EVPN-VXLAN 환경에서 MAC 필터링, 스톰 컨트롤 및 포트 미러링 지원
주니퍼는 MAC 필터링, 스톰 제어, 포트 미러링 및 EVPN-VXLAN(Ethernet VPN-Virtual Extensible LAN) 오버레이 네트워크에서 분석을 지원합니다.
인터페이스 구성을 위해 엔터프라이즈 스타일을 사용하여 이러한 각 기능을 지원합니다.
또한 인터페이스 구성에 SP(Service Provider) 스타일을 사용하여 이러한 기능을 지원하지만 몇 가지 제한 사항이 있습니다.
-
SP 스타일 인터페이스 구성을 사용하여 입력 방향의 방화벽 필터를 사용한 포트 미러링을 지원하지만 출력 방향에서는 지원하지 않습니다.
-
주니퍼는 SP 스타일 물리적 인터페이스 구성의 단일 논리적 인터페이스에 대해서만 스톰 제어를 지원합니다. SP 스타일 구성의 여러 논리적 인터페이스에서는 스톰 컨트롤을 구성할 수 없습니다.
-
하드웨어 제한으로 인해 논리적 인터페이스에 적용된 스톰 컨트롤은 기본 물리적 인터페이스에도 적용됩니다.
-
스톰 제어가 구성된 논리적 인터페이스는 스톰을 기록하지만 물리적 인터페이스의 모든 논리적 인터페이스는 스톰 제어를 트리거할 수 있습니다.
-
주니퍼는 EVPN-VXLAN 에지 라우팅 브리징(ERB) 오버레이에서만 이러한 기능을 지원하며, 이는 IP 패브릭이 축소된 EVPN-VXLAN 토폴로지라고도 합니다. 이 오버레이 네트워크에는 다음과 같은 구성 요소가 포함되어 있습니다.
-
주니퍼 네트웍스 스위치의 단일 레이어(예: QFX10002, QFX5120 또는 QFX5110 스위치)는 각각 레이어 3 스파인 디바이스 및 레이어 2 리프 디바이스의 역할을 합니다.
-
스파인 리프 디바이스에 대한 액티브/액티브 모드의 단일 호밍 또는 멀티호밍인 고객 에지(CE) 디바이스.
주니퍼는 일부 플랫폼에서 EVPN-VXLAN을 통한 로컬 및 원격 포트 미러링을 모두 지원합니다.
-
local - 패킷이 동일한 디바이스의 대상으로 미러링됩니다.
-
remote—패킷이 원격 디바이스의 대상으로 미러링됩니다.
EVPN-VXLAN과 함께 원격 포트 미러링을 사용하려면 VXLAN 캡슐화를 통한 원격 포트 미러링 의 기능 탐색기 페이지에서 지원되는 플랫폼과 릴리스를 확인하십시오.
EVPN-VXLAN을 사용한 로컬 또는 원격 포트 미러링에 대한 자세한 내용은 포트 미러링 및 분석기를 참조하십시오.
이 항목에는 다음 정보가 포함됩니다.
EVPN-VXLAN 환경에서 MAC 필터링, 스톰 컨트롤 및 포트 미러링 지원의 이점
-
MAC 필터링을 사용하면 수신 CE 대면 인터페이스에서 패킷을 필터링하고 수락할 수 있으므로 이더넷 스위칭 테이블과 VXLAN의 트래픽에서 관련 MAC 주소의 볼륨을 줄일 수 있습니다.
-
스톰 컨트롤을 사용하면 EVPN-VXLAN 인터페이스의 트래픽 레벨을 모니터링할 수 있으며, 지정된 트래픽 레벨을 초과하면 브로드캐스트, 알 수 없는 유니캐스트 및 멀티캐스트(BUM) 패킷을 드롭하고 일부 주니퍼 네트웍스 스위치에서는 지정된 시간 동안 인터페이스를 비활성화할 수 있습니다. 이 기능은 과도한 트래픽으로 인해 네트워크 성능이 저하되는 것을 방지할 수 있습니다.
-
포트 미러링 및 분석기를 사용하면 EVPN-VXLAN 환경에서 패킷을 패킷 수준까지 트래픽을 분석할 수 있습니다. 이 기능을 사용하여 네트워크 사용 및 파일 공유와 관련된 정책을 시행하고 특정 스테이션 또는 애플리케이션의 비정상적이거나 과도한 대역폭 사용을 찾아 문제 소스를 식별할 수 있습니다.
