d’informations, reportez-vous à la section Présentation de la mise en miroir des ports de couche 2 des interfaces Ethernet agrégées du routeur PE.
Si des filtres de pare-feu de mise en miroir de ports sont appliqués à la fois à l’entrée et à la sortie d’une interface logique, deux copies de chaque paquet sont mises en miroir. Pour éviter que le routeur ou le commutateur ne transmette des paquets en double vers la même destination, vous pouvez activer l’option « mirror-once » pour la mise en miroir des ports de couche 2 dans l’instance globale pour la famille d’adresses de paquets de couche 2.
Mise en miroir des paquets transférés ou inondés vers un VLAN
Pour mettre en miroir le trafic de couche 2 transféré ou inondé vers un VLAN, appliquez un filtre de pare-feu de mise en miroir de port à l’entrée de la table de table de transfert ou d’inondation. Tout paquet reçu pour la table de transfert VLAN ou d’inondation et qui correspond aux conditions de filtrage est mis en miroir.
Pour plus d’informations sur les VLAN, reportez-vous à la section Présentation des domaines de pont de couche 2 . Pour plus d’informations sur le comportement d’inondation dans un VLAN, reportez-vous à la section Présentation de l’apprentissage et du transfert de couche 2 pour les domaines de pont .
Lorsque vous configurez la mise en miroir de ports sur n’importe quelle interface sous un VLAN, le paquet mis en miroir peut être déplacé vers un analyseur externe situé sur différents VLAN.
Mise en miroir des paquets transférés ou inondés vers une instance de routage VPLS
Pour mettre en miroir le trafic de couche 2 transféré ou inondé vers une instance de routage VPLS, appliquez un filtre de pare-feu de mise en miroir de port à l’entrée de la table de transfert ou de la table d’inondation. Tout paquet reçu pour la table de transfert ou de saturation de l’instance de routage VPLS et qui correspond à la condition de filtre est mis en miroir.
Pour plus d’informations sur les instances de routage VPLS, consultez Configuration d’une instance de routage VPLS et Configuration des identificateurs VLAN pour les domaines de pont et les instances de routage VPLS. Pour plus d’informations sur le comportement d’inondation dans VPLS, consultez la bibliothèque des VPN Junos OS pour les périphériques de routage.
Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2
Pour le trafic VPLS (Virtual Private LAN Service) (family ethernet-switching ou family vpls) et pour les VPN de couche 2 avec famille cccsur les routeurs MX Series et sur les commutateurs EX Series uniquement, vous pouvez définir un filtre de pare-feu qui spécifie la mise en miroir de ports de couche 2 comme action à effectuer si un paquet correspond aux conditions configurées dans le terme de filtre de pare-feu.
Vous pouvez utiliser un filtre de pare-feu de mise en miroir de ports de couche 2 de l’une des manières suivantes :
Pour mettre en miroir les paquets reçus ou envoyés sur une interface logique.
Pour mettre en miroir les paquets transférés ou inondés vers un VLAN.
Pour mettre en miroir les paquets transférés ou inondés vers une instance de routage VPLS.
Pour mettre en miroir les paquets d’entrée de l’interface de tunnel uniquement vers plusieurs destinations.
Pour obtenir un résumé des trois types de mise en miroir de ports de couche 2 que vous pouvez configurer sur un routeur MX Series et sur un commutateur EX Series, reportez-vous à la section Application des types de mise en miroir de ports de couche 2.
Pour définir un filtre de pare-feu avec une action de mise en miroir de port de couche 2 :
Configuration d’un filtre de pare-feu indépendant du protocole pour la mise en miroir des ports
Sur les routeurs MX Series avec MPC, vous pouvez configurer un filtre de pare-feu pour mettre en miroir les paquets de couche 2 et de couche 3 au niveau global et au niveau de l’instance. Lorsque le miroir de port est configuré à l’entrée ou à la sortie, le paquet entrant ou sortant d’une interface est copié et les copies sont envoyées à l’interface locale pour une surveillance locale.
