귀하의 경험을 개선할 수 있도록 도와주십시오.

귀하의 의견을 알려주십시오.

2분이 소요되는 설문 조사에 시간을 내주시겠습니까?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS 네트워크 관리 및 모니터링 가이드 포트 미러링 포트 미러링 및 분석기

네트워크 관리 및 모니터링 가이드

keyboard_arrow_up
close
keyboard_arrow_left
네트워크 관리 및 모니터링 가이드
Table of Contents Expand all
list Table of Contents
이 페이지에서
keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

논리적 인터페이스에서 포트 미러링 구성

date_range 19-Jan-25
arrow_backward
arrow_forward

레이어 2 포트 미러링 방화벽 필터

이 항목에서는 다음 정보에 대해 설명합니다.

레이어 2 포트 미러링 방화벽 필터 개요

MX 시리즈 라우터와 EX 시리즈 스위치에서 방화벽 필터 용어 를 구성하여 레이어 2 포트 미러링 이 방화벽 필터가 적용되는 인터페이스의 모든 패킷에 적용되도록 지정할 수 있습니다.

레이어 2 포트 미러링 방화벽 필터를 입력 또는 출력 논리적 인터페이스(어그리게이션된 이더넷 논리적 인터페이스 포함), VLAN으로 전달되거나 플러드된 트래픽 또는 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용할 수 있습니다.

MX 시리즈 라우터 및 EX 시리즈 스위치는 레이어 2 환경에서 VPLS(family ethernet-switching 또는 family vpls) 트래픽 및 레이어 2 VPN 트래픽 family ccc 의 레이어 2 포트 미러링을 지원합니다

방화벽 필터 term내에서 다음 방법 중 하나로 문 아래에 then 레이어 2 포트 미러링 속성을 지정할 수 있습니다.

  • 포트에서 유효한 레이어 2 포트 미러링 속성을 암시적으로 참조합니다.

  • 레이어 2 포트 미러링의 특정 명명된 인스턴스를 명시적으로 참조합니다.

주:

레이어 2 포트 미러링 방화벽 필터를 구성할 때 경로 소스 주소를 기반으로 일치 조건을 지정하는 명령문(옵션 from )을 포함하지 마십시오. 모든 패킷이 일치하는 것으로 간주되고 문에 지정된 모든 actionsaction-modifiers 패킷이 사용되도록 이 문을 생략합니다 then .

들어오는 모든 패킷을 미러링하려면 from 문을 사용하면 안 됩니다. /*주석: 하나는 패킷의 하위 집합만 미러링하는 데 관심이 있는 경우 로 필터 용어를 구성합니다.

주:

통합 라우팅 및 브리징(IRB)을 VLAN(또는 VPLS 라우팅 인스턴스)과 연결하고 VLAN(또는 VPLS 라우팅 인스턴스) 내에서 또는 port-mirror-instance 작업을 포함하는 port-mirror 포워딩 테이블 필터를 구성하는 경우, IRB 패킷은 레이어 2 패킷으로 미러링됩니다. VLAN(또는 VPLS 라우팅 인스턴스)에서 no-irb-layer-2-copy 문을 구성하여 이 동작을 비활성화할 수 있습니다.

레이어 2 포트 미러링 방화벽 필터를 구성하는 방법에 대한 자세한 설명은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.

프로바이더 에지(PE) 라우터 또는 PE 스위치로 구성된 MX 라우터 및 EX 시리즈 스위치와 함께 레이어 2 포트 미러링 방화벽 필터를 사용하는 방법에 대한 자세한 내용은 PE 라우터 논리적 인터페이스의 레이어 2 포트 미러링 이해를 참조하십시오. 일반적인 방화벽 필터 구성(레이어 3 환경 포함)에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용 설명서를 참조하십시오.

논리적 인터페이스에서 수신 또는 전송된 패킷 미러링

논리적 인터페이스에서 수신 또는 전송된 레이어 2 트래픽을 미러링하려면 인터페이스의 입력 또는 출력에 포트 미러링 방화벽 필터를 적용합니다.

포트 미러링 방화벽 필터는 어그리게이션 이더넷 논리적 인터페이스에도 적용될 수 있습니다. 자세한 내용은 PE 라우터 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링 이해하기를 참조하십시오.

주:

포트 미러링 방화벽 필터가 논리 인터페이스의 입력과 출력 모두에 적용되면, 각 패킷의 복사본 두 개가 미러링됩니다. 라우터 또는 스위치가 중복 패킷을 동일한 대상으로 전달하는 것을 방지하기 위해 레이어 2 패킷 주소 패밀리의 글로벌 인스턴스에서 레이어 2 포트 미러링에 대해 "mirror-once" 옵션을 활성화할 수 있습니다.