MAC 필터링
MAC 필터링을 사용하면 MAC 주소를 필터링하고 트래픽을 수락할 수 있습니다. 주니퍼는 일반적으로 VXLAN 캡슐화가 활성화되지 않는 인터페이스인 수신 CE 대면 인터페이스에서만 이 기능을 지원합니다. 이 기능을 사용하려면 다음을 수행해야 합니다.
-
계층에 구성된
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]레이어 2 인터페이스에 방화벽 필터를 적용합니다.
| 일치 조건 |
인터페이스 입력 필터 지원 |
인터페이스 출력 필터 지원 |
|---|---|---|
| 소스 MAC 주소 |
X |
X |
| 대상 MAC 주소 |
X |
X |
| 사용자 VLAN ID |
X |
X |
| 소스 포트 |
X |
|
| 목적지 포트 |
X |
|
| 에테르형 |
X |
|
| IP 프로토콜 |
X |
|
| IP 우선 순위 |
X |
|
| ICMP 코드 |
X |
|
| TCP 플래그 |
X |
|
| IP 주소 |
X |
|
Junos OS 릴리스 18.4R1에서 QFX5100 및 QFX5110 스위치는 인터페이스에서만 MAC 필터링을 지원합니다. 또한 Junos OS 릴리스 18.4R2 및 이후 릴리스부터 QFX5100, QFX5110, QFX5120-48Y 및 EX4650-48Y 스위치도 VXLAN 매핑 VLAN에서 MAC 필터링을 지원합니다. Junos OS 릴리스 22.2는 QFX10002, QFX10008 및 QFX10016 디바이스의 순수 IPv6 언더레이를 위한 Mac 필터링 및 전송 VNI 매칭을 지원합니다.
| 일치 조건 |
인터페이스 입력 필터 지원 |
인터페이스 출력 필터 지원 |
|---|---|---|
| 소스 MAC 주소 |
X |
|
| 대상 MAC 주소 |
X |
|
| 사용자 VLAN ID |
|
|
| 소스 포트 |
X |
X |
| 목적지 포트 |
X |
X |
| 에테르형 |
X |
X |
| IP 프로토콜 |
X |
|
| IP 우선 순위 |
X |
X |
| ICMP 코드 |
X |
X |
| TCP 플래그 |
X |
X |
| IP 주소 |
X |
X |
QFX10000 스위치에서 MAC 필터를 구성할 때는 다음 사항에 유의하십시오.
-
인터페이스에만 필터를 적용할 수 있습니다. VXLAN 매핑 VLAN에는 필터를 적용할 수 없습니다.
-
동일한 방화벽 필터에서 레이어 2 일치 조건과 레이어 3/레이어 4 일치 조건의 혼합을 지원하지 않습니다. 예를 들어, QFX10002 스위치의 동일한 방화벽 필터에 소스 MAC 주소 및 소스 포트 일치 조건을 포함하면 방화벽 필터가 작동하지 않습니다.
-
사용자 VLAN ID 일치 조건은 지원하지 않습니다. 따라서 각각 특정 VLAN에 매핑되는 논리적 인터페이스를 필터링해야 하는 경우, 물리적 인터페이스 및 관련 논리적 인터페이스를 구성할 때 서비스 프로바이더 스타일의 구성을 사용해야 합니다. 방화벽 필터를 생성한 후 각 논리적 인터페이스에 필터를 적용하여 사용자 VLAN ID 일치 조건의 효과를 달성해야 합니다.
- Junos OS 릴리스 22.2에서는 QFX10002, QFX10008 및 QFX10016 디바이스용 레이어 3 인터페이스의 전송 트래픽에 대한 소스/대상 IP 외부 헤더의 VxLAN 네트워크 ID(VNI) 일치에 대한 지원도 구현됩니다. VNI 일치는 외부 헤더와 수신 트래픽에서만 이루어집니다. 터널 패킷을 라우팅하는 전송 디바이스에서 MAC 필터링은 일치 조건으로 외부 헤더 소스 및 대상 IPv6 주소와 함께 외부 헤더의 VNI 일치를 지원해야 합니다. 명령의 용어
<vxlan [vni <vni-id>]>에 대해set firewall family inet6 filtervxlan match CLI 옵션 아래의 VNI 일치 필터를 사용합니다. 명령을 사용하여 통계를show firewall filter표시합니다.
