EN ESTA PÁGINA
Definición de un filtro de firewall de duplicación de puertos de capa 2
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE
Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE
Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica
Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN
Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
Configuración de la creación de reflejo de puertos en interfaces lógicas
Filtros de firewall de duplicación de puertos de capa 2
En este tema se describe la siguiente información:
- Descripción general de los filtros de firewall de duplicación de puertos de capa 2
- Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica
- Duplicación de paquetes reenviados o inundados a una VLAN
- Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Descripción general de los filtros de firewall de duplicación de puertos de capa 2
En un enrutador de la serie MX y en un conmutador de la serie EX, puede configurar un término de filtro de firewall para especificar que la duplicación de puerto de capa 2 se debe aplicar a todos los paquetes de la interfaz a la que se aplica el filtro de firewall.
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.
Los enrutadores y conmutadores de la serie MX admiten la duplicación del puerto de capa 2 del tráfico VPLS (family ethernet-switching
o family vpls
) y el tráfico VPN de capa 2 en family ccc
un entorno de capa 2
Dentro de un filtro term
de firewall, puede especificar las propiedades de duplicación de puertos de capa 2 en la then
instrucción de cualquiera de las siguientes maneras:
Haga referencia implícita a las propiedades de duplicación de puertos de capa 2 vigentes en el puerto.
Haga referencia explícita a una instancia con nombre concreta de creación de reflejo de puertos de capa 2.
Cuando configure un filtro de firewall de duplicación de puertos de capa 2, no incluya la instrucción opcional from
que especifica condiciones de coincidencia según la dirección de origen de la ruta. Omita esta instrucción para que se considere que todos los paquetes coinciden y se tomen todos y cada actions uno action-modifiers especificados en la then
instrucción.
Si desea reflejar todos los paquetes entrantes, no debe utilizar la instrucción de; /*comentario: Uno configura los términos de filtro con desde si están interesados en reflejar solo un subconjunto de paquetes.
Si asocia enrutamiento y puente integrados (IRB) con la VLAN (o instancia de enrutamiento VPLS) y también configura dentro de la VLAN (o instancia de enrutamiento VPLS) un filtro de tabla de reenvío con la port-mirror
acción o port-mirror-instance
, el paquete IRB se refleja como un paquete de capa 2. Puede deshabilitar este comportamiento configurando la instrucción no-irb-layer-2-copy en la VLAN (o instancia de enrutamiento VPLS).
Para obtener una descripción detallada de cómo configurar un filtro de firewall de duplicación de puertos de capa 2, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Para obtener información detallada acerca de cómo puede usar los filtros de firewall de duplicación de puertos de capa 2 con enrutadores MX y conmutadores serie EX configurados como enrutadores perimetrales de proveedor (PE) o conmutadores PE, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces lógicas de enrutadores PE. Para obtener información detallada acerca de la configuración de filtros de firewall en general (incluso en un entorno de capa 3), consulte la Guía del usuario de Políticas de enrutamiento, filtros de firewall y Controladores de tráfico.
Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica
Para reflejar el tráfico de capa 2 recibido o enviado en una interfaz lógica, aplique un filtro de firewall de duplicación de puertos a la entrada o salida de la interfaz.
También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada. Para obtener más información, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces Ethernet agregadas del enrutador PE.
Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, puede habilitar la opción "mirror-once" para la duplicación de puertos de capa 2 en la instancia global para la familia de direcciones de paquetes de capa 2.
Duplicación de paquetes reenviados o inundados a una VLAN
Para reflejar el tráfico de capa 2 reenviado o inundado a una VLAN, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Cualquier paquete recibido para la tabla de reenvío o inundación de VLAN y que coincida con las condiciones del filtro se refleja.
Para obtener más información acerca de las VLAN, consulte Descripción de los dominios de puente de capa 2 . Para obtener información sobre el comportamiento de inundación en una VLAN, consulte Descripción del aprendizaje y reenvío de capa 2 para dominios de puente .
Cuando se configura la creación de reflejo de puertos en cualquier interfaz bajo una VLAN, el paquete reflejado puede moverse a un analizador externo ubicado en VLAN diferentes.
Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Para reflejar el tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Se refleja cualquier paquete recibido para la tabla de inundación o reenvío de la instancia de enrutamiento de VPLS y que coincida con la condición de filtro.
Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.
Definición de un filtro de firewall de duplicación de puertos de capa 2
Para el tráfico del servicio de LAN privada virtual (VPLS) (family ethernet-switching
o family vpls
) y para las VPN de capa 2 con familia ccc
en enrutadores serie MX y solo en conmutadores serie EX, puede definir un filtro de firewall que especifique la creación de reflejo del puerto de capa 2 como la acción que debe realizarse si un paquete cumple las condiciones configuradas en el término del filtro de firewall.
