EN ESTA PÁGINA
Definición de un filtro de firewall de duplicación de puerto de capa 2
Configurar un filtro de firewall independiente de protocolo para la duplicación de puertos
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Aplicación de duplicación de puerto de capa 2 a una interfaz lógica
Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a un dominio de puente
Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a una VLAN
Ejemplo: Duplicación de puerto de capa 2 en una interfaz lógica
Ejemplo: Duplicación de puerto de capa 2 para una VPN de capa 2
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
Configuración de duplicación de puertos en interfaces lógicas
Filtros de firewall de duplicación de puertos de capa 2
En este tema se describe la siguiente información:
- Descripción general de los filtros de firewall de duplicación de puertos de capa 2
- Duplicación de paquetes recibidos o enviados en una interfaz lógica
- Duplicación de paquetes reenviados o inundados a una VLAN
- Duplicación de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Descripción general de los filtros de firewall de duplicación de puertos de capa 2
En un enrutador de la serie MX y en un conmutador de la serie EX, puede configurar un términode filtro de firewall para especificar que la duplicación de puerto de capa 2 se aplicará a todos los paquetes en la interfaz a la que se aplica el filtro de firewall.
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas de Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o tráfico reenviado o inundado a una instancia de enrutamiento VPLS.
Los enrutadores de la serie MX y los conmutadores de la serie EX admiten la duplicación de puertos de capa 2 del tráfico VPLS (family ethernet-switching o family vpls) y el tráfico vpn de capa 2 con family ccc en un entorno de capa 2
Dentro de un filtro termde firewall, puede especificar las propiedades de duplicación de puerto de capa 2 en la then instrucción de cualquiera de las maneras siguientes:
Referencia implícitamente a las propiedades de duplicación de puerto de capa 2 en efecto en el puerto.
Hacer referencia explícita a una instancia determinada de duplicación de puerto de capa 2.
Al configurar un filtro de firewall de duplicación de puerto de capa 2, no incluya la instrucción opcional from que especifica condiciones de coincidencia según la dirección de origen de la ruta. Omita esta instrucción para que todos los paquetes se consideren coincidentes y se tomen todos actions y action-modifiers especificados en la then instrucción.
Si desea reflejar todos los paquetes entrantes, no debe usar la instrucción from; /*Comentario: un configurar términos de filtro con desde si están interesados en reflejar solo un subconjunto de paquetes.
Si asocia enrutamiento y puente integrados (IRB) con la VLAN (o instancia de enrutamiento VPLS) y también configura dentro de la VLAN (o instancia de enrutamiento VPLS) un filtro de tabla de reenvío con la port-mirror acción o port-mirror-instance , a continuación, el paquete IRB se refleja como un paquete de capa 2. Puede deshabilitar este comportamiento configurando la instrucción no-IRB-layer-2-copy en la VLAN (o instancia de enrutamiento VPLS).
Para obtener una descripción detallada de cómo configurar un filtro de firewall de duplicación de puertos de capa 2, consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.
Para obtener información detallada acerca de cómo puede usar filtros de firewall de duplicación de puerto de capa 2 con enrutadores MX y conmutadores de la serie EX configurados como enrutadores de borde de proveedor (PE) o conmutadores de PE, consulte Descripción de la duplicación de puertos de capa 2 de interfaces lógicas del enrutador de PE. Para obtener información detallada acerca de la configuración de filtros de firewall en general (incluso en un entorno de capa 3), consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico.
Duplicación de paquetes recibidos o enviados en una interfaz lógica
Para reflejar el tráfico de capa 2 recibido o enviado en una interfaz lógica, aplique un filtro de firewall de duplicación de puerto a la entrada o salida de la interfaz.
También se puede aplicar un filtro de firewall de duplicación de puerto a una interfaz lógica de Ethernet agregada. Para obtener más información, consulte Descripción de la duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutadores PE.
Si se aplican filtros de firewall de duplicación de puerto tanto en la entrada como en la salida de una interfaz lógica, se duplican dos copias de cada paquete. Para evitar que el enrutador o el conmutador reenvíen paquetes duplicados al mismo destino, puede habilitar la opción "espejo una vez" para la duplicación de puerto de capa 2 en la instancia global de la familia de direcciones de paquete de capa 2.
