例:PTXルーターでのリモートポートミラーリングの設定
この例では、Junos Evolvedが稼働するPTXプラットフォームでローカルポートミラーリングを構成および検証する方法を示します。PTXプラットフォームには、PTX10004、PTX10008、PTX10016シャーシにPTX10001-36MR、LC1201、LC1202が含まれます
始める前に
| ハードウェア要件とソフトウェア要件 | Junos OS Evolvedリリース22.2R1.12-EVO以降。 PTX10001-36MR サポートされているプラットフォームと Junos OS バージョンの完全なリストについては、 機能エクスプローラーを参照してください。 |
| 推定読書時間 |
15分。 |
| 推定構成時間 |
30分 |
| ビジネスへの影響 |
ポートミラーは、デバッグやセキュリティ関連のタスクに不可欠なツールです。ミラーリングされたトラフィックをさまざまなツールでオフラインで分析し、プロトコルの相互作用、異常検知、または合法的な傍受による盗聴操作を分析できます。 |
| もっと知る |
ポートミラーリングの詳細については、ポートミラーリングとアナライザを参照してください |
| 詳細情報 |
ラーニングポータル |
機能概要
リモート ポート ミラーリングの機能概要では、この例で導入されているプロトコルと技術の概要を簡単に説明します。
| ルーティングおよびシグナリングプロトコル |
|
| OSPF および OSPF3 |
すべてのルーターは、OSPFとOSPF3をIGPとして実行します。すべてのプロバイダー ルーターは、エリア 0(バックボーン エリアとも呼ばれる)に属します。OSPF/OSPF3ルーティングドメインは、トポロジー内のすべてのネットワークとインターフェイスに内部到達可能性を提供します。CE ルーターは、OSPF と OSPF3 を使用して PE とルートを交換します。 |
| MPLS と RSVP | プロバイダ ルーターは、RSVP プロトコルを使用して MPLS LSP に信号を送ります。MPLS 上の IPv6 をサポートするために、IPv6 トンネリングが有効になっています。MPLSは、レイヤー3 VPNをサポートするために使用されます。 |
| MP-BGP | マルチプロトコルBGPは、顧客のVPNルートをアドバタイズするためにPEルーター間で使用されます。 |
| レイヤー 3 VPN | PEルーターは、VRFルーティングインスタンスを使用して、CEルーター向けのレイヤー3 VPNサービスとしてサポートします。顧客のトラフィックは、RSVP シグナル付き LSP のコア内部を経由します。MPLSベースのL3 VPNの運用の詳細については、 例: 基本的なMPLSベースのレイヤー3VPNの設定を参照してください。 |
| ルーテッド プロトコル |
|
| IPv4 および IPv6 |
すべてのルーターは、IPv4 と IPv6 の両方のルーティングをサポートするように構成されています。 |
| アナライザ(監視ステーション) |
|
| CentosとWireshark |
このアナライザーは、WiresharkのGUIバージョンでCentos 7.xを実行します。 |
トポロジの概要
この例では、MPLSベースのL3 VPNのコンテキストを使用して、PTXルーターのリモートポートミラーリング機能を実証します。L3 VPNは、カスタマーエッジ(CE)ルーターとプロバイダエッジ(PE)ルーター間のIPv4とIPv6の両方のトラフィックをサポートするように設定されています。
| ルーター名 | 役割 |
関数 |
| Ce | ポートミラーリングが正しく動作することを確認するためにテストトラフィックを送信するCE(カスタマーエッジ)ルーター。 | これらのルーターは、CE ルーターとして指定されます。CE ルーターは、プロバイダー ネットワークから L3 VPN サービスを取得します。CE は、プロバイダー ルーターと同じ OSPF ルーティング ドメインを共有しません。 |
| Pe | CE に接続された PE(プロバイダエッジ)ルーター。 | PEは、プロバイダーネットワークのエッジにあります。当社のPEは、ルーティングインスタンス、MP-BGP、RSVP、およびMPLSデータプレーンを使用してレイヤー3 VPNをサポートします。 PE1ルーターは、リモートポートミラーリングDUTの1つとして機能します。 |
| P | プロバイダー(P)コア ルーター。 | P ルーターは、BGP フリーのプロバイダー コア ルーターを表します。OSPF、OSPF3、MPLSトランスポートをサポートします。BGPを実行したり、VPNの状態を伝送したりすることはありません。 P ルータは、DAT をミラーリングするリモート ポート 1 つとして機能します。 |
| アナライザー | アナライザ デバイスは、保存と分析のためにミラー トラフィックを受信します。 | アナライザーの詳細は、このドキュメントの範囲外です。利用可能なオープンソースおよび商用オプションがいくつかあります。私たちのアナライザーは、WiresharkのGUIバージョンをサポートするGnomeデスクトップでCentos 7.xを実行しています。 |
トポロジーの図
この例では、プロバイダネットワークを介して送信されるCEトラフィックをミラーリングする 2 つの方法を示します。
-
最初の方法では、PE-CE VRF インターフェイスで全一致フィルターを使用します。
-
2 番目の方法は、プロバイダー(P)ルーターに適用される MPLS ラベル マッチング フィルターを示します。
PE1ルーター(R2)とPルーター(R3)は、リモートポートミラーリングが設定され、DUTSとして機能するルーターです。これらのルーターは、ファミリー any ファイアウォールフィルターを使用して、ポートミラーリングの選択されたトラフィックを照合します。イングレスフィルターとエグレスフィルターの組み合わせを使用して、CEルーター(R1とR5)間を流れる要求トラフィックと応答トラフィックの両方をミラーリングします。
リモートポートミラーリングは、GREカプセル化にトンネルを使用して、ミラーリングされたトラフィックをリモートアナライザデバイスに送信します。トポロジには2つのアナライザがあります。1 つは R2/PE1 ルーターに接続され、もう 1 つは R3/P ルーターに接続されています。これにより、CEトラフィックをミラーリングする2つの方法(1つはPEで、もう1つはコアPルーターで)を示すことができます。パケットのキャプチャと分析には、Wiresharkを備えたCentosホストを使用しています。
PTXプラットフォームは、フレキシブルトンネルインターフェイス(fti)インフラストラクチャを使用して、さまざまなトンネリングアプリケーションをサポートします。リモートポートミラーの場合、FTIインターフェイスにGREトンネルが設定され、ミラーリングされたトラフィックをリモートアナライザデバイスに転送します。この例では、fti ベースの GRE トンネル、ミラーリングインスタンス、ミラーリングするトラフィックを選択するファイアウォールフィルターを設定します。
R2/PE1の設定手順
CLIのナビゲーションについては、 設定モードでのCLIエディタの使用を参照してください
すべてのルーターの完全な設定については、「 付録 2: すべてのルーターでコマンドを設定する」を参照してください。
