이 페이지에서
논리적 인터페이스에서 포트 미러링 구성
레이어 2 포트 미러링 방화벽 필터
이 항목에서는 다음 정보에 대해 설명합니다.
- 레이어 2 포트 미러링 방화벽 필터 개요
- 논리적 인터페이스에서 수신 또는 전송된 패킷 미러링
- VLAN으로 전달되거나 플러딩된 패킷 미러링
- VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷 미러링
레이어 2 포트 미러링 방화벽 필터 개요
MX 시리즈 라우터와 EX 시리즈 스위치에서 방화벽 필터용어 를 구성하여 레이어 2 포트 미러링 이 방화벽 필터가 적용되는 인터페이스의 모든 패킷에 적용되도록 지정할 수 있습니다.
레이어 2 포트 미러링 방화벽 필터를 입력 또는 출력 논리적 인터페이스(어그리게이션된 이더넷 논리적 인터페이스 포함), VLAN으로 전달되거나 플러드된 트래픽 또는 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용할 수 있습니다.
MX 시리즈 라우터 및 EX 시리즈 스위치는 레이어 2 환경에서 VPLS( 또는 ) 트래픽 및 레이어 2 VPN 트래픽 의 레이어 2 포트 미러링을 지원합니다family ethernet-switchingfamily vplsfamily ccc
방화벽 필터 내에서 다음 방법 중 하나로 문 아래에 레이어 2 포트 미러링 속성을 지정할 수 있습니다.termthen
포트에서 유효한 레이어 2 포트 미러링 속성을 암시적으로 참조합니다.
레이어 2 포트 미러링의 특정 명명된 인스턴스를 명시적으로 참조합니다.
레이어 2 포트 미러링 방화벽 필터를 구성할 때 경로 소스 주소를 기반으로 일치 조건을 지정하는 명령문(옵션 )을 포함하지 마십시오.from 모든 패킷이 일치하는 것으로 간주되고 문에 지정된 모든 패킷이 사용되도록 이 문을 생략합니다 .actionsaction-modifiersthen
들어오는 모든 패킷을 미러링하려면 from 문을 사용하면 안 됩니다. /*코멘트: 하나는 패킷의 하위 집합만 미러링하는 데 관심이 있는 경우 로 필터 용어를 구성합니다.
통합 라우팅 및 브리징(IRB)을 VLAN(또는 VPLS 라우팅 인스턴스)과 연결하고 VLAN(또는 VPLS 라우팅 인스턴스) 내에서 또는 작업을 포함하는 포워딩 테이블 필터를 구성하는 경우, IRB 패킷은 레이어 2 패킷으로 미러링됩니다.port-mirrorport-mirror-instance VLAN(또는 VPLS 라우팅 인스턴스)에서 no-irb-layer-2-copy 문을 구성하여 이 동작을 비활성화할 수 있습니다.https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html
레이어 2 포트 미러링 방화벽 필터를 구성하는 방법에 대한 자세한 설명은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
프로바이더 에지(PE) 라우터 또는 PE 스위치로 구성된 MX 라우터 및 EX 시리즈 스위치와 함께 레이어 2 포트 미러링 방화벽 필터를 사용하는 방법에 대한 자세한 내용은 PE 라우터 논리적 인터페이스의 레이어 2 포트 미러링 이해를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html 일반적인 방화벽 필터 구성(레이어 3 환경 포함)에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용 설명서를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
논리적 인터페이스에서 수신 또는 전송된 패킷 미러링
논리적 인터페이스에서 수신 또는 전송된 레이어 2 트래픽을 미러링하려면 인터페이스의 입력 또는 출력에 포트 미러링 방화벽 필터를 적용합니다.
포트 미러링 방화벽 필터는 어그리게이션 이더넷 논리적 인터페이스에도 적용될 수 있습니다. 자세한 내용은 PE 라우터 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링 이해하기를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html
포트 미러링 방화벽 필터가 논리 인터페이스의 입력과 출력 모두에 적용되면, 각 패킷의 복사본 두 개가 미러링됩니다. 라우터 또는 스위치가 중복 패킷을 동일한 대상으로 전달하는 것을 방지하기 위해 레이어 2 패킷 주소 패밀리의 글로벌 인스턴스에서 레이어 2 포트 미러링에 대해 "mirror-once" 옵션을 활성화할 수 있습니다.