Puede utilizar un filtro de firewall de duplicación de puertos de capa 2 de las siguientes maneras:
Para reflejar paquetes recibidos o enviados en una interfaz lógica.
Para reflejar paquetes reenviados o inundados a una VLAN.
Para reflejar paquetes reenviados o inundados a una instancia de enrutamiento VPLS.
Para reflejar paquetes de entrada de interfaz de túnel solo a varios destinos.
Para obtener un resumen de los tres tipos de duplicación de puertos de capa 2 que puede configurar en un enrutador de la serie MX y en un conmutador de la serie EX, consulte Aplicación de los tipos de duplicación de puertos de capa 2.
Para definir un filtro de firewall con una acción de duplicación de puertos de capa 2:
Configuración del filtro de firewall independiente del protocolo para la creación de reflejo de puertos
En los enrutadores de la serie MX con MPC, puede configurar un filtro de firewall para reflejar los paquetes de capa 2 y capa 3 a nivel global y a nivel de instancia. Cuando se configura el espejo de puerto en la entrada o salida, se copia el paquete que entra o sale de una interfaz y las copias se envían a la interfaz local para la supervisión local.
A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten family any
la creación de reflejo de puertos. Las interfaces DPC no admiten family any
archivos .
Normalmente, el filtro de firewall está configurado de tal manera que refleja los paquetes de capa 2 o capa 3 según la familia configurada en la interfaz. Sin embargo, en el caso de una interfaz de enrutamiento y puente integrados (IRB), los paquetes de capa 2 no se reflejan completamente porque las interfaces IRB están configuradas para reflejar solo paquetes de capa 3. En una interfaz de este tipo, puede configurar un filtro de firewall y parámetros de duplicación de puertos en la familia any para garantizar que un paquete se refleje completamente, independientemente de si se trata de un paquete de capa 2 o de capa 3.
Para la creación de reflejo de puertos en una instancia, puede configurar una o más familias como inet, inet6, ccc, y vpls simultáneamente para la misma instancia.
En el caso de la duplicación de puertos de capa 2, las etiquetas VLAN y los encabezados MPLS se conservan y se pueden ver en la copia duplicada a la salida.
Para la normalización de VLAN, la información antes de la normalización se ve para un paquete reflejado en la entrada. Del mismo modo, en la salida, la información después de la normalización se ve para el paquete reflejado.
Antes de empezar a configurar la creación de reflejo de puertos, debe configurar interfaces físicas válidas.
Para configurar un filtro de firewall independiente del protocolo para la creación de reflejo de puertos:
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador
Junos 14.1X53-D20
Descripción general
En este ejemplo, xe-0/0/0
y xe-0/0/6
sirven como conexiones para las computadoras de los empleados. La interfaz xe-0/0/47
está conectada a un dispositivo que ejecuta una aplicación analizadora.
En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. En este ejemplo solo se refleja el tráfico enviado desde los equipos de los empleados a la Web.
Topología
Figura 1 muestra la topología de red de este ejemplo.
Configurar
Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procedimiento paso a paso
Para configurar la creación de reflejo del puerto local del tráfico de empleados a la web desde los dos puertos conectados a los equipos de los empleados:
Configure una instancia de duplicación de puertos, incluida la interfaz de salida y la dirección IP del dispositivo que ejecuta la aplicación del analizador como el próximo salto. (Configure solo la salida: la entrada proviene del filtro). También debe especificar que la réplica es para el tráfico IPv4 (
family inet
).[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configure un filtro de firewall IPv4 (
family inet
) llamadowatch-employee
que incluya un término para hacer coincidir el tráfico enviado a la Web y enviarlo a la instancia de creación de reflejo de puertos. No es necesario copiar el tráfico enviado a y procedente de la subred corporativa (destino o dirección de origen de ) , así que primero cree otro término para aceptar ese tráfico antes de192.0.nn.nn/24
que llegue al término que envía el tráfico web a la instancia:[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configure direcciones para las interfaces IPv4 conectadas a los equipos de los empleados y al dispositivo analizador:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit] user@switch# show forwarding-options { port-mirroring { employee-web-monitor { output { ip-address 192.0.2.100.0; } } } } } } ... firewall family inet { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirror; } } } ... interfaces { xe-0/0/0 { unit 0 { family inet { filter { input watch-employee; } } } } xe-0/0/6 { family inet { filter { input watch-employee; } } } }
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.