このセクションでは、この例でPE1/R2ルーターを設定するために必要な設定タスクについて説明します。付録では、すべてのルーターの完全な構成を示します。ステップ 1 は、この例のベースラインを要約したものです。このベースラインは、IPv4 および IPv6 接続、MPLS、レイヤー 3 VPN で構成されています。この例では、リモートポートミラーリングの設定と検証に重点を置いています。
L3 VPNの動作とベースライン設定の詳細については、 例:基本的なMPLSベースのレイヤー3VPNの設定を参照してください。
-
PE1ルーターでIPルーティングとL3 VPNベースラインを設定します。これには、次のものが含まれます。
-
IPv4 と IPv6 の両方のインターフェイスに番号を付け、コア フェーシング インターフェイスのサポートを含め
family mplsます。 -
すべてのネットワーク インターフェイス間の到達可能性を提供するように OSPF および OSPFv3 ルーティング プロトコルを設定する。
-
L3 VPNトラフィックをサポートするためのRSVPおよびMPLSラベルスイッチパス(LSP)。
-
PE ルーターのアドレス ファミリーとの
inet-vpnandinet6-vpn[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols rsvp interface all set protocols rsvp interface fxp0 disable
ベースラインをカバーしたので、残りのステップでは、CE1向けのVRFインターフェイスで送受信されるすべてのトラフィックをポートミラーリングするようにR2/PE1ルーターを構成することに焦点を当てます。
-
- まず、GRE トンネルの設定を行います。PTX ルーターでは、トンネルは fti インターフェイス上に実装されます。GRE トンネルの送信元または GRE トンネル送信元宛ての診断 ping テストを実行する予定がない限り、GRE トンネルの送信元アドレスはルーティング可能である必要はありません。PE1 によってミラーリングされるトラフィックの GRE 宛先は、アナライザ 1 ルータです。ミラートラフィックをアナライザに送信するには、この宛先に到達できる必要があります。パッシブIGPインスタンスを使用して、アナライザネットワークへのIGP到達可能性を確保します。
宛先アドレスは、P/R3ルーターの et-0/0/2 インターフェイスに接続されたアナライザ1デバイスにマッピングされます。PTXでリモートポートミラーリングをサポートするには、でFTI論理インターフェイス
family cccを設定する必要があります。これは、ミラーアクションがレイヤー2で発生するためです。set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc
メモ:パッシブIGPインスタンスは、アナライザデバイスに接続されたインターフェイス用にプロビジョニングされます。これにより、GREカプセル化されたミラーリングされたトラフィックのアナライザポートへのIGP到達可能性が提供されます。パッシブ設定では、キャプチャが乱雑になるため、アナライザへのhelloパケットの生成が防止されます。
さらに、診断テストの補助としてpingに応答できるように、アナライザデバイスに静的ルートを設定しました。厳密に言えば、リモートポートミラーリングが機能するために必要なのは、DUTとアナライザ間のシンプレックス接続またはルーティングのみです。
- サンプリング インスタンスを構成します。レート 1 を使用して、一致するすべてのパケットをサンプリングします。デフォルトの
run-length1は、一致するすべてのトラフィックがすでにサンプリングされている場合、そのまま残されます。ミラートラフィックの転送に使用する fti ルーターで論理インターフェイスを指定する必要があります。前のステップで GRE トンネルの fti0 インターフェイスで設定unit 1し、ミラーインスタンスの出力インターフェイスに同じインターフェイスとユニットが指定されるようにしました。[edit] set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1
メモ:オプションを使って
maximum-packet-length、[edit forwarding-options port-mirroring instance instance-name input]階層でミラーリングされたトラフィックの最大パケット長を指定できます。デフォルトでは、パケット長は 0 で、パケット全体がミラーリングされることを意味します。 -
CEトラフィックを照合し、ミラーリングする 2 つのファミリー
anyファイアウォール フィルターを定義します。CE1からCE2へのトラフィックをミラーリングするためのフィルターと、CE2からCE1へのミラーリング用の2つのフィルターが定義されています。フィルターには、検証を支援するカウント機能が含まれています。ポートミラーアクションは、一致するトラフィックを以前に設定したポートミラーリングインスタンスに誘導します。ファミリー
anyフィルターは、レイヤー 2 とレイヤー 3 の両方のマッチングをサポートしています。前者の場合、VLAN ID、インターフェイス、MACアドレス、またはMPLSラベルで照合できます。後者の場合、標準の IPv4 または IPv6 ヘッダー フィールドで照合できます。このトポロジーでは、CEが送受信したすべてのトラフィックをキャッチする 「 すべて一致」という条件を使用します。これには、IPv4、IPv6、ARP、LLDP、およびOSPFなどのルーティングプロトコルが含まれます。
[edit] set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set firewall family any filter ce2-ce1 term else then accept
どちらのフィルターも、Junosフィルターの最後にあるデフォルトの「すべて拒否」アクションを上書きする「すべて一致」条件で終わります。このようにして、最初の用語で一致しなかったトラフィックが受け入れられます。この項は、後で特定の一致条件が最初の項に追加された場合の保護手段として追加されます。
必要に応じて、フィルターでポリサーアクションを呼び出して、GREトンネルを介して送信されるミラーリングパケットの数を制限できます。ポリサーには、帯域幅とバースト制限、およびポリサーを超えるトラフィックに対する破棄アクションが定義されます。
ポリサーアクションのあるPMフィルターをエグレス方向に適用することはできません。メモ:CEデバイスのIPv4ループバックアドレス間で送信されたICMPトラフィックのみを照合する場合は、レイヤー3一致条件をフィルターに追加します。
set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-protocol icmp set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-source-address 172.16.1.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-destination-address 172.16.2.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept
-
R2/PE1のCE向けのインターフェイスにフィルターを適用します。この例では、 PE1のet-0/0/0インターフェイス へのフィルターの適用を意味します。フィルター アプリケーションの方向性に注意してください。イングレスおよびエグレスフィルターは、CEトラフィックフローの両方向をミラーリングするために必要です。
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
ここでは、完全を期すために、R2/PE1 の設定を中括弧形式で示しています。
system {
host-name r2-ptx;
}
interfaces {
et-0/0/0 {
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.12.2/24;
}
family inet6 {
address 2001:db8:10:0:12::2/64;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.23.1/24;
}
family inet6 {
address 2001:db8:10:0:23::1/64;
}
family mpls;
}
}
fti0 {
unit 1 {
description "GRE tunnel for remote port mirror";
tunnel {
encapsulation gre {
source {
address 10.100.0.1;
}
destination {
address 10.0.100.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.2/32;
}
family inet6 {
address 2001:db8:192:168:0::2/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
pe-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
policy-options {
policy-statement ospf-export {
term 1 {
from protocol bgp;
then accept;
}
}
}
firewall {
family any {
filter ce1-ce2 {
term mirror-ce1-ce2 {
then {
count ce1-ce2-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
filter ce2-ce1 {
term mirror-ce2-ce1 {
then {
count ce2-ce1-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
}
}
routing-instances {
ce1 {
instance-type vrf;
protocols {
ospf {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
ospf3 {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
}
interface et-0/0/0.0;
route-distinguisher 65001:1;
vrf-target target:65001:100;
vrf-table-label;
}
}
routing-options {
router-id 192.168.0.2;
autonomous-system 65001;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.2;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6-vpn {
unicast;
}
neighbor 192.168.0.4;
}
}
mpls {
label-switched-path pe2 {
to 192.168.0.4;
no-cspf;
}
ipv6-tunneling;
interface all;
interface fxp0.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
}
}
R3 の設定手順
CLIのナビゲーションについては、 設定モードでのCLIエディタの使用を参照してください
すべてのルーターの完全な設定については、「 付録 2: すべてのルーターでコマンドを設定する」を参照してください。
このセクションでは、この例で P/R3 ルータを設定するために必要な主な設定タスクについて説明します。まずは MPLSベースのL3 VPNベースラインから始めましょう。次に、MPLS トラフィックを照合し、MPLS トラフィックをミラーリングするように P ルータのリモート ポート ミラーリングを設定するために必要な手順を示します。
-
P/R3ルーターで、IPv4およびIPv6ルーティングとMPLSベースラインを設定します。これにはいくつかのことが含まれます。
-
IPv4 と IPv6 の両方のインターフェイスに番号を付け、コア フェーシング インターフェイスのサポートを含め
family mplsます。 -
OSPF および OSPFv3 ルーティング プロトコルを設定して、すべてのネットワーク インターフェイス間の到達可能性を提供します。
-
L3 VPNデータプレーンをサポートするためのRSVPとMPLS。P ルーターとして、BGP ピアリングおよび VRF 定義は存在しません。
[edit] set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable set protocols rsvp interface et-0/02.0 disable
P1/R3ルーターは、 et-0/0/2 インターフェイスを介してアナライザ1に接続します。ミラーリングされたトラフィックがGREカプセル化を使用してIPv4として到着するため、このインターフェイスでRSVPプロトコルとMPLSサポートを無効にします。LSP はアナライザには拡張されません。
メモ:ここで使用される et-0/0/2 インターフェイス設定は、アナライザがMACアドレス解決のためにDUTから送信されたARPおよびND要求に応答することを前提としています。そうでない場合、または ARP トラフィックをパケット キャプチャの一部にしたくない場合は、スタティック ARP エントリを設定する必要があります。DUTに接続されているアナライザデバイスのインターフェイスに正しいMACアドレスを指定してください。
ベースラインをカバーした後、次の手順では、P ルーターでの MPLS トラフィックのリモート ポート ミラーリングの設定に焦点を当てます。
-
- まず、GRE トンネルの定義について説明します。PTX プラットフォームでは、トンネルは fti インターフェイスに実装されます。GRE トンネルの送信元または GRE トンネル送信元宛ての診断 ping テストを実行する予定がない限り、GRE トンネルの送信元アドレスはルーティング可能である必要はありません。ミラーリングされたトラフィックのGRE宛先は、PE2/R4に接続されたアナライザ2デバイスです。ミラートラフィックをアナライザに送信するには、この宛先に到達できる必要があります。パッシブIGPインスタンスを使用して、アナライザネットワークへのIGP到達可能性を確保します。
