Exemple : Configuration de la mise en miroir des ports distants sur les routeurs PTX
Cet exemple vous montre comment configurer et vérifier la mise en miroir de ports locaux sur les plates-formes PTX exécutant Junos Evolved. Les plates-formes PTX comprennent PTX10001-36MR, LC1201 et LC1202 en châssis PTX10004, PTX10008 et PTX10016
Avant de commencer
| Exigences matérielles et logicielles | Junos OS Evolved version 22.2R1.12-EVO ou ultérieure. PTX10001-36MR Voir Explorateur de fonctionnalités pour obtenir la liste complète des plates-formes et des versions de Junos OS prises en charge. |
| Temps de lecture estimé |
Quinze minutes. |
| Temps de configuration estimé |
Trente minutes |
| Impact sur l’entreprise |
Le miroir de port est un outil essentiel pour le débogage et les tâches liées à la sécurité. Le trafic en miroir peut être analysé hors ligne par divers outils pour analyser les interactions de protocole, la détection d’anomalies ou les opérations d’interception légale. |
| En savoir plus |
Pour mieux comprendre la mise en miroir de ports, reportez-vous à la section Mise en miroir de ports et analyseurs |
| Pour en savoir plus |
Portail de formation |
Vue d’ensemble fonctionnelle
La présentation fonctionnelle de la mise en miroir de ports distants fournit un résumé rapide des protocoles et des technologies déployés dans cet exemple.
| Protocoles de routage et de signalisation |
|
| OSPF et OSPF3 |
Tous les routeurs exécutent OSPF et OSPF3 en tant qu’IGP. Tous les routeurs fournisseurs appartiennent à la zone 0 (également appelée zone dorsale). Les domaines de routage OSPF/OSPF3 offrent une accessibilité interne à tous les réseaux et interfaces de la topologie. Les routeurs CE utilisent OSPF et OSPF3 pour échanger des routes avec les PE. |
| MPLS et RSVP | Les routeurs du fournisseur signalent les LSP MPLS à l’aide du protocole RSVP. La tunnelisation IPv6 est activée pour prendre en charge IPv6 sur MPLS. MPLS est utilisé pour prendre en charge un VPN de couche 3. |
| MP-BGP (en anglais) | Le protocole BGP multiprotocole est utilisé entre les routeurs PE pour annoncer les routes VPN des clients. |
| VPN de couche 3 | Les routeurs PE utilisent une instance de routage VRF pour servir de VPN de couche 3 pour les routeurs CE. Le trafic client est transporté via le noyau à l’intérieur des LSP avec signal RSVP. Pour plus d’informations sur le fonctionnement d’un VPN MPLS L3, consultez Exemple : Configurer un VPN MPLS de couche 3 de base. |
| Protocoles routés |
|
| IPv4 et IPv6 |
Tous les routeurs sont configurés pour prendre en charge le routage IPv4 et IPv6. |
| Analyseur (station de télésurveillance) |
|
| Centos et Wireshark |
L’analyseur exécute Centos 7.x avec une version GUI de Wireshark. |
Vue d’ensemble de la topologie
Cet exemple utilise le contexte d’un VPN L3 basé sur MPLS pour illustrer la fonctionnalité de mise en miroir des ports distants sur les routeurs PTX. Le VPN L3 est configuré pour prendre en charge le trafic IPv4 et IPv6 entre les routeurs CE (Customer Edge) et PE (Provider Edge).
| Nom du routeur | Rôle |
Fonction |
| CE | Routeur CE (Customer Edge) qui envoie du trafic de test pour confirmer que la mise en miroir des ports fonctionne correctement. | Ces routeurs sont désignés sous le nom de routeurs CE. Les routeurs CE obtiennent le service VPN L3 du réseau du fournisseur. Les CE ne partagent pas le même domaine de routage OSPF que les routeurs du fournisseur. |
| PE | Routeur Provider Edge (PE) connecté au CE. | Les PE se trouvent à la périphérie d’un réseau de fournisseurs. Nos PE prennent en charge les VPN de couche 3 grâce à l’utilisation d’instances de routage, de MP-BGP, RSVP et d’un plan de données MPLS. Le routeur PE1 fonctionne comme l’un des DUT de mise en miroir des ports distants. |
| P | Un routeur central Provider (P). | Le routeur P représente un routeur central fournisseur sans BGP. Il prend en charge le transport OSPF, OSPF3 et MPLS. Il n’exécute pas BGP et ne porte pas l’état VPN. Le routeur P fonctionne comme l’un des DUT de mise en miroir de port distant. |
| Analyseur | L’unité d’analyse reçoit le trafic miroir à des fins de stockage et d’analyse. | Les spécificités de l’analyseur sortent du cadre du présent document. Il existe un certain nombre d’options open source et commerciales disponibles. Il se trouve que notre analyseur exécute Centos 7.x avec un bureau Gnome prenant en charge une version GUI de Wireshark. |
Illustrations de topologie
Cet exemple illustre deux façons de mettre en miroir le trafic CE envoyé sur le réseau du fournisseur :
-
La première méthode utilise un filtre match-all sur l’interface VRF PE-CE.
-
La deuxième méthode illustre un filtre de correspondance d’étiquettes MPLS qui est appliqué sur le routeur fournisseur (P).
Le routeur PE1 (R2) et le routeur P (R3) sont les routeurs sur lesquels la mise en miroir de ports distants est configurée et fonctionnent comme nos DUT. Ces routeurs utilisent des filtres de pare-feu familiaux any pour la mise en miroir de ports sur certains trafics. Une combinaison de filtres d’entrée et de sortie est utilisée pour mettre en miroir le trafic de requête et de réponse circulant entre les routeurs CE (R1 et R5).
