Filtrado MAC, control de tormentas y compatibilidad de duplicación de puertos en un entorno EVPN-VXLAN
Somos compatibles con el filtrado MAC, el control de tormentas y la duplicación y análisis de puertos en una red superpuesta DE VPN-Virtual Extensible LAN (EVPN-VXLAN) de Ethernet.
Somos compatibles con cada una de estas funciones mediante el estilo empresarial para la configuración de interfaz.
Estas funciones solo son compatibles con una superposición de puente enrutado de borde (ERB) EVPN-VXLAN, que también se denomina topología EVPN-VXLAN con una estructura IP colapsada. Esta red superpuesta incluye los siguientes componentes:
-
Una sola capa de conmutadores de Juniper Networks (por ejemplo, conmutadores QFX10002, QFX5120 o QFX5110), cada uno de los cuales funciona como un dispositivo spine de capa 3 y como un dispositivo leaf de capa 2.
-
Dispositivos de borde de cliente (CE) que son de una sola casa o de varias casas en modo activo/activo a los dispositivos spine-leaf.
Somos compatibles con la duplicación de puertos locales y remotos con EVPN-VXLAN en algunas plataformas:
-
local: los paquetes se reflejan en un destino en el mismo dispositivo.
-
remoto: los paquetes se reflejan en un destino en un dispositivo remoto.
Si desea usar la duplicación de puerto remoto con EVPN-VXLAN, asegúrese de mirar la página del Explorador de funciones para la duplicación de puerto remoto con encapsulación VXLAN para ver las plataformas y versiones compatibles.
Consulte Duplicación y analizadores de puertos para obtener más información sobre la duplicación de puertos locales o remotos con EVPN-VXLAN.
En este tema, se incluye la siguiente información:
Beneficios del filtrado mac, el control de tormentas y el soporte de duplicación de puertos en un entorno EVPN-VXLAN
-
El filtrado MAC le permite filtrar y aceptar paquetes de interfaces ce de entrada, lo que reduce el volumen de las direcciones MAC asociadas en la tabla de conmutación Ethernet y el tráfico en una VXLAN.
-
El control de tormentas le permite supervisar los niveles de tráfico en interfaces EVPN-VXLAN, y si se supera un nivel de tráfico especificado, deje caer la difusión, los paquetes de unidifusión y multidifusión desconocidos (BUM), y en algunos conmutadores de Juniper Networks, desactive la interfaz durante un tiempo especificado. Esta función puede evitar que un tráfico excesivo degrade la red.
-
Con la duplicación de puertos y los analizadores, puede analizar el tráfico hasta el nivel del paquete en un entorno EVPN-VXLAN. Puede usar esta función para aplicar políticas relacionadas con el uso de la red y el uso compartido de archivos, e identificar las fuentes de problemas mediante la localización de un uso de ancho de banda anormal o pesado por parte de determinadas estaciones o aplicaciones.
Filtrado MAC
El filtrado MAC le permite filtrar direcciones MAC y aceptar tráfico. Esta función solo es compatible con interfaces ce de entrada, que son interfaces en las que la encapsulación VXLAN no suele estar habilitada. Para usar esta función, debe hacer lo siguiente:
-
Cree un filtro de firewall en el que especifique una o más de las condiciones de coincidencia admitidas en la tabla 1 y la tabla 2.
-
Aplique el filtro de firewall a una interfaz de capa 2 configurada en la
[edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]jerarquía.
| Condiciones de coincidencia |
Compatibilidad con filtro de entrada de interfaz |
Compatibilidad con filtro de salida de interfaz |
|---|---|---|
| Dirección MAC de origen |
X |
X |
| Dirección MAC de destino |
X |
X |
| ID de VLAN de usuario |
X |
X |
| Puerto de origen |
X |
|
| Puerto de destino |
X |
|
| Tipo de éter |
X |
|
| Protocolo IP |
X |
|
| Prioridad IP |
X |
|
| Códigos ICMP |
X |
|
| Marcas TCP |
X |
|
| Dirección IP |
X |
|
En la versión 18.4R1 de Junos OS, los conmutadores QFX5100 y QFX5110 admiten el filtrado MAC solo en una interfaz. Y, a partir de junos OS versión 18.4R2 y versiones posteriores, los conmutadores QFX5100, QFX5110, QFX5120-48Y y EX4650-48Y también admiten el filtrado MAC en una VLAN asignada a VXLAN. La versión 22.2 de Junos OS incluye compatibilidad con filtrado de Mac y coincidencia de VNI de tránsito para una base IPv6 pura en QFX10002, QFX10008 y dispositivos QFX10016.
