Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do espelhamento de portas em interfaces lógicas

Filtros de firewall de espelhamento de porta de camada 2

Este tópico descreve as seguintes informações:

Visão geral dos filtros de firewall de espelhamento de porta de camada 2

Em um roteador da Série MX e em um switch da Série EX, você pode configurar um termode filtro de firewall para especificar que o espelhamento de porta de Camada 2 deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado.

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nas interfaces lógicas de entrada ou saída (incluindo interfaces lógicas Ethernet agregadas), ao tráfego encaminhado ou inundado a uma VLAN, ou ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.

Roteadores da Série MX e switches da Série EX oferecem suporte a espelhamento de portas de Camada 2 de tráfego VPLS (family ethernet-switching ou family vpls) e tráfego VPN de Camada 2 com family ccc em um ambiente de Camada 2

Dentro de um filtro termde firewall, você pode especificar as propriedades de espelhamento de porta de Camada 2 sob a then declaração de qualquer uma das seguintes maneiras:

  • Referencia implicitamente as propriedades de espelhamento de porta de Camada 2 em vigor na porta.

  • Consulte explicitamente uma instância nomeada em particular do espelhamento de porta de Camada 2.

Nota:

Ao configurar um filtro de firewall de espelhamento de porta de Camada 2, não inclua a declaração opcional from que especifica condições de correspondência com base no endereço de origem da rota. Omite esta declaração para que todos os pacotes sejam considerados compatíveis e todos actions e action-modifiers especificados na then declaração sejam tomados.

Se você quiser espelhar todos os pacotes recebidos, então você não deve usar a declaração; /*comentário: configure os termos do filtro com a partir de se eles estiverem interessados em espelhar apenas um subconjunto de pacotes.

Nota:

Se você associar o roteamento integrado e a ponte (IRB) à VLAN (ou instância de roteamento VPLS), e também configurar dentro da VLAN (ou instância de roteamento VPLS) um filtro de tabela de encaminhamento com a port-mirror ou port-mirror-instance ação, então o pacote IRB é espelhado como um pacote de Camada 2. Você pode desabilitar esse comportamento configurando a declaração sem irb de camada 2 na VLAN (ou instância de roteamento VPLS).

Para obter uma descrição detalhada de como configurar um filtro de firewall de espelhamento de porta de Camada 2, consulte Definir um filtro de firewall espelhamento de portas de Camada 2.

Para obter informações detalhadas sobre como você pode usar filtros de firewall de espelhamento de porta de Camada 2 com roteadores MX e switches da Série EX configurados como roteadores de borda de provedor (PE) ou switches PE, consulte Entendendo o espelhamento de portas de Camada 2 das interfaces lógicas do roteador PE. Para obter informações detalhadas sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), consulte as políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego.

Espelhamento de pacotes recebidos ou enviados em uma interface lógica

Para espelhar o tráfego de Camada 2 recebido ou enviado em uma interface lógica, aplique um filtro de firewall de espelhamento de portas na entrada ou saída da interface.

Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet. Para obter mais informações, veja Entendendo o espelhamento de portas de Camada 2 das interfaces de ethernet agregadas do roteador PE.

Nota:

Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, você pode habilitar a opção "mirror-once" para espelhamento de portas de Camada 2 na instância global para a família de endereços de pacotes de Camada 2.

Espelhamento de pacotes encaminhados ou inundados para uma VLAN

Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma VLAN, aplique um filtro de firewall de espelhamento de porta na entrada para a tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de VLAN ou tabela de inundação e que corresponda às condições do filtro é espelhado.

Para obter mais informações sobre VLANs, consulte Entendendo os domínios da ponte de Camada 2 . Para obter informações sobre o comportamento de inundação em uma VLAN, consulte Entendendo o aprendizado e o encaminhamento de camada 2 para domínios de ponte .

Nota:

Ao configurar o espelhamento de porta em qualquer interface sob uma VLAN, o pacote espelhado pode passar para um analisador externo localizado em diferentes VLANs.

Espelhamento de pacotes encaminhados ou inundados para uma instância de roteamento VPLS

Para espelhar o tráfego de Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS, aplique um filtro de firewall de espelhamento de portas na entrada da tabela de encaminhamento ou tabela de inundação. Qualquer pacote recebido para o encaminhamento de instâncias de roteamento VPLS ou tabela de inundação e que corresponda à condição do filtro é espelhado.