La mise en miroir de ports distants utilise un tunnel pour l’encapsulation GRE afin d’envoyer le trafic en miroir à un périphérique d’analyse distant. Notre topologie comporte deux analyseurs. L’un est connecté au routeur R2/PE1 et l’autre au routeur R3/P. Cela nous permet de démontrer deux façons de mettre en miroir le trafic CE, l’une au niveau d’un PE et l’autre sur un routeur central P. Nous utilisons un hôte Centos avec Wireshark pour la capture et l’analyse des paquets.
Les plates-formes PTX utilisent l’infrastructure fti (Flexible Tunnel Interface) pour prendre en charge diverses applications de tunnelisation. Dans le cas des miroirs de ports distants, les tunnels GRE sont configurés sur des interfaces fti pour transporter le trafic en miroir vers un périphérique d’analyse distant. Dans le cadre de cet exemple, vous allez configurer des tunnels GRE basés sur FTI, une instance de mise en miroir et les filtres de pare-feu qui sélectionnent le trafic à mettre en miroir.
Étapes de configuration R2/PE1
Pour plus d’informations sur la navigation dans l’interface de ligne de commande, consultez Utilisation de l’éditeur CLI en mode configuration
Pour une configuration complète sur tous les routeurs, voir : Annexe 2 : Définir les commandes sur tous les routeurs
Cette section met en évidence les tâches de configuration nécessaires pour configurer le routeur PE1/R2 dans cet exemple. Nous fournissons des configurations complètes pour tous les routeurs dans l’annexe. L’étape 1 résume la base de référence de l’exemple. Cette base se compose d’une connectivité IPv4 et IPv6, d’un MPLS et d’un VPN de couche 3. Notre exemple met l’accent sur la configuration et la vérification de la mise en miroir des ports distants.
Pour plus d’informations sur le fonctionnement du VPN L3 et la configuration de base, reportez-vous à la section Exemple : Configurer un VPN de couche 3 basé sur MPLS de base.
-
Configurez le routage IP et la ligne de base VPN L3 sur le routeur PE1. Il s’agit des éléments suivants :
-
Numérotation des interfaces IPv4 et IPv6 et prise
family mplsen charge des interfaces centrales. -
Configuration des protocoles de routage OSPF et OSPFv3 pour assurer l’accessibilité entre toutes les interfaces réseau.
-
RSVP et MPLS étiquetez les chemins de commutation (LSP) pour prendre en charge le trafic VPN L3.
-
Configuration de l’appairage VRF et BGP avec les familles d’adresses d’un
inet-vpnandinet6-vpn[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols rsvp interface all set protocols rsvp interface fxp0 disable
Une fois la référence couverte, les étapes restantes se concentrent sur la configuration du routeur R2/PE1 pour qu’il mette en miroir tous les ports du trafic envoyé et reçu sur son interface VRF CE1.
-
- Vous commencez par configurer le tunnel GRE. Sur un routeur PTX, le tunnel est mis en œuvre via une interface fti. L’adresse source du tunnel GRE n’a pas besoin d’être routable, sauf si vous prévoyez d’effectuer des tests ping de diagnostic provenant de la source du tunnel GRE ou à destination de celle-ci. La destination GRE pour le trafic mis en miroir par PE1 est le routeur de l’analyseur 1. Cette destination doit être accessible pour que le trafic miroir soit envoyé à l’analyseur. Nous utilisons une instance IGP passive pour garantir l’accessibilité IGP aux réseaux d’analyseurs.
L’adresse de destination correspond à l’appareil Analyzer 1 connecté à l’interface et-0/0/2 sur le routeur P/R3. Vous devez configurer l’interface logique fti avec
family cccpour prendre en charge la mise en miroir des ports distants sur le PTX. Cela est dû au fait que l’action miroir se produit au niveau de la couche 2.set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc
Note:Une instance IGP passive est provisionnée pour les interfaces attachées aux périphériques de l’analyseur. Cela permet d’accéder aux ports de l’analyseur pour le trafic en miroir encapsulé GRE. Le paramètre passif empêche la génération de paquets hello vers les analyseurs, car cela ne ferait qu’encombrer les captures.
De plus, nous avons configuré une route statique sur l’analyseur pour lui permettre de répondre aux pings afin d’aider aux tests de diagnostic. Strictement parlant, seule la connectivité ou le routage simplex est nécessaire entre les DUT et l’analyseur pour que la mise en miroir des ports distants fonctionne.
