Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la creación de reflejo de puertos en interfaces lógicas

Filtros de firewall de duplicación de puertos de capa 2

En este tema se describe la siguiente información:

Descripción general de los filtros de firewall de duplicación de puertos de capa 2

En un enrutador de la serie MX y en un conmutador de la serie EX, puede configurar un término de filtro de firewall para especificar que la duplicación de puerto de capa 2 se debe aplicar a todos los paquetes de la interfaz a la que se aplica el filtro de firewall.

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.

Los enrutadores y conmutadores de la serie MX admiten la duplicación del puerto de capa 2 del tráfico VPLS (family ethernet-switching o family vpls) y el tráfico VPN de capa 2 en family ccc un entorno de capa 2

Dentro de un filtro termde firewall, puede especificar las propiedades de duplicación de puertos de capa 2 en la then instrucción de cualquiera de las siguientes maneras:

  • Haga referencia implícita a las propiedades de duplicación de puertos de capa 2 vigentes en el puerto.

  • Haga referencia explícita a una instancia con nombre concreta de creación de reflejo de puertos de capa 2.

Nota:

Cuando configure un filtro de firewall de duplicación de puertos de capa 2, no incluya la instrucción opcional from que especifica condiciones de coincidencia según la dirección de origen de la ruta. Omita esta instrucción para que se considere que todos los paquetes coinciden y se tomen todos y cada actions uno action-modifiers especificados en la then instrucción.

Si desea reflejar todos los paquetes entrantes, no debe utilizar la instrucción de; /*comentario: Uno configura los términos de filtro con desde si están interesados en reflejar solo un subconjunto de paquetes.

Nota:

Si asocia enrutamiento y puente integrados (IRB) con la VLAN (o instancia de enrutamiento VPLS) y también configura dentro de la VLAN (o instancia de enrutamiento VPLS) un filtro de tabla de reenvío con la port-mirror acción o port-mirror-instance , el paquete IRB se refleja como un paquete de capa 2. Puede deshabilitar este comportamiento configurando la instrucción no-irb-layer-2-copy en la VLAN (o instancia de enrutamiento VPLS).

Para obtener una descripción detallada de cómo configurar un filtro de firewall de duplicación de puertos de capa 2, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

Para obtener información detallada acerca de cómo puede usar los filtros de firewall de duplicación de puertos de capa 2 con enrutadores MX y conmutadores serie EX configurados como enrutadores perimetrales de proveedor (PE) o conmutadores PE, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces lógicas de enrutadores PE. Para obtener información detallada acerca de la configuración de filtros de firewall en general (incluso en un entorno de capa 3), consulte la Guía del usuario de Políticas de enrutamiento, filtros de firewall y Controladores de tráfico.

Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica

Para reflejar el tráfico de capa 2 recibido o enviado en una interfaz lógica, aplique un filtro de firewall de duplicación de puertos a la entrada o salida de la interfaz.

También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada. Para obtener más información, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces Ethernet agregadas del enrutador PE.

Nota:

Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, puede habilitar la opción "mirror-once" para la duplicación de puertos de capa 2 en la instancia global para la familia de direcciones de paquetes de capa 2.

Duplicación de paquetes reenviados o inundados a una VLAN

Para reflejar el tráfico de capa 2 reenviado o inundado a una VLAN, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Cualquier paquete recibido para la tabla de reenvío o inundación de VLAN y que coincida con las condiciones del filtro se refleja.

Para obtener más información acerca de las VLAN, consulte Descripción de los dominios de puente de capa 2 . Para obtener información sobre el comportamiento de inundación en una VLAN, consulte Descripción del aprendizaje y reenvío de capa 2 para dominios de puente .

Nota:

Cuando se configura la creación de reflejo de puertos en cualquier interfaz bajo una VLAN, el paquete reflejado puede moverse a un analizador externo ubicado en VLAN diferentes.

Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS

Para reflejar el tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Se refleja cualquier paquete recibido para la tabla de inundación o reenvío de la instancia de enrutamiento de VPLS y que coincida con la condición de filtro.

Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Definición de un filtro de firewall de duplicación de puertos de capa 2

Para el tráfico del servicio de LAN privada virtual (VPLS) (family ethernet-switching o family vpls) y para las VPN de capa 2 con familia cccen enrutadores serie MX y solo en conmutadores serie EX, puede definir un filtro de firewall que especifique la creación de reflejo del puerto de capa 2 como la acción que debe realizarse si un paquete cumple las condiciones configuradas en el término del filtro de firewall.

Puede utilizar un filtro de firewall de duplicación de puertos de capa 2 de las siguientes maneras:

  • Para reflejar paquetes recibidos o enviados en una interfaz lógica.

  • Para reflejar paquetes reenviados o inundados a una VLAN.

  • Para reflejar paquetes reenviados o inundados a una instancia de enrutamiento VPLS.

  • Para reflejar paquetes de entrada de interfaz de túnel solo a varios destinos.

Para obtener un resumen de los tres tipos de duplicación de puertos de capa 2 que puede configurar en un enrutador de la serie MX y en un conmutador de la serie EX, consulte Aplicación de los tipos de duplicación de puertos de capa 2.

Para definir un filtro de firewall con una acción de duplicación de puertos de capa 2:

  1. Habilite la configuración de filtros de firewall para paquetes de capa 2 que forman parte de una VLAN, una conexión cruzada de conmutación de capa 2 o un servicio de LAN privada virtual (VPLS):

    El valor de la family opción puede ser ethernet-switching , ccc, o vpls.

  2. Habilite la configuración de un filtro pm-filter-namede firewall:
  3. Habilite la configuración de un término pm-filter-term-namede filtro de firewall:
  4. (Opcional) Especifique las condiciones de coincidencia del filtro de firewall en función de la dirección de origen de la ruta solo si desea reflejar un subconjunto de los paquetes de muestra.
    Nota:

    Si desea que todos los paquetes muestreados se consideren coincidentes (y que estén sujetos a las acciones especificadas en la then instrucción), omita la from instrucción por completo.

  5. Habilite la configuración de y para aplicar a los actionaction-modifier paquetes coincidentes:
  6. Especifique las acciones que se deben realizar en los paquetes coincidentes:

    El valor recomendado para el action es accept. Si no especifica una acción, o si omite la then instrucción por completo, se aceptarán todos los paquetes que coincidan con las condiciones de la from instrucción.

  7. Especifique la action-modifiercreación de reflejo del puerto de capa 2 o un grupo del próximo salto como:
    • Para hacer referencia a las propiedades de creación de reflejo de puerto de capa 2 actualmente vigentes para el motor de reenvío de paquetes o PIC asociado con la interfaz física subyacente, utilice la port-mirror instrucción:

    • Para hacer referencia a las propiedades de creación de reflejo de puertos de capa 2 configuradas en una instancia con nombre específica, utilice el modificador de acción port-mirror-instancepm-instance-name :

      Si la interfaz física subyacente no está enlazada a una instancia con nombre de creación de reflejo de puerto de capa 2, sino que está implícitamente enlazada a la instancia global de creación de reflejo de puerto de capa 2, el tráfico en la interfaz lógica se refleja de acuerdo con las propiedades especificadas en la instancia con nombre a la que hace referencia el port-mirror-instance modificador de acción.

    • Para hacer referencia a un grupo del salto siguiente que especifica las direcciones del salto siguiente (para enviar copias adicionales de paquetes a un analizador), utilice el modificador de acción next-hop-group pm-next-hop-group-name :

      Para obtener información de configuración acerca de los grupos del próximo salto, consulte Definición de un grupo del siguiente salto para la creación de reflejo de puertos de capa 2. Si especifica un grupo de salto siguiente para la creación de reflejo de puertos de capa 2, el término filtro de firewall se aplica únicamente a la entrada de la interfaz de túnel.

