EVPN-VXLAN 환경에서 MAC 필터링, 스톰 컨트롤 및 포트 미러링 지원
주니퍼는 MAC 필터링, 스톰 컨트롤, 포트 미러링 및 분석을 EVPN-VXLAN(Ethernet VPN-Virtual Extensible LAN) 오버레이 네트워크에서 지원합니다.
인터페이스 구성에 엔터프라이즈 스타일을 사용하여 이러한 각 기능을 지원합니다.
또한 인터페이스 구성에 SP(서비스 프로바이더) 스타일을 사용하여 이러한 기능을 지원하지만 몇 가지 제한 사항이 있습니다.
-
SP 스타일 인터페이스 구성을 사용하여 입력 방향에서 방화벽 필터로 포트 미러링을 지원하지만 출력 방향으로는 지원하지 않습니다.
-
SP 스타일 물리적 인터페이스 구성의 단일 논리적 인터페이스에서만 스톰 제어를 지원합니다. SP 스타일 구성으로 여러 논리적 인터페이스에서 스톰 제어를 구성할 수 없습니다.
-
하드웨어 제한으로 인해 논리적 인터페이스에 적용된 스톰 제어는 기본 물리적 인터페이스에도 적용됩니다.
-
스톰 제어가 구성된 논리적 인터페이스는 스톰을 기록하지만 물리적 인터페이스의 모든 논리적 인터페이스는 스톰 제어를 트리거할 수 있습니다.
-
당사는 이러한 기능을 EVPN-VXLAN 에지 라우팅 브리징(ERB) 오버레이에서만 지원하며, 이는 축소된 IP 패브릭을 사용하는 EVPN-VXLAN 토폴로지라고도 합니다. 이 오버레이 네트워크에는 다음 구성 요소가 포함됩니다.
-
주니퍼 네트웍스 스위치의 단일 레이어(예: QFX10002, QFX5120 또는 QFX5110 스위치)는 각각 레이어 3 스파인 디바이스 및 레이어 2 리프 디바이스로 작동합니다.
-
스파인-리프 디바이스에 대한 액티브/액티브 모드에서 단일 호밍 또는 멀티호밍인 고객 에지(CE) 디바이스.
주니퍼는 일부 플랫폼에서 EVPN-VXLAN을 통해 로컬 및 원격 포트 미러링을 지원합니다.
-
local - 패킷이 동일한 디바이스의 대상으로 미러링됩니다.
-
원격 - 패킷이 원격 디바이스의 대상으로 미러링됩니다.
EVPN-VXLAN과 함께 원격 포트 미러링을 사용하려면 Feature Explorer 페이지에서 VXLAN 캡슐화를 사용한 원격 포트 미러링 을 보고 지원되는 플랫폼과 릴리스를 확인하십시오.
EVPN-VXLAN을 사용한 로컬 또는 원격 포트 미러링에 대한 자세한 내용은 포트 미러링 및 분석기를 참조하십시오.
이 주제에는 다음 정보가 포함됩니다.
EVPN-VXLAN 환경에서 MAC 필터링, 스톰 컨트롤 및 포트 미러링 지원의 이점
-
MAC 필터링을 사용하면 고객 에지(CE) 방향 수신 인터페이스에서 패킷을 필터링하고 수락할 수 있으므로 이더넷 스위칭 테이블의 연결된 MAC 주소 볼륨과 VXLAN의 트래픽 볼륨을 줄일 수 있습니다.
-
스톰 컨트롤을 사용하면 EVPN-VXLAN 인터페이스의 트래픽 레벨을 모니터링할 수 있으며, 지정된 트래픽 레벨이 초과되면 브로드캐스트, 알 수 없는 유니캐스트 및 멀티캐스트(BUM) 패킷을 삭제하고, 일부 주니퍼 네트웍스 스위치에서는 지정된 시간 동안 인터페이스를 비활성화할 수 있습니다. 이 기능은 과도한 트래픽으로 인해 네트워크가 저하되는 것을 방지할 수 있습니다.
-
포트 미러링 및 분석기를 사용하여 EVPN-VXLAN 환경의 패킷 수준까지 트래픽을 분석할 수 있습니다. 이 기능을 사용하면 네트워크 사용 및 파일 공유와 관련된 정책을 시행하고 특정 스테이션 또는 애플리케이션의 비정상적이거나 과도한 대역폭 사용을 찾아 문제의 원인을 식별할 수 있습니다.
