Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

在逻辑接口上配置端口镜像

第 2 层端口镜像防火墙过滤器

本主题介绍以下信息:

第 2 层端口镜像防火墙过滤器概述

在 MX 系列路由器和 EX 系列交换机上,您可以配置防火墙过滤器 术语,以指定将第 2 层端口镜像应用于应用防火墙过滤器的接口上的所有数据包。

您可以将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。

MX 系列路由器和 EX 系列交换机支持在第 2 层环境中对 VPLS(family ethernet-switchingfamily vpls)流量和第 2 层 VPN 流量 family ccc 进行第 2 层端口镜像

在 防火墙过滤器 term中,您可以通过以下任一方式在语句下 then 指定第 2 层端口镜像属性:

  • 隐式引用对端口有效的第 2 层端口镜像属性。

  • 显式引用第 2 层端口镜像的特定命名实例。

注:

配置第 2 层端口镜像防火墙过滤器时,请勿包含基于路由源地址指定匹配条件的可选 from 语句。省略此语句,以便认为所有数据包都匹配,并且采用语句中then指定的所有actions数据包action-modifiers

如果要镜像所有传入数据包,则不得使用 from 语句;/*评论:如果对仅镜像数据包子集感兴趣,则可以使用 From 配置过滤器术语。

注:

如果将集成路由和桥接 (IRB) 与 VLAN(或 VPLS 路由实例)相关联,并在 VLAN(或 VPLS 路由实例)中配置了具有或操作的port-mirrorport-mirror-instance转发表过滤器,则 IRB 数据包将镜像为第 2 层数据包。您可以通过在 VLAN(或 VPLS 路由实例)中配置 no-irb-layer-2-copy 语句来禁用此行为。

有关如何配置第 2 层端口镜像防火墙过滤器的详细说明,请参阅 定义第 2 层端口镜像防火墙过滤器

有关如何将第 2 层端口镜像防火墙过滤器与配置为提供商边缘 (PE) 路由器或 PE 交换机的 MX 路由器和 EX 系列交换机配合使用的详细信息,请参阅 了解 PE 路由器逻辑接口的第 2 层端口镜像。有关常规配置防火墙过滤器(包括在第 3 层环境中)的详细信息,请参阅路由策略、防火墙过滤器和流量监管器用户指南

镜像在逻辑接口上接收或发送的数据包

要镜像 逻辑接口上接收或发送的第 2 层流量,请将端口镜像防火墙过滤器应用于接口的输入或输出。

端口镜像防火墙过滤器也可以应用于聚合以太网逻辑接口。有关详细信息,请参阅 了解 PE 路由器聚合以太网接口的第 2 层端口镜像

注:

如果在逻辑接口的输入和输出端同时应用了端口镜像防火墙过滤器,则会镜像每个数据包的两个副本。为防止路由器或交换机将重复数据包转发至同一目标,您可以在第 2 层数据包地址族的全局实例中为第 2 层端口镜像启用“镜像一次”选项。

转发或泛洪到 VLAN 的数据包的镜像

要镜像转发到 VLAN 或泛洪到 VLAN 的第 2 层流量,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VLAN 转发表或泛洪表接收的、与过滤条件匹配的任何数据包都将被镜像。

有关 VLAN 的详细信息,请参阅 了解第 2 层桥接域 。有关 VLAN 中的泛洪行为的信息,请参阅 了解桥接域的第 2 层学习和转发

注:

在一个 VLAN 下的任何接口上配置端口镜像时,镜像数据包可以移动到位于不同 VLAN 上的外部分析器。

转发或泛洪到 VPLS 路由实例的数据包的镜像

要镜像转发到 VPLS 路由实例或泛洪到 VPLS 路由实例的第 2 层流量,请将端口镜像防火墙过滤器应用于转发表或泛洪表的输入。为 VPLS 路由实例转发或泛洪表接收的、与筛选条件匹配的任何数据包都将被镜像。

