Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compatibilidad con filtrado MAC, control de tormentas y duplicación de puertos en un entorno EVPN-VXLAN

Admitimos el filtrado de MAC, el control de tormentas y la duplicación y análisis de puertos en una red superpuesta Ethernet VPN-Virtual Extensible LAN (EVPN-VXLAN).

Admitimos cada una de estas características utilizando el estilo empresarial para la configuración de la interfaz.

También admitimos estas características mediante el estilo de proveedor de servicios (SP) para la configuración de la interfaz con algunas limitaciones:

  • Admitimos la duplicación de puertos con un filtro de firewall en la dirección de entrada utilizando la configuración de interfaz de estilo SP, pero no en la dirección de salida.

  • Solo admitimos el control de tormentas en una única interfaz lógica en configuraciones de interfaz física estilo SP. No puede configurar el control de tormentas en varias interfaces lógicas con configuraciones de estilo SP.

    • Debido a limitaciones de hardware, el control de tormentas aplicado a una interfaz lógica también se aplica a la interfaz física subyacente.

    • La interfaz lógica con el control de tormentas configurado registra la tormenta, pero cualquier interfaz lógica en la interfaz física puede activar el control de tormentas.

Solo admitimos estas funciones en una superposición de puente de borde enrutado (ERB) de EVPN-VXLAN, que también se denomina topología EVPN-VXLAN con una estructura IP colapsada. Esta red superpuesta incluye los siguientes componentes:

  • Una sola capa de conmutadores de Juniper Networks, por ejemplo, conmutadores QFX10002, QFX5120 o QFX5110, cada uno de los cuales funciona como dispositivo spine de capa 3 y como dispositivo leaf de capa 2.

  • Dispositivos perimetrales del cliente (CE) con base única o multiconexión en modo activo/activo en los dispositivos spine-leaf.

Nota:

En algunas plataformas, admitimos la duplicación de puertos locales y remotos con EVPN-VXLAN:

  • local: los paquetes se reflejan en un destino en el mismo dispositivo.

  • remoto: los paquetes se reflejan en un destino en un dispositivo remoto.

Si desea utilizar la duplicación de puerto remoto con EVPN-VXLAN, asegúrese de consultar la página Explorador de características de Creación de reflejo de puerto remoto con encapsulación VXLAN para ver las plataformas y versiones compatibles.

Consulte Duplicación de puertos y analizadores para obtener más información sobre la creación de reflejo de puertos local o remota con EVPN-VXLAN.

En este tema se incluye la siguiente información:

Beneficios del filtrado MAC, el control de tormentas y la compatibilidad con la duplicación de puertos en un entorno EVPN-VXLAN

  • El filtrado MAC permite filtrar y aceptar paquetes de interfaces orientadas al CE de entrada, lo que reduce el volumen de direcciones MAC asociadas en la tabla de conmutación Ethernet y el tráfico en una VXLAN.

  • El control de tormentas le permite monitorear los niveles de tráfico en interfaces EVPN-VXLAN y, si se supera un nivel de tráfico especificado, descartar paquetes de difusión, unidifusión desconocida y multidifusión (BUM) y, en algunos conmutadores de Juniper Networks, deshabilite la interfaz durante un período de tiempo especificado. Esta característica puede evitar que el tráfico excesivo degrade la red.

  • Con la duplicación y los analizadores de puertos, puede analizar el tráfico hasta el nivel de paquete en un entorno EVPN-VXLAN. Puede utilizar esta función para aplicar directivas relacionadas con el uso de la red y el uso compartido de archivos, así como para identificar orígenes problemáticos mediante la localización de un uso de ancho de banda anormal o intenso por estaciones o aplicaciones concretas.

Filtrado MAC

El filtrado MAC le permite filtrar direcciones MAC y aceptar tráfico. Solo admitimos esta característica en interfaces orientadas a CE de entrada, que son interfaces en las que la encapsulación VXLAN normalmente no está habilitada. Para usar esta función, debe hacer lo siguiente:

  • Cree un filtro de firewall en el que especifique una o varias de las condiciones de coincidencia admitidas en las tablas 1 y 2.