MAC 필터링
MAC 필터링을 사용하면 MAC 주소를 필터링하고 트래픽을 수락할 수 있습니다. 주니퍼는 일반적으로 VXLAN 캡슐화가 활성화되지 않는 인터페이스인 수신 CE 대면 인터페이스에서만 이 기능을 지원합니다. 이 기능을 사용하려면 다음을 수행해야 합니다.
-
계층에서 구성된
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]레이어 2 인터페이스에 방화벽 필터를 적용합니다.
| 일치 조건 |
인터페이스 입력 필터 지원 |
인터페이스 출력 필터 지원 |
|---|---|---|
| 소스 MAC 주소 |
X |
X |
| 대상 MAC 주소 |
X |
X |
| 사용자 VLAN ID |
X |
X |
| 소스 포트 |
X |
|
| 목적지 포트 |
X |
|
| 에테르 유형 |
X |
|
| IP 프로토콜 |
X |
|
| IP 우선 순위 |
X |
|
| ICMP 코드 |
X |
|
| TCP 플래그 |
X |
|
| IP 주소 |
X |
|
Junos OS 릴리스 18.4R1에서 QFX5100 및 QFX5110 스위치는 인터페이스에서만 MAC 필터링을 지원합니다. 또한 Junos OS 릴리스 18.4R2 및 이후 릴리스부터 QFX5100, QFX5110, QFX5120-48Y 및 EX4650-48Y 스위치도 VXLAN 매핑 VLAN에서 MAC 필터링을 지원합니다. Junos OS 릴리스 22.2에는 QFX10002, QFX10008 및 QFX10016 디바이스의 순수 IPv6 언더레이를 위한 Mac 필터링 및 전송 VNI 매칭 지원이 포함되어 있습니다.
| 일치 조건 |
인터페이스 입력 필터 지원 |
인터페이스 출력 필터 지원 |
|---|---|---|
| 소스 MAC 주소 |
X |
|
| 대상 MAC 주소 |
X |
|
| 사용자 VLAN ID |
|
|
| 소스 포트 |
X |
X |
| 목적지 포트 |
X |
X |
| 에테르 유형 |
X |
X |
| IP 프로토콜 |
X |
|
| IP 우선 순위 |
X |
X |
| ICMP 코드 |
X |
X |
| TCP 플래그 |
X |
X |
| IP 주소 |
X |
X |
QFX10000 스위치에서 MAC 필터를 구성할 때는 다음 사항을 염두에 두어야 합니다.
-
필터는 인터페이스에만 적용할 수 있습니다. VXLAN 매핑 VLAN에는 필터를 적용할 수 없습니다.
-
주니퍼는 동일한 방화벽 필터에서 레이어 2 일치 조건과 레이어 3/레이어 4 일치 조건의 혼합을 지원하지 않습니다. 예를 들어, QFX10002 스위치의 동일한 방화벽 필터에 소스 MAC 주소 및 소스 포트 일치 조건을 포함하면 방화벽 필터가 작동하지 않습니다.
-
주니퍼는 사용자 VLAN ID 일치 조건을 지원하지 않습니다. 따라서 각각 특정 VLAN에 매핑되는 논리적 인터페이스를 필터링해야 하는 경우 물리적 인터페이스 및 관련 논리적 인터페이스를 구성할 때 서비스 프로바이더 구성 스타일을 사용해야 합니다. 방화벽 필터를 생성한 후, 필터를 각 논리적 인터페이스에 적용하여 사용자 VLAN ID 일치 조건의 효과를 달성해야 합니다.
- Junos OS 릴리스 22.2에서는 QFX10002, QFX10008 및 QFX10016 디바이스용 레이어 3 인터페이스의 전송 트래픽에 대한 소스/대상 IP 외부 헤더의 VxLAN 네트워크 ID(VNI) 매칭에 대한 지원도 구현됩니다. VNI 일치는 외부 헤더와 수신 트래픽에서만 이루어집니다. 터널 패킷을 라우팅하는 전송 디바이스에서 MAC 필터링은 일치 조건으로 외부 헤더 소스 및 대상 IPv6 주소와 함께 외부 헤더의 VNI 일치를 지원해야 합니다. 명령의
<vxlan [vni <vni-id>]>용어에 대해set firewall family inet6 filtervxlan 일치 CLI 옵션 아래에 있는 VNI 일치 필터를 사용합니다. 명령을 사용하여 통계를show firewall filter표시합니다.