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.

Definindo um filtro de firewall com espelhamento de portas de Camada 2

Para tráfegofamily ethernet-switching de LAN privada virtual (VPLS) ( ou family vpls) e para VPNs de Camada 2 com família cccem roteadores da Série MX e apenas em switches da Série EX, você pode definir um filtro de firewall que especifica o espelhamento de portas de Camada 2 como a ação a ser realizada se um pacote corresponde às condições configuradas no termo filtro de firewall.

Você pode usar um filtro de firewall de espelhamento de porta de Camada 2 das seguintes maneiras:

  • Espelhar pacotes recebidos ou enviados em uma interface lógica.

  • Para espelhar pacotes encaminhados ou inundados para uma VLAN.

  • Espelhar pacotes encaminhados ou inundados para uma instância de roteamento VPLS.

  • Espelhar pacotes de entrada de interface de túnel apenas para vários destinos.

Para obter um resumo dos três tipos de espelhamento de porta de Camada 2, você pode configurar em um roteador da Série MX e em um switch da Série EX, veja aplicação de tipos de espelhamento de portas de Camada 2.

Para definir um filtro de firewall com uma ação de espelhamento de porta de Camada 2:

  1. Habilite a configuração de filtros de firewall para pacotes de Camada 2 que fazem parte de uma VLAN, um cross-connect de comutação de Camada 2 ou um serviço de LAN privada virtual (VPLS):

    O valor da opção family pode ser ethernet-switching , cccou vpls.

  2. Habilite a configuração de um filtro pm-filter-namede firewall:
  3. Habilite a configuração de um termo pm-filter-term-namede filtro de firewall:
  4. (Opcional) Especifique as condições de correspondência do filtro de firewall com base no endereço de origem da rota apenas se você quiser espelhar um subconjunto dos pacotes amostrados.
    Nota:

    Se você quiser que todos os pacotes amostrados sejam considerados compatíveis (e sejam submetidos às ações especificadas na then declaração), omite completamente a from declaração.

  5. Habilite a action configuração e action-modifier aplique a pacotes correspondentes:
  6. Especifique as ações a serem tomadas em pacotes correspondentes:

    O valor recomendado para isso action é accept. Se você não especificar uma ação ou se omitir a then declaração inteiramente, todos os pacotes que correspondam às condições na from declaração serão aceitos.

  7. Especifique o action-modifierespelhamento de portas de Camada 2 ou um grupo de próximo salto como:
    • Para fazer referência às propriedades de espelhamento de porta de Camada 2 atualmente em vigor para o Mecanismo de encaminhamento de pacotes ou PIC associados à interface física subjacente, use a port-mirror declaração:

    • Para fazer referência às propriedades de espelhamento de porta de Camada 2 configuradas em uma instância nomeada específica, use o modificador de ação de instância pm-instance-name de espelho de porta:

      Se a interface física subjacente não estiver vinculada a uma instância nomeada de espelhamento de porta de Camada 2, mas sim implicitamente vinculada à instância global de espelhamento de porta de Camada 2, então o tráfego na interface lógica é espelhado de acordo com as propriedades especificadas na instância nomeada mencionada pelo modificador de ação port-mirror-instance .

    • Para fazer referência a um grupo de próximo salto que especifica os endereços de próximo salto (para enviar cópias adicionais de pacotes a um analisador), use o modificador de ação next-hop-group pm-next-hop-group-name :

      Para obter informações de configuração sobre grupos de próximo salto, veja Definir um grupo de Next-Hop para espelhamento de portas de camada 2. Se você especificar um grupo de próximo salto para espelhamento de portas de Camada 2, o termo filtro de firewall se aplica apenas à entrada da interface do túnel.

  8. Verifique a configuração mínima do filtro de firewall de espelhamento de porta de Camada 2:

    Na declaração do termo then do filtro de firewall, pode action-modifier ser port-mirror, port-mirror-instance ou next-hop-group pm-next-hop-group-name.

Configuração de filtro de firewall independente de protocolo para espelhamento de portas

Em roteadores da Série MX com MPCs, você pode configurar um filtro de firewall para espelhar pacotes de Camada 2 e Camada 3 em nível global e em nível de instância. Quando o espelho de porta é configurado na entrada ou saída, a entrada ou saída de pacotes de uma interface é copiada e as cópias são enviadas para a interface local para monitoramento local.

