Exemple : configuration de la mise en miroir des ports distants sur les routeurs PTX
Cet exemple vous montre comment configurer et vérifier la mise en miroir de ports distants sur des plates-formes PTX exécutant Junos Evolved. Les plateformes PTX comprennent les châssis PTX10001-36MR, LC1201 et LC1202 dans les châssis PTX10004, PTX10008 et PTX10016.
Avant de commencer
| Exigences matérielles et logicielles | Junos OS Evolved version 22.2R1.12-EVO ou ultérieure. PTX10001-36MR Consultez l’explorateur de fonctionnalités pour obtenir la liste complète des plates-formes prises en charge et des versions de Junos OS. |
| Temps de lecture estimé |
Quinze minutes. |
| Temps de configuration estimé |
Trente minutes |
| Impact sur l’entreprise |
Le miroir de port est un outil essentiel pour le débogage et les tâches liées à la sécurité. Le trafic en miroir peut être analysé hors ligne à l’aide de divers outils pour analyser les interactions entre les protocoles, la détection des anomalies ou les opérations d’interception légale. |
| En savoir plus |
Pour mieux comprendre la mise en miroir des ports, consultez Mise en miroir des ports et analyseurs |
| Pour en savoir plus |
Portail de formation |
Aperçu fonctionnel
La présentation fonctionnelle de la mise en miroir des ports distants fournit un résumé rapide des protocoles et technologies déployés dans cet exemple.
| Protocoles de routage et de signalisation |
|
| OSPF et OSPF3 |
Tous les routeurs exécutent OSPF et OSPF3 en tant qu’IGP. Tous les routeurs des fournisseurs appartiennent à la zone 0 (également appelée zone dorsale). Les domaines de routage OSPF/OSPF3 offrent une accessibilité interne à tous les réseaux et interfaces de la topologie. Les routeurs CE utilisent OSPF et OSPF3 pour échanger des routes avec les PE. |
| MPLS et RSVP | Les routeurs du fournisseur signalent les LSP MPLS à l’aide du protocole RSVP. La tunnelisation IPv6 est activée pour prendre en charge IPv6 sur MPLS. MPLS est utilisé pour prendre en charge un VPN de couche 3. |
| MP-BGP | Le protocole BGP multiprotocole est utilisé entre les routeurs PE pour annoncer les routes VPN des clients. |
| VPN de couche 3 | Les routeurs PE utilisent une instance de routage VRF à prendre en charge en tant que service VPN de couche 3 pour les routeurs CE. Le trafic client est transporté sur le réseau central, à l’intérieur des LSP signalés par RSVP. Pour plus de détails sur le fonctionnement d’un VPN L3 basé sur le MPLS, voir Exemple : Configurer un VPN de couche 3 basé sur le MPLS de base. |
| Protocoles routés |
|
| IPv4 et IPv6 |
Tous les routeurs sont configurés pour prendre en charge le routage IPv4 et IPv6. |
| Analyseur (station de surveillance) |
|
| Centos et Wireshark |
L’analyseur exécute Centos 7.x avec une version graphique de Wireshark. |
Présentation de la topologie
Cet exemple utilise le contexte d’un VPN L3 basé sur MPLS pour démontrer la fonctionnalité de mise en miroir de ports distants sur les routeurs PTX. Le VPN L3 est configuré pour prendre en charge le trafic IPv4 et IPv6 entre les routeurs de périphérie client (CE) et de périphérie fournisseur (PE).
| Nom du routeur | Rôle |
Fonction |
| CE | Routeur de périphérie client (CE) qui envoie du trafic de test pour confirmer le bon fonctionnement de la mise en miroir des ports. | Ces routeurs sont désignés comme routeurs CE. Les routeurs CE bénéficient du service VPN L3 du réseau du fournisseur. Les CE ne partagent pas le même domaine de routage OSPF que les routeurs des fournisseurs. |
| PE | Routeur PE (Provider Edge) attaché au CE. | Les PE se trouvent à la périphérie d’un réseau de fournisseurs. Nos PE prennent en charge les VPN de couche 3 grâce à l’utilisation d’instances de routage, MP-BGP, RSVP et d’un plan de données MPLS. Le routeur PE1 fonctionne comme l’un des DUT de mise en miroir de ports distants. |
| P | Un routeur central Provider (P). | Le routeur P représente un routeur central de fournisseur sans BGP. Il prend en charge le transport OSPF, OSPF3 et MPLS. Il n’exécute pas BGP et ne transporte pas d’état VPN. Le routeur P fonctionne comme l’un des DUT de mise en miroir de ports distants. |
| Analyseur | Le périphérique d’analyse reçoit le trafic miroir pour le stockage et l’analyse. | Les spécificités de l’analyseur dépassent le cadre de ce document. Il existe un certain nombre d’options open source et commerciales disponibles. Il se trouve que notre analyseur exécute Centos 7.x avec un bureau Gnome prenant en charge une version graphique de Wireshark. |
Illustrations de topologie
Cet exemple illustre deux façons de mettre en miroir le trafic CE envoyé sur le réseau du fournisseur :
-
La première méthode utilise un filtre de correspondance sur l’interface VRF PE-CE.
-
La deuxième méthode illustre un filtre de correspondance d’étiquettes MPLS qui est appliqué sur le routeur du fournisseur (P).