| Condiciones de coincidencia |
Compatibilidad con filtro de entrada de interfaz |
Compatibilidad con filtro de salida de interfaz |
|---|---|---|
| Dirección MAC de origen |
X |
|
| Dirección MAC de destino |
X |
|
| ID de VLAN de usuario |
|
|
| Puerto de origen |
X |
X |
| Puerto de destino |
X |
X |
| Tipo de éter |
X |
X |
| Protocolo IP |
X |
|
| Prioridad IP |
X |
X |
| Códigos ICMP |
X |
X |
| Marcas TCP |
X |
X |
| Dirección IP |
X |
X |
Al configurar filtros MAC en QFX10000 conmutadores, tenga en cuenta lo siguiente:
-
Solo puede aplicar un filtro a una interfaz. No puede aplicar un filtro a una VLAN asignada a una VXLAN.
-
No admitemos una combinación de condiciones de coincidencia de capa 2 y condiciones de coincidencia de capa 3/capa 4 en el mismo filtro de firewall. Por ejemplo, si incluye condiciones de coincidencia de puerto de origen y dirección MAC de origen en el mismo filtro de firewall en un conmutador QFX10002, el filtro de firewall no funcionará.
-
No admitemos la condición de coincidencia de ID de VLAN de usuario. Por lo tanto, si necesita filtrar interfaces lógicas, cada una de las cuales está asignada a una VLAN determinada, debe usar el estilo de configuración del proveedor de servicios al configurar la interfaz física y las interfaces lógicas asociadas. Después de crear un filtro de firewall, debe aplicar el filtro a cada interfaz lógica para lograr el efecto de la condición de coincidencia de ID de VLAN de usuario.
- Con Junos OS versión 22.2, también se implementa soporte para el ID de red VxLAN (VNI) que coincide en encabezados exteriores de IP de origen/destino para tráfico de tránsito en una interfaz de capa 3 para dispositivos QFX10002, QFX10008 y QFX10016. Las coincidencias de VNI se realizan solo en encabezados externos y solo en el tráfico de entrada. En los dispositivos de tránsito que enrutan paquetes de túnel, el filtrado MAC debe admitir la coincidencia de VNI en el encabezado externo, junto con direcciones IPv6 de origen y destino del encabezado externo como condiciones de coincidencia. Utilice el filtro de coincidencia de VNI en la opción cli de coincidencia vxlan para el
set firewall family inet6 filtertérmino desde el<vxlan [vni <vni-id>]>comando. Utilice elshow firewall filtercomando para mostrar estadísticas.
Mediante el filtro de firewall, se especifican las direcciones MAC asociadas con una VXLAN permitidas en una interfaz determinada.
Después de aplicar el filtro de firewall a una interfaz de capa 2, la interfaz reside en la instancia predeterminada del conmutador.
La siguiente configuración de ejemplo en un conmutador QFX5110 crea un filtro de firewall denominado DHCP-Discover-In que acepta y cuenta el tráfico entrante que cumple varias condiciones de coincidencia (dirección MAC de origen, dirección MAC de destino, puertos de destino y ID de VLAN) en interfaz lógica de capa 2 xe-0/0/6.0:
set firewall family ethernet-switching filter DHCP-Discover-In term 1 from source-mac-address 00:00:5E:00:53:ab/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-mac-address ff:ff:ff:ff:ff:ff/48 set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port dhcp set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootps set firewall family ethernet-switching filter DHCP-Discover-In term 1 from destination-port bootpc set firewall family ethernet-switching filter DHCP-Discover-In term 1 from user-vlan-id 803 set firewall family ethernet-switching filter DHCP-Discover-In term 1 then accept set firewall family ethernet-switching filter DHCP-Discover-In term 1 then count DHCP-Discover-In set firewall family ethernet-switching filter DHCP-Discover-In term 2 then accept set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input DHCP-Discover-In
Control de tormentas
De forma predeterminada, el control de tormentas está habilitado en conmutadores QFX y EX para interfaces de capa 2 asociadas con VXLAN. El nivel de control de tormentas se establece en el 80 % de las transmisiones de tráfico BUM combinadas.
El control de tormentas EVPN-VXLAN funciona de manera un poco diferente en las plataformas de la serie ACX. Para obtener más información, consulte Descripción general del control de tormentas en enrutadores serie ACX.