Duplicación de paquetes reenviados o inundados a una VLAN
Para reflejar el tráfico de capa 2 reenviado o inundado a una VLAN, aplique un filtro de firewall de duplicación de puerto a la entrada a la tabla de reenvío o a la tabla de inundación. Se replica cualquier paquete recibido para el reenvío o la tabla de inundación de VLAN que coincida con las condiciones del filtro.
Para obtener más información acerca de las VLAN, consulte Descripción de dominios de puente de capa 2 . Para obtener más información acerca del comportamiento de inundación en una VLAN, consulte Descripción del aprendizaje y el reenvío de capa 2 para dominios de puente .
Cuando configure la duplicación de puertos en cualquier interfaz bajo una VLAN, el paquete reflejado puede moverse a un analizador externo ubicado en diferentes VLAN.
Duplicación de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Para reflejar el tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS, aplique un filtro de firewall de espejo de puerto a la entrada a la tabla de reenvío o a la tabla de inundación. Se replica cualquier paquete recibido para el reenvío o la tabla de inundación de instancia de enrutamiento VPLS y que coincida con la condición de filtro.
Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. Para obtener información acerca del comportamiento de inundación en VPLS, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento.
Definición de un filtro de firewall de duplicación de puerto de capa 2
Para el tráfico del servicio LAN privado virtual (VPLS) (family ethernet-switching o family vpls) y para VPN de capa 2 con familia cccen enrutadores serie MX y solo en conmutadores serie EX, puede definir un filtro de firewall que especifique la duplicación de puerto de capa 2 como la acción que se va a realizar si un paquete coincide con las condiciones configuradas en el término de filtro de firewall.
Puede usar un filtro de firewall de duplicación de puerto de capa 2 de las siguientes maneras:
Para reflejar paquetes recibidos o enviados en una interfaz lógica.
Para reflejar paquetes reenviados o inundados a una VLAN.
Para reflejar paquetes reenviados o inundados a una instancia de enrutamiento VPLS.
Para duplicar paquetes de entrada de interfaz de túnel solo a varios destinos.
Para obtener un resumen de los tres tipos de duplicación de puertos de capa 2 que puede configurar en un enrutador serie MX y en un conmutador serie EX, consulte Aplicación de tipos de duplicación de puertos de capa 2.
Para definir un filtro de firewall con una acción de duplicación de puerto de capa 2:
Configurar un filtro de firewall independiente de protocolo para la duplicación de puertos
En enrutadores serie MX con MPC, puede configurar un filtro de firewall para reflejar paquetes de capa 2 y capa 3 a nivel global y de instancia. Cuando se configura el espejo de puerto en la entrada o salida, el paquete que entra o sale de una interfaz se copia y las copias se envían a la interfaz local para su supervisión local.
A partir de Junos OS versión 13.3R6, solo las interfaces de MPC admiten family any la duplicación de puertos. Las interfaces DPC no admiten family any.
Por lo general, el filtro de firewall está configurado de modo que refleje los paquetes de capa 2 o capa 3 según la familia configurada en la interfaz. Sin embargo, en caso de una interfaz de enrutamiento y puente integrados (IRB), los paquetes de capa 2 no se reflejan completamente, ya que las interfaces IRB están configuradas para reflejar solo los paquetes de capa 3. En una interfaz de este tipo, puede configurar un filtro de firewall y parámetros de duplicación de puerto en la familia any para garantizar que un paquete se refleje completamente, independientemente de si se trata de un paquete de capa 2 o de capa 3.
Para la duplicación de puertos en una instancia, puede configurar una o más familias, como inet, inet6, cccy vpls simultáneamente para la misma instancia.
En caso de duplicación de puerto de capa 2, las etiquetas VLAN, los encabezados MPLS se conservan y se pueden ver en la copia reflejada en la salida.
