레이어 3 포워딩된 트래픽에 대해 레이어 2 헤더로 패킷 미러링 구성
SUMMARY 선택적 패킷 미러링 필터는 매우 효과적인 문제 해결 메커니즘으로 사용될 수 있으며 성능 모니터링 목적으로도 사용될 수 있습니다.
레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더를 사용한 패킷 미러링 이해
이 문서에서는 다양한 IPv4 또는 IPv6 필터 일치 조건을 사용하여 트래픽을 선택하고 원래 레이어 2 헤더 정보로 전체 패킷을 미러링하는 기능에 대해 중점적으로 설명합니다.
레이어 2 헤더 정보는 에지 라우터 구축에서 특정 고객을 식별하거나 공용 피어링 사례에서 특정 인터넷 피어를 식별하는 데 필수적일 수 있습니다.
레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더가 있는 패킷 미러링의 기능
간단히 말해, 또는 family inet6
필터에서 작업이 구성될 때 l2-mirror
원래의 레이어 2 패킷 헤더를 family inet
미러링할 수 있습니다. GRE 터널을 사용하여 패킷을 로컬 또는 원격으로 미러링할 수 있습니다.
미러링 구성에서 출력 인터페이스를 GRE 터널 인터페이스로 지정하는 경우, 패킷은 전송 전에 GRE에 캡슐화됩니다. 포트 미러링 인스턴스는 여러 출력 프로토콜 제품군으로 구성할 수 있습니다.
패킷 수준 미러링 구성에 대한 제한 사항
-
새 작업
l2-mirror
은(는) 및family inet6
필터에 대해서만family inet
지원됩니다. - 레이어 2 미러링은 gr-*/*/* 인터페이스에서 지원되지 않습니다.
포트 미러링 인스턴스 또는 글로벌 포트 미러링을 사용하여 필터 구성
(글로벌 포트 미러링) 또는 firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name
(포트 미러링 인스턴스 또는 "PM 인스턴스") 중 하나 firewall family (inet | inet6) filter filter-name term then port-mirror
에서 구성합니다l2-mirror
.
용어에 대해 구성되었다는 l2-mirror
것은 이 용어와 일치하는 패킷에 대해 레이어 2 패킷이 미러링됨을 나타냅니다. 소프트웨어는 글로벌 수준 또는 인스턴스 수준 포트 미러링 구성에서 가 구성되었지만 포트 미러링 출력 인터페이스가 구성되지 않은 경우 l2-mirror
와 같이 잘못된 구성에 대한 family any
커밋 검사를 수행합니다. 비활성화 l2-mirror
하면 미러링 동작이 레이어 3 미러링으로 되돌아갑니다.
다음 두 가지 예는 포트 미러링 인스턴스와 글로벌 포트 미러링을 사용하는 필터(예제에서 필터 이름은 f1)의 구성을 보여줍니다. 두 가지 예에서 트래픽은 GRE 터널을 통해 원격 대상으로 미러링됩니다.
아래에 forwarding-options
있는 포트 미러링 구성은 로 구성 family any
되지만, 필터 구성의 일치 조건은 에서 family inet
수행됩니다. 을(를) 사용하면 family any
레이어 2 패킷의 미러링이 활성화됩니다.
FTI 터널에 대한 미러링 구성
데이터 경로가 유연한 터널 인터페이스(FTI) 터널을 통과할 때 출력 패킷은 터널 캡슐화와 함께 전송됩니다. 원래 패킷뿐만 아니라 패킷이 송신될 때 모든 캡슐화가 있는 패킷을 미러링하는 구성을 설정할 수 있습니다.
원래 패킷을 미러링하려면 수신 WAN 인터페이스에서 입력 미러링을 구성합니다.
모든 캡슐화로 패킷을 미러링하려면 송신 WAN 인터페이스에서 출력 미러링을 활성화합니다.
FTI 인터페이스에 설치된 필터를 기반으로 미러링을 활성화하려면 2단계 프로세스를 사용합니다.
- fti- 인터페이스에서 정책 작업을 사용하여 미러링을 위해 패킷을 표시합니다. 정책 작업은 일반적으로 송신 다시 쓰기 규칙을 선택하는 데 사용되지만, 이 경우 정책 작업은 특별한 다시 쓰기 규칙을 구성하지 않고 내부 정책 속성으로 관심 있는 패킷을 표시하는 데 사용됩니다.
- 소프트웨어는 송신 WAN 측의 특정 정책과 일치하는 패킷을 가로채 작업을 시작합니다
l2-mirror
. 패킷은 터널 캡슐화를 포함한 레이어 2 헤더 정보와 함께 보고됩니다.
다음 예는 레이어 3 포트 미러링을 보여줍니다. 레이어 2 포트 미러링을 l2-mirror
얻으려면 이 문서의 이전 예에 표시된 대로 작업을 구성하기만 하면 됩니다.
필터의 부착 지점
필터 부착 지점 | 인터페이스 유형 | 미러링된 패킷 레이어 2 헤더 |
입력 | gr- 및 fti-를 제외한 모든 이더넷 | 수신 패킷의 레이어 2 헤더가 보고됩니다 |
출력 | gr- 및 fti-를 제외한 모든 이더넷 | 수신 패킷의 레이어 2 헤더가 보고됩니다 |
입력 또는 출력 | GR- 인터페이스 | 지원되지 않음 |
입력 | FTI- 인터페이스 | 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨) |
출력 | FTI- 인터페이스 | 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨) |
입력 | IRB 인터페이스 | 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨) |
출력 | IRB 인터페이스 | 지원되지 않음 |
패킷 필터링 구성 향상을 위한 제안
필터 네트워크 원격 분석 설정을 향상시키기 위한 추가 방법으로 다음을 고려합니다.
입력 체인 및 출력 체인 필터를 사용하여 미러링에 사용되는 필터 구성을 기존 필터와 분리할 수 있으므로 문제 해결 중에 의도하지 않은 구성 오류를 방지할 수 있습니다. 이 기능에 대한 자세한 내용은 예: 방화벽 필터 체인 사용.