En un entorno EVPN-VXLAN, el control de tormentas se implementa y configura en interfaces de capa 2 que están asociadas con VXLAN del mismo modo que en un entorno que no es EVPN-VXLAN, excepto por las siguientes diferencias:
-
En un entorno EVPN-VXLAN, los tipos de tráfico que monitorean el control de tormentas son los siguientes:
-
Tráfico BUM de capa 2 que se origina en una VXLAN y se reenvía a interfaces dentro de la misma VXLAN.
-
Tráfico de multidifusión de capa 3 que recibe una interfaz de enrutamiento y puente integrados (IRB) en una VXLAN y se reenvía a interfaces en otra VXLAN.
-
-
Después de crear un perfil de control de tormentas, debe enlazarlo a una interfaz de entrada de capa 2 en la
[edit interfaces interface-name unit logical-unit-number family ethernet-switching]jerarquía.Nota:Después de enlazar el perfil a una interfaz de capa 2, la interfaz reside dentro de la instancia predeterminada del conmutador.
-
Si el tráfico en una interfaz supera el nivel de control de tormenta especificado, el conmutador de Juniper Networks deja caer el exceso de paquetes, lo que se conoce como limitación de velocidad. Además, QFX10000 conmutadores en un entorno EVPN-VXLAN admiten la deshabilitación de la interfaz durante un tiempo especificado mediante la
action-shutdowninstrucción de configuración en el[edit forwarding-options storm-control-profiles]nivel de jerarquía y larecovery-timeoutinstrucción de configuración en el[edit interfaces interface-name unit logical-unit-number family ethernet-switching]nivel de jerarquía.Nota:QFX5100 y QFX5110 conmutadores en un entorno EVPN-VXLAN no admiten la deshabilitación de la interfaz durante un tiempo especificado.
Nota:En QFX5110 conmutadores, si configura un control de tormenta mejorado y un analizador nativo en una interfaz, y el analizador nativo tiene VxLAN VLAN como entrada, la acción de apagado no funcionará para la VLAN en esa interfaz. La limitación de velocidad funcionará según lo esperado.
La siguiente configuración crea un perfil llamado scp, el cual especifica que si el ancho de banda utilizado por las secuencias de tráfico BUM combinadas supera el 5 por ciento en la interfaz lógica de capa 2 et-0/0/23.0, la interfaz pierde el exceso de tráfico BUM.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
La siguiente configuración crea un perfil llamado scp, el cual especifica que si el ancho de banda utilizado por el flujo de tráfico de multidifusión (se excluyen las secuencias de tráfico de unidifusión y de unidifusión desconocida) supera el 5 % en la interfaz lógica de capa 2 et-0/0/23.0, la interfaz deja caer el exceso de tráfico de multidifusión.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set interfaces et-0/0/23 unit 0 family ethernet-switching storm-control scp
La siguiente configuración en un conmutador QFX10000 crea el mismo perfil que en la configuración anterior. Sin embargo, en lugar de dejar caer implícitamente el tráfico de multidifusión si el flujo de tráfico supera el 5 %, la siguiente configuración deshabilita explícitamente la interfaz durante 120 segundos y, luego, vuelve a activar la interfaz.
set forwarding-options storm-control-profiles scp all bandwidth-percentage 5 no-broadcast no-unknown-unicast set forwarding-options storm-control-profiles scp all action-shutdown set interfaces ge-0/0/0 unit 0 family ethernet-switching storm-control scp recovery-timeout 120
Analizadores y espejados de puertos
Para analizar el tráfico en un entorno EVPN-VXLAN, apoyamos la siguiente funcionalidad de duplicación y analizador de puertos:
-
Creación de reflejos locales
-
En una interfaz
-
En una VXLAN
-
-
Creación de reflejos remotos
-
En una interfaz
-
En una VXLAN
-
En las siguientes secciones se proporciona más información acerca de la funcionalidad compatible e se incluyen configuraciones de ejemplo.