Acción
Puede comprobar que el analizador de espejo de puertos se ha configurado como se esperaba mediante el show forwarding-options port-mirroring
comando.
user@switch> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up xe-0/0/47.0 192.0.2.100
Significado
Este resultado muestra que la instancia de duplicación de puertos tiene una proporción de 1 (duplicación de cada paquete, la configuración predeterminada) y el tamaño máximo del paquete original que se reflejó (0
indica todo el paquete). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será down
y la instancia no se programará para la creación de reflejo.
Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE
Para un enrutador o conmutador configurado como dispositivo perimetral de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puerto de capa 2 en los siguientes puntos de entrada y salida para reflejar el tráfico entre el enrutador o conmutador y los dispositivos perimetrales del cliente (CE), que normalmente también son enrutadores y conmutadores Ethernet.
Tabla 1 describe las formas en que puede aplicar filtros de firewall de duplicación de puertos de capa 2 a un enrutador o conmutador configurado como dispositivo PE.
Punto de aplicación |
Alcance de la creación de reflejo |
Notas |
Detalles de configuración |
---|---|---|---|
Interfaz lógica orientada al cliente de entrada |
Paquetes que se originan en la red de un cliente proveedor de servicios, se envían primero a un dispositivo CE y se envían junto al dispositivo PE. |
También puede configurar interfaces Ethernet agregadas entre dispositivos CE y PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. El tráfico recibido en una interfaz Ethernet agregada se reenvía a través de una interfaz diferente según una búsqueda de la dirección MAC de destino (DMAC):
|
Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica. Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. |
Interfaz lógica de salida orientada al cliente |
Paquetes de unidifusión reenviados por el dispositivo PE a otro dispositivo PE. NOTE:Si aplica un filtro de duplicación de puertos a la salida de una interfaz lógica, solo se reflejan los paquetes de unidifusión. Para reflejar paquetes de multidifusión, unidifusión desconocida y difusión, aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento VLAN o VPLS. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica. |
|
Entrada a una tabla de reenvío de VLAN o una tabla de inundación |
Reenvío de tráfico o tráfico de inundación enviado a la VLAN desde un dispositivo CE. |
El tráfico de reenvío e inundación suele estar compuesto por paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de destino desconocida o paquetes con una entrada MAC en la tabla de enrutamiento DMAC. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento. |
Entrada a una tabla de reenvío de instancia de enrutamiento VPLS o tabla de inundación |
Reenvío de tráfico o tráfico de inundación enviado a la instancia de enrutamiento VPLS desde un dispositivo CE. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento. |
Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE
Una interfaz Ethernet agregada es un vínculo agregado virtual que consta de un conjunto de interfaces físicas de la misma velocidad y que funcionan en modo de conexión de vínculo dúplex completo. Puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. Si se produce un error en uno o más vínculos de la interfaz agregada, el tráfico se cambia a los vínculos restantes.
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz Ethernet agregada para configurar la duplicación de puertos en la interfaz principal. Sin embargo, si alguna interfaz secundaria está enlazada a diferentes instancias de duplicación de puertos de capa 2, los paquetes recibidos en las interfaces secundarias se reflejarán en los destinos especificados por sus respectivas instancias de duplicación de puertos. Por lo tanto, varias interfaces secundarias pueden reflejar paquetes a múltiples destinos.
Por ejemplo, supongamos que la instancia ae0
de interfaz Ethernet agregada principal tiene dos interfaces secundarias:
xe-2/0/0
xe-3/1/2
Supongamos que estas interfaces secundarias en ae0
están enlazadas a dos instancias diferentes de duplicación de puertos de capa 2:
pm_instance_A
: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfazxe-2/0/0
secundaria.pm_instance_B
: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfazxe-3/1/2
secundaria.
Ahora supongamos que aplica un filtro de firewall de duplicación de puertos de capa 2 al tráfico de capa 2 enviado ( ae0.0
unidad 0
lógica en la instancia 0
de interfaz Ethernet agregada). Esto habilita la creación de reflejo de puertos en ae0.0
, lo que tiene el siguiente efecto en el procesamiento del tráfico recibido en las interfaces secundarias para las que se especifican propiedades de duplicación de puertos de capa 2:
Los paquetes recibidos se reflejan en
xe-2/0/0
las interfaces de salida configuradas en la instanciapm_instance_A
de duplicación de puertos.Los paquetes recibidos se reflejan en
xe-3/1/2.0
las interfaces de salida configuradas en la instanciapm_instance_B
de duplicación de puertos.