- Configurez l’instance d’échantillonnage. Nous utilisons un taux de 1 pour échantillonner tous les paquets correspondants. La valeur par défaut
run-lengthde 1 est laissée en place étant donné que tout le trafic correspondant est déjà échantillonné. Vous devez spécifier l’interface logique sur le routeur fti qui est utilisé pour transporter le trafic miroir. Vous avez configuréunit 1l’interface fti0 pour le tunnel GRE à l’étape précédente, de sorte que la même interface et la même unité soient spécifiées comme interface de sortie dans l’instance de miroir.[edit] set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1
Note:Vous pouvez spécifier une longueur maximale de paquet pour le trafic en miroir au niveau de la
[edit forwarding-options port-mirroring instance instance-name input]hiérarchie à l’aide de l’optionmaximum-packet-length. Par défaut, la longueur du paquet est 0, ce qui signifie que l’intégralité du paquet est mise en miroir. -
Définissez deux familles de
anyfiltres de pare-feu pour qu’ils correspondent au trafic CE et le mettent en miroir. Deux filtres sont définis, l’un pour la mise en miroir du trafic CE1 vers CE2 et l’autre pour la mise en miroir CE2 vers CE1. Les filtres incluent une fonction de comptage pour aider à la vérification. L’action de mise en miroir de port dirige le trafic correspondant vers l’instance de mise en miroir de port que vous avez configurée précédemment.Les filtres familiaux
anyprennent en charge la correspondance de couche 2 et de couche 3. Pour le premier, vous pouvez faire correspondre l’ID de VLAN, l’interface, l’adresse MAC ou l’étiquette MPLS. Pour ces derniers, vous pouvez faire correspondre sur des champs d’en-têtes IPv4 ou IPv6 standard.Compte tenu de notre topologie, nous utilisons un terme « match all » qui capture tout le trafic envoyé ou reçu par les CE. Cela inclut IPv4, IPv6, ARP, LLDP et tous les protocoles de routage tels que OSPF.
[edit] set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set firewall family any filter ce2-ce1 term else then accept
Les deux filtres se terminent par un terme « correspondance all accept » qui remplace l’action « refuser tout » par défaut à la fin d’un filtre Junos. De cette façon, le trafic qui n’est pas apparié dans le premier terme est accepté. Ce terme est ajouté à titre de sauvegarde dans le cas où ultérieurement une condition de correspondance spécifique est ajoutée au premier terme.
Si vous le souhaitez, vous pouvez évoquer une action de contrôle dans votre filtre pour limiter le nombre de paquets en miroir envoyés via le tunnel GRE. Le mécanisme de contrôle est défini avec une limite de bande passante et de rafale, ainsi qu’une action de rejet pour le trafic qui dépasse le mécanisme de contrôle.
Vous ne pouvez pas appliquer un filtre PM avec une action de contrôle dans la direction de la sortie.Note:Si vous souhaitez faire correspondre uniquement le trafic ICMP envoyé entre les adresses de bouclage IPv4 des périphériques CE, ajoutez des critères de correspondance de couche 3 à votre filtre.
set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-protocol icmp set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-source-address 172.16.1.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-destination-address 172.16.2.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept
-
Appliquez les filtres sur l’interface CE sur R2/PE1. Pour notre exemple, cela signifie l’application des filtres à l’interface et-0/0/0 sur PE1. Notez la directionnalité de l’application du filtre. Un filtre d’entrée et de sortie est nécessaire pour refléter les deux sens du flux de trafic CE.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
Pour être complet, nous montrons la configuration de R2/PE1 au format accolade.
system {
host-name r2-ptx;
}
interfaces {
et-0/0/0 {
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.12.2/24;
}
family inet6 {
address 2001:db8:10:0:12::2/64;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.23.1/24;
}
family inet6 {
address 2001:db8:10:0:23::1/64;
}
family mpls;
}
}
fti0 {
unit 1 {
description "GRE tunnel for remote port mirror";
tunnel {
encapsulation gre {
source {
address 10.100.0.1;
}
destination {
address 10.0.100.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.2/32;
}
family inet6 {
address 2001:db8:192:168:0::2/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
pe-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
policy-options {
policy-statement ospf-export {
term 1 {
from protocol bgp;
then accept;
}
}
}
firewall {
family any {
filter ce1-ce2 {
term mirror-ce1-ce2 {
then {
count ce1-ce2-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
filter ce2-ce1 {
term mirror-ce2-ce1 {
then {
count ce2-ce1-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
}
}
routing-instances {
ce1 {
instance-type vrf;
protocols {
ospf {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
ospf3 {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
}
interface et-0/0/0.0;
route-distinguisher 65001:1;
vrf-target target:65001:100;
vrf-table-label;
}
}
routing-options {
router-id 192.168.0.2;
autonomous-system 65001;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.2;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6-vpn {
unicast;
}
neighbor 192.168.0.4;
}
}
mpls {
label-switched-path pe2 {
to 192.168.0.4;
no-cspf;
}
ipv6-tunneling;
interface all;
interface fxp0.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
}
}
Étapes de configuration R3
Pour plus d’informations sur la navigation dans l’interface de ligne de commande, consultez Utilisation de l’éditeur CLI en mode configuration
Pour une configuration complète sur tous les routeurs, voir : Annexe 2 : Définir les commandes sur tous les routeurs
Cette section met en évidence les principales tâches de configuration nécessaires à la configuration du routeur P/R3 dans cet exemple. Commençons par la base de référence du VPN L3 basé sur MPLS. Ensuite, nous montrons les étapes nécessaires pour configurer la mise en miroir de ports distants sur un routeur P afin de faire correspondre et de mettre en miroir le trafic MPLS.
-
Configurez le routage IPv4 et IPv6 et la ligne de base MPLS sur le routeur P/R3. Cela implique plusieurs choses :
-
Numérotation des interfaces IPv4 et IPv6 et prise
family mplsen charge des interfaces centrales. -
Configurez les protocoles de routage OSPF et OSPFv3 pour assurer l’accessibilité entre toutes les interfaces réseau.
-
RSVP et MPLS pour prendre en charge le plan de données VPN L3. En tant que routeur P, les définitions d’appairage BGP et VRF ne sont pas présentes.
[edit] set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable set protocols rsvp interface et-0/02.0 disable
Le routeur P1/R3 se connecte à l’analyseur 1 via l’interface et-0/0/2 . Nous désactivons le protocole RSVP et la prise en charge de MPLS sur cette interface, car le trafic en miroir arrive en tant qu’IPv4 à l’aide de l’encapsulation GRE. Les LSP ne s’étendent pas à l’analyseur.
