예: PTX 라우터에서 원격 포트 미러링 구성
이 예에서는 Junos Evolved를 실행하는 PTX 플랫폼에서 로컬 포트 미러링을 구성하고 확인하는 방법을 보여줍니다. PTX 플랫폼에는 PTX10004, PTX10008 및 PTX10016 섀시의 PTX10001-36MR, LC1201 및 LC1202가 포함됩니다
시작하기 전에
| 하드웨어 및 소프트웨어 요구 사항 | Junos OS Evolved 릴리스 22.2R1.12-EVO 이상. PTX10001-36MR 지원되는 플랫폼 및 Junos OS 버전의 전체 목록은 기능 탐색기를 참조하십시오. |
| 예상 읽기 시간 |
십오 분. |
| 예상 구성 시간 |
30분 |
| 비즈니스 영향 |
포트 미러는 디버깅 및 보안 관련 작업에 중요한 도구입니다. 미러링된 트래픽은 프로토콜 상호 작용, 이상 탐지 또는 합법적인 감청 도청 작업을 분석하기 위해 다양한 도구를 통해 오프라인으로 분석할 수 있습니다. |
| 자세히 알아보기 |
포트 미러링을 더 잘 이해하려면 포트 미러링 및 분석기를 참조하십시오 |
| 더 알아보세요 |
학습 포털 |
기능 개요
Remote Port Mirroring Functional Overview(원격 포트 미러링 기능 개요)에서는 이 예에서 구축된 프로토콜 및 기술에 대한 간략한 요약을 제공합니다.
| 라우팅 및 신호 프로토콜 |
|
| OSPF 및 OSPF3 |
모든 라우터는 OSPF 및 OSPF3를 IGP로 실행합니다. 모든 프로바이더 라우터는 영역 0(백본 영역이라고도 함)에 속합니다. OSPF/OSPF3 라우팅 도메인은 토폴로지의 모든 네트워크 및 인터페이스에 내부 연결성을 제공합니다. CE 라우터는 OSPF 및 OSPF3을 사용하여 PE와 경로를 교환합니다. |
| MPLS 및 RSVP | 프로바이더 라우터는 RSVP 프로토콜을 사용하여 MPLS LSP에 신호를 보냅니다. IPv6 터널링은 MPLS를 통한 IPv6을 지원하기 위해 활성화됩니다. MPLS는 레이어 3 VPN을 지원하는 데 사용됩니다. |
| MP-BGP(MP-BGP) | 멀티프로토콜 BGP는 고객 VPN 경로를 광고하기 위해 PE 라우터 간에 사용됩니다. |
| 레이어 3 VPN | PE 라우터는 VRF 라우팅 인스턴스를 사용하여 CE 라우터에 대한 레이어 3 VPN 서비스를 지원합니다. 고객 트래픽은 RSVP 신호 LSP 내부의 코어를 통해 전송됩니다. MPLS 기반 L3 VPN의 작동에 대한 자세한 내용은 예: 기본 MPLS 기반 레이어 3 VPN 구성을 참조하십시오. |
| 라우팅된 프로토콜 |
|
| IPv4 및 IPv6 |
모든 라우터는 IPv4 및 IPv6의 라우팅을 모두 지원하도록 구성됩니다. |
| 분석기(모니터링 스테이션) |
|
| Centos 및 Wireshark |
분석기는 GUI 버전의 Wireshark를 사용하여 Centos 7.x를 실행합니다. |
토폴로지 개요
이 예에서는 MPLS 기반 L3 VPN의 컨텍스트를 사용하여 PTX 라우터의 원격 포트 미러링 기능을 보여줍니다. L3 VPN은 고객 에지(CE)와 프로바이더 에지(PE) 라우터 간의 IPv4 및 IPv6 트래픽을 모두 지원하도록 구성됩니다.
| 라우터 이름 | 역할 |
함수 |
| Ce | 포트 미러링이 제대로 작동하는지 확인하기 위해 테스트 트래픽을 전송하는 고객 에지(CE) 라우터입니다. | 이러한 라우터는 CE 라우터로 지정됩니다. CE 라우터는 공급자 네트워크에서 L3 VPN 서비스를 가져옵니다. CE는 공급자 라우터와 동일한 OSPF 라우팅 도메인을 공유하지 않습니다. |
| Pe | CE에 연결된 PE(Provider Edge) 라우터입니다. | PE는 프로바이더 네트워크의 에지에서 찾을 수 있습니다. PE는 라우팅 인스턴스, MP-BGP, RSVP 및 MPLS 데이터 플레인을 사용하여 레이어 3 VPN을 지원합니다. PE1 라우터는 원격 포트 미러링 DUT 중 하나로 작동합니다. |
| P | 프로바이더(P) 코어 라우터. | P 라우터는 BGP-free 프로바이더 코어 라우터를 나타냅니다. OSPF, OSPF3 및 MPLS 전송을 지원합니다. BGP를 실행하거나 VPN 상태를 전달하지 않습니다. P 라우터는 원격 포트 미러링 DUT 중 하나로 작동합니다. |
| 분석기 | 분석기 디바이스는 저장 및 분석을 위해 미러 트래픽을 수신합니다. | 분석기의 세부 사항은 이 문서의 범위를 벗어납니다. 다양한 오픈 소스 및 상용 옵션을 사용할 수 있습니다. 분석기는 GUI 버전의 Wireshark를 지원하는 Gnome 데스크톱과 함께 Centos 7.x를 실행하고 있습니다. |
토폴로지 그림
이 예는 프로바이더 네트워크를 통해 전송된 CE 트래픽을 미러링하는 두 가지 방법을 보여줍니다.
-
첫 번째 방법은 PE-CE VRF 인터페이스의 match-all 필터를 사용합니다.
-
두 번째 방법은 프로바이더(P) 라우터에 적용되는 MPLS 레이블 일치 필터를 보여줍니다.
PE1 라우터(R2)와 P 라우터(R3)는 원격 포트 미러링이 구성되어 주니퍼의 DUT로 작동하는 라우터입니다. 이러한 라우터는 제품군 any 방화벽 필터를 사용하여 포트 미러링을 위한 일부 트래픽을 일치시킵니다. 수신 및 송신 필터의 조합은 CE 라우터(R1 및 R5) 간에 흐르는 요청 및 응답 트래픽을 모두 미러링하는 데 사용됩니다.
원격 포트 미러링은 GRE 캡슐화를 위해 터널을 사용하여 미러링된 트래픽을 원격 분석기 디바이스로 보냅니다. 토폴로지에는 두 개의 분석기가 있습니다. 하나는 R2/PE1 라우터에 연결되고 다른 하나는 R3/P 라우터에 연결됩니다. 이를 통해 CE 트래픽을 미러링하는 두 가지 방법, 즉 PE와 코어 P 라우터에서 각각 하나씩 시연할 수 있습니다. 패킷 캡처 및 분석을 위해 Wireshark와 함께 Centos 호스트를 사용합니다.