방화벽 필터를 통해 특정 인터페이스에서 허용되는 VXLAN과 연결된 MAC 주소를 지정합니다.
방화벽 필터를 레이어 2 인터페이스에 적용한 후 인터페이스는 default-switch 인스턴스 아래에 상주합니다.
QFX5110 스위치에서 다음 샘플 구성은 레이어 2 논리적 인터페이스 xe-0/0/6.0에서 여러 일치 조건(소스 MAC 주소, 대상 MAC 주소, 대상 포트 및 VLAN ID)을 충족하는 수신 트래픽을 수락하고 계산하는 DHCP-Discover-In이라는 방화벽 필터를 생성합니다.
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
스톰 컨트롤
기본적으로 스톰 컨트롤은 VXLAN과 연결된 레이어 2 인터페이스의 QFX 및 EX 스위치에서 활성화됩니다. 스톰 컨트롤 레벨은 결합된 BUM 트래픽 스트림의 80%로 설정됩니다.
EVPN-VXLAN 스톰 컨트롤은 ACX 시리즈 플랫폼에서 약간 다르게 작동합니다. 자세한 내용은 ACX 시리즈 라우터에 대한 스톰 제어 개요를 참조하십시오.
EVPN-VXLAN 환경에서 스톰 컨트롤은 다음의 차이점을 제외하고는 비 EVPN-VXLAN 환경에서와 동일하게 VXLAN과 연결된 레이어 2 인터페이스에 구현되고 구성됩니다.
-
EVPN-VXLAN 환경에서 스톰 컨트롤이 모니터링하는 트래픽 유형은 다음과 같습니다.
-
VXLAN에서 시작되어 동일한 VXLAN 내 인터페이스로 전달되는 레이어 2 BUM 트래픽입니다.
-
VXLAN의 통합 라우팅 및 브리징(IRB) 인터페이스에서 수신되고 다른 VXLAN의 인터페이스로 전달되는 레이어 3 멀티캐스트 트래픽입니다.
-
-
스톰 컨트롤 프로필을 생성한 후, 계층에서 수신 레이어 2 인터페이스
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]에 바인딩해야 합니다.메모:프로필을 레이어 2 인터페이스에 바인딩한 후 인터페이스는 기본 스위치 인스턴스 내에 있습니다.
-
인터페이스의 트래픽 스트림이 지정된 스톰 컨트롤 수준을 초과하면 주니퍼 네트웍스 스위치는 초과 패킷을 삭제하는데, 이를 속도 제한이라고 합니다. 또한 EVPN-VXLAN 환경의 QFX10000 스위치는 계층 수준에서 구성 문을
[edit forwarding-options storm-control-profiles]사용하고 계층 수준에서recovery-timeout구성 문을 사용하여action-shutdown지정된 시간 동안 인터페이스를 비활성화할 수 있도록[edit interfaces interface-name unit logical-unit-number family ethernet-switching]지원합니다.메모:EVPN-VXLAN 환경의 QFX5100 및 QFX5110 스위치는 지정된 시간 동안 인터페이스 비활성화를 지원하지 않습니다.
메모:QFX5110 스위치에서 인터페이스에 향상된 스톰 컨트롤 및 네이티브 분석기를 구성하고 네이티브 분석기가 VxLAN VLAN을 입력으로 가지고 있으면 해당 인터페이스의 VLAN에 대해 종료 작업이 작동하지 않습니다. 속도 제한은 예상대로 작동합니다.
다음 구성은 결합된 BUM 트래픽 스트림이 사용하는 대역폭이 레이어 2 논리적 인터페이스 et-0/0/23.0에서 5%를 초과하는 경우 인터페이스가 초과된 BUM 트래픽을 삭제하도록 지정하는 scp라는 프로필을 생성합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
다음 구성은 멀티캐스트 트래픽 스트림(브로드캐스트 및 알 수 없는 유니캐스트 트래픽 스트림은 제외됨)이 사용하는 대역폭이 레이어 2 논리적 인터페이스 et-0/0/23.0에서 5%를 초과할 경우 인터페이스가 초과된 멀티캐스트 트래픽을 삭제하도록 지정하는 scp라는 프로필을 생성합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
QFX10000 스위치에서 다음 구성은 이전 구성과 동일한 프로필을 생성합니다. 그러나 트래픽 스트림이 5%를 초과할 경우 멀티캐스트 트래픽을 암시적으로 삭제하는 대신, 다음 구성은 명시적으로 인터페이스를 120초 동안 비활성화한 다음 인터페이스를 다시 가동합니다.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
포트 미러링 및 분석기
EVPN-VXLAN 환경에서 트래픽을 분석하기 위해 주니퍼는 다음과 같은 포트 미러링 및 분석기 기능을 지원합니다.