  8. Verifique la configuración mínima del filtro de firewall de duplicación de puertos de capa 2:

    En la instrucción de término then del filtro del firewall, el action-modifier puede ser port-mirror, port-mirror-instance , o next-hop-group pm-next-hop-group-name.

Configuración del filtro de firewall independiente del protocolo para la creación de reflejo de puertos

En los enrutadores de la serie MX con MPC, puede configurar un filtro de firewall para reflejar los paquetes de capa 2 y capa 3 a nivel global y a nivel de instancia. Cuando se configura el espejo de puerto en la entrada o salida, se copia el paquete que entra o sale de una interfaz y las copias se envían a la interfaz local para la supervisión local.

Nota:

A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten family any la creación de reflejo de puertos. Las interfaces DPC no admiten family anyarchivos .

Normalmente, el filtro de firewall está configurado de tal manera que refleja los paquetes de capa 2 o capa 3 según la familia configurada en la interfaz. Sin embargo, en el caso de una interfaz de enrutamiento y puente integrados (IRB), los paquetes de capa 2 no se reflejan completamente porque las interfaces IRB están configuradas para reflejar solo paquetes de capa 3. En una interfaz de este tipo, puede configurar un filtro de firewall y parámetros de duplicación de puertos en la familia any para garantizar que un paquete se refleje completamente, independientemente de si se trata de un paquete de capa 2 o de capa 3.

Nota:
  • Para la creación de reflejo de puertos en una instancia, puede configurar una o más familias como inet, inet6, ccc, y vpls simultáneamente para la misma instancia.

  • En el caso de la duplicación de puertos de capa 2, las etiquetas VLAN y los encabezados MPLS se conservan y se pueden ver en la copia duplicada a la salida.

  • Para la normalización de VLAN, la información antes de la normalización se ve para un paquete reflejado en la entrada. Del mismo modo, en la salida, la información después de la normalización se ve para el paquete reflejado.

Antes de empezar a configurar la creación de reflejo de puertos, debe configurar interfaces físicas válidas.

Para configurar un filtro de firewall independiente del protocolo para la creación de reflejo de puertos:

  1. Configure un filtro de firewall global para reflejar el tráfico de salida, salida o entrada.
  2. Configure un filtro de firewall para reflejar el tráfico de una instancia.
  3. Configure los parámetros de creación de reflejo para el tráfico de salida y de entrada.
  4. Configure los parámetros de creación de reflejo para una instancia. En esta configuración, puede especificar el resultado o el destino de los paquetes de capa 2 para que sean un grupo de próximo salto válido o una interfaz de capa 2.
  5. Configure el filtro de firewall en la interfaz de entrada o salida en la que se transmiten los paquetes.

Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador

  • Junos 14.1X53-D20

Descripción general

En este ejemplo, xe-0/0/0 y xe-0/0/6 sirven como conexiones para las computadoras de los empleados. La interfaz xe-0/0/47 está conectada a un dispositivo que ejecuta una aplicación analizadora.

En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. En este ejemplo solo se refleja el tráfico enviado desde los equipos de los empleados a la Web.

Topología

Figura 1 muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de topología de red para creación de reflejo de puerto localEjemplo de topología de red para creación de reflejo de puerto local

Configurar

Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:

Procedimiento paso a paso

Para configurar la creación de reflejo del puerto local del tráfico de empleados a la web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure una instancia de duplicación de puertos, incluida la interfaz de salida y la dirección IP del dispositivo que ejecuta la aplicación del analizador como el próximo salto. (Configure solo la salida: la entrada proviene del filtro). También debe especificar que la réplica es para el tráfico IPv4 (family inet).

