여러 대상에 대한 포트 미러링 구성
다음 홉 그룹을 사용하여 여러 대상에 대한 레이어 2 포트 미러링 이해
MX 시리즈 라우터와 EX 시리즈 스위치에서는 터널 인터페이스에 적용된 레이어 2 포트 미러링 방화벽 필터에서 다음 홉 그룹을 구성하여 여러 대상으로 트래픽을 미러링할 수 있습니다. 여러 대상에 대한 패킷의 미러링은 멀티패킷 포트 미러링이라고도 하며,
Junos OS 릴리스 9.5는 MX 시리즈 라우터에서 넥스트 홉 그룹을 사용하여 레이어 2 포트 미러링 을 지원하지만 터널 PIC를 설치해야 했습니다. Junos OS 릴리스 9.6부터 MX 시리즈 라우터에서 넥스트 홉 그룹을 사용하는 레이어 2 포트 미러링에는 터널 PIC가 필요하지 않습니다.
MX 시리즈 라우터와 EX 시리즈 스위치에서 패킷을 다음 홉 그룹으로 미러링하기 위한 방화벽 필터를 정의할 수 있습니다. 다음 홉 그룹에는 레이어 2 멤버, 레이어 3 멤버 및 단위 목록(각 인터페이스에 대한 패킷 미러링) 또는 로드 밸런싱(여러 인터페이스 중 하나로 패킷 미러링)인 하위 그룹이 포함될 수 있습니다. MX 시리즈 라우터와 EX 시리즈 스위치는 최대 30개의 다음 홉 그룹을 지원합니다. 각 다음 홉 그룹은 최대 16개의 다음 홉 주소를 지원합니다. 각 다음 홉 그룹은 최소 2개의 주소를 지정해야 합니다.
다음 홉 그룹의 구성원에 대한 포트 미러링을 활성화하려면 방화벽 필터의 필터 동작으로 다음 홉 그룹을 지정한 다음 MX 시리즈 라우터 또는 EX 시리즈 스위치의 논리적 터널 인터페이스() 또는 가상 터널 인터페이스(lt-
vt-
)에 방화벽 필터를 적용합니다.
로드 밸런싱 미러링된 트래픽에 하위 그룹을 사용하는 것은 지원되지 않습니다.
포트 미러링을 위한 MX 시리즈 라우터의 다음 홉 그룹 정의
릴리스 14.2부터 인터넷 프로세서 II ASIC(Application-Specific Integrated Circuit) 또는 T 시리즈 인터넷 프로세서를 포함하는 라우터에서 IP 버전 4(IPv4) 또는 IP 버전 6(IPv6) 패킷의 사본을 라우터에서 외부 호스트 주소 또는 패킷 분석기로 전송하여 분석할 수 있습니다. 이는 포트 미러링으로 알려져 있습니다.
포트 미러링은 트래픽 샘플링과는 다릅니다. 트래픽 샘플링에서 IPv4 헤더를 기반으로 하는 샘플링 키가 라우팅 엔진으로 전송됩니다. 여기에서 키를 파일에 저장하거나 키를 기반으로 한 cflowd 패킷을 cflowd 서버로 보낼 수 있습니다. 포트 미러링에서는 전체 패킷이 복사되어 다음 홉 인터페이스를 통해 전송됩니다.
샘플링 및 포트 미러링의 동시 사용을 구성할 수 있으며, 포트 미러링된 패킷에 대해 독립적인 샘플링 속도 및 실행 거리를 설정할 수 있습니다. 그러나 샘플링 및 포트 미러링을 모두 위해 패킷을 선택한 경우 하나의 작업만 수행할 수 있으며 포트 미러링이 우선합니다. 예를 들어, 인터페이스에 입력되는 모든 패킷을 샘플링하도록 인터페이스를 구성하고 필터가 다른 인터페이스로 포트 미러링할 패킷을 선택하는 경우, 포트 미러링만 적용됩니다. 명시적 필터 포트 미러링 기준과 일치하지 않는 다른 모든 패킷은 최종 대상으로 전달될 때 계속 샘플링됩니다.
다음 홉 그룹을 사용하면 여러 인터페이스에 포트 미러링을 포함할 수 있습니다.