Note:La configuration de l’interface et-0/0/2 utilisée ici suppose que l’analyseur répond aux demandes ARP et ND envoyées par le DUT pour la résolution de l’adresse MAC. Si ce n’est pas le cas, ou si vous souhaitez que le trafic ARP ne fasse pas partie de vos captures de paquets, vous devez configurer une entrée ARP statique. Assurez-vous de spécifier l’adresse MAC correcte pour l’interface sur le périphérique d’analyse qui est connecté au DUT.
Une fois la base de référence couverte, les étapes suivantes se concentrent sur la configuration de la mise en miroir de ports distants pour le trafic MPLS sur un routeur P.
-
- Commençons par la définition du tunnel GRE. Sur les plates-formes PTX, les tunnels sont implémentés sur une interface fti . L’adresse source du tunnel GRE n’a pas besoin d’être routable, sauf si vous prévoyez d’effectuer des tests ping de diagnostic provenant de la source du tunnel GRE ou à destination de celle-ci. La destination GRE pour le trafic en miroir est le périphérique Analyzer 2 connecté à PE2/R4. Cette destination doit être accessible pour que le trafic miroir soit envoyé à l’analyseur. Nous utilisons une instance IGP passive pour garantir l’accessibilité IGP aux réseaux d’analyseurs.
Vous devez configurer l’interface logique fti avec
family cccpour prendre en charge la mise en miroir des ports distants sur le PTX. Cela est dû au fait que l’action miroir se produit au niveau de la couche 2.[edit] set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc
Note:Une instance IGP passive est provisionnée pour les interfaces attachées aux périphériques de l’analyseur. Cela permet d’accéder aux ports de l’analyseur pour le trafic en miroir encapsulé GRE. Le paramètre passif empêche la génération de paquets hello aux analyseurs, car cela ne ferait qu’encombrer les captures de paquets.
De plus, nous avons configuré une route statique sur l’analyseur afin qu’il puisse répondre aux pings pour faciliter les tests de diagnostic. Strictement parlant, seule la connectivité ou le routage simplex est nécessaire entre les DUT et l’analyseur pour que la mise en miroir des ports distants fonctionne.
- Configurez l’instance d’échantillonnage. Nous utilisons un taux de 1 pour sélectionner et échantillonner tous les paquets correspondants. Par défaut, la
run-lengthvaleur est 1. C’est bien étant donné que tout le trafic correspondant est échantillonné avec un taux de 1. Vous devez spécifier l’interface logique sur le routeur fti qui est utilisé pour envoyer le trafic miroir. Vous avez configuré l’unité 1 pour l’interface fti à l’étape précédente afin que cette même unité soit spécifiée comme interface de sortie pour l’instance de miroir.[edit] set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1
-
Définissez les filtres de pare-feu pour refléter le trafic envoyé entre les routeurs CE.
Les filtres familiaux
anyn’autorisent que les types de correspondance de couche 2. Par exemple, ID VLAN, interface, adresse MAC ou étiquette MPLS. Par conséquent, vous ne pouvez pas utiliser IPv4 ou des conditions de correspondance spécifiques à IPv4.Deux filtres sont définis, un pour chaque sens de flux de trafic entre les CE.
Étant donné notre objectif de mise en miroir du trafic VPN au niveau d’un routeur P, les filtres sont écrits pour correspondre sur les étiquettes spécifiques qui identifient les flux de trafic MPLS entre les deux routeurs PE.
Pour la direction CE1 à CE2, le filtre correspond sur l’étiquette de transport RSVP utilisée par PE1 pour atteindre PE2. En raison de PHP et de l’application de sortie, le filtre utilisé dans la direction CE2 vers CE1 correspond sur l’étiquette VRF annoncée par PE1 à PE2. Le trafic correspondant évoque l’action de mise en miroir de port aux instances de mise en miroir définies précédemment. Les filtres comprennent une fonction de comptage pour aider à confirmer le bon fonctionnement.
Nous avons déterminé les étiquettes correctes à l’aide des commandes suivantes :
-
Pour le trafic envoyé par CE1 à CE2, l’étiquette de transport RSVP actuelle s’affiche avec une
show rsvp session ingress detailcommande. Il s’agit de l’étiquette attribuée RSVP utilisée par PE1 pour atteindre PE2 à l’aide de MPLS. Il convient de noter que tout le trafic VPN envoyé entre cette paire PE utilise le même transport RSVP. Le filtre résultant n’est pas spécifique au VRF CE1 sur le routeur PE.user@r2-ptx> show rsvp session ingress detail Ingress RSVP: 1 sessions 192.168.0.4 From: 192.168.0.2, LSPstate: Up, ActiveRoute: 0 LSPname: pe2, LSPpath: Primary LSPtype: Static Configured Suggested label received: -, Suggested label sent: - Recovery label received: -, Recovery label sent: 22 Resv style: 1 FF, Label in: -, Label out: 22 Time left: -, Since: Tue Apr 18 12:58:47 2023 Tspec: rate 0bps size 0bps peak Infbps m 20 M 1500 Port number: sender 2 receiver 65196 protocol 0 PATH rcvfrom: localclient Adspec: sent MTU 1500 Path MTU: received 1500 PATH sentto: 10.0.23.2 (et-0/0/1.0) 1 pkts RESV rcvfrom: 10.0.23.2 (et-0/0/1.0) 1 pkts, Entropy label: Yes Record route: <self> 10.0.23.2 10.0.34.2 Total 1 displayed, Up 1, Down 0
Dans ce cas, la sortie indique que l’étiquette RSVP 22 est attribuée au routeur PE1/R2 pour atteindre la sortie LSP au niveau du routeur PE2/R4.