  2. Configure un filtro de firewall IPv4 (family inet) llamado watch-employee que incluya un término para hacer coincidir el tráfico enviado a la Web y enviarlo a la instancia de creación de reflejo de puertos. No es necesario copiar el tráfico enviado a y procedente de la subred corporativa (destino o dirección de origen de ) , así que primero cree otro término para aceptar ese tráfico antes de 192.0.nn.nn/24que llegue al término que envía el tráfico web a la instancia:

  3. Configure direcciones para las interfaces IPv4 conectadas a los equipos de los empleados y al dispositivo analizador:

  4. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:

Resultados

Compruebe los resultados de la configuración:

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que el analizador se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador de espejo de puertos se ha configurado como se esperaba mediante el show forwarding-options port-mirroring comando.

Significado

Este resultado muestra que la instancia de duplicación de puertos tiene una proporción de 1 (duplicación de cada paquete, la configuración predeterminada) y el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será down y la instancia no se programará para la creación de reflejo.

Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE

Para un enrutador o conmutador configurado como dispositivo perimetral de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puerto de capa 2 en los siguientes puntos de entrada y salida para reflejar el tráfico entre el enrutador o conmutador y los dispositivos perimetrales del cliente (CE), que normalmente también son enrutadores y conmutadores Ethernet.

Tabla 1 describe las formas en que puede aplicar filtros de firewall de duplicación de puertos de capa 2 a un enrutador o conmutador configurado como dispositivo PE.

Tabla 1: Aplicación de filtros de firewall de duplicación de puertos de capa 2 en dispositivos PE

Punto de aplicación

Alcance de la creación de reflejo

Notas

Detalles de configuración

Interfaz lógica orientada al cliente de entrada

Paquetes que se originan en la red de un cliente proveedor de servicios, se envían primero a un dispositivo CE y se envían junto al dispositivo PE.

También puede configurar interfaces Ethernet agregadas entre dispositivos CE y PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada.

El tráfico recibido en una interfaz Ethernet agregada se reenvía a través de una interfaz diferente según una búsqueda de la dirección MAC de destino (DMAC):

  • Los paquetes destinados a un sitio local se envían fuera de la interfaz secundaria con equilibrio de carga.

  • Los paquetes destinados al sitio remoto se encapsulan y reenvían a través de una ruta de conmutación de etiquetas (LSP).

Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.

Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.

Interfaz lógica de salida orientada al cliente

Paquetes de unidifusión reenviados por el dispositivo PE a otro dispositivo PE.

NOTE:Si aplica un filtro de duplicación de puertos a la salida de una interfaz lógica, solo se reflejan los paquetes de unidifusión. Para reflejar paquetes de multidifusión, unidifusión desconocida y difusión, aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento VLAN o VPLS.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.

Entrada a una tabla de reenvío de VLAN o una tabla de inundación

Reenvío de tráfico o tráfico de inundación enviado a la VLAN desde un dispositivo CE.

El tráfico de reenvío e inundación suele estar compuesto por paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de destino desconocida o paquetes con una entrada MAC en la tabla de enrutamiento DMAC.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Entrada a una tabla de reenvío de instancia de enrutamiento VPLS o tabla de inundación

Reenvío de tráfico o tráfico de inundación enviado a la instancia de enrutamiento VPLS desde un dispositivo CE.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE

Una interfaz Ethernet agregada es un vínculo agregado virtual que consta de un conjunto de interfaces físicas de la misma velocidad y que funcionan en modo de conexión de vínculo dúplex completo. Puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. Si se produce un error en uno o más vínculos de la interfaz agregada, el tráfico se cambia a los vínculos restantes.

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz Ethernet agregada para configurar la duplicación de puertos en la interfaz principal. Sin embargo, si alguna interfaz secundaria está enlazada a diferentes instancias de duplicación de puertos de capa 2, los paquetes recibidos en las interfaces secundarias se reflejarán en los destinos especificados por sus respectivas instancias de duplicación de puertos. Por lo tanto, varias interfaces secundarias pueden reflejar paquetes a múltiples destinos.

Por ejemplo, supongamos que la instancia ae0 de interfaz Ethernet agregada principal tiene dos interfaces secundarias:

  • xe-2/0/0

  • xe-3/1/2

Supongamos que estas interfaces secundarias en ae0 están enlazadas a dos instancias diferentes de duplicación de puertos de capa 2:

  • pm_instance_A: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz xe-2/0/0secundaria.