En el caso de la normalización de VLAN, la información antes de la normalización se ve para un paquete reflejado en la entrada. De manera similar, en la salida, la información después de la normalización se ve para el paquete reflejado.
Antes de comenzar a configurar la duplicación de puertos, debe configurar interfaces físicas válidas.
Para configurar un filtro de firewall independiente de protocolo para la duplicación de puertos:
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador
Junos 14.1X53-D20
Descripción general
En este ejemplo, xe-0/0/0 y xe-0/0/6 servir como conexiones para los equipos de los empleados. La interfaz xe-0/0/47 está conectada a un dispositivo que ejecuta una aplicación de analizador.
En lugar de reflejar todo el tráfico, por lo general, es conveniente reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware, y puede ser necesario debido a las limitaciones de estos activos. En este ejemplo, solo se refleja el tráfico que se envía desde los equipos de los empleados a la Web.
Topología
Figura 1 muestra la topología de red para este ejemplo.
Configuración
Para especificar que el único tráfico que se replicará es el tráfico enviado por los empleados a la Web, realice las tareas que se explican en esta sección. Para seleccionar este tráfico para la duplicación, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de duplicación de puerto.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos locales del tráfico de los equipos de los empleados destinados al Web, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procedimiento paso a paso
Para configurar la duplicación de puerto local del tráfico de empleado en web desde los dos puertos conectados a los equipos de los empleados:
Configure una instancia de duplicación de puerto, incluida la interfaz de salida y la dirección IP del dispositivo que ejecuta la aplicación del analizador como el siguiente salto. (Configure solo el resultado: la entrada proviene del filtro.) También debe especificar que el espejo es para tráfico IPv4 (
family inet).[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configure un filtro de firewall IPv4 (
family inet) llamadowatch-employeeque incluya un término que coincida con el tráfico enviado a la Web y enviarlo a la instancia de duplicación de puerto. No es necesario copiar el tráfico que se envía a la subred corporativa (destino o dirección de origen de ) y que llega desde192.0.nn.nn/24la subred corporativa, así que primero cree otro término para aceptar ese tráfico antes de que alcance el término que envía tráfico web a la instancia:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configure direcciones para las interfaces IPv4 conectadas a las computadoras de los empleados y al dispositivo analizador:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Aplique el filtro de firewall a las interfaces adecuadas como filtro de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
Verificación
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador se ha creado en el conmutador con las interfaces de entrada y de salida adecuadas.
Acción
Puede comprobar que el analizador de espejo de puerto se ha configurado como se esperaba mediante el show forwarding-options port-mirroring comando.
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 Significado
Este resultado muestra que la instancia de duplicación de puerto tiene una proporción de 1 (duplicación de cada paquete, la configuración predeterminada) y el tamaño máximo del paquete original que se espeló (0 indica el paquete completo). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será down y la instancia no se programará para la duplicación.
Duplicación de puertos de capa 2 del enrutador de PE o de las interfaces lógicas del conmutador de PE
Para un enrutador o conmutador configurado como dispositivo de borde de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puerto de capa 2 en los siguientes puntos de entrada y salida para reflejar el tráfico entre el enrutador o conmutador y los dispositivos de borde del cliente (CE), que normalmente también son enrutadores y conmutadores Ethernet.
Tabla 1 describe las formas en que puede aplicar filtros de firewall de duplicación de puerto de capa 2 a un enrutador o conmutador configurado como dispositivo PE.