MX 시리즈 라우터에서는 터널 인터페이스 입력 트래픽을 여러 대상으로 미러링할 수 있습니다. 이러한 형태의 멀티패킷 포트 미러링을 위해서는 다음 홉 그룹에 두 개 이상의 대상을 지정하고, 다음 홉 그룹을 필터 동작으로 참조하는 방화벽 필터를 정의한 다음, MX 시리즈 라우터의 논리 터널 인터페이스 lt-
)vt-
또는 가상 터널 인터페이스에 필터를 적용합니다.
레이어 2 포트 미러링 방화벽 필터 동작을 위한 다음 홉 그룹을 정의하려면:
예: M, MX 및 T 시리즈 라우터에서 다음 홉 그룹으로 다중 포트 미러링 구성
두 개 이상의 패킷 유형을 포함하는 트래픽을 분석해야 하거나 단일 유형의 트래픽에 대해 여러 유형의 분석을 수행하려는 경우 여러 포트 미러링 및 다음 홉 그룹을 구현할 수 있습니다. 그룹당 최대 16개의 트래픽 복사본을 만들어 다음 홉 그룹 멤버에게 트래픽을 전송할 수 있습니다. 한 번에 라우터에서 최대 30개의 그룹을 구성할 수 있습니다. 포트 미러링된 트래픽은 어그리게이션된 SONET/SDH, 어그리게이션된 이더넷, 루프백(lo0) 또는 관리(fxp0) 인터페이스를 제외한 모든 인터페이스로 전송될 수 있습니다. 포트 미러링된 트래픽을 여러 플로우 서버 또는 패킷 분석기로 보내려면 계층 수준에서 문을 [edit forwarding-options]
사용할 next-hop-group
수 있습니다.
그림 1 은(는) 다음 홉 그룹으로 다중 포트 미러링을 구성하는 방법의 예를 보여줍니다. 모든 트래픽은 인터페이스 ge-1/0/0에서 모니터링 라우터로 들어갑니다. 방화벽 필터는 터널 서비스 PIC로 들어오는 모든 패킷을 카운트하고 포트 미러링합니다. 두 번째 필터는 터널 인터페이스에 적용되며 트래픽을 세 가지 범주로 분할합니다. HTTP 트래픽, FTP 트래픽 및 기타 모든 트래픽. 세 가지 유형의 트래픽은 세 개의 개별 다음 홉 그룹에 할당됩니다. 각 다음 홉 그룹에는 서로 다른 그룹의 패킷 분석기 및 플로우 서버로 연결되는 고유한 출구 인터페이스 쌍이 포함되어 있습니다.
동일한 PFE에서 다른 대상으로 패킷을 미러링하도록 활성화된 인스턴스는 각 인스턴스에 대해 다른 샘플링 매개 변수를 사용합니다. 글로벌 포트 미러링 및 인스턴스 기반 포트 미러링을 모두 사용하여 레이어 2 포트 미러링을 구성하면 PIC 수준 인스턴스는 FPC 수준보다 우선하고 FPC 수준은 글로벌 인스턴스를 재정의합니다.
