close

keyboard_arrow_left

Table of Contents Expand all

play_arrow 개요
play_arrow 운영, 관리 및 관리 기능
- play_arrow 라우터에 대한 이더넷 OAM 및 연결 장애 관리
- play_arrow 라우터에 대한 링크 장애 관리
- play_arrow 스위치용 이더넷 OAM 링크 장애 관리
- play_arrow 스위치용 이더넷 OAM 연결 장애 관리
- play_arrow 이더넷 프레임 지연
- play_arrow 라우터용 이더넷 서비스 OAM(ITU-TY.1731)
play_arrow SNMP을 사용한 네트워크 모니터링
play_arrow SNMP 알람 및 이벤트를 통한 원격 네트워크 모니터링(RMON)
play_arrow 계정 옵션
- 계정 옵션 개요
- 계정 옵션, 소스 클래스 사용 및 대상 클래스 사용 옵션 구성
play_arrow 모니터링 옵션
- play_arrow 인터페이스 경보
  - 알람 개요
  - 예: 인터페이스 알람 구성
- play_arrow IP 모니터링
- play_arrow sFlow 모니터링 기술
- play_arrow 라우터 및 스위치에 대한 적응형 샘플링
  - 적응형 샘플링 개요
- play_arrow Packet Flow Accelerator 진단 소프트웨어
play_arrow 일반적인 보안 기능 모니터링
play_arrow 성능 관리
- 네트워크 분석
- 용량 계획을 위한 하드웨어 리소스 임계값 모니터링 구성
play_arrow 포트 미러링
- play_arrow 포트 미러링 및 분석기
play_arrow 시스템 로그 메시지
play_arrow 네트워크 관리 및 문제 해결
play_arrow 구성 명령문 및 작동 명령
- Junos CLI 참조 개요

list Table of Contents

이 페이지에서

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더를 사용한 패킷 미러링 이해
포트 미러링 인스턴스 또는 글로벌 포트 미러링을 사용하여 필터 구성
FTI 터널에 대한 미러링 구성
필터의 부착 지점
패킷 필터링 구성 향상을 위한 제안

keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

Go to English page

면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

레이어 3 포워딩된 트래픽에 대해 레이어 2 헤더로 패킷 미러링 구성

date_range 19-Jan-25

arrow_backward

arrow_forward

선택적 패킷 미러링 필터는 매우 효과적인 문제 해결 메커니즘으로 사용될 수 있으며 성능 모니터링 목적으로도 사용될 수 있습니다.

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더를 사용한 패킷 미러링 이해

이 문서에서는 다양한 IPv4 또는 IPv6 필터 일치 조건을 사용하여 트래픽을 선택하고 원래 레이어 2 헤더 정보로 전체 패킷을 미러링하는 기능에 대해 중점적으로 설명합니다.

레이어 2 헤더 정보는 에지 라우터 구축에서 특정 고객을 식별하거나 공용 피어링 사례에서 특정 인터넷 피어를 식별하는 데 필수적일 수 있습니다.

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더가 있는 패킷 미러링의 기능
패킷 수준 미러링 구성에 대한 제한 사항

레이어 3 포워딩된 트래픽에 대한 레이어 2 헤더가 있는 패킷 미러링의 기능

간단히 말해, 또는 family inet6 필터에서 작업이 구성될 때 l2-mirror 원래의 레이어 2 패킷 헤더를 family inet 미러링할 수 있습니다. GRE 터널을 사용하여 패킷을 로컬 또는 원격으로 미러링할 수 있습니다.

미러링 구성에서 출력 인터페이스를 GRE 터널 인터페이스로 지정하는 경우, 패킷은 전송 전에 GRE에 캡슐화됩니다. 포트 미러링 인스턴스는 여러 출력 프로토콜 제품군으로 구성할 수 있습니다.

패킷 수준 미러링 구성에 대한 제한 사항

새 작업 l2-mirror은(는) 및 family inet6필터에 대해서만 family inet 지원됩니다.
레이어 2 미러링은 gr-*/*/* 인터페이스에서 지원되지 않습니다.

포트 미러링 인스턴스 또는 글로벌 포트 미러링을 사용하여 필터 구성

(글로벌 포트 미러링) 또는 firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (포트 미러링 인스턴스 또는 "PM 인스턴스") 중 하나 firewall family (inet | inet6) filter filter-name term then port-mirror 에서 구성합니다l2-mirror.

