例:ファミリーanyとファイアウォールフィルターを使用したポートミラーリングの設定
概要
• ファミリー any
(ファミリー any
、 ccc
、 ethernet-switching
、または mpls
の場合)
ファミリ any
コンフィギュレーション オプションを使用して、4 つのファミリすべてを処理します。
ローカルポートミラーリングには [edit forwarding-options port-mirroring]
を、リモートポートミラーリングには [edit forwarding-options port-mirroring instance instance-name]
を使用しますが、どちらの設定でもファイアウォールフィルターが必要です。
次のテキストは、この機能を設定する際に知っておく必要のある注意事項と制限事項を示しています。
注意 事項
-
ポートミラーリングの出力設定を変更する必要がある場合は、まず既存の出力設定を削除してから、新しい出力設定を行います。
-
リモートポートミラーインスタンスの数が15を超えると、コミットエラーは表示されません。
-
ポートミラーインスタンスの数が15を超えると、パケット転送エンジンエラーメッセージが生成されます。ただし、既存のインスタンスの 1 つを削除しても、 16 番目の インスタンスは自動的にプログラムされません。最初に 16 番目のインスタンスを削除してから、再度追加する必要があります。
-
1つのサンプリングされたパケットは、1つのNMSデバイスにのみ送信できます。
-
各ファミリは 1 つのインスタンスを消費するため、
maximum number of instances = number of instances + number of families
-
FTI インターフェイスはループバック モードで動作する必要があります。
注:FTI インターフェイスは、リモート ポート ミラーリング設定に含まれています。
-
最大パケット長は 128 バイトの倍数として設定できます。エクスポートされたパケットは、設定された値より 22 バイト小さくなります。
-
同じインスタンスに複数のインターフェイスを設定しないでください。これらはサポートされておらず、同じインスタンスに対して複数のインターフェイスをコミットしようとしてもコミットエラーは発生しません。
-
ミラーデーモン(ミラー化)と GRES の再起動は、どちらも一時的に低下します。
-
エグレス方向のトンネル終端パケットはミラーリングされません。
-
エグレス方向での
port-mirror
とdiscard
を組み合わせたアクションはサポートされていません。 -
FTI インターフェイスのエグレス方向のジャンボ トラフィックはサポートされていません。
限界
-
エンタープライズ プロバイダ スタイルの L2 設定(
ethernet-switching
)は、ファミリーany
フィルターではサポートされていません。 -
1 つのサンプル パケットは、1 つのリモート ポート ミラー インスタンスにのみ送信できます。同じサンプル パケットを複数の NMS デバイスに送信することはできません。
-
ポートミラーリングされたパケットに関連する統計情報は、ファイアウォールフィルターまたはFTIを介して検証する必要があります。
-
エグレスのMPLSトラフィックは、ファミリー
any
フィルターではサポートされていません。 -
集合型イーサネット(ae)インターフェイスは、ファミリー
any
フィルターの発信インターフェイスとしてサポートされていません。
要件
-
PTX10008またはPTX10016
-
Junos OS Evolved リリース 22.2R1 以降
トポロジー
以下の例は、ファミリー any
とファイアウォールフィルターを使用したローカルポートミラーリングの設定を示しています。
設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
結果
構成の結果を確認します。
firewall { family any { filter mirror_to_analytics { term port-mirror { from { learn-vlan-id 1024-1055; } then count c1; then port-mirror; } term all-else { then accept; } } } } interfaces { ae10 { encapsulation flexible-ethernet-services; aggregated-ether-options { lacp { active; periodic fast; } } unit 1038 { encapsulation vlan-bridge; filter { input mirror_to_analytics; } vlan-id 1038; unit 1046 { encapsulation vlan-bridge; filter { input mirror_to_analytics; } vlan-id 1046; } } vlan-tagging; } et-0/0/0:3 { encapsulation ethernet ccc; unit 0 { family ccc; } forwarding-options { port-mirroring { input { rate 1; (We recommend 1:1000 so you don't mirror all the traffic.) } family any { output { interface et-0/0/0:3.0; } } } }