有关 VPLS 路由实例的更多信息,请参阅 配置 VPLS 路由实例 和为 桥接域和 VPLS 路由实例配置 VLAN 标识符。有关 VPLS 中的泛洪行为的信息,请参阅 适用于路由设备的 Junos OS VPN 库

定义第 2 层端口镜像防火墙过滤器

对于虚拟专用 LAN 服务 (VPLS) 流量(family ethernet-switchingfamily vpls),以及仅适用于 MX 系列路由器和 EX 系列交换机上的第 2 层 VPN ccc,您可以定义一个防火墙过滤器,将第 2 层端口镜像指定为数据包与防火墙过滤器术语中配置的条件匹配时要执行的操作。

您可以通过以下方式使用第 2 层端口镜像防火墙过滤器:

  • 镜像在逻辑接口上接收或发送的数据包。

  • 镜像转发或泛洪到 VLAN 的数据包。

  • 镜像转发或泛洪到 VPLS 路由实例的数据包。

  • 将仅将隧道接口输入数据包镜像到多个目标。

有关可在 MX 系列路由器和 EX 系列交换机上配置的三种第 2 层端口镜像类型的摘要,请参阅 第 2 层端口镜像类型的应用

要使用第 2 层端口镜像操作定义防火墙过滤器,请执行以下操作:

  1. 为属于 VLAN、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的第 2 层数据包启用防火墙过滤器配置:

    选项的值 family 可以是 ethernet-switchingcccvpls

  2. 启用防火墙过滤器 pm-filter-name的配置:
  3. 启用防火墙过滤器术语 pm-filter-term-name的配置:
  4. (可选)仅当您要镜像采样数据包的子集 时,才 根据路由源地址指定防火墙过滤器匹配条件。
    注:

    如果希望将所有采样数据包视为匹配(并受语句中 then 指定的操作的约束),则完全 from 省略该语句。

  5. 启用 和 actionaction-modifier 的配置以应用于匹配的数据包:
  6. 指定要对匹配数据包执行的操作:

    的建议 action 值为 accept。如果未指定操作,或者完全省 then 略语句,则接受与语句中 from 条件匹配的所有数据包。

  7. 将第 2 层端口镜像或下一跃点组指定为 action-modifier

    • 要引用当前对与底层物理接口关联的数据包转发引擎或 PIC 有效的第 2 层端口镜像属性,请使用以下 port-mirror 语句:

    • 若要引用在特定命名实例中配置的第 2 层端口镜像属性,请使用端口镜像实例pm-instance-name 操作修饰符:

      如果底层物理接口未绑定到第 2 层端口镜像的命名实例,而是隐式绑定到第 2 层端口镜像的全局实例,则逻辑接口上的流量将根据操作修饰符引用 port-mirror-instance 的命名实例中指定的属性进行镜像。

    • 要引用指定下一跃点地址的下一跃点组(用于向分析器发送数据包的其他副本),请使用 next-hop-group pm-next-hop-group-name 操作修饰符:

      有关下一跃点组的配置信息,请参阅 为第 2 层端口镜像定义下一跃点组。如果为第 2 层端口镜像指定下一跃点组,则防火墙过滤器术语仅适用于隧道接口输入。

  8. 验证第 2 层端口镜像防火墙过滤器的最低配置:

    在防火墙过滤器术语 then 语句中,可以是 action-modifierport-mirrorport-mirror-instance next-hop-group pm-next-hop-group-name

为端口镜像配置与协议无关的防火墙过滤器

在带有 MPC 的 MX 系列路由器上,您可以配置防火墙过滤器,以便在全局级别和实例级别镜像第 2 层和第 3 层数据包。在入口或出口处配置端口镜像时,将复制进入或退出接口的数据包,并将副本发送到本地接口进行本地监控。

注:

