为第 3 层转发流量配置具有第 2 层标头的数据包镜像
SUMMARY 选择性数据包镜像过滤器可用作高效的故障排除机制,也可用于性能监控目的。
了解使用第 2 层标头对第 3 层转发流量进行数据包镜像
本文档重点介绍使用各种 IPv4 或 IPv6 过滤器匹配条件选择流量的功能,以及使用原始第 2 层标头信息镜像整个数据包的功能。
第 2 层标头信息对于识别边缘路由器部署中的特定客户或公共对等情况下的特定 Internet 对等方可能至关重要。
具有第 3 层转发流量的第 2 层标头的数据包镜像功能
简而言之,当在或family inet6过滤器中family inet配置操作时l2-mirror,您可以镜像原始第 2 层数据包标头。可以使用 GRE 隧道在本地或远程镜像数据包。
如果在镜像配置中将输出接口指定为 GRE 隧道接口,则数据包在传输之前会封装在 GRE 中。端口镜像实例可以配置多个输出协议家族。
数据包级镜像配置的限制
-
新操作
l2-mirror、 仅支持family inet和family inet6筛选器。 - gr-*/*/* 接口不支持第 2 层镜像。
使用端口镜像实例或全局端口镜像配置筛选器
您可以在(全局端口镜像)或firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name(端口镜像实例或“PM 实例”)下firewall family (inet | inet6) filter filter-name term then port-mirror进行配置l2-mirror。
配置术语表示 l2-mirror 对于与此术语匹配的数据包,将镜像第 2 层数据包。软件会对无效配置执行提交检查,例如在 l2-mirror 全局级别或实例级端口镜像配置中配置了何时配置 family any 了端口镜像输出接口。如果停用 l2-mirror,镜像行为将恢复为第 3 层镜像。
以下两个示例显示了具有端口镜像实例和全局端口镜像的筛选器(示例中的筛选器名称为 f1)的配置。在这两个示例中,流量都通过 GRE 隧道镜像到远程目标。
端口镜像配置(位于 下 forwarding-options)使用 配置, family any但过滤器配置中的匹配条件在 下 family inet完成。使用 family any 启用第 2 层数据包的镜像。
为 FTI 隧道配置镜像
当数据路径遍历灵活隧道接口 (FTI) 隧道时,将使用隧道封装发送输出数据包。您可以设置一个配置,以镜像原始数据包,以及在数据包出口时包含所有封装的数据包。
要镜像原始数据包,请在入口 WAN 接口上配置输入镜像。
要使用所有封装镜像数据包,请在出口 WAN 接口上启用输出镜像。
要根据安装在 FTI 接口上的过滤器启用镜像,请使用两个步骤:
- 您可以使用 fti- 接口上的策略操作标记数据包以进行镜像。策略操作通常用于选择出口重写规则,但在这种情况下,策略操作用于标记具有内部策略属性的相关数据包,而不配置任何特殊的重写规则。
- 您可以让软件拦截与出口 WAN 端特定策略匹配的数据包并启动
l2-mirror操作。数据包报告时包含第 2 层标头信息,包括隧道封装。
以下示例显示了第 3 层端口镜像。要获取第 2 层端口镜像,只需按照本文档前面的示例所示配置 l2-mirror 操作。
过滤器的连接点
| 过滤器连接点 | 接口类型 | 镜像数据包第 2 层报头 |
| 输入 | 除 gr- 和 fti 之外的任何以太网 | 报告传入数据包的第 2 层标头 |
| 输出 | 除 gr- 和 fti 之外的任何以太网 | 报告传入数据包的第 2 层标头 |
| 输入或输出 | gr- 接口 | 不支持 |
| 输入 | FTI- 接口 | 原始数据包的传入第 2 层标头(在 WAN 端口上看到的标头) |
| 输出 | FTI- 接口 | 原始数据包的传入第 2 层标头(在 WAN 端口上看到的标头) |
| 输入 | IRB 接口 | 原始数据包的传入第 2 层标头(在 WAN 端口上看到的标头) |
| 输出 | IRB 接口 | 不支持 |
数据包过滤配置增强建议
请考虑将以下内容作为增强筛选器网络遥测设置的额外做法:
您可以使用输入链和输出链筛选器将用于镜像的筛选器配置与现有筛选器分开,从而帮助您在故障排除时避免意外的配置错误。有关此功能的详细信息,请参阅 示例:使用防火墙过滤器链。