EN ESTA PÁGINA
Definición de un filtro de firewall de duplicación de puertos de capa 2
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE
Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE
Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica
Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN
Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
Configuración de la creación de reflejo de puertos en interfaces lógicas
Filtros de firewall de duplicación de puertos de capa 2
En este tema se describe la siguiente información:
- Descripción general de los filtros de firewall de duplicación de puertos de capa 2
- Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica
- Duplicación de paquetes reenviados o inundados a una VLAN
- Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Descripción general de los filtros de firewall de duplicación de puertos de capa 2
En un enrutador de la serie MX y en un conmutador de la serie EX, puede configurar un término de filtro de firewall para especificar que la duplicación de puerto de capa 2 se debe aplicar a todos los paquetes de la interfaz a la que se aplica el filtro de firewall.
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.
Los enrutadores y conmutadores de la serie MX admiten la duplicación del puerto de capa 2 del tráfico VPLS ( o ) y el tráfico VPN de capa 2 en un entorno de capa 2family ethernet-switching
family vpls
family ccc
Dentro de un filtro de firewall, puede especificar las propiedades de duplicación de puertos de capa 2 en la instrucción de cualquiera de las siguientes maneras:term
then
Haga referencia implícita a las propiedades de duplicación de puertos de capa 2 vigentes en el puerto.
Haga referencia explícita a una instancia con nombre concreta de creación de reflejo de puertos de capa 2.
Cuando configure un filtro de firewall de duplicación de puertos de capa 2, no incluya la instrucción opcional que especifica condiciones de coincidencia según la dirección de origen de la ruta.from
Omita esta instrucción para que se considere que todos los paquetes coinciden y se tomen todos y cada uno especificados en la instrucción.actionsaction-modifiersthen
Si desea reflejar todos los paquetes entrantes, no debe utilizar la instrucción de; /*Comentario: Uno configura los términos de filtro con desde si están interesados en reflejar solo un subconjunto de paquetes.
Si asocia enrutamiento y puente integrados (IRB) con la VLAN (o instancia de enrutamiento VPLS) y también configura dentro de la VLAN (o instancia de enrutamiento VPLS) un filtro de tabla de reenvío con la acción o , el paquete IRB se refleja como un paquete de capa 2.port-mirror
port-mirror-instance
Puede deshabilitar este comportamiento configurando la instrucción no-irb-layer-2-copy en la VLAN (o instancia de enrutamiento VPLS).https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html
Para obtener una descripción detallada de cómo configurar un filtro de firewall de duplicación de puertos de capa 2, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html
Para obtener información detallada acerca de cómo puede usar los filtros de firewall de duplicación de puertos de capa 2 con enrutadores MX y conmutadores serie EX configurados como enrutadores perimetrales de proveedor (PE) o conmutadores PE, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces lógicas de enrutadores PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html Para obtener información detallada acerca de la configuración de filtros de firewall en general (incluso en un entorno de capa 3), consulte la Guía del usuario de Políticas de enrutamiento, filtros de firewall y Controladores de tráfico.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica
Para reflejar el tráfico de capa 2 recibido o enviado en una interfaz lógica, aplique un filtro de firewall de duplicación de puertos a la entrada o salida de la interfaz.
También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada. Para obtener más información, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces Ethernet agregadas del enrutador PE.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html
Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, puede habilitar la opción "mirror-once" para la duplicación de puertos de capa 2 en la instancia global para la familia de direcciones de paquetes de capa 2.
Duplicación de paquetes reenviados o inundados a una VLAN
Para reflejar el tráfico de capa 2 reenviado o inundado a una VLAN, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Cualquier paquete recibido para la tabla de reenvío o inundación de VLAN y que coincida con las condiciones del filtro se refleja.
Para obtener más información acerca de las VLAN, consulte Descripción de los dominios de puente de capa 2 .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.html Para obtener información sobre el comportamiento de inundación en una VLAN, consulte Descripción del aprendizaje y reenvío de capa 2 para dominios de puente .https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html
Cuando se configura la creación de reflejo de puertos en cualquier interfaz bajo una VLAN, el paquete reflejado puede moverse a un analizador externo ubicado en VLAN diferentes.
Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS
Para reflejar el tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Se refleja cualquier paquete recibido para la tabla de inundación o reenvío de la instancia de enrutamiento de VPLS y que coincida con la condición de filtro.
Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
Definición de un filtro de firewall de duplicación de puertos de capa 2
Para el tráfico del servicio de LAN privada virtual (VPLS) ( o ) y para las VPN de capa 2 con familia en enrutadores serie MX y solo en conmutadores serie EX, puede definir un filtro de firewall que especifique la creación de reflejo del puerto de capa 2 como la acción que debe realizarse si un paquete cumple las condiciones configuradas en el término del filtro de firewall.family ethernet-switching
family vpls
ccc
Puede utilizar un filtro de firewall de duplicación de puertos de capa 2 de las siguientes maneras:
Para reflejar paquetes recibidos o enviados en una interfaz lógica.
Para reflejar paquetes reenviados o inundados a una VLAN.
Para reflejar paquetes reenviados o inundados a una instancia de enrutamiento VPLS.
Para reflejar paquetes de entrada de interfaz de túnel solo a varios destinos.
Para obtener un resumen de los tres tipos de duplicación de puertos de capa 2 que puede configurar en un enrutador de la serie MX y en un conmutador de la serie EX, consulte Aplicación de los tipos de duplicación de puertos de capa 2.https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html
Para definir un filtro de firewall con una acción de duplicación de puertos de capa 2:
Configuración del filtro de firewall independiente del protocolo para la creación de reflejo de puertos
En los enrutadores de la serie MX con MPC, puede configurar un filtro de firewall para reflejar los paquetes de capa 2 y capa 3 a nivel global y a nivel de instancia. Cuando se configura el espejo de puerto en la entrada o salida, se copia el paquete que entra o sale de una interfaz y las copias se envían a la interfaz local para la supervisión local.
A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten la creación de reflejo de puertos.family any
Las interfaces DPC no admiten archivos .family any
Normalmente, el filtro de firewall está configurado de tal manera que refleja los paquetes de capa 2 o capa 3 según la familia configurada en la interfaz. Sin embargo, en el caso de una interfaz de enrutamiento y puente integrados (IRB), los paquetes de capa 2 no se reflejan completamente porque las interfaces IRB están configuradas para reflejar solo paquetes de capa 3. En una interfaz de este tipo, puede configurar un filtro de firewall y parámetros de duplicación de puertos en la familia para garantizar que un paquete se refleje completamente, independientemente de si se trata de un paquete de capa 2 o de capa 3.any
Para la creación de reflejo de puertos en una instancia, puede configurar una o más familias como , , , y simultáneamente para la misma instancia.inetinet6cccvpls
En el caso de la duplicación de puertos de capa 2, las etiquetas VLAN y los encabezados MPLS se conservan y se pueden ver en la copia duplicada a la salida.
Para la normalización de VLAN, la información antes de la normalización se ve para un paquete reflejado en la entrada. Del mismo modo, en la salida, la información después de la normalización se ve para el paquete reflejado.
Antes de empezar a configurar la creación de reflejo de puertos, debe configurar interfaces físicas válidas.
Para configurar un filtro de firewall independiente del protocolo para la creación de reflejo de puertos:
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador
Junos 14.1X53-D20
Descripción general
En este ejemplo, y sirven como conexiones para las computadoras de los empleados.xe-0/0/0
xe-0/0/6
La interfaz está conectada a un dispositivo que ejecuta una aplicación analizadora.xe-0/0/47
En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. En este ejemplo solo se refleja el tráfico enviado desde los equipos de los empleados a la Web.
Topología
Figura 1 muestra la topología de red de este ejemplo.