Dado que pm_instance_A
y pm_instance_B
puede especificar diferentes propiedades de selección de paquetes o propiedades de destino reflejado, los paquetes recibidos en xe-2/0/0
y xe-3/1/2.0
pueden reflejar diferentes paquetes a diferentes destinos.
Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a la entrada o a la salida de una interfaz lógica, incluida una interfaz lógica Ethernet agregada. Sólo se reflejan los paquetes de la familia de tipos de direcciones especificada por la acción de filtrado.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 para aplicarlo a la entrada a una interfaz lógica o a una interfaz lógica. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos de capa 2: un filtro aplicado al tráfico de entrada de la interfaz lógica y un filtro aplicado al tráfico de salida de la interfaz lógica.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz lógica de entrada o salida:
Aplicación de la duplicación de puertos de capa 2 al tráfico CCC familiar con interfaces lógicas Demux a través de Ethernet agregada
En este tema se proporcionan instrucciones y pasos para ayudarle a configurar las interfaces lógicas demux con este fin de ahorrar en el uso de interfaces físicas miembro en un paquete AE.
Directrices
Señalaremos los elementos de configuración que son específicos de este uso de la configuración de las interfaces lógicas demux sobre interfaces Ethernet agregadas.
-
Configure la familia de la siguiente manera
ccc
:-
La configuración de duplicación de puertos en
edit forwarding-options port mirroring family
-
La configuración del filtro de firewall en
edit firewall family
-
La configuración de la interfaz demux en
edit interfaces demux0 unit 0 family
-
-
Asegúrese de que las configuraciones de las familias de filtros de firewall y creación de reflejo de puertos sean (1) las mismas o (2) en la misma jerarquía.
-
Puede configurar la interfaz demux a través de una
ae
interfaz para la creación global de reflejo de puertos y para instancias de creación de reflejo de puertos. -
Para el filtro de firewall, además de usar
ccc
como familia:-
Utilícelo
port-mirror
como acción para el filtro. -
Aplique el filtro en la interfaz demux.
-
- Configure la
ae
interfaz como la interfaz subyacente de la interfaz lógica demux mediante la instrucción, de launderlying-interface
siguiente manera:set interfaces demux0 unit 0 demux-options underlying-interface ae0
Ejemplo de configuración
La siguiente es una configuración dispersa: solo queremos mostrarle una imagen de cómo se desarrollarían las pautas anteriores en una configuración de ejemplo.
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0 set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1 set interfaces xe-0/0/2:2 encapsulation ethernet-bridge set interfaces xe-0/0/2:2 unit 0 family bridge set interfaces xe-0/0/2:3 encapsulation ethernet-bridge set interfaces xe-0/0/2:3 unit 0 family bridge set interfaces ae0 flexible-vlan-tagging set interfaces ae0 encapsulation flexible-ethernet-services set interfaces ae1 flexible-vlan-tagging set interfaces ae1 encapsulation flexible-ethernet-services set interfaces demux0 unit 0 encapsulation vlan-ccc set interfaces demux0 unit 0 vlan-id 300 set interfaces demux0 unit 0 demux-options underlying-interface ae0 set interfaces demux0 unit 0 family ccc filter input port-mirror set interfaces demux0 unit 1 encapsulation vlan-ccc set interfaces demux0 unit 1 vlan-id 300 set interfaces demux0 unit 1 demux-options underlying-interface ae1 set interfaces demux0 unit 1 family ccc set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0 set firewall family ccc filter port-mirror term term1 then count Counter1 set firewall family ccc filter port-mirror term term1 then port-mirror set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1 set protocols mpls interface demux0.0 set protocols mpls interface demux0.1 set bridge-domains br1 interface xe-0/0/2:0.0 set bridge-domains br1 interface xe-0/0/2:3.0 set bridge-domains br1 interface xe-0/0/2:1.0 set bridge-domains br2 vlan-id 300
Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a un dominio de puente. Sólo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a ese dominio de puente.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a un dominio de puente o se inunda a un dominio de puente. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: Un filtro aplicado al tráfico de entrada de la tabla de reenvío del dominio del puente y un filtro aplicado al tráfico de entrada de la tabla de inundación del dominio del puente.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de un dominio de puente:
Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una instancia de enrutamiento VPLS. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa instancia de enrutamiento VPLS.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una instancia de enrutamiento VPLS o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de la instancia de enrutamiento VPLS y un filtro aplicado al tráfico de entrada de la tabla de inundación de la instancia de enrutamiento VPLS.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de una instancia de enrutamiento VPLS:
Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una VLAN. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa VLAN.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una VLAN o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de VLAN y un filtro aplicado al tráfico de entrada de la tabla de inundación de VLAN.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o de inundación de una VLAN:
Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica
Los pasos siguientes describen un ejemplo en el que se utilizan la instancia global de duplicación de puertos y un filtro de firewall de duplicación de puertos para configurar la creación de reflejo de puertos de capa 2 para la entrada a una interfaz lógica.