Le routeur PE1 (R2) et le routeur P (R3) sont les routeurs sur lesquels la mise en miroir des ports distants est configurée et fonctionnent comme nos DUT. Ces routeurs utilisent des filtres de pare-feu familiaux any pour la mise en miroir de ports sur le trafic sélectionné. Une combinaison de filtres entrants et de sortie est utilisée pour refléter le trafic de demande et de réponse circulant entre les routeurs CE (R1 et R5).
La mise en miroir des ports distants utilise un tunnel pour que l’encapsulation GRE envoie le trafic mis en miroir vers un équipement d’analyse à distance. Notre topologie comporte deux analyseurs. L’un est attaché au routeur R2/PE1 et l’autre au routeur R3/P. Cela nous permet de démontrer deux façons de mettre en miroir le trafic CE, l’une au niveau d’un PE et l’autre sur un routeur P central. Nous utilisons un hôte Centos avec Wireshark pour la capture et l’analyse des paquets.
Les plates-formes PTX utilisent l’infrastructure fti (Flexible Tunnel Interface) pour prendre en charge diverses applications de tunneling. Dans le cas des miroirs de port distants, les tunnels GRE sont configurés sur les interfaces FTI pour transporter le trafic mis en miroir vers un équipement d’analyse distant. Dans cet exemple, vous allez configurer des tunnels GRE basés sur FTI, une instance de mise en miroir et les filtres de pare-feu qui sélectionnent le trafic à mettre en miroir.
Étapes de configuration R2/PE1
Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode Configuration
Pour une configuration complète sur tous les routeurs, reportez-vous à : Annexe 2 : Définir des commandes sur tous les routeurs
Cette section met en évidence les tâches de configuration nécessaires pour configurer le routeur PE1/R2 dans cet exemple. Nous fournissons les configurations complètes de tous les routeurs dans l’annexe. L'étape 1 résume la base de référence de l'exemple. Cette base se compose de la connectivité IPv4 et IPv6, du MPLS et d’un VPN de couche 3. Notre exemple met l’accent sur la configuration et la vérification de la mise en miroir des ports distants.
Pour plus de détails sur le fonctionnement du VPN L3 et la configuration de base, consultez Exemple : Configurer un VPN de couche 3 basé sur le MPLS.
-
Configurez le routage IP et la base VPN L3 sur le routeur PE1. Il s’agit des éléments suivants :
-
numérotation des interfaces IPv4 et IPv6 et inclusion
family mplsde la prise en charge des interfaces centrales. -
Configurer les protocoles de routage OSPF et OSPFv3 pour assurer l’accessibilité entre toutes les interfaces réseau.
-
Les chemins de commutation d’étiquettes RSVP et MPLS (LSP) permettent de prendre en charge le trafic VPN L3.
-
Configuration de l’appairage VRF et BGP avec les familles d’adresses d’un
inet-vpnandinet6-vpn[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols rsvp interface all set protocols rsvp interface fxp0 disable
Une fois la base de référence couverte, les étapes restantes se concentrent sur la configuration du routeur R2/PE1 pour mettre en miroir tout le trafic envoyé et reçu sur son interface VRF orientée CE1.
-
- Vous commencez par configurer le tunnel GRE. Sur un routeur PTX, le tunnel est implémenté sur une interface FTI. L’adresse source du tunnel GRE n’a pas besoin d’être routable, sauf si vous prévoyez d’effectuer des tests de diagnostic ping provenant de la source du tunnel GRE ou destinée à celle-ci. La destination GRE du trafic mis en miroir par PE1 est le routeur analyseur 1. Cette destination doit être accessible pour que le trafic miroir soit envoyé à l’analyseur. Nous utilisons une instance IGP passive pour garantir l’accessibilité de l’IGP aux réseaux d’analyse.
L’adresse de destination est mappée au périphérique Analyzer 1 connecté à l’interface et-0/0/2 sur le routeur P/R3. Vous devez configurer l’interface logique fti avec pour
family cccprendre en charge la mise en miroir de ports distants sur le PTX. En effet, l’action de mise en miroir se produit au niveau de la couche 2.set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc
Remarque :Une instance IGP passive est provisionnée pour les interfaces attachées aux périphériques d’analyse. Cela confère une accessibilité IGP aux ports d’analyse pour le trafic en miroir encapsulé GRE. Le paramètre passif empêche la génération de paquets hello aux analyseurs car cela ne ferait qu’encombrer les captures.
De plus, nous avons configuré une route statique sur l’appareil d’analyse pour lui permettre de répondre aux pings afin d’aider aux tests de diagnostic. À proprement parler, seule la connectivité ou le routage simplex est nécessaire entre les dispositifs de forage et l’analyseur pour que la mise en miroir des ports distants fonctionne.