Configurar
Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Procedimiento paso a paso
Para configurar la creación de reflejo del puerto local del tráfico de empleados a la web desde los dos puertos conectados a los equipos de los empleados:
Configure una instancia de duplicación de puertos, incluida la interfaz de salida y la dirección IP del dispositivo que ejecuta la aplicación del analizador como el próximo salto. (Configure solo la salida: la entrada proviene del filtro). También debe especificar que la réplica es para el tráfico IPv4 ().
family inet
[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Configure un filtro de firewall IPv4 () llamado que incluya un término para hacer coincidir el tráfico enviado a la Web y enviarlo a la instancia de creación de reflejo de puertos.
family inet
watch-employee
No es necesario copiar el tráfico enviado a y procedente de la subred corporativa (destino o dirección de origen de ) , así que primero cree otro término para aceptar ese tráfico antes de que llegue al término que envía el tráfico web a la instancia:192.0.nn.nn/24
[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
Configure direcciones para las interfaces IPv4 conectadas a los equipos de los empleados y al dispositivo analizador:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit] user@switch# show forwarding-options { port-mirroring { employee-web-monitor { output { ip-address 192.0.2.100.0; } } } } } } ... firewall family inet { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirror; } } } ... interfaces { xe-0/0/0 { unit 0 { family inet { filter { input watch-employee; } } } } xe-0/0/6 { family inet { filter { input watch-employee; } } } }
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.
Acción
Puede comprobar que el analizador de espejo de puertos se ha configurado como se esperaba mediante el comando.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring Instance Name: &global_instance Instance Id: 1 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop inet up xe-0/0/47.0 192.0.2.100
Significado
Este resultado muestra que la instancia de duplicación de puertos tiene una proporción de 1 (duplicación de cada paquete, la configuración predeterminada) y el tamaño máximo del paquete original que se reflejó ( indica todo el paquete).0
Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será y la instancia no se programará para la creación de reflejo.down
Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE
Para un enrutador o conmutador configurado como dispositivo perimetral de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puerto de capa 2 en los siguientes puntos de entrada y salida para reflejar el tráfico entre el enrutador o conmutador y los dispositivos perimetrales del cliente (CE), que normalmente también son enrutadores y conmutadores Ethernet.
Tabla 1 describe las formas en que puede aplicar filtros de firewall de duplicación de puertos de capa 2 a un enrutador o conmutador configurado como dispositivo PE.
Punto de aplicación |
Alcance de la creación de reflejo |
Notas |
Detalles de configuración |
---|---|---|---|
Interfaz lógica orientada al cliente de entrada |
Paquetes que se originan en la red de un cliente proveedor de servicios, se envían primero a un dispositivo CE y se envían junto al dispositivo PE. |
También puede configurar interfaces Ethernet agregadas entre dispositivos CE y PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. El tráfico recibido en una interfaz Ethernet agregada se reenvía a través de una interfaz diferente según una búsqueda de la dirección MAC de destino (DMAC):
|
Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html |
Interfaz lógica de salida orientada al cliente |
Paquetes de unidifusión reenviados por el dispositivo PE a otro dispositivo PE. Si aplica un filtro de duplicación de puertos a la salida de una interfaz lógica, solo se reflejan los paquetes de unidifusión.NOTE: Para reflejar paquetes de multidifusión, unidifusión desconocida y difusión, aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento VLAN o VPLS. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html |
|
Entrada a una tabla de reenvío de VLAN o una tabla de inundación |
Reenvío de tráfico o tráfico de inundación enviado a la VLAN desde un dispositivo CE. |
El tráfico de reenvío e inundación suele estar compuesto por paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de destino desconocida o paquetes con una entrada MAC en la tabla de enrutamiento DMAC. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente.Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Entrada a una tabla de reenvío de instancia de enrutamiento VPLS o tabla de inundación |
Reenvío de tráfico o tráfico de inundación enviado a la instancia de enrutamiento VPLS desde un dispositivo CE. |
Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-vpls-routing-instance.html Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html |
Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE
Una interfaz Ethernet agregada es un vínculo agregado virtual que consta de un conjunto de interfaces físicas de la misma velocidad y que funcionan en modo de conexión de vínculo dúplex completo. Puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. Si se produce un error en uno o más vínculos de la interfaz agregada, el tráfico se cambia a los vínculos restantes.