Nota:

A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte family any para espelhamento de portas. As interfaces de DPC não oferecem suporte family any.

Normalmente, o filtro de firewall é configurado de modo que ele espelha pacotes de Camada 2 ou Camada 3 com base na família configurada na interface. No entanto, no caso de uma interface integrada de roteamento e ponte (IRB), os pacotes de Camada 2 não são completamente espelhados porque as interfaces IRB são configuradas para espelhar apenas pacotes de Camada 3. Em tal interface, você pode configurar um filtro de firewall e parâmetros de espelhamento de porta na família any para garantir que um pacote seja completamente espelhado, independentemente de ser um pacote de Camada 2 ou de Camada 3.

Nota:
  • Para espelhamento de porta em uma instância, você pode configurar uma ou mais famílias, comoinet, inet6e cccvpls simultaneamente, para a mesma instância.

  • No caso do espelhamento de portas de Camada 2, as tags VLAN, os cabeçalhos MPLS são retidos e podem ser vistos na cópia espelhada na saída.

  • Para a normalização do VLAN, as informações antes da normalização são vistas para um pacote espelhado na entrada. Da mesma forma, na saída, as informações após a normalização são vistas para o pacote espelhado.

Antes de começar a configurar o espelhamento de portas, você deve configurar interfaces físicas válidas.

Para configurar um filtro de firewall independente de protocolo para espelhamento de portas:

  1. Configure um filtro de firewall global para espelhar o tráfego de saída ou entrada.
  2. Configure um filtro de firewall para espelhar o tráfego por exemplo.
  3. Configure parâmetros de espelhamento para tráfego de saída e entrada.
  4. Configure parâmetros de espelhamento para uma instância. Nesta configuração, você pode especificar a saída ou o destino para que os pacotes de Camada 2 sejam um grupo de próximo salto válido ou uma interface de Camada 2.
  5. Configure o filtro de firewall na interface de entrada ou saída na qual os pacotes são transmitidos.

Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch

  • Junos 14.1X53-D20

Visão geral

Neste exemplo, xe-0/0/0 e xe-0/0/6 servir como conexões para computadores de funcionários. A interface xe-0/0/47 está conectada a um dispositivo que executa um aplicativo de analisador.

Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente da sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Este exemplo espelha apenas o tráfego enviado de computadores funcionários para a Web.

Topologia

Figura 1 mostra a topologia da rede para este exemplo.

Figura 1: Exemplo de topologia de rede para espelhamento de portas locaisExemplo de topologia de rede para espelhamento de portas locais

Configuração

Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:

Procedimento passo a passo

Para configurar o espelhamento de porta local do funcionário para o tráfego web a partir das duas portas conectadas aos computadores dos funcionários:

  1. Configure uma instância de espelhamento de porta, incluindo a interface de saída e o endereço IP do dispositivo que executa o aplicativo analisador como o próximo salto. (Configure apenas a saída — a entrada vem do filtro.) Você também deve especificar se o espelho é para tráfego IPv4 (family inet).

  2. Configure um filtro de firewall IPv4 chamadofamily inetwatch-employee que inclui um termo para combinar tráfego enviado à Web e enviar para a instância de espelhamento de portas. O tráfego enviado e chegando da sub-rede corporativa (endereço de destino ou fonte) 192.0.nn.nn/24não precisa ser copiado, então primeiro crie outro termo para aceitar esse tráfego antes de chegar ao termo que envia tráfego Web para a instância:

  3. Configure endereços para as interfaces IPv4 conectadas aos computadores dos funcionários e ao dispositivo analisador:

  4. Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:

Resultados

Confira os resultados da configuração:

Verificação

Verificando se o analisador foi criado corretamente

Propósito

Verifique se o analisador foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.

Ação

Você pode verificar se o analisador de espelho de porta foi configurado como esperado usando o show forwarding-options port-mirroring comando.

Significado

Essa saída mostra que a instância de espelhamento de porta tem uma razão de 1 (espelhamento de cada pacote, a configuração padrão) e o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote). Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será down e a instância não será programada para espelhamento.