방화벽 필터를 통해 특정 인터페이스에서 허용되는 VXLAN과 연결된 MAC 주소를 지정합니다.
방화벽 필터를 레이어 2 인터페이스에 적용한 후 인터페이스는 default-switch 인스턴스 아래에 위치합니다.
QFX5110 스위치에 대한 다음 샘플 구성은 레이어 2 논리적 인터페이스 xe-0/0/6.0에서 여러 일치 조건(소스 MAC 주소, 대상 MAC 주소, 대상 포트 및 VLAN ID)을 충족하는 수신 트래픽을 수락하고 계산하는 DHCP-Discover-In이라는 방화벽 필터를 생성합니다.
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
스톰 컨트롤
기본적으로 VXLAN과 연결된 레이어 2 인터페이스에 대해 QFX 및 EX 스위치에서 스톰 제어가 활성화됩니다. 스톰 제어 수준은 결합된 BUM 트래픽 스트림의 80%로 설정됩니다.
EVPN-VXLAN 스톰 컨트롤은 ACX 시리즈 플랫폼에서 약간 다르게 작동합니다. 자세한 내용은 ACX 시리즈 라우터의 스톰 컨트롤 개요를 참조하십시오.
EVPN-VXLAN 환경에서 스톰 컨트롤은 다음과 같은 차이점을 제외하고 비 EVPN-VXLAN 환경에서와 동일하게 VXLAN과 연결된 레이어 2 인터페이스에서 구현 및 구성됩니다.
-
EVPN-VXLAN 환경에서 스톰 컨트롤이 모니터링하는 트래픽 유형은 다음과 같습니다.
-
VXLAN에서 시작되어 동일한 VXLAN 내의 인터페이스로 전달되는 레이어 2 BUM 트래픽.
-
VXLAN의 통합 라우팅 및 브리징(IRB) 인터페이스에 의해 수신되고 다른 VXLAN의 인터페이스로 전달되는 레이어 3 멀티캐스트 트래픽.
-
-
스톰 컨트롤 프로필을 생성한 후에는 계층의 수신 레이어 2 인터페이스에 바인딩해야 합니다
[edit interfaces interface-name unit logical-unit-number family ethernet-switching].참고:프로필을 레이어 2 인터페이스에 바인딩한 후 인터페이스는 default-switch 인스턴스 내에 상주합니다.
-
인터페이스의 트래픽 스트림이 지정된 스톰 제어 수준을 초과할 경우 주니퍼 네트웍스 스위치는 초과 패킷을 삭제하며, 이를 속도 제한이라고 합니다. 또한 EVPN-VXLAN 환경의 QFX10000 스위치는 계층 수준의 구성 문
[edit forwarding-options storm-control-profiles]과recovery-timeout계층 수준의 구성 문을 사용하여action-shutdown지정된 시간 동안 인터페이스의 비활성화를[edit interfaces interface-name unit logical-unit-number family ethernet-switching]지원합니다.참고:EVPN-VXLAN 환경의 QFX5100 및 QFX5110 스위치는 지정된 시간 동안 인터페이스 비활성화를 지원하지 않습니다.
참고:QFX5110 스위치에서 인터페이스에 향상된 스톰 컨트롤과 네이티브 분석기를 구성하고 네이티브 분석기에 VxLAN VLAN이 입력으로 있는 경우, 해당 인터페이스의 VLAN에 대해 종료 작업이 작동하지 않습니다. 속도 제한은 예상대로 작동합니다.