从 Junos OS 13.3R6 版开始,只有 MPC 接口支持 family any 执行端口镜像。DPC 接口不支持 family any

通常,防火墙过滤器的配置使其根据接口上配置的家族镜像第 2 层或第 3 层数据包。但是,在使用集成路由和桥接 (IRB) 接口的情况下,不会完全镜像第 2 层数据包,因为 IRB 接口配置为仅镜像第 3 层数据包。在此类接口上,您可以在该系列 any 中配置防火墙过滤器和端口镜像参数,以确保数据包完全镜像,无论它是第 2 层还是第 3 层数据包。

注:

  • 对于实例上的端口镜像,您可以为同一实例配置一个或多个族,例如 inetinet6cccvpls

  • 在第 2 层端口镜像的情况下,VLAN 标记、MPLS 报头将被保留,并且可以在出口处的镜像副本中看到。

  • 对于 VLAN 规范化,将在入口处看到镜像数据包规范化之前的信息。同样,在出口处,可以看到镜像数据包的规范化后的信息。

在开始配置端口镜像之前,必须配置有效的物理接口。

要为端口镜像配置与协议无关的防火墙过滤器,请执行以下操作:

  1. 配置全局防火墙过滤器以镜像出口或入口流量。
  2. 配置防火墙过滤器以镜像实例的流量。
  3. 配置出口和入口流量的镜像参数。
  4. 配置实例镜像参数。在此配置中,您可以将第 2 层数据包的输出或目标指定为有效的下一跃点组或第 2 层接口。
  5. 在传输数据包的入口或出口接口上配置防火墙过滤器。

示例:使用防火墙过滤器镜像员工 Web 流量

要求

此示例使用以下硬件和软件组件:

  • 一台交换机

  • Junos 14.1X53-D20

概述

在此示例中, xe-0/0/0xe-0/0/6 用作员工计算机的连接。接口 xe-0/0/47 连接到运行分析器应用程序的设备。

通常希望仅镜像某些流量,而不是镜像所有流量。这是对带宽和硬件的更有效使用,由于这些资产的限制,这可能是必要的。此示例仅镜像从员工计算机发送到 Web 的流量。

拓扑学

图 1 显示了此示例的网络拓扑。

图 1: 本地端口镜像的网络拓扑示例本地端口镜像的网络拓扑示例

配置

若要指定将镜像的唯一流量是员工发送到 Web 的流量,请执行本节中介绍的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。

程序

CLI 快速配置

要快速配置来自员工计算机的发往 Web 的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置来自连接到员工计算机的两个端口的员工到 Web 流量的本地端口镜像,请执行以下操作:

  1. 将端口镜像实例(包括输出接口和运行分析器应用程序的设备的 IP 地址)配置为下一跃点。(仅配置输出 — 输入来自过滤器。还必须指定镜像用于 IPv4 流量 (family inet)。

  2. 配置一个名为watch-employee的 IPv4 (family inet) 防火墙过滤器,该过滤器包含一个术语,用于匹配发送到 Web 的流量并将其发送到端口镜像实例。传入和传出公司子网(目标 192.0.nn.nn/24或源地址)的流量不需要复制,因此请先创建另一个术语,以便在流量到达将 Web 流量发送到实例的术语之前接受该流量:

  3. 配置连接到员工计算机和分析器设备的 IPv4 接口的地址:

  4. 将防火墙过滤器作为入口过滤器应用于相应的接口:

结果

检查配置结果:

验证

验证是否已正确创建分析器

目的

验证是否已使用适当的输入接口和输出接口在交换机上创建分析器。

操作

可以使用命令验证 show forwarding-options port-mirroring 端口镜像分析器是否已按预期配置。

意义

此输出显示端口镜像实例的比率为 1(镜像每个数据包,默认设置)和被镜像的原始数据包的最大大小(0 表示整个数据包)。如果输出接口的状态为关闭或未配置输出接口,则状态值将为 down ,并且不会对实例进行编程以进行镜像。

PE 路由器或 PE 交换机逻辑接口的第 2 层端口镜像

对于在服务提供商网络面向客户的边缘上配置为提供商边缘 (PE) 设备的路由器或交换机,您可以在以下入口点和出口点应用第 2 层端口镜像 防火墙过滤器 ,以镜像路由器或交换机与客户边缘 (CE) 设备(通常也是路由器和以太网交换机)之间的流量。