Espelhamento de portas de camada 2 de interfaces lógicas de roteador PE ou SWITCH PE

Para um roteador ou switch configurado como um dispositivo de borda (PE) de provedor na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nos seguintes pontos de entrada e saída para espelhar o tráfego entre o roteador ou switch e os dispositivos de borda do cliente (CE), que normalmente também são roteadores e switches Ethernet.

Tabela 1 descreve as maneiras pelas quais você pode aplicar filtros de firewall de espelhamento de porta de Camada 2 a um roteador ou switch configurado como um dispositivo PE.

Tabela 1: Aplicação de filtros de firewall de espelhamento de portas de camada 2 em dispositivos PE

Ponto de aplicação

Escopo do espelhamento

Notas

Detalhes da configuração

Interface lógica voltada para o cliente de entrada

Pacotes originados na rede de um cliente de provedor de serviços, enviados primeiro a um dispositivo CE e enviados ao lado do dispositivo PE.

Você também pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada.

O tráfego recebido em uma interface Ethernet agregada é encaminhado por uma interface diferente com base em uma visão do endereço MAC de destino (DMAC):

  • Os pacotes destinados a um site local são enviados para fora da interface infantil balanceada por carga.

  • Os pacotes destinados ao local remoto são encapsulados e encaminhados por um caminho comutado por rótulos (LSP).

Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.

Para obter mais informações sobre instâncias de roteamento VPLS, consulte Configuração de uma instância de roteamento VPLS e configuração de identificadores VLAN para domínios de ponte e instâncias de roteamento VPLS.

Interface lógica voltada para o cliente de saída

Pacotes Unicast sendo encaminhados pelo dispositivo PE para outro dispositivo PE.

NOTE:Se você aplicar um filtro de espelhamento de porta na saída para uma interface lógica, apenas pacotes unicast serão espelhados. Para espelhar pacotes multicast, unicast desconhecido e broadcast, aplique um filtro na entrada na tabela de inundação de uma instância de roteamento VLAN ou VPLS.

Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.

Entrada para uma tabela de encaminhamento de VLAN ou tabela de inundação

Encaminhamento de tráfego ou tráfego de inundação enviado para a VLAN a partir de um dispositivo CE.

O tráfego de encaminhamento e inundação normalmente consiste em pacotes de broadcast, pacotes multicast, pacotes unicast com um endereço MAC de destino desconhecido ou pacotes com uma entrada MAC na tabela de roteamento DMAC.

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.

Entrada para uma tabela de encaminhamento de instâncias de roteamento VPLS ou tabela de inundação

Encaminhamento de tráfego ou inundação enviado para a instância de roteamento VPLS a partir de um dispositivo CE.

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS. Para obter informações sobre o comportamento de inundações no VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.

Espelhamento de porta de camada 2 de interfaces de ethernet agregadas por roteador PE ou PE

Uma interface Ethernet agregada é um link agregado virtual que consiste em um conjunto de interfaces físicas da mesma velocidade e operando no modo de conexão de enlace full-duplex. Você pode configurar interfaces Ethernet agregadas entre dispositivos CE e dispositivos PE para instâncias de roteamento VPLS. O tráfego é equilibrado em todos os links da interface agregada. Se um ou mais links na interface agregada falharem, o tráfego será trocado para os links restantes.

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface Ethernet agregada para configurar o espelhamento de portas na interface dos pais. No entanto, se alguma interface infantil estiver vinculada a diferentes instâncias de espelhamento de porta de Camada 2, os pacotes recebidos nas interfaces infantis serão espelhados nos destinos especificados por suas respectivas instâncias de espelhamento de porta. Assim, várias interfaces infantis podem espelhar pacotes em vários destinos.

Por exemplo, suponha que a instância ae0 de interface Ethernet agregada pelos pais tenha duas interfaces infantis:

  • xe-2/0/0

  • xe-3/1/2

Suponha que essas interfaces infantis ae0 estejam vinculadas a duas instâncias diferentes de espelhamento de porta de Camada 2:

  • pm_instance_A— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface xe-2/0/0infantil.

  • pm_instance_B— Uma instância nomeada de espelhamento de porta de Camada 2, vinculada à interface xe-3/1/2infantil.