-
Pour le trafic envoyé par CE2 à CE1, vous devez faire correspondre l’étiquette VRF. En effet, le routeur P est l’avant-dernier nœud de saut et sur l’interface de sortie, il aura fait apparaître l’étiquette de transport RSVP. Cela laisse sur l’étiquette VRF le bas de la pile. Vous confirmez l’étiquette VRF annoncée par PE1 au PE2 à l’aide d’une
show route advertising-protocol bgp remote-peer-address detailcommande. Cette commande affiche les routes annoncées par le PE local ainsi que l’étiquette VRF liée à l’instance de routage.user@r2-ptx> show route advertising-protocol bgp 192.168.0.4 detail ce1.inet.0: 7 destinations, 8 routes (7 active, 0 holddown, 0 hidden) * 10.0.12.0/24 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65001] I Communities: target:65001:100 * 172.16.1.1/32 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65001] I Communities: target:65001:100 rte-type:0.0.0.0:1:0 . . .La sortie montre que PE1 a signalé l’étiquette VRF 16 au routeur PE2 pour les routes associées à l’instance de routage CE1.
À l’aide des informations des commandes précédentes, nous savons sur quelles étiquettes RSVP/VRF faire correspondre dans le filtre du pare-feu.
[edit] set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept
Les filtres se terminent par un terme « correspondance all accept » qui remplace le terme « tout » par défaut « tout » à la fin d’un filtre Junos. De cette façon, le trafic qui n’est pas apparié dans le premier terme est accepté. C’est essentiel pour éviter de perturber tout le reste du trafic utilisant cette interface !
Note:Les étiquettes RSVP peuvent changer en raison de la resignalisation LSP causée par des interruptions de liaison ou d’autres changements de configuration. Nous montrons comment un filtre peut être utilisé pour faire correspondre des étiquettes spécifiques afin de contraindre le trafic mis en miroir. Vous pouvez toujours appliquer un filtre « Correspondance tout » pour vous assurer que les modifications d’étiquette MPLS n’affectent pas la mise en miroir. L’inconvénient de l’approche « match all » est que vous mettrez en miroir tout le trafic reçu sur l’interface du routeur P pour inclure les protocoles centraux et le trafic non-VPN.
-
-
Appliquez les filtres à l’interface PE1 du routeur P/R3. La directionnalité de l’application du filtre est importante. Nos filtres sont conçus pour fonctionner dans le sens d’entrée pour le trafic CE1 vers CE2, et dans le sens de sortie pour le trafic CE2 vers CE1. Étant donné qu’il s’agit de filtres de la famille, ils sont appliqués au niveau de l’unité, indépendamment d’IPv4 ou d’IPv6. Tous les filtres fonctionnent au niveau du niveau 2, qui est indépendant de toute famille de protocoles.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
Pour être complet, nous montrons la configuration de R2/PE1 au format accolade.
system {
host-name r3-ptx;
}
interfaces {
et-0/0/0 {
description "R3-R2 P-PE";
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.23.2/24;
}
family inet6 {
address 2001:db8:10:0:23::2/64;
}
family mpls;
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.34.1/24;
}
family inet6 {
address 2001:db8:10:0:34::1/64;
}
family mpls;
}
}
et-0/0/2 {
unit 0 {
family inet {
address 10.0.100.2/24;
}
}
}
fti0 {
unit 1 {
tunnel {
encapsulation gre {
source {
address 10.100.0.3;
}
destination {
address 10.0.200.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
family inet6 {
address 2001:db8:192:168:0::3/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
p-router-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
firewall {
family any {
filter ce1-ce2 {
term ce1-ce2-mirror {
from {
mpls-label 22;
}
then {
count ce1-ce2-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
filter ce2-ce1 {
term ce2-ce1-mirror {
from {
mpls-label 16;
}
then {
count ce2-ce1-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
}
}
routing-options {
router-id 192.168.0.3;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
interface et-0/0/2.0 {
disable;
}
}
}
Vérification
Dans cet exemple, il existe deux DUT pour lesquels la mise en miroir des ports est configurée. Les mécanismes de vérification sont les mêmes. Dans les deux cas, vous allez vérifier que le filtre correspond au trafic attendu et que les paquets en miroir sont envoyés à l’analyseur associé.
Avec notre configuration, le trafic en miroir PE est envoyé à l’analyseur 1, tandis que le trafic en miroir du routeur P est envoyé à l’analyseur 2. Si vous le souhaitez, tout le trafic mis en miroir peut être envoyé vers la même destination, mais cela entraîne une interconnexion du trafic si la mise en miroir des ports se produit à plusieurs endroits simultanément.
Ces étapes peuvent être effectuées sur l’un ou l’autre des routeurs DUT ou sur les deux, selon les besoins. R2/PE1 est le premier DUT et le routeur P/R3 est le second.