À partir de Junos OS version 13.3R6, seules les interfaces MPC prennent en charge family any la mise en miroir des ports. Les interfaces DPC ne prennent pas en charge family anyles fichiers .
En règle générale, le filtre de pare-feu est configuré de telle sorte qu’il met en miroir les paquets de couche 2 ou de couche 3 en fonction de la famille configurée au niveau de l’interface. Toutefois, dans le cas d’une interface IRB (Integrated Routing and Bridging), les paquets de couche 2 ne sont pas complètement mis en miroir, car les interfaces IRB sont configurées pour mettre en miroir uniquement les paquets de couche 3. Sur une telle interface, vous pouvez configurer un filtre de pare-feu et des paramètres de mise en miroir des ports dans la famille any pour vous assurer qu’un paquet est complètement mis en miroir, qu’il s’agisse d’un paquet de couche 2 ou de couche 3.
Pour la mise en miroir de ports au niveau d’une instance, vous pouvez configurer une ou plusieurs familles telles que inet, , inet6cccet vpls simultanément pour la même instance.
Dans le cas de la mise en miroir de ports de couche 2, les balises VLAN et les en-têtes MPLS sont conservés et peuvent être vus dans la copie mise en miroir à la sortie.
Pour la normalisation VLAN, les informations avant la normalisation sont visibles pour un paquet en miroir à l’entrée. De même, à la sortie, les informations après normalisation sont visibles pour le paquet mis en miroir.
Avant de commencer à configurer la mise en miroir de ports, vous devez configurer des interfaces physiques valides.
Pour configurer un filtre de pare-feu indépendant du protocole pour la mise en miroir des ports :
Exemple : Mise en miroir du trafic Web des employés à l’aide d’un filtre de pare-feu
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur
Junos 14.1X53-D20
Présentation
Dans cet exemple, xe-0/0/0 et xe-0/0/6 servent de connexions pour les ordinateurs des employés. L’interface xe-0/0/47 est connectée à un appareil exécutant une application d’analyse.
Plutôt que de mettre en miroir l’ensemble du trafic, il est généralement souhaitable de ne le mettre en miroir qu’une partie du trafic. Il s’agit d’une utilisation plus efficace de votre bande passante et de votre matériel, qui peut s’avérer nécessaire en raison des contraintes qui pèsent sur ces ressources. Cet exemple reflète uniquement le trafic envoyé par les ordinateurs des employés vers le Web.
Topologie
Figure 1 affiche la topologie du réseau dans cet exemple.
Configuration
Pour spécifier que le seul trafic qui sera mis en miroir est le trafic envoyé par les employés sur le Web, effectuez les tâches expliquées dans cette section. Pour sélectionner ce trafic pour la mise en miroir, utilisez un filtre de pare-feu pour spécifier ce trafic et le diriger vers une instance de mise en miroir de port.
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir du port local du trafic provenant des ordinateurs des employés à destination du Web, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutateur :
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procédure étape par étape
Pour configurer la mise en miroir des ports locaux d’un employé vers le trafic Web à partir des deux ports connectés aux ordinateurs des employés :
Configurez une instance de mise en miroir de port, incluant l’interface de sortie et l’adresse IP de l’appareil exécutant l’application d’analyse en tant que tronçon suivant. (Configurez uniquement la sortie : l’entrée provient du filtre.) Vous devez également spécifier que le miroir est destiné au trafic IPv4 (
family inet).[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configurez un filtre de pare-feu IPv4 (
family inet) appeléwatch-employeequi inclut un terme pour faire correspondre le trafic envoyé sur le Web et l’envoyer à l’instance de mise en miroir de port. Le trafic envoyé et arrivant à partir du sous-réseau d’entreprise (adresse de destination ou source de ) n’a pas besoin d’être copié, alors créez d’abord un autre terme pour accepter ce trafic avant qu’il n’atteigne le terme qui envoie le trafic Web à l’instance192.0.nn.nn/24:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configurez les adresses des interfaces IPv4 connectées aux ordinateurs des employés et à l’appareil d’analyse :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Appliquez le filtre de pare-feu aux interfaces appropriées en tant que filtre d’entrée :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
Vérification
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur de miroir de port a été configuré comme prévu à l’aide de la show forwarding-options port-mirroring commande.
