Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

레이어 3 포워딩된 트래픽에 대해 레이어 2 헤더로 패킷 미러링 구성

SUMMARY 선택적 패킷 미러링 필터는 매우 효과적인 문제 해결 메커니즘으로 사용될 수 있으며 성능 모니터링 목적으로도 사용될 수 있습니다.

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더를 사용한 패킷 미러링 이해

이 문서에서는 다양한 IPv4 또는 IPv6 필터 일치 조건을 사용하여 트래픽을 선택하고 원래 레이어 2 헤더 정보로 전체 패킷을 미러링하는 기능에 대해 중점적으로 설명합니다.

레이어 2 헤더 정보는 에지 라우터 구축에서 특정 고객을 식별하거나 공용 피어링 사례에서 특정 인터넷 피어를 식별하는 데 필수적일 수 있습니다.

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더가 있는 패킷 미러링의 기능

간단히 말해, 또는 family inet6 필터에서 작업이 구성될 때 l2-mirror 원래의 레이어 2 패킷 헤더를 family inet 미러링할 수 있습니다. GRE 터널을 사용하여 패킷을 로컬 또는 원격으로 미러링할 수 있습니다.

미러링 구성에서 출력 인터페이스를 GRE 터널 인터페이스로 지정하는 경우, 패킷은 전송 전에 GRE에 캡슐화됩니다. 포트 미러링 인스턴스는 여러 출력 프로토콜 제품군으로 구성할 수 있습니다.

패킷 수준 미러링 구성에 대한 제한 사항

  • 새 작업 l2-mirror은(는) 및 family inet6필터에 대해서만 family inet 지원됩니다.

  • 레이어 2 미러링은 gr-*/*/* 인터페이스에서 지원되지 않습니다.

포트 미러링 인스턴스 또는 글로벌 포트 미러링을 사용하여 필터 구성

(글로벌 포트 미러링) 또는 firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (포트 미러링 인스턴스 또는 "PM 인스턴스") 중 하나 firewall family (inet | inet6) filter filter-name term then port-mirror 에서 구성합니다l2-mirror.

용어에 대해 구성되었다는 l2-mirror 것은 이 용어와 일치하는 패킷에 대해 레이어 2 패킷이 미러링됨을 나타냅니다. 소프트웨어는 글로벌 수준 또는 인스턴스 수준 포트 미러링 구성에서 가 구성되었지만 포트 미러링 출력 인터페이스가 구성되지 않은 경우 l2-mirror 와 같이 잘못된 구성에 대한 family any 커밋 검사를 수행합니다. 비활성화 l2-mirror하면 미러링 동작이 레이어 3 미러링으로 되돌아갑니다.

다음 두 가지 예는 포트 미러링 인스턴스와 글로벌 포트 미러링을 사용하는 필터(예제에서 필터 이름은 f1)의 구성을 보여줍니다. 두 가지 예에서 트래픽은 GRE 터널을 통해 원격 대상으로 미러링됩니다.

주:

아래에 forwarding-options있는 포트 미러링 구성은 로 구성 family any되지만, 필터 구성의 일치 조건은 에서 family inet수행됩니다. 을(를) 사용하면 family any 레이어 2 패킷의 미러링이 활성화됩니다.

  1. 포트 미러링 인스턴스로 필터를 구성하려면 다음을 수행합니다.
    주:

    gr- 인터페이스를 미러 대상으로 지정할 수 있습니다. gr- 인터페이스 구성에 대한 자세한 내용은 ACX 시리즈에서 일반 라우팅 캡슐화 터널링 구성을 참조하십시오(이 문서는 ACX 시리즈 라우터를 구체적으로 언급하며, 동일한 정보가 MX10003 포함한 다양한 다른 라우터에도 적용됩니다.)

  2. 글로벌 포트 미러링으로 필터를 구성하려면 다음을 수행합니다.

FTI 터널에 대한 미러링 구성

데이터 경로가 유연한 터널 인터페이스(FTI) 터널을 통과할 때 출력 패킷은 터널 캡슐화와 함께 전송됩니다. 원래 패킷뿐만 아니라 패킷이 송신될 때 모든 캡슐화가 있는 패킷을 미러링하는 구성을 설정할 수 있습니다.

원래 패킷을 미러링하려면 수신 WAN 인터페이스에서 입력 미러링을 구성합니다.

모든 캡슐화로 패킷을 미러링하려면 송신 WAN 인터페이스에서 출력 미러링을 활성화합니다.

FTI 인터페이스에 설치된 필터를 기반으로 미러링을 활성화하려면 2단계 프로세스를 사용합니다.

  1. fti- 인터페이스에서 정책 작업을 사용하여 미러링을 위해 패킷을 표시합니다. 정책 작업은 일반적으로 송신 다시 쓰기 규칙을 선택하는 데 사용되지만, 이 경우 정책 작업은 특별한 다시 쓰기 규칙을 구성하지 않고 내부 정책 속성으로 관심 있는 패킷을 표시하는 데 사용됩니다.
  2. 소프트웨어는 송신 WAN 측의 특정 정책과 일치하는 패킷을 가로채 작업을 시작합니다 l2-mirror . 패킷은 터널 캡슐화를 포함한 레이어 2 헤더 정보와 함께 보고됩니다.
주:

다음 예는 레이어 3 포트 미러링을 보여줍니다. 레이어 2 포트 미러링을 l2-mirror 얻으려면 이 문서의 이전 예에 표시된 대로 작업을 구성하기만 하면 됩니다.

  1. 스탠자 아래에서 class-of-service 정의policy-map policy-map-name :
  2. 작업을 policy-map pm1사용하여 FTI에 출력 필터를 적용합니다.
  3. 다음 구성 출력은 인터페이스 fti0.1001의 FTI 구성을 보여줍니다. (FTI 터널 구성에 대한 자세한 내용은 유연한 터널 인터페이스 개요를 참조하십시오.)
  4. 에서 일치하는 policy-map pm1 then port-mirror송신 WAN 인터페이스에 필터(여기서는 이름mirror-all)를 추가합니다.

필터의 부착 지점

필터 부착 지점 인터페이스 유형 미러링된 패킷 레이어 2 헤더
입력 gr- 및 fti-를 제외한 모든 이더넷 수신 패킷의 레이어 2 헤더가 보고됩니다
출력 gr- 및 fti-를 제외한 모든 이더넷 수신 패킷의 레이어 2 헤더가 보고됩니다
입력 또는 출력 GR- 인터페이스 지원되지 않음
입력 FTI- 인터페이스 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
출력 FTI- 인터페이스 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
입력 IRB 인터페이스 원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
출력 IRB 인터페이스 지원되지 않음

패킷 필터링 구성 향상을 위한 제안

필터 네트워크 원격 분석 설정을 향상시키기 위한 추가 방법으로 다음을 고려합니다.

입력 체인 및 출력 체인 필터를 사용하여 미러링에 사용되는 필터 구성을 기존 필터와 분리할 수 있으므로 문제 해결 중에 의도하지 않은 구성 오류를 방지할 수 있습니다. 이 기능에 대한 자세한 내용은 예: 방화벽 필터 체인 사용.