- Configurez l’instance d’échantillonnage. Nous utilisons un taux de 1 pour échantillonner tous les paquets correspondants. La valeur par défaut
run-length1 est laissée en place, car tout le trafic correspondant est déjà échantillonné. Vous devez spécifier l’interface logique sur le routeur fti utilisée pour transporter le trafic miroir. Vous avez configuréunit 1l’interface fti0 pour le tunnel GRE à l’étape précédente, de sorte que la même interface et la même unité sont spécifiées comme interface de sortie dans l’instance miroir.[edit] set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1
Remarque :Vous pouvez spécifier une longueur maximale de paquet pour le trafic mis en miroir dans la hiérarchie avec l’option
[edit forwarding-options port-mirroring instance instance-name input]maximum-packet-length. Par défaut, la longueur du paquet est de 0, ce qui signifie que le paquet entier est mis en miroir. -
Définissez deux filtres de pare-feu de famille
anypour correspondre et refléter le trafic CE. Deux filtres sont définis, l’un pour mettre en miroir le trafic CE1 vers CE2 et l’autre pour mettre en miroir CE2 vers CE1. Les filtres comprennent une fonction de comptage pour faciliter la vérification. L’action de mise en miroir des ports dirige le trafic correspondant vers l’instance de mise en miroir des ports que vous avez configurée précédemment.Les filtres de famille
anyprennent en charge la correspondance de couche 2 et de couche 3. Pour le premier, vous pouvez faire correspondre l’ID VLAN, l’interface, l’adresse MAC ou l’étiquette MPLS. Pour ce dernier, vous pouvez faire correspondre les champs d’en-tête IPv4 ou IPv6 standard.Pour notre topologie, nous utilisons un terme de correspondance qui intercepte tout le trafic envoyé ou reçu par les CE. Cela inclut IPv4, IPv6, ARP, LLDP et tout protocole de routage tel qu’OSPF.
[edit] set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set firewall family any filter ce2-ce1 term else then accept
Les deux filtres se terminent par un terme d’acceptation correspond à tous pour remplacer l’action de refus de tout par défaut à la fin d’un filtre Junos. De cette façon, le trafic qui n’est pas mis en correspondance dans le premier terme est accepté. Ce terme est ajouté à titre de garantie dans le cas où ultérieurement une condition de correspondance spécifique est ajoutée au premier terme.
Si vous le souhaitez, vous pouvez évoquer une action de contrôle dans votre filtre pour limiter le nombre de paquets en miroir envoyés sur le tunnel GRE. Le mécanisme de contrôle est défini avec une limite de bande passante et de rafale, ainsi qu’une action de rejet pour le trafic qui dépasse le mécanisme de contrôle.
Vous ne pouvez pas appliquer un filtre PM avec une action de policer dans le sens de sortie.Remarque :Si vous souhaitez faire correspondre uniquement le trafic ICMP envoyé entre les adresses de bouclage IPv4 des équipements CE, ajoutez des critères de correspondance de couche 3 à votre filtre.
set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-protocol icmp set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-source-address 172.16.1.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-destination-address 172.16.2.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept
-
Appliquez les filtres à l’interface orientée CE sur R2/PE1. Pour notre exemple, cela signifie l’application des filtres à l’interface et-0/0/0 sur PE1. Notez la directionnalité de l’application de filtrage. Un filtre entrant et sortant est nécessaire pour refléter les deux sens du flux de trafic CE.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
Par souci d’exhaustivité, nous montrons la configuration de R2/PE1 sous forme d’accolades.
system {
host-name r2-ptx;
}
interfaces {
et-0/0/0 {
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.12.2/24;
}
family inet6 {
address 2001:db8:10:0:12::2/64;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.23.1/24;
}
family inet6 {
address 2001:db8:10:0:23::1/64;
}
family mpls;
}
}
fti0 {
unit 1 {
description "GRE tunnel for remote port mirror";
tunnel {
encapsulation gre {
source {
address 10.100.0.1;
}
destination {
address 10.0.100.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.2/32;
}
family inet6 {
address 2001:db8:192:168:0::2/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
pe-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
policy-options {
policy-statement ospf-export {
term 1 {
from protocol bgp;
then accept;
}
}
}
firewall {
family any {
filter ce1-ce2 {
term mirror-ce1-ce2 {
then {
count ce1-ce2-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
filter ce2-ce1 {
term mirror-ce2-ce1 {
then {
count ce2-ce1-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
}
}
routing-instances {
ce1 {
instance-type vrf;
protocols {
ospf {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
ospf3 {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
}
interface et-0/0/0.0;
route-distinguisher 65001:1;
vrf-target target:65001:100;
vrf-table-label;
}
}
routing-options {
router-id 192.168.0.2;
autonomous-system 65001;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.2;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6-vpn {
unicast;
}
neighbor 192.168.0.4;
}
}
mpls {
label-switched-path pe2 {
to 192.168.0.4;
no-cspf;
}
ipv6-tunneling;
interface all;
interface fxp0.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
}
}
Étapes de configuration R3
Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode Configuration
Pour une configuration complète sur tous les routeurs, reportez-vous à : Annexe 2 : Définir des commandes sur tous les routeurs
Cette section met en évidence les principales tâches de configuration nécessaires pour configurer le routeur P/R3 dans cet exemple. Nous commençons par la base VPN L3 basée sur le MPLS. Ensuite, nous montrons les étapes nécessaires pour configurer la mise en miroir des ports distants sur un routeur P afin de faire correspondre et de mettre en miroir le trafic MPLS.
-
Configurez le routage IPv4 et IPv6 et la base de référence MPLS sur le routeur P/R3. Cela implique plusieurs choses :
-
numérotation des interfaces IPv4 et IPv6 et inclusion
family mplsde la prise en charge des interfaces centrales. -
Configurez les protocoles de routage OSPF et OSPFv3 pour assurer l’accessibilité entre toutes les interfaces réseau.
-
RSVP et MPLS pour prendre en charge le plan de données VPN L3. En tant que routeur P, l’appairage BGP et les définitions VRF ne sont pas présents.
[edit] set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable set protocols rsvp interface et-0/02.0 disable
Le routeur P1/R3 se connecte à l’analyseur 1 via l’interface et-0/0/2 . Nous désactivons le protocole RSVP et la prise en charge de MPLS sur cette interface, car le trafic en miroir arrive au format IPv4 à l’aide de l’encapsulation GRE. Les LSP ne s'étendent pas à l'analyseur.