表 1 介绍了将第 2 层端口镜像防火墙过滤器应用于配置为 PE 设备的路由器或交换机的方法。

表 1: 第 2 层端口镜像防火墙过滤器在 PE 设备上的应用

应用点

镜像的范围

笔记

配置详细信息

面向客户的入口逻辑接口

源自服务提供商客户网络的数据包,首先发送到 CE 设备,然后在 PE 设备旁边发送。

您还可以为 VPLS 路由实例配置 CE 设备和 PE 设备之间的聚合以太网接口。流量在聚合接口中的所有链路之间进行负载平衡。

聚合以太网接口上接收的流量根据对目标 MAC (DMAC) 地址的查找,通过不同的接口进行转发:

  • 发往本地站点的数据包将从负载平衡的子接口发出。

  • 发往远程站点的数据包通过标签交换路径 (LSP) 进行封装和转发。

请参阅 将第 2 层端口镜像应用于逻辑接口

有关 VPLS 路由实例的更多信息,请参阅 配置 VPLS 路由实例 和为 桥接域和 VPLS 路由实例配置 VLAN 标识符

面向客户的出口逻辑接口

由 PE 设备转发到另一台 PE 设备的单播数据包。

NOTE:如果将端口镜像过滤器应用于 逻辑接口的输出,则只会镜像单播数据包。要镜像组播、未知单播和广播数据包,请将过滤器应用于 VLAN 或 VPLS 路由实例泛洪表的输入。

请参阅 将第 2 层端口镜像应用于逻辑接口

VLAN 转发表或泛洪表的输入

转发从客户边缘设备发送到 VLAN 的流量或泛洪流量。

转发和泛洪流量通常由广播数据包、组播数据包、目标 MAC 地址未知的单播数据包或 DMAC 路由表中具有 MAC 条目的数据包组成。

请参阅 将第 2 层端口镜像应用于转发或泛洪到网桥域的流量。有关 VPLS 中的泛洪行为的信息,请参阅 适用于路由设备的 Junos OS VPN 库

VPLS 路由实例转发表或泛洪表的输入

转发从 CE 设备发送到 VPLS 路由实例的流量或泛洪流量。

请参阅 将第 2 层端口镜像应用于转发或泛洪到 VPLS 路由实例的流量。有关 VPLS 中的泛洪行为的信息,请参阅 适用于路由设备的 Junos OS VPN 库

PE 路由器或 PE 交换机聚合以太网接口的第 2 层端口镜像

聚合以太网接口是一种虚拟聚合链路,由一组速度相同且在全双工链路连接模式下运行的物理接口组成。您可以为 VPLS 路由实例配置 CE 设备和 PE 设备之间的聚合以太网接口。流量在聚合接口中的所有链路之间进行负载平衡。如果聚合接口中的一个或多个链路发生故障,流量将切换到其余链路。

您可以将第 2 层端口镜像 防火墙过滤器 应用于聚合以太网接口,以便在父接口上配置 端口镜像 。但是,如果任何子接口绑定到不同的第 2 层端口镜像实例,则在子接口接收的数据包将镜像到其各自端口镜像实例指定的目标。因此,多个子接口可以将数据包镜像到多个目标。

例如,假设父聚合以太网接口实例 ae0 有两个子接口:

  • xe-2/0/0

  • xe-3/1/2

假设 上的 ae0 这些子接口绑定到两个不同的第 2 层端口镜像实例:

  • pm_instance_A— 第 2 层端口镜像的命名实例,绑定到子接口 xe-2/0/0

  • pm_instance_B— 第 2 层端口镜像的命名实例,绑定到子接口 xe-3/1/2

现在假设您将第 2 层端口镜像防火墙过滤器应用于发送ae0.0的第 2 层流量(聚合以太网接口实例0上的逻辑单元0)。这将启用 上的ae0.0端口镜像,这将对指定了第 2 层端口镜像属性的子接口上接收的流量的处理产生以下影响:

  • xe-2/0/0 接收到的数据包将镜像到端口镜像实例 pm_instance_A中配置的输出接口。

  • xe-3/1/2.0 接收到的数据包将镜像到端口镜像实例 pm_instance_B中配置的输出接口。

由于和可以指定不同的数据包选择属性或镜像目标属性,因此pm_instance_A在和pm_instance_Bxe-3/1/2.0xe-2/0/0接收的数据包可以将不同的数据包镜像到不同的目的地。

将第 2 层端口镜像应用于逻辑接口

您可以将第 2 层端口镜像防火墙过滤器应用于逻辑接口(包括聚合以太网逻辑接口)的输入或输出。仅镜像过滤器操作指定的地址类型系列的数据包。

在开始之前,请完成以下任务:

  • 定义要应用于逻辑接口输入或逻辑接口输出的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个第 2 层端口镜像防火墙过滤器:一个过滤器应用于逻辑接口入口流量,另一个过滤器应用于逻辑接口出口流量。

要将第 2 层端口镜像防火墙过滤器应用于输入或输出逻辑接口,请执行以下操作:

  1. 为逻辑接口配置底层物理接口。

    1. 启用底层物理接口的配置:

      注:

      端口镜像防火墙过滤器也可以应用于聚合以太网逻辑接口。


    2. 对于为 VPLS 配置的千兆以太网接口和聚合以太网接口,请在接口上启用 802.1Q VLAN 标记帧的接收和传输:


    3. 对于启用了 IEEE 802.1Q VLAN 标记和桥接且必须接受携带 TPID 0x8100或用户定义 TPID 的数据包的以太网接口,请设置逻辑链路层封装类型:

  2. 配置要应用第 2 层端口镜像防火墙过滤器的逻辑接口。

    1. 指定逻辑单元号:


    2. 对于千兆以太网或聚合以太网接口,请将 802.1Q VLAN 标记 ID 绑定到逻辑接口:

  3. 启用输入或输出过滤器的规范,以应用于属于桥接域、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的第 2 层数据包。

    • 如果要在接口上接收数据包时评估过滤器:

    • 如果要在接口上发送数据包时评估过滤器:

    选项的值 family 可以是 ethernet-switchingcccvpls

    注:

    如果在逻辑接口的输入和输出端同时应用了端口镜像防火墙过滤器,则会镜像每个数据包的两个副本。要防止路由器或交换机将重复的数据包转发到同一目标,请在层次结构级别包含可选 mirror-once 语句 [edit forwarding-options]

  4. 验证将命名的第 2 层端口镜像防火墙过滤器应用于逻辑接口的最低配置:

通过聚合以太网使用多路复用逻辑接口将第 2 层端口镜像应用于家族 ccc 流量

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

本主题提供的指南和步骤可帮助您设置多路复用逻辑接口,从而节省 AE 捆绑包中成员物理接口的使用时间。

指引

我们将指出特定于这种通过聚合以太网接口配置多路复用逻辑接口的用途的配置元素。

  • 将家族 ccc 配置为

    • 端口镜像配置 edit forwarding-options port mirroring family

    • 防火墙过滤器配置位于 edit firewall family

    • 多路复用接口配置位于 edit interfaces demux0 unit 0 family

  • 确保防火墙过滤器和端口镜像的系列配置 (1) 相同或 (2) 在同一层次结构中。

  • 您可以通过接口 ae 为全局端口镜像和端口镜像实例配置多路复用接口。

  • 对于防火墙过滤器,除了用作 ccc 系列之外:

    • 用作 port-mirror 筛选器的操作。

    • 在多路复用接口上应用过滤器。

  • ae 使用 underlying-interface 语句将接口配置为多路复用逻辑接口的底层接口,如下所示:

配置示例

下面是一个稀疏配置 — 我们只想向您展示上述准则在示例配置中将如何发挥作用的图片。

将第 2 层端口镜像应用于转发或泛洪到网桥域的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到桥接域的流量。仅镜像指定系列类型并转发或泛洪到该桥接域的数据包。

在开始之前,请完成以下任务:

  • 定义要应用于转发到桥接域或泛洪到桥接域的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于网桥域转发表入口流量,另一个过滤器应用于网桥域泛洪表入口流量。

要将第 2 层端口镜像防火墙过滤器应用于网桥域的转发表或泛洪表,请执行以下操作:

  1. 启用要为转发或泛洪的流量应用第 2 层端口镜像防火墙过滤器的桥接域 bridge-domain-name 的配置:

    • 对于网桥域:

    • 对于路由实例下的桥接域:

      有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 配置桥接域:

    有关详细配置信息,请参阅 配置桥接域为桥接域和 VPLS 路由实例配置 VLAN 标识符

  3. 在网桥域上启用流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于网桥域转发表或泛洪表。

    • 要镜像转发到桥接域的数据包,请执行以下操作:

    • 要将泛洪的数据包镜像到桥接域:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于网桥域的转发表或泛洪表的最低配置。

    1. 导航到配置桥接域的层次结构级别:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示网桥域配置:

将第 2 层端口镜像应用于转发或泛洪到 VPLS 路由实例的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VPLS 路由实例的流量。仅镜像指定系列类型并转发或泛洪到该 VPLS 路由实例的数据包。

在开始之前,请完成以下任务:

  • 定义要应用于转发到 VPLS 路由实例或泛洪到 VLAN 的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VPLS 路由实例转发表入口流量,另一个过滤器应用于 VPLS 路由实例泛洪表入口流量。

要将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表,请执行以下操作:

  1. 启用要对其应用第 2 层端口镜像防火墙过滤器以用于转发或泛洪流量的 VPLS 路由实例的配置:

    有关更详细的配置信息,请参阅 配置 VPLS 路由实例

  2. 在 VPLS 路由实例上启用流量转发配置:
  3. 将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例转发表或泛洪表。

    • 要镜像转发到 VPLS 路由实例的数据包,请执行以下操作:

    • 要将泛洪的数据包镜像到 VPLS 路由实例,请执行以下操作:

  4. 验证将第 2 层端口镜像防火墙过滤器应用于 VPLS 路由实例的转发表或泛洪表的最低配置:

将第 2 层端口镜像应用于转发或泛洪到 VLAN 的流量

您可以将第 2 层端口镜像防火墙过滤器应用于转发或泛洪到 VLAN 的流量。仅镜像指定系列类型并转发或泛洪到该 VLAN 的数据包。

在开始之前,请完成以下任务:

  • 定义要应用于转发到 VLAN 或泛洪到 VLAN 的流量的第 2 层端口镜像防火墙过滤器。有关详细信息,请参阅 定义第 2 层端口镜像防火墙过滤器

    注:

    此配置任务显示两个Layer_2端口镜像防火墙过滤器:一个过滤器应用于 VLAN 转发表入口流量,另一个过滤器应用于 VLAN 泛洪表入口流量。

要将第 2 层端口镜像防火墙过滤器应用于 VLAN 的转发表或泛洪表,请执行以下操作:

  1. 启用要对其应用第 2 层端口镜像防火墙过滤器以用于转发或泛洪流量的 VLAN bridge-domain-name 的配置:
  2. 配置 VLAN:

    有关更多详细信息,请参阅 配置桥接域为桥接域和 VPLS 路由实例配置 VLAN 标识符

  3. 在 VLAN 上启用流量转发配置:
  4. 将第 2 层端口镜像防火墙过滤器应用于 VLAN 转发表或泛洪表。

    • 要镜像转发到 VLAN 的数据包,请执行以下操作:

    • 要将泛洪的数据包镜像到 VLAN:

  5. 验证将第 2 层端口镜像防火墙过滤器应用于 VLAN 的转发表或泛洪表的最低配置。

    1. 导航到配置 VLAN 的层次结构级别:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 显示 VLAN 配置:

示例:逻辑接口上的第 2 层端口镜像

以下步骤描述了一个示例,其中使用全局端口镜像实例和端口镜像防火墙过滤器为逻辑接口的输入配置第 2 层端口镜像。

  1. 配置 VLAN example-bd-with-analyzer(包含外部数据包分析器)和 VLAN example-bd-with-traffic(包含要镜像的第 2 层流量的源和目标):

    假定逻辑接口 ge-2/0/0.0 与要接收端口镜像数据包的外部流量分析器相关联。假设逻辑接口 ge-2/0/6.0ge-3/0/1.2 将分别是流量输入和输出端口。

  2. 为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN example-bd-with-analyzer上的逻辑接口ge-2/0/0.0)。请务必启用允许将筛选器应用于此端口镜像目标的选项:

    input层次结构级别的语句[edit forwarding-options port-mirroring]指定每 10 个数据包开始采样一次,并且要镜像所选的前 5 个数据包中的每一个。

    output层次结构级别的语句[edit forwarding-options port-mirroring family ethernet-switching]指定桥接环境中第 2 层数据包的输出镜像接口:

    • 与外部数据包分析器关联的逻辑接口 ge-2/0/0.0配置为端口镜像目标。

    • 可选 no-filter-check 语句允许在此目标接口上配置过滤器。

  3. 配置第 2 层端口镜像防火墙过滤器 example-bridge-pm-filter

    将此防火墙过滤器应用于桥接环境中流量的逻辑接口的输入或输出时,将根据为第 2 层端口镜像全局实例配置的输入数据包采样属性和镜像目标属性执行第 2 层端口镜像。由于此防火墙过滤器配置了单个默认过滤器操作accept,因此属性(rate = 10run-length = 5)选择input的所有数据包都与此过滤器匹配。

  4. 配置逻辑接口:

    在 VLAN example-bd-with-traffic 上的逻辑接口ge-2/0/6.0接收的数据包由端口镜像防火墙过滤器example-bridge-pm-filter进行评估。防火墙过滤器根据防火墙过滤器本身中配置的过滤器操作,以及在全局端口镜像实例中配置的输入数据包采样属性和镜像目标属性,对输入流量进行操作:

    • 在 接收 ge-2/0/6.0 的所有数据包都将转发到逻辑接口 ge-3/0/1.2上(假定的)正常目的地。

    • 对于每 10 个输入数据包,该选择中的前 5 个数据包的副本将被转发到位于另一个 VLAN example-bd-with-analyzer中的逻辑接口ge-0/0/0.0的外部分析器 。

    如果将端口镜像防火墙过滤器 example-bridge-pm-filter 配置为执行 discard 操作而不是 accept 该操作,则所有原始数据包都将被丢弃,而使用全局端口镜像 input 属性选择的数据包副本将发送到外部分析器。

示例:第 2 层 VPN 的第 2 层端口镜像

以下示例并非完整配置,但显示了使用 在 family cccL2VPN 上配置端口镜像所需的所有步骤。

  1. 配置 VLAN port-mirror-bd,其中包含外部数据包分析器:

  2. 配置第 2 层 VPN CCC 以连接逻辑接口 ge-2/0/1.0 和逻辑接口 ge-2/0/1.1

  3. 为全局实例配置第 2 层端口镜像,端口镜像目标是与外部分析器关联的 VLAN 接口(VLAN example-bd-with-analyzer上的逻辑接口ge-2/2/9.0):

  4. 定义family ccc第 2 层端口镜像防火墙过滤器pm_filter_ccc

  5. 将端口镜像实例应用到机箱:

  6. ge-2/2/9配置 VLAN 接口,并使用防火墙过滤器配置pm_filter_ccc端口镜像接口ge-2/0/1

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
13.3R6
从 Junos OS 13.3R6 版开始,只有 MPC 接口支持 family any 执行端口镜像。