VLAN으로 전달되거나 플러딩된 패킷 미러링
VLAN으로 전달되거나 VLAN으로 플러드된 레이어 2 트래픽을 미러링하려면 포워딩 테이블 또는 플러드 테이블에 대한 입력에 포트 미러링 방화벽 필터를 적용합니다. VLAN 포워딩 또는 플러드 테이블에 대해 수신되고 필터 조건과 일치하는 모든 패킷이 미러링됩니다.
VLAN에 대한 자세한 내용은 레이어 2 브리지 도메인 이해를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html VLAN의 플러딩 동작에 대한 자세한 내용은 브리지 도메인에 대한 레이어 2 학습 및 전달 이해를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html
하나의 VLAN 아래에 있는 인터페이스에서 포트 미러링을 구성할 때 미러링된 패킷은 다른 VLAN에 위치한 외부 분석기로 이동할 수 있습니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷 미러링
VPLS 라우팅 인스턴스로 전달되거나 플러드된 레이어 2 트래픽을 미러링하려면 포워딩 테이블 또는 플러드 테이블에 대한 입력에 포트 미러링 방화벽 필터를 적용합니다. VPLS 라우팅 인스턴스 포워딩 또는 플러드 테이블에 대해 수신되고 필터 조건과 일치하는 모든 패킷은 미러링됩니다.
VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성 및 브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
레이어 2 포트 미러링 방화벽 필터 정의
VPLS(Virtual Private LAN Service) 트래픽( 또는 )과 MX 시리즈 라우터 및 EX 시리즈 스위치에서만 제품군 이 있는 레이어 2 VPN의 경우, 패킷이 방화벽 필터 용어에 구성된 조건과 일치할 경우 수행할 작업으로 레이어 2 포트 미러링을 지정하는 방화벽 필터를 정의할 수 있습니다.family ethernet-switchingfamily vplsccc
다음과 같은 방법으로 레이어 2 포트 미러링 방화벽 필터를 사용할 수 있습니다.
논리적 인터페이스에서 수신 또는 전송된 패킷을 미러링합니다.
VLAN으로 전달되거나 플러드된 패킷을 미러링합니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷을 미러링합니다.
터널 인터페이스 입력 패킷만 여러 대상으로 미러링합니다.
MX 시리즈 라우터와 EX 시리즈 스위치에서 구성할 수 있는 세 가지 유형의 레이어 2 포트 미러링에 대한 요약은 레이어 2 포트 미러링 유형 적용을 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html
레이어 2 포트 미러링 작업으로 방화벽 필터를 정의하려면:
포트 미러링을 위한 프로토콜 독립 방화벽 필터 구성
MPC가 있는 MX 시리즈 라우터에서는 글로벌 수준과 인스턴스 수준에서 레이어 2 및 레이어 3 패킷을 미러링하도록 방화벽 필터를 구성할 수 있습니다. 포트 미러링이 수신 또는 송신에 구성되면 인터페이스에 들어오거나 나가는 패킷이 복사되고 복사본이 로컬 모니터링을 위해 로컬 인터페이스로 전송됩니다.
Junos OS 릴리스 13.3R6부터는 MPC 인터페이스만 포트 미러링을 지원합니다 .family any DPC 인터페이스는 을(를) 지원하지 않습니다.family any
일반적으로 방화벽 필터는 인터페이스에서 구성된 제품군을 기반으로 레이어 2 또는 레이어 3 패킷을 미러링하도록 구성됩니다. 그러나 통합 라우팅 및 브리징(IRB) 인터페이스의 경우 IRB 인터페이스가 레이어 3 패킷만 미러링하도록 구성되기 때문에 레이어 2 패킷이 완전히 미러링되지 않습니다. 이러한 인터페이스에서 제품군 의 방화벽 필터 및 포트 미러링 매개 변수를 구성하여 패킷이 레이어 2인지 레이어 3인지에 관계없이 패킷이 완전히 미러링되도록 할 수 있습니다.any
인스턴스의 포트 미러링의 경우, 동일한 인스턴스에 대해 , , , 등과 같은 하나 이상의 패밀리를 동시에 구성할 수 있습니다.inetinet6cccvpls
레이어 2 포트 미러링의 경우 VLAN 태그, MPLS 헤더가 유지되며 송신 시 미러링된 복사본에서 볼 수 있습니다.
VLAN 표준화의 경우, 수신 시 미러링된 패킷에 대해 표준화 전의 정보가 표시됩니다. 마찬가지로, 송신 시, 미러링된 패킷에 대한 정규화 후의 정보가 표시됩니다.