용어에 대해 구성되었다는 l2-mirror 것은 이 용어와 일치하는 패킷에 대해 레이어 2 패킷이 미러링됨을 나타냅니다. 소프트웨어는 글로벌 수준 또는 인스턴스 수준 포트 미러링 구성에서 가 구성되었지만 포트 미러링 출력 인터페이스가 구성되지 않은 경우 l2-mirror 와 같이 잘못된 구성에 대한 family any 커밋 검사를 수행합니다. 비활성화 l2-mirror하면 미러링 동작이 레이어 3 미러링으로 되돌아갑니다.

다음 두 가지 예는 포트 미러링 인스턴스와 글로벌 포트 미러링을 사용하는 필터(예제에서 필터 이름은 f1)의 구성을 보여줍니다. 두 가지 예에서 트래픽은 GRE 터널을 통해 원격 대상으로 미러링됩니다.

주:

아래에 forwarding-options있는 포트 미러링 구성은 로 구성 family any되지만, 필터 구성의 일치 조건은 에서 family inet수행됩니다. 을(를) 사용하면 family any 레이어 2 패킷의 미러링이 활성화됩니다.

포트 미러링 인스턴스로 필터를 구성하려면 다음을 수행합니다.

주:

gr- 인터페이스를 미러 대상으로 지정할 수 있습니다. gr- 인터페이스 구성에 대한 자세한 내용은 ACX 시리즈에서 일반 라우팅 캡슐화 터널링 구성을 참조하십시오(이 문서는 ACX 시리즈 라우터를 구체적으로 언급하며, 동일한 정보가 MX10003 포함한 다양한 다른 라우터에도 적용됩니다.)

content_copy zoom_out_map
forwarding-options {
  port-mirroring {
    instance {
      mirror-instance-1 {
        input {
          rate 2;
        }
        family any {
          output {
            interface gr-0/0/0.0;
          }
        }
      }
    }
  }
}
firewall {
  family inet {
    filter f1 {
      term tcp-flags {
        from {
          protocol tcp;
          tcp-flags "(syn & fin & rst)";
        }
        then {
          port-mirror-instance mirror-instance-1;
          l2-mirror;
        }
      }
    }
  }
}
interfaces {
    gr-0/0/0 {
        unit 0 {
            tunnel {
                source 10.1.1.2/32;
                destination 10.1.1.1/32;
            }
            family bridge {
                interface-mode access;
                vlan-id 100;
            }
        }
    }
}
routing-instances {
    i1 {
        instance-type virtual-switch;
        interface gr-0/0/0.0;
        bridge-domains {
            bd100 {
                vlan-id 100;
            }
        }
    }
}

글로벌 포트 미러링으로 필터를 구성하려면 다음을 수행합니다.

content_copy zoom_out_map
forwarding-options {
  port-mirroring {
    input {
      rate 2;
    } 
    family any {
      output {
        interface gr-0/0/0.0;
      }
    }
  }
}
firewall {
  family inet {
    filter f1 {
      term tcp-flags {
        from {
          protocol tcp;
          tcp-flags "(syn & fin & rst)";
        }
        then {
          port-mirror;
          l2-mirror;
        }
      }
    }
  }
}
interfaces {
    gr-0/0/0 {
        unit 0 {
            tunnel {
                source 10.1.1.2/32;
                destination 10.1.1.1/32;
            }
            family bridge {
                interface-mode access;
                vlan-id 100;
            }
        }
    }
}
routing-instances {
    i1 {
        instance-type virtual-switch;
        interface gr-0/0/0.0;
        bridge-domains {
            bd100 {
                vlan-id 100;
            }
        }
    }
}

FTI 터널에 대한 미러링 구성

데이터 경로가 유연한 터널 인터페이스(FTI) 터널을 통과할 때 출력 패킷은 터널 캡슐화와 함께 전송됩니다. 원래 패킷뿐만 아니라 패킷이 송신될 때 모든 캡슐화가 있는 패킷을 미러링하는 구성을 설정할 수 있습니다.

원래 패킷을 미러링하려면 수신 WAN 인터페이스에서 입력 미러링을 구성합니다.

모든 캡슐화로 패킷을 미러링하려면 송신 WAN 인터페이스에서 출력 미러링을 활성화합니다.