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 Sens
Cette sortie montre que l’instance de mise en miroir de port a un ratio de 1 (mise en miroir de chaque paquet, paramètre par défaut) et la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier). Si l’état de l’interface de sortie est inactif ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera down et l’instance ne sera pas programmée pour la mise en miroir.
Mise en miroir de ports de couche 2 des interfaces logiques des routeurs PE ou des commutateurs PE
Pour un routeur ou un commutateur configuré en tant qu’équipement Provider Edge (PE) sur la périphérie client d’un réseau de fournisseur de services, vous pouvez appliquer un filtre de pare-feu de mise en miroir de port de couche 2 aux points d’entrée et de sortie suivants pour refléter le trafic entre le routeur ou le commutateur et les périphériques CE (Customer Edge), qui sont généralement également des routeurs et des commutateurs Ethernet.
Tableau 1 décrit la manière dont vous pouvez appliquer des filtres de pare-feu de mise en miroir de ports de couche 2 à un routeur ou un commutateur configuré en tant que périphérique PE.
Point d’application |
Champ d’application de la mise en miroir |
Notes |
Détails de configuration |
|---|---|---|---|
Interface logique client entrante |
Paquets provenant du réseau d’un client fournisseur de services, envoyés d’abord à un équipement CE, puis envoyés à côté du périphérique PE. |
Vous pouvez également configurer des interfaces Ethernet agrégées entre les équipements CE et PE pour les instances de routage VPLS. Le trafic est équilibré en charge sur toutes les liaisons de l’interface agrégée. Le trafic reçu sur une interface Ethernet agrégée est transféré sur une autre interface en fonction d’une recherche de l’adresse MAC (DMAC) de destination :
|
Reportez-vous à la section Application de la mise en miroir de ports de couche 2 à une interface logique. Pour plus d’informations sur les instances de routage VPLS, consultez Configuration d’une instance de routage VPLS et Configuration des identificateurs VLAN pour les domaines de pont et les instances de routage VPLS. |
Interface logique client sortante |
Paquets unicast transférés par le périphérique PE à un autre périphérique PE. NOTE:Si vous appliquez un filtre de mise en miroir des ports à la sortie d’une interface logique, seuls les paquets unicast sont mis en miroir. Pour mettre en miroir des paquets multicast, unicast inconnu et broadcast, appliquez un filtre à l’entrée de la table flood d’une instance de routage VLAN ou VPLS. |
Reportez-vous à la section Application de la mise en miroir de ports de couche 2 à une interface logique. |
|
Entrée d’une table de transfert VLAN ou d’une table d’inondation |
Transfert de trafic ou trafic d’inondation envoyé au VLAN à partir d’un équipement CE. |
Le trafic de transfert et d’inondation se compose généralement de paquets de diffusion, de paquets multicast, de paquets unicast avec une adresse MAC de destination inconnue ou de paquets avec une entrée MAC dans la table de routage DMAC. |
Reportez-vous à la section Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un domaine de pont. Pour plus d’informations sur le comportement d’inondation dans VPLS, consultez la bibliothèque des VPN Junos OS pour les périphériques de routage. |
Entrée d’une table de transfert d’instance de routage VPLS ou d’une table d’inondation |
Transfert de trafic ou trafic d’inondation envoyé à l’instance de routage VPLS à partir d’un périphérique CE. |
Reportez-vous à la section Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers une instance de routage VPLS. Pour plus d’informations sur le comportement d’inondation dans VPLS, consultez la bibliothèque des VPN Junos OS pour les périphériques de routage. |
Mise en miroir de ports de couche 2 des interfaces Ethernet agrégées des routeurs PE ou des commutateurs PE
Une interface Ethernet agrégée est une liaison virtuelle agrégée constituée d’un ensemble d’interfaces physiques de même vitesse et fonctionnant en mode de connexion de liaison en duplex intégral. Vous pouvez configurer des interfaces Ethernet agrégées entre les équipements CE et PE pour les instances de routage VPLS. Le trafic est équilibré en charge sur toutes les liaisons de l’interface agrégée. En cas de défaillance d’une ou de plusieurs liaisons de l’interface agrégée, le trafic est basculé vers les liaisons restantes.