Remarque :La configuration d’interface et-0/0/2 utilisée ici suppose que l’analyseur répond aux requêtes ARP et ND envoyées par le DUT pour la résolution d’adresse MAC. Si ce n’est pas le cas, ou si vous souhaitez que le trafic ARP ne fasse pas partie de vos captures de paquets, vous devez configurer une entrée ARP statique. Assurez-vous de spécifier l’adresse MAC correcte pour l’interface sur le périphérique d’analyse connecté au DUT.
Une fois la base de référence couverte, les étapes suivantes se concentrent sur la configuration de la mise en miroir des ports distants pour le trafic MPLS sur un routeur P.
-
- Vous commencez par définir le tunnel GRE. Sur les plateformes PTX, les tunnels sont implémentés sur une interface FTI . L’adresse source du tunnel GRE n’a pas besoin d’être routable, sauf si vous prévoyez d’effectuer des tests de diagnostic ping provenant de la source du tunnel GRE ou destinée à celle-ci. La destination GRE du trafic en miroir est le périphérique Analyzer 2 connecté à PE2/R4. Cette destination doit être accessible pour que le trafic miroir soit envoyé à l’analyseur. Nous utilisons une instance IGP passive pour garantir l’accessibilité de l’IGP aux réseaux d’analyse.
Vous devez configurer l’interface logique fti avec pour
family cccprendre en charge la mise en miroir de ports distants sur le PTX. En effet, l’action de mise en miroir se produit au niveau de la couche 2.[edit] set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc
Remarque :Une instance IGP passive est provisionnée pour les interfaces attachées aux périphériques d’analyse. Cela confère une accessibilité IGP aux ports d’analyse pour le trafic en miroir encapsulé GRE. Le paramètre passif empêche la génération de paquets hello aux analyseurs, car cela ne ferait qu’encombrer les captures de paquets.
En outre, nous avons configuré une route statique sur l’appareil d’analyse afin qu’il puisse répondre aux pings pour faciliter les tests de diagnostic. À proprement parler, seule la connectivité ou le routage simplex est nécessaire entre les dispositifs de forage et l’analyseur pour que la mise en miroir des ports distants fonctionne.
- Configurez l’instance d’échantillonnage. Nous utilisons un taux de 1 pour sélectionner et échantillonner tous les paquets correspondants. Par défaut, le est
run-length1. C’est bien étant donné que tout le trafic correspondant est échantillonné avec un taux de 1. Vous devez spécifier l’interface logique sur le routeur fti qui est utilisée pour envoyer le trafic miroir. Vous avez configuré l’unité 1 pour l’interface fti à l’étape précédente afin que la même unité soit spécifiée comme interface de sortie pour l’instance miroir.[edit] set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1
-
Définissez les filtres de pare-feu pour refléter le trafic envoyé entre les routeurs CE.
Les filtres familiaux
anyn’autorisent que les types de correspondance de couche 2. Par exemple, ID de VLAN, interface, adresse MAC ou étiquette MPLS. Par conséquent, vous ne pouvez pas utiliser IPv4 ou des conditions de correspondance spécifiques à IPv4.Deux filtres sont définis, un pour chaque sens de circulation entre les CE.
Étant donné notre objectif de mettre en miroir le trafic VPN sur un routeur P, les filtres sont écrits pour correspondre sur les étiquettes spécifiques qui identifient les flux de trafic MPLS entre les deux routeurs PE.
Pour la direction CE1 à CE2, le filtre correspond à l’étiquette de transport RSVP utilisée par PE1 pour atteindre PE2. En raison de PHP et de l’application de sortie, le filtre utilisé dans le sens CE2 à CE1 correspond à l’étiquette VRF annoncée par PE1 à PE2. Le trafic correspondant évoque l’action de mise en miroir des ports sur les instances de mise en miroir définies précédemment. Les filtres comprennent une fonction de comptage pour aider à confirmer le bon fonctionnement.
Nous avons déterminé les étiquettes correctes à l’aide de ces commandes :
-
Pour le trafic envoyé par CE1 à CE2, l’étiquette de transport RSVP actuelle s’affiche avec une
show rsvp session ingress detailcommande. Il s’agit de l’étiquette RSVP attribuée par PE1 pour atteindre PE2 en utilisant MPLS. Il convient de noter que tout le trafic VPN envoyé entre cette paire PE utilise le même transport RSVP. Le filtre résultant n’est pas spécifique au VRF CE1 sur le routeur PE.user@r2-ptx> show rsvp session ingress detail Ingress RSVP: 1 sessions 192.168.0.4 From: 192.168.0.2, LSPstate: Up, ActiveRoute: 0 LSPname: pe2, LSPpath: Primary LSPtype: Static Configured Suggested label received: -, Suggested label sent: - Recovery label received: -, Recovery label sent: 22 Resv style: 1 FF, Label in: -, Label out: 22 Time left: -, Since: Tue Apr 18 12:58:47 2023 Tspec: rate 0bps size 0bps peak Infbps m 20 M 1500 Port number: sender 2 receiver 65196 protocol 0 PATH rcvfrom: localclient Adspec: sent MTU 1500 Path MTU: received 1500 PATH sentto: 10.0.23.2 (et-0/0/1.0) 1 pkts RESV rcvfrom: 10.0.23.2 (et-0/0/1.0) 1 pkts, Entropy label: Yes Record route: <self> 10.0.23.2 10.0.34.2 Total 1 displayed, Up 1, Down 0
Dans ce cas, la sortie indique que l’étiquette RSVP 22 est affectée au routeur PE1/R2 pour atteindre la sortie LSP au niveau du routeur PE2/R4.
