Configuración de la duplicación de puertos para varios destinos
Descripción de la creación de reflejo de puertos de capa 2 a múltiples destinos mediante grupos de salto siguiente
En un enrutador de la serie MX y en un conmutador de la serie EX, puede reflejar el tráfico a varios destinos mediante la configuración de grupos de salto siguiente en filtros de firewall de duplicación de puertos de capa 2 aplicados a interfaces de túnel. La duplicación de paquetes a múltiples destinos también se conoce como duplicación de puertos multipaquete,
Junos OS versión 9.5 introdujo compatibilidad con la duplicación de puertos de capa 2 mediante grupos de salto siguiente en enrutadores de la serie MX, pero requirió la instalación de una PIC de túnel. A partir de la versión 9.6 de Junos OS, la creación de reflejo de puertos de capa 2 mediante grupos de salto siguiente en enrutadores de la serie MX no requiere PIC de túnel.
En los enrutadores de la serie MX y en los conmutadores de la serie EX, puede definir un filtro de firewall para duplicar paquetes a un grupo del salto siguiente. El grupo del salto siguiente puede contener miembros de capa 2, miembros de capa 3 y subgrupos que sean de lista de unidades (duplicación de paquetes en cada interfaz) o de carga equilibrada (creación de reflejo de paquetes en una de varias interfaces). El enrutador de la serie MX y el conmutador de la serie EX admiten hasta 30 grupos de salto siguiente. Cada grupo de salto siguiente admite hasta 16 direcciones de salto siguiente. Cada grupo del salto siguiente debe especificar al menos dos direcciones.
Para habilitar la creación de reflejo de puertos a los miembros de un grupo de salto siguiente, especifique el grupo de salto siguiente como la acción de filtro de un filtro de firewall y, a continuación, aplique el filtro de firewall a interfaces de túnel lógico (lt-) o interfaces de túnel virtual (vt-) en el enrutador de la serie MX o en el conmutador de la serie EX.
No se admite el uso de subgrupos para equilibrar la carga del tráfico reflejado.
Definición de un grupo de salto siguiente en enrutadores de la serie MX para la duplicación de puertos
A partir de la versión 14.2, en enrutadores que contengan un circuito integrado específico de la aplicación (ASIC) de procesador de Internet II o un procesador de Internet de la serie T, puede enviar una copia de un paquete IP versión 4 (IPv4) o IP versión 6 (IPv6) desde el enrutador a una dirección de host externa o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de puertos.
La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía al motor de enrutamiento una clave de muestreo basada en el encabezado IPv4. Allí, la clave se puede colocar en un archivo, o los paquetes cflowd basados en la clave se pueden enviar a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de una interfaz de salto siguiente.
Puede configurar el uso simultáneo del muestreo y la creación de reflejo de puertos, y establecer una frecuencia de muestreo y una longitud de ejecución independientes para los paquetes reflejados en puertos. Sin embargo, si se selecciona un paquete tanto para el muestreo como para la creación de reflejo de puertos, sólo se puede realizar una acción y la creación de reflejo de puertos tiene prioridad. Por ejemplo, si configura una interfaz para muestrear cada entrada de paquete a la interfaz y un filtro también selecciona el paquete para que se refleje en otra interfaz, solo surtirá efecto la creación de reflejo de puertos. Todos los demás paquetes que no coinciden con los criterios explícitos de duplicación de puertos de filtro siguen siendo muestreados cuando se reenvían a su destino final.
Los grupos de salto siguiente le permiten incluir la duplicación de puertos en varias interfaces.
En los enrutadores de la serie MX, puede reflejar el tráfico de entrada de la interfaz de túnel a varios destinos. Para esta forma de duplicación de puertos multipaquete, especifique dos o más destinos en un grupo de salto siguiente, defina un filtro de firewall que haga referencia al grupo de salto siguiente como acción de filtrado y, a continuación, aplique el filtro a una interfaz lt-de túnel lógico ) o interfaces de túnel virtual (vt- en el enrutador de la serie MX.