  • Aplique el filtro de firewall a una interfaz de capa 2 configurada en la [edit interfaces interface-name unit logical-unit-number family ethernet-switching filter] jerarquía.

Tabla 1: Condiciones de coincidencia admitidas en conmutadores QFX5100 y QFX5110

Condiciones del partido

Compatibilidad con filtros de entrada de interfaz

Compatibilidad con filtros de salida de interfaz

Dirección MAC de origen

X

X

Dirección MAC de destino

X

X

ID de VLAN de usuario

X

X

Puerto de origen

X

Puerto de destino

X

Tipo éter

X

Protocolo IP

X

Precedencia de IP

X

Códigos ICMP

X

Indicadores TCP

X

Dirección IP

X

Nota:

En Junos OS versión 18.4R1, los conmutadores QFX5100 y QFX5110 solo admiten el filtrado MAC en una interfaz. Además, a partir de Junos OS versión 18.4R2 y versiones posteriores, los conmutadores QFX5100, QFX5110, QFX5120-48Y y EX4650-48Y también admiten el filtrado MAC en una VLAN asignada por VXLAN. Junos OS versión 22.2 incluye compatibilidad con filtrado de Mac y coincidencia de VNI de tránsito para una base IPv6 pura en dispositivos QFX10002, QFX10008 y QFX10016.

Tabla 2: Condiciones de coincidencia admitidas en conmutadores QFX10000

Condiciones del partido

Compatibilidad con filtros de entrada de interfaz

Compatibilidad con filtros de salida de interfaz

Dirección MAC de origen

X

Dirección MAC de destino

X

ID de VLAN de usuario

Puerto de origen

X

X

Puerto de destino

X

X

Tipo éter

X

X

Protocolo IP

X

Precedencia de IP

X

X

Códigos ICMP

X

X

Indicadores TCP

X

X

Dirección IP

X

X

Nota:

Al configurar filtros MAC en conmutadores QFX10000, tenga en cuenta lo siguiente:

  • Solo puede aplicar un filtro a una interfaz. No puede aplicar un filtro a una VLAN asignada a VXLAN.

  • No se admite una combinación de condiciones de coincidencia de capa 2 y condiciones de coincidencia de capa 3/capa 4 en el mismo filtro de firewall. Por ejemplo, si incluye condiciones de coincidencia de la dirección MAC de origen y del puerto de origen en el mismo filtro de firewall en un conmutador QFX10002, el filtro de firewall no funcionará.

  • No se admite la condición de coincidencia de ID de VLAN de usuario. Por lo tanto, si necesita filtrar interfaces lógicas, cada una de las cuales está asignada a una VLAN determinada, debe utilizar el estilo de configuración del proveedor de servicios al configurar la interfaz física y las interfaces lógicas asociadas. Después de crear un filtro de firewall, debe aplicar el filtro a cada interfaz lógica para lograr el efecto de la condición de coincidencia de ID de VLAN de usuario.

  • Con Junos OS versión 22.2, también se implementa la compatibilidad con ID de red VxLAN (VNI) en encabezados exteriores de IP de origen/destino para tráfico de tránsito en una interfaz de capa 3 para dispositivos QFX10002, QFX10008 y QFX10016. Las coincidencias de VNI se realizan solo en encabezados externos y solo en el tráfico de entrada. En los dispositivos de tránsito que enrutan paquetes de túnel, el filtrado MAC debe admitir la coincidencia de VNI en el encabezado externo, junto con las direcciones IPv6 de origen y destino del encabezado externo como condiciones de coincidencia. Utilice el filtro de coincidencia de VNI en la opción CLI de coincidencia de vxlan para el set firewall family inet6 filter término del <vxlan [vni <vni-id>]> comando. Utilice el show firewall filter comando para mostrar estadísticas.

A través del filtro de firewall, se especifican las direcciones MAC asociadas a una VXLAN que están permitidas en una interfaz determinada.