다음 구성은 scp라는 프로필을 생성하며, 결합된 BUM 트래픽 스트림에서 사용하는 대역폭이 레이어 2 논리적 인터페이스 et-0/0/23.0에서 5%를 초과하는 경우 인터페이스가 초과 BUM 트래픽을 삭제하도록 지정합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
다음 구성은 scp라는 프로필을 생성하며, 멀티캐스트 트래픽 스트림에서 사용하는 대역폭(브로드캐스트 및 알 수 없는 유니캐스트 트래픽 스트림은 제외됨)이 레이어 2 논리적 인터페이스 et-0/0/23.0에서 5%를 초과하는 경우 인터페이스는 초과 멀티캐스트 트래픽을 삭제합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
QFX10000 스위치의 다음 구성은 이전 구성과 동일한 프로필을 생성합니다. 그러나 트래픽 스트림이 5%를 초과할 경우 멀티캐스트 트래픽을 암묵적으로 삭제하는 대신, 다음 구성은 120초 동안 인터페이스를 명시적으로 비활성화한 다음 인터페이스를 다시 가동합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
포트 미러링 및 분석기
EVPN-VXLAN 환경에서 트래픽을 분석하기 위해 다음과 같은 포트 미러링 및 분석기 기능을 지원합니다.
-
로컬 미러링
-
인터페이스에서
-
VXLAN에서
-
-
원격 미러링
-
인터페이스에서
-
VXLAN에서
-
다음 섹션에서는 지원되는 기능에 대한 자세한 정보를 제공하고 샘플 구성을 포함합니다.
로컬 미러링
로컬 미러링은 SPAN(Switched Port Analyzer)과 비슷합니다.
| 로컬 미러링이 적용되는 엔터티 |
트래픽 방향 |
필터 기반 지원 |
분석기 기반 지원 |
|---|---|---|---|
| CE 대면 인터페이스 |
진입 |
지원. 사용 사례 1: 샘플 구성을 참조하십시오. |
지원. 사용 사례 2: 샘플 구성을 참조하십시오. |
| CE 대면 인터페이스 |
탈출구 |
지원되지 않습니다. |
지원; 그러나 송신 미러링된 트래픽은 원래 트래픽의 태그와 다른 잘못된 VLAN 태그를 전달할 수 있습니다. 사용 사례 3: 샘플 구성을 참조하십시오. |
| IP 패브릭 대면 인터페이스 |
진입 |
지원. |
지원. 사용 사례 4: 샘플 구성을 참조하십시오. |
| IP 패브릭 대면 인터페이스 |
탈출구 |
지원되지 않습니다. |
지원. 그러나 미러링 결정은 수신 시 이루어지므로 레이어 2 헤더는 스위칭 또는 라우팅된 패킷과 동일하지 않습니다. 미러링된 VXLAN 캡슐화 패킷에는 VXLAN 헤더가 포함되지 않습니다. 사용 사례 5: 샘플 구성을 참조하십시오. |
| VXLAN 매핑 VLAN |
진입 |
지원. |
고객 에지(CE) 대면 인터페이스를 통해 들어오는 트래픽에 대해서만 지원됩니다. 사용 사례 6: 샘플 구성을 참조하십시오. |
로컬 미러링 구성
Use Case 1: Firewall filter-based
pm1이라는 포트 미러링 인스턴스와 방화벽 필터를 사용하여, 이 구성은 논리적 인터페이스 xe-0/0/8.0을 통해 VXLAN100 들어오는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링된 다음 포트 미러링 인스턴스 pm1로 미러링되도록 지정합니다.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/8.0으로 들어오는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/8.0을 나가는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/29.0으로 들어오는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/29.0을 나가는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 레이어 2 트래픽이 VXLAN100라는 이름의 VLAN으로 들어가 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
원격 미러링
원격 포트 미러링은 출력 대상이 소스와 동일한 스위치에 있지 않을 때 사용됩니다. 원격 미러링은 미러링된 트래픽을 하나 이상의 원격 대상 호스트로 전달합니다. 문제 해결 또는 모니터링을 위해 데이터 센터 환경에서 자주 사용됩니다.
EVPN-VXLAN 환경에서는 소스 스위치의 미러링된 트래픽 플로우가 캡슐화되어 언더레이 IP 패브릭을 통해 대상 호스트 IP 주소로 터널링됩니다. 다음과 같은 유형의 캡슐화를 지원합니다.