Para definir un grupo de salto siguiente para una acción de filtro de firewall de duplicación de puertos de capa 2:
Ejemplo: Configuración de duplicación de múltiples puertos con grupos de salto en enrutadores serie M, MX y T
Cuando necesite analizar tráfico que contenga más de un tipo de paquete, o desee realizar varios tipos de análisis en un único tipo de tráfico, puede implementar varios grupos de creación de reflejo de puertos y del próximo salto. Puede hacer hasta 16 copias de tráfico por grupo y enviar el tráfico a los miembros del grupo del próximo salto. Se puede configurar un máximo de 30 grupos en un enrutador en un momento dado. El tráfico duplicado de puerto se puede enviar a cualquier interfaz, excepto a SONET/SDH agregada, Ethernet agregada, interfaz de circuito cerrado (lo0) o administrativa (fxp0). Para enviar tráfico duplicado de puerto a varios servidores de flujo o analizadores de paquetes, puede utilizar la next-hop-group instrucción en el nivel de [edit forwarding-options] jerarquía.
Figura 1 muestra un ejemplo de cómo configurar la creación de reflejo de varios puertos con grupos del próximo salto. Todo el tráfico ingresa al enrutador de monitoreo en la interfaz ge-1/0/0. Un filtro de firewall cuenta y refleja el puerto de todos los paquetes entrantes a una PIC de servicios de túnel. Se aplica un segundo filtro a la interfaz del túnel y divide el tráfico en tres categorías: tráfico HTTP, tráfico FTP y el resto del tráfico. Los tres tipos de tráfico se asignan a tres grupos independientes del próximo salto. Cada grupo del salto siguiente contiene un par único de interfaces de salida que conducen a diferentes grupos de analizadores de paquetes y servidores de flujo.
Las instancias habilitadas para reflejar paquetes a diferentes destinos desde el mismo PFE también utilizan diferentes parámetros de muestreo para cada instancia. Cuando configuramos la duplicación de puertos de capa 2 tanto con la duplicación de puertos global como con la duplicación de puertos basada en instancias, las instancias de nivel PIC anularán el nivel de FPC y el nivel de FPC anulará la instancia global.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
Ejemplo: Duplicación de puertos de capa 2 a múltiples destinos
En los enrutadores de la serie MX, puede reflejar el tráfico a varios destinos mediante la configuración de grupos de salto siguiente en filtros de firewall de duplicación de puertos de capa 2 aplicados a interfaces de túnel.
Configure el chasis para admitir servicios de túnel en PIC 0 en FPC 2. Esta configuración incluye dos interfaces de túnel lógico en FPC 2, PIC 0, puerto 10.
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }Configure las interfaces físicas y lógicas para tres dominios de puente y una CCC VPN de capa 2:
El dominio bd de puente abarcará las interfaces ge-2/0/1.0 lógicas y ge-2/0/1.1.
El dominio bd_next_hop_group de puente abarcará las interfaces ge-2/2/9.0 lógicas y ge-2/0/2.0.
El dominio bd_port_mirror de puente utilizará la interfaz lt-2/0/10.2de túnel lógico.
La CCC if_switch VPN de capa 2 conectará interfaces ge-2/0/1.2 lógicas y lt-2/0/10.1.
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }Configure los tres dominios de puente y el CCC de conmutación VPN de capa 2:
El dominio bd de puente abarca las interfaces ge-2/0/1.0 lógicas y ge-2/0/1.1.
El dominio bd_next_hop_group de puente abarca las interfaces ge-2/2/9.0 lógicas y ge-2/0/2.0.
El dominio bd_port_mirror de puente utiliza la interfaz lt-2/0/10.2de túnel lógico.
El CCC if_switch VPN de capa 2 conecta las interfaces ge-2/0/1.2 y lt-2/0/10.1.
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }Para obtener información detallada acerca de la configuración de la conexión CCC para conexiones cruzadas de conmutación de capa 2, consulte la Guía del usuario de aplicaciones MPLS.
Configure las opciones de reenvío:
Configure las propiedades globales de creación de reflejo de puertos para reflejar family vpls el tráfico a una interfaz en el dominio del puente bd_port_mirror.
Configure el grupo nhg_mirror_to_bd del próximo salto para reenviar el tráfico de capa 2 al dominio del puente bd_next_hop_group.
El filtro de firewall de duplicación de puertos hará referencia a ambas opciones de reenvío:
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }Configure dos filtros de firewall de duplicación de puertos de capa 2 para family bridge el tráfico:
filter_pm_bridge: envía todo family bridge el tráfico al destino global de creación de reflejo del puerto.
filter_redirect_to_nhg: envía todo family bridge el tráfico al grupo final del próximo salto nhg_mirror_to_bd.
Los filtros de firewall de espejado de puerto de capa 2 para el tráfico se family bridge aplican al tráfico en una interfaz física configurada con encapsulación ethernet-bridge.
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.