Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

第 2 层端口镜像防火墙过滤器

 

本主题介绍以下信息:

第 2 层端口镜像防火墙过滤器概述

在 MX 系列路由器和 EX 系列交换机上,您可以配置防火墙过滤器术语,以指定将第2层 端口镜像应用于防火墙过滤器所应用到的接口上的所有数据包。

您可以将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或淹没至 VLAN 的流量或转发或淹没到 VPLS 路由实例的流量。

MX 系列路由器和 EX 系列交换机支持 VPLS 的第2层端口镜像(系列以太网交换或者 系列 vpls)流量和第 2 层 VPN 流量与 系列 cccn a 2 层环境

防火墙过滤器内 期限,可通过以下任一方式 在then语句下指定第2层端口镜像属性:

  • 隐式引用端口 上有效的第2层端口镜像属性。

  • 显式引用第2层 端口镜像的特定命名实例。

注意

配置第2层 端口镜像防火墙过滤器时,不要 包括指定基于路由源from地址的匹配条件的可选语句。省略此语句,以便所有数据包都被视为匹配,所有 行为操作修饰符then语句中指定的。

如果要镜像所有传入数据包,则不能使用从语句;/* 注释:一种配置过滤器术语的方式,前提是它们仅对镜像的一个子集有兴趣。

有关2层 端口镜像属性的一般说明,请参阅了解2层端口镜像属性。有关 MX 系列路由器和 EX 系列交换机 上可用的2层端口镜像类型的比较,请参阅第2层端口镜像类型的应用

注意

如果您将集成路由和桥接(IRB)与 VLAN (或 VPLS 路由实例)相关联,并且还在 VLAN (或 VPLS 路由实例)中进行配置,则转发表过滤器 端口镜像或者 端口镜像实例操作,则 IRB 数据包将镜像为第2层数据包。您可通过在 VLAN (或 VPLS 路由实例)中配置irb 层 2-copy语句来禁用此行为。

有关如何配置第2层 端口镜像防火墙过滤器的详细说明,请参阅定义2层 端口镜像防火墙过滤器

有关如何使用 MX 路由器和 EX 系列交换机 配置为提供商边缘(PE)路由器或 PE 交换机的第2层端口镜像防火墙过滤器的详细信息,请参阅了解 PE 路由器的2层端口镜像逻辑接口。有关常规配置防火墙过滤器(包括在第3层 环境中)的详细信息,请参阅路由策略、防火墙过滤器和流量监管器功能指南

在逻辑接口上接收或发送的数据包镜像

要镜像在 逻辑接口上接收或发送的2层流量,请将端口镜像防火墙过滤器应用于接口的输入或输出。

端口镜像防火墙过滤器也可应用于聚合以太网逻辑接口。有关详细信息,请参阅了解 PE 路由器的2层端口镜像聚合的以太网接口

注意

如果在逻辑接口的输入和输出中应用端口镜像防火墙过滤器,每个数据包的两个副本将被镜像。为防止路由器或交换机将重复数据包转发到同一目的地,您可以为第2层“ 数据包地址族”的全局实例 中的2层端口镜像启用一次性镜像选项。

转发或淹没到 VLAN 的数据包镜像

要镜像转发 至或淹没于 VLAN 的2层流量,请将端口镜像防火墙过滤器应用到转发表或洪水表的输入。为 VLAN 转发或淹没表接收且符合过滤器条件的任何数据包将被镜像。

有关 Vlan 的详细信息,请参阅了解第2层桥接域。有关在 VLAN 中扩散行为的信息,请参阅了解网桥域的第2层学习和转发

注意

在一个 VLAN 下的任何接口上配置端口镜像时,镜像数据包可以移动到位于不同 Vlan 下的外部分析器。

将数据包镜像转发或淹没到 VPLS 路由实例

要镜像转发 至或淹没于 VPLS 路由实例的2层流量,请将端口镜像防火墙过滤器应用到转发表或洪水表的输入。为 VPLS 路由实例转发或淹没表接收且与过滤器条件匹配的任何数据包将被镜像。

有关 VPLS 路由实例的详细信息,请参阅配置 VPLS 路由实例配置桥接域和 VPLS 路由实例的 VLAN 标识符。有关在 VPLS 中扩散行为的信息,请Junos OS VPNs Library for Routing Devices参阅。