이 페이지에서
논리적 인터페이스에서 포트 미러링 구성
레이어 2 포트 미러링 방화벽 필터
이 주제는 다음 정보를 설명합니다.
- 레이어 2 포트 미러링 방화벽 필터 개요
- 논리적 인터페이스에서 수신 또는 전송된 패킷 미러링
- VLAN으로 전달되거나 플러드된 패킷 미러링
- VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷 미러링
레이어 2 포트 미러링 방화벽 필터 개요
MX 시리즈 라우터와 EX 시리즈 스위치에서 방화벽 필터 용어를 구성하여 레이어 2 포트 미러링 이 방화벽 필터가 적용되는 인터페이스의 모든 패킷에 적용되도록 지정할 수 있습니다.
레이어 2 포트 미러링 방화벽 필터를 입력 또는 출력 논리적 인터페이스(어그리게이션 이더넷 논리적 인터페이스 포함), VLAN으로 전달되거나 플러드된 트래픽 또는 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용할 수 있습니다.
MX 시리즈 라우터 및 EX 시리즈 스위치는 레이어 2 환경에서 VPLS(family ethernet-switching 또는 family vpls) 트래픽 및 레이어 2 VPN 트래픽 family ccc 의 레이어 2 포트 미러링을 지원합니다.
방화벽 필터 term내에서 문 아래에서 then 다음 방법 중 하나를 통해 레이어 2 포트 미러링 속성을 지정할 수 있습니다.
포트에서 실제로 적용되는 레이어 2 포트 미러링 속성을 암묵적으로 참조합니다.
레이어 2 포트 미러링의 특정 명명된 인스턴스를 명시적으로 참조합니다.
레이어 2 포트 미러링 방화벽 필터를 구성할 때, 경로 소스 주소에 따라 일치 조건을 지정하는 선택적 from 문을 포함하지 마십시오. 모든 패킷이 일치하는 것으로 간주되고 문에 then 모두 actions 지정 action-modifiers 되도록 이 명령문을 생략합니다.
들어오는 모든 패킷을 미러러가려면 문을 사용하지 않아야 합니다. /*코멘트: 하나의 필터 용어는 패킷 하위 집합만 미러링하는 데 관심이 있는 경우와 함께 구성합니다.
통합 라우팅 및 브리징(IRB)을 VLAN(또는 VPLS 라우팅 인스턴스)과 연결하고 또는 작업과 포워딩 테이블 필터 port-mirrorport-mirror-instance 의 VLAN(또는 VPLS 라우팅 인스턴스) 내에서도 구성하는 경우 IRB 패킷은 레이어 2 패킷으로 미러링됩니다. VLAN(또는 VPLS 라우팅 인스턴스)에서 irb-layer-2-copy 명령문을 구성하여 이 동작을 비활성화할 수 있습니다.
레이어 2 포트 미러링 방화벽 필터를 구성하는 방법에 대한 자세한 설명은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.
MX 라우터 및 프로바이더 에지(PE) 라우터 또는 PE 스위치로 구성된 EX 시리즈 스위치를 사용하는 레이어 2 포트 미러링 방화벽 필터를 사용하는 방법에 대한 자세한 내용은 PE 라우터 논리적 인터페이스의 레이어 2 포트 미러링 이해를 참조하십시오. 일반적인 방화벽 필터 구성(레이어 3 환경 포함)에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
논리적 인터페이스에서 수신 또는 전송된 패킷 미러링
논리적 인터페이스에서 수신되거나 전송된 레이어 2 트래픽을 미러링하려면 포트 미러링 방화벽 필터를 인터페이스의 입력 또는 출력에 적용합니다.
포트 미러링 방화벽 필터는 어그리게이션 이더넷 논리적 인터페이스에도 적용될 수 있습니다. 자세한 내용은 PE 라우터 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링 이해를 참조하십시오.
포트 미러링 방화벽 필터가 논리적 인터페이스의 입력 및 출력 모두에 적용되면 각 패킷의 두 복사본이 미러링됩니다. 라우터 또는 스위치가 중복 패킷을 동일한 대상으로 전달하는 것을 방지하기 위해 레이어 2 패킷 주소 패밀리의 글로벌 인스턴스에서 레이어 2 포트 미러링에 대해 "mirror-once" 옵션을 활성화할 수 있습니다.
VLAN으로 전달되거나 플러드된 패킷 미러링
VLAN으로 전달되거나 플러드된 레이어 2 트래픽을 미러링하려면 포트 미러링 방화벽 필터를 포워딩 테이블 또는 플러드 테이블 입력에 적용합니다. VLAN 포워딩 또는 플러드 테이블을 위해 수신되고 필터 조건과 일치하는 모든 패킷이 미러링됩니다.
VLAN에 대한 자세한 내용은 레이어 2 브리지 도메인 이해를 참조하십시오. VLAN의 플러딩 동작에 대한 정보는 브리지 도메인에 대한 레이어 2 학습 및 포워딩 이해를 참조하십시오.
하나의 VLAN 아래에서 모든 인터페이스에 포트 미러링을 구성할 때 미러링된 패킷은 다른 VLAN에 있는 외부 분석기로 이동할 수 있습니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷 미러링
VPLS 라우팅 인스턴스로 전달되거나 플러드된 레이어 2 트래픽을 미러링하려면 포트 미러링 방화벽 필터를 포워딩 테이블 또는 플러드 테이블 입력에 적용합니다. VPLS 라우팅 인스턴스 포워딩 또는 플러드 테이블을 위해 수신되고 필터 조건과 일치하는 모든 패킷이 미러링됩니다.
VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성 및 브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오. VPLS의 플러딩 동작에 대한 정보는 Junos OS 라우팅 디바이스용 VPN 라이브러리를 참조하십시오.
레이어 2 포트 미러링 방화벽 필터 정의
가상 프라이빗 LAN 서비스(VPLS) 트래픽(family ethernet-switching 또는 family vpls) 및 MX 시리즈 라우터 및 EX 시리즈 스위치에서만 패밀리 ccc가 있는 레이어 2 VPN의 경우, 패킷이 방화벽 필터 용어에 구성된 조건과 일치할 경우 레이어 2 포트 미러링을 수행할 작업으로 지정하는 방화벽 필터를 정의할 수 있습니다.
다음 방법으로 레이어 2 포트 미러링 방화벽 필터를 사용할 수 있습니다.
논리적 인터페이스에서 수신 또는 전송된 패킷을 미러링합니다.
VLAN으로 전달되거나 플러드된 패킷을 미러링합니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷을 미러링하려면.
터널 인터페이스 입력 패킷을 여러 대상으로만 미러레이션합니다.
MX 시리즈 라우터와 EX 시리즈 스위치에서 구성할 수 있는 세 가지 유형의 레이어 2 포트 미러링에 대한 요약은 레이어 2 포트 미러링 유형 애플리케이션을 참조하십시오.
레이어 2 포트 미러링 작업으로 방화벽 필터를 정의하려면 다음을 수행합니다.
포트 미러링을 위한 프로토콜 독립 방화벽 필터 구성
MPC가 있는 MX 시리즈 라우터에서 글로벌 수준과 인스턴스 수준에서 레이어 2 및 레이어 3 패킷을 미러링하도록 방화벽 필터를 구성할 수 있습니다. 포트 미러가 수신 또는 송신 시 구성되면 인터페이스에 들어오거나 나가는 패킷이 복사되고 로컬 모니터링을 위해 복사본이 로컬 인터페이스로 전송됩니다.
Junos OS 릴리스 13.3R6부터는 포트 미러링을 위한 MPC 인터페이스만 지원 family any 합니다. DPC 인터페이스는 을(를) 지원하지 family any않습니다.
일반적으로 방화벽 필터는 인터페이스에서 구성된 체계를 기반으로 레이어 2 또는 레이어 3 패킷을 미러화하도록 구성됩니다. 그러나 통합 라우팅 및 브리징(IRB) 인터페이스의 경우, IRB 인터페이스가 레이어 3 패킷만 미러링하도록 구성되므로 레이어 2 패킷이 완전히 미러링되지 않습니다. 이러한 인터페이스에서 방화벽 필터와 포트 미러링 매개 변수를 패밀리 any 에 구성하여 레이어 2 또는 레이어 3 패킷이든 관계없이 패킷이 완전히 미러링되도록 할 수 있습니다.
인스턴스에서 포트 미러링의 경우, , , inet6cccvpls 와 같은 inet하나 이상의 체계를 동일한 인스턴스에 동시에 구성할 수 있습니다.
레이어 2 포트 미러링의 경우, VLAN 태그는 MPLS 헤더를 유지하고 송신 시 미러링된 카피에 볼 수 있습니다.
VLAN 표준화의 경우, 수신 시 미러링된 패킷에 대한 표준화 전 정보가 표시됩니다. 마찬가지로, 송신 시 미러링된 패킷에 대해 표준화 후 정보가 표시됩니다.
포트 미러링 구성을 시작하기 전에 유효한 물리적 인터페이스를 구성해야 합니다.
포트 미러링을 위한 프로토콜 독립 방화벽 필터 구성 방법:
예를 들면 다음과 같습니다. 방화벽 필터로 직원 웹 트래픽 미러링
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
스위치 1개
Junos 14.1X53-D20
개요
이 예 xe-0/0/0xe-0/0/6 에서 직원 컴퓨터에 대한 연결 역할을 합니다. - 인터페이스 xe-0/0/47 는 분석기 애플리케이션을 실행하는 디바이스에 연결됩니다.
모든 트래픽을 미러링은 대신 특정 트래픽만 미러하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산의 제약으로 인해 필요할 수 있습니다. 이 예는 직원 컴퓨터에서 웹으로 전송된 트래픽만 미러합니다.
구성
미러링될 유일한 트래픽은 직원이 웹으로 보내는 트래픽뿐임을 지정하려면 이 섹션에서 설명한 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 안내합니다.
절차
CLI 빠른 구성
웹을 목적지로 하는 직원 컴퓨터의 트래픽 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트에서 직원 컴퓨터에서 웹 트래픽으로의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.
분석기 애플리케이션을 다음 홉으로 실행하는 디바이스의 출력 인터페이스 및 IP 주소를 포함하여 포트 미러링 인스턴스를 구성합니다. (출력만 구성하면 입력은 필터에서 나옵니다.) 또한 미러링이 IPv4 트래픽(
family inet)에 대한 것임을 지정해야 합니다.[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
웹으로 전송된 트래픽과 일치하고 포트 미러링 인스턴스로 전송하는 용어를 포함하는 라는
watch-employeeIPv4(family inet) 방화벽 필터를 구성합니다. 기업 서브넷(대상 또는 소스 주소192.0.nn.nn/24)에서 송수신하는 트래픽은 복사할 필요가 없으므로 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 해당 트래픽을 수락하기 위해 먼저 다른 용어를 생성합니다.[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
직원 컴퓨터와 분석기 디바이스에 연결된 IPv4 인터페이스에 대한 주소를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
확인
분석기가 올바르게 생성되었는지 확인
목적
분석기가 스위치에서 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
실행
명령을 사용하여 show forwarding-options port-mirroring 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 의미
이 출력 결과를 보면 포트 미러링 인스턴스의 비율은 1(모든 패킷 미러링, 기본 설정)이며 미러링된 원본 패킷의 최대 크기(0 전체 패킷을 나타냅니다)를 나타냅니다. 출력 인터페이스의 상태가 중단되거나 출력 인터페이스가 구성되지 않은 경우 상태 값은 이(가) 되고 down 인스턴스는 미러링을 위해 프로그래밍되지 않습니다.
PE 라우터 또는 PE 스위치 논리적 인터페이스의 레이어 2 포트 미러링
서비스 프로바이더 네트워크의 고객 대면 에지에서 프로바이더 에지(PE) 디바이스로 구성된 라우터 또는 스위치의 경우, 다음 수신 및 송신 지점에 레이어 2 포트 미러링 방화벽 필터 를 적용하여 라우터 또는 스위치 및 고객 에지(CE) 디바이스 간의 트래픽을 미러링할 수 있습니다. 이는 일반적으로 라우터와 이더넷 스위치입니다.
표 1 은(는) PE 디바이스로 구성된 라우터 또는 스위치에 레이어 2 포트 미러링 방화벽 필터를 적용할 수 있는 방법을 설명합니다.
애플리케이션 포인트 |
미러링 범위 |
설명 |
구성 세부 정보 |
|---|---|---|---|
수신 고객 대면 논리적 인터페이스 |
서비스 프로바이더 고객의 네트워크 내에서 발생한 패킷은 CE 디바이스로 먼저 전송되고 PE 디바이스 옆에 전송됩니다. |
VPLS 라우팅 인스턴스를 위해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수도 있습니다. 어그리게이션 인터페이스의 모든 링크에서 트래픽이 부하 분산됩니다. 어그리게이션 이더넷 인터페이스에서 수신된 트래픽은 대상 MAC(DMAC) 주소 조회를 기반으로 다른 인터페이스를 통해 전달됩니다.
|
레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오. VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성 및 브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오. |
송신 고객 대면 논리적 인터페이스 |
PE 디바이스가 다른 PE 디바이스로 전달되는 유니캐스트 패킷. NOTE:논리적 인터페이스의 출력에 포트 미러링 필터를 적용하면 유니캐스트 패킷만 미러링됩니다. 멀티캐스트, 알 수 없는 유니캐스트 및 브로드캐스트 패킷을 미러링하려면 VLAN 또는 VPLS 라우팅 인스턴스의 플러드 테이블에 대한 입력에 필터를 적용합니다. |
레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오. |
|
VLAN 포워딩 테이블 또는 플러드 테이블에 대한 입력 |
CE 디바이스에서 VLAN으로 전송되는 트래픽 또는 플러드 트래픽을 전달합니다. |
포워딩 및 플러드 트래픽은 일반적으로 브로드캐스트 패킷, 멀티캐스트 패킷, 알 수 없는 대상 MAC 주소 있는 유니캐스트 패킷 또는 DMAC 라우팅 테이블 MAC 입력 항목이 있는 패킷으로 구성됩니다. |
레이어 2 포트 미러링을 브리지 도메인으로 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 정보는 Junos OS 라우팅 디바이스용 VPN 라이브러리를 참조하십시오. |
VPLS 라우팅 인스턴스 포워딩 테이블 또는 플러드 테이블에 대한 입력 |
CE 디바이스에서 VPLS 라우팅 인스턴스로 전송되는 트래픽 또는 플러드 트래픽을 전달합니다. |
레이어 2 포트 미러링을 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 정보는 Junos OS 라우팅 디바이스용 VPN 라이브러리를 참조하십시오. |
PE 라우터 또는 PE 스위치 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링
어그리게이션 이더넷 인터페이스는 동일한 속도의 물리적 인터페이스 집합과 전이중 링크 연결 모드에서 작동하는 가상 어그리게이션 링크입니다. VPLS 라우팅 인스턴스에 대해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수 있습니다. 어그리게이션 인터페이스의 모든 링크에서 트래픽이 부하 분산됩니다. 어그리게이션 인터페이스에서 하나 이상의 링크가 실패하면 트래픽은 나머지 링크로 전환됩니다.
어그리게이션 이더넷 인터페이스에 레이어 2 포트 미러링 방화벽 필터 를 적용하여 상위 인터페이스에서 포트 미러링을 구성할 수 있습니다. 그러나 하위 인터페이스가 다른 레이어 2 포트 미러링 인스턴스에 바인딩된 경우, 하위 인터페이스에서 수신된 패킷은 해당 포트 미러링 인스턴스에 의해 지정된 대상으로 미러링됩니다. 따라서 여러 하위 인터페이스가 패킷을 여러 대상으로 미러레이션할 수 있습니다.
예를 들어, 상위 어그리게이션 이더넷 인터페이스 인스턴스 ae0 에 두 개의 하위 인터페이스가 있다고 가정합니다.
xe-2/0/0xe-3/1/2
에서 ae0 이러한 하위 인터페이스가 두 개의 서로 다른 레이어 2 포트 미러링 인스턴스에 바인딩된다고 가정해봅니다.
pm_instance_A- 하위 인터페이스xe-2/0/0에 바인딩된 레이어 2 포트 미러링의 명명된 인스턴스.pm_instance_B- 하위 인터페이스xe-3/1/2에 바인딩된 레이어 2 포트 미러링의 명명된 인스턴스.
이제 레이어 2 포트 미러링 방화벽 필터를 에 전송된 레이어 2 트래픽에 ae0.0 적용한다고 가정합니다(어그리게이션 이더넷 인터페이스 인스턴스0의 논리적 장치0). 이는 레이어 2 포트 미러링ae0.0속성이 지정된 하위 인터페이스에서 수신된 트래픽 처리에 다음과 같은 영향을 미치는 에 대한 포트 미러링을 활성화합니다.
에서
xe-2/0/0수신된 패킷은 포트 미러링 인스턴스pm_instance_A에서 구성된 출력 인터페이스로 미러링됩니다.에서
xe-3/1/2.0수신된 패킷은 포트 미러링 인스턴스pm_instance_B에서 구성된 출력 인터페이스로 미러링됩니다.
및 pm_instance_B 은(는) 다른 패킷 선택 속성을 지정하거나 대상 속성을 미러링할 수 있기 때문에 pm_instance_A 에 xe-2/0/0 수신된 패킷과 xe-3/1/2.0 다른 패킷을 다른 대상으로 미러링할 수 있습니다.
논리적 인터페이스에 레이어 2 포트 미러링 적용
어그리게이션 이더넷 논리적 인터페이스를 포함하여 레이어 2 포트 미러링 방화벽 필터를 입력 또는 논리적 인터페이스의 출력에 적용할 수 있습니다. 필터 작업으로 지정된 address-type family의 패킷만 미러링됩니다.
시작하기 전에 다음 작업을 완료하십시오.
논리적 인터페이스에 대한 입력 또는 출력에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.
주:이 구성 작업은 두 개의 레이어 2 포트 미러링 방화벽 필터를 보여줍니다. 논리적 인터페이스 수신 트래픽에 적용된 필터 하나와 논리적 인터페이스 송신 트래픽에 적용된 필터 한 개.
입력 또는 출력 논리적 인터페이스에 레이어 2 포트 미러링 방화벽 필터를 적용하려면 다음을 수행합니다.
레이어 2 포트 미러링을 브리지 도메인으로 전달되거나 플러드된 트래픽에 적용
레이어 2 포트 미러링 방화벽 필터를 브리지 도메인으로 전달되거나 플러드되는 트래픽에 적용할 수 있습니다. 지정된 패밀리 유형의 패킷만 해당 브리지 도메인으로 전달되거나 플러드됩니다.
시작하기 전에 다음 작업을 완료하십시오.
브리지 도메인으로 전달되거나 브리지 도메인으로 플러드되는 트래픽에 적용될 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.
주:이 구성 작업은 두 가지 Layer_2 포트 미러링 방화벽 필터를 보여줍니다. 수신 트래픽을 포워딩 테이블 브리지 도메인에 적용된 필터 하나와 브리지 도메인 플러드 테이블 수신 트래픽에 적용된 필터 한 개.
브리지 도메인의 포워딩 테이블 또는 플러드 테이블에 레이어 2 포트 미러링 방화벽 필터를 적용하려면 다음을 수행합니다.
VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용
레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스로 전달되거나 플러드되는 트래픽에 적용할 수 있습니다. 지정된 family 유형의 패킷만 해당 VPLS 라우팅 인스턴스로 전달되거나 플러드됩니다.
시작하기 전에 다음 작업을 완료하십시오.
VPLS 라우팅 인스턴스로 전달되거나 VLAN으로 플러드되는 트래픽에 적용될 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.
주:이 구성 작업은 두 가지 Layer_2 포트 미러링 방화벽 필터를 보여줍니다. 수신 트래픽을 포워딩 테이블 VPLS 라우팅 인스턴스에 적용된 필터 한 개와 VPLS 라우팅 인스턴스 플러드 테이블 수신 트래픽에 적용된 필터 한 개.
VPLS 라우팅 인스턴스의 포워딩 테이블 또는 플러드 테이블에 레이어 2 포트 미러링 방화벽 필터를 적용하려면,
레이어 2 포트 미러링을 VLAN으로 전달되거나 플러드된 트래픽에 적용
레이어 2 포트 미러링 방화벽 필터를 VLAN으로 전달되거나 플러드되는 트래픽에 적용할 수 있습니다. 지정된 family 유형의 패킷만 해당 VLAN으로 전달되거나 플러드됩니다.
시작하기 전에 다음 작업을 완료하십시오.
VLAN으로 전달되거나 VLAN으로 플러드되는 트래픽에 적용될 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.
주:이 구성 작업은 두 가지 Layer_2 포트 미러링 방화벽 필터를 보여줍니다. 한 필터는 VLAN 포워딩 테이블 수신 트래픽에 적용되고, 하나의 필터는 VLAN 플러드 테이블 수신 트래픽에 적용됩니다.
VLAN의 포워딩 테이블 또는 플러드 테이블에 레이어 2 포트 미러링 방화벽 필터를 적용하려면 다음을 수행합니다.
예를 들면 다음과 같습니다. 논리적 인터페이스에서 레이어 2 포트 미러링
다음 단계는 글로벌 포트 미러링 인스턴스와 포트 미러링 방화벽 필터가 논리적 인터페이스에 대한 입력에 대한 레이어 2 포트 미러링을 구성하는 데 사용되는 예를 설명합니다.
외부 패킷 분석기 포함하는 VLAN example-bd-with-analyzer과 미러링되는 레이어 2 트래픽의 소스 및 대상을 포함하는 VLAN example-bd-with-traffic을 구성합니다.
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }논리적 인터페이스 ge-2/0/0.0 가 포트 미러링된 패킷을 수신하는 외부 트래픽 분석기에 연결되어 있다고 가정합니다. 논리적 인터페이스와 ge-3/0/1.2 이(가ge-2/0/6.0) 트래픽 입력 및 출력 포트가 될 것이라고 가정합니다.
포트 미러링 대상이 외부 분석기(VLANexample-bd-with-analyzer의 논리적 ge-2/0/0.0 인터페이스)와 연결된 VLAN 인터페이스인 글로벌 인스턴스를 위한 레이어 2 포트 미러링을 구성합니다. 필터를 이 포트 미러링 대상에 적용할 수 있는 옵션을 활성화해야 합니다.
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }계층 수준의 문은
input샘플링이 10[edit forwarding-options port-mirroring]번째 패킷마다 시작되고 선택된 처음 5개의 패킷 각각이 미러링되도록 지정합니다.계층 수준의 문
[edit forwarding-options port-mirroring family ethernet-switching]은output브리징 환경에서 레이어 2 패킷에 대한 출력 미러 인터페이스를 지정합니다.외부 패킷 분석기 연결된 논리적 인터페이스 ge-2/0/0.0는 포트 미러링 대상으로 구성됩니다.
선택적
no-filter-check문을 사용하면 이 대상 인터페이스에서 필터를 구성할 수 있습니다.
레이어 2 포트 미러링 방화벽 필터 example-bridge-pm-filter를 구성합니다.
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }이 방화벽 필터가 브리징 환경에서 트래픽을 위한 논리적 인터페이스의 입력 또는 출력에 적용되면, 레이어 2 포트 미러링은 글로벌 인스턴스를 미러링하는 레이어 2 포트에 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 수행됩니다. 이 방화벽 필터는 단일 기본 필터 작업accept으로 구성되므로 속성(rate= 및 = 105)으로 선택된 input 모든 패킷이 이 필터와 run-length 일치합니다.
논리적 인터페이스를 구성합니다.
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }VLAN example-bd-with-traffic 의 논리적 인터페이스 ge-2/0/6.0 에서 수신된 패킷은 포트 미러링 방화벽 필터example-bridge-pm-filter에 의해 평가됩니다. 방화벽 필터는 방화벽 필터 자체에 구성된 필터 작업과 글로벌 포트 미러링 인스턴스에서 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 입력 트래픽에 대해 작동합니다.
에서 ge-2/0/6.0 수신된 모든 패킷은 논리적 인터페이스 ge-3/0/1.2에서 (가정된) 일반 대상으로 전달됩니다.
입력 패킷 10개당 해당 선택 시 처음 5개의 패킷 복사본은 다른 VLANexample-bd-with-analyzer의 논리적 인터페이스 ge-0/0/0.0 에서 외부 분석기로 전달됩니다.
작업 대신 accept 작업을 수행 discard 하도록 포트 미러링 방화벽 필터 example-bridge-pm-filter 를 구성하는 경우, 글로벌 포트 미러링 input 속성을 사용하여 선택한 패킷의 복사본은 외부 분석기로 전송되는 동안 모든 원본 패킷이 폐기됩니다.
예를 들면 다음과 같습니다. 레이어 2 VPN에 대한 레이어 2 포트 미러링
다음 예는 완전한 구성은 아니지만 을(를) 사용하여 family cccL2VPN에서 포트 미러링을 구성하는 데 필요한 모든 단계를 보여줍니다.
외부 패킷 분석기 포함하는 VLAN port-mirror-bd을 구성합니다.
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }논리적 인터페이스와 논리적 인터페이스 ge-2/0/1.0ge-2/0/1.1를 연결하도록 레이어 2 VPN CCC를 구성합니다.
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }글로벌 인스턴스를 위한 레이어 2 포트 미러링을 구성합니다. 포트 미러링 대상은 외부 분석기(VLAN의 논리적 인터페이스)와 연결된 VLAN example-bd-with-analyzer인터페이스 ge-2/2/9.0 입니다.
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }에 대한 레이어 2 포트 미러링 방화벽 필터 pm_filter_ccc 정의 family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }포트 미러 인스턴스를 섀시에 적용합니다.
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }VLAN에 대한 인터페이스 ge-2/2/9 를 구성하고 방화벽 필터를 통한 포트 미러링을 위한 인터페이스 ge-2/0/1 를 pm_filter_ccc 구성합니다.
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
예를 들면 다음과 같습니다. LAG 링크가 있는 레이어 2 VPN에 대한 레이어 2 포트 미러링
다음 예는 완전한 구성은 아니지만, 및 어그리게이션 이더넷 링크를 사용하여 family ccc L2VPN에서 포트 미러링을 구성하는 데 필요한 모든 단계를 보여줍니다.
외부 패킷 분석기 포함하는 VLAN port_mirror_bd을 구성합니다.
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }인터페이스와 인터페이스 ae0.0ae0.1를 연결하도록 레이어 2 VPN CCC를 구성합니다.
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }글로벌 인스턴스를 위한 레이어 2 포트 미러링을 구성합니다. 포트 미러링 대상은 외부 분석기(VLAN의 논리적 인터페이스)와 연결된 VLAN example_bd_with_analyzer인터페이스 ge-2/2/9.0 입니다.
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }에 대한 방화벽 필터 pm_ccc 를 구성합니다.family ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }어그리게이션 이더넷 인터페이스 및 포트 미러 인스턴스를 섀시에 적용합니다.
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }필터를 사용하여 ae0 인터페이스 및 ge-2/0/2 (어그리게이션 이더넷용) 및 ge-2/2/8 (포트 미러링용)을 구성합니다 pm_ccc .
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
family any 합니다.