PTXでリモートポートミラーリングをサポートするには、でFTI論理インターフェイス
family cccを設定する必要があります。これは、ミラーアクションがレイヤー2で発生するためです。[edit] set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc
メモ:パッシブIGPインスタンスは、アナライザデバイスに接続されたインターフェイス用にプロビジョニングされます。これにより、GREカプセル化されたミラーリングされたトラフィックのアナライザポートへのIGP到達可能性が提供されます。パッシブ設定では、パケットキャプチャが乱雑になるため、アナライザへのhelloパケットの生成が防止されます。
さらに、診断テストの補助としてpingに応答できるように、アナライザデバイスに静的ルートを設定しました。厳密に言えば、リモートポートミラーリングが機能するために必要なのは、DUTとアナライザ間のシンプレックス接続またはルーティングのみです。
- サンプリング インスタンスを構成します。レート1を使用して、一致するすべてのパケットを選択してサンプリングします。デフォルトでは は
run-length1 です。一致するすべてのトラフィックがレート 1 でサンプリングされることを考えると、これは問題ありません。ミラートラフィックの送信に使用する fti ルーターで論理インターフェイスを指定する必要があります。前のステップで fti インターフェースにユニット 1 を設定して、同じユニットがミラーインスタンスの出力インターフェースとして指定されるようにしました。[edit] set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1
-
CEルーター間で送信されるトラフィックをミラーリングするファイアウォールフィルターを定義します。
ファミリー
anyフィルターは、レイヤー 2 一致タイプのみを許可します。たとえば、VLAN ID、インターフェイス、MACアドレス、MPLSラベルなどです。そのため、IPv4 または IPv4 固有の一致条件を使用することはできません。CE 間のトラフィック フローの各方向に 1 つずつ、合計 2 つのフィルタが定義されています。
P ルータで VPN トラフィックをミラーリングするという目標を考慮して、フィルタは、2 つの PE ルータ間の MPLS トラフィック フローを識別する特定のラベルに一致するように記述されています。
CE1からCE2方向の場合、フィルターは、PE1がPE2に到達するために使用するRSVPトランスポートラベルで一致します。PHPとエグレスアプリケーションにより、CE2からCE1の方向で使用されるフィルターは、PE1からPE2によってアドバタイズされたVRFラベルと一致します。トラフィックが一致すると、前に定義されたミラーリングインスタンスに対してポートミラーアクションが呼び出されます。フィルターには、適切な動作の確認を支援するカウント機能が含まれています。
これらのコマンドを使用して正しいラベルを決定しました。
-
CE1からCE2に送信されたトラフィックの場合、現在のRSVPトランスポートラベルが コマンドとともに
show rsvp session ingress detail表示されます。これは、MPLSを使用してPE2に到達するためにPE1が使用するRSVP割り当てラベルです。この PE ペア間で送信されるすべての VPN トラフィックは、同じ RSVP トランスポートを使用することに注意してください。結果として得られるフィルターは、PE ルーターの CE1 VRF に固有ではありません。user@r2-ptx> show rsvp session ingress detail Ingress RSVP: 1 sessions 192.168.0.4 From: 192.168.0.2, LSPstate: Up, ActiveRoute: 0 LSPname: pe2, LSPpath: Primary LSPtype: Static Configured Suggested label received: -, Suggested label sent: - Recovery label received: -, Recovery label sent: 22 Resv style: 1 FF, Label in: -, Label out: 22 Time left: -, Since: Tue Apr 18 12:58:47 2023 Tspec: rate 0bps size 0bps peak Infbps m 20 M 1500 Port number: sender 2 receiver 65196 protocol 0 PATH rcvfrom: localclient Adspec: sent MTU 1500 Path MTU: received 1500 PATH sentto: 10.0.23.2 (et-0/0/1.0) 1 pkts RESV rcvfrom: 10.0.23.2 (et-0/0/1.0) 1 pkts, Entropy label: Yes Record route: <self> 10.0.23.2 10.0.34.2 Total 1 displayed, Up 1, Down 0
この場合、出力は、RSVP ラベル 22 が PE1/R2 ルーターに割り当てられ、PE2/R4 ルーターの LSP エグレスに到達していることを示しています。
-
CE2からCE1に送信されるトラフィックの場合、VRFラベルで一致する必要があります。これは、P ルータが最後から 2 番目のホップ ノードであり、エグレス インターフェイス上で RSVP トランスポート ラベルをポップするためです。これにより、スタックの一番下として VRF ラベルに残ります。コマンドで
show route advertising-protocol bgp remote-peer-address detail、PE1 から PE2 にアドバタイズされた VRF ラベルを確認します。このコマンドは、ローカル PE によってアドバタイズされたルートと、ルーティング インスタンスにバインドされた VRF ラベルを表示します。user@r2-ptx> show route advertising-protocol bgp 192.168.0.4 detail ce1.inet.0: 7 destinations, 8 routes (7 active, 0 holddown, 0 hidden) * 10.0.12.0/24 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65001] I Communities: target:65001:100 * 172.16.1.1/32 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65001] I Communities: target:65001:100 rte-type:0.0.0.0:1:0 . . .出力は、PE1がCE1ルーティングインスタンスに関連付けられたルートのPE2ルーターにVRFラベル16をシグナリングしたことを示しています。
前のコマンドの情報を使用して、ファイアウォールフィルターで照合するRSVP/VRFラベルがわかります。