-
로컬 미러링
-
인터페이스에서
-
VXLAN에서
-
-
원격 미러링
-
인터페이스에서
-
VXLAN에서
-
다음 섹션에서는 지원되는 기능에 대한 자세한 정보를 제공하며 샘플 구성을 포함합니다.
로컬 미러링
로컬 미러링은 스위치드 포트 분석기(SPAN)와 비슷합니다.
| 로컬 미러링이 적용되는 엔터티 |
트래픽 방향 |
필터 기반 지원 |
분석기 기반 지원 |
|---|---|---|---|
| CE 대면 인터페이스 |
진입 |
지원. 사용 사례 1: 샘플 구성을 참조하십시오. |
지원. 사용 사례 2: 샘플 구성을 참조하십시오. |
| CE 대면 인터페이스 |
출구 |
지원되지 않습니다. |
지원; 그러나 송신 미러링된 트래픽은 원래 트래픽의 태그와 다른 잘못된 VLAN 태그를 전달할 수 있습니다. 사용 사례 3: 샘플 구성을 참조하십시오. |
| IP 패브릭 대면 인터페이스 |
진입 |
지원. |
지원. 사용 사례 4: 샘플 구성을 참조하십시오. |
| IP 패브릭 대면 인터페이스 |
출구 |
지원되지 않습니다. |
지원. 그러나 미러링 결정은 수신 시 이루어지므로 레이어 2 헤더는 스위칭 또는 라우팅된 패킷과 동일하지 않습니다. 미러링된 VXLAN 캡슐화 패킷에는 VXLAN 헤더가 포함되지 않습니다. 사용 사례 5: 샘플 구성을 참조하십시오. |
| VXLAN 매핑 VLAN |
진입 |
지원. |
고객 에지(CE) 대면 인터페이스를 통해 유입되는 트래픽에 대해서만 지원됩니다. 사용 사례 6: 샘플 구성을 참조하십시오. |
로컬 미러링 구성하기
Use Case 1: Firewall filter-based
이 구성은 pm1이라는 포트 미러링 인스턴스와 방화벽 필터를 사용하여 논리적 인터페이스 xe-0/0/8.0을 통해 VXLAN100에 들어오는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링된 다음 포트 미러링 인스턴스 pm1로 미러링되도록 지정합니다.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/8.0으로 들어가는 레이어 2 트래픽이 논리 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리적 인터페이스 xe-0/0/8.0을 나가는 레이어 2 트래픽이 논리적 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/29.0으로 들어가는 레이어 2 트래픽이 논리 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/29.0을 나가는 계층 2 트래픽이 논리 인터페이스 xe-0/0/6.0의 분석기로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer VXLAN100라는 이름의 VLAN에 진입하고 논리 인터페이스 xe-0/0/6.0의 분석기로 미러링되는 레이어 2 트래픽을 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
원격 미러링
원격 포트 미러링은 출력 대상이 소스와 같은 스위치에 있지 않을 때 사용됩니다. 원격 미러링은 미러링된 트래픽을 하나 이상의 원격 대상 호스트로 전달합니다. 데이터센터 환경에서 문제 해결 또는 모니터링을 위해 자주 사용됩니다.
EVPN-VXLAN 환경에서 소스 스위치의 미러링된 트래픽 플로우는 언더레이 IP 패브릭을 통해 대상 호스트 IP 주소로 캡슐화되고 터널링됩니다. 다음과 같은 유형의 캡슐화를 지원합니다.
-
GRE(Generic routing encapsulation)는 라우팅 도메인으로 분리된 스위치 간의 트래픽을 캡슐화하기 위해 원격 미러링과 함께 사용됩니다. EVPN-VXLAN 오버레이에서 GRE 캡슐화는 IP 패브릭의 리프 디바이스 간 미러링을 지원합니다. 미러링 대상 호스트가 소스 스위치와 동일한 패브릭의 일부인 스위치에 연결되어 있는 경우 GRE와 함께 원격 미러링을 사용합니다. GRE 캡슐화를 통한 원격 미러링은 캡슐화된 원격 SPAN(ERSPAN)과 비슷합니다.
