Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Настройка зеркального отражение портов на логических интерфейсах

Зеркальные фильтры межсетевых экранов для портов уровня 2

В данной теме описаны следующие сведения:

Обзор зеркальных фильтров межсетевых экранов на уровне 2

На маршрутизаторе серия MX маршрутизаторе и на коммутаторе серии EX можно задать термин фильтра брандмауэра, чтобы указать, что зеркальное отражение портов уровня 2 должно применяться ко всем пакетам на интерфейсе, к которому применяется фильтр межсетевых экранов.

Можно применить фильтр брандмауэра, зеркальное отражение порта уровня 2, к входным или выходным логическим интерфейсам (включая агрегированные логические интерфейсы Ethernet), к трафику, передаемму или перенаполняемму в VLAN, или трафик, перенаноченный или перенаполняющийся на экземпляр маршрутизации VPLS.

серия MX и коммутаторы серии EX поддерживают зеркальное отражение трафика VPLS (или) портов уровня 2 и трафика VPN уровня 2 в среде family ethernet-switchingfamily vplsfamily ccc 2-го уровня.

В фильтре межсетевых экранов можно указать свойства зеркального зеркала портов уровня 2 под утверждением либо одним из termthen следующих способов:

  • Неявное упоминание о зеркальных свойствах портов уровня 2, влияющих на порт.

  • Точное упоминание определенного именуемого экземпляра зеркального отражение портов уровня 2.

Прим.:

При настройке фильтра брандмауэра, зеркального зеркального отражение порта уровня 2, не нужно включать дополнительную утверждение, которое определяет условия совпадения на основе адреса from источника маршрута. Не следует рассматривать это утверждение так, чтобы все пакеты рассматривались как совпадают и были предприняты все действия и модификаторы then действия, указанные в этом сообщении.

Если необходимо зеркальное отражение всех входящих пакетов, то использовать утверждение from не следует; /* комментарии: один настраивает термины фильтра с, если они заинтересованы в зеркальном зеркальном отражении только подмножество пакетов.

Прим.:

Если интегрированная маршрутная маршрутная система и маршрутная маршрутная система (IRB) ассоциируется с VLAN (или экземпляром маршрутирования VPLS), а также настраивается в пределах экземпляра маршрутов VLAN (или экземпляра маршрутирования VPLS) таблица переадресации фильтром или действием, то пакет IRB отражается как пакет port-mirrorport-mirror-instance уровня 2. Это можно отключить, настроив утверждение no-irb-layer-2-copy в VLAN (или экземпляре маршрутов VPLS).

Подробное описание настройки фильтра зеркального экрана порта 2-го уровня см. в "Определение фильтра межсетевых экранов, зеркальных зеркальных экранов уровня 2".

Подробные сведения о том, как можно использовать фильтры зеркального брандмауэра уровня 2 с маршрутизаторами MX и коммутаторами серии EX, настроенными как маршрутизаторы на границе поставщика (PE) или PE-коммутаторы, см. в "Понимание зеркального представления портов уровня 2логических интерфейсов PE маршрутизатора." Дополнительные сведения о настройке фильтров межсетевых экранов в целом (в том числе в среде 3-го уровня) см. в руководстве пользователя "Политики маршрутов", "Фильтры межсетевых экранов" и "Правила управления трафиком".

Отражение пакетов, полученных или отправленных на логический интерфейс

Для зеркального зеркального отражение трафика уровня 2, полученного или отосланного на логическом интерфейсе, примените зеркальный фильтр межсетевых экранов к входу или выходу интерфейса.

Фильтр межсетевых экранов с зеркальным отражением портов может также применяться к логическому интерфейсу aggregated-Ethernet. Дополнительные сведения см. в "Отражение портов 2-го уровня для маршрутизатора PE Агрегированных интерфейсов Ethernet".

Прим.:

Если фильтры межсетевых экранов с зеркальным отражением портов применяются как к входным, так и к выходным данным логического интерфейса, то зеркальные копии каждого пакета будут зеркальными. Чтобы не позволить маршрутизатору или коммутатору перенаправление дублирующихся пакетов в то же место назначения, можно включить опцию "mirror-once" для зеркального зеркального отражение порта уровня 2 в глобальном экземпляре для семейства адресов пакетов уровня 2.

Зеркальное отражение пакетов, переад говорит о том, что пакеты переадланы или перенатоплены в VLAN

Для зеркального отражение трафика уровня 2, передающегося в VLAN или перенаполняемого по сети VLAN, примените к входу фильтр зеркального экрана, зеркальный зеркальный экран или таблицу таблица переадресации потока. Любой пакет, полученный для VLAN-переададности или таблицы flood-пакетов, и совпадающий с условиями фильтрации, зеркально отражается.