[edit] set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept
フィルターは match all accept 条件で終了し、Junos フィルターの最後にあるデフォルトの deny all を上書きします。このようにして、最初の用語で一致しなかったトラフィックが受け入れられます。これは、このインターフェイスを使用する他のすべてのトラフィックが中断されないようにするために重要です。
メモ:RSVP ラベルは、リンク障害やその他の設定変更による LSP 再シグナリングが原因で変わることがあります。フィルターを使用して特定のラベルを照合し、ミラーリングされるトラフィックを制約する方法を示します。いつでも一致フィルタを適用して、MPLSラベルの変更がミラーリングに影響しないようにすることができます。match all アプローチの欠点は、P ルータ インターフェイスで受信したすべてのトラフィックをミラーリングして、コア プロトコルと非 VPN トラフィックを含めることです。
-
-
P/R3 ルーターの PE1 向けのインターフェイスにフィルターを適用します。フィルター アプリケーションの方向性は重要です。当社のフィルターは、CE1からCE2のトラフィックでは入力方向、CE2からCE1のトラフィックではエグレス方向で動作するように設計されています。これらはファミリー Any フィルタであるため、IPv4 または IPv6 に依存しないユニット レベルで適用されます。ファミリー すべてのフィルターは、プロトコルファミリーから独立したレイヤー2で動作します。
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
ここでは、完全を期すために、R2/PE1 の設定を中括弧形式で示しています。
system {
host-name r3-ptx;
}
interfaces {
et-0/0/0 {
description "R3-R2 P-PE";
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.23.2/24;
}
family inet6 {
address 2001:db8:10:0:23::2/64;
}
family mpls;
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.34.1/24;
}
family inet6 {
address 2001:db8:10:0:34::1/64;
}
family mpls;
}
}
et-0/0/2 {
unit 0 {
family inet {
address 10.0.100.2/24;
}
}
}
fti0 {
unit 1 {
tunnel {
encapsulation gre {
source {
address 10.100.0.3;
}
destination {
address 10.0.200.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
family inet6 {
address 2001:db8:192:168:0::3/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
p-router-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
firewall {
family any {
filter ce1-ce2 {
term ce1-ce2-mirror {
from {
mpls-label 22;
}
then {
count ce1-ce2-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
filter ce2-ce1 {
term ce2-ce1-mirror {
from {
mpls-label 16;
}
then {
count ce2-ce1-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
}
}
routing-options {
router-id 192.168.0.3;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
interface et-0/0/2.0 {
disable;
}
}
}
検証
この例では、ポートミラーリングが設定されている2つのDUTがあります。検証メカニズムは同じです。どちらの場合も、フィルターが予想されるトラフィックで一致していること、およびミラーリングされたパケットが関連付けられたアナライザに送信されることを確認します。
この設定では、PEミラーリングされたトラフィックはアナライザ1に送信され、Pルーターミラーリングされたトラフィックはアナライザ2に送信されます。必要に応じて、ミラーリングされたすべてのトラフィックを同じ宛先に送信できますが、ポートミラーリングが複数の場所で同時に発生すると、トラフィックが散在することになります。
これらの手順は、必要に応じてDUTルーターのいずれかまたは両方で実行できます。R2/PE1は最初のDUTで、Pルーター/R3は2番目のDUTです。
-
OSPF および OSPF3 ネイバーを確認し、すべてのループバック アドレスにルートします。また、リモート アナライザの IP アドレスへのルートを確認します。IPv4 パケットをリモート アナライザに送信できる必要があります。オプションで、アナライザにスタティックルートを設定して応答できるようにすることもできます。
user@r2-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.2 et-0/0/1.0 Full 192.168.0.3 128 36 user@r2-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.3 et-0/0/1.0 Full 128 36 Neighbor-address fe80::569e:18ff:fe45:ffff user@r2-ptx> show route protocol ospf | match /32 192.168.0.3/32 *[OSPF/10] 2d 22:41:49, metric 1 192.168.0.4/32 *[OSPF/10] 2d 22:41:49, metric 2 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 172.16.1.1/32 *[OSPF/10] 2d 22:41:45, metric 1 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 user@r2-ptx> show route protocol ospf3 | match /128 2001:db8:192:168::3/128 2001:db8:192:168::4/128 ff02::5/128 *[OSPF3/10] 2d 22:47:10, metric 1 2001:db8:172:16:1::1/128 ff02::5/128 *[OSPF3/10] 2d 21:38:06, metric 1
メモ:上記の出力では、172.16.1.1/32ルートがルーティングインスタンスで