메모:ACX7100-32C 및 ACX7100-48L 플랫폼에서 ERSPAN의 비교 가능한 버전은 ERSPAN 버전 2(ERSPAN v2)입니다.
-
VXLAN 캡슐화는 소스 및 출력 대상이 별도의 VNI 도메인에 있을 때 EVPN-VXLAN에 대한 원격 미러링을 지원합니다. 출력 대상 인터페이스에 대한 트래픽을 미러링하고 VNI에 매핑하기 위해 특정 VXLAN을 구성해야 합니다. VXLAN 캡슐화를 통한 원격 미러링은 RSPAN(Remote SPAN)과 비슷합니다.
| 원격 미러링이 적용되는 엔터티 |
트래픽 방향 |
필터 기반 지원 |
분석기 기반 지원 |
|---|---|---|---|
| CE 대면 인터페이스 |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
지원. 사용 사례 1: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 패킷에는 GRE 헤더가 포함됩니다. |
| CE 대면 인터페이스 |
출구 |
지원되지 않습니다. |
지원. 사용 사례 2: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 패킷에는 GRE 헤더가 포함됩니다. |
| IP 패브릭 대면 인터페이스 |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
지원. 사용 사례 3: 샘플 구성을 참조하십시오. ACX7100에서 지원됩니다. 그러나 미러링된 VXLAN 캡슐화 패킷에는 VXLAN 헤더와 GRE 헤더가 포함됩니다. |
| IP 패브릭 대면 인터페이스 |
출구 |
지원되지 않습니다. |
지원. 그러나 미러링 결정은 수신 시 이루어지므로 레이어 2 헤더는 스위치 또는 라우팅된 패킷과 동일하지 않습니다. 사용 사례 4: 샘플 구성을 참조하십시오.
메모:
미러링된 트래픽에는 네이티브 MAC 프레임의 가짜 VLAN ID 태그 4094가 포함될 수 있습니다. ACX7100에서 지원됩니다. 그러나 미러링된 패킷은 GRE 헤더를 포함하지만 VXLAN 헤더는 포함하지 않습니다. |
| VXLAN 매핑 VLAN |
진입 |
지원. ACX7100에서는 지원되지 않습니다. |
고객 에지(CE) 대면 인터페이스에 들어오는 트래픽에 대해서만 지원됩니다. 사용 사례 5: 샘플 구성을 참조하십시오. ACX7100에서는 지원되지 않습니다. |
GRE 캡슐화로 원격 미러링 구성
다음 샘플 구성은 GRE 캡슐화를 사용하는 분석기 기반 원격 미러링을 위한 것입니다.
ACX7100에서 GRE 캡슐화를 사용하여 원격 분석기를 구성하는 예는 예: ESI-LAG 인터페이스에서 원격 분석기 인스턴스 활성화를 참조하십시오.
Use Case 1
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/8.0을 입력하는 레이어 2 트래픽이 IP 주소가 10.9.9.2인 원격 논리 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리적 인터페이스 xe-0/0/8.0을 나가는 레이어 2 트래픽이 IP 주소 10.9.9.2를 가진 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/29.0으로 들어가는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리 인터페이스 xe-0/0/29.0을 나가는 레이어 2 트래픽이 IP 주소 10.9.9.2를 가진 원격 논리 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
이 구성은 계층 수준에서 구성 문을 [set forwarding-options] 사용하여 analyzer 논리적 인터페이스 xe-0/0/8.0에 매핑되는 VXLAN100를 입력하는 레이어 2 트래픽이 IP 주소 10.9.9.2의 원격 논리적 인터페이스로 미러링되도록 지정합니다.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
VXLAN 캡슐화로 원격 미러링 구성
현재 어떤 릴리스에서 이 기능을 지원하는 플랫폼이 있는지 알아보려면 Feature Explorer에서 VXLAN 캡슐화를 사용한 원격 포트 미러링 페이지를 참조하십시오.
분석기 기반 구성
다음 샘플 구성은 VXLAN 캡슐화를 사용하는 분석기 기반 원격 미러링을 위한 것입니다. VLAN100 들어오는 레이어 2 트래픽은 VNI 1555에 매핑되는 원격 출력 대상 VLAN3555로 미러링됩니다.
이 구성은 대상 VLAN의 루프백 인터페이스를 사용하여 미러링된 패킷을 캡슐화합니다.