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 à une interface Ethernet agrégée pour configurer la mise en miroir de ports au niveau de l’interface parente. Toutefois, si des interfaces enfants sont liées à différentes instances de mise en miroir de ports de couche 2, les paquets reçus au niveau des interfaces enfants seront mis en miroir vers les destinations spécifiées par leurs instances de mise en miroir de port respectives. Ainsi, plusieurs interfaces enfants peuvent mettre en miroir des paquets vers plusieurs destinations.
Par exemple, supposons que l’instance ae0 d’interface Ethernet agrégée parente possède deux interfaces enfants :
xe-2/0/0xe-3/1/2
Supposons que ces interfaces enfants soient ae0 liées à deux instances de mise en miroir de ports de couche 2 différentes :
pm_instance_A: instance nommée de mise en miroir de ports de couche 2, liée à l’interfacexe-2/0/0enfant .pm_instance_B: instance nommée de mise en miroir de ports de couche 2, liée à l’interfacexe-3/1/2enfant .
Supposons maintenant que vous appliquiez un filtre de pare-feu de mise en miroir de ports de couche 2 au trafic de ae0.0 couche 2 envoyé (unité 0 logique sur l’instance 0d’interface Ethernet agrégée ). Cela permet d’activer la mise en miroir des ports sur , ce qui a l’effet suivant sur le traitement du trafic reçu sur ae0.0les interfaces enfants pour lesquelles des propriétés de mise en miroir des ports de couche 2 sont spécifiées :
Les paquets reçus sont
xe-2/0/0mis en miroir sur les interfaces de sortie configurées dans l’instancepm_instance_Ade mise en miroir de port.Les paquets reçus sont
xe-3/1/2.0mis en miroir sur les interfaces de sortie configurées dans l’instancepm_instance_Bde mise en miroir de port.
Parce que pm_instance_A et peuvent spécifier différentes propriétés de sélection de paquets ou des propriétés de destination de miroir, les paquets reçus le xe-2/0/0 et pm_instance_Bxe-3/1/2.0 peuvent mettre en miroir différents paquets vers différentes destinations.
Application de la mise en miroir de ports de couche 2 à une interface logique
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de port de couche 2 à l’entrée ou à la sortie d’une interface logique, y compris une interface logique Ethernet agrégée. Seuls les paquets de la famille de type d’adresse spécifiée par l’action de filtrage sont mis en miroir.
Avant de commencer, effectuez la tâche suivante :
Définissez un filtre de pare-feu de mise en miroir de ports de couche 2 à appliquer à l’entrée d’une interface logique ou à la sortie d’une interface logique. Pour plus d’informations, reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.
REMARQUE :Cette tâche de configuration affiche deux filtres de pare-feu de mise en miroir de ports de couche 2 : Un filtre appliqué au trafic entrant de l’interface logique et un filtre appliqué au trafic sortant de l’interface logique.
Pour appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 à une interface logique d’entrée ou de sortie :
Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un domaine de pont
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un domaine de pont. Seuls les paquets du type de famille spécifié et transférés ou inondés vers ce domaine de pont sont mis en miroir.
Avant de commencer, effectuez la tâche suivante :
Définissez un filtre de pare-feu de mise en miroir de ports de couche 2 à appliquer au trafic transféré vers un domaine de pont ou inondé vers un domaine de pont. Pour plus d’informations, reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.
REMARQUE :Cette tâche de configuration affiche deux filtres de pare-feu Layer_2 la mise en miroir des ports : Un filtre appliqué au trafic entrant de la table d’inondation du domaine de pont table de transfert et un filtre appliqué au trafic entrant de la table d’inondation du domaine de pont.