ce1学習されています。したがって、このコマンドを使用すると、コアエッジとカスタマーエッジの両方で適切なOSPF動作が確認されます。リモートCEループバックはBGPルートとして学習されるため、ローカルCE1ループバックのみがリストされます。アナライザに接続されたインターフェイスに設定されたパッシブIGPインスタンスは、必要なIP接続性を提供しました。ここでも、アナライザに静的ルートを追加して、診断テスト用のリターン トラフィックを許可します。
user@r2-ptx> show route 10.0.100.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.100.0/24 *[OSPF/10] 2d 22:49:10, metric 2 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> show route 10.0.200.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.200.0/24 *[OSPF/10] 1d 20:36:13, metric 3 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> ping 10.0.100.1 count 2 PING 10.0.100.1 (10.0.100.1) 56(84) bytes of data. 64 bytes from 10.0.100.1: icmp_seq=1 ttl=63 time=5.48 ms 64 bytes from 10.0.100.1: icmp_seq=2 ttl=63 time=4.91 ms --- 10.0.100.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 4.908/5.196/5.484/0.288 ms -
fti インターフェイスと GRE トンネルのステータスを確認します。
user@r2-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 12887342 Input packets: 0 Output packets: 99020 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 12887342 0 bps Input packets: 0 0 pps Output packets: 99020 0 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-Primary出力のハイライトは、トンネル インターフェイスと GRE トンネルが動作していることを示します。0以外の出力パケットカウンターは、トラフィックがミラーリングされていることを示す良い兆候です。このGREトンネルはミラーリングされたトラフィックをリモートアナライザに送信するためにのみ使用されるため、入力パケットは想定されていません。
-
ポートミラーリングインスタンスを確認します。ポートミラーリングの状態
upは であり、正しいミラーリングインターフェイスが宛先の下にリストされているはずです。ファミリーanyは、プロトコルファミリーに依存しないレイヤー2ポートミラーインスタンスであることを示しています。ミラーリングされたトラフィックには、元のレイヤー2フレームとそのコンテンツが含まれます。user@r2-ptx> show forwarding-options port-mirroring Instance Name: pe-mirror Instance Id: 1 Input parameters: Rate : 1 Run-length : 1 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop any up fti0.1 NA -
DUTのファイアウォールカウンターとインターフェイス統計情報をクリアします。次に、CEルーターループバックアドレス間に既知の数のIPv4およびIPv6テストパケットを生成します。
user@r2-ptx> clear firewall all user@r2-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 4 PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. 64 bytes from 172.16.2.1: icmp_seq=1 ttl=61 time=1237 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=61 time=178 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=61 time=507 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=61 time=417 ms --- 172.16.2.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3066ms rtt min/avg/max/mdev = 177.830/584.676/1237.435/395.575 ms, pipe 2 user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 4 64 bytes from 2001:db8:172:16:2::1: icmp_seq=1 ttl=62 time=978 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=2 ttl=62 time=621 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=3 ttl=62 time=782 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=4 ttl=62 time=920 ms --- 2001:db8:172:16:2::1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 621.122/825.114/978.021/137.715 ms
-
R2/PE1に戻り、ファイアウォールカウンターとインターフェイスの統計情報を表示し、テストトラフィックが反映されていることを確認します。CE12ルーターとPE1ルーター間のOSPF、OSPF3、またはARP交換を反映する、CE1からCE 2の方向にカウントされる余分なパケットが表示される場合があります。CE12 から CE1 方向では、エグレス方向のフィルター アプリケーションはエンドツーエンドのトラフィックのみをキャッチすることに注意してください。したがって、CE2-CE1カウンターには、生成されたテストトラフィックが反映されます。
user@r2-ptx> show firewall Filter: ce1-ce2 Counters: Name Bytes Packets ce1-ce2-mirror 1353 13 Filter: ce2-ce1 Counters: Name Bytes Packets ce2-ce1-mirror 752 8
リモート アナライザにトラフィックをミラーリングするために使用される fti0./1 インターフェイスのインターフェイス統計情報を表示します。