PTX 플랫폼은 유연한 터널 인터페이스(fti) 인프라를 사용하여 다양한 터널링 애플리케이션을 지원합니다. 원격 포트 미러의 경우, GRE 터널은 미러링된 트래픽을 원격 분석기 디바이스로 전송하기 위해 fti 인터페이스에 구성됩니다. 이 예의 일부로, 미러링할 트래픽을 선택하는 fti 기반 GRE 터널, 미러링 인스턴스 및 방화벽 필터를 구성합니다.
R2/PE1 구성 단계
CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용의 내용을 참조하십시오
모든 라우터에 대한 전체 컨피그레이션은 다음을 참조하십시오. 부록 2: 모든 라우터에서 명령 설정
이 섹션에서는 이 예에서 PE1/R2 라우터를 구성하는 데 필요한 구성 작업을 중점적으로 설명합니다. 부록의 모든 라우터에 대한 전체 구성을 제공합니다. 1단계에서는 예제의 기준선을 요약합니다. 이 기준선은 IPv4 및 IPv6 연결, MPLS 및 계층 3 VPN으로 구성됩니다. 이 예에서는 원격 포트 미러링의 구성 및 확인에 초점을 맞춥니다.
L3 VPN 작동 및 기본 구성에 대한 자세한 내용은 예: 기본 MPLS 기반 레이어 3 VPN 구성을 참조하십시오.
-
PE1 라우터에서 IP 라우팅 및 L3 VPN 기준을 구성합니다. 여기에는 다음이 포함됩니다.
-
IPv4 및 IPv6 모두에 대한 인터페이스에 번호를 부여하고 코어 대면 인터페이스에 대한 지원 포함
family mpls. -
모든 네트워크 인터페이스 간에 연결성을 제공하도록 OSPF 및 OSPFv3 라우팅 프로토콜 구성.
-
L3 VPN 트래픽을 지원하기 위한 RSVP 및 MPLS LSP(Label Switched Path).
-
PE 라우터의 주소 패밀리를
inet-vpnandinet6-vpn[edit] set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols rsvp interface all set protocols rsvp interface fxp0 disable
기준선이 다뤄진 나머지 단계는 CE1 연결 VRF 인터페이스에서 송수신되는 모든 트래픽을 포트 미러링하도록 R2/PE1 라우터를 구성하는 데 중점을 둡니다.
-
- 먼저 GRE 터널을 구성합니다. PTX 라우터에서 터널은 fti 인터페이스를 통해 구현됩니다. GRE 터널 소스에서 제공되거나 GRE 터널 소스로 향하는 진단 핑 테스트를 수행할 것으로 예상되지 않는 한 GRE 터널의 소스 주소는 라우팅할 필요가 없습니다. PE1에 의해 미러링된 트래픽의 GRE 대상은 분석기 1 라우터입니다. 미러 트래픽이 분석기로 전송되려면 이 목적지에 도달할 수 있어야 합니다. 분석기 네트워크에 대한 IGP 도달 가능성을 보장하기 위해 패시브 IGP 인스턴스를 사용합니다.
대상 주소는 P/R3 라우터의 et-0/0/2 인터페이스에 연결된 분석기 1 디바이스에 매핑됩니다. PTX에서 원격 포트 미러링을 지원하려면 로 fti 논리적 인터페이스를
family ccc구성해야 합니다. 이는 미러 작업이 레이어 2에서 발생하기 때문입니다.set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc
참고:패시브 IGP 인스턴스는 분석기 디바이스에 연결된 인터페이스에 대해 프로비저닝됩니다. 이는 GRE로 캡슐화된 미러링된 트래픽의 분석기 포트에 IGP 도달성을 제공합니다. 패시브 설정은 캡처를 복잡하게 만들 수 있으므로 분석기에 Hello 패킷이 생성되는 것을 방지합니다.
또한 진단 테스트를 지원하기 위해 ping에 응답할 수 있도록 분석기 디바이스에 고정 경로를 구성했습니다. 엄밀히 말하면 원격 포트 미러링이 작동하려면 DUT와 분석기 사이에 단순한 연결 또는 라우팅만 필요합니다.
- 샘플링 인스턴스를 구성합니다. 일치하는 모든 패킷을 샘플링하기 위해 속도 1을 사용합니다. 일치하는 모든 트래픽이 이미 샘플링된 경우 기본값
run-length1이 그대로 유지됩니다. 미러 트래픽을 전송하는 데 사용되는 fti 라우터에서 논리적 인터페이스를 지정해야 합니다. 이전 단계에서 GRE 터널에 대한 fti0 인터페이스를 구성unit 1하여 동일한 인터페이스 및 유닛이 미러 인스턴스의 출력 인터페이스로 지정되도록 했습니다.[edit] set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1
참고:옵션을 사용하여
maximum-packet-length계층에서[edit forwarding-options port-mirroring instance instance-name input]미러링된 트래픽의 최대 패킷 길이를 지정할 수 있습니다. 기본적으로 패킷 길이는 0이며, 이는 전체 패킷이 미러링됨을 의미합니다. -
CE 트래픽을 일치시키고 미러링할 두 개의 제품군
any방화벽 필터를 정의합니다. CE1에서 CE2 트래픽으로 미러링하기 위한 필터와 CE2에서 CE1로 미러링하기 위한 필터 두 개가 정의됩니다. 필터에는 검증에 도움이 되는 카운트 기능이 포함되어 있습니다. 포트 미러 작업은 일치하는 트래픽을 이전에 구성한 포트 미러링 인스턴스로 보냅니다.제품군
any필터는 레이어 2 및 레이어 3 매칭을 모두 지원합니다. 전자의 경우 VLAN ID, 인터페이스, MAC 주소 또는 MPLS 레이블에서 일치시킬 수 있습니다. 후자의 경우 표준 IPv4 또는 IPv6 헤더 필드에서 일치시킬 수 있습니다.토폴로지를 감안할 때 CE에서 보내거나 받은 모든 트래픽을 catch하는 match all 용어를 사용합니다. 여기에는 IPv4, IPv6, ARP, LLDP 및 OSPF와 같은 모든 라우팅 프로토콜이 포함됩니다.
[edit] set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set firewall family any filter ce2-ce1 term else then accept
두 필터 모두 일치 수락 조건으로 끝나 Junos 필터 끝에서 기본 거부 모든 작업을 재정의합니다. 이렇게 하면 첫 번째 용어에서 일치하지 않는 트래픽이 허용됩니다. 이 용어는 나중에 특정 일치 조건이 첫 번째 용어에 추가되는 경우 보호 수단으로 추가됩니다.