VLAN으로 전달되거나 플러딩된 패킷 미러링

VLAN으로 전달되거나 VLAN으로 플러드된 레이어 2 트래픽을 미러링하려면 포워딩 테이블 또는 플러드 테이블에 대한 입력에 포트 미러링 방화벽 필터를 적용합니다. VLAN 포워딩 또는 플러드 테이블에 대해 수신되고 필터 조건과 일치하는 모든 패킷이 미러링됩니다.

VLAN에 대한 자세한 내용은 레이어 2 브리지 도메인 이해를 참조하십시오. VLAN의 플러딩 동작에 대한 자세한 내용은 브리지 도메인에 대한 레이어 2 학습 및 전달 이해를 참조하십시오.

주:

하나의 VLAN 아래에 있는 인터페이스에서 포트 미러링을 구성할 때 미러링된 패킷은 다른 VLAN에 위치한 외부 분석기로 이동할 수 있습니다.

VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷 미러링

VPLS 라우팅 인스턴스로 전달되거나 플러드된 레이어 2 트래픽을 미러링하려면 포워딩 테이블 또는 플러드 테이블에 대한 입력에 포트 미러링 방화벽 필터를 적용합니다. VPLS 라우팅 인스턴스 포워딩 또는 플러드 테이블에 대해 수신되고 필터 조건과 일치하는 모든 패킷은 미러링됩니다.

VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오. VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.

레이어 2 포트 미러링 방화벽 필터 정의

VPLS(Virtual Private LAN Service) 트래픽(family ethernet-switching 또는 family vpls)과 MX 시리즈 라우터 및 EX 시리즈 스위치에서만 제품군 ccc이 있는 레이어 2 VPN의 경우, 패킷이 방화벽 필터 용어에 구성된 조건과 일치할 경우 수행할 작업으로 레이어 2 포트 미러링을 지정하는 방화벽 필터를 정의할 수 있습니다.

다음과 같은 방법으로 레이어 2 포트 미러링 방화벽 필터를 사용할 수 있습니다.

  • 논리적 인터페이스에서 수신 또는 전송된 패킷을 미러링합니다.

  • VLAN으로 전달되거나 플러드된 패킷을 미러링합니다.

  • VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷을 미러링합니다.

  • 터널 인터페이스 입력 패킷만 여러 대상으로 미러링합니다.

MX 시리즈 라우터와 EX 시리즈 스위치에서 구성할 수 있는 세 가지 유형의 레이어 2 포트 미러링에 대한 요약은 레이어 2 포트 미러링 유형 적용을 참조하십시오.

레이어 2 포트 미러링 작업으로 방화벽 필터를 정의하려면:

  1. VLAN, 레이어 2 스위칭 교차 연결 또는 VPLS(Virtual Private LAN Service)의 일부인 레이어 2 패킷에 대한 방화벽 필터 구성을 활성화합니다.
    content_copy zoom_out_map
    [edit]
user@host# edit firewall family family

    옵션의 family 값은 , ccc, 또는 vpls일 수 있습니다ethernet-switching .

  2. 방화벽 필터 pm-filter-name구성 활성화:
    content_copy zoom_out_map
    [edit firewall family family]
user@host# edit filter pm-filter-name
  3. 방화벽 필터 용어 pm-filter-term-name구성 활성화:
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name]
user@host# edit term pm-filter-term-name
  4. (선택 사항) 샘플링된 패킷의 하위 집합을 미러링하려는 경우에만 경로 소스 주소를 기반으로 방화벽 필터 일치 조건을 지정합니다.
    주:

    샘플링된 모든 패킷이 일치하는 것으로 간주되고 문에 then 지정된 작업의 대상이 되도록 하려면 문을 모두 생략합니다 from .

  5. action-modifier 구성을 action 활성화하여 일치하는 패킷에 적용합니다.
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name term pm-filter-term-name]
user@host# edit then
  6. 일치하는 패킷에 대해 수행할 작업을 지정합니다.
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set action

    action 대한 권장 값은 입니다 accept. 작업을 지정하지 않거나 문을 완전히 생략 then 하면 문의 조건과 from 일치하는 모든 패킷이 수락됩니다.

  7. 레이어 2 포트 미러링 또는 다음 홉 그룹을 다음과 같이 지정합니다.action-modifier

    • 기본 물리적 인터페이스와 관련된 패킷 전달 엔진 또는 PIC에 현재 적용 중인 레이어 2 포트 미러링 속성을 참조하려면 문을 사용합니다.port-mirror

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set port-mirror

    • 특정 명명된 인스턴스에 구성된 레이어 2 포트 미러링 속성을 참조하려면 port-mirror-instance pm-instance-name 작업 수정자를 사용합니다.