-
Pour le trafic envoyé par CE2 à CE1, vous devez correspondre sur l’étiquette VRF. En effet, le routeur P est l’avant-dernier nœud de saut et sur l’interface de sortie, il aura fait apparaître l’étiquette de transport RSVP. Cela laisse sur l’étiquette VRF en bas de la pile. Vous confirmez l’étiquette VRF annoncée par PE1 au PE2 à l’aide d’une
show route advertising-protocol bgp remote-peer-address detailcommande. Cette commande affiche les routes annoncées par le PE local ainsi que l’étiquette VRF liée à l’instance de routage.user@r2-ptx> show route advertising-protocol bgp 192.168.0.4 detail ce1.inet.0: 7 destinations, 8 routes (7 active, 0 holddown, 0 hidden) * 10.0.12.0/24 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65001] I Communities: target:65001:100 * 172.16.1.1/32 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65001] I Communities: target:65001:100 rte-type:0.0.0.0:1:0 . . .La sortie montre que PE1 a signalé l’étiquette VRF 16 au routeur PE2 pour les routes associées à l’instance de routage CE1.
À l’aide des informations des commandes précédentes, nous savons quelles étiquettes RSVP/VRF rechercher dans le filtre du pare-feu.
[edit] set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept
Les filtres se terminent par un terme d’acceptation correspond à tous pour remplacer le terme de refus tout par défaut à la fin d’un filtre Junos. De cette façon, le trafic qui n’est pas mis en correspondance dans le premier terme est accepté. Ceci est essentiel pour éviter d’interrompre tout autre trafic à l’aide de cette interface !
Remarque :Les étiquettes RSVP peuvent changer en raison d’une nouvelle signalisation LSP causée par des pannes de liaison ou d’autres changements de configuration. Nous montrons comment utiliser un filtre pour faire correspondre des étiquettes spécifiques afin de limiter le trafic mis en miroir. Vous pouvez toujours appliquer un filtre Correspondance de tout pour vous assurer que les modifications d’étiquette MPLS n’affectent pas la mise en miroir. L’inconvénient de l’approche « match all » est que vous mettrez en miroir tout le trafic reçu sur l’interface du routeur P pour inclure les protocoles de base et le trafic non VPN.
-
-
Appliquez les filtres à l’interface PE1 du routeur P/R3. La directionnalité de l’application du filtre est importante. Nos filtres sont conçus pour fonctionner dans le sens d’entrée pour le trafic CE1 à CE2, et dans le sens de sortie pour le trafic CE2 à CE1. Comme il s’agit de filtres de famille, ils sont appliqués au niveau de l’unité indépendamment d’IPv4 ou d’IPv6. Famille Tous les filtres fonctionnent au niveau de la couche 2, qui est indépendante de toute famille de protocoles.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
Par souci d’exhaustivité, nous montrons la configuration de R2/PE1 sous forme d’accolades.
system {
host-name r3-ptx;
}
interfaces {
et-0/0/0 {
description "R3-R2 P-PE";
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.23.2/24;
}
family inet6 {
address 2001:db8:10:0:23::2/64;
}
family mpls;
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.34.1/24;
}
family inet6 {
address 2001:db8:10:0:34::1/64;
}
family mpls;
}
}
et-0/0/2 {
unit 0 {
family inet {
address 10.0.100.2/24;
}
}
}
fti0 {
unit 1 {
tunnel {
encapsulation gre {
source {
address 10.100.0.3;
}
destination {
address 10.0.200.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
family inet6 {
address 2001:db8:192:168:0::3/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
p-router-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
firewall {
family any {
filter ce1-ce2 {
term ce1-ce2-mirror {
from {
mpls-label 22;
}
then {
count ce1-ce2-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
filter ce2-ce1 {
term ce2-ce1-mirror {
from {
mpls-label 16;
}
then {
count ce2-ce1-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
}
}
routing-options {
router-id 192.168.0.3;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
interface et-0/0/2.0 {
disable;
}
}
}
Vérification
Dans cet exemple, la mise en miroir des ports est configurée dans deux DUT. Les mécanismes de vérification sont les mêmes. Dans les deux cas, vous confirmerez que le filtre correspond au trafic attendu et que les paquets mis en miroir sont envoyés à l'analyseur associé.
Avec notre configuration, le trafic en miroir PE est envoyé à l’analyseur 1, tandis que le trafic en miroir du routeur P est envoyé à l’analyseur 2. Si vous le souhaitez, tout le trafic en miroir peut être envoyé vers la même destination, mais cela intercale le trafic si la mise en miroir des ports se produit à plusieurs endroits simultanément.
Ces étapes peuvent être effectuées sur l’un ou les deux routeurs DUT, selon les besoins. R2/PE1 est le premier DUT et le routeur P/R3 est le second.
