여러 목적지에 대한 포트 미러링 구성
다음 홉 그룹을 사용하여 여러 대상으로 레이어 2 포트 미러링 이해하기
MX 시리즈 라우터와 EX 시리즈 스위치에서 터널 인터페이스에 적용된 레이어 2 포트 미러링 방화벽 필터에서 다음 홉 그룹을 구성하여 여러 대상으로 트래픽을 미러링할 수 있습니다. 여러 대상에 대한 패킷 미러링은 멀티패킷 포트 미러링으로도 알려져 있습니다.
Junos OS 릴리스 9.5에서는 MX 시리즈 라우터에서 다음 홉 그룹을 사용하여 레이어 2 포트 미러링을 지원했지만 터널 PIC의 설치가 필요했습니다. 릴리스 9.6 Junos OS MX 시리즈 라우터에서 다음 홉 그룹을 사용하는 레이어 2 포트 미러링에서는 터널 PIC가 필요하지 않습니다.
MX 시리즈 라우터와 EX 시리즈 스위치에서 패킷을 다음 홉 그룹으로 미러링하기 위한 방화벽 필터 를 정의할 수 있습니다. 다음 홉 그룹은 단위 목록(각 인터페이스에 대한 패킷 미러링) 또는 로드 밸런싱(패킷을 여러 인터페이스 중 하나로 미러링)인 레이어 2 멤버, 레이어 3 멤버 및 하위 그룹을 포함할 수 있습니다. MX 시리즈 라우터와 EX 시리즈 스위치는 최대 30개의 다음 홉 그룹을 지원합니다. 각 다음 홉 그룹은 최대 16개의 다음 홉 주소를 지원합니다. 각 다음 홉 그룹은 적어도 두 개의 주소를 지정해야 합니다.
다음 홉 그룹의 구성원에게 포트 미러링을 활성화하려면 다음 홉 그룹을 방화벽 필터의 필터 작업으로 지정한 다음 방화벽 필터를 MX 시리즈 라우터 또는 EX 시리즈 스위치의 논리적 터널 인터페이스(lt-) 또는 가상 터널 인터페이스(vt-)에 적용합니다.
미러링된 트래픽 로드 밸런싱에 하위 그룹을 사용하는 것은 지원되지 않습니다.
포트 미러링을 위한 MX 시리즈 라우터에서 다음 홉 그룹 정의
릴리스 14.2부터 인터넷 프로세서 II 애플리케이션별 통합 서킷(ASIC) 또는 T 시리즈 인터넷 프로세서를 포함하는 라우터에서 라우터에서 외부 호스트 주소 또는 분석을 위한 패킷 분석기 IP 버전 4(IPv4) 또는 IP 버전 6(IPv6) 패킷 사본을 보낼 수 있습니다. 이를 포트 미러링으로 알려져 있습니다.
포트 미러링은 트래픽 샘플링과 다릅니다. 트래픽 샘플링에서 IPv4 헤더를 기반으로 하는 샘플링 키가 라우팅 엔진 전송됩니다. 여기서 키를 파일에 배치하거나 키를 기반으로 하는 cflowd 패킷을 cflowd 서버로 전송할 수 있습니다. 포트 미러링에서 전체 패킷이 복사되어 다음 홉 인터페이스를 통해 전송됩니다.
샘플링 및 포트 미러링의 동시 사용을 구성하고 포트 미러링된 패킷에 대해 독립적인 샘플링 속도와 실행 길이를 설정할 수 있습니다. 그러나 샘플링 및 포트 미러링 모두에 대해 패킷이 선택되면 하나의 작업만 수행할 수 있으며 포트 미러링이 우선합니다. 예를 들어, 인터페이스에 대한 모든 패킷 입력을 샘플링하도록 인터페이스를 구성하고 필터가 다른 인터페이스에 포트 미러링될 패킷을 선택하는 경우 포트 미러링만 적용됩니다. 명시적 필터 포트 미러링 기준과 일치하지 않는 다른 모든 패킷은 최종 대상으로 전달될 때 계속 샘플링됩니다.
다음 홉 그룹을 사용하면 여러 인터페이스에 포트 미러링을 포함할 수 있습니다.
MX 시리즈 라우터에서 터널 인터페이스 입력 트래픽을 여러 대상으로 미러링할 수 있습니다. 이러한 형태의 멀티패넷 포트 미러링에 대해 다음 홉 그룹에서 두 개 이상의 대상을 지정하고, 다음 홉 그룹을 필터 작업으로 참조하는 방화벽 필터를 정의한 다음, 해당 필터를 논리적 터널 인터페이스 또는 가상 터널 인터페이스 lt-(vt- MX 시리즈 라우터)에 적용합니다.
레이어 2 포트 미러링 방화벽 필터 동작에 대한 다음 홉 그룹을 정의하기 위해 다음을 수행합니다.