FTI 인터페이스에 설치된 필터를 기반으로 미러링을 활성화하려면 2단계 프로세스를 사용합니다.

fti- 인터페이스에서 정책 작업을 사용하여 미러링을 위해 패킷을 표시합니다. 정책 작업은 일반적으로 송신 다시 쓰기 규칙을 선택하는 데 사용되지만, 이 경우 정책 작업은 특별한 다시 쓰기 규칙을 구성하지 않고 내부 정책 속성으로 관심 있는 패킷을 표시하는 데 사용됩니다.
소프트웨어는 송신 WAN 측의 특정 정책과 일치하는 패킷을 가로채 작업을 시작합니다 l2-mirror . 패킷은 터널 캡슐화를 포함한 레이어 2 헤더 정보와 함께 보고됩니다.

주:

다음 예는 레이어 3 포트 미러링을 보여줍니다. 레이어 2 포트 미러링을 l2-mirror 얻으려면 이 문서의 이전 예에 표시된 대로 작업을 구성하기만 하면 됩니다.

스탠자 아래에서 class-of-service 정의policy-map policy-map-name:
```
class-of-service {
  policy-map {
    pm1; 
  } 
}
```

작업을 policy-map pm1사용하여 FTI에 출력 필터를 적용합니다.

content_copy zoom_out_map
family inet {
  filter mirror-all {
    term mirror {
      from {
        policy-map pm1;
      }
      then {
        count all;
        port-mirror-instance mirror-to-gre;
        accept;
      }
    }
     term default {
       then accept;
     }
   }
  filter f1 {
    term t1 {
      from {
        source-address {
          10.1.1.2/32;
        }
      }
      then {
        policy-map pm1;  
        count c1;
      }
    }
    term t2 {
      from {
        source-address {
          10.36.100.1/32;
        }
      }
      then accept;
     }
   }
}

다음 구성 출력은 인터페이스 fti0.1001의 FTI 구성을 보여줍니다. (FTI 터널 구성에 대한 자세한 내용은 유연한 터널 인터페이스 개요를 참조하십시오.)

content_copy zoom_out_map
interfaces {
  fti0 {
    unit 1001 { 
     tunnel {  
       encapsulation vxlan-gpe {
         source {
           address 198.51.100.1;
         }
         destination {
           address 198.51.100.2;
         }
         tunnel-endpoint vxlan;
         destination-udp-port 4789;
         vni 22701;
       }
     }
     family inet {
       filter {
         output f1;
       }
       address 10.18.1.1/27;
     }
     family inet6 {
       address 2001:db8::1:1/126;
     }
   }
  } 
}

에서 일치하는 policy-map pm1 then port-mirror송신 WAN 인터페이스에 필터(여기서는 이름mirror-all)를 추가합니다.

content_copy zoom_out_map
family inet { 
    filter mirror-all { 
        term mirror { 
            from { 
                policy-map policy-map-name; 
            } 
            then { 
                count all; 
                port-mirror-instance mirror-to-gre; 
                accept; 
            } 
        } 
        term default { 
            then accept; 
    }
  }
}

content_copy zoom_out_map
interfaces {
 ge-0/0/1 { 
  unit 0 {
    family inet {
      filter {
        output mirror-all;
      }
      address 10.200.0.1/24; 
    }
    family iso;
  } 
 }
}

필터의 부착 지점

필터 부착 지점	인터페이스 유형	미러링된 패킷 레이어 2 헤더
입력	gr- 및 fti-를 제외한 모든 이더넷	수신 패킷의 레이어 2 헤더가 보고됩니다
출력	gr- 및 fti-를 제외한 모든 이더넷	수신 패킷의 레이어 2 헤더가 보고됩니다
입력 또는 출력	GR- 인터페이스	지원되지 않음
입력	FTI- 인터페이스	원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
출력	FTI- 인터페이스	원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
입력	IRB 인터페이스	원본 패킷의 수신 레이어 2 헤더(WAN 포트에 표시됨)
출력	IRB 인터페이스	지원되지 않음

패킷 필터링 구성 향상을 위한 제안

필터 네트워크 원격 분석 설정을 향상시키기 위한 추가 방법으로 다음을 고려합니다.

입력 체인 및 출력 체인 필터를 사용하여 미러링에 사용되는 필터 구성을 기존 필터와 분리할 수 있으므로 문제 해결 중에 의도하지 않은 구성 오류를 방지할 수 있습니다. 이 기능에 대한 자세한 내용은 예: 방화벽 필터 체인 사용.

arrow_backward PREVIOUS 포트 미러링 모니터링

NEXT arrow_forward 포트 미러링 문제 해결

네트워크 관리 및 모니터링 가이드