-
대상 인터페이스 xe-0/0/2는 루프백 인터페이스 xe-0/0/3에 외부적으로 연결됩니다.
- 논리적 인터페이스 xe-0/0/2.0 및 xe-0/0/3.0은 대상 VLAN3555의 구성원입니다.
- 인터페이스 xe-0/0/2.0은 VNI 매핑 없이 엔터프라이즈 스타일로 구성되는 반면, 인터페이스 xe-0/0/3.0은 동일한 VLAN ID와 VNI 매핑을 사용하여 서비스 프로바이더 스타일로 구성됩니다. 이는 이러한 포트 간의 플러딩 또는 루프를 방지하기 위한 것입니다.
- Mac-learning은 xe-0/0/2.0에서 비활성화해야 합니다.
수신 인터페이스는 캡슐화된 패킷이 태깅되도록 트렁크 모드로 구성해야 합니다. 태그 처리된 패킷의 캡슐화를 해제하려면 캡슐화 해제 노드에서 명령을 구성합니다 set protocols l2-learning decapsulate-accept-inner-vlan .
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
외부 연결을 사용하는 대신 논리적 루프백 인터페이스를 구성하려면 다음 명령을 사용합니다.
set interfaces interface-name ether-options loopback
아래 샘플 구성은 인터페이스 xe-0/0/2에서 논리적 루프백을 사용합니다.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
방화벽 필터 기반 구성
다음 구성은 인터페이스 xe-0/0/34에서 수신 트래픽에 방화벽 필터 filter1을(를) 적용합니다. 이 인터페이스의 수신 트래픽은 대상으로 VLAN3555미러링됩니다. 대상 VLAN은 이라는 포트 미러링 인스턴스를 사용하여 정의됩니다 pm1.
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
VNI 일치 조건을 사용한 원격 포트 미러링
QFX10002, QFX10008 및 QFX10016 시리즈 스위치의 경우, 원격 포트 미러링을 위해 트래픽을 필터링할 때 VXLAN 네트워크 식별자(VNI) 값을 일치 조건으로 사용할 수 있습니다. 이 기능은 네트워크 계획 및 심층 심층 패킷 검사(DPI)와 같은 분석에 자주 사용됩니다.
원격 포트 미러링 기능은 외부 IPv4 GRE 헤더에서 캡슐화된 다음 지정된 원격 대상으로 전달되는 대상 수신 패킷의 복사본을 생성합니다. VNI 일치 조건을 지원한다는 것은 VNI를 기반으로 미러링될 패킷을 선택하여 해당 플로우만 원격 미러링 포트로 전달되도록 할 수 있음을 의미합니다. 또한 DSCP(Differentiated Service Code Point) 값을 구성하여 플로우의 우선 순위(예: 높은 우선 순위 또는 최선형 전달)를 지정할 수 있습니다. 통합 라우팅 및 브리징(IRB) 인터페이스는 대상 미러링 포트로 지원되지 않습니다.
높은 수준에서 VNI를 기반으로 하는 원격 포트 미러링 절차는 원격 포트 미러링 인스턴스를 생성하고, 방화벽 필터 제품군에서 VNI를 승격하여 VNI를 처리하고, 필요한 필터 규칙과 작업을 생성한 다음, 방화벽 정책을 수신 인터페이스에 적용하는 것입니다. 미러링된 패킷을 전송하는 데 사용되는 인터페이스에도 GRE 터널링이 있어야 합니다.
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
아래 코드 샘플은 VNI에 따라 패킷을 미러링하는 데 필요한 주요 Junos CLI 구성을 강조 표시합니다.
- 원격 포트 미러링을 사용하도록 설정하고, 미러링된 패킷을 전송할 트래픽 소스와 대상도 구성합니다.
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- 방화벽 필터(여기서는 bf_vni_st)를 생성하고 이 필터의 VNI를 패킷 전달 모듈로 승격합니다(즉, 이 명령은 전체 필터를 설정하여 VNI 일치 조건을 최적화합니다).
set firewall family inet filter fbf_vni_st promote vni
- VNI 일치 조건(이 샘플의 경우 6030)과 작업(이 샘플의 경우 count)을 지정하는 수신 방화벽 필터(bf_vni_st)를 생성합니다.
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- 미러링하려는 인터페이스의 수신 트래픽에 필터를 적용합니다.
set interfaces interface unit number family inet filter input fbf_vni_st