-
GRE(Generic Routing Encapsulation)는 라우팅 도메인으로 분리된 스위치 간의 트래픽을 캡슐화하기 위해 원격 미러링과 함께 사용됩니다. EVPN-VXLAN 오버레이에서 GRE 캡슐화는 IP 패브릭을 통해 리프 디바이스 간의 미러링을 지원합니다. 미러링 대상 호스트가 소스 스위치와 동일한 패브릭의 일부인 스위치에 연결된 경우 GRE와 함께 원격 미러링을 사용합니다. GRE 캡슐화를 통한 원격 미러링은 ERSPAN(Encapsulated Remote SPAN)과 비슷합니다.
참고:ACX7100-32C 및 ACX7100-48L 플랫폼에서 ERSPAN의 비교 가능한 버전은 ERSPAN 버전 2(ERSPAN v2)입니다.
-
VXLAN 캡슐화는 소스 및 출력 대상이 별도의 VNI 도메인에 있을 때 EVPN-VXLAN에 대한 원격 미러링을 지원합니다. 출력 대상 인터페이스에 대한 미러링 트래픽을 위해 특정 VXLAN을 구성하고 VNI에 매핑해야 합니다. VXLAN 캡슐화를 통한 원격 미러링은 원격 SPAN(RSPAN)과 비슷합니다.
| 원격 미러링이 적용되는 엔터티 |
트래픽 방향 |
필터 기반 지원 |
분석기 기반 지원 |
|---|---|---|---|
| CE 대면 인터페이스 |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
지원. 사용 사례 1: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 패킷에는 GRE 헤더가 포함됩니다. |
| CE 대면 인터페이스 |
탈출구 |
지원되지 않습니다. |
지원. 사용 사례 2: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 패킷에는 GRE 헤더가 포함됩니다. |
| IP 패브릭 대면 인터페이스 |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
지원. 사용 사례 3: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 VXLAN 캡슐화 패킷에는 VXLAN 헤더와 GRE 헤더가 포함됩니다. |
| IP 패브릭 대면 인터페이스 |
탈출구 |
지원되지 않습니다. |
지원. 그러나 미러링 결정은 수신 시 이루어지므로 레이어 2 헤더는 스위칭 또는 라우팅된 패킷과 동일하지 않습니다. 사용 사례 4: 샘플 구성을 참조하십시오.
참고:
미러링된 트래픽은 네이티브 MAC 프레임에 4094의 가짜 VLAN ID 태그를 포함할 수 있습니다. ACX7100에서 지원됩니다. 그러나 미러링된 패킷에는 GRE 헤더가 포함되지만 VXLAN 헤더는 포함되지 않습니다. |
| VXLAN 매핑 VLAN |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
고객 에지(CE) 대면 인터페이스에 들어오는 트래픽에 대해서만 지원됩니다. 사용 사례 5: 샘플 구성을 참조하십시오. ACX7100에서는 지원되지 않습니다. |
GRE 캡슐화를 통한 원격 미러링 구성
다음 샘플 구성은 GRE 캡슐화를 사용하는 분석기 기반 원격 미러링을 위한 것입니다.
ACX7100에서 GRE 캡슐화를 사용하여 원격 분석기를 구성하는 예는 예: ESI-LAG 인터페이스에서 원격 분석기 인스턴스 사용을 참조하십시오.
Use Case 1
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/8.0으로 들어가는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/8.0을 나가는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/29.0으로 들어가는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리적 인터페이스 xe-0/0/29.0을 나가는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
계층 수준에서 구성 문을 [set forwarding-options] 사용 analyzer 함으로써 이 구성은 논리 인터페이스 xe-0/0/8.0에 매핑되는 VXLAN100로 들어오는 계층 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
VXLAN 캡슐화를 통한 원격 미러링 구성
어떤 플랫폼이 어떤 릴리스에서 이 기능을 지원하는지 알아보려면 VXLAN 캡슐화를 통한 원격 포트 미러링의 기능 탐색기 페이지를 참조하십시오.
분석기 기반 구성
다음 샘플 구성은 VXLAN 캡슐화를 사용하는 분석기 기반 원격 미러링을 위한 것입니다. VLAN100로 들어오는 레이어 2 트래픽은 VNI 1555에 매핑되는 원격 출력 대상 VLAN3555로 미러링됩니다.
이 구성은 대상 VLAN의 루프백 인터페이스를 사용하여 미러링된 패킷을 캡슐화합니다.
-
대상 인터페이스 xe-0/0/2는 루프백 인터페이스 xe-0/0/3에 외부적으로 연결됩니다.