Nota:

Después de aplicar el filtro de firewall a una interfaz de capa 2, la interfaz reside en la instancia de modificador predeterminado.

La siguiente configuración de ejemplo en un conmutador QFX5110 crea un filtro de firewall denominado DHCP-Discover-In que acepta y cuenta el tráfico entrante que cumple varias condiciones de coincidencia (dirección MAC de origen, dirección MAC de destino, puertos de destino e ID de VLAN) en la interfaz lógica de capa 2 xe-0/0/6.0:

Control de tormentas

De forma predeterminada, el control de tormentas está habilitado en los conmutadores QFX y EX para interfaces de capa 2 asociadas a VXLAN. El nivel de control de tormentas se establece en el 80 por ciento de los flujos de tráfico combinados de BUM.

Nota:

El control de tormentas EVPN-VXLAN funciona de manera un poco diferente en las plataformas de la serie ACX. Para obtener más información, consulte Descripción general del control de tormentas en los enrutadores de la serie ACX.

En un entorno EVPN-VXLAN, el control de tormentas se implementa y configura en interfaces de capa 2 que están asociadas con VXLAN de la misma manera que en un entorno que no es EVPN-VXLAN, excepto por las siguientes diferencias:

  • En un entorno EVPN-VXLAN, los tipos de tráfico que monitorea el control de tormentas son los siguientes:

    • Tráfico BUM de capa 2 que se origina en una VXLAN y se reenvía a interfaces dentro de la misma VXLAN.

    • Tráfico de multidifusión de capa 3 que recibe una interfaz de enrutamiento y puente integrados (IRB) en una VXLAN y se reenvía a interfaces en otra VXLAN.

  • Después de crear un perfil de control de tormentas, debe enlazarlo a una interfaz de capa 2 de entrada en la [edit interfaces interface-name unit logical-unit-number family ethernet-switching] jerarquía.

    Nota:

    Después de enlazar el perfil a una interfaz de capa 2, la interfaz reside dentro de la instancia del modificador predeterminado.

  • Si los flujos de tráfico en una interfaz superan el nivel de control de tormentas especificado, el conmutador de Juniper Networks elimina el exceso de paquetes, lo que se conoce como limitación de velocidad. Además, los conmutadores QFX10000 en un entorno EVPN-VXLAN admiten la desactivación de la interfaz durante un período de tiempo especificado mediante la action-shutdown instrucción configuration en el [edit forwarding-options storm-control-profiles] nivel jerárquico y la recovery-timeout instrucción configuration en el [edit interfaces interface-name unit logical-unit-number family ethernet-switching] nivel jerárquico.

    Nota:

    Los conmutadores QFX5100 y QFX5110 en un entorno EVPN-VXLAN no admiten la desactivación de la interfaz durante un período de tiempo especificado.

    Nota:

    En QFX5110 conmutadores, si configura un control mejorado de tormentas y un analizador nativo en una interfaz, y el analizador nativo tiene la VLAN VxLAN como entrada, la acción de apagado no funcionará para la VLAN en esa interfaz. La limitación de velocidad funcionará como se esperaba.

La siguiente configuración crea un perfil denominado scp, que especifica que si el ancho de banda utilizado por las secuencias de tráfico BUM combinadas supera el 5 por ciento en la interfaz lógica de capa 2 et-0/0/23.0, la interfaz elimina el exceso de tráfico de BUM.

La siguiente configuración crea un perfil denominado scp, que especifica que si el ancho de banda utilizado por el flujo de tráfico de multidifusión (se excluyen los flujos de tráfico de difusión y de unidifusión desconocidos) supera el 5 por ciento en la interfaz lógica de capa 2 et-0/0/23.0, la interfaz elimina el exceso de tráfico de multidifusión.

La siguiente configuración en un conmutador QFX10000 crea el mismo perfil que en la configuración anterior. Sin embargo, en lugar de eliminar implícitamente el tráfico de multidifusión si el flujo de tráfico supera el 5 por ciento, la siguiente configuración deshabilita explícitamente la interfaz durante 120 segundos y, a continuación, vuelve a activarla.