Configure la VLAN example-bd-with-analyzer, que contiene el analizador de paquetes externo, y la VLAN example-bd-with-traffic, que contiene el origen y el destino del tráfico de capa 2 que se está reflejando:
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }
Suponga que la interfaz ge-2/0/0.0 lógica está asociada con un analizador de tráfico externo que va a recibir paquetes duplicados de puerto. Supongamos que las interfaces ge-2/0/6.0 lógicas y ge-3/0/1.2 serán puertos de entrada y salida de tráfico, respectivamente.
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/0/0.0 lógica en VLAN example-bd-with-analyzer). Asegúrese de habilitar la opción que permite aplicar filtros a este destino de duplicación de puertos:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }
La
input
instrucción en el nivel de jerarquía especifica que el[edit forwarding-options port-mirroring]
muestreo comienza cada décimo paquete y que cada uno de los primeros cinco paquetes seleccionados debe reflejarse.La
output
instrucción en el nivel de[edit forwarding-options port-mirroring family ethernet-switching]
jerarquía especifica la interfaz de reflejo de salida para los paquetes de capa 2 en un entorno de puente:La interfaz ge-2/0/0.0lógica , que está asociada con el analizador de paquetes externo, se configura como el destino de duplicación de puertos.
La instrucción opcional
no-filter-check
permite configurar filtros en esta interfaz de destino.
Configure el filtro example-bridge-pm-filterde firewall de duplicación de puerto de capa 2:
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }
Cuando este filtro de firewall se aplica a la entrada o salida de una interfaz lógica para el tráfico en un entorno de puente, la creación de reflejo del puerto de capa 2 se realiza de acuerdo con las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas para la instancia global de creación de reflejo de puerto de capa 2. Dado que este filtro de firewall está configurado con la única acción acceptde filtro predeterminada, todos los paquetes seleccionados por las input propiedades (rate = 10 y run-length = 5) coinciden con este filtro.
Configure las interfaces lógicas:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }
Los paquetes recibidos en la interfaz ge-2/0/6.0 lógica en VLAN example-bd-with-traffic se evalúan mediante el filtro example-bridge-pm-filterde firewall de duplicación de puertos. El filtro de firewall actúa sobre el tráfico de entrada de acuerdo con las acciones de filtro configuradas en el propio filtro de firewall, más las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas en la instancia global de creación de reflejo de puertos:
Todos los paquetes recibidos en ge-2/0/6.0 se reenvían a su (supuesto) destino normal en la interfaz ge-3/0/1.2lógica.
Por cada diez paquetes de entrada, se reenvían copias de los primeros cinco paquetes de esa selección al analizador externo en la interfaz ge-0/0/0.0 lógica de la otra VLAN, example-bd-with-analyzer.
Si configura el filtro example-bridge-pm-filter de firewall de duplicación de puertos para que realice la discard acción en lugar de la accept acción, todos los paquetes originales se descartan, mientras que las copias de los paquetes seleccionados mediante las propiedades globales de duplicación input de puertos se envían al analizador externo.
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante family ccc.
Configure la VLAN port-mirror-bd, que contiene el analizador de paquetes externo:
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }
Configure la CCC VPN de capa 2 para conectar la interfaz ge-2/0/1.0 lógica y la interfaz ge-2/0/1.1lógica:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example-bd-with-analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }
Defina el filtro pm_filter_ccc de firewall de duplicación de puertos de capa 2 para family ccc:
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }
Aplique la instancia de réplica de puerto al chasis:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }
Configure la interfaz ge-2/2/9 para las VLAN y configure la interfaz ge-2/0/1 para la creación de reflejo de puertos con el filtro de pm_filter_ccc firewall:
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante family ccc vínculos Ethernet agregados.
Configure la VLAN port_mirror_bd, que contiene el analizador de paquetes externo:
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }
Configure la CCC VPN de capa 2 para conectar la interfaz ae0.0 y la interfaz ae0.1:
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example_bd_with_analyzer):
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }
Configure el filtro pm_ccc de firewall para family ccc:
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }
Aplique las interfaces Ethernet agregadas y la instancia de espejo de puerto al chasis:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }
Configure las interfaces ae0 y ge-2/0/2 (para Ethernet agregada) y ge-2/2/8 (para la duplicación de puertos) con el pm_ccc filtro:
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
family any
la creación de reflejo de puertos.