- 논리적 인터페이스 xe-0/0/2.0 및 xe-0/0/3.0은 대상 VLAN3555의 멤버입니다.
- 인터페이스 xe-0/0/2.0은 VNI 매핑 없이 엔터프라이즈 스타일로 구성되는 반면, 인터페이스 xe-0/0/3.0은 동일한 VLAN ID 및 VNI 매핑을 사용하여 서비스 프로바이더 스타일로 구성됩니다. 이는 이러한 포트 간의 플러딩 또는 루프를 방지하기 위한 것입니다.
- Mac-learning은 xe-0/0/2.0에서 비활성화해야 합니다.
수신 인터페이스는 트렁크 모드로 구성되어야 하므로 캡슐화된 패킷에 태그가 지정됩니다. 태그가 set protocols l2-learning decapsulate-accept-inner-vlan 지정된 패킷을 캡슐화 해제하려면 캡슐화 해제 노드에서 명령을 구성합니다.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
외부 연결을 사용하는 대신 논리적 루프백 인터페이스를 구성하려면 다음 명령을 사용합니다.
set interfaces interface-name ether-options loopback
아래 샘플 구성은 인터페이스 xe-0/0/2에서 논리적 루프백을 사용합니다.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
방화벽 필터 기반 구성
다음 구성은 방화벽 필터 filter1을(를) 인터페이스 xe-0/0/34의 수신 트래픽에 적용합니다. 이 인터페이스에서 수신되는 트래픽은 대상으로 VLAN3555미러링됩니다. 대상 VLAN은 라는 pm1포트 미러링 인스턴스를 사용하여 정의됩니다.
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
VNI 일치 조건을 사용한 원격 포트 미러링
QFX10002, QFX10008 및 QFX10016 시리즈 스위치의 경우, 원격 포트 미러링을 위해 트래픽을 필터링할 때 VXLAN 네트워크 식별자(VNI) 값을 일치 조건으로 사용할 수 있습니다. 이 기능은 네트워크 계획 및 심층 패킷 검사(DPI)와 같은 분석에 자주 사용됩니다.
원격 포트 미러링 기능은 외부 IPv4 GRE 헤더에 캡슐화된 다음 지정된 원격 대상으로 전달되는 대상 수신 패킷의 복사본을 생성하는 역할을 합니다. VNI 일치 조건에 대한 지원은 VNI를 기반으로 미러링할 패킷을 선택하여 해당 흐름만 원격 미러 포트로 전달되도록 할 수 있음을 의미합니다. 또한 DSCP(Differentiated Service Code Point) 값을 구성하여 흐름의 우선 순위를 지정할 수 있습니다(예: 높은 우선 순위 또는 최선형 전달). 통합 라우팅 및 브리징(IRB) 인터페이스는 대상 미러 포트로 지원되지 않습니다.
높은 수준에서 VNI를 기반으로 하는 원격 포트 미러링 절차는 원격 포트 미러링 인스턴스를 생성하고, 방화벽 필터 패밀리에서 VNI를 승격하여 VNI를 처리하고, 필요한 필터 규칙 및 작업을 생성한 다음, 방화벽 정책을 수신 인터페이스에 적용하는 것입니다. GRE 터널링은 미러링된 패킷을 보내는 데 사용되는 인터페이스에도 적용되어야 합니다.
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
아래 코드 샘플은 VNI에 따라 패킷을 미러링하는 데 필요한 주요 Junos CLI 구성을 강조합니다.
- 원격 포트 미러링을 활성화하고, 미러링된 패킷을 전송할 트래픽 소스와 대상도 구성합니다.
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- 방화벽 필터(여기서는 bf_vni_st)를 생성하고 이 필터의 VNI를 패킷 전달 모듈로 승격합니다(즉, 이 명령은 VNI 일치 조건을 최적화하도록 전체 필터를 설정함).
set firewall family inet filter fbf_vni_st promote vni
- VNI 일치 조건(이 샘플의 경우 6030)과 작업(이 샘플의 경우 count)을 지정하는 수신 방화벽 필터(bf_vni_st)를 생성합니다.
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- 미러링하려는 인터페이스의 수신 트래픽에 필터를 적용합니다.
set interfaces interface unit number family inet filter input fbf_vni_st