Duplicación de puertos y analizadores

Para analizar el tráfico en un entorno EVPN-VXLAN, admitimos la siguiente funcionalidad de analizador y duplicación de puertos:

  • Duplicación local

    • En una interfaz

    • En una VXLAN

  • Duplicación remota

    • En una interfaz

    • En una VXLAN

En las secciones siguientes se proporciona más información acerca de la funcionalidad admitida y se incluyen configuraciones de ejemplo.

Duplicación local

Nota:

La duplicación local es comparable al analizador de puertos conmutados (SPAN).

Tabla 3: Compatibilidad con la creación de reflejo local

Entidad a la que se aplica la creación de reflejo local

Dirección del tráfico

Soporte basado en filtros

Soporte basado en analizador

Interfaz orientada a CE

Ingreso

Apoyado.

Consulte Caso de uso 1: Configuración de ejemplo.

Apoyado.

Consulte Caso de uso 2: Configuración de ejemplo.

Interfaz orientada a CE

Salida

No es compatible.

Apoyado; sin embargo, el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original.

Consulte Caso de uso 3: Configuración de ejemplo.

Interfaz orientada a la estructura IP

Ingreso

Apoyado.

Apoyado.

Consulte Caso de uso 4: Configuración de ejemplo.

Interfaz orientada a la estructura IP

Salida

No es compatible.

Apoyado. Sin embargo, la decisión de reflejar ocurre en la entrada, por lo que el encabezado de capa 2 no será el mismo que un paquete conmutado o enrutado. Los paquetes encapsulados en VXLAN reflejados no incluirán un encabezado VXLAN.

Consulte Caso de uso 5: Configuración de ejemplo.

VLAN mapeada por VXLAN

Ingreso

Apoyado.

Solo se admite el tráfico que entra a través de una interfaz orientada a CE.

Consulte Caso de uso 6: Configuración de ejemplo.

Configuración de la creación de reflejo local

Use Case 1: Firewall filter-based

Mediante el uso de una instancia de creación de reflejo de puerto denominada pm1 y un filtro de firewall, esta configuración especifica que el tráfico de capa 2 que entra en VXLAN100 a través de la interfaz lógica xe-0/0/8.0 se refleja en un analizador en la interfaz lógica xe-0/0/6.0 y, a continuación, en la instancia de creación de reflejo de puertos pm1.

Use Case 2: Analyzer-based

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/8.0 se refleja en un analizador en la [set forwarding-options] interfaz lógica xe-0/0/6.0.

Use Case 3: Analyzer-based

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/8.0 se refleja en un analizador en la [set forwarding-options] interfaz lógica xe-0/0/6.0.

Use Case 4: Analyzer-based

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/29.0 se refleja en un analizador en la [set forwarding-options] interfaz lógica xe-0/0/6.0.

Use Case 5: Analyzer-based

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/29.0 se refleja en un analizador en la [set forwarding-options] interfaz lógica xe-0/0/6.0.

Use Case 6: Analyzer-based

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el [set forwarding-options] tráfico de capa 2 que entra en la VLAN denominado VXLAN100 y se refleja en un analizador en la interfaz lógica xe-0/0/6.0.

Duplicación remota

La duplicación de puerto remoto se utiliza cuando el destino de salida no está en el mismo conmutador que el origen. La duplicación remota entrega el tráfico reflejado a uno o más hosts de destino remotos. A menudo se usa en el entorno del centro de datos para la solución de problemas o el monitoreo.

En un entorno EVPN-VXLAN, el flujo de tráfico reflejado en el conmutador de origen se encapsula y tuneliza a través de la estructura IP subyacente hasta la dirección IP del host de destino. Admitimos los siguientes tipos de encapsulación:

  • La encapsulación de enrutamiento genérico (GRE) se utiliza con la creación de reflejo remota para encapsular el tráfico entre conmutadores separados por un dominio de enrutamiento. En una superposición EVPN-VXLAN, la encapsulación GRE permite la duplicación entre dispositivos leaf a través de la estructura IP. Utilice la creación remota de reflejo con GRE cuando los hosts de destino de la creación de reflejo estén conectados a un conmutador que forme parte de la misma estructura que el conmutador de origen. La duplicación remota con encapsulación GRE es comparable a la SPAN remota encapsulada (ERSPAN).