Pour appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 à la table de table de transfert ou d’inondation d’un domaine de pont :
Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers une instance de routage VPLS
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de port de couche 2 au trafic transféré ou inondé vers une instance de routage VPLS. Seuls les paquets du type de famille spécifié et transférés ou inondés vers cette instance de routage VPLS sont mis en miroir.
Avant de commencer, effectuez la tâche suivante :
Définissez un filtre de pare-feu de mise en miroir des ports de couche 2 à appliquer au trafic transféré vers une instance de routage VPLS ou inondé vers un VLAN. Pour plus d’informations, reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.
REMARQUE :Cette tâche de configuration affiche deux filtres de pare-feu Layer_2 la mise en miroir des ports : un filtre appliqué à l’instance de routage VPLS table de transfert trafic entrant et un filtre appliqué au trafic entrant de la table d’inondation de l’instance de routage VPLS.
Pour appliquer un filtre de pare-feu de mise en miroir de port de couche 2 à la table de table de transfert ou d’inondation d’une instance de routage VPLS :
Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un VLAN
Vous pouvez appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un VLAN. Seuls les paquets du type de famille spécifié et transférés ou inondés vers ce VLAN sont mis en miroir.
Avant de commencer, effectuez la tâche suivante :
Définissez un filtre de pare-feu de mise en miroir des ports de couche 2 à appliquer au trafic transféré vers un VLAN ou inondé vers un VLAN. Pour plus d’informations, reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.
REMARQUE :Cette tâche de configuration affiche deux filtres de pare-feu Layer_2 la mise en miroir des ports : un filtre appliqué au trafic entrant table de transfert VLAN, et un filtre appliqué au trafic entrant de la table d’inondation VLAN.
Pour appliquer un filtre de pare-feu de mise en miroir de ports de couche 2 à la table de table de transfert ou d’inondation d’un VLAN :
Exemple : Mise en miroir de ports de couche 2 au niveau d’une interface logique
Les étapes suivantes décrivent un exemple dans lequel l’instance de mise en miroir de port globale et un filtre de pare-feu de mise en miroir de port sont utilisés pour configurer la mise en miroir de port de couche 2 pour l’entrée d’une interface logique.
Configurez le VLAN , qui contient l’outil d’analyse des paquets externe, et le VLAN example-bd-with-analyzerexample-bd-with-traffic, qui contient la source et la destination du trafic de couche 2 mis en miroir :
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }Supposons que l’interface ge-2/0/0.0 logique est associée à un analyseur de trafic externe qui doit recevoir des paquets en miroir de port. Supposons que les interfaces logiques et seront respectivement les ge-2/0/6.0 ports d’entrée et ge-3/0/1.2 de sortie du trafic.
Configurez la mise en miroir des ports de couche 2 pour l’instance globale, la destination de la mise en miroir des ports étant l’interface VLAN associée à l’analyseur externe (interface ge-2/0/0.0 logique sur le VLAN example-bd-with-analyzer). Veillez à activer l’option qui permet d’appliquer des filtres à cette destination de mise en miroir des ports :
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }L’instruction
inputau niveau de la[edit forwarding-options port-mirroring]hiérarchie spécifie que l’échantillonnage commence tous les dix paquets et que chacun des cinq premiers paquets sélectionnés doit être mis en miroir.L’instruction
outputau niveau de la[edit forwarding-options port-mirroring family ethernet-switching]hiérarchie spécifie l’interface miroir de sortie pour les paquets de couche 2 dans un environnement de pontage :L’interface ge-2/0/0.0logique , associée à l’outil d’analyse des paquets externe, est configurée comme destination de mise en miroir des ports.
L’instruction facultative
no-filter-checkpermet de configurer des filtres sur cette interface de destination.