Дополнительные сведения о VLANs см. в "Сведения о доменах моста уровня 2". Для получения сведений о поведения при затоплении сети VLAN см. "Понимание обучения уровня 2" и "Переад ради доменов моста".

Прим.:

При настройке зеркального отражение портов на любом интерфейсе под одной VLAN зеркальный пакет может переходить к внешнему анализатору, расположенному в разных VLAN.

Зеркальное отражение пакетов, переадварующихся или перенаполнимых на экземпляр маршрутной маршрутки VPLS

Для зеркального отражение трафика уровня 2, передающегося на экземпляр маршрутки VPLS или перена которое его переполняет, примените зеркальный фильтр брандмауэра к входным данным таблица переадресации или таблице flood-маршрутов. Любой пакет, полученный для экземпляра маршрутной маршрутки VPLS или таблицы flood,и совпадающий с состоянием фильтра, зеркально отражается.

Дополнительные сведения о экземплярах маршрутов VPLS см. в настройках экземпляра маршрутов VPLS и настройке идентификаторов VLAN для доменов моста и экземпляров маршрутов VPLS. Информацию о поведения при затоплении (flooding) в VPLS см. в библиотеке Junos OS VPN для устройств маршрутов.

Определение фильтра брандмауэра, зеркального экрана 2-го уровня

Для трафика виртуальной частной LAN (VPLS) (или) и для VPN vpn уровня 2 с семействами на серия MX маршрутизаторах и только на коммутаторах серии EX, можно определить фильтр межсетевых экранов, определяющий зеркальное отражение порта уровня 2 в качестве действия, которое необходимо выполнить, если пакет соответствует условиям, заданным в термине фильтра family ethernet-switchingfamily vplsccc межсетевых экранов.

Фильтр межсетевых экранов, зеркальный зеркальный экран 2-го уровня можно использовать следующим образом:

  • Для зеркального отражение пакетов, полученных или отправленных на логический интерфейс.

  • Для зеркального зеркального зеркального отражение пакетов, переад говорит о том, что пакеты переададланы или перенатоплены в VLAN.

  • Для зеркального зеркального отражение пакетов, перена которые либо перенатоплены на экземпляр маршрутной маршрутки VPLS.

  • Зеркальное отражение входных пакетов интерфейса туннеля только для нескольких мест назначения.

Краткие сведения о трех типах зеркального зеркального отражение портов уровня 2, которые можно настроить на маршрутизаторе серия MX маршрутизаторе и на коммутаторе серии EX, см. в приложении типов зеркального зеркального отражение портов уровня 2.

Чтобы определить фильтр межсетевых экранов с помощью зеркального зеркального действия порта уровня 2:

  1. Включите настройку фильтров брандмауэра для пакетов уровня 2, которые являются частью VLAN, сети коммутация на уровне 2 или виртуальной частной lan-службы (VPLS):

    Значение параметра family может быть , или ethernet-switching cccvpls .

  2. Включить конфигурацию фильтра межсетевых pm-filter-name экранов:
  3. Включить настройку термина фильтра межсетевых pm-filter-term-name экранов:
  4. (Необязательно) Укажите условия совпадения фильтра брандмауэра, основанные на адресе источника маршрута, только если необходимо зеркально отражать подмножество пробных пакетов.
    • Подробные сведения об условиях совпадения фильтров межсетевых экранов межсетевых экранов 2-го уровня (которые поддерживаются только на серия MX и коммутаторах серии EX) см. в описании условий совпадения фильтра межсетевых экранов для трафика с помощью межсетевых экранов 2-го уровня.

    • Подробные сведения об условиях совпадения фильтров межсетевых экранов VPLS см. в описании условий совпадения фильтра межсетевых экранов для трафика VPLS.

    • Подробные сведения об условиях совпадения фильтра межсетевых экранов цепи уровня 2 (CCC) см. в описании условий совпадения фильтра межсетевых экранов для трафика CCC уровня 2.

    Прим.:

    Если необходимо, чтобы все пробные пакеты рассматривались как совпадают (и подвергаются действиям, указанным в сообщении), то заявление thenfrom совсем не следует использовать.

  5. Включить конфигурацию action и применить к action-modifier совпадающих пакетам:
  6. Укажите действия, которые необходимо принять для совпадающих пакетов:

    Рекомендуемое значение для action этого accept значения: . Если не указать действие или полностью не указывать утверждение, то все пакеты, которые соответствуют условиям в окне, thenfrom принимаются.