-
Confirmez les voisins OSPF et OSPF3 et les routes vers toutes les adresses de bouclage. Vérifiez également le chemin d’accès à l’adresse IP de l’analyseur distant. Vous devez être en mesure d’envoyer des paquets IPv4 à l’analyseur distant. En option, l’analyseur peut être configuré avec des routes statiques afin qu’il puisse répondre.
user@r2-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.2 et-0/0/1.0 Full 192.168.0.3 128 36 user@r2-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.3 et-0/0/1.0 Full 128 36 Neighbor-address fe80::569e:18ff:fe45:ffff user@r2-ptx> show route protocol ospf | match /32 192.168.0.3/32 *[OSPF/10] 2d 22:41:49, metric 1 192.168.0.4/32 *[OSPF/10] 2d 22:41:49, metric 2 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 172.16.1.1/32 *[OSPF/10] 2d 22:41:45, metric 1 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 user@r2-ptx> show route protocol ospf3 | match /128 2001:db8:192:168::3/128 2001:db8:192:168::4/128 ff02::5/128 *[OSPF3/10] 2d 22:47:10, metric 1 2001:db8:172:16:1::1/128 ff02::5/128 *[OSPF3/10] 2d 21:38:06, metric 1
Note:Dans la sortie ci-dessus, la route 172.16.1.1/32 est apprise dans l’instance de
ce1routage. Ainsi, avec cette commande, vous avez confirmé le bon fonctionnement de l’OSPF à la fois dans le cœur et à la périphérie du client ! Seul le bouclage CE1 local est répertorié, car le bouclage CE distant est appris en tant que route BGP.L’instance IGP passive configurée sur l’interface connectée aux analyseurs fournissait la connectivité IP nécessaire. Là encore, nous ajoutons des routes statiques aux analyseurs pour autoriser le trafic de retour pour les tests de diagnostic.
user@r2-ptx> show route 10.0.100.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.100.0/24 *[OSPF/10] 2d 22:49:10, metric 2 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> show route 10.0.200.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.200.0/24 *[OSPF/10] 1d 20:36:13, metric 3 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> ping 10.0.100.1 count 2 PING 10.0.100.1 (10.0.100.1) 56(84) bytes of data. 64 bytes from 10.0.100.1: icmp_seq=1 ttl=63 time=5.48 ms 64 bytes from 10.0.100.1: icmp_seq=2 ttl=63 time=4.91 ms --- 10.0.100.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 4.908/5.196/5.484/0.288 ms -
Confirmez l’état de l’interface fti et du tunnel GRE.
user@r2-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 12887342 Input packets: 0 Output packets: 99020 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 12887342 0 bps Input packets: 0 0 pps Output packets: 99020 0 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-PrimaryLes surbrillances dans la sortie indiquent que l’interface du tunnel et le tunnel GRE sont opérationnels. Le compteur de paquets de sortie non 0 est un bon signe que le trafic est mis en miroir. Nous n’attendons aucun paquet d’entrée car ce tunnel GRE est utilisé uniquement pour envoyer du trafic en miroir à un analyseur distant.
-
Confirmez l’instance de mise en miroir des ports. L’état de mise en miroir des ports doit être
up, et l’interface de mise en miroir correcte doit être répertoriée sous la destination. La familleanyindique qu’il s’agit d’une instance miroir de port de couche 2 indépendante de la famille de protocoles. Le trafic en miroir inclut l’image de couche 2 d’origine ainsi que son contenu.user@r2-ptx> show forwarding-options port-mirroring Instance Name: pe-mirror Instance Id: 1 Input parameters: Rate : 1 Run-length : 1 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop any up fti0.1 NA -
Effacez les compteurs de pare-feu et les statistiques d’interface sur le DUT. Générez ensuite un nombre connu de paquets de test IPv4 et IPv6 entre les adresses de bouclage du routeur CE.
user@r2-ptx> clear firewall all user@r2-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 4 PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. 64 bytes from 172.16.2.1: icmp_seq=1 ttl=61 time=1237 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=61 time=178 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=61 time=507 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=61 time=417 ms --- 172.16.2.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3066ms rtt min/avg/max/mdev = 177.830/584.676/1237.435/395.575 ms, pipe 2 user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 4 64 bytes from 2001:db8:172:16:2::1: icmp_seq=1 ttl=62 time=978 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=2 ttl=62 time=621 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=3 ttl=62 time=782 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=4 ttl=62 time=920 ms --- 2001:db8:172:16:2::1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 621.122/825.114/978.021/137.715 ms
-
De retour sur R2/PE1, affichez les compteurs de pare-feu et les statistiques d’interface pour confirmer qu’ils reflètent le trafic de test. Vous pouvez voir des paquets supplémentaires comptés dans le sens CE1 vers CE 2 qui reflètent les échanges OSPF, OSPF3 ou ARP entre les routeurs CE12 et PE1. Notez que dans la direction CE12 vers CE1, l’application de filtre dans la direction sortante intercepte uniquement le trafic de bout en bout. Par conséquent, le compteur CE2-CE1 reflète le trafic de test généré.
user@r2-ptx> show firewall Filter: ce1-ce2 Counters: Name Bytes Packets ce1-ce2-mirror 1353 13 Filter: ce2-ce1 Counters: Name Bytes Packets ce2-ce1-mirror 752 8
Afficher les statistiques de l’interface fti0./1 utilisée pour mettre en miroir le trafic vers l’analyseur distant.
user@r3-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 2424 Input packets: 0 Output packets: 20 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 2424 2096 bps Input packets: 0 0 pps Output packets: 20 2 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-PrimaryAvec 8 paquets de test générés, vous serez peut-être surpris de voir un nombre de paquets de 20 à la sortie de l’interface fti0.1. Tout d’abord, rappelez-vous que les paquets OSPF et OSPF3 hellos envoyés par le routeur CE1 sont mis en miroir. Deuxièmement, considérez que la requête ping et les réponses sont mises en miroir à PE1/R2. Cela signifie qu’il y a 8 requêtes ping et 8 réponses, pour un total de 16 paquets de test ICMP.