예를 들면 다음과 같습니다. M, MX 및 T 시리즈 라우터에서 다음 홉 그룹으로 다중 포트 미러링 구성
하나 이상의 패킷 유형을 포함하는 트래픽을 분석해야 하거나 단일 트래픽 유형에서 여러 유형의 분석을 수행하려는 경우 여러 포트 미러링 및 다음 홉 그룹을 구현할 수 있습니다. 그룹당 최대 16개의 트래픽 사본을 구성하고 트래픽을 다음 홉 그룹 멤버에게 보낼 수 있습니다. 지정된 시간에 라우터에 최대 30개의 그룹을 구성할 수 있습니다. 포트 미러링된 트래픽은 어그리게이션 SONET/SDH, 어그리게이션 이더넷, 루프백(lo0) 또는 관리() 인터페이스를 제외한 모든 인터페이스로fxp0 전송될 수 있습니다. 포트 미러링된 트래픽을 여러 플로우 서버 또는 패킷 분석기로 전송하려면 계층 수준에서 명령문을 [edit forwarding-options] 사용할 next-hop-group 수 있습니다.
그림 1 은(는) 다음 홉 그룹으로 여러 포트 미러링을 구성하는 방법의 예를 보여줍니다. 모든 트래픽은 인터페이스 ge-1/0/0에서 모니터링 라우터에 들어갑니다. 방화벽 필터는 터널 서비스 PIC에 들어오는 모든 패킷을 카운트하고 포트 미러합니다. 두 번째 필터는 터널 인터페이스에 적용되고 트래픽을 세 가지 범주로 분할합니다. HTTP 트래픽, FTP 트래픽 및 기타 모든 트래픽. 세 가지 유형의 트래픽은 세 개의 개별 다음 홉 그룹에 할당됩니다. 각 다음 홉 그룹에는 다양한 패킷 분석기 및 플로우 서버 그룹으로 이어지는 고유한 한 쌍의 출구 인터페이스가 포함되어 있습니다.
동일한 PFE에서 다른 대상으로 패킷을 미러링하도록 활성화된 인스턴스는 각 인스턴스에 대해 다른 샘플링 매개 변수를 사용합니다. 글로벌 포트 미러링과 인스턴스 기반 포트 미러링을 모두 사용하여 레이어2 포트 미러링을 구성하면 PIC 수준 인스턴스가 FPC 수준을 재정의하고 FPC 수준이 글로벌 인스턴스를 재정의합니다.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
예를 들면 다음과 같습니다. 여러 대상으로 레이어 2 포트 미러링
MX 시리즈 라우터에서 터널 인터페이스에 적용된 레이어 2 포트 미러링 방화벽 필터에서 다음 홉 그룹을 구성하여 여러 대상으로 트래픽을 미러링할 수 있습니다.
FPC 2의 PIC 0에서 터널 서비스를 지원하도록 섀시를 구성합니다. 이 구성에는 FPC 2, PIC 0, 포트 10에 있는 두 개의 논리적 터널 인터페이스가 포함됩니다.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }3개의 브리지 도메인과 1개의 레이어 2 VPN CCC에 대한 물리적 및 논리적 인터페이스를 구성합니다.
브리지 도메인 bd 은 논리적 인터페이스 및 ge-2/0/1.1을(를) 포괄합니다ge-2/0/1.0.
브리지 도메인 bd_next_hop_group 은 논리적 인터페이스 및 ge-2/0/2.0을(를) 포괄합니다ge-2/2/9.0.
브리지 도메인 bd_port_mirror 은 논리적 터널 인터페이스 lt-2/0/10.2을(를) 사용합니다.
레이어 2 VPN CCC if_switch 는 논리적 인터페이스 및 lt-2/0/10.1을(를) 연결합니다ge-2/0/1.2.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }3개의 브리지 도메인과 레이어 2 VPN 스위칭 CCC를 구성합니다.
브리지 도메인 bd 은 논리적 인터페이스 및 ge-2/0/1.1을(를) 포괄합니다ge-2/0/1.0.
브리지 도메인 bd_next_hop_group 은 논리적 인터페이스 및 ge-2/0/2.0을(를) 포괄합니다ge-2/2/9.0.
브리지 도메인 bd_port_mirror 은 논리적 터널 인터페이스 lt-2/0/10.2을(를) 사용합니다.
레이어 2 VPN CCC if_switch 는 인터페이스와 lt-2/0/10.1을(를) 연결합니다ge-2/0/1.2.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }레이어 2 스위칭 교차 연결을 위한 CCC 연결 구성에 대한 자세한 내용은 MPLS 애플리케이션 사용자 가이드를 참조하십시오.
포워딩 옵션을 구성합니다.
브리지 도메인의 인터페이스에 트래픽을 미러 family vpls 링하도록 글로벌 포트 미러링 속성을 구성합니다 bd_port_mirror.
레이어 2 트래픽을 브리지 도메인으로 전달하도록 다음 홉 그룹을 nhg_mirror_to_bd 구성합니다 bd_next_hop_group.
이러한 두 포워딩 옵션은 모두 포트 미러링 방화벽 필터에 의해 참조됩니다.
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }트래픽을 위한 family bridge 두 개의 레이어 2 포트 미러링 방화벽 필터를 구성합니다.
filter_pm_bridge-모든 family bridge 트래픽을 글로벌 포트 미러링 대상으로 보냅니다.
filter_redirect_to_nhg- 최종 다음 홉 그룹에 nhg_mirror_to_bd모든 family bridge 트래픽을 전송합니다.
트래픽을 위한 family bridge 레이어 2 포트 미러링 방화벽 필터는 캡슐화 ethernet-bridge로 구성된 물리적 인터페이스의 트래픽에 적용됩니다.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }