Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MPLS 트래픽의 IP 기반 필터링 및 선택적 포트 미러링 이해

MPLS 패킷에서 IP 헤더는 MPLS 헤더 직후에 나옵니다. IP 기반 필터링 기능은 내부 페이로드의 최대 MPLS 레이블을 최대 8개까지 검사하여 IP 매개변수를 기반으로 MPLS 트래픽을 필터링할 수 있는 심층 검사 메커니즘을 제공합니다. 필터링된 MPLS 트래픽은 모니터링 장비에 포트를 미러링하여 코어 MPLS 네트워크에서 네트워크 기반 서비스를 제공할 수도 있습니다.

MPLS 트래픽의 IP 기반 필터링

Junos OS 릴리스 18.4R1 이전에는 IP 매개변수를 기반으로 한 필터링이 MPLS 제품군 필터에서 지원되지 않았습니다. IP 기반 필터링 기능이 도입되면 소스 및 대상 주소, 레이어 4 프로토콜 유형, 소스 및 대상 포트와 같은 IP 매개변수를 기반으로 MPLS 태깅된 IPv4 및 IPv6 패킷에 인바운드 및 아웃바운드 필터를 적용할 수 있습니다.

IP 기반 필터링 기능을 사용하면 인터페이스 수신시 MPLS 패킷을 필터링할 수 있으며, MPLS 패킷의 내부 페이로드에서 일치 조건을 사용하여 필터링이 수행됩니다. 선택적 MPLS 트래픽은 논리적 터널을 사용하여 원격 모니터링 장치에 포트 미러링될 수 있습니다.

IP 기반 필터링을 지원하기 위해 MPLS 패킷을 심층 검사하여 적절한 필터를 적용하기 전에 내부 페이로드를 Layer 3 및 Layer 4 헤더로 구문 분석할 수 있는 추가 일치 조건이 추가됩니다.

주:

IP 기반 필터링 기능은 MPLS 태깅된 IPv4 및 IPv6 패킷에 대해서만 지원됩니다. 즉, MPLS 필터는 IP 페이로드가 MPLS 레이블 직후에 제공된 경우에만 IP 매개 변수와 일치합니다.

MPLS 페이로드에 의사회선( pseudowires), inet 및 inet6 이외의 프로토콜 또는 Layer 2 VPN 또는 VPLS와 같은 기타 캡슐화를 포함하는 다른 시나리오에서는 IP 기반 필터링 기능이 지원되지 않습니다.

MPLS 트래픽의 IP 기반 필터링을 위해 다음과 같은 조건이 추가됩니다.

  • IPv4 소스 주소

  • IPv4 대상 주소

  • IPv6 소스 주소

  • IPv6 대상 주소

  • 프로토콜

  • 소스 포트

  • 대상 포트

  • 소스 IPv4 접두사 목록

  • 대상 IPv4 접두사 목록

  • 소스 IPv6 접두사 목록

  • 대상 IPv6 접두사 목록

주:

MPLS 트래픽의 IP 기반 필터링을 위해 다음과 같은 조합이 지원됩니다.

  • IPv4 및 IPv6 접두사 목록과 소스 및 대상 주소 일치 조건

  • 소스 및 대상 포트 주소 및 프로토콜 유형은 IPv4 및 IPv6 접두사 목록과 조건을 일치합니다.

MPLS 트래픽의 선택적 포트 미러링

포트 미러링(port mirroring)은 패킷의 정상적인 프로세싱 및 포워딩은 물론, 구성된 대상에 패킷을 미러링하는 기능입니다. 포트 미러링(Port Mirroring)은 모든 인터페이스의 수신 또는 송신에 적용되는 방화벽 필터에 대한 작업으로 적용됩니다. 마찬가지로 선택적 포트 미러링 기능은 IP 매개변수를 기반으로 필터링되는 MPLS 트래픽을 논리적 터널을 사용하여 미러링된 대상으로 미러링하는 기능을 제공합니다.

선택적 포트 미러링을 활성화하기 위해 추가 작업은 기존 counter, acceptdiscard 작업 이외에 계층 수준에서 구성 [edit firewall family mpls filter filter-nameterm term-name then] 됩니다.

  • port-mirror

  • port-mirror-instance

Port Mirroring

port-mirror 조치는 모든 PFE(Packet Forwarding Engines) 및 관련 인터페이스에 적용되는 디바이스의 전 세계 포트 미러링을 지원합니다.

MPLS 제품군 필터의 port-mirror 경우 글로벌 포트 미러링에 대해 해당 작업이 활성화됩니다.

Port Mirroring Instance

이러한 port-mirror-instance 조치를 통해 포트 미러링을 위해 시스템 전반의 단일 구성을 사용하는 대신, 입력 샘플링 및 포트 미러링 출력 대상에 대해 서로 다른 속성을 가진 각 인스턴스를 사용자 지정할 수 있습니다.

계층 수준에서 명령문을 [edit forwarding-options port-mirror] 포함 instance port-mirror-instance-name 함으로써 FPC(Flexible PIC Concentrator)당 2개의 포트 미러링 인스턴스만 구성할 수 있습니다. 그런 다음 개별 포트 미러링 인스턴스를 디바이스 하드웨어에 따라 FPC, PIC 또는 (FEB(Forwarding Engine Board)와 연결할 수 있습니다.

MPLS 제품군 필터의 port-mirror-instance 경우 해당 작업은 포트 미러링 인스턴스에만 활성화됩니다.

주:

port-mirror 선택 port-mirror-instance 적 포트 미러링 기능이 작동하려면 출력 인터페이스가 Layer 3(family MPLS)이 아닌 Layer 2 제품군으로 활성화되어야 합니다.

샘플 구성

IP 기반 필터링 구성

선택적 포트 미러링 구성

주:

출력 인터페이스 xe-2/0/2.0 는 제품군 MPLS가 아닌 Layer 2 제품군에 대해 구성됩니다.

port-mirror 선택 port-mirror-instance 적 포트 미러링 기능이 작동하려면 출력 인터페이스가 Layer 3(family MPLS)이 아닌 Layer 2 제품군으로 활성화되어야 합니다.

미러된 대상 구성