user@r3-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 2424 Input packets: 0 Output packets: 20 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 2424 2096 bps Input packets: 0 0 pps Output packets: 20 2 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-Primary8 つのテスト パケットが生成されたので、fti0.1 インターフェイスのエグレスのパケット カウントが 20 であることに驚かれるかもしれません。まず、CE1ルーターから送信されたOSPFとOSPF3の両方のhellosパケットがミラーリングされていることを思い出してください。次に、ping 要求と応答の両方が PE1/R2 でミラーリングされていることを考慮します。つまり、8 つの ping 要求と 8 つの応答があり、合計 16 の ICMP テスト パケットがあるということです。
-
tcpdumpまたは任意の分析アプリケーションを監視ステーションで実行し、ミラーリングされたテストトラフィックの受信と処理を確認します。このセットアップには、2つのアナライザデバイス、正確には2つのインターフェイスを備えた1つのアナライザホストがあります。必要に応じて、両方のアナライザ インターフェイスで同時にこの手順を実行できます。アナライザ 2 の eth2 インターフェイスにミラーリングされたトラフィックは、P ルーター/R3 でミラーリングされるため、MPLS カプセル化が含まれることを思い出してください。R1/PE1 からミラーリングされたトラフィックには、MPLS カプセル化は含まれません。
まず、R2/PE1 からミラーリングされたトラフィックを受信する eth1 インターフェイス上のキャプチャから始めます。キャプチャを開始した後、CEルーター間で単一のIPv4 pingを実行します。
メモ:キャプチャ後、テキストベースのtcpdump出力を、行番号を表示するテキストアプリケーションに貼り付けました。これにより、キャプチャの重要な部分を簡単に呼び出すことができます。また、視認性を向上させるために行の折り返しを有効にしました。
キャプチャで注意すべき領域は次のとおりです。
-
eth1インターフェイスでtcpdumpを呼び出し、名前解決を防止し、詳細を提供し、最大400バイトをキャプチャし、レイヤー2ヘッダーを含めるフラグを含めます。
-
回線 3 は、最初のレイヤー 2 フレームと IP パケットの開始です。イーサネットフレームは、ローカルに接続されたアナライザデバイスにトラフィックを送信するためにR3/P1ルーターが使用するカプセル化です。宛先MACアドレスは、アナライザ1の eth1 インターフェイスが所有しています。100.0.100.1 IPからMACアドレスへの解決は、ARPを介して実行されます。イーサネットフレームは、IPプロトコルを伝送していることを示しています。IP レイヤーでは、パケットに Don't Fragment ビットが設定されており、ペイロードが GRE であることがわかります。
-
4行目は、外部IPパケットとそのGREペイロードのデコードを示しています。送信元と宛先の IP アドレスは、R2/PE1 の fti0.1 インターフェイスに設定された GRE トンネルを反映しています。GREヘッダーは、透過イーサネットブリッジング(TEB)プロトコルIDを介して、そのペイロードがレイヤー2フレームであることを識別します。これにより、ファミリー
anyフィルターを備えたPTXプラットフォームでのリモートポートミラーリングが、レイヤー2フレームのミラーリングにつながることが確認されます。 -
5行目は、GREパケットのペイロードのデコードです。送信元と宛先の MAC アドレス(de:99:7e:32:ff:ff と 01:00:5e:00:00:05)は、リンク層での OSPF hello マルチキャストに使用されるアドレスを反映しています。また、5行目は、GRE カプセル化レイヤー 2 フレームのペイロードが IP であり、IP パケットのペイロードが OSPF であることも示しています。
メモ:CE と PE 間の OSPF hello 交換は、レイヤー 3 VPN 内でローカルで行われます。ローカルCEから送信されたOSPFパケットがあるのは、イングレス時のポートミラーアクションがすべてのトラフィックをキャプチャしたためです。リモート CE によって生成された OSPF hello パケットは、コア経由で転送されないため、キャプチャではエグレスと見なされません。
-
6行目は、CE1ルーターから送信されたOSPF helloをデコードします。送信元IPアドレスは、CE1の et-0/0/0.0 インターフェイスに割り当てられます。宛先 IP アドレスは OSPF マルチキャストに使用されます。
-
OSPFデコードをスキップして16行目に着陸します。これはキャプチャの 2 番目のフレームで、IPv4 ICMP エコー要求を反映しています。ここでも、レイヤー2フレームにはP1/R3デバイスとアナライザ1デバイスのMACアドレスが反映されます。外側フレームがGREペイロードを持つIPパケットを伝送していることがわかります。外部 IP パケットの送信元と宛先の IP アドレスは、R2/PE2 で設定された GRE トンネルを反映しています。
-
18 行目は、GRE ペイロードのデコードを開始します。CE1およびPE1ルーターのMACアドレスが再び表示されます。IP層では、パケットがCE1ルーターのループバックアドレスから送信されていることがわかります。宛先 IP は CE2 のループバック アドレスです。内部 IP パケットのペイロードは、CE1 から CE2 に送信される ICMP エコー要求です。
-
20行目は、CE2によって送信されたICMPエコー応答をデコードします。これにより、ポートミラーリングがCE1の送信方向と受信方向の両方で機能していることを確認します。
-
次に、アナライザー2の eth2 インターフェイスでキャプチャしながら、CEルーター間で単一のIPv6 pingを生成します。これにより、R3/P ルーターのポートミラー設定と IPv6 ポートミラーリングのサポートが確認されます。
メモ:キャプチャ後、テキストベースのtcpdump出力を、行番号を表示するテキストアプリケーションに貼り付けました。これにより、キャプチャの重要な部分を簡単に呼び出すことができます。また、視認性を向上させるために行の折り返しを有効にしました。
要求トラフィックと応答トラフィックの両方が表示されることに注意してください。このポートミラーがPルーター上で発生する場合、CEルーター間のOSPFパケットはプロバイダーコアを介して送信されないため、ミラーリングされません。このキャプチャで注意すべき点は次のとおりです。
-
3 行目で、外側のイーサネット フレームがデコードされます。送信元と宛先のMACアドレスには、それぞれR4/PE2とアナライザデバイスが反映されます。
-