원하는 경우 필터에서 폴리서 작업을 유발하여 GRE 터널을 통해 전송되는 미러링된 패킷 수를 제한할 수 있습니다. 폴리서는 대역폭 및 버스트 제한과 함께 폴리서를 초과하는 트래픽에 대한 폐기 조치로 정의됩니다.
송신 방향으로 폴리서 동작이 있는 PM 필터를 적용할 수 없습니다.참고:CE 디바이스의 IPv4 루프백 주소 간에 전송되는 ICMP 트래픽만 일치시키려면 필터에 레이어 3 일치 기준을 추가합니다.
set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-protocol icmp set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-source-address 172.16.1.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 from ip-version ipv4 ip-destination-address 172.16.2.1/32 set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce1-ce2 term else then accept
-
R2/PE1의 CE 페이싱 인터페이스에 필터를 적용합니다. 예를 들어 PE1의 et-0/0/0 인터페이스에 필터를 적용하는 것을 의미합니다. 필터 응용 프로그램의 방향성에 유의하십시오. 수신 및 송신 필터는 CE 트래픽 흐름의 양방향을 미러링하는 데 필요합니다.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
완전성을 위해 R2/PE1의 구성을 중괄호 형식으로 표시합니다.
system {
host-name r2-ptx;
}
interfaces {
et-0/0/0 {
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.12.2/24;
}
family inet6 {
address 2001:db8:10:0:12::2/64;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.23.1/24;
}
family inet6 {
address 2001:db8:10:0:23::1/64;
}
family mpls;
}
}
fti0 {
unit 1 {
description "GRE tunnel for remote port mirror";
tunnel {
encapsulation gre {
source {
address 10.100.0.1;
}
destination {
address 10.0.100.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.2/32;
}
family inet6 {
address 2001:db8:192:168:0::2/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
pe-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
policy-options {
policy-statement ospf-export {
term 1 {
from protocol bgp;
then accept;
}
}
}
firewall {
family any {
filter ce1-ce2 {
term mirror-ce1-ce2 {
then {
count ce1-ce2-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
filter ce2-ce1 {
term mirror-ce2-ce1 {
then {
count ce2-ce1-mirror;
port-mirror-instance pe-mirror;
accept;
}
}
}
}
}
routing-instances {
ce1 {
instance-type vrf;
protocols {
ospf {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
ospf3 {
area 0.0.0.0 {
interface all;
}
export ospf-export;
}
}
interface et-0/0/0.0;
route-distinguisher 65001:1;
vrf-target target:65001:100;
vrf-table-label;
}
}
routing-options {
router-id 192.168.0.2;
autonomous-system 65001;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.2;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6-vpn {
unicast;
}
neighbor 192.168.0.4;
}
}
mpls {
label-switched-path pe2 {
to 192.168.0.4;
no-cspf;
}
ipv6-tunneling;
interface all;
interface fxp0.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
}
}
R3 구성 단계
CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용의 내용을 참조하십시오
모든 라우터에 대한 전체 컨피그레이션은 다음을 참조하십시오. 부록 2: 모든 라우터에서 명령 설정
이 섹션에서는 이 예에서 P/R3 라우터를 구성하는 데 필요한 주요 구성 작업을 중점적으로 설명합니다. MPLS 기반 L3 VPN 기준부터 시작합니다. 그런 다음 MPLS 트래픽과 일치하고 미러링하기 위해 P 라우터에서 원격 포트 미러링을 구성하는 데 필요한 단계를 보여줍니다.
-
P/R3 라우터에서 IPv4 및 IPv6 라우팅과 MPLS 기준을 구성합니다. 여기에는 몇 가지 사항이 포함됩니다.
-
IPv4 및 IPv6 모두에 대한 인터페이스에 번호를 부여하고 코어 대면 인터페이스에 대한 지원 포함
family mpls. -
모든 네트워크 인터페이스 간에 연결성을 제공하도록 OSPF 및 OSPFv3 라우팅 프로토콜을 구성합니다.
-
RSVP 및 MPLS를 사용하여 L3 VPN 데이터 플레인을 지원합니다. P 라우터로서, BGP 피어링 및 VRF 정의가 존재하지 않습니다.
[edit] set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable set protocols rsvp interface et-0/02.0 disable
P1/R3 라우터는 et-0/0/2 인터페이스를 통해 분석기 1에 연결됩니다. 미러링된 트래픽이 GRE 캡슐화를 사용하여 IPv4로 도착하므로 이 인터페이스에서 RSVP 프로토콜 및 MPLS 지원을 비활성화합니다. LSP는 분석기로 확장되지 않습니다.
참고:여기에 사용된 et-0/0/2 인터페이스 구성은 분석기가 MAC 주소 확인을 위해 DUT에서 보낸 ARP 및 ND 요청에 응답한다고 가정합니다. 그렇지 않은 경우 또는 ARP 트래픽이 패킷 캡처의 일부가 되지 않도록 하려면 정적 ARP 항목을 구성해야 합니다. DUT에 연결된 분석기 디바이스의 인터페이스에 대한 올바른 MAC 주소를 지정해야 합니다.
베이스라인을 다룬 후, 다음 단계는 P 라우터에서 MPLS 트래픽에 대한 원격 포트 미러링을 구성하는 데 초점을 맞춥니다.
-
- GRE 터널의 정의부터 시작합니다. PTX 플랫폼에서 터널은 fti 인터페이스에서 구현됩니다. GRE 터널 소스에서 제공되거나 GRE 터널 소스로 향하는 진단 핑 테스트를 수행할 것으로 예상되지 않는 한 GRE 터널의 소스 주소는 라우팅할 필요가 없습니다. 미러링된 트래픽의 GRE 대상은 PE2/R4에 연결된 분석기 2 디바이스입니다. 미러 트래픽이 분석기로 전송되려면 이 목적지에 도달할 수 있어야 합니다. 분석기 네트워크에 대한 IGP 도달 가능성을 보장하기 위해 패시브 IGP 인스턴스를 사용합니다.
PTX에서 원격 포트 미러링을 지원하려면 로 fti 논리적 인터페이스를
family ccc구성해야 합니다. 이는 미러 작업이 레이어 2에서 발생하기 때문입니다.[edit] set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc
참고:패시브 IGP 인스턴스는 분석기 디바이스에 연결된 인터페이스에 대해 프로비저닝됩니다. 이는 GRE로 캡슐화된 미러링된 트래픽의 분석기 포트에 IGP 도달성을 제공합니다. 패시브 설정은 패킷 캡처를 복잡하게 만들 수 있으므로 분석기에 Hello 패킷이 생성되는 것을 방지합니다.
또한 진단 테스트를 지원하기 위해 ping에 응답할 수 있도록 분석기 디바이스에 고정 경로를 구성했습니다. 엄밀히 말하면 원격 포트 미러링이 작동하려면 DUT와 분석기 사이에 단순한 연결 또는 라우팅만 필요합니다.