-
Exécutez tcpdump ou l’application d’analyse de votre choix sur la station de surveillance pour confirmer la réception et le traitement du trafic de test en miroir. Notre configuration comporte deux appareils d’analyse, ou plus précisément, un hôte d’analyse avec deux interfaces. Si vous le souhaitez, vous pouvez effectuer cette étape simultanément sur les deux interfaces de l’analyseur. Rappelons que le trafic mis en miroir vers l’interface eth2 sur l’analyseur 2 est mis en miroir au niveau du routeur P/R3, et inclut donc l’encapsulation MPLS. Le trafic en miroir à partir de R1/PE1 n’inclut pas l’encapsulation MPLS.
Nous commençons par une capture sur l’interface eth1 qui reçoit le trafic en miroir de R2/PE1. Après avoir démarré la capture, nous effectuons un seul ping IPv4 entre les routeurs CE.
Note:Après la capture, nous avons collé la sortie tcpdump textuelle dans une application texte qui affiche les numéros de ligne. Il est ainsi plus facile d’appeler les parties clés de la capture. Nous avons également activé le retour à la ligne pour améliorer la visibilité.
Les points à noter dans la capture sont les suivants :
-
Nous évoquons tcpdump sur l’interface eth1 et incluons des drapeaux pour empêcher la résolution de noms, fournir des détails, capturer jusqu’à 400 octets et inclure des en-têtes de couche 2.
-
La ligne 3 est le début de la première trame de couche 2 et du premier paquet IP. La trame Ethernet est l’encapsulation utilisée par le routeur R3/P1 pour envoyer le trafic vers l’appareil d’analyse connecté localement. L’adresse MAC de destination appartient à l’interface eth1 sur l’analyseur 1. La résolution 100.0.100.1 de l’IP à l’adresse MAC est effectuée via ARP. La trame Ethernet indique qu’elle porte le protocole IP. Au niveau de la couche IP, nous voyons que le paquet a le bit Don’t Fragment défini et identifie que la charge utile est GRE.
-
La ligne 4 montre le décodage du paquet IP externe et de sa charge utile GRE. Les adresses IP source et de destination reflètent le tunnel GRE configuré sur l’interface fti0.1 à R2/PE1. L’en-tête GRE identifie que sa charge utile est une trame de couche 2 via l’ID de protocole TEB (Ethernet bridging) transparent. Cela confirme que la mise en miroir de ports distants sur les plates-formes PTX avec un filtre de famille
anyentraîne la mise en miroir des trames de couche 2. -
La ligne 5 est le décodage de la charge utile du paquet GRE. Les adresses MAC source et de destination (de :99 :7e :32 :ff :ff et 01 :00 :5e :00 :00 :05, respectivement) reflètent celles utilisées pour le multicast OSPF hello au niveau de la couche de liaison. La ligne 5 montre également que la charge utile de la trame de couche 2 encapsulée GRE est IP et que la charge utile du paquet IP est OSPF.
Note:L’échange OSPF hello entre CE et PE est local dans un VPN de couche 3. On voit les paquets OSPF envoyés par le CE local, car l’action miroir du port à l’entrée a capturé tout le trafic. Les paquets OSPF hello générés par le CE distant ne sont pas transportés sur le cur et ne sont donc pas considérés comme sortants lors de la capture.
-
La ligne 6 décode le bonjour OSPF envoyé par le routeur CE1. L’adresse IP source est attribuée à l’interface et-0/0/0.0 de CE1. L’adresse IP de destination est utilisée pour le multicast OSPF.
-
Nous sautons le décodage OSPF et atterrissons sur la ligne 16. Il s’agit de la deuxième trame de la capture et reflète une demande d’écho ICMP IPv4. Encore une fois, la trame de couche 2 reflète les adresses MAC des périphériques P1/R3 et Analyzer 1. On voit que la trame externe transporte un paquet IP avec une charge utile GRE. L’adresse IP source et l’adresse IP de destination du paquet IP externe reflètent le tunnel GRE configuré à R2/PE2.
-
La ligne 18 commence le décodage de la charge utile GRE. On voit à nouveau les adresses MAC des routeurs CE1 et PE1. Au niveau de la couche IP, nous voyons que le paquet est envoyé à partir de l’adresse de bouclage du routeur CE1. L’adresse IP de destination est l’adresse de bouclage de CE2. La charge utile du paquet IP interne est la demande d’écho ICMP envoyée de CE1 à CE2.
-
La ligne 20 décode la réponse d’écho ICMP envoyée par CE2. Cela confirme que la mise en miroir des ports fonctionne à la fois dans le sens d’émission et de réception CE1.
-
Ensuite, nous générons un seul ping IPv6 entre les routeurs CE lors de la capture sur l’interface eth2 de l’analyseur 2. Cela confirme la configuration du miroir de port sur le routeur R3/P ainsi que la prise en charge de la mise en miroir des ports IPv6.
Note:Après la capture, nous avons collé la sortie tcpdump textuelle dans une application texte qui affiche les numéros de ligne. Il est ainsi plus facile d’appeler les parties clés de la capture. Nous avons également activé le retour à la ligne pour améliorer la visibilité.
Notez que le trafic de requête et de réponse est affiché. Étant donné que ce miroir de port se produit sur un routeur P, les paquets OSPF entre les routeurs CE ne sont pas mis en miroir car ils ne sont pas envoyés sur le cœur du fournisseur. Les choses à noter dans cette capture sont les suivantes :
-
Sur la ligne 3, la trame Ethernet externe est décodée. Les adresses MAC source et de destination reflètent désormais les périphériques R4/PE2 et Analyzer, respectivement.