Replicación local
El reflejo local es comparable al analizador de puertos conmutados (SPAN).
| Entidad a la que se aplica la duplicación local |
Dirección de tráfico |
Soporte basado en filtros |
Soporte basado en analizadores |
|---|---|---|---|
| Interfaz ce-facing |
Ingreso |
Apoyado. Consulte El caso de uso 1: Configuración de ejemplo. |
Apoyado. Consulte Caso de uso 2: Configuración de ejemplo. |
| Interfaz ce-facing |
Salida |
No compatible. |
Apoyado; sin embargo, el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original. Consulte El caso de uso 3: Configuración de ejemplo. |
| Interfaz orientada a la estructura IP |
Ingreso |
Apoyado. |
Apoyado. Consulte Caso de uso 4: Configuración de ejemplo. |
| Interfaz orientada a la estructura IP |
Salida |
No compatible. |
Apoyado. Sin embargo, la decisión de reflejar ocurre en la entrada, por lo que el encabezado de la capa 2 no será el mismo que un paquete conmutado o enrutado. Los paquetes encapsulados de VXLAN reflejados no incluirán un encabezado VXLAN. Consulte El caso de uso 5: Configuración de ejemplo. |
| VLAN asignada a VXLAN |
Ingreso |
Apoyado. |
Solo se admite para el tráfico que ingresa a través de una interfaz ce-cara. Consulte El caso de uso 6: Configuración de ejemplo. |
Configuración de la duplicación local
Use Case 1: Firewall filter-based
Mediante el uso de una instancia de duplicación de puerto denominada pm1 y un filtro de firewall, esta configuración especifica que el tráfico de la capa 2 que ingresa VXLAN100 mediante la interfaz lógica xe-0/0/8.0 se refleja en un analizador en la interfaz lógica xe-0/0/6.0 y, luego, en la instancia de duplicación de puerto pm1.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/8 unit 0 family ethernet-switching filter input IPACL set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options port-mirroring instance pm1 family ethernet-switching output interface xe-0/0/6 set firewall family ethernet-switching filter IPACL term to-analyzer then port-mirror-instance pm1
Use Case 2: Analyzer-based
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/8.0 se refleja en un analizador en la interfaz lógica xe-0/0/6.0.
set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer ANA1 input ingress interface xe-0/0/8.0 set forwarding-options analyzer ANA1 output interface xe-0/0/6.0
Use Case 3: Analyzer-based
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/8.0 se replica en un analizador en la interfaz lógica xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 4: Analyzer-based
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/29.0 se refleja en un analizador en la interfaz lógica xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 5: Analyzer-based
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/29.0 se refleja en un analizador en la interfaz lógica xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output interface xe-0/0/6
Use Case 6: Analyzer-based
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la VLAN denominada VXLAN100 y se refleja en un analizador en la interfaz lógica xe-0/0/6.0.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set interfaces xe-0/0/6 unit 0 family ethernet-switching set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output interface xe-0/0/6
Creación de reflejos remotos
La duplicación de puerto remoto se utiliza cuando el destino de salida no está en el mismo conmutador que el origen. La duplicación remota ofrece el tráfico reflejado a uno o más hosts de destino remoto. A menudo se utiliza en el entorno del centro de datos para la resolución de problemas o el monitoreo.
En un entorno EVPN-VXLAN, el flujo de tráfico reflejado en el conmutador de origen se encapsula y se tunelizó a través de la estructura IP subyacente hasta la dirección IP del host de destino. Somos compatibles con los siguientes tipos de encapsulación:
-
La encapsulación de enrutamiento genérico (GRE) se utiliza con la duplicación remota para encapsular el tráfico entre conmutadores separados por un dominio de enrutamiento. En una superposición EVPN-VXLAN, la encapsulación GRE permite la duplicación entre dispositivos leaf a través de la estructura IP. Utilice la duplicación remota con GRE cuando los hosts de destino de espejo estén conectados a un conmutador que forme parte de la misma estructura que el conmutador de origen. El espejo remoto con encapsulación GRE es comparable al SPAN remoto encapsulado (ERSPAN).
Nota:En las plataformas ACX7100-32C y ACX7100-48L, la versión comparable de ERSPAN es ERSPAN versión 2 (ERSPAN v2).
-
La encapsulación de VXLAN admite la duplicación remota para EVPN-VXLAN cuando el origen y los destinos de salida se encuentran en dominios VNI independientes. Debe configurar una VXLAN específica para reflejar tráfico para las interfaces de destino de salida y asignarla a un VNI. El espejado remoto con encapsulación VXLAN es comparable al SPAN remoto (RSPAN).