- 샘플링 인스턴스를 구성합니다. 일치하는 모든 패킷을 선택하고 샘플링하기 위해 속도 1을 사용합니다. 기본적으로 은(는
run-length) 1입니다. 일치하는 모든 트래픽이 1의 비율로 샘플링되는 경우에는 문제가 없습니다. 미러 트래픽을 전송하는 데 사용되는 fti 라우터에서 논리적 인터페이스를 지정해야 합니다. 이전 단계에서 fti 인터페이스에 대해 유닛 1을 구성하여 동일한 유닛이 미러 인스턴스의 출력 인터페이스로 지정되도록 했습니다.[edit] set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1
-
CE 라우터 간에 전송되는 트래픽을 미러링하기 위한 방화벽 필터를 정의합니다.
패밀리
any필터는 레이어 2 일치 유형만 허용합니다. 예를 들어 VLAN ID, 인터페이스, MAC 주소 또는 MPLS 레이블이 있습니다. 따라서 IPv4 또는 IPv4 특정 일치 조건을 사용할 수 없습니다.CE 간의 트래픽 흐름의 각 방향에 대해 하나씩 두 개의 필터가 정의됩니다.
P 라우터에서 VPN 트래픽을 미러링한다는 목표를 감안할 때, 필터는 두 PE 라우터 간의 MPLS 트래픽 흐름을 식별하는 특정 레이블과 일치하도록 작성됩니다.
CE1에서 CE2 방향의 경우, 필터는 PE1이 PE2에 도달하기 위해 사용하는 RSVP 전송 레이블과 일치합니다. PHP 및 송신 애플리케이션으로 인해 CE2에서 CE1 방향에 사용되는 필터는 PE1에서 PE2로 광고하는 VRF 레이블과 일치합니다. 일치하는 트래픽은 이전에 정의한 미러링 인스턴스에 대한 포트 미러 작업을 유발합니다. 필터에는 적절한 작동을 확인하는 데 도움이 되는 카운트 기능이 포함되어 있습니다.
다음 명령을 사용하여 올바른 레이블을 결정했습니다.
-
CE1에서 CE2로 보낸 트래픽의 경우 현재 RSVP 전송 레이블이 명령과
show rsvp session ingress detail함께 표시됩니다. MPLS를 사용하여 PE2에 도달하기 위해 PE1에서 사용하는 RSVP 할당 레이블입니다. 이 PE 쌍 간에 전송되는 모든 VPN 트래픽은 동일한 RSVP 전송을 사용한다는 점에 유의해야 합니다. 결과 필터는 PE 라우터의 CE1 VRF에만 국한되지 않습니다.user@r2-ptx> show rsvp session ingress detail Ingress RSVP: 1 sessions 192.168.0.4 From: 192.168.0.2, LSPstate: Up, ActiveRoute: 0 LSPname: pe2, LSPpath: Primary LSPtype: Static Configured Suggested label received: -, Suggested label sent: - Recovery label received: -, Recovery label sent: 22 Resv style: 1 FF, Label in: -, Label out: 22 Time left: -, Since: Tue Apr 18 12:58:47 2023 Tspec: rate 0bps size 0bps peak Infbps m 20 M 1500 Port number: sender 2 receiver 65196 protocol 0 PATH rcvfrom: localclient Adspec: sent MTU 1500 Path MTU: received 1500 PATH sentto: 10.0.23.2 (et-0/0/1.0) 1 pkts RESV rcvfrom: 10.0.23.2 (et-0/0/1.0) 1 pkts, Entropy label: Yes Record route: <self> 10.0.23.2 10.0.34.2 Total 1 displayed, Up 1, Down 0
이 경우, 출력은 RSVP 레이블 22가 PE1/R2 라우터에 할당되어 PE2/R4 라우터에서 LSP 송신에 도달하는 것을 보여줍니다.
-
CE2에서 CE1로 전송되는 트래픽의 경우 VRF 레이블을 일치시켜야 합니다. 이는 P 라우터가 끝에서 두 번째 홉 노드이고 송신 인터페이스에서 RSVP 전송 레이블을 표시하기 때문입니다. 이렇게 하면 VRF 레이블에 스택의 맨 아래로 남습니다. PE1에서 PE2에 보급한 VRF 레이블을
show route advertising-protocol bgp remote-peer-address detail명령으로 확인합니다. 이 명령은 라우팅 인스턴스에 바인딩된 VRF 레이블과 함께 로컬 PE가 광고하는 경로를 표시합니다.user@r2-ptx> show route advertising-protocol bgp 192.168.0.4 detail ce1.inet.0: 7 destinations, 8 routes (7 active, 0 holddown, 0 hidden) * 10.0.12.0/24 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change Localpref: 100 AS path: [65001] I Communities: target:65001:100 * 172.16.1.1/32 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 65001:1 VPN Label: 16 Nexthop: Self Flags: Nexthop Change MED: 1 Localpref: 100 AS path: [65001] I Communities: target:65001:100 rte-type:0.0.0.0:1:0 . . .출력은 PE1이 CE1 라우팅 인스턴스와 연결된 경로에 대해 PE2 라우터에 VRF 레이블 16을 신호했음을 보여줍니다.
이전 명령의 정보를 사용하여 방화벽 필터에서 일치시킬 RSVP/VRF 레이블을 파악합니다.
[edit] set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept
필터는 Junos 필터 끝에 있는 기본 deny all을 재정의하기 위해 match all accept 용어로 끝납니다. 이렇게 하면 첫 번째 용어에서 일치하지 않는 트래픽이 허용됩니다. 이는 이 인터페이스를 사용하는 다른 모든 트래픽을 방해하지 않도록 하는 데 매우 중요합니다!
참고:RSVP 레이블은 링크 중단 또는 기타 구성 변경으로 인한 LSP 재시그널링으로 인해 변경될 수 있습니다. 미러링되는 트래픽을 제한하기 위해 필터를 사용하여 특정 레이블을 일치시키는 방법을 보여줍니다. MPLS 레이블 변경이 미러링에 영향을 미치지 않도록 항상 모두 일치 필터를 적용할 수 있습니다. 모두 일치 접근 방식의 단점은 P 라우터 인터페이스에서 수신된 모든 트래픽을 미러링하여 코어 프로토콜과 비 VPN 트래픽을 포함한다는 것입니다.
-
-
P/R3 라우터의 PE1 페이싱 인터페이스에 필터를 적용합니다. 필터 적용의 방향성이 중요합니다. 주니퍼의 필터는 CE1에서 CE2 트래픽의 입력 방향으로, CE2에서 CE1로 트래픽의 송신 방향으로 작동하도록 설계되었습니다. 이러한 필터는 패밀리 필터이므로 IPv4 또는 IPv6과 관계없이 단위 수준에서 적용됩니다. 모든 필터는 프로토콜 제품군과 독립적인 레이어 2에서 작동합니다.