Punto de aplicación |
Alcance de la duplicación |
Notas |
Detalles de configuración |
|---|---|---|---|
Interfaz lógica de entrada orientada al cliente |
Paquetes que se originan en la red de un proveedor de servicios de cliente, se envían primero a un dispositivo CE y junto al dispositivo PE. |
También puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. El tráfico recibido en una interfaz Ethernet agregada se reenvía a través de una interfaz diferente según una búsqueda de la dirección MAC (DMAC) de destino:
|
Consulte Aplicación de duplicación de puerto de capa 2 a una interfaz lógica. Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. |
Interfaz lógica de salida orientada al cliente |
Paquetes de unidifusión que el dispositivo PE reenvía a otro dispositivo PE. NOTE:Si aplica un filtro de duplicación de puerto a la salida de una interfaz lógica, solo se reflejan los paquetes de unidifusión. Para reflejar paquetes de multidifusión, unidifusión desconocida y difusión, aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento VLAN o VPLS. |
Consulte Aplicación de duplicación de puerto de capa 2 a una interfaz lógica. |
|
Entrada a una tabla de reenvío de VLAN o a una tabla de inundación |
Reenvío de tráfico o inundación de tráfico enviado a la VLAN desde un dispositivo CE. |
El tráfico de reenvío e inundación suele estar compuesto por paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de destino desconocido o paquetes con una entrada MAC en la tabla de enrutamiento DMAC. |
Consulte Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a un dominio de puente. Para obtener información acerca del comportamiento de inundación en VPLS, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento. |
Entrada a una tabla de reenvío de instancia de enrutamiento VPLS o a una tabla inundada |
Reenvío de tráfico o inundación de tráfico enviado a la instancia de enrutamiento VPLS desde un dispositivo CE. |
Consulte Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Para obtener información acerca del comportamiento de inundación en VPLS, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento. |
Duplicación de puertos de capa 2 del enrutador de PE o de las interfaces Ethernet agregadas de conmutadores pe
Una interfaz Ethernet agregada es un vínculo virtual agregado que consta de un conjunto de interfaces físicas de la misma velocidad y que funcionan en modo de conexión de vínculo dúplex completo. Puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. Si uno o varios vínculos de la interfaz agregada fallan, el tráfico se cambia a los vínculos restantes.
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 a una interfaz Ethernet agregada para configurar la duplicación de puertos en la interfaz principal. Sin embargo, si cualquier interfaces secundarias está enlazada a diferentes instancias de espejo de puerto de capa 2, los paquetes recibidos en las interfaces secundarias se reflejarán en los destinos especificados por sus respectivas instancias de duplicación de puerto. Por lo tanto, varias interfaces secundarias pueden reflejar paquetes a varios destinos.
Por ejemplo, supongamos que la instancia ae0 de interfaz Ethernet agregada principal tiene dos interfaces secundarias:
xe-2/0/0xe-3/1/2
Suponga que estas interfaces ae0 secundarias están enlazadas a dos instancias diferentes de duplicación de puerto de capa 2:
pm_instance_A— Una instancia designada de duplicación de puerto de capa 2, enlazada a la interfazxe-2/0/0secundaria.pm_instance_B— Una instancia designada de duplicación de puerto de capa 2, enlazada a la interfazxe-3/1/2secundaria.
Ahora supongamos que aplica un filtro de firewall de duplicación de puerto de capa 2 al tráfico de capa 2 enviado ae0.0 (unidad 0 lógica en la instancia 0de interfaz Ethernet agregada). Esto permite la duplicación de puertos en ae0.0, que tiene el siguiente efecto en el procesamiento del tráfico recibido en las interfaces secundarias para las que se especifican las propiedades de duplicación de puerto de capa 2:
Los paquetes recibidos
xe-2/0/0se reflejan en las interfaces de salida configuradas en la instanciapm_instance_Ade duplicación de puertos.Los paquetes recibidos
xe-3/1/2.0se reflejan en las interfaces de salida configuradas en la instanciapm_instance_Bde duplicación de puertos.
Dado que pm_instance_Bpm_instance_A y puede especificar diferentes propiedades de selección de paquetes o propiedades de destino de espejo, los paquetes recibidos en xe-2/0/0 y xe-3/1/2.0 pueden reflejar diferentes paquetes en diferentes destinos.
Aplicación de duplicación de puerto de capa 2 a una interfaz lógica
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 a la entrada o a la salida de una interfaz lógica, incluida una interfaz lógica Ethernet agregada. Solo se reflejan los paquetes de la familia de tipo de dirección especificada por la acción de filtro.
Antes de comenzar, complete la siguiente tarea:
Defina un filtro de firewall de duplicación de puerto de capa 2 que se aplicará a la entrada a una interfaz lógica o a la salida a una interfaz lógica. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puerto de capa 2: un filtro aplicado al tráfico de entrada de interfaz lógica y un filtro aplicado al tráfico de salida de la interfaz lógica.