| Entidad a la que se aplica la duplicación remota |
Dirección de tráfico |
Soporte basado en filtros |
Soporte basado en analizadores |
|---|---|---|---|
| Interfaz ce-facing |
Ingreso |
Apoyado. No se admite en ACX7100. |
Apoyado. Consulte El caso de uso 1: Configuración de ejemplo. Compatible con ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE. |
| Interfaz ce-facing |
Salida |
No compatible. |
Apoyado. Consulte Caso de uso 2: Configuración de ejemplo. Compatible con ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE. |
| Interfaz orientada a la estructura IP |
Ingreso |
Apoyado. No se admite en ACX7100. |
Apoyado. Consulte El caso de uso 3: Configuración de ejemplo. Compatible con ACX7100. Sin embargo, los paquetes VXLAN-encapsulados espejo incluyen un encabezado VXLAN y un encabezado GRE. |
| Interfaz orientada a la estructura IP |
Salida |
No compatible. |
Apoyado. Sin embargo, la decisión de reflejar ocurre en la entrada, por lo que el encabezado de la capa 2 no será el mismo que un paquete conmutado o enrutado. Consulte Caso de uso 4: Configuración de ejemplo.
Nota:
El tráfico reflejado puede incluir una etiqueta de ID VLAN falsa de 4094 en la trama MAC nativa. Compatible con ACX7100. Sin embargo, los paquetes reflejados incluyen un encabezado GRE, pero no un encabezado VXLAN. |
| VLAN asignada a VXLAN |
Ingreso |
Apoyado. No se admite en ACX7100. |
Solo se admite para el tráfico que entra en una interfaz ce-cara. Consulte El caso de uso 5: Configuración de ejemplo. No se admite en ACX7100. |
Configuración de la duplicación remota con encapsulación GRE
Las siguientes configuraciones de ejemplo son para espejado remoto basado en analizadores con encapsulación GRE.
Para obtener un ejemplo de configuración de un analizador remoto con encapsulación GRE en ACX7100, consulte Ejemplo: Habilitar una instancia de analizador remoto en una interfaz ESI-LAG.
Use Case 1
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/8.0 se replica en una interfaz lógica remota con una dirección IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/8.0 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 2
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/8.0 se refleja en una interfaz lógica remota con una dirección IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/8 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 3
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en la interfaz lógica xe-0/0/29.0 se replica en una interfaz lógica remota con una dirección IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 4
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que sale de la interfaz lógica xe-0/0/29.0 se replica en una interfaz lógica remota con una dirección IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/29 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/29 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input egress interface xe-0/0/29 set forwarding-options analyzer test output ip-address 10.9.9.2
Use Case 5
Mediante el uso de la analyzer instrucción de configuración en el [set forwarding-options] nivel de jerarquía, esta configuración especifica que el tráfico de capa 2 que entra en VXLAN100, que está asignado a la interfaz lógica xe-0/0/8.0, se replica en una interfaz lógica remota con una dirección IP de 10.9.9.2.
set vlans VXLAN100 vlan-id 100 set interfaces xe-0/0/8 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/8 unit 0 family ethernet-switching vlan members VXLAN100 set forwarding-options analyzer test input ingress vlan VXLAN100 set forwarding-options analyzer test output ip-address 10.9.9.2
Configuración de la duplicación remota con encapsulación VXLAN
Para averiguar qué plataformas admiten esta función a partir de qué versiones, consulte la página del Explorador de funciones para la duplicación de puertos remotos con encapsulación VXLAN.
Configuración basada en analizadores
La siguiente configuración de ejemplo es para la duplicación remota basada en analizadores con encapsulación VXLAN. El tráfico de la capa 2 que entra en VLAN100 se refleja en la VLAN3555 de destino de salida remota, que se asigna a VNI 1555.
Esta configuración usa una interfaz de circuito cerrado en la VLAN de destino para encapsular los paquetes reflejados.
-
La interfaz de destino xe-0/0/2 está conectada externamente a la interfaz de circuito cerrado xe-0/0/3.
- Las interfaces lógicas xe-0/0/2.0 y xe-0/0/3.0 son miembros de VLAN3555 de destino.
- La interfaz xe-0/0/2.0 se configura en el estilo empresarial sin ninguna asignación VNI, mientras que la interfaz xe-0/0/3.0 está configurada en estilo de proveedor de servicios con el mismo ID de vLAN y con la asignación de VNI. Esto es para evitar que se inunden o se produzcan bucles entre estos puertos.
- El aprendizaje de Mac se debe deshabilitar en xe-0/0/2.0.
La interfaz de entrada debe configurarse en modo de troncalización, por lo que los paquetes encapsulados se etiquetan. Para desencapsular los paquetes etiquetados, configure el set protocols l2-learning decapsulate-accept-inner-vlan comando en el nodo de decapsulación.