[edit] set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1
완전성을 위해 R2/PE1의 구성을 중괄호 형식으로 표시합니다.
system {
host-name r3-ptx;
}
interfaces {
et-0/0/0 {
description "R3-R2 P-PE";
unit 0 {
filter {
input ce1-ce2;
output ce2-ce1;
}
family inet {
address 10.0.23.2/24;
}
family inet6 {
address 2001:db8:10:0:23::2/64;
}
family mpls;
}
}
et-0/0/1 {
unit 0 {
family inet {
address 10.0.34.1/24;
}
family inet6 {
address 2001:db8:10:0:34::1/64;
}
family mpls;
}
}
et-0/0/2 {
unit 0 {
family inet {
address 10.0.100.2/24;
}
}
}
fti0 {
unit 1 {
tunnel {
encapsulation gre {
source {
address 10.100.0.3;
}
destination {
address 10.0.200.1;
}
}
}
family ccc;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
family inet6 {
address 2001:db8:192:168:0::3/128;
}
}
}
}
forwarding-options {
port-mirroring {
instance {
p-router-mirror {
input {
rate 1;
}
family any {
output {
interface fti0.1;
}
}
}
}
}
}
firewall {
family any {
filter ce1-ce2 {
term ce1-ce2-mirror {
from {
mpls-label 22;
}
then {
count ce1-ce2-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
filter ce2-ce1 {
term ce2-ce1-mirror {
from {
mpls-label 16;
}
then {
count ce2-ce1-traffic;
port-mirror-instance p-router-mirror;
}
}
term else {
then accept;
}
}
}
}
routing-options {
router-id 192.168.0.3;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
disable;
}
}
ospf {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
ospf3 {
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
interface et-0/0/2.0 {
passive;
}
}
}
rsvp {
interface all;
interface et-0/0/2.0 {
disable;
}
}
}
확인
이 예시에는 포트 미러링이 구성된 두 개의 DUT가 있습니다. 확인 메커니즘은 동일합니다. 두 경우 모두 필터가 예상 트래픽과 일치하는지, 미러링된 패킷이 연결된 분석기로 전송되는지 확인할 수 있습니다.
이 구성에서는 PE 미러링된 트래픽이 분석기 1로 전송되고 P 라우터 미러링된 트래픽은 분석기 2로 전송됩니다. 원하는 경우 미러링된 모든 트래픽을 동일한 대상으로 전송할 수 있지만, 이로 인해 포트 미러링이 여러 위치에서 동시에 발생하는 경우 트래픽이 산재됩니다.
이러한 단계는 DUT 라우터 중 하나 또는 둘 다에서 원하는 대로 수행할 수 있습니다. R2/PE1은 첫 번째 DUT이고 P 라우터/R3는 두 번째입니다.
-
OSPF 및 OSPF3 인접 디바이스와 모든 루프백 주소에 대한 경로를 확인합니다. 또한 원격 분석기 IP 주소에 대한 경로를 확인합니다. 원격 분석기에 IPv4 패킷을 보낼 수 있어야 합니다. 선택적으로 분석기가 응답할 수 있도록 정적 경로로 분석기를 구성할 수 있습니다.
user@r2-ptx> show ospf neighbor Address Interface State ID Pri Dead 10.0.23.2 et-0/0/1.0 Full 192.168.0.3 128 36 user@r2-ptx> show ospf3 neighbor ID Interface State Pri Dead 192.168.0.3 et-0/0/1.0 Full 128 36 Neighbor-address fe80::569e:18ff:fe45:ffff user@r2-ptx> show route protocol ospf | match /32 192.168.0.3/32 *[OSPF/10] 2d 22:41:49, metric 1 192.168.0.4/32 *[OSPF/10] 2d 22:41:49, metric 2 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 172.16.1.1/32 *[OSPF/10] 2d 22:41:45, metric 1 224.0.0.5/32 *[OSPF/10] 2d 22:43:37, metric 1 user@r2-ptx> show route protocol ospf3 | match /128 2001:db8:192:168::3/128 2001:db8:192:168::4/128 ff02::5/128 *[OSPF3/10] 2d 22:47:10, metric 1 2001:db8:172:16:1::1/128 ff02::5/128 *[OSPF3/10] 2d 21:38:06, metric 1
참고:위의 출력에서 172.16.1.1/32 경로는 라우팅 인스턴스에서 학습됩니다
ce1. 따라서 이 명령을 사용하여 코어 및 고객 에지 모두에서 적절한 OSPF 작동을 확인했습니다! 원격 CE 루프백은 BGP 경로로 학습되므로 로컬 CE1 루프백만이 나열됩니다.분석기에 연결된 인터페이스에 구성된 패시브 IGP 인스턴스는 필요한 IP 연결을 제공했습니다. 다시 말하지만, 진단 테스트를 위한 반환 트래픽을 허용하기 위해 분석기에 고정 경로를 추가합니다.
user@r2-ptx> show route 10.0.100.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.100.0/24 *[OSPF/10] 2d 22:49:10, metric 2 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> show route 10.0.200.1 inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.200.0/24 *[OSPF/10] 1d 20:36:13, metric 3 > to 10.0.23.2 via et-0/0/1.0 user@r2-ptx> ping 10.0.100.1 count 2 PING 10.0.100.1 (10.0.100.1) 56(84) bytes of data. 64 bytes from 10.0.100.1: icmp_seq=1 ttl=63 time=5.48 ms 64 bytes from 10.0.100.1: icmp_seq=2 ttl=63 time=4.91 ms --- 10.0.100.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 4.908/5.196/5.484/0.288 ms -
fti 인터페이스 및 GRE 터널 상태를 확인합니다.
user@r2-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 12887342 Input packets: 0 Output packets: 99020 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 12887342 0 bps Input packets: 0 0 pps Output packets: 99020 0 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-Primary출력의 하이라이트는 터널 인터페이스와 GRE 터널이 작동 중임을 나타냅니다. 출력 패킷 카운터가 0이 아닌 것은 트래픽이 미러링되고 있다는 좋은 신호입니다. 이 GRE 터널은 미러링된 트래픽을 원격 분석기로 보내는 데만 사용되므로 입력 패킷이 필요하지 않습니다.