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set port-mirror-instance pm-instance-name

      기본 물리적 인터페이스가 레이어 2 포트 미러링의 명명된 인스턴스에 바인딩되지 않고 대신 레이어 2 포트 미러링의 전역 인스턴스에 암시적으로 바인딩된 경우, 논리적 인터페이스의 트래픽은 작업 수정자가 참조 port-mirror-instance 하는 명명된 인스턴스에 지정된 속성에 따라 미러링됩니다.

    • 다음 홉 주소를 지정하는 다음 홉 그룹을 참조하려면(분석기에 패킷의 추가 사본을 보내기 위해) 작업 수정자를 사용합니다 next-hop-group pm-next-hop-group-name .

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set next-hop-group pm-next-hop-group-name

      다음 홉 그룹에 대한 구성 정보는 레이어 2 포트 미러링을 위한 다음 홉 그룹 정의의 내용을 참조하십시오. 레이어 2 포트 미러링을 위한 다음 홉 그룹을 지정하는 경우, 방화벽 필터 용어는 터널 인터페이스 입력에만 적용됩니다.

  8. 레이어 2 포트 미러링 방화벽 필터의 최소 구성을 확인합니다.
    content_copy zoom_out_map
    [edit firewall ... ]
user@host# top
[edit]
user@host# show firewall
 
family (ethernet-switching | ccc | vpls) { # Type of packets to mirror
    filter pm-filter-name { # Firewall filter name
        term pm-filter-term-name {
            from { # Do not specify match conditions based on route source address
            }
            then {
                action; # Recommended action is ’accept’
                action-modifier; # Three options for Layer 2 port mirroring
            }
        }
    }
}

    방화벽 필터 용어 then 문에서 은(는action-modifier) , port-mirror-instance 또는 next-hop-group pm-next-hop-group-name일 수 있습니다port-mirror.

포트 미러링을 위한 프로토콜 독립 방화벽 필터 구성

MPC가 있는 MX 시리즈 라우터에서는 글로벌 수준과 인스턴스 수준에서 레이어 2 및 레이어 3 패킷을 미러링하도록 방화벽 필터를 구성할 수 있습니다. 포트 미러링이 수신 또는 송신에 구성되면 인터페이스에 들어오거나 나가는 패킷이 복사되고 복사본이 로컬 모니터링을 위해 로컬 인터페이스로 전송됩니다.

주:

Junos OS 릴리스 13.3R6부터는 MPC 인터페이스만 포트 미러링을 지원합니다 family any . DPC 인터페이스는 을(를) 지원하지 family any않습니다.

일반적으로 방화벽 필터는 인터페이스에서 구성된 제품군을 기반으로 레이어 2 또는 레이어 3 패킷을 미러링하도록 구성됩니다. 그러나 통합 라우팅 및 브리징(IRB) 인터페이스의 경우 IRB 인터페이스가 레이어 3 패킷만 미러링하도록 구성되기 때문에 레이어 2 패킷이 완전히 미러링되지 않습니다. 이러한 인터페이스에서 제품군 any 의 방화벽 필터 및 포트 미러링 매개 변수를 구성하여 패킷이 레이어 2인지 레이어 3인지에 관계없이 패킷이 완전히 미러링되도록 할 수 있습니다.

주:

  • 인스턴스의 포트 미러링의 경우, 동일한 인스턴스에 대해 , inet6, ccc, 등과 vpls 같은 inet하나 이상의 패밀리를 동시에 구성할 수 있습니다.

  • 레이어 2 포트 미러링의 경우 VLAN 태그, MPLS 헤더가 유지되며 송신 시 미러링된 복사본에서 볼 수 있습니다.

  • VLAN 표준화의 경우, 수신 시 미러링된 패킷에 대해 표준화 전의 정보가 표시됩니다. 마찬가지로, 송신 시, 미러링된 패킷에 대한 정규화 후의 정보가 표시됩니다.

포트 미러링 구성을 시작하기 전에 유효한 물리적 인터페이스를 구성해야 합니다.

포트 미러링을 위한 프로토콜 독립적 방화벽 필터 구성하기:

  1. 송신 또는 수신 트래픽 미러링을 위한 글로벌 방화벽 필터를 구성합니다.
    content_copy zoom_out_map
    [edit firewall family any]
user@host# set filter filter-name {
    term term-name {
        then {
            port-mirror;
            accept;
        }
    }
}
  2. 인스턴스에 대한 트래픽을 미러링하도록 방화벽 필터를 구성합니다.
    content_copy zoom_out_map
    [edit firewall family any]
user@host# set filter filter-name {
    term term-name {
        then {
            port-mirror-instance instance-name;
            accept;
        }
    }
}
  3. 송신 및 수신 트래픽에 대한 미러링 매개 변수를 구성합니다.
    content_copy zoom_out_map
    [edit forwarding-options port-mirroring]
user@host# input {
    maximum-packet-length bytes
    rate rate;
}
family any {