Agora suponha que você aplique um filtro de firewall de espelhamento de porta de Camada 2 no tráfego de Camada 2 enviado ae0.0 (unidade 0 lógica na instância 0de interface Ethernet agregada). Isso permite o espelhamento de ae0.0portas, que tem o seguinte efeito sobre o processamento do tráfego recebido nas interfaces infantis para as quais as propriedades de espelhamento de porta de Camada 2 são especificadas:

  • Os pacotes recebidos xe-2/0/0 são espelhados nas interfaces de saída configuradas em instâncias pm_instance_Ade espelhamento de porta.

  • Os pacotes recebidos xe-3/1/2.0 são espelhados nas interfaces de saída configuradas em instâncias pm_instance_Bde espelhamento de porta.

Como pm_instance_A e pm_instance_B pode especificar diferentes propriedades de seleção de pacotes ou propriedades de destino espelhadas, os pacotes recebidos xe-2/0/0 e xe-3/1/2.0 podem espelhar diferentes pacotes para diferentes destinos.

Aplicando o espelhamento de porta de camada 2 a uma interface lógica

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 na entrada ou na saída de uma interface lógica, incluindo uma interface lógica Ethernet agregada. Apenas os pacotes da família do tipo de endereço especificados pela ação do filtro são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado à entrada em uma interface ou saída lógica para uma interface lógica. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta de Camada 2: um filtro aplicado ao tráfego de entrada de interface lógica, e um filtro aplicado ao tráfego de saída da interface lógica.

Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 a uma interface lógica de entrada ou saída:

  1. Configure a interface física subjacente para a interface lógica.

    1. Habilite a configuração da interface física subjacente:

      Nota:

      Um filtro de firewall com espelhamento de porta também pode ser aplicado a uma interface lógica agregada Ethernet.


    2. Para interfaces Gigabit Ethernet e interfaces Ethernet agregadas configuradas para VPLS, habilite a recepção e a transmissão de quadros com tags VLAN de 802.1Q na interface:


    3. Para interfaces Ethernet que tenham a marcação e a ponte VLAN IEEE 802.1Q habilitadas e que devem aceitar pacotes que transportam TPID 0x8100 ou um TPID definido pelo usuário, defina o tipo lógico de encapsulamento da camada de enlace:

  2. Configure a interface lógica à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2.

    1. Especifique o número da unidade lógica:


    2. Para uma interface Ethernet gigabit ou Ethernet agregada, vincule uma ID da tag VLAN de 802.1Q à interface lógica:

  3. Permita que a especificação de um filtro de entrada ou saída seja aplicada a pacotes de Camada 2 que fazem parte do domínio de ponte, conexões cruzadas de comutação de Camada 2 ou serviço de LAN privada virtual (VPLS).
    • Se o filtro deve ser avaliado quando os pacotes são recebidos na interface:

    • Se o filtro deve ser avaliado quando os pacotes são enviados na interface:

    O valor da opção family pode ser ethernet-switching, cccou vpls.

    Nota:

    Se os filtros de firewall de espelhamento de porta forem aplicados na entrada e saída de uma interface lógica, duas cópias de cada pacote serão espelhadas. Para evitar que o roteador ou switch encaminhe pacotes duplicados para o mesmo destino, inclua a declaração opcional no [edit forwarding-options] nível hierárquicomirror-once.

  4. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 em uma interface lógica:

Aplicando espelhamento de porta de camada 2 ao tráfego ccc familiar com interfaces lógicas de Demux sobre ethernet agregada

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

Este tópico fornece diretrizes e etapas para ajudar você a configurar as interfaces lógicas de demux com essa finalidade de economizar no uso de interfaces físicas de membros em um pacote AE.

Diretrizes

Apontaremos os elementos de configuração específicos para este uso da configuração das interfaces lógicas de demux em interfaces Ethernet agregadas.

  • Configure a família quanto ccc à

    • A configuração de espelhamento de porta em edit forwarding-options port mirroring family

    • A configuração do filtro de firewall em edit firewall family

    • A configuração da interface de demux edit interfaces demux0 unit 0 family

  • Certifique-se de que as configurações das famílias para filtros de firewall e espelhamento de portas sejam (1) a mesma ou (2) na mesma hierarquia.

  • Você pode configurar a interface de demux em uma ae interface para espelhamento global de portas e para instâncias de espelhamento de portas.

  • Para o filtro de firewall, além de usar ccc como família:

    • Use port-mirror como ação para o filtro.

    • Aplique o filtro na interface demux.