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz Ethernet agregada para configurar la duplicación de puertos en la interfaz principal. Sin embargo, si alguna interfaz secundaria está enlazada a diferentes instancias de duplicación de puertos de capa 2, los paquetes recibidos en las interfaces secundarias se reflejarán en los destinos especificados por sus respectivas instancias de duplicación de puertos. Por lo tanto, varias interfaces secundarias pueden reflejar paquetes a múltiples destinos.
Por ejemplo, supongamos que la instancia de interfaz Ethernet agregada principal tiene dos interfaces secundarias:ae0
xe-2/0/0
xe-3/1/2
Supongamos que estas interfaces secundarias en están enlazadas a dos instancias diferentes de duplicación de puertos de capa 2:ae0
: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz secundaria.
pm_instance_A
xe-2/0/0
: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz secundaria.
pm_instance_B
xe-3/1/2
Ahora supongamos que aplica un filtro de firewall de duplicación de puertos de capa 2 al tráfico de capa 2 enviado ( unidad lógica en la instancia de interfaz Ethernet agregada).ae0.0
0
0
Esto habilita la creación de reflejo de puertos en , lo que tiene el siguiente efecto en el procesamiento del tráfico recibido en las interfaces secundarias para las que se especifican propiedades de duplicación de puertos de capa 2:ae0.0
Los paquetes recibidos se reflejan en las interfaces de salida configuradas en la instancia de duplicación de puertos.
xe-2/0/0
pm_instance_A
Los paquetes recibidos se reflejan en las interfaces de salida configuradas en la instancia de duplicación de puertos.
xe-3/1/2.0
pm_instance_B
Dado que y puede especificar diferentes propiedades de selección de paquetes o propiedades de destino reflejado, los paquetes recibidos en y pueden reflejar diferentes paquetes a diferentes destinos.pm_instance_A
pm_instance_B
xe-2/0/0
xe-3/1/2.0
Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a la entrada o a la salida de una interfaz lógica, incluida una interfaz lógica Ethernet agregada. Sólo se reflejan los paquetes de la familia de tipos de direcciones especificada por la acción de filtrado.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 para aplicarlo a la entrada a una interfaz lógica o a una interfaz lógica. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos de capa 2: un filtro aplicado al tráfico de entrada de la interfaz lógica y un filtro aplicado al tráfico de salida de la interfaz lógica.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz lógica de entrada o salida:
Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a un dominio de puente. Sólo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a ese dominio de puente.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a un dominio de puente o se inunda a un dominio de puente. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: Un filtro aplicado al tráfico de entrada de la tabla de reenvío del dominio del puente y un filtro aplicado al tráfico de entrada de la tabla de inundación del dominio del puente.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de un dominio de puente:
Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una instancia de enrutamiento VPLS. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa instancia de enrutamiento VPLS.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una instancia de enrutamiento VPLS o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de la instancia de enrutamiento VPLS y un filtro aplicado al tráfico de entrada de la tabla de inundación de la instancia de enrutamiento VPLS.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de una instancia de enrutamiento VPLS:
Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN
Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una VLAN. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa VLAN.
Antes de comenzar, realice la tarea siguiente:
Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una VLAN o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.
Nota:Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de VLAN y un filtro aplicado al tráfico de entrada de la tabla de inundación de VLAN.
Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o de inundación de una VLAN:
Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica
Los pasos siguientes describen un ejemplo en el que se utilizan la instancia global de duplicación de puertos y un filtro de firewall de duplicación de puertos para configurar la creación de reflejo de puertos de capa 2 para la entrada a una interfaz lógica.