-
Confirmez les voisins et les routes OSPF et OSPF3 vers toutes les adresses de bouclage. Vérifiez également l’itinéraire vers l’adresse IP de l’analyseur distant. Vous devez pouvoir envoyer des paquets IPv4 à l’analyseur distant. En option, l’analyseur peut être configuré avec des routes statiques afin qu’il puisse répondre.
user@r2-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.2 et-0/0/1.0 Full 192.168.0.3 128 36 user@r2-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.3 et-0/0/1.0 Full 128 36 Neighbor-address fe80::569e:18ff:fe45:ffff user@r2-ptx> show route protocol ospf | match /32 192.168.0.3/32 *[OSPF/10] 2d 22:41:49, metric 1 192.168.0.4/32 *[OSPF/10] 2d 22:41:49, metric 2 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 172.16.1.1/32 *[OSPF/10] 2d 22:41:45, metric 1 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 user@r2-ptx> show route protocol ospf3 | match /128 2001:db8:192:168::3/128 2001:db8:192:168::4/128 ff02::5/128 *[OSPF3/10] 2d 22:47:10, metric 1 2001:db8:172:16:1::1/128 ff02::5/128 *[OSPF3/10] 2d 21:38:06, metric 1
Remarque :Dans la sortie ci-dessus, la route 172.16.1.1/32 est apprise dans l’instance de
ce1routage. Ainsi, avec cette commande, vous avez confirmé le bon fonctionnement d’OSPF à la fois dans le cœur et dans la périphérie client ! Seul le bouclage CE1 local est répertorié, car le bouclage CE distant est appris en tant que route BGP.L’instance IGP passive configurée sur l’interface connectée aux analyseurs fournissait la connectivité IP nécessaire. Là encore, nous ajoutons des routes statiques aux analyseurs pour permettre le retour du trafic pour les tests de diagnostic.
user@r2-ptx> show route 10.0.100.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.100.0/24 *[OSPF/10] 2d 22:49:10, metric 2 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> show route 10.0.200.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.200.0/24 *[OSPF/10] 1d 20:36:13, metric 3 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> ping 10.0.100.1 count 2 PING 10.0.100.1 (10.0.100.1) 56(84) bytes of data. 64 bytes from 10.0.100.1: icmp_seq=1 ttl=63 time=5.48 ms 64 bytes from 10.0.100.1: icmp_seq=2 ttl=63 time=4.91 ms --- 10.0.100.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 4.908/5.196/5.484/0.288 ms -
Confirmez l’état de l’interface FTI et du tunnel GRE.
user@r2-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 12887342 Input packets: 0 Output packets: 99020 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 12887342 0 bps Input packets: 0 0 pps Output packets: 99020 0 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-PrimaryLes points saillants de la sortie indiquent que l’interface de tunnel et le tunnel GRE sont opérationnels. Le compteur de paquets de sortie non 0 est un bon signe que le trafic est mis en miroir. Nous ne prévoyons aucun paquet d'entrée, car ce tunnel GRE est utilisé uniquement pour envoyer le trafic en miroir vers un analyseur distant.
-
Confirmez l’instance de mise en miroir des ports. L’état de mise en miroir des ports doit être
up, et l’interface de mise en miroir correcte doit être répertoriée sous la destination. La familleanyindique qu’il s’agit d’une instance miroir de port de couche 2 indépendante de la famille de protocoles. Le trafic en miroir inclut la trame de couche 2 d’origine ainsi que son contenu.user@r2-ptx> show forwarding-options port-mirroring Instance Name: pe-mirror Instance Id: 1 Input parameters: Rate : 1 Run-length : 1 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop any up fti0.1 NA -
Effacez les compteurs de pare-feu et les statistiques d’interface sur le DUT. Générez ensuite un nombre connu de paquets de test IPv4 et IPv6 entre les adresses de bouclage du routeur CE.
user@r2-ptx> clear firewall all user@r2-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 4 PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. 64 bytes from 172.16.2.1: icmp_seq=1 ttl=61 time=1237 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=61 time=178 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=61 time=507 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=61 time=417 ms --- 172.16.2.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3066ms rtt min/avg/max/mdev = 177.830/584.676/1237.435/395.575 ms, pipe 2 user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 4 64 bytes from 2001:db8:172:16:2::1: icmp_seq=1 ttl=62 time=978 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=2 ttl=62 time=621 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=3 ttl=62 time=782 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=4 ttl=62 time=920 ms --- 2001:db8:172:16:2::1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 621.122/825.114/978.021/137.715 ms
-
De retour sur R2/PE1, affichez les compteurs du pare-feu et les statistiques de l’interface pour confirmer qu’ils reflètent le trafic de test. Vous pouvez voir des paquets supplémentaires comptés dans le sens CE1 à CE 2 qui reflètent les échanges OSPF, OSPF3 ou ARP entre les routeurs CE12 et PE1. Notez que dans le sens CE12 à CE1, l’application de filtrage dans le sens de sortie ne détecte que le trafic de bout en bout. Par conséquent, le compteur CE2-CE1 reflète bien le trafic de test généré.
user@r2-ptx> show firewall Filter: ce1-ce2 Counters: Name Bytes Packets ce1-ce2-mirror 1353 13 Filter: ce2-ce1 Counters: Name Bytes Packets ce2-ce1-mirror 752 8
Affiche les statistiques de l’interface fti0./1 utilisée pour mettre en miroir le trafic vers l’analyseur distant.
user@r3-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 2424 Input packets: 0 Output packets: 20 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 2424 2096 bps Input packets: 0 0 pps Output packets: 20 2 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-PrimaryAvec 8 paquets de test générés, vous serez peut-être surpris de voir un nombre de paquets à la sortie de l’interface fti0.1 de 20. Tout d’abord, rappelez-vous que les paquets Hello OSPF et OSPF3 envoyés par le routeur CE1 sont mis en miroir. Deuxièmement, considérez que la demande ping et les réponses sont reflétées à PE1/R2. Cela signifie qu’il y a 8 requêtes ping et 8 réponses, pour un total de 16 paquets de test ICMP.