  7. Укажите зеркальное отражение портов уровня 2 или группу следующего перехода в action-modifier качестве:
    • Для ссылки на зеркальные свойства зеркальных свойств портов уровня 2, которые в текущий момент работают модуль передачи пакетов PIC, связанных с физическим интерфейсом, используйте port-mirror утверждение:

    • Для ссылки на зеркальные свойства портов уровня 2, настроенные в определенном именовом экземпляре, используйте модификатор действий port-mirror-instance pm-instance-name:

      Если на основном физическом интерфейсе не привязан к именоваемом экземпляру зеркального отражение порта уровня 2, а вместо этого происходит неявная привязка к глобальному зеркальму действию порта уровня 2, то трафик на логическом интерфейсе зеркально отражается в соответствии со свойствами, заданными в именоваемом экземпляре, на который ссылается port-mirror-instance модификатор действий.

    • Для ссылки на группу следующего перехода, которая определяет адреса следующего перехода (для отправки дополнительных копий пакетов на анализатор), используйте модификатор действий next-hop-grouppm-next-hop-group-name: 

      Сведения о конфигурации групп следующего перехода см. в определение группы следующего перехода для зеркального отражение портов уровня 2. Если указать группу следующего перехода для зеркального отражение портов уровня 2, термин фильтра брандмауэра применяется только к входным данным туннельного интерфейса.

  8. Проверьте минимальную конфигурацию фильтра межсетевых экранов, зеркальных зеркальных экранов 2-го уровня:

    В термине фильтра брандмауэра модификатор действия может быть thenport-mirrorport-mirror-instance  (или next-hop-group PM-next-hop-group-name).

Настройка фильтра межсетевых экранов, не зависят от протокола, для зеркального отражение портов

На серия MX маршрутизаторах с MPC можно настроить межсетевой экран для зеркального отражение пакетов уровня 2 и 3 на глобальном уровне и на уровне экземпляров. Когда зеркальное отражение порта настроено на входе или выходе, пакет, в который входит или выходит из интерфейса, копируется и копии отправляются на локальный интерфейс для локального мониторинга.

Прим.:

Начиная с Junos OS версии 13.3R6, только интерфейсы MPC поддерживают family any зеркальное отражение портов. DPC не family any поддерживают.

Обычно фильтр межсетевых экранов настраивается таким образом, что зеркально отражает пакеты уровня 2 или 3 в зависимости от семейства, настроенного на интерфейсе. Однако в случае интегрированного интерфейса маршрутов и маршрутов (IRB) пакеты уровня 2 не полностью зеркалируются, поскольку интерфейсы IRB настроены для зеркального зеркального отражение только пакетов уровня 3. На таком интерфейсе можно настроить фильтр межсетевых экранов и зеркальные параметры зеркальных портов семейства, чтобы гарантировать, что пакет полностью зеркально отражается независимо от того, является ли пакет any 2-го или 3-го уровня.

Прим.:
  • Для зеркального отражение портов в экземпляре можно настроить одну или несколько семей, например inetinet6 , (и cccvpls одновременно) для одного и того же экземпляра.

  • В случае зеркального копирования портов 2-го уровня теги VLAN, MPLS сохраняются заглавные MPLS, которые можно увидеть в зеркальной копии при откате.

  • Для нормализации VLAN данные перед нормализацией видны для зеркального пакета при впаде. Аналогично при отступе данные после нормализации видны для зеркального пакета.

Перед началом настройки зеркального отражением портов необходимо настроить допустимые физические интерфейсы.

Настройка фильтра межсетевых экранов, не зависят от протокола, для зеркального отражение портов:

  1. Настройте глобальный фильтр межсетевых экранов для зеркального отражением веского или веского трафика.
  2. Настройте фильтр межсетевых экранов для зеркального зеркального отражение трафика для экземпляра.
  3. Настройте зеркальные параметры для веского и впадаемго трафика.
  4. Настройте зеркальные параметры для экземпляра. В этой конфигурации можно указать выходные данные или назначение для пакетов уровня 2 как допустимой группы следующего перехода, так и для интерфейса уровня 2.
  5. Настройте фильтр межсетевых экранов на впадаемом или выпадаемом интерфейсе, на который передаются пакеты.

Примере: Зеркальное отражение веб-трафика сотрудников с фильтром брандмауэра

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Один коммутатор

  • Junos 14.1X53-D20

Обзор

В данном примере xe-0/0/0 они xe-0/0/6 также выступать в качестве подключений для компьютеров сотрудников. Интерфейс xe-0/0/47 подключен к устройству, на которое запущено приложение анализатора.

Вместо зеркального отражение всего трафика обычно желательно зеркально отражать только определенный трафик. Это более эффективное использование пропускной способности и аппаратного обеспечения, что может быть необходимо из-за ограничений на этих ресурсов. В данном примере зеркально отражается только трафик, отправленный с компьютеров сотрудников в Интернет.

Топологии

Рис. 1 показывает топологию сети для этого примера.

Рис. 1: Пример зеркального отражение локальных портов топологии сетиПример зеркального отражение локальных портов топологии сети

Настройка

Чтобы указать, что единственный зеркальный трафик — это трафик, отправленный сотрудниками в Интернет, выполните задачи, поясняется в этом разделе. Чтобы выбрать этот трафик для зеркального отражение, используется фильтр брандмауэра, чтобы указать этот трафик и направить его на зеркальный экземпляр порта.

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить локальное зеркальное копирование трафика с компьютеров сотрудников, предназначенных для Интернета, скопируйте следующие команды и включайте их в окно терминала коммутатора:

Пошаговая процедура

Чтобы настроить зеркальное отражение локального порта сотрудника в веб-трафике с двух портов, подключенных к компьютерам сотрудников:

  1. Настройте зеркальный экземпляр порта, включая выходной интерфейс и IP-адрес устройства, на следующем переходе на который будет запущен анализатор. (Настройте только выходные данные — вход поступает от фильтра.) Необходимо также указать, что зеркальное отражение для трафика IPv4 family inet ().

  2. Настройка фильтра межсетевых экранов IPv4 () с искомым термином для совпадания трафика, отправляемого в Интернет, и отправки его на экземпляр, зеркальный family inetwatch-employee порт. Трафик, отправленный и поступающий из корпоративной подсети (адрес назначения или источника) не требуется копировать, поэтому сначала создайте другой термин, чтобы принять этот трафик до того, как он достигнет срока, отправив веб-трафик 192.0.nn.nn/24 экземпляру:

  3. Настройте адреса для интерфейсов IPv4, подключенных к компьютерам сотрудников и анализатору:

  4. Применение фильтра межсетевых экранов к соответствующим интерфейсам в качестве фильтра в отношении впадания:

Результаты

Проверьте результаты настройки:

Проверки

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор был создан на коммутаторе с соответствующими входными интерфейсами и соответствующим выходным интерфейсом.

Действий

Можно проверить правильность настройки зеркального анализатора портов с помощью show forwarding-options port-mirroring команды.

Смысл

Эти выходные данные показывают, что экземпляр, зеркальный экземпляр порта, имеет отношение к 1 (зеркальное отражение каждого пакета, настройка по умолчанию) и максимальный размер зеркального пакета (отображает весь 0 пакет). Если выходной интерфейс находится в неавном состоянии или не настроен, значение состояния будет и экземпляр не будет запрограммирован на down зеркальное отражение.

Зеркальное отражение портов PE-маршрутизатора или логических интерфейсов коммутатора PE на уровне 2

Для маршрутизатора или коммутатора, настроенного в качестве устройства-поставщика (PE) на границе сети поставщика услуг, можно применить фильтр зеркального экрана порта 2-го уровня на следующих точках входить и отражать трафик между маршрутизатором или коммутатором и клиентское граничное устройство (CE), которые обычно являются маршрутизаторами и коммутаторами Ethernet.

Табл. 1 описывает способы применения фильтров зеркального экрана порта 2-го уровня к маршрутизатору или коммутатору, настроенному как PE-устройство.

Табл. 1: Применение зеркальных фильтров межсетевых экранов портов уровня 2 на устройствах PE

Точка приложения

Область зеркального отражение

Заметки

Сведения о конфигурации

Логический интерфейс для впадаемого клиента

Пакеты, исходя из сети клиента поставщика услуг, отправляются в первую очередь CE устройству и отправляются рядом с устройством PE.

Можно также настроить агрегированные интерфейсы Ethernet между CE устройствами и устройствами PE для экземпляров маршрутизации VPLS. Трафик сбалансирован по всем соединениям агрегированного интерфейса.

Трафик, полученный на агрегированном интерфейсе Ethernet, переадрегируется через другой интерфейс на основе mac-адреса назначения (DMAC) :

  • Пакеты, предназначенные для локального узла, отправляются из баланса нагрузки для детей.

  • Пакеты, предназначенные для удаленного сайта, инкапсулированы и переадрикированы по маршруту с переключениями меток (LSP).

См. Применение зеркального отражение портов уровня 2 к логическому интерфейсу.

Дополнительные сведения о экземплярах маршрутов VPLS см. в настройках экземпляра маршрутов VPLS и настройке идентификаторов VLAN для доменов моста и экземпляров маршрутов VPLS.

Логический интерфейс для клиента на выехаве

Одноадростные пакеты, перена которые устройство PE передает другому устройству PE.

NOTE:При применении зеркального фильтра к выходным данным логического интерфейса зеркальным отражением будут только однонастные пакеты. Для зеркального отражение неизвестных однонастных и широковещательных пакетов примените фильтр к входной таблице потока экземпляра маршрутов VLAN или VPLS.

См. Применение зеркального отражение портов уровня 2 к логическому интерфейсу.

Вход в таблицу переад через VLAN или таблицу flood-потока

Перенаправка трафика или потока трафика, отосланного в VLAN с CE устройства.

Потоки данных обычно состоят из широковещательных пакетов, многоадростных пакетов, одноадростных пакетов с неизвестным MAC-адрес или пакетов с MAC-записью в таблице маршрутов DMAC.

См. "Применение зеркальногоотражение порта уровня 2 к трафику, передаемом или перенаполняемом в домен моста". Информацию о поведения при затоплении (flooding) в VPLS см. в библиотеке Junos OS VPN для устройств маршрутов.

Вход в таблицу переадваровки экземпляра маршрутов VPLS или таблицу flood-маршрутов

Перенаправка трафика или потока трафика, отосланного на экземпляр маршрутов VPLS с CE устройства.

См. "Применение зеркального отражение порта уровня 2 к трафику, передаемом или перенаполняемом экземпляру маршрутов VPLS". Информацию о поведения при затоплении (flooding) в VPLS см. в библиотеке Junos OS VPN для устройств маршрутов.

Отражение портов на уровне 2 маршрутизатора PE или PE Коммутатора Агрегированных интерфейсов Ethernet

Агрегированное соединение Ethernet - это виртуальный агрегированное соединение, которое состоит из набора физических интерфейсов одной скорости и работает в режиме дуплексного соединения. Можно настроить агрегированные интерфейсы Ethernet между CE устройствами и pe устройствами PE для экземпляров маршрутизации VPLS. Трафик сбалансирован по всем соединениям агрегированного интерфейса. Если в одном или более соединениях агрегированного интерфейса сбой, трафик переключается на остальные соединения.

Для настройки зеркального отражение портов на родительском интерфейсе можно применить фильтр зеркального экрана порта 2 к агрегированному интерфейсу Ethernet. Однако, если какие-либо дополнительные интерфейсы привязаны к различным экземплярам зеркального зеркального отражение портов уровня 2, пакеты, полученные на детей интерфейсах, будут зеркально отражены в пунктах назначения, заданных соответствующими экземплярами зеркального отражением портов. Таким образом, несколько детей интерфейсов могут зеркально ражать пакеты нескольким пунктам назначения.

Например, предположим, что экземпляр родительского агрегированного интерфейса Ethernet имеет ae0 два родительских интерфейса:

  • xe-2/0/0

  • xe-3/1/2

Предположим, что эти дополнительные интерфейсы привязаны к двум различным экземплярам зеркального зеркала портов ae0 уровня 2:

  • pm_instance_A- Именоваемая экземпляр зеркального зеркального отражение портов 2-го уровня, привязанная к пользовательскому xe-2/0/0 интерфейсу.

  • pm_instance_B- Именоваемая экземпляр зеркального зеркального отражение портов 2-го уровня, привязанная к пользовательскому xe-3/1/2 интерфейсу.

Теперь предположим, что применяется фильтр зеркального экрана порта 2 к трафику уровня 2, отосланном (логический блок на агрегированном ae0.00 интерфейсе Ethernet 0 экземпляра). Это включает зеркальное отражение портов, которое имеет следующий эффект на обработку трафика, полученного на детей интерфейсах, для которых указаны свойства зеркального оформления портов уровня ae0.0 2:

  • Пакеты, полученные xe-2/0/0 по, зеркально отражаются на выходных интерфейсах, настроенных в экземпляре, зеркальном зеркале pm_instance_A порта.

  • Пакеты, полученные xe-3/1/2.0 по, зеркально отражаются на выходных интерфейсах, настроенных в экземпляре, зеркальном зеркале pm_instance_B порта.

Так как и могут указывать различные свойства выбора пакетов или зеркальные свойства назначения, пакеты, полученные и зеркальные отражение различных пакетов pm_instance_Apm_instance_B в xe-2/0/0xe-3/1/2.0 разных пунктах назначения.

Применение зеркального отражение портов уровня 2 к логическому интерфейсу

Можно применить фильтр брандмауэра, зеркальное отражение порта уровня 2, на входе или выходе логического интерфейса, включая агрегированные логические интерфейсы Ethernet. Зеркальным отражением являются только пакеты семейства адресов, определенного действием фильтра.

Перед началом работы выполните следующую задачу:

  • Определите фильтр, зеркальный брандмауэр уровня 2, который будет применен к входу на логический интерфейс или выход к логическому интерфейсу. Дополнительные сведения см. в "Определение фильтра зеркального экрана порта 2-го уровня".

    Прим.:

    В данной задаче настройки показаны два фильтра зеркального межсетевых экрана уровня 2: один фильтр применяется к впадаемму логического интерфейса, а другой – к логическому трафику.

Применение фильтра зеркального экрана порта 2-го уровня к логическому интерфейсу ввода или вывода:

  1. Настройте физический интерфейс для логического интерфейса.

    1. Включить конфигурацию обычного физического интерфейса:

      Прим.:

      Фильтр межсетевых экранов с зеркальным отражением портов может также применяться к логическому интерфейсу aggregated-Ethernet.


    2. Для интерфейсов Fast Ethernet и Gigabit Ethernet и агрегированных интерфейсов Ethernet, настроенных для VPLS, включаем прием и передачу кадров с маркировкой VLAN 802.1Q на интерфейсе:


    3. Для интерфейсов Ethernet с поддержкой IEEE VLAN 802.1Q и которые должны принимать пакеты с TPID-0x8100 или пользовательским TPID, задайте тип инкапсуляции логического уровня на уровне логических соединений:

  2. Настройте логический интерфейс, к которому необходимо применить фильтр межсетевых экранов, зеркальное отражение портов уровня 2.

    1. Укажите логический номер единицы:


    2. Для интерфейсов Fast Ethernet, Gigabit Ethernet или Aggregated Ethernet привязываю ID метки VLAN 802.1Q к логическому интерфейсу:

  3. Включить спецификацию входного или выходного фильтра, применяемых к пакетам уровня 2, которые являются частью домена с помощью межмещенных коммутация на уровне 2 или виртуальной частной lan-службы (VPLS).
    • Если необходимо оценить фильтр при получении пакетов на интерфейсе:

    • Если необходимо оценить фильтр при отправлении пакетов на интерфейс:

    Значение параметра family может быть ethernet-switching , или cccvpls .

    Прим.:

    Если фильтры межсетевых экранов с зеркальным отражением портов применяются как к входным, так и к выходным данным логического интерфейса, то зеркальные копии каждого пакета будут зеркальными. Чтобы предотвратить перенаправление дублирующихся пакетов маршрутизатором или коммутатором на то же место назначения, включим дополнительную утверждение на mirror-once[edit forwarding-options] иерархической уровне.

  4. Проверьте минимальную конфигурацию для применения именованного фильтра зеркального экрана порта уровня 2 к логическому интерфейсу:

Применение зеркального отражение порта уровня 2 к трафику, передаемом или перенаполняемом в домен моста

Можно применить фильтр межсетевых экранов, зеркальный зеркальный экран уровня 2 к трафику, передаемого или перенаполняемого в домен моста. Зеркальным отражением являются только пакеты определенного типа семейства, переад говорится о том, что в домен моста переад часть данных перенананочена или затоплена.

Перед началом работы выполните следующую задачу:

  • Определите фильтр зеркального экрана порта 2, который будет применяться к трафику, передаемом в домен моста или перенастраиованном в домен моста. Дополнительные сведения см. в "Определение фильтра зеркального экрана порта 2-го уровня".

    Прим.:

    В данной задаче настройки показаны Layer_2 межсетевые экраны, зеркальные зеркальные экраны: один фильтр, применяемый к домену моста таблица переадресации ветвного трафика, а другой фильтр, примененный к таблице впадаемой потока в домене моста.

Применение фильтра зеркального экрана порта 2-го уровня к таблица переадресации или таблице потока в домене моста:

  1. Внесите в конфигурацию доменного моста имя моста-домена, к которому необходимо применить фильтр зеркального межсетевых экрана уровня 2 для передающего или перенаполняемого трафика:
  2. Настройка домена моста:

    Подробные сведения о https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.html конфигурации см. в документе Настройка домена моста и настройка идентификаторов VLAN для доменов моста и экземпляров маршрутов VPLS.

  3. В включается настройка переададации трафика в домене моста:
  4. Применение фильтра зеркального экрана порта 2-го уровня к домену моста таблица переадресации или таблицей flood-ответов.
    • Для зеркального зеркального отражение пакетов, перена которые переадваровывания в домен моста:

    • Чтобы зеркальное отражение пакетов, переполаченных в домен моста:

  5. Проверьте минимальную конфигурацию для применения фильтра зеркального экрана порта уровня 2 к таблица переадресации или таблице flood в домене моста.

    1. Перейдите на уровень иерархии, на котором настроен домен моста:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Отобразить конфигурации домена моста:

Применение зеркального отражение порта уровня 2 к трафику, передаемом или перенаполняемом на экземпляр маршрутов VPLS

Можно применить фильтр межсетевых экранов, зеркальный зеркальный экран уровня 2, к передаемого или перенаполняемого трафика на экземпляр маршрутов VPLS. Зеркальным отражением являются только пакеты определенного типа семейства, которые переадваруются или перенатоплены на этот экземпляр маршрутов VPLS.

Перед началом работы выполните следующую задачу:

  • Определите фильтр зеркального экрана порта уровня 2, который будет применяться к трафику, передаемму экземпляру маршрутов VPLS или перенаполняемой в VLAN. Дополнительные сведения см. в "Определение фильтра зеркального экрана порта 2-го уровня".

    Прим.:

    В данной задаче настройки показаны Layer_2 межсетевые экраны, зеркальные зеркальные экраны: один фильтр, примененный к экземпляру маршрутов VPLS таблица переадресации взламывляемом, и один фильтр, примененный к таблице впадания экземпляра маршрутов VPLS.

Применение фильтра зеркального экрана порта 2-го уровня к таблица переадресации или таблице flood экземпляра маршрутов VPLS:

  1. Включите конфигурацию экземпляра маршрутации VPLS, в которую необходимо применить фильтр зеркального экрана, зеркальный брандмауэр уровня 2 для передающего или перенаполняемого трафика:

    Дополнительные сведения о конфигурации см. в "Настройка экземпляра маршрутов VPLS".

  2. Включите настройку переададации трафика на экземпляре маршрутов VPLS:
  3. Применение фильтра зеркального экрана порта 2-го уровня к экземпляру маршрутов VPLS таблица переадресации или таблице flood-маршрутов.
    • Для зеркального отражение пакетов, переадварующихся на экземпляр маршрутов VPLS:

    • Для зеркального зеркального зеркального потока пакетов на экземпляр маршрутов VPLS:

  4. Проверьте минимальную конфигурацию для применения фильтра зеркального экрана уровня 2 к таблица переадресации или таблице flood экземпляра маршрутов VPLS:

Применение зеркального отражение порта уровня 2 к трафику, передаемом или перенаполняемом в VLAN

Можно применить фильтр брандмауэра, зеркальное отражение порта уровня 2, к передаемого или перенаполняемого трафика в VLAN. Зеркальным отражением являются только пакеты указанного типа семейства, переад говорится о том, что в эту VLAN передается или передается поток пакетов.

Перед началом работы выполните следующую задачу:

  • Определите фильтр зеркального экрана порта уровня 2, который будет применяться к трафику, передаемом в VLAN или перенастраиованном на VLAN. Дополнительные сведения см. в "Определение фильтра зеркального экрана порта 2-го уровня".

    Прим.:

    В данной задаче настройки показаны Layer_2 межсетевые экраны, зеркальные зеркальные экраны: один фильтр, применяемый к VLAN таблица переадресации взламывляемом трафику, а другой фильтр, примененный к таблице впадаемой потока VLAN.

Применение фильтра зеркального экрана порта 2-го уровня к таблица переадресации сети VLAN или таблице flood-ответов:

  1. Внесите в конфигурацию сети VLAN конфигурацию, в которую необходимо применить зеркальный брандмауэр уровня 2 для передающего или bridge-domain-name перенаполняемого трафика:
  2. Настройка сети VLAN:

    Более подробные сведения https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.html о конфигурации см. в настройках домена моста и конфигурации идентификаторов VLAN для доменов моста и экземпляров маршрутов VPLS.

  3. Enable configuration of traffic forwarding on the VLAN:
  4. Применим фильтр зеркального экрана порта 2 к сети VLAN таблица переадресации или таблице flood-ответов.
    • Чтобы зеркально отражать пакеты, перена которые переадланы на VLAN:

    • Чтобы отражать пакеты, уполномоченые на VLAN:

  5. Проверьте минимальную конфигурацию для применения фильтра зеркального экрана уровня 2 к таблица переадресации сети VLAN или таблице flood.

    1. Перейдите на уровень иерархии, на котором настроена VLAN:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Отобразить конфигурации VLAN:

Примере: Зеркальное отражение портов уровня 2 на логическом интерфейсе

Следующие шаги описывают пример, в котором экземпляр глобального зеркального ввода портов и зеркальный фильтр межсетевых экранов используются для настройки зеркального ввода порта уровня 2 для логического интерфейса.

  1. Настройте VLAN , которая содержит внешний анализатор пакетов, и VLAN, которая содержит зеркальный трафик уровня example-bd-with-analyzerexample-bd-with-traffic 2:

    Предположим, что ge-2/0/0.0 логический интерфейс связан с внешним анализатором трафика, который принимает зеркальные пакеты порта. Предположим, что логические ge-2/0/6.0ge-3/0/1.2 интерфейсы и будут входным и выходным портами трафика, соответственно.

  2. Настройте зеркальное отражение портов уровня 2 для глобального экземпляра, при этом зеркальным назначением порта является интерфейс VLAN, связанный с внешним анализатором (логическим интерфейсом ge-2/0/0.0 в example-bd-with-analyzer VLAN). Не забудьте включить параметр, который позволяет применять фильтры к этому месту назначения, зеркального зеркального порта:

    Утверждение на уровне иерархии указывает, что выборка начинается с каждого пакетов в пакете проверки пакетов в пакете проверки и что каждый из первых пяти выбранных пакетов должен быть input[edit forwarding-options port-mirroring] зеркальным.

    Утверждение на уровне иерархии определяет зеркальный интерфейс вывода для пакетов уровня 2 в output[edit forwarding-options port-mirroring family ethernet-switching] среде с замещениями:

    • Логический интерфейс, связанный с внешним анализатор пакетов, настраивается как назначение, ge-2/0/0.0 зеркальное отражение порта.

    • Необязательное no-filter-check утверждение позволяет настраивать фильтры на этом интерфейсе назначения.

  3. Настройка фильтра межсетевых экранов, зеркальных зеркальных экранов 2-го example-bridge-pm-filter уровня:

    Когда этот фильтр брандмауэра применяется к входу или выходу логического интерфейса для трафика в среде с помощью межсетевых экранов, зеркалирование портов уровня 2 выполняется в соответствии со свойствами вводимого пакета-выборки и свойствами зеркального назначения, настроенными для глобального зеркального зеркального экземпляра порта уровня 2. Поскольку фильтр межсетевых экранов настроен с одним действием фильтра по умолчанию, все пакеты, выбранные по свойствам (= и =) соответствуют acceptinputrate10run-length5 данному фильтру.

  4. Настройте логические интерфейсы:

    Пакеты, полученные на логическом интерфейсе в сети VLAN, оцениваются фильтром межсетевых экранов, зеркальным ge-2/0/6.0example-bd-with-traffic отражением example-bridge-pm-filter портов. Фильтр межсетевых экранов действует на входном трафике в соответствии с действиями фильтрации, настроенными в фильтре межсетевых экранов, а также свойствами вводимого пакета и зеркальными свойствами назначения, настроенными в экземпляре глобального зеркального зеркального порта:

    • Все пакеты, полученные по ge-2/0/6.0 назначению, переадправлены (предполагается) обычному месту назначения на логический ge-3/0/1.2 интерфейс.

    • Для каждые 10 вводимых пакетов копии первых пяти пакетов в этом выборе переадружаются на внешний анализатор на логическом интерфейсе в ge-0/0/0.0 другой VLAN, example-bd-with-analyzer .

    Если настроить фильтр межсетевых экранов для зеркального копирования портов для принятия действий вместо действий, все исходные пакеты отбрасываются, в то время как копии пакетов, выбранных с использованием свойств глобального зеркального копирования портов, отправляются внешнему example-bridge-pm-filterdiscard анализатору. acceptinput

Примере: Зеркальное отражение портов уровня 2 для VPN уровня 2

Следующий пример не является полной конфигурацией, но показывает все шаги, необходимые для настройки зеркального представления портов на L2VPN, использующем family ccc .

  1. Настройте port-mirror-bd VLAN, которая содержит внешний анализатор пакетов:

  2. Настройка CCC VPN уровня 2 для соединения логического и ge-2/0/1.0 логического ge-2/0/1.1 интерфейсов:

  3. Настройте зеркальное отражение портов уровня 2 для глобального экземпляра, при этом зеркальным назначением порта является интерфейс VLAN, связанный с внешним анализатором (логическим интерфейсом ge-2/2/9.0 в example-bd-with-analyzer VLAN):

  4. Определите фильтр зеркального межсетевых экрана 2-го уровня pm_filter_cccfamily ccc для:

  5. Применение зеркального экземпляра порта к шасси:

  6. Настройте интерфейс для VLANs и настройте интерфейс для зеркального отражение портов ge-2/2/9ge-2/0/1 с помощью pm_filter_ccc фильтра межсетевых экранов:

Таблица истории выпусков
Версия
Описание
13.3R6
Начиная с Junos OS версии 13.3R6, только интерфейсы MPC поддерживают family any зеркальное отражение портов.