-
포트 미러링 인스턴스를 확인합니다. 포트 미러링 상태는
up이어야 하며, 올바른 미러링 인터페이스가 대상 아래에 나열되어야 합니다. 패밀리any는 프로토콜 패밀리에 구애받지 않는 레이어 2 포트 미러 인스턴스임을 나타냅니다. 미러링된 트래픽에는 원래 레이어 2 프레임과 그 내용이 포함됩니다.user@r2-ptx> show forwarding-options port-mirroring Instance Name: pe-mirror Instance Id: 1 Input parameters: Rate : 1 Run-length : 1 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop any up fti0.1 NA -
DUT에서 방화벽 카운터 및 인터페이스 통계를 지웁니다. 그런 다음 CE 라우터 루프백 주소 간에 알려진 수의 IPv4 및 IPv6 테스트 패킷을 생성합니다.
user@r2-ptx> clear firewall all user@r2-ptx> clear interfaces statistics all
user@r1-ptx> ping 172.16.2.1 source 172.16.1.1 count 4 PING 172.16.2.1 (172.16.2.1) from 172.16.1.1 : 56(84) bytes of data. 64 bytes from 172.16.2.1: icmp_seq=1 ttl=61 time=1237 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=61 time=178 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=61 time=507 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=61 time=417 ms --- 172.16.2.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3066ms rtt min/avg/max/mdev = 177.830/584.676/1237.435/395.575 ms, pipe 2 user@r1-ptx> ping 2001:db8:172:16:2::1 source 2001:db8:172:16:1::1 count 4 64 bytes from 2001:db8:172:16:2::1: icmp_seq=1 ttl=62 time=978 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=2 ttl=62 time=621 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=3 ttl=62 time=782 ms 64 bytes from 2001:db8:172:16:2::1: icmp_seq=4 ttl=62 time=920 ms --- 2001:db8:172:16:2::1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 621.122/825.114/978.021/137.715 ms
-
R2/PE1로 돌아가 방화벽 카운터 및 인터페이스 통계를 표시하여 테스트 트래픽이 반영되는지 확인합니다. CE12와 PE1 라우터 간의 OSPF, OSPF3 또는 ARP 교환을 반영하는 CE1에서 CE 2 방향으로 계산된 일부 추가 패킷을 볼 수 있습니다. CE12에서 CE1 방향으로, 송신 방향의 필터 애플리케이션은 엔드 투 엔드 트래픽만 포착합니다. 따라서 CE2-CE1 카운터는 생성된 테스트 트래픽을 반영하지 않습니다.
user@r2-ptx> show firewall Filter: ce1-ce2 Counters: Name Bytes Packets ce1-ce2-mirror 1353 13 Filter: ce2-ce1 Counters: Name Bytes Packets ce2-ce1-mirror 752 8
원격 분석기로의 트래픽을 미러링하는 데 사용되는 fti0./1 인터페이스에 대한 인터페이스 통계를 표시합니다.
user@r3-ptx> show interfaces fti0.1 detail Logical interface fti0.1 (Index 1000) (SNMP ifIndex 543) (Generation 609885357005) Description: GRE tunnel for remote port mirror Flags: Up Point-To-Point Encapsulation: GRE DF , Source address: 10.100.0.1/32, Destination address: 10.0.100.1 Traffic statistics: Input bytes : 0 Output bytes : 2424 Input packets: 0 Output packets: 20 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 2424 2096 bps Input packets: 0 0 pps Output packets: 20 2 pps Protocol ccc, MTU: 1476, Generation: 609885357006, Route table: 0 Flags: Is-Primary8개의 테스트 패킷이 생성되면 fti0.1 인터페이스 송신 시 패킷 수가 20개로 표시되는 것을 보면 놀랄 수 있습니다. 먼저, CE1 라우터에서 보낸 OSPF 및 OSPF3 Hello 패킷이 모두 미러링되고 있습니다. 둘째, ping 요청과 응답이 모두 PE1/R2에서 미러링되고 있다는 점을 고려하십시오. 즉, 총 16개의 ICMP 테스트 패킷에 대해 8개의 ping 요청과 8개의 응답이 있습니다.
-
모니터링 스테이션에서 tcpdump 또는 선택한 분석 애플리케이션을 실행하여 미러링된 테스트 트래픽의 수신 및 처리를 확인합니다. 당사의 설정에는 두 개의 분석기 장치, 정확하게는 두 개의 인터페이스가 있는 하나의 분석기 호스트가 있습니다. 필요한 경우 두 분석기 인터페이스에서 동시에 이 단계를 수행할 수 있습니다. 분석기 2의 eth2 인터페이스에 미러링된 트래픽은 P 라우터/R3에서 미러링되므로 MPLS 캡슐화가 포함됩니다. R1/PE1에서 미러링된 트래픽은 MPLS 캡슐화를 포함하지 않습니다.
먼저 R2/PE1에서 미러링된 트래픽을 수신하는 eth1 인터페이스에 대한 캡처로 시작합니다. 캡처를 시작한 후 CE 라우터 간에 단일 IPv4 ping을 수행합니다.
참고:캡처 후 텍스트 기반 tcpdump 출력을 줄 번호를 표시하는 텍스트 애플리케이션에 붙여넣었습니다. 이렇게 하면 캡처의 주요 부분을 더 쉽게 호출할 수 있습니다. 또한 가시성을 개선하기 위해 줄 바꿈을 활성화했습니다.
캡처에서 주의해야 할 영역은 다음과 같습니다.
-
eth1 인터페이스에서 tcpdump를 불러일으키고 플래그를 포함하여 이름 확인을 방지하고, 세부 정보를 제공하고, 최대 400바이트를 캡처하고, 레이어 2 헤더를 포함합니다.
-
라인 3은 첫 번째 레이어 2 프레임 및 IP 패킷의 시작입니다. 이더넷 프레임은 R3/P1 라우터가 로컬로 연결된 분석기 디바이스로 트래픽을 전송하는 데 사용하는 캡슐화입니다. 대상 MAC 주소는 분석기 1의 eth1 인터페이스가 소유합니다. 100.0.100.1 IP-MAC 주소 확인은 ARP를 통해 수행됩니다. 이더넷 프레임은 IP 프로토콜을 전달함을 나타냅니다. IP 레이어에서 패킷에 Don't Fragment 비트가 설정되어 있고 페이로드가 GRE임을 식별합니다.
-
라인 4는 외부 IP 패킷 및 해당 GRE 페이로드의 디코딩을 보여줍니다. 소스 및 대상 IP 주소는 R2/ PE1에서 fti0.1 인터페이스에 구성된 GRE 터널을 반영합니다. GRE 헤더는 TEB(Transparent Ethernet Bridging) 프로토콜 ID를 통해 페이로드가 레이어 2 프레임임을 식별합니다. 이는 제품군
any필터가 있는 PTX 플랫폼에서 원격 포트 미러링이 레이어 2 프레임의 미러링으로 이어진다는 것을 확인합니다. -
라인 5는 GRE 패킷의 페이로드에 대한 디코딩입니다. 소스 및 대상 MAC 주소(각각 de:99:7e:32:ff:ff 및 01:00:5e:00:00:05)는 링크 레이어에서 OSPF Hello 멀티캐스트에 사용되는 주소를 반영합니다. 또한 라인 5는 GRE 캡슐화 레이어 2 프레임의 페이로드가 IP이고 IP 패킷의 페이로드가 OSPF임을 보여줍니다.