-
Sur la ligne 4, le paquet IP interne est décodé. La trame indique l’encapsulation GRE et les adresses IP source et de destination confirment que ce trafic est mis en miroir sur le tunnel GRE fti0.1 configuré au niveau du routeur R3/P1. L’encapsulation GRE indique le protocole TEB, ce qui indique qu’une trame Ethernet de couche 2 est encapsulée.
-
La ligne 5 commence le décodage de la trame Ethernet interne et de sa charge utile MPLS. L’adresse MAC source est affectée à l’interface et-0/0/1 sur le routeur R2/PE1. L’adresse MAC de destination est associée à l’interface et-0/0/0 sur le routeur R3/P1.
La trame Ethernet interne identifie une charge utile de MPLS. Ceci est conforme à la mise en miroir de ports de couche 2 effectuée sur un routeur P avec des termes de filtre correspondant sur les étiquettes MPLS.
Notez que dans le sens CE1 vers CE2, le trafic en miroir affiche deux étiquettes MPLS. L’étiquette de transport RSVP est 24 (cela peut changer en raison de la resignalisation LSP) et l’étiquette VRF interne est définie sur 23, qui est l’étiquette VRF associée à l’instance de routage CE1 au niveau du routeur R2/PE1.
Note:Au moment de cette capture, l’étiquette de transport MPLS utilisée par PE1 pour atteindre PE2 avait changé. Nous avons mis à jour la définition du filtre à R3/P1 pour refléter la valeur actuelle de l’étiquette de transport RSVP de 24 pour les captures de cette section.
-
La ligne 7 décode la charge utile IPv6 de la trame MPLS. Il s’agit du paquet IPv6 envoyé par le CE1 au CE2. Le paquet IPv6 identifie sa charge utile comme ICMP6 et indique qu’il s’agit d’une demande d’écho.
-
La ligne 8 commence le décodage du trafic de réponse à partir de CE2. Dans le sens CE2 vers CE1, une seule étiquette est présente dans le trafic miroir. Il s’agit de l’étiquette VRF qui reste après que le routeur R3/PE1 a effectué l’avant-dernier saut popping (PHP) avant d’envoyer le trafic au routeur R2/PE1. Le trafic est symétrique à la sortie dans le sens P1 à PE2.
Les captures effectuées sur les deux périphériques d’analyse confirment que la mise en miroir des ports distants fonctionne comme prévu.
-
-
Nous terminons avec un décodage de l’interface graphique du même trafic de test CE à CE tel que capturé sur l’appareil Analyzer 2. Notez à nouveau la présence d’étiquettes MPLS reflétant une opération de mise en miroir de port sur un routeur PE basé sur MPLS.
La capture montre le trafic de test IPv4 et IPv6 en cours de mise en miroir. Cette capture reflète le trafic mis en miroir par le routeur P. Par conséquent, l’encapsulation MPLS est présente.
Annexe : Définir les commandes sur tous les routeurs
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
R1 (CE1)
del interfaces et-0/0/0 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2 (PE1) DUT1
set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror input run-length 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R3 (routeur P) DUT 2
set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror input run-length 0 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1 set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R4 (PE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce2 instance-type vrf set routing-instances ce2 protocols ospf area 0.0.0.0 interface all set routing-instances ce2 protocols ospf export ospf-export set routing-instances ce2 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce2 protocols ospf3 export ospf-export set routing-instances ce2 interface et-0/0/1.0 set routing-instances ce2 route-distinguisher 65001:2 set routing-instances ce2 vrf-target target:65001:100 set routing-options router-id 192.168.0.4 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.4 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.2 set protocols mpls label-switched-path pe1 to 192.168.0.2 set protocols mpls label-switched-path pe1 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all
R5 (CE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
Mises en garde et limites
Cette section répertorie les mises en garde et les limitations de la mise en miroir de ports distants sur les plates-formes PTX.
-
Si la partie de sortie de la configuration de l’instance de mise en miroir des ports doit être modifiée, la configuration de sortie existante doit d’abord être supprimée et la modification validée avant que la nouvelle configuration ne soit ajoutée.
-
Au total, 15 instances de miroir sont prises en charge. Il n’y a pas d’erreur de validation si le nombre d’instances de mise en miroir de port distant dépasse 15.
-
Un paquet mis en miroir donné ne peut être envoyé qu’à un seul analyseur distant.
-
La longueur maximale des paquets peut être configurée comme multiple de 128 octets. Le paquet exporté sera inférieur de 22 octets à la valeur configurée.
-
Les interfaces de sortie multiples ne sont pas prises en charge dans une instance de mise en miroir donnée. Il n’y a pas d’erreur de commit si plusieurs interfaces de sortie sont configurées.
-
Le processus d’échantillonnage n’est pas pris en charge par GRES. Il y aura des baisses de trafic en miroir en cas d’événement GRES ou de redémarrage du
mirrordprocessus. -
Le trafic du tunnel qui se termine sur le routeur local ne peut pas être mis en miroir dans le sens sortant.
-
Vous ne pouvez pas utiliser la mise en miroir de ports avec un filtre qui évoque une action du mécanisme de contrôle dans la direction de la sortie.
-
Les statistiques relatives aux paquets mis en miroir doivent être vérifiées à l’aide de compteurs de pare-feu ou de statistiques d’interface FTI.