  • pm_instance_B: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz xe-3/1/2secundaria.

Ahora supongamos que aplica un filtro de firewall de duplicación de puertos de capa 2 al tráfico de capa 2 enviado ( ae0.0 unidad 0 lógica en la instancia 0de interfaz Ethernet agregada). Esto habilita la creación de reflejo de puertos en ae0.0, lo que tiene el siguiente efecto en el procesamiento del tráfico recibido en las interfaces secundarias para las que se especifican propiedades de duplicación de puertos de capa 2:

  • Los paquetes recibidos se reflejan en xe-2/0/0 las interfaces de salida configuradas en la instancia pm_instance_Ade duplicación de puertos.

  • Los paquetes recibidos se reflejan en xe-3/1/2.0 las interfaces de salida configuradas en la instancia pm_instance_Bde duplicación de puertos.

Dado que pm_instance_A y pm_instance_B puede especificar diferentes propiedades de selección de paquetes o propiedades de destino reflejado, los paquetes recibidos en xe-2/0/0 y xe-3/1/2.0 pueden reflejar diferentes paquetes a diferentes destinos.

Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a la entrada o a la salida de una interfaz lógica, incluida una interfaz lógica Ethernet agregada. Sólo se reflejan los paquetes de la familia de tipos de direcciones especificada por la acción de filtrado.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 para aplicarlo a la entrada a una interfaz lógica o a una interfaz lógica. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos de capa 2: un filtro aplicado al tráfico de entrada de la interfaz lógica y un filtro aplicado al tráfico de salida de la interfaz lógica.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz lógica de entrada o salida:

  1. Configure la interfaz física subyacente para la interfaz lógica.

    1. Habilite la configuración de la interfaz física subyacente:

      Nota:

      También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada.


    2. Para las interfaces Gigabit Ethernet y las interfaces Ethernet agregadas configuradas para VPLS, habilite la recepción y transmisión de tramas etiquetadas con VLAN 802.1Q en la interfaz:


    3. Para las interfaces Ethernet que tienen habilitado el etiquetado y el puente de VLAN IEEE 802.1Q y que deben aceptar paquetes que llevan 0x8100 TPID o un TPID definido por el usuario, establezca el tipo de encapsulación de capa de vínculo lógico:

  2. Configure la interfaz lógica a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2.

    1. Especifique el número de unidad lógica:


    2. Para una interfaz Gigabit Ethernet o Ethernet agregada, enlace un ID de etiqueta VLAN 802.1Q a la interfaz lógica:

  3. Habilite la especificación de un filtro de entrada o salida que se aplicará a los paquetes de capa 2 que forman parte del dominio de puente, las conexiones cruzadas de conmutación de capa 2 o el servicio de LAN privada virtual (VPLS).
    • Si el filtro se va a evaluar cuando se reciben paquetes en la interfaz:

    • Si el filtro debe evaluarse cuando se envían paquetes en la interfaz:

    El valor de la family opción puede ser ethernet-switching, ccc, o vpls.

    Nota:

    Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, incluya la instrucción opcional mirror-once en el nivel de [edit forwarding-options] jerarquía.

  4. Compruebe la configuración mínima para aplicar un filtro de firewall de creación de reflejo de puerto de capa 2 con nombre a una interfaz lógica:

Aplicación de la duplicación de puertos de capa 2 al tráfico CCC familiar con interfaces lógicas Demux a través de Ethernet agregada

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

En este tema se proporcionan instrucciones y pasos para ayudarle a configurar las interfaces lógicas demux con este fin de ahorrar en el uso de interfaces físicas miembro en un paquete AE.

Directrices

Señalaremos los elementos de configuración que son específicos de este uso de la configuración de las interfaces lógicas demux sobre interfaces Ethernet agregadas.