4行目で、内部IPパケットがデコードされます。フレームは GRE カプセル化を示しており、送信元 IP と宛先 IP は、このトラフィックが R3/P1 ルーターで設定された fti0.1 GRE トンネル上にミラーリングされていることを確認します。GRE カプセル化は TEB プロトコルを示しており、レイヤー 2 イーサネット フレームがカプセル化されていることを示します。
-
5行目は、内側イーサネットフレームとそのMPLSペイロードのデコードを開始します。送信元MACアドレスは、R2/PE1ルーターの et-0/0/1 インターフェイスに割り当てられます。宛先MACは、R3/P1ルーターの et-0/0/0 インターフェイスに関連付けられています。
内側のイーサネット フレームは、MPLS のペイロードを識別します。これは、MPLS ラベルでフィルター条件が一致する P ルーターで実行されるレイヤー 2 ポート ミラーリングと一致します。
CE1からCE2の方向では、ミラーリングされたトラフィックに2つのMPLSラベルが表示されています。RSVP トランスポートラベルは 24(LSP の再シグナリングにより変更される可能性があります)で、内側 VRF ラベルは 23 に設定されています。これは、R2/PE1 ルーターの CE1 ルーティング インスタンスに関連付けられた VRF ラベルです。
メモ:このキャプチャの時点で、PE1がPE2に到達するために使用するMPLSトランスポートラベルは変更されていました。R3/P1 でのフィルター定義を更新し、このセクションのキャプチャの現在の RSVP トランスポート ラベル値 24 を反映しました。
-
7行目は、MPLS フレームの IPv6 ペイロードをデコードしています。これは、CE1からCE2に送信されたIPv6パケットです。IPv6 パケットは、そのペイロードを ICMP6 として識別し、これがエコー要求であることを示します。
-
8行目は、CE2からの応答トラフィックのデコードを開始します。CE2からCE1への方向では、ミラートラフィックには1つのラベルしか存在しません。これは、R3/PE1ルーターがR2/PE1ルーターにトラフィックを送信する前に最後から2番目のホップポッピング(PHP)を実行した後に残るVRFラベルです。トラフィックは、P1からPE2方向のエグレスでミラーリングされました。
両方のアナライザ デバイスでのキャプチャにより、リモート ポート ミラーリングが期待どおりに動作していることを確認します。
-
-
最後に、Analyzer 2デバイスでキャプチャされたものと同じCEからCEへのテストトラフィックをGUIデコードします。MPLSベースのPEルーターでのポートミラー動作を反映したMPLSラベルの存在に再度注意してください。
このキャプチャには、IPv4 と IPv6 の両方のテスト トラフィックがミラーリングされている様子が示されています。このキャプチャーは、P ルーターによってミラーリングされたトラフィックを反映します。その結果、MPLSカプセル化が存在します。
付録:すべてのルーターでコマンドを設定する
この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
R1(CE1)
del interfaces et-0/0/0 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2(PE1)DUT1
set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror input run-length 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R3(Pルーター)DUT 2
set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror input run-length 0 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1 set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R4(PE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce2 instance-type vrf set routing-instances ce2 protocols ospf area 0.0.0.0 interface all set routing-instances ce2 protocols ospf export ospf-export set routing-instances ce2 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce2 protocols ospf3 export ospf-export set routing-instances ce2 interface et-0/0/1.0 set routing-instances ce2 route-distinguisher 65001:2 set routing-instances ce2 vrf-target target:65001:100 set routing-options router-id 192.168.0.4 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.4 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.2 set protocols mpls label-switched-path pe1 to 192.168.0.2 set protocols mpls label-switched-path pe1 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all
R5 (CE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
注意事項と制限事項
このセクションでは、PTXプラットフォームでのリモートポートミラーリングに関する注意事項と制限事項を示します。
-
ポートミラーリングインスタンス設定の出力部分を変更する必要がある場合は、新しい設定を追加する前に、既存の出力設定を削除して変更をコミットする必要があります。
-
合計 15 のミラーインスタンスがサポートされています。リモートポートミラーインスタンスの数が15を超えても、コミットエラーは発生しません。
-
特定のミラーリングされたパケットは、1 つのリモート アナライザにのみ送信できます。
-
パケットの最大長は、128 バイトの倍数として設定できます。エクスポートされるパケットは、設定された値より 22 バイト小さくなります。
-
特定のミラーリングインスタンスでは、複数の出力インターフェイスはサポートされていません。複数の出力インターフェイスが設定されている場合、コミット エラーは発生しません。
-
サンプリングプロセスは GRES をサポートしていません。GRES イベントやプロセスの再起動
mirrordが発生した場合、ミラーリングされたトラフィックがドロップされます。 -
ローカルルーターで終端するトンネルトラフィックは、エグレス方向にミラーリングできません。
-
ポートミラーリングは、エグレス方向のポリサーアクションを呼び起こすフィルターでは使用できません。
-
ミラーリングされたパケットに関連する統計情報は、ファイアウォール カウンターまたは FTI インターフェイス統計情報で確認する必要があります。