참고:CE와 PE 간의 OSPF Hello 교환은 레이어 3 VPN에서 로컬입니다. 수신 시 포트 미러 작업이 모든 트래픽을 캡처했기 때문에 로컬 CE에서 보낸 OSPF 패킷이 표시됩니다. 원격 CE에 의해 생성된 OSPF Hello 패킷은 코어를 통해 전송되지 않으므로 캡처에서 송신으로 표시되지 않습니다.
-
라인 6은 CE1 라우터에서 보낸 OSPF Hello를 디코딩합니다. 소스 IP 주소는 CE1의 et-0/0/0.0 인터페이스에 할당됩니다. 대상 IP 주소는 OSPF 멀티캐스트에 사용됩니다.
-
OSPF 디코딩을 건너뛰고 16행에 착륙합니다. 캡처의 두 번째 프레임이며 IPv4 ICMP 에코 요청을 반영합니다. 다시 한번, 레이어 2 프레임은 P1/R3 및 분석기 1 디바이스의 MAC 주소를 반영합니다. 외부 프레임이 GRE 페이로드가 있는 IP 패킷을 전달하는 것을 볼 수 있습니다. 외부 IP 패킷의 소스 및 대상 IP 주소는 R2/PE2에서 구성된 GRE 터널을 반영합니다.
-
18행은 GRE 페이로드의 디코딩을 시작합니다. CE1 및 PE1 라우터의 MAC 주소가 다시 표시됩니다. IP 레이어에서 패킷이 CE1 라우터의 루프백 주소에서 전송되는 것을 볼 수 있습니다. 대상 IP는 CE2의 루프백 주소입니다. 내부 IP 패킷의 페이로드는 CE1에서 CE2로 전송된 ICMP 에코 요청입니다.
-
라인 20은 CE2에서 보낸 ICMP 에코 응답을 디코딩합니다. 이를 통해 포트 미러링이 CE1 송신 및 수신 방향 모두에서 작동하고 있음을 확인할 수 있습니다.
-
다음으로, 분석기 2의 eth2 인터페이스에서 캡처하는 동안 CE 라우터 간에 단일 IPv6 ping을 생성합니다. 이를 통해 R3/P 라우터의 포트 미러 컨피그레이션과 IPv6 포트 미러링 지원을 확인할 수 있습니다.
참고:캡처 후 텍스트 기반 tcpdump 출력을 줄 번호를 표시하는 텍스트 애플리케이션에 붙여넣었습니다. 이렇게 하면 캡처의 주요 부분을 더 쉽게 호출할 수 있습니다. 또한 가시성을 개선하기 위해 줄 바꿈을 활성화했습니다.
요청 트래픽과 응답 트래픽이 모두 표시됩니다. 이 포트 미러링이 P 라우터에서 발생한다는 점을 감안할 때, CE 라우터 간의 OSPF 패킷은 공급자 코어를 통해 전송되지 않으므로 미러링되지 않습니다. 이 캡처에서 주의해야 할 사항은 다음과 같습니다.
-
라인 3에서 외부 이더넷 프레임이 디코딩됩니다. 소스 및 대상 MAC 주소는 이제 각각 R4/PE2 및 분석기 디바이스를 반영합니다.
-
라인 4에서 내부 IP 패킷이 디코딩됩니다. 프레임은 GRE 캡슐화를 나타내며, 소스 및 대상 IP는 이 트래픽이 R3/P1 라우터에 구성된 fti0.1 GRE 터널을 통해 미러링되었음을 확인합니다. GRE 캡슐화는 TEB 프로토콜을 보여주며, 이는 레이어 2 이더넷 프레임이 캡슐화되었음을 나타냅니다.
-
라인 5는 내부 이더넷 프레임과 MPLS 페이로드의 디코딩을 시작합니다. 소스 MAC 주소는 R2/PE1 라우터의 et-0/0/1 인터페이스에 할당됩니다. 대상 MAC는 R3/P1 라우터의 et-0/0/0 인터페이스와 연결됩니다.
내부 이더넷 프레임은 MPLS의 페이로드를 식별합니다. 이는 MPLS 레이블에서 필터 용어 매칭을 통해 P 라우터에서 수행되는 레이어 2 포트 미러링과 일치합니다.
CE1에서 CE2 방향으로, 미러링된 트래픽은 두 개의 MPLS 레이블을 보여줍니다. RSVP 전송 레이블은 24(LSP 재시그널링으로 인해 변경될 수 있음)이며, 내부 VRF 레이블은 R2/PE1 라우터의 CE1 라우팅 인스턴스와 연결된 VRF 레이블인 23으로 설정됩니다.
참고:이 캡처 시점에 PE1에서 PE2에 도달하는 데 사용하는 MPLS 전송 레이블이 변경되었습니다. 이 섹션의 캡처에 대한 현재 RSVP 전송 레이블 값 24를 반영하도록 R3/P1에서 필터 정의를 업데이트했습니다.
-
라인 7은 MPLS 프레임의 IPv6 페이로드를 디코딩합니다. CE1에서 CE2로 보낸 IPv6 패킷입니다. IPv6 패킷은 페이로드를 ICMP6으로 식별하고 이것이 에코 요청임을 보여줍니다.
-
라인 8은 CE2에서 응답 트래픽의 디코딩을 시작합니다. CE2에서 CE1 방향으로, 미러 트래픽에는 단일 레이블만 존재합니다. 이는 R3/PE1 라우터가 R2/PE1 라우터로 트래픽을 전송하기 전에 PHP(Penultimate Hop Popping)를 수행한 후에도 유지되는 VRF 레이블입니다. 트래픽은 송신 시 P1에서 PE2 방향으로 미러링됩니다.
두 분석기 디바이스에서의 캡처는 원격 포트 미러링이 예상대로 작동하고 있음을 확인합니다.
-
-
분석기 2 디바이스에서 캡처된 것과 동일한 CE-CE 테스트 트래픽의 GUI 디코딩으로 마무리합니다. MPLS 기반 PE 라우터에서 포트 미러 작업을 반영하는 MPLS 레이블의 존재에 다시 한 번 주목하십시오.
캡처는 IPv4 및 IPv6 테스트 트래픽이 모두 미러링되는 것을 보여줍니다. 이 캡처는 P 라우터에 의해 미러링되는 트래픽을 반영합니다. 그 결과, MPLS 캡슐화가 존재합니다.
부록: 모든 라우터에서 명령 설정
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣습니다.