    Nota:

    En las plataformas ACX7100-32C y ACX7100-48L, la versión comparable de ERSPAN es ERSPAN versión 2 (ERSPAN v2).

  • La encapsulación VXLAN admite la duplicación remota para EVPN-VXLAN cuando los destinos de origen y salida se encuentran en dominios VNI independientes. Debe configurar una VXLAN específica para reflejar el tráfico de las interfaces de destino de salida y asignarlo a una VNI. La duplicación remota con encapsulación VXLAN es comparable a la SPAN remota (RSPAN).

Tabla 4: Soporte de duplicación remota

Entidad a la que se aplica la creación remota de reflejo

Dirección del tráfico

Soporte basado en filtros

Soporte basado en analizador

Interfaz orientada a CE

Ingreso

Apoyado.

No se admite en ACX7100.

Apoyado. Consulte Caso de uso 1: Configuración de ejemplo.

Admitido en ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE.

Interfaz orientada a CE

Salida

No es compatible.

Apoyado. Consulte Caso de uso 2: Configuración de ejemplo.

Admitido en ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE.

Interfaz orientada a la estructura IP

Ingreso

Apoyado.

No se admite en ACX7100.

Apoyado. Consulte Caso de uso 3: Configuración de ejemplo.

Admitido en ACX7100. Sin embargo, los paquetes encapsulados en VXLAN reflejados incluyen un encabezado VXLAN y un encabezado GRE.

Interfaz orientada a la estructura IP

Salida

No es compatible.

Apoyado. Sin embargo, la decisión de duplicar ocurre en la entrada, por lo que el encabezado de capa 2 no será el mismo que un paquete conmutado o enrutado. Consulte Caso de uso 4: Configuración de ejemplo.

Nota:

El tráfico reflejado puede incluir una etiqueta de ID VLAN falsa de 4094 en la trama MAC nativa.

Admitido en ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE, pero no incluyen un encabezado VXLAN.

VLAN mapeada por VXLAN

Ingreso

Apoyado.

No se admite en ACX7100.

Solo se admite para el tráfico que entra en una interfaz orientada a CE. Consulte Caso de uso 5: Configuración de ejemplo.

No se admite en ACX7100.

Configuración de la duplicación remota con encapsulación GRE

Las siguientes configuraciones de ejemplo son para duplicación remota basada en analizador con encapsulación GRE.

Nota:

Para obtener un ejemplo de configuración de un analizador remoto con encapsulación GRE en ACX7100, consulte Ejemplo: habilitar una instancia de analizador remoto en una interfaz ESI-LAG.

Use Case 1

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la [set forwarding-options] interfaz lógica xe-0/0/8.0 se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.

Use Case 2

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la [set forwarding-options] interfaz lógica xe-0/0/8.0 se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.

Use Case 3

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la [set forwarding-options] interfaz lógica xe-0/0/29.0 se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.

Use Case 4

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la [set forwarding-options] interfaz lógica xe-0/0/29.0 se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.

Use Case 5

Mediante el uso de la analyzer instrucción configuration en el nivel de jerarquía, esta configuración especifica que el [set forwarding-options] tráfico de capa 2 que entra en VXLAN100, que se asigna a la interfaz lógica xe-0/0/8.0, se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.

Configuración de la duplicación remota con encapsulación VXLAN

Para averiguar qué plataformas admiten esta característica y cuáles versiones, consulte la página Explorador de características para la creación de reflejo de puertos remotos con encapsulación VXLAN.

Configuración basada en el analizador

La siguiente configuración de ejemplo es para la creación de reflejo remota basada en analizador con encapsulación VXLAN. El tráfico de capa 2 que entra en VLAN100 se refleja en la VLAN3555 de destino de salida remota, que se asigna a VNI 1555.