[edit] interfaces { ge-1/0/0 { # This is the input interface where packets enter the router. unit 0 { family inet { filter { input mirror_pkts; # Here is where you apply the first filter. } address 10.11.1.1/24; } } } ge-1/1/0 { # This is an exit interface for HTTP packets. unit 0 { family inet { address 10.12.1.1/24; } } } ge-1/2/0 { # This is an exit interface for HTTP packets. unit 0 { family inet { address 10.13.1.1/24; } } } so-0/3/0 { # This is an exit interface for FTP packets. unit 0 { family inet { address 10.1.1.1/30; } } } so-4/3/0 { # This is an exit interface for FTP packets. unit 0 { family inet { address 10.2.2.1/30; } } } so-7/0/0 { # This is an exit interface for all remaining packets. unit 0 { family inet { address 10.5.5.1/30; } } } so-7/0/1 { # This is an exit interface for all remaining packets. unit 0 { family inet { address 10.6.6.1/30; } } } vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic. unit 0 { family inet; } unit 1 { family inet { filter { input collect_pkts; # This is where you apply the second firewall filter. } } } } } forwarding-options { port-mirroring { # This is required when you configure next-hop groups. family inet { input { rate 1; # This port-mirrors all packets (one copy for every packet received). } output { # Sends traffic to a tunnel interface to enable multiport mirroring. interface vt-3/3/0.1; no-filter-check; } } } next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the interface so-4/3/0.0; # interface name. interface so-0/3/0.0; } next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces. interface ge-1/1/0.0 { next-hop 10.12.1.2; } interface ge-1/2/0.0 { next-hop 10.13.1.2; } } next-hop-group default-collect { interface so-7/0/0.0; interface so-7/0/1.0; } } firewall { family inet { filter mirror_pkts { # Apply this filter to the input interface. term catch_all { then { count input_mirror_pkts; port-mirror; # This action sends traffic to be copied and port-mirrored. } } } filter collect_pkts { # Apply this filter to the tunnel interface. term ftp-term { # This term sends FTP traffic to an FTP next-hop group. from { protocol ftp; } then next-hop-group ftp-traffic; } term http-term { # This term sends HTTP traffic to an HTTP next-hop group. from { protocol http; } then next-hop-group http-traffic; } term default { # This sends all remaining traffic to a final next-hop group. then next-hop-group default-collectors; } } } }
예: 여러 대상으로 레이어 2 포트 미러링
MX 시리즈 라우터에서는 터널 인터페이스에 적용된 레이어 2 포트 미러링 방화벽 필터에 다음 홉 그룹을 구성하여 여러 대상으로 트래픽을 미러링할 수 있습니다.
FPC 2의 PIC 0에서 터널 서비스를 지원하도록 섀시를 구성합니다. 이 구성에는 FPC 2, PIC 0, 포트 10의 논리적 터널 인터페이스 2개가 포함됩니다.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }
3개의 브리지 도메인과 1개의 레이어 2 VPN CCC에 대한 물리적 및 논리적 인터페이스를 구성합니다.
브리지 도메인 bd 은 논리적 인터페이스 ge-2/0/1.0 와 ge-2/0/1.1.
브리지 도메인 bd_next_hop_group 은 논리적 인터페이스 ge-2/2/9.0 와 ge-2/0/2.0.
브리지 도메인 bd_port_mirror 은 논리 터널 인터페이스를 lt-2/0/10.2사용합니다.
레이어 2 VPN CCC if_switch 는 논리적 인터페이스 ge-2/0/1.2 와 lt-2/0/10.1를 연결합니다.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }
3개의 브리지 도메인과 레이어 2 VPN 스위칭 CCC를 구성합니다.
브리지 도메인 bd 은 논리적 인터페이스 ge-2/0/1.0 와 ge-2/0/1.1.
브리지 도메인 bd_next_hop_group 은 논리적 인터페이스 ge-2/2/9.0 와 ge-2/0/2.0.
브리지 도메인 bd_port_mirror 은 논리적 터널 인터페이스를 lt-2/0/10.2사용합니다.
레이어 2 VPN CCC if_switch 는 인터페이스 ge-2/0/1.2 와 lt-2/0/10.1를 연결합니다.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }
레이어 2 스위칭 교차 연결을 위한 CCC 연결 구성에 대한 자세한 내용은 MPLS 애플리케이션 사용 설명서를 참조하십시오.
전달 옵션 구성:
글로벌 포트 미러링 속성을 구성하여 브리지 도메인의 bd_port_mirror인터페이스에 대한 트래픽을 미러링 family vpls 합니다.
레이어 2 트래픽을 브리지 도메인bd_next_hop_group으로 전달하도록 다음 홉 그룹을 nhg_mirror_to_bd 구성합니다.
이 두 가지 포워딩 옵션은 모두 포트 미러링 방화벽 필터에 의해 참조됩니다.
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }
트래픽에 대해 family bridge 2개의 레이어 2 포트 미러링 방화벽 필터를 구성합니다.
filter_pm_bridge- 모든 family bridge 트래픽을 글로벌 포트 미러링 대상으로 보냅니다.
filter_redirect_to_nhg- 모든 family bridge 트래픽을 최종 다음 홉 그룹으로 nhg_mirror_to_bd보냅니다.
트래픽에 대한 family bridge 레이어 2 포트 미러링 방화벽 필터는 캡슐화 ethernet-bridge로 구성된 물리적 인터페이스의 트래픽에 적용됩니다.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.