R1(CE1)
del interfaces et-0/0/0 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::1/64 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:1::1/128 set routing-options router-id 172.16.1.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
R2 (PE1) DUT1
set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.12.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:12::2/64 set interfaces et-0/0/1 unit 0 family inet address 10.0.23.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:23::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces fti0 unit 1 description "GRE tunnel for remote port mirror" set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.1 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.100.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::2/128 set forwarding-options port-mirroring instance pe-mirror input rate 1 set forwarding-options port-mirroring instance pe-mirror input run-length 1 set forwarding-options port-mirroring instance pe-mirror family any output interface fti0.1 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then count ce1-ce2-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then port-mirror-instance pe-mirror set firewall family any filter ce1-ce2 term mirror-ce1-ce2 then accept set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then count ce2-ce1-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then port-mirror-instance pe-mirror set firewall family any filter ce2-ce1 term mirror-ce2-ce1 then accept set routing-instances ce1 instance-type vrf set routing-instances ce1 protocols ospf area 0.0.0.0 interface all set routing-instances ce1 protocols ospf export ospf-export set routing-instances ce1 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce1 protocols ospf3 export ospf-export set routing-instances ce1 interface et-0/0/0.0 set routing-instances ce1 route-distinguisher 65001:1 set routing-instances ce1 vrf-target target:65001:100 set routing-instances ce1 vrf-table-label set routing-options router-id 192.168.0.2 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.2 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.4 set protocols mpls label-switched-path pe2 to 192.168.0.4 set protocols mpls label-switched-path pe2 no-cspf set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R3(P 라우터) DUT 2
set interfaces et-0/0/0 description "R3-R2 P-PE" set interfaces et-0/0/0 unit 0 filter input ce1-ce2 set interfaces et-0/0/0 unit 0 filter output ce2-ce1 set interfaces et-0/0/0 unit 0 family inet address 10.0.23.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:23::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.34.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:34::1/64 set interfaces et-0/0/1 unit 0 family mpls set interfaces et-0/0/2 unit 0 family inet address 10.0.100.2/24 set interfaces fti0 unit 1 tunnel encapsulation gre source address 10.100.0.3 set interfaces fti0 unit 1 tunnel encapsulation gre destination address 10.0.200.1 set interfaces fti0 unit 1 family ccc set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::3/128 set forwarding-options port-mirroring instance p-router-mirror input rate 1 set forwarding-options port-mirroring instance p-router-mirror input run-length 0 set forwarding-options port-mirroring instance p-router-mirror family any output interface fti0.1 set firewall family any filter ce1-ce2 term ce1-ce2-mirror from mpls-label 22 set firewall family any filter ce1-ce2 term ce1-ce2-mirror then count ce1-ce2-traffic set firewall family any filter ce1-ce2 term ce1-ce2-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce1-ce2 term else then accept set firewall family any filter ce2-ce1 term ce2-ce1-mirror from mpls-label 16 set firewall family any filter ce2-ce1 term ce2-ce1-mirror then count ce2-ce1-traffic set firewall family any filter ce2-ce1 term ce2-ce1-mirror then port-mirror-instance p-router-mirror set firewall family any filter ce2-ce1 term else then accept set routing-options router-id 192.168.0.3 set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols mpls interface et-0/0/2.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all set protocols rsvp interface fxp0 disable
R4 (PE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.34.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:34::2/64 set interfaces et-0/0/0 unit 0 family mpls set interfaces et-0/0/1 unit 0 family inet address 10.0.45.1/24 set interfaces et-0/0/1 unit 0 family inet6 address 2001:db8:10:0:45::1/64 set interfaces et-0/0/2 unit 0 family inet address 10.0.200.2/24 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:192:168:0::4/128 set policy-options policy-statement ospf-export term 1 from protocol bgp set policy-options policy-statement ospf-export term 1 then accept set routing-instances ce2 instance-type vrf set routing-instances ce2 protocols ospf area 0.0.0.0 interface all set routing-instances ce2 protocols ospf export ospf-export set routing-instances ce2 protocols ospf3 area 0.0.0.0 interface all set routing-instances ce2 protocols ospf3 export ospf-export set routing-instances ce2 interface et-0/0/1.0 set routing-instances ce2 route-distinguisher 65001:2 set routing-instances ce2 vrf-target target:65001:100 set routing-options router-id 192.168.0.4 set routing-options autonomous-system 65001 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.4 set protocols bgp group ibgp family inet unicast set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp family inet6-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.2 set protocols mpls label-switched-path pe1 to 192.168.0.2 set protocols mpls label-switched-path pe1 no-cspf set protocols mpls ipv6-tunneling set protocols mpls interface all set protocols mpls interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf area 0.0.0.0 interface et-0/0/2.0 passive set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface et-0/0/2.0 passive set protocols rsvp interface all
R5(CE2)
set interfaces et-0/0/0 unit 0 family inet address 10.0.45.2/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:10:0:45::2/64 set interfaces lo0 unit 0 family inet address 172.16.2.1/32 set interfaces lo0 unit 0 family inet6 address 2001:db8:172:16:2::1/128 set routing-options router-id 172.16.2.1 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set protocols ospf3 area 0.0.0.0 interface all set protocols ospf3 area 0.0.0.0 interface fxp0.0 disable
주의 사항 및 제한 사항
이 섹션에서는 PTX 플랫폼에서 원격 포트 미러링에 대한 주의 사항 및 제한 사항을 나열합니다.
-
포트 미러링 인스턴스 구성의 출력 부분을 변경해야 하는 경우, 새 구성이 추가되기 전에 기존 출력 구성을 먼저 삭제하고 변경 사항을 커밋해야 합니다.
-
총 15개의 미러 인스턴스가 지원됩니다. 원격 포트 미러 인스턴스 수가 15개를 초과하면 커밋 오류가 발생하지 않습니다.
-
주어진 미러링된 패킷은 하나의 원격 분석기에만 전송될 수 있습니다.
-
최대 패킷 길이는 128바이트의 배수로 구성할 수 있습니다. 내보낸 패킷은 구성된 값보다 22바이트 작습니다.
-
다중 출력 인터페이스는 주어진 미러링 인스턴스에서 지원되지 않습니다. 여러 출력 인터페이스가 구성된 경우 커밋 오류가 없습니다.
-
샘플링 프로세스는 GRES가 지원되지 않습니다. GRES 이벤트가 발생하거나 프로세스가 다시 시작될
mirrord경우 미러링된 트래픽이 삭제됩니다. -
로컬 라우터에서 종료되는 터널 트래픽은 송신 방향으로 미러링할 수 없습니다.
-
송신 방향에서 폴리서 동작을 유발하는 필터와 함께 포트 미러링을 사용할 수 없습니다.
-
미러링된 패킷과 관련된 통계는 방화벽 카운터 또는 FTI 인터페이스 통계를 통해 확인해야 합니다.