Para aplicar un filtro de firewall de duplicación de puerto de capa 2 a una interfaz lógica de entrada o salida:
Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a un dominio de puente
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 al tráfico que se reenvía o se inunda a un dominio de puente. Solo se duplican los paquetes del tipo de familia especificado y que se reenvían o inundan a ese dominio de puente.
Antes de comenzar, complete la siguiente tarea:
Defina un filtro de firewall de duplicación de puerto de capa 2 que se aplicará al tráfico que se reenvía a un dominio de puente o se inunda a un dominio de puente. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.
Nota:Esta tarea de configuración muestra dos Layer_2 filtros de firewall de duplicación de puerto: un filtro aplicado al tráfico de entrada de la tabla de reenvío de dominio de puente y un filtro aplicado al tráfico de entrada de la tabla de inundación de dominio de puente.
Para aplicar un filtro de firewall de duplicación de puerto de capa 2 a la tabla de reenvío o a la tabla de inundación de un dominio de puente:
Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 al tráfico que se reenvía o se inunda a una instancia de enrutamiento VPLS. Solo se reflejan los paquetes del tipo de familia especificado y que se reenvían o inundan a esa instancia de enrutamiento VPLS.
Antes de comenzar, complete la siguiente tarea:
Defina un filtro de firewall de duplicación de puerto de capa 2 que se aplicará al tráfico que se reenvía a una instancia de enrutamiento VPLS o que se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.
Nota:Esta tarea de configuración muestra dos Layer_2 filtros de firewall de duplicación de puerto: un filtro aplicado al tráfico de entrada de la tabla de entrada de instancia de enrutamiento VPLS y un filtro aplicado a la tabla de inundación de tabla de entrada de instancia de enrutamiento VPLS.
Para aplicar un filtro de firewall de duplicación de puerto de capa 2 a la tabla de reenvío o inundación de una instancia de enrutamiento VPLS:
Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a una VLAN
Puede aplicar un filtro de firewall de duplicación de puerto de capa 2 al tráfico que se reenvía o se inunda a una VLAN. Solo se reflejan los paquetes del tipo de familia especificado que se reenvían o inundan a esa VLAN.
Antes de comenzar, complete la siguiente tarea:
Defina un filtro de firewall de duplicación de puerto de capa 2 que se aplicará al tráfico que se reenvía a una VLAN o que se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.
Nota:Esta tarea de configuración muestra dos Layer_2 filtros de firewall de duplicación de puerto: un filtro aplicado al tráfico de entrada de la tabla de reenvío de VLAN y un filtro aplicado al tráfico de entrada de tabla de inundación de VLAN.
Para aplicar un filtro de firewall de duplicación de puerto de capa 2 a la tabla de reenvío o a la tabla de inundación de una VLAN:
Ejemplo: Duplicación de puerto de capa 2 en una interfaz lógica
Los pasos siguientes describen un ejemplo en el que se utiliza la instancia de duplicación de puerto global y un filtro de firewall de duplicación de puerto para configurar la duplicación de puerto de capa 2 para la entrada a una interfaz lógica.
Configure la VLAN example-bd-with-analyzer, que contiene el analizador de paquetes externo, y la VLAN example-bd-with-traffic, que contiene el origen y el destino del tráfico de capa 2 que se replica:
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }Supongamos que la interfaz ge-2/0/0.0 lógica está asociada con un analizador de tráfico externo que recibirá paquetes reflejados por puerto. Supongamos que las interfaces ge-2/0/6.0 lógicas y ge-3/0/1.2 serán puertos de entrada y salida de tráfico, respectivamente.