Configurez le filtre example-bridge-pm-filterdu pare-feu de mise en miroir des ports de couche 2 :
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }Lorsque ce filtre de pare-feu est appliqué à l’entrée ou à la sortie d’une interface logique pour le trafic dans un environnement de pontage, la mise en miroir des ports de couche 2 est effectuée en fonction des propriétés d’échantillonnage des paquets d’entrée et des propriétés de destination de mise en miroir configurées pour l’instance globale de mise en miroir des ports de couche 2. Étant donné que ce filtre de pare-feu est configuré avec l’action acceptde filtre unique par défaut , tous les paquets sélectionnés par les input propriétés (rate = et run-length = 105) correspondent à ce filtre.
Configurez les interfaces logiques :
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }Les paquets reçus au niveau de l’interface ge-2/0/6.0 logique sur le VLAN example-bd-with-traffic sont évalués par le filtre example-bridge-pm-filterde pare-feu de mise en miroir des ports. Le filtre de pare-feu agit sur le trafic d’entrée en fonction des actions de filtre configurées dans le filtre de pare-feu lui-même, ainsi que des propriétés d’échantillonnage des paquets d’entrée et des propriétés de destination de mise en miroir configurées dans l’instance globale de mise en miroir des ports :
Tous les paquets reçus à sont acheminés vers leur destination normale (supposée) à l’interface ge-2/0/6.0ge-3/0/1.2logique.
Pour dix paquets d’entrée, des copies des cinq premiers paquets de cette sélection sont transmises à l’analyseur externe à l’interface ge-0/0/0.0 logique de l’autre VLAN. example-bd-with-analyzer
Si vous configurez le filtre example-bridge-pm-filter du pare-feu de mise en miroir des ports pour qu’il effectue l’action au lieu de l’action, tous les paquets d’origine sont ignorés tandis que des copies des paquets sélectionnés à l’aide des propriétés globales de mise en miroir input des ports sont envoyées à l’analyseur discardaccept externe.
Exemple : Mise en miroir des ports de couche 2 pour un VPN de couche 2
L’exemple suivant n’est pas une configuration complète, mais montre toutes les étapes nécessaires pour configurer la mise en miroir des ports sur un L2VPN à l’aide de family ccc.
Configurez le VLAN port-mirror-bd, qui contient l’outil d’analyse des paquets externe :
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }Configurez le CCC VPN de couche 2 pour connecter l’interface logique et l’interface ge-2/0/1.0ge-2/0/1.1logique :
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }Configurez la mise en miroir des ports de couche 2 pour l’instance globale, la destination de la mise en miroir des ports étant l’interface VLAN associée à l’analyseur externe (interface ge-2/2/9.0 logique sur le VLAN example-bd-with-analyzer) :
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }Définissez le filtre pm_filter_ccc de pare-feu de mise en miroir des ports de couche 2 pour family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }Appliquez l’instance de mise en miroir de port au châssis :
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }Configurez l’interface pour les VLAN, puis configurez l’interface ge-2/2/9ge-2/0/1 pour la mise en miroir des ports avec le filtre de pm_filter_ccc pare-feu :
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Exemple : Mise en miroir de ports de couche 2 pour un VPN de couche 2 avec liaisons LAG
L’exemple suivant n’est pas une configuration complète, mais montre toutes les étapes nécessaires pour configurer la mise en miroir des ports sur un L2VPN à l’aide family ccc de liaisons Ethernet agrégées.
Configurez le VLAN port_mirror_bd, qui contient l’outil d’analyse des paquets externe :
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }Configurez le CCC VPN de couche 2 pour connecter l’interface et l’interface ae0.0ae0.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }Configurez la mise en miroir des ports de couche 2 pour l’instance globale, la destination de la mise en miroir des ports étant l’interface VLAN associée à l’analyseur externe (interface ge-2/2/9.0 logique sur le VLAN example_bd_with_analyzer) :
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }Configurez le filtre pm_ccc du pare-feu pour family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }Appliquez les interfaces Ethernet agrégées et l’instance de mise en miroir de port au châssis :
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }Configurez les interfaces ae0 et ge-2/0/2 (pour l’Ethernet agrégé) et ge-2/2/8 (pour la mise en miroir des ports) avec le pm_ccc filtre :
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
family any la mise en miroir des ports.