  • Configure la familia de la siguiente manera ccc :

    • La configuración de duplicación de puertos en edit forwarding-options port mirroring family

    • La configuración del filtro de firewall en edit firewall family

    • La configuración de la interfaz demux en edit interfaces demux0 unit 0 family

  • Asegúrese de que las configuraciones de las familias de filtros de firewall y creación de reflejo de puertos sean (1) las mismas o (2) en la misma jerarquía.

  • Puede configurar la interfaz demux a través de una ae interfaz para la creación global de reflejo de puertos y para instancias de creación de reflejo de puertos.

  • Para el filtro de firewall, además de usar ccc como familia:

    • Utilícelo port-mirror como acción para el filtro.

    • Aplique el filtro en la interfaz demux.

  • Configure la ae interfaz como la interfaz subyacente de la interfaz lógica demux mediante la instrucción, de la underlying-interface siguiente manera:

Ejemplo de configuración

La siguiente es una configuración dispersa: solo queremos mostrarle una imagen de cómo se desarrollarían las pautas anteriores en una configuración de ejemplo.

Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a un dominio de puente. Sólo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a ese dominio de puente.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a un dominio de puente o se inunda a un dominio de puente. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: Un filtro aplicado al tráfico de entrada de la tabla de reenvío del dominio del puente y un filtro aplicado al tráfico de entrada de la tabla de inundación del dominio del puente.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de un dominio de puente:

  1. Habilite la configuración del dominio bridge-domain-name de puente al que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:
  2. Configure el dominio de puente:
  3. Habilite la configuración del reenvío de tráfico en el dominio del puente:
  4. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de dominio de puente o a la tabla de inundación.
    • Para reflejar los paquetes que se reenvían al dominio del puente:

    • Para reflejar los paquetes que se inundan al dominio del puente:

  5. Compruebe la configuración mínima para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación del dominio del puente.

    1. Desplácese hasta el nivel de jerarquía en el que está configurado el dominio de puente:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Mostrar las configuraciones de dominio de puente:

Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una instancia de enrutamiento VPLS. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa instancia de enrutamiento VPLS.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una instancia de enrutamiento VPLS o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de la instancia de enrutamiento VPLS y un filtro aplicado al tráfico de entrada de la tabla de inundación de la instancia de enrutamiento VPLS.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de una instancia de enrutamiento VPLS:

  1. Habilite la configuración de la instancia de enrutamiento VPLS a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:

    Para obtener información de configuración más detallada, consulte Configuración de una instancia de enrutamiento VPLS.

  2. Habilite la configuración del reenvío de tráfico en la instancia de enrutamiento VPLS:
  3. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de instancias de enrutamiento VPLS o a la tabla de inundación.
    • Para reflejar los paquetes que se reenvían a la instancia de enrutamiento VPLS:

    • Para reflejar los paquetes que se inundan a la instancia de enrutamiento de VPLS:

  4. Verifique la configuración mínima para aplicar un filtro de firewall de duplicación de puerto de capa 2 a la tabla de reenvío o tabla de inundación de la instancia de enrutamiento VPLS:

Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una VLAN. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa VLAN.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una VLAN o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de VLAN y un filtro aplicado al tráfico de entrada de la tabla de inundación de VLAN.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o de inundación de una VLAN:

  1. Habilite la configuración de la VLAN bridge-domain-name a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:
  2. Configure la VLAN:
  3. Habilite la configuración del reenvío de tráfico en la VLAN:
  4. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de VLAN o a la tabla de inundación.
    • Para reflejar los paquetes que se reenvían a la VLAN:

    • Para reflejar los paquetes que se inundan a la VLAN:

  5. Compruebe la configuración mínima para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o tabla de inundación de la VLAN.

    1. Desplácese hasta el nivel de jerarquía en el que está configurada la VLAN:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Mostrar las configuraciones de VLAN:

Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica

Los pasos siguientes describen un ejemplo en el que se utilizan la instancia global de duplicación de puertos y un filtro de firewall de duplicación de puertos para configurar la creación de reflejo de puertos de capa 2 para la entrada a una interfaz lógica.