-
Exécutez tcpdump ou l’application d’analyse de votre choix sur le centre de surveillance pour confirmer la réception et le traitement du trafic de test en miroir. Notre installation comporte deux périphériques d’analyse, ou plus précisément, un hôte d’analyse avec deux interfaces. Vous pouvez effectuer cette étape sur les deux interfaces de l’analyseur simultanément, si vous le souhaitez. Rappelons que le trafic mis en miroir sur l’interface eth2 sur Analyzer 2 est mis en miroir sur le routeur P/R3 et inclut donc l’encapsulation MPLS. Le trafic mis en miroir à partir de R1/PE1 n’inclut pas l’encapsulation MPLS.
Nous commençons par une capture sur l’interface eth1 qui reçoit le trafic en miroir de R2/PE1. Après avoir commencé la capture, nous effectuons un seul ping IPv4 entre les routeurs CE.
Remarque :Après la capture, nous avons collé la sortie tcpdump textuelle dans une application texte qui affiche les numéros de ligne. Cela facilite l’appel des parties clés de la capture. Nous avons également activé le retour à la ligne pour améliorer la visibilité.
Les domaines à noter dans la capture comprennent :
-
Nous évoquons tcpdump sur l’interface eth1 et incluons des drapeaux pour empêcher la résolution de noms, fournir des détails, capturer jusqu’à 400 octets et inclure des en-têtes de couche 2.
-
La ligne 3 marque le début de la première trame de couche 2 et du premier paquet IP. La trame Ethernet est l’encapsulation utilisée par le routeur R3/P1 pour envoyer le trafic à l’équipement d’analyse connecté localement. L’adresse MAC de destination appartient à l’interface eth1 sur l’analyseur 1. La résolution 100.0.100.1 de l’adresse MAC IP à MAC est effectuée via ARP. La trame Ethernet indique qu’il porte le protocole IP. Au niveau de la couche IP, nous voyons que le paquet a le bit Do Not Fragment défini et identifie que la charge utile est GRE.
-
La ligne 4 montre le décodage du paquet IP externe et de sa charge utile GRE. Les adresses IP source et de destination reflètent le tunnel GRE configuré sur l’interface fti0.1 à R2/PE1. L’en-tête GRE indique que sa charge utile est une trame de couche 2 via l’ID de protocole TEB (Ethernet Bridging) transparent. Cela confirme que la mise en miroir de ports distants sur les plateformes PTX avec un filtre de famille
anyentraîne la mise en miroir des trames de couche 2. -
La ligne 5 est le décodage de la charge utile du paquet GRE . Les adresses MAC source et de destination (de :99:7e :32 :ff :ff et 01:00:5e :00:00:05, respectivement) reflètent celles utilisées pour OSPF hello multicast au niveau de la couche de liaison. La ligne 5 indique également que la charge utile de la trame de couche 2 encapsulée par GRE est IP et que la charge utile du paquet IP est OSPF.
Remarque :L’échange de bonjour OSPF entre CE et PE est local dans un VPN de couche 3. Nous voyons les paquets OSPF envoyés par le CE local, car l’action de mise en miroir des ports à l’entrée a capturé tout le trafic. Les paquets Hello OSPF générés par le CE distant ne sont pas transportés sur le cœur et ne sont donc pas considérés comme sortants dans la capture.
-
La ligne 6 décode le bonjour OSPF envoyé par le routeur CE1. L’adresse IP source est affectée à l’interface et-0/0/0.0 de CE1. L’adresse IP de destination est utilisée pour le multicast OSPF.
-
Nous sautons le décodage OSPF et atterrissons à la ligne 16. Il s’agit de la deuxième image de la capture et reflète une demande d’écho ICMP IPv4. Une fois de plus, la trame de couche 2 reflète les adresses MAC des appareils P1/R3 et Analyzer 1. Nous voyons que la trame externe transporte un paquet IP avec une charge utile GRE. Les adresses IP source et de destination du paquet IP externe reflètent le tunnel GRE configuré à R2/PE2.
-
La ligne 18 commence le décodage de la charge utile GRE. Nous voyons à nouveau les adresses MAC des routeurs CE1 et PE1. Au niveau de la couche IP, nous voyons que le paquet est envoyé à partir de l’adresse de bouclage du routeur CE1. L’IP de destination est l’adresse de bouclage de CE2. La charge utile du paquet IP interne est la demande d’écho ICMP envoyée de CE1 à CE2.
-
La ligne 20 décode la réponse écho ICMP envoyée par CE2. Cela confirme que la mise en miroir des ports fonctionne à la fois dans le sens d’émission et de réception du CE1.
-
Ensuite, nous générons un seul ping IPv6 entre les routeurs CE tout en capturant sur l’interface eth2 de l’analyseur 2. Cela confirme la configuration du miroir des ports sur le routeur R3/P ainsi que la prise en charge de la mise en miroir des ports IPv6.
Remarque :Après la capture, nous avons collé la sortie tcpdump textuelle dans une application texte qui affiche les numéros de ligne. Cela facilite l’appel des parties clés de la capture. Nous avons également activé le retour à la ligne pour améliorer la visibilité.
Notez que le trafic des demandes et des réponses est affiché. Étant donné que cette mise en miroir de port se produit sur un routeur P, les paquets OSPF entre les routeurs CE ne sont pas mis en miroir car ils ne sont pas envoyés sur le cœur du fournisseur. Points à noter dans cette capture :
-
À la ligne 3, la trame Ethernet externe est décodée. Les adresses MAC source et de destination reflètent désormais les appareils R4/PE2 et Analyzer, respectivement.