포트 미러링 구성을 시작하기 전에 유효한 물리적 인터페이스를 구성해야 합니다.
포트 미러링을 위한 프로토콜 독립적 방화벽 필터 구성하기:
예: 방화벽 필터로 직원 웹 트래픽 미러링
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
스위치 1개
Junos 14.1X53-D20
개요
이 예에서는 직원 컴퓨터에 대한 연결 역할을 합니다 .xe-0/0/0xe-0/0/6 인터페이스가 분석기 애플리케이션을 실행하는 디바이스에 연결되어 있습니다.xe-0/0/47
모든 트래픽을 미러링하기보다는 일반적으로 특정 트래픽만 미러링하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산에 대한 제약 때문에 필요할 수 있습니다. 이 예에서는 직원 컴퓨터에서 웹으로 보낸 트래픽만 미러링합니다.
구성
직원이 웹으로 보내는 트래픽만 미러링되도록 지정하려면 이 섹션에서 설명하는 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 보냅니다.
절차
CLI 빠른 구성
웹으로 향하는 직원 컴퓨터의 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트의 직원 대 웹 트래픽의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.
출력 인터페이스와 분석기 애플리케이션을 실행하는 디바이스의 IP 주소를 다음 홉으로 포함하여 포트 미러링 인스턴스를 구성합니다. (출력만 구성합니다. 입력은 필터에서 나옵니다.) 또한 미러가 IPv4 트래픽용임을 지정해야 합니다().
family inet[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
웹으로 전송된 트래픽을 일치시키고 포트 미러링 인스턴스로 보내는 용어를 포함하는 IPv4() 방화벽 필터를 구성합니다.
family inetwatch-employee회사 서브넷(의 대상 또는 소스 주소 )에서 송수신되는 트래픽은 복사할 필요가 없으므로, 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 먼저 해당 트래픽을 수락하는 다른 용어를 생성합니다.192.0.nn.nn/24[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
직원 컴퓨터와 분석기 디바이스에 연결된 IPv4 인터페이스의 주소를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
결과
구성 결과를 확인합니다:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
검증
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 분석기가 적절한 입력 인터페이스와 출력 인터페이스로 생성되었는지 확인합니다.
작업
명령을 사용하여 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다 .show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 의미
이 출력은 포트 미러링 인스턴스의 비율이 1(모든 패킷 미러링, 기본 설정)이고 미러링된 원본 패킷의 최대 크기( 전체 패킷을 나타냄)가 있음을 보여줍니다.0 출력 인터페이스의 상태가 down이거나 출력 인터페이스가 구성되지 않은 경우, state 값은 가 되고 인스턴스는 미러링을 위해 프로그래밍되지 않습니다.down
PE 라우터 또는 PE 스위치 논리적 인터페이스의 레이어 2 포트 미러링
서비스 프로바이더 네트워크의 고객 대면 에지에서 프로바이더 에지(PE) 디바이스로 구성된 라우터 또는 스위치의 경우, 다음 수신 및 송신 지점에 레이어 2 포트 미러링 방화벽 필터를 적용하여 라우터 또는 스위치와 고객 에지(CE) 디바이스(일반적으로 라우터 및 이더넷 스위치이기도 함) 간의 트래픽을 미러링할 수 있습니다.
표 1 에서는 레이어 2 포트 미러링 방화벽 필터를 PE 디바이스로 구성된 라우터 또는 스위치에 적용할 수 있는 방법을 설명합니다.
적용 지점 |
미러링 범위 |
설명 |
구성 세부 정보 |
|---|---|---|---|
수신 고객 대면 논리적 인터페이스 |
서비스 프로바이더 고객의 네트워크 내에서 시작되어 먼저 고객 에지(CE) 디바이스로 전송되고 PE 디바이스 옆으로 전송되는 패킷. |
VPLS 라우팅 인스턴스를 위해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수도 있습니다. 트래픽은 어그리게이션 인터페이스의 모든 링크에서 로드 밸런싱됩니다. 어그리게이션 이더넷 인터페이스에서 수신된 트래픽은 대상 MAC(DMAC) 주소의 조회를 기반으로 다른 인터페이스를 통해 전달됩니다.