Configure la duplicación de puerto de capa 2 para la instancia global, con el destino de duplicación de puerto como la interfaz VLAN asociada con el analizador externo (interfaz ge-2/0/0.0 lógica en VLAN example-bd-with-analyzer). Asegúrese de activar la opción que permite aplicar filtros a este destino de duplicación de puerto:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }La
inputinstrucción en el[edit forwarding-options port-mirroring]nivel de jerarquía especifica que el muestreo comienza cada diez paquetes y que cada uno de los cinco primeros paquetes seleccionados se deben reflejar.La
outputinstrucción en el[edit forwarding-options port-mirroring family ethernet-switching]nivel de jerarquía especifica la interfaz de espejo de salida para paquetes de capa 2 en un entorno de puente:La interfaz ge-2/0/0.0lógica, que está asociada con el analizador de paquetes externo, está configurada como el destino de duplicación de puerto.
La instrucción opcional
no-filter-checkpermite configurar filtros en esta interfaz de destino.
Configure el filtro example-bridge-pm-filterde firewall de duplicación de puerto de capa 2:
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }Cuando este filtro de firewall se aplica a la entrada o salida de una interfaz lógica para el tráfico en un entorno de puente, el espejado del puerto de capa 2 se realiza de acuerdo con las propiedades de toma de muestra de paquetes de entrada y las propiedades de destino de espejo configuradas para la instancia global de duplicación de puerto de capa 2. Dado que este filtro de firewall está configurado con la acción acceptde filtro única y predeterminada, todos los paquetes seleccionados por las input propiedades (rate = 10 y run-length = 5) coinciden con este filtro.
Configure las interfaces lógicas:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }Los paquetes recibidos en la interfaz ge-2/0/6.0 lógica de la VLAN example-bd-with-traffic se evalúan mediante el filtro de firewall de duplicación de puerto example-bridge-pm-filter. El filtro de firewall actúa sobre el tráfico de entrada según las acciones de filtro configuradas en el propio filtro de firewall más las propiedades de muestreo de paquetes de entrada y las propiedades de destino de espejo configuradas en la instancia de duplicación de puerto global:
Todos los paquetes recibidos en ge-2/0/6.0 se reenvían a su (supuesto) destino normal en la interfaz ge-3/0/1.2lógica.
Por cada diez paquetes de entrada, las copias de los cinco primeros paquetes de esa selección se reenvían al analizador externo en la interfaz ge-0/0/0.0 lógica de la otra VLAN, example-bd-with-analyzer.
Si configura el filtro example-bridge-pm-filter de firewall de duplicación de puerto para realizar la discard acción en lugar de la accept acción, se descartan todos los paquetes originales, mientras que las copias de los paquetes seleccionados mediante las propiedades globales de duplicación input de puerto se envían al analizador externo.
Ejemplo: Duplicación de puerto de capa 2 para una VPN de capa 2
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puerto en una L2VPN mediante family ccc.
Configure la VLAN port-mirror-bd, que contiene el analizador de paquetes externo:
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }Configure la CCC VPN de capa 2 para conectar la interfaz lógica y la interfaz ge-2/0/1.0ge-2/0/1.1lógica:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }Configure la duplicación de puerto de capa 2 para la instancia global, con el destino de duplicación de puerto siendo la interfaz de VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example-bd-with-analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }Defina el filtro pm_filter_ccc de firewall de duplicación de puerto de capa 2 para family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }Aplique la instancia de espejo de puerto al chasis:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }Configure la interfaz ge-2/2/9 para las VLAN y configure la interfaz ge-2/0/1 para la duplicación de puertos con el filtro de pm_filter_ccc firewall:
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN usando family ccc y agregados vínculos Ethernet.
Configure la VLAN port_mirror_bd, que contiene el analizador de paquetes externo:
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }Configure la CCC VPN de capa 2 para conectar la interfaz y la interfaz ae0.0ae0.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }Configure la duplicación de puerto de capa 2 para la instancia global, con el destino de duplicación de puerto siendo la interfaz de VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example_bd_with_analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }Configure el filtro pm_ccc de firewall para family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }Aplique las interfaces Ethernet agregadas y la instancia de espejo de puerto al chasis:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }Configure las interfaces ae0 y ge-2/0/2 (para Ethernet agregada) y ge-2/2/8 (para la duplicación de puertos) con el pm_ccc filtro:
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
family any la duplicación de puertos.