예: 패밀리 임의 및 방화벽 필터로 포트 미러링 구성
개요
• 가족 any (가족 any, ccc, ethernet-switching, 또는 mpls)
패밀리 any 구성 옵션을 사용하여 4개의 패밀리를 모두 처리할 수 있습니다.
로컬 포트 미러링 또는 [edit forwarding-options port-mirroring instance instance-name] 원격 포트 미러링에 사용 [edit forwarding-options port-mirroring] 하며, 두 구성 모두 방화벽 필터가 필요합니다.
다음 텍스트에는 이 기능을 구성할 때 알아야 할 주의 사항 및 제한 사항이 나열되어 있습니다.
주의 사항
-
포트 미러링 출력 구성을 변경해야 하는 경우 먼저 기존 출력 구성을 삭제한 다음 새 출력 구성을 구성합니다.
-
원격 포트 미러 인스턴스 수가 15개를 초과하면 커밋 오류가 표시되지 않습니다.
-
패킷 전달 엔진 오류 메시지는 포트 미러 인스턴스 수가 15개를 초과할 경우 생성됩니다. 그러나 기존 인스턴스 중 하나를 삭제하면 16번째 인스턴스가 자동으로 프로그래밍되지 않습니다. 먼저 16번째 인스턴스를 삭제한 다음 다시 추가해야 합니다.
-
하나의 샘플링된 패킷은 하나의 NMS 디바이스에만 전송될 수 있습니다.
-
각 패밀리는 하나의 인스턴스를 사용하므로
maximum number of instances = number of instances + number of families
-
FTI 인터페이스는 루프백 모드에서 작동해야 합니다.
주:FTI 인터페이스는 원격 포트 미러링 구성에 포함됩니다.
-
최대 패킷 길이를 128바이트의 배수로 구성할 수 있습니다. 내보낸 패킷은 구성된 값보다 22바이트 작습니다.
-
동일한 인스턴스에 대해 여러 인터페이스를 구성하지 마십시오. 이는 지원되지 않으며, 동일한 인스턴스에 대해 여러 인터페이스를 커밋하려고 하면 커밋 오류가 발생하지 않습니다.
-
미러 데몬(mirrord) 및 GRES의 재시작은 모두 일시적으로 중단됩니다.
-
송신 방향의 터널 종료 패킷은 미러링되지 않습니다.
-
결합된 작업
port-mirror및discard송신 방향은 지원되지 않습니다. -
FTI 인터페이스에 대한 송신 방향의 점보 트래픽은 지원되지 않습니다.
제한
-
엔터프라이즈 프로바이더 스타일의 L2 구성(
ethernet-switching)은 제품군any필터에서 지원되지 않습니다. -
하나의 샘플링된 패킷은 하나의 원격 포트 미러 인스턴스에만 전송될 수 있습니다. 동일한 샘플링 패킷을 여러 NMS 디바이스로 전송할 수 없습니다.
-
포트 미러링된 패킷과 관련된 통계는 방화벽 필터 또는 FTI를 통해 확인해야 합니다.
-
송신 시 MPLS 트래픽은 패밀리
any필터에서 지원되지 않습니다. -
통합 이더넷(ae) 인터페이스는 제품군
any필터의 발신 인터페이스로 지원되지 않습니다.
요구 사항
-
PTX10008 또는 PTX10016
-
Junos OS Evolved 릴리스 22.2R1 이상
토폴로지
다음 예는 family any 및 방화벽 필터를 사용한 로컬 포트 미러링 구성을 보여줍니다.
구성
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ae10 vlan-tagging set interfaces ae10 encapsulation flexible-ethernet-services set interfaces ae10 aggregated-ether-options lacp active set interfaces ae10 aggregated-ether-options lacp periodic fast set interfaces ae10 unit 1038 encapsulation vlan-bridge set interfaces ae10 unit 1038 vlan-id 1038 set interfaces ae10 unit 1038 filter input mirror_to_analytics set interfaces ae10 unit 1046 encapsulation vlan-bridge set interfaces ae10 unit 1046 vlan-id 1046 set interfaces ae10 unit 1046 filter input mirror_to_analytics set interfaces et-0/0/0:3 encapsulation ethernet-ccc set interfaces et-0/0/0:3 unit 0 family ccc set firewall family any filter mirror_to_analytics term port-mirror from learn-vlan-id 1024-1055 set firewall family any filter mirror_to_analytics term port-mirror then count c1 set firewall family any filter mirror_to_analytics term port-mirror then port-mirror set firewall family any filter mirror_to_analytics term all-else then accept set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family any output interface et-0/0/0:3.0
결과
구성 결과를 확인합니다:
firewall {
family any {
filter mirror_to_analytics {
term port-mirror {
from {
learn-vlan-id 1024-1055;
}
then count c1;
then port-mirror;
}
term all-else {
then accept;
}
}
}
}
interfaces {
ae10 {
encapsulation flexible-ethernet-services;
aggregated-ether-options {
lacp {
active;
periodic fast;
}
}
unit 1038 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1038;
unit 1046 {
encapsulation vlan-bridge;
filter {
input mirror_to_analytics;
}
vlan-id 1046;
}
} vlan-tagging;
}
et-0/0/0:3 {
encapsulation ethernet ccc;
unit 0 {
family ccc;
}
forwarding-options {
port-mirroring {
input {
rate 1; (We recommend 1:1000 so you don't mirror all the traffic.)
}
family any {
output {
interface et-0/0/0:3.0;
}
}
}
}