-
À la ligne 4, le paquet IP interne est décodé. La trame indique l’encapsulation GRE, tandis que les adresses IP source et de destination confirment que ce trafic est mis en miroir sur le tunnel GRE fti0.1 configuré au niveau du routeur R3/P1. L’encapsulation GRE montre le protocole TEB, indiquant qu’une trame Ethernet de couche 2 est encapsulée.
-
La ligne 5 commence le décodage de la trame Ethernet interne et de sa charge utile MPLS. L’adresse MAC source est affectée à l’interface et-0/0/1 du routeur R2/PE1. L’adresse MAC de destination est associée à l’interface et-0/0/0 du routeur R3/P1.
La trame Ethernet interne identifie une charge utile de MPLS. Ceci est conforme à la mise en miroir de ports de couche 2 effectuée sur un routeur P avec des termes de filtre correspondant sur les étiquettes MPLS.
Notez que dans le sens CE1 à CE2, le trafic en miroir affiche deux étiquettes MPLS. L’étiquette de transport RSVP est 24 (cela peut changer en raison d’une nouvelle signalisation LSP) et l’étiquette VRF interne définie sur 23, qui est l’étiquette VRF associée à l’instance de routage CE1 sur le routeur R2/PE1.
Remarque :Au moment de cette capture, l’étiquette de transport MPLS utilisée par PE1 pour atteindre PE2 avait changé. Nous avons mis à jour la définition du filtre à R3/P1 pour refléter la valeur actuelle de l’étiquette de transport RSVP de 24 pour les captures de cette section.
-
La ligne 7 décode la charge utile IPv6 de la trame MPLS. Il s’agit du paquet IPv6 envoyé par CE1 au CE2. Le paquet IPv6 identifie sa charge utile comme ICMP6 et indique qu’il s’agit d’une demande d’écho.
-
La ligne 8 commence le décodage du trafic de réponse à partir de CE2. Dans le sens CE2 à CE1, une seule étiquette est présente dans le trafic miroir. Il s’agit de l’étiquette VRF qui reste après que le routeur R3/PE1 ait effectué l’avant-dernier saut (PHP) avant d’envoyer le trafic au routeur R2/PE1. À la sortie, le trafic s’est reflété dans la direction P1-PE2.
Les captures sur les deux équipements d’analyse confirment que la mise en miroir des ports distants fonctionne comme prévu.
-
-
Nous terminons par un décodage de l’interface graphique du même trafic de test CE à CE que celui capturé sur le périphérique Analyzer 2. Notez à nouveau la présence d’étiquettes MPLS reflétant un fonctionnement de mise en miroir de port sur un routeur PE basé sur MPLS.
La capture montre le trafic de test IPv4 et IPv6 mis en miroir. Cette capture reflète le trafic mis en miroir par le routeur P. Par conséquent, l’encapsulation MPLS est présente.
Annexe : Définir des commandes sur tous les routeurs
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
R1 (CE1)
del interfaces et-0/0/0 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2 (PE1) DUT1
set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror input run-length 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R3 (routeur P) DUT 2
set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror input run-length 0 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1 set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R4 (PE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce2 instance-type vrf set routing-instances ce2 protocols ospf area 0.0.0.0 interface all set routing-instances ce2 protocols ospf export ospf-export set routing-instances ce2 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce2 protocols ospf3 export ospf-export set routing-instances ce2 interface et-0/0/1.0 set routing-instances ce2 route-distinguisher 65001:2 set routing-instances ce2 vrf-target target:65001:100 set routing-options router-id 192.168.0.4 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.4 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.2 set protocols mpls label-switched-path pe1 to 192.168.0.2 set protocols mpls label-switched-path pe1 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all
R5 (CE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
Mises en garde et limitations
Cette section répertorie les mises en garde et les limitations de la mise en miroir de ports distants sur les plates-formes PTX.
-
Si la partie de sortie de la configuration de l’instance de mise en miroir des ports doit être modifiée, la configuration de sortie existante doit d’abord être supprimée et la modification validée, avant d’ajouter la nouvelle configuration.
-
Au total, 15 instances de miroir sont prises en charge. Il n’y a pas d’erreur de commit si le nombre d’instances de miroir de port distant dépasse 15.
-
Un paquet en miroir donné ne peut être envoyé qu’à un seul analyseur distant.
-
La longueur maximale des paquets peut être configurée en multiple de 128 octets. Le paquet exporté sera inférieur de 22 octets à la valeur configurée.
-
Plusieurs interfaces de sortie ne sont pas prises en charge dans une instance de mise en miroir donnée. Il n’y a pas d’erreur de commit si plusieurs interfaces de sortie sont configurées.
-
Le processus d’échantillonnage n’est pas pris en charge par GRES. Il y aura des pertes de trafic en miroir en cas d’événement GRES ou de redémarrage du
mirrordprocessus. -
Le trafic de tunnel qui arrive sur le routeur local ne peut pas être mis en miroir dans le sens de sortie.
-
Vous ne pouvez pas utiliser la mise en miroir des ports avec un filtre qui évoque une action de contrôle dans le sens de sortie.
-
Les statistiques relatives aux paquets mis en miroir doivent être vérifiées à l’aide de compteurs de pare-feu ou de statistiques d’interface FTI.