EN ESTA PÁGINA
Ejemplo: Configurar la creación de reflejo de puertos con familia cualquiera y un filtro de firewall
Descripción general
• Familia any (para la familia any, ccc, ethernet-switching, o mpls)
Utilice la opción de configuración de familia any para procesar las 4 familias.
Se utiliza [edit forwarding-options port-mirroring] para la creación de reflejo de puerto local o [edit forwarding-options port-mirroring instance instance-name] para la creación de reflejo de puerto remoto, y ambas configuraciones también requieren un filtro de firewall.
En el siguiente texto se enumeran las advertencias y limitaciones que debe conocer al configurar esta función:
Advertencias
-
Si necesita cambiar la configuración de salida de duplicación de puertos, elimine primero la configuración de salida existente y, a continuación, configure la nueva configuración de salida.
-
Si el número de instancias de espejo de puerto remoto supera las 15, no se muestra ningún error de confirmación.
-
Se genera un mensaje de error del motor de reenvío de paquetes si el número de instancias de espejo de puerto supera las 15. Sin embargo, si elimina una de las instancias existentes, la decimosexta instancia no se programa automáticamente. Primero debe eliminar la decimosexta instancia y, a continuación, agregarla de nuevo.
-
Un paquete muestreado solo se puede enviar a un dispositivo NMS.
-
Cada familia consume una instancia, por lo que
maximum number of instances = number of instances + number of families
-
Una interfaz FTI debe funcionar en modo de circuito cerrado.
Nota:Las interfaces FTI se incluyen en las configuraciones de duplicación remota de puertos.
-
Puede configurar la longitud máxima del paquete como un múltiplo de 128 bytes; Un paquete exportado es 22 bytes menor que el valor configurado.
-
No configure varias interfaces para la misma instancia; no son compatibles y no se crea ningún error de confirmación si intenta confirmar varias interfaces para la misma instancia.
-
El reinicio del demonio espejo (reflejado) y GRES tienen una caída momentánea.
-
Los paquetes terminados en túnel en la dirección de salida no se reflejan.
-
No se admiten acciones
port-mirrorcombinadas ydiscarden la dirección de salida. -
No se admite el tráfico Jumbo en la dirección de salida de la interfaz FTI.
Limitaciones
-
La configuración L2 () de estilo proveedor empresarial (
ethernet-switching) no es compatible con el filtro de familiaany. -
Un paquete de muestra solo se puede enviar a una instancia de espejo de puerto remoto. El mismo paquete muestreado no se puede enviar a varios dispositivos NMS.
-
Las estadísticas relacionadas con los paquetes duplicados de puertos deben verificarse mediante el filtro de firewall o la FTI.
-
El tráfico MPLS de salida no es compatible con el filtro de familia
any. -
No se admite una interfaz Ethernet agregada (ae) como interfaz de salida en el filtro de familia
any.
Requisitos
-
PTX10008 o PTX10016
-
Junos OS Evolved versión 22.2R1 o posterior
Topología
En el ejemplo siguiente se muestra una configuración de creación de reflejo de puerto local con familia any y un filtro de firewall.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
Resultados
Compruebe los resultados de la configuración:
firewall {
family any {
filter mirror_to_analytics {
term port-mirror {
from {
learn-vlan-id 1024-1055;
}
then count c1;
then port-mirror;
}
term all-else {
then accept;
}
}
}
}
interfaces {
ae10 {
encapsulation flexible-ethernet-services;
aggregated-ether-options {
lacp {
active;
periodic fast;
}
}
unit 1038 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1038;
unit 1046 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1046;
}
} vlan-tagging;
}
et-0/0/0:3 {
encapsulation ethernet ccc;
unit 0 {
family ccc;
}
forwarding-options {
port-mirroring {
input {
rate 1; (We recommend 1:1000 so you don't mirror all the traffic.)
}
family any {
output {
interface et-0/0/0:3.0;
}
}
}
}