  • Configure a ae interface como a interface subjacente da interface lógica de demux usando a underlying-interface declaração, assim:

Amostra de configuração

O seguinte é uma configuração esparsa— queremos apenas mostrar uma imagem de como as diretrizes anteriores se sairiam em uma configuração de amostra.

Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado em um domínio de ponte. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para esse domínio de ponte são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para um domínio de ponte ou inundado para um domínio de ponte. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento de domínios da ponte, e um filtro aplicado à tabela de inundação do domínio da ponte entra o tráfego.

Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de um domínio de ponte:

  1. Habilite a configuração do domínio bridge-domain-name de ponte ao qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:
  2. Configure o domínio da ponte:
  3. Habilite a configuração do encaminhamento de tráfego no domínio da ponte:
  4. Aplique um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento de domínios ou tabela de inundação da ponte.
    • Para espelhar os pacotes que estão sendo encaminhados para o domínio da ponte:

    • Para espelhar os pacotes que estão sendo inundados no domínio da ponte:

  5. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação do domínio da ponte.

    1. Navegue até o nível de hierarquia no qual o domínio da ponte está configurado:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações de domínio da ponte:

Aplicando o espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma instância de roteamento VPLS. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para essa instância de roteamento VPLS são espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma instância de roteamento VPLS ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado à tabela de encaminhamento da tabela de encaminhamento de instâncias de roteamento VPLS, e um filtro aplicado à tabela de ingressamento da instância de roteamento VPLS.

Para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma instância de roteamento VPLS:

  1. Habilite a configuração da instância de roteamento VPLS à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:

    Para obter informações de configuração mais detalhadas, veja Configuração de uma instância de roteamento VPLS.

  2. Habilite a configuração do encaminhamento de tráfego na instância de roteamento VPLS:
  3. Aplique um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento de instâncias de roteamento VPLS ou na tabela de inundação.
    • Para espelhar os pacotes que estão sendo encaminhados para a instância de roteamento VPLS:

    • Para espelhar os pacotes que estão sendo inundados na instância de roteamento VPLS:

  4. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação da instância de roteamento VPLS:

Aplicando espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado a uma VLAN

Você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 ao tráfego que está sendo encaminhado ou inundado para uma VLAN. Apenas os pacotes do tipo familiar especificado e encaminhados ou inundados para que a VLAN sejam espelhados.

Antes de começar, preencha a seguinte tarefa:

  • Defina um filtro de firewall de espelhamento de porta de Camada 2 a ser aplicado ao tráfego que está sendo encaminhado para uma VLAN ou inundado para uma VLAN. Para obter mais informações, veja a definição de um filtro de firewall de espelhamento de porta de Camada 2.

    Nota:

    Esta tarefa de configuração mostra dois filtros de firewall com espelhamento de porta Layer_2: um filtro aplicado ao tráfego de entrada da tabela de encaminhamento VLAN, e um filtro aplicado à tabela de inundação VLAN permite a entrada do tráfego.

Para aplicar um filtro de firewall com espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação de uma VLAN:

  1. Habilite a configuração da VLAN bridge-domain-name à qual você deseja aplicar um filtro de firewall de espelhamento de porta de Camada 2 para tráfego encaminhado ou inundado:
  2. Configure a VLAN:
  3. Habilite a configuração do encaminhamento de tráfego na VLAN:
  4. Aplique um filtro de firewall de espelhamento de portas de Camada 2 na tabela de encaminhamento de VLAN ou na tabela de inundação.
    • Para espelhar os pacotes que estão sendo encaminhados para a VLAN:

    • Para espelhar os pacotes que estão sendo inundados na VLAN:

  5. Verifique a configuração mínima para aplicar um filtro de firewall de espelhamento de porta de Camada 2 na tabela de encaminhamento ou na tabela de inundação da VLAN.

    1. Navegue até o nível de hierarquia em que a VLAN está configurada:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Exibir as configurações de VLAN:

Exemplo: Espelhamento de porta de camada 2 em uma interface lógica

As etapas a seguir descrevem um exemplo em que a instância global de espelhamento de portas e um filtro de firewall de espelhamento de porta são usados para configurar o espelhamento de portas de Camada 2 para a entrada em uma interface lógica.