Configure la VLAN, que contiene el analizador de paquetes externo, y la VLAN, que contiene el origen y el destino del tráfico de capa 2 que se está reflejando:example-bd-with-analyzerexample-bd-with-traffic
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }
Suponga que la interfaz lógica está asociada con un analizador de tráfico externo que va a recibir paquetes duplicados de puerto.ge-2/0/0.0 Supongamos que las interfaces lógicas y serán puertos de entrada y salida de tráfico, respectivamente.ge-2/0/6.0ge-3/0/1.2
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz lógica en VLAN ).ge-2/0/0.0example-bd-with-analyzer Asegúrese de habilitar la opción que permite aplicar filtros a este destino de duplicación de puertos:
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }
La instrucción en el nivel de jerarquía especifica que el muestreo comienza cada décimo paquete y que cada uno de los primeros cinco paquetes seleccionados debe reflejarse.
input
[edit forwarding-options port-mirroring]
La instrucción en el nivel de jerarquía especifica la interfaz de reflejo de salida para los paquetes de capa 2 en un entorno de puente:
output
[edit forwarding-options port-mirroring family ethernet-switching]
La interfaz lógica , que está asociada con el analizador de paquetes externo, se configura como el destino de duplicación de puertos.ge-2/0/0.0
La instrucción opcional permite configurar filtros en esta interfaz de destino.
no-filter-check
Configure el filtro de firewall de duplicación de puerto de capa 2:example-bridge-pm-filter
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }
Cuando este filtro de firewall se aplica a la entrada o salida de una interfaz lógica para el tráfico en un entorno de puente, la creación de reflejo del puerto de capa 2 se realiza de acuerdo con las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas para la instancia global de creación de reflejo de puerto de capa 2. Dado que este filtro de firewall está configurado con la única acción de filtro predeterminada, todos los paquetes seleccionados por las propiedades ( = y = ) coinciden con este filtro.acceptinputrate10run-length5
Configure las interfaces lógicas:
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }
Los paquetes recibidos en la interfaz lógica en VLAN se evalúan mediante el filtro de firewall de duplicación de puertos.ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter El filtro de firewall actúa sobre el tráfico de entrada de acuerdo con las acciones de filtro configuradas en el propio filtro de firewall, más las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas en la instancia global de creación de reflejo de puertos:
Todos los paquetes recibidos en se reenvían a su (supuesto) destino normal en la interfaz lógica.ge-2/0/6.0ge-3/0/1.2
Por cada diez paquetes de entrada, se reenvían copias de los primeros cinco paquetes de esa selección al analizador externo en la interfaz lógica de la otra VLAN, .ge-0/0/0.0example-bd-with-analyzer
Si configura el filtro de firewall de duplicación de puertos para que realice la acción en lugar de la acción, todos los paquetes originales se descartan, mientras que las copias de los paquetes seleccionados mediante las propiedades globales de duplicación de puertos se envían al analizador externo.example-bridge-pm-filterdiscardacceptinput
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante .family ccc
Configure la VLAN , que contiene el analizador de paquetes externo:port-mirror-bd
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }
Configure la CCC VPN de capa 2 para conectar la interfaz lógica y la interfaz lógica:ge-2/0/1.0ge-2/0/1.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz lógica en VLAN ):ge-2/2/9.0example-bd-with-analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }
Defina el filtro de firewall de duplicación de puertos de capa 2 para :pm_filter_cccfamily ccc
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }
Aplique la instancia de réplica de puerto al chasis:
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }
Configure la interfaz para las VLAN y configure la interfaz para la creación de reflejo de puertos con el filtro de firewall:ge-2/2/9ge-2/0/1pm_filter_ccc
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2 con vínculos LAG
El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante vínculos Ethernet agregados.family ccc
Configure la VLAN , que contiene el analizador de paquetes externo:port_mirror_bd
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }
Configure la CCC VPN de capa 2 para conectar la interfaz y la interfaz :ae0.0ae0.1
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }
Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz lógica en VLAN ):ge-2/2/9.0example_bd_with_analyzer
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }
Configure el filtro de firewall para :pm_cccfamily ccc
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }
Aplique las interfaces Ethernet agregadas y la instancia de espejo de puerto al chasis:
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }
Configure las interfaces y (para Ethernet agregada) y (para la duplicación de puertos) con el filtro:ae0ge-2/0/2ge-2/2/8pm_ccc
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
family any