|
레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오. VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성 및 브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html |
송신 고객 대면 논리적 인터페이스 |
PE 디바이스에서 다른 PE 디바이스로 전달되는 유니캐스트 패킷. 논리 인터페이스의 출력에 포트 미러링 필터를 적용하면 유니캐스트 패킷만 미러링됩니다.NOTE: 멀티캐스트, 알 수 없는 유니캐스트 및 브로드캐스트 패킷을 미러링하려면 VLAN 또는 VPLS 라우팅 인스턴스의 플러드 테이블 입력에 필터를 적용합니다. |
레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오. |
|
VLAN 포워딩 테이블 또는 플러드 테이블에 대한 입력 |
CE 디바이스에서 VLAN으로 전송되는 트래픽 또는 플러드 트래픽 포워딩. |
포워딩 및 플러드 트래픽은 일반적으로 브로드캐스트 패킷, 멀티캐스트 패킷, 목적지 MAC 주소를 알 수 없는 유니캐스트 패킷 또는 DMAC 라우팅 테이블에 MAC 항목이 있는 패킷으로 구성됩니다. |
레이어 2 포트 미러링을 브리지 도메인에 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
VPLS 라우팅 인스턴스 포워딩 테이블 또는 플러드 테이블에 대한 입력 |
CE 디바이스에서 VPLS 라우팅 인스턴스로 전송되는 트래픽 또는 플러드 트래픽 포워딩. |
레이어 2 포트 미러링을 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
PE 라우터 또는 PE 스위치 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링
어그리게이션 이더넷 인터페이스는 동일한 속도의 물리적 인터페이스 집합으로 구성되고 전이중 링크 연결 모드에서 작동하는 가상 어그리게이션 링크입니다. VPLS 라우팅 인스턴스를 위해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수 있습니다. 트래픽은 어그리게이션 인터페이스의 모든 링크에서 로드 밸런싱됩니다. 어그리게이션 인터페이스에서 하나 이상의 링크에 장애가 발생하면 트래픽이 나머지 링크로 전환됩니다.
레이어 2 포트 미러링 방화벽 필터를 어그리게이션 이더넷 인터페이스에 적용하여 상위 인터페이스에서 포트 미러링 을 구성할 수 있습니다. 그러나 하위 인터페이스가 다른 레이어 2 포트 미러링 인스턴스에 바인딩된 경우 하위 인터페이스에서 수신된 패킷은 해당 포트 미러링 인스턴스에서 지정한 대상으로 미러링됩니다. 따라서 여러 하위 인터페이스가 패킷을 여러 대상으로 미러링할 수 있습니다.
예를 들어, 상위 어그리게이션 이더넷 인터페이스 인스턴스에 두 개의 하위 인터페이스가 있다고 가정해 보겠습니다.ae0
xe-2/0/0xe-3/1/2
의 이러한 하위 인터페이스가 두 개의 서로 다른 레이어 2 포트 미러링 인스턴스에 바인딩되었다고 가정해 보겠습니다.ae0
- 하위 인터페이스에 바인딩된 레이어 2 포트 미러링의 명명된 인스턴스입니다.
pm_instance_Axe-2/0/0- 하위 인터페이스에 바인딩된 레이어 2 포트 미러링의 명명된 인스턴스입니다.
pm_instance_Bxe-3/1/2
이제 전송된 레이어 2 트래픽 (어그리게이션된 이더넷 인터페이스 인스턴스의 논리적 단위)에 레이어 2 포트 미러링 방화벽 필터를 적용한다고 가정해 보겠습니다.ae0.000 이는 에서 포트 미러링을 활성화하며, 이는 레이어 2 포트 미러링 속성이 지정된 하위 인터페이스에서 수신된 트래픽 처리에 다음과 같은 영향을 미칩니다.ae0.0
에서 수신된 패킷은 포트 미러링 인스턴스에서 구성된 출력 인터페이스로 미러링됩니다.
xe-2/0/0pm_instance_A에서 수신된 패킷은 포트 미러링 인스턴스에서 구성된 출력 인터페이스로 미러링됩니다.
xe-3/1/2.0pm_instance_B
및 은(는) 다른 패킷 선택 속성 또는 미러링 대상 속성을 지정할 수 있기 때문에 에서 수신된 패킷은 다른 패킷을 다른 대상으로 미러링할 수 있습니다.pm_instance_Apm_instance_Bxe-2/0/0xe-3/1/2.0
레이어 2 포트 미러링을 논리적 인터페이스에 적용
레이어 2 포트 미러링 방화벽 필터를 어그리게이션 이더넷 논리적 인터페이스를 포함한 논리적 인터페이스의 입력 또는 출력에 적용할 수 있습니다. 필터 동작으로 지정된 주소 유형 계열의 패킷만 미러링됩니다.