  1. Configure o VLAN example-bd-with-analyzer, que contém o analisador externo de pacotes e o VLAN example-bd-with-traffic, que contém a origem e o destino do tráfego de Camada 2 sendo espelhado:

    Suponha que a interface ge-2/0/0.0 lógica esteja associada a um analisador de tráfego externo que deve receber pacotes espelhados por porta. Assuma que as interfaces lógicas ge-2/0/6.0 e ge-3/0/1.2 as portas de entrada e saída de tráfego, respectivamente.

  2. Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de portas sendo a interface VLAN associada ao analisador externo (interface ge-2/0/0.0 lógica na VLAN example-bd-with-analyzer). Certifique-se de habilitar a opção que permite que filtros sejam aplicados a este destino de espelhamento de portas:

    A input declaração no nível de hierarquia especifica que a [edit forwarding-options port-mirroring] amostragem começa a cada dez pacotes e que cada um dos cinco primeiros pacotes selecionados devem ser espelhados.

    A output declaração no nível de [edit forwarding-options port-mirroring family ethernet-switching] hierarquia especifica a interface de espelho de saída para pacotes de Camada 2 em um ambiente de ponte:

    • A interface ge-2/0/0.0lógica, associada ao analisador externo de pacotes, está configurada como o destino de espelhamento de portas.

    • A declaração opcional no-filter-check permite que os filtros sejam configurados nesta interface de destino.

  3. Configure o filtro example-bridge-pm-filterde firewall de espelhamento de porta de Camada 2:

    Quando este filtro de firewall é aplicado à entrada ou saída de uma interface lógica para tráfego em um ambiente de ponte, o espelhamento de portas de Camada 2 é realizado de acordo com as propriedades de amostragem de pacotes de entrada e as propriedades de destino espelhadas configuradas para a instância global de espelhamento de porta de Camada 2. Como este filtro de firewall está configurado com a ação acceptde filtro padrão, todos os pacotes selecionados pelas input propriedades (rate = 10 e run-length = 5) combinam com este filtro.

  4. Configure as interfaces lógicas:

    Os pacotes recebidos na interface ge-2/0/6.0 lógica na VLAN example-bd-with-traffic são avaliados pelo filtro example-bridge-pm-filterde firewall de espelhamento de portas. O filtro de firewall atua no tráfego de entrada de acordo com as ações de filtro configuradas no próprio filtro de firewall, além das propriedades de amostragem de pacotes de entrada e propriedades de destino espelhadas configuradas na instância global de espelhamento de porta:

    • Todos os pacotes recebidos ge-2/0/6.0 são encaminhados para seu (assumido) destino normal na interface ge-3/0/1.2lógica.

    • Para cada dez pacotes de entrada, cópias dos cinco primeiros pacotes nessa seleção são encaminhadas ao analisador externo na interface ge-0/0/0.0 lógica na outra VLAN, example-bd-with-analyzer.

    Se você configurar o filtro example-bridge-pm-filter de firewall de espelhamento de portas para agir discard em vez da ação accept , todos os pacotes originais serão descartados enquanto cópias dos pacotes selecionados usando as propriedades globais de espelhamento input de porta são enviadas ao analisador externo.

Exemplo: Espelhamento de porta de camada 2 para uma VPN de camada 2

O exemplo a seguir não é uma configuração completa, mas mostra todas as etapas necessárias para configurar o espelhamento de portas em uma L2VPN usando family ccc.

  1. Configure o VLAN port-mirror-bd, que contém o analisador externo de pacotes:

  2. Configure o CCC VPN de Camada 2 para conectar interface ge-2/0/1.0 lógica e interface ge-2/0/1.1lógica:

  3. Configure o espelhamento de porta de Camada 2 para a instância global, com o destino de espelhamento de porta sendo a interface VLAN associada ao analisador externo (interface ge-2/2/9.0 lógica na VLAN example-bd-with-analyzer):

  4. Definir o filtro pm_filter_ccc de firewall de espelhamento de porta de Camada 2 para family ccc:

  5. Aplique a instância do espelho de porta no chassi:

  6. Configure a interface ge-2/2/9 para as VLANs e configure a interface ge-2/0/1 para espelhamento de portas com o filtro de pm_filter_ccc firewall:

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
13.3R6
A partir do Junos OS Release 13.3R6, apenas as interfaces MPC oferecem suporte family any para espelhamento de portas.