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set vlans VLAN3555 interface xe-0/0/3.3555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/3 flexible-vlan-tagging set interfaces xe-0/0/3 encapsulation extended-vlan-bridge set interfaces xe-0/0/3 unit 3555 vlan-id 3555 set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Para configurar una interfaz lógica de circuito cerrado en lugar de usar una conexión externa, utilice el siguiente comando:
set interfaces interface-name ether-options loopback
La siguiente configuración de ejemplo utiliza un circuito cerrado lógico en la interfaz xe-0/0/2:
set vlans VLAN3555 vlan-id 3555 set vlans VLAN3555 vxlan vni 1555 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN3555 set interfaces xe-0/0/2 ether-options loopback set switch-options interface xe-0/0/2 no-mac-learning set forwarding-options analyzer test input ingress vlan VLAN100 set forwarding-options analyzer test output vlan VLAN3555
Configuración basada en filtros de firewall
La siguiente configuración aplica un filtro de firewall, filter1, para el tráfico de entrada en la interfaz xe-0/0/34. El tráfico que penetra en esta interfaz se refleja en el destino VLAN3555. La VLAN de destino se define mediante una instancia de duplicación de puerto denominada pm1.
set interfaces xe-0/0/34 unit 0 family ethernet-switching filter input filter1 set forwarding-options port-mirroring instance pm1 family ethernet-switching output vlan vlan3555 set firewall family ethernet-switching filter filter1 term to-analyzer then port-mirror-instance pm1
Duplicación de puerto remoto mediante condiciones de coincidencia de VNI
Para QFX10002, QFX10008 y conmutadores de la serie QFX10016, puede usar valores de identificador de red VXLAN (VNI) como condición de coincidencia al filtrar tráfico para la duplicación de puertos remotos. Esta es una capacidad que se utiliza a menudo en la planificación de red y para análisis, como la inspección profunda de paquetes (DPI).
La función de duplicación de puerto remoto actúa para crear una copia de los paquetes de entrada de destino, que se encapsulan en un encabezado IPv4 GRE externo y, luego, se reenvían al destino remoto designado. La compatibilidad con condiciones de coincidencia de VNI significa que puede seleccionar paquetes que se duplicarán según su VNI, de modo que solo esos flujos se dirijan al puerto espejo remoto. También puede configurar un valor de punto de código de servicio (DSCP) diferenciado para priorizar el flujo, por ejemplo, la entrega de alta prioridad o el mejor esfuerzo. Las interfaces de enrutamiento y puentes integrados (IRB) no se admiten como puerto espejo de destino.
En un nivel alto, el procedimiento para la duplicación de puertos remotos basada en VNIs es crear una instancia de duplicación de puerto remoto, promover VNI en la familia de filtros de firewall para manejar VNI, crear las reglas y acciones de filtro necesarias y, luego, aplicar la política de firewall a una interfaz de entrada. La tunelización GRE también debe estar implementada en la interfaz utilizada para enviar los paquetes reflejados.
Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration
Los ejemplos de código a continuación destacan las configuraciones clave de CLI de Junos que necesita para reflejar paquetes de acuerdo con VNI.
- Habilite la duplicación de puertos remotos y configure el origen del tráfico y el destino al que desea enviar los paquetes reflejados.
set forwarding-options port-mirroring remote-port-mirroring set port-mirroring remote-port-mirroring instance name output ip-source-address IPv4 address set port-mirroring remote-port-mirroring instance name output ip-destination-address IPv4 address
- Cree un filtro de firewall (aquí denominado bf_vni_st) y promocione VNI en este filtro para que sea el módulo de reenvío de paquetes (en otras palabras, este comando establece todo el filtro para optimizar las condiciones de coincidencia de VNI).
set firewall family inet filter fbf_vni_st promote vni
- Cree un filtro de firewall de entrada (bf_vni_st), que especifique una condición de coincidencia de VNI (6030 en este ejemplo) y una acción (recuento, en este ejemplo).
set firewall family inet filter fbf_vni_st term t1-vni from protocol udp set firewall family inet filter fbf_vni_st term t1-vni from vxlan vni 6030 set firewall family inet filter fbf_vni_st term t1-vni then count t1-vni-6030 set firewall family inet filter fbf_vni_st term default-term then count default-cnt
- Aplique el filtro al tráfico de entrada en la interfaz que desea reflejar.
set interfaces interface unit number family inet filter input fbf_vni_st