  1. Configure la VLAN example-bd-with-analyzer, que contiene el analizador de paquetes externo, y la VLAN example-bd-with-traffic, que contiene el origen y el destino del tráfico de capa 2 que se está reflejando:

    Suponga que la interfaz ge-2/0/0.0 lógica está asociada con un analizador de tráfico externo que va a recibir paquetes duplicados de puerto. Supongamos que las interfaces ge-2/0/6.0 lógicas y ge-3/0/1.2 serán puertos de entrada y salida de tráfico, respectivamente.

  2. Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/0/0.0 lógica en VLAN example-bd-with-analyzer). Asegúrese de habilitar la opción que permite aplicar filtros a este destino de duplicación de puertos:

    La input instrucción en el nivel de jerarquía especifica que el [edit forwarding-options port-mirroring] muestreo comienza cada décimo paquete y que cada uno de los primeros cinco paquetes seleccionados debe reflejarse.

    La output instrucción en el nivel de [edit forwarding-options port-mirroring family ethernet-switching] jerarquía especifica la interfaz de reflejo de salida para los paquetes de capa 2 en un entorno de puente:

    • La interfaz ge-2/0/0.0lógica , que está asociada con el analizador de paquetes externo, se configura como el destino de duplicación de puertos.

    • La instrucción opcional no-filter-check permite configurar filtros en esta interfaz de destino.

  3. Configure el filtro example-bridge-pm-filterde firewall de duplicación de puerto de capa 2:

    Cuando este filtro de firewall se aplica a la entrada o salida de una interfaz lógica para el tráfico en un entorno de puente, la creación de reflejo del puerto de capa 2 se realiza de acuerdo con las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas para la instancia global de creación de reflejo de puerto de capa 2. Dado que este filtro de firewall está configurado con la única acción acceptde filtro predeterminada, todos los paquetes seleccionados por las input propiedades (rate = 10 y run-length = 5) coinciden con este filtro.

  4. Configure las interfaces lógicas:

    Los paquetes recibidos en la interfaz ge-2/0/6.0 lógica en VLAN example-bd-with-traffic se evalúan mediante el filtro example-bridge-pm-filterde firewall de duplicación de puertos. El filtro de firewall actúa sobre el tráfico de entrada de acuerdo con las acciones de filtro configuradas en el propio filtro de firewall, más las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas en la instancia global de creación de reflejo de puertos:

    • Todos los paquetes recibidos en ge-2/0/6.0 se reenvían a su (supuesto) destino normal en la interfaz ge-3/0/1.2lógica.

    • Por cada diez paquetes de entrada, se reenvían copias de los primeros cinco paquetes de esa selección al analizador externo en la interfaz ge-0/0/0.0 lógica de la otra VLAN, example-bd-with-analyzer.

    Si configura el filtro example-bridge-pm-filter de firewall de duplicación de puertos para que realice la discard acción en lugar de la accept acción, todos los paquetes originales se descartan, mientras que las copias de los paquetes seleccionados mediante las propiedades globales de duplicación input de puertos se envían al analizador externo.

Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2

El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante family ccc.

  1. Configure la VLAN port-mirror-bd, que contiene el analizador de paquetes externo:

  2. Configure la CCC VPN de capa 2 para conectar la interfaz ge-2/0/1.0 lógica y la interfaz ge-2/0/1.1lógica:

  3. Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example-bd-with-analyzer):

  4. Defina el filtro pm_filter_ccc de firewall de duplicación de puertos de capa 2 para family ccc:

  5. Aplique la instancia de réplica de puerto al chasis:

  6. Configure la interfaz ge-2/2/9 para las VLAN y configure la interfaz ge-2/0/1 para la creación de reflejo de puertos con el filtro de pm_filter_ccc firewall:

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
13.3R6
A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten family any la creación de reflejo de puertos.