Esta configuración utiliza una interfaz de circuito cerrado en la VLAN de destino para encapsular los paquetes reflejados.

  • La interfaz de destino xe-0/0/2 está conectada externamente a la interfaz de circuito cerrado xe-0/0/3.

  • Las interfaces lógicas xe-0/0/2.0 y xe-0/0/3.0 son miembros del VLAN3555 de destino.
  • La interfaz xe-0/0/2.0 se configura en estilo empresarial sin ninguna asignación de VNI, mientras que la interfaz xe-0/0/3.0 se configura en estilo de proveedor de servicios con el mismo ID de VLAN y con la asignación de VNI. Esto es para evitar inundaciones o bucles entre estos puertos.
  • Mac-learning debe estar deshabilitado en xe-0/0/2.0.
Nota:

La interfaz de entrada debe configurarse en modo troncal, de modo que se etiqueten los paquetes encapsulados. Para desencapsular los paquetes etiquetados, configure el set protocols l2-learning decapsulate-accept-inner-vlan comando en el nodo de desencapsulación.

Para configurar una interfaz de circuito cerrado lógico en lugar de utilizar una conexión externa, utilice el siguiente comando:

set interfaces interface-name ether-options loopback

La configuración de ejemplo siguiente utiliza un bucle invertido lógico en la interfaz xe-0/0/2:

Configuración basada en filtros de firewall

La siguiente configuración aplica un filtro de firewall, filter1, al tráfico de entrada en la interfaz xe-0/0/34. El tráfico que ingresa en esta interfaz se refleja en el destino VLAN3555. La VLAN de destino se define mediante una instancia de creación de reflejo de puerto denominada pm1.

Duplicación remota de puertos mediante condiciones de coincidencia de VNI

Para los conmutadores de las series QFX10002, QFX10008 y QFX10016, puede usar valores de identificador de red VXLAN (VNI) como condición de coincidencia al filtrar el tráfico para la duplicación remota de puertos. Esta capacidad se utiliza a menudo en la planificación de redes y para análisis como la inspección profunda de paquetes (DPI).

La función de creación de reflejo de puerto remoto actúa para crear una copia de los paquetes de entrada de destino, que se encapsulan en un encabezado GRE IPv4 externo y luego se reenvían al destino remoto designado. La compatibilidad con condiciones de coincidencia de VNI significa que puede seleccionar los paquetes que se reflejarán en función de su VNI para que solo esos flujos se dirijan al puerto de espejo remoto. También puede configurar un valor de punto de código de servicio diferenciado (DSCP) para priorizar el flujo, por ejemplo, la entrega de prioridad alta o de mejor esfuerzo. Las interfaces de enrutamiento y puente integrados (IRB) no se admiten como puerto espejo de destino.

En un nivel alto, el procedimiento para la creación de reflejo de puerto remoto basada en VNI consiste en crear una instancia de creación de reflejo de puerto remoto, promover VNI en la familia de filtros de firewall para controlar VNI, crear las reglas y acciones de filtro necesarias y, a continuación, aplicar la directiva de firewall a una interfaz de entrada. La tunelización GRE también debe estar en su lugar en la interfaz utilizada para enviar los paquetes reflejados.

Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration

Los ejemplos de código siguientes resaltan las configuraciones clave de la CLI de Junos que necesita para reflejar paquetes según VNI.

  1. Habilite la creación de reflejo de puertos remotos y configure también el origen de tráfico y el destino al que desea enviar los paquetes reflejados.
  2. Cree un filtro de firewall (aquí, denominado bf_vni_st) y promueva VNI en este filtro para que sea el módulo de reenvío de paquetes (en otras palabras, este comando establece todo el filtro para optimizar las condiciones de coincidencia de VNI).
  3. Cree un filtro de firewall de entrada (bf_vni_st), que especifique una condición de coincidencia de VNI (6030 en este ejemplo) y una acción (count, en este ejemplo).
  4. Aplique el filtro al tráfico de entrada en la interfaz que desea reflejar.