시작하기 전에 다음 작업을 완료하십시오.
논리적 인터페이스의 입력 또는 논리적 인터페이스의 출력에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
주:이 구성 작업에는 두 개의 레이어 2 포트 미러링 방화벽 필터가 표시됩니다. 논리적 인터페이스 수신 트래픽에 적용된 필터 하나와 논리적 인터페이스 송신 트래픽에 적용된 필터 하나.
레이어 2 포트 미러링 방화벽 필터를 입력 또는 출력 논리적 인터페이스에 적용하려면:
브리지 도메인으로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용
레이어 2 포트 미러링 방화벽 필터를 브리지 도메인으로 전달되거나 플러딩되는 트래픽에 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 브리지 도메인으로 전달되거나 플러딩된 패킷만 미러링됩니다.
시작하기 전에 다음 작업을 완료하십시오.
브리지 도메인으로 전달되거나 브리지 도메인으로 플러딩되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
주:이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 브리지 도메인 포워딩 테이블 수신 트래픽에 적용된 필터 하나와 브리지 도메인 플러드 테이블 수신 트래픽에 적용된 필터 하나.
레이어 2 포트 미러링 방화벽 필터를 브리지 도메인의 포워딩 테이블 또는 플러드 테이블에 적용하려면 다음을 수행합니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용
레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스로 전달되거나 플러드되는 트래픽에 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷만 미러링됩니다.
시작하기 전에 다음 작업을 완료하십시오.
VPLS 라우팅 인스턴스로 전달되거나 VLAN으로 플러드되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
주:이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 필터 하나는 VPLS 라우팅 인스턴스 포워딩 테이블 수신 트래픽에 적용되고, 다른 필터는 VPLS 라우팅 인스턴스 플러드 테이블 수신 트래픽에 적용됩니다.
레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스의 포워딩 테이블 또는 플러드 테이블에 적용하려면,
VLAN으로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용
VLAN으로 전달되거나 플러딩되는 트래픽에 레이어 2 포트 미러링 방화벽 필터를 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 VLAN으로 전달되거나 플러딩된 패킷만 미러링됩니다.
시작하기 전에 다음 작업을 완료하십시오.
VLAN으로 전달되거나 VLAN으로 플러딩되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
주:이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 하나의 필터는 VLAN 포워딩 테이블 수신 트래픽에 적용되고, 다른 하나는 VLAN 플러드 테이블 수신 트래픽에 적용됩니다.
레이어 2 포트 미러링 방화벽 필터를 VLAN의 포워딩 테이블 또는 플러드 테이블에 적용하려면 다음을 수행합니다.
예: 논리적 인터페이스에서 레이어 2 포트 미러링
다음 단계는 글로벌 포트 미러링 인스턴스 및 포트 미러링 방화벽 필터를 사용하여 논리적 인터페이스에 대한 입력에 대한 레이어 2 포트 미러링을 구성하는 예를 설명합니다.
외부 패킷 분석기가 포함된 VLAN과 미러링되는 레이어 2 트래픽의 소스 및 대상이 포함된 VLAN을 구성합니다.example-bd-with-analyzerexample-bd-with-traffic
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }논리적 인터페이스가 포트 미러링 패킷을 수신할 외부 트래픽 분석기와 연결되어 있다고 가정합니다.ge-2/0/0.0 논리적 인터페이스 및 가 각각 트래픽 입력 포트와 출력 포트가 될 것이라고 가정합니다.ge-2/0/6.0ge-3/0/1.2
포트 미러링 대상이 외부 분석기와 연결된 VLAN 인터페이스(VLAN의 논리적 인터페이스)가 되도록 글로벌 인스턴스에 대한 레이어 2 포트 미러링을 구성합니다.ge-2/0/0.0example-bd-with-analyzer 이 포트 미러링 대상에 필터를 적용할 수 있는 옵션을 활성화해야 합니다.
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }계층 수준의 문 은 샘플링이 매 10번째 패킷마다 시작되고 선택된 처음 5개의 패킷이 각각 미러링되도록 지정합니다.
input[edit forwarding-options port-mirroring]계층 수준의 문 은 브리징 환경에서 레이어 2 패킷에 대한 출력 미러 인터페이스를 지정합니다.
output[edit forwarding-options port-mirroring family ethernet-switching]외부 패킷 분석기와 연결된 논리적 인터페이스 는 포트 미러링 대상으로 구성됩니다.ge-2/0/0.0
선택적 문을 사용하면 이 대상 인터페이스에서 필터를 구성할 수 있습니다.
no-filter-check
레이어 2 포트 미러링 방화벽 필터를 구성합니다.example-bridge-pm-filter
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }이 방화벽 필터가 브리징 환경에서 트래픽에 대한 논리적 인터페이스의 입력 또는 출력에 적용될 때, 레이어 2 포트 미러링 글로벌 인스턴스에 대해 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 레이어 2 포트 미러링이 수행됩니다. 이 방화벽 필터는 단일 기본 필터 동작 으로 구성되므로 속성( = 및 = )으로 선택한 모든 패킷이 이 필터와 일치합니다.acceptinputrate10run-length5
논리적 인터페이스를 구성합니다.
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }VLAN 의 논리적 인터페이스에서 수신된 패킷은 포트 미러링 방화벽 필터에 의해 평가됩니다.ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter 방화벽 필터는 방화벽 필터 자체에 구성된 필터 동작과 글로벌 포트 미러링 인스턴스에 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 입력 트래픽에 작용합니다.
에서 수신된 모든 패킷은 논리적 인터페이스의 (가정된) 정상 대상으로 전달됩니다.ge-2/0/6.0ge-3/0/1.2
10개의 입력 패킷마다 해당 선택 항목의 처음 5개 패킷 사본은 다른 VLAN의 논리적 인터페이스에 있는 외부 분석기로 전달됩니다.ge-0/0/0.0example-bd-with-analyzer
작업 대신 작업을 수행하도록 포트 미러링 방화벽 필터를 구성하면 전역 포트 미러링 속성을 사용하여 선택한 패킷의 복사본이 외부 분석기로 전송되는 동안 모든 원본 패킷이 삭제됩니다.example-bridge-pm-filterdiscardacceptinput
예: 레이어 2 VPN을 위한 레이어 2 포트 미러링
다음 예는 완전한 구성은 아니지만 를 사용하여 L2VPN에서 포트 미러링을 구성하는 데 필요한 모든 단계를 보여줍니다.family ccc
외부 패킷 분석기가 포함된 VLAN 을 구성합니다.port-mirror-bd
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }논리적 인터페이스 와 논리적 인터페이스를 연결하도록 레이어 2 VPN CCC를 구성합니다.ge-2/0/1.0ge-2/0/1.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }포트 미러링 대상이 외부 분석기와 연결된 VLAN 인터페이스(VLAN의 논리적 인터페이스)가 되도록 글로벌 인스턴스에 대한 레이어 2 포트 미러링을 구성합니다.ge-2/2/9.0example-bd-with-analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }에 대한 레이어 2 포트 미러링 방화벽 필터를 정의합니다.pm_filter_cccfamily ccc
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }포트 미러 인스턴스를 섀시에 적용합니다.
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }VLAN에 대한 인터페이스를 구성하고 방화벽 필터를 사용하여 포트 미러링을 위한 인터페이스를 구성합니다.ge-2/2/9ge-2/0/1pm_filter_ccc
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
예: LAG 링크가 있는 레이어 2 VPN에 대한 레이어 2 포트 미러링
다음 예는 완전한 구성은 아니지만 통합 이더넷 링크를 사용하여 L2VPN에서 포트 미러링을 구성하는 데 필요한 모든 단계를 보여줍니다.family ccc
외부 패킷 분석기가 포함된 VLAN 을 구성합니다.port_mirror_bd
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }인터페이스 와 인터페이스를 연결하도록 레이어 2 VPN CCC를 구성합니다.ae0.0ae0.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }포트 미러링 대상이 외부 분석기와 연결된 VLAN 인터페이스(VLAN의 논리적 인터페이스)가 되도록 글로벌 인스턴스에 대한 레이어 2 포트 미러링을 구성합니다.ge-2/2/9.0example_bd_with_analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }에 대한 방화벽 필터를 구성합니다.pm_cccfamily ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }어그리게이션 이더넷 인터페이스와 포트 미러 인스턴스를 섀시에 적용합니다.
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }필터를 사용하여 인터페이스 및 (어그리게이션 이더넷의 경우) 및 (포트 미러링의 경우)를 구성합니다.ae0ge-2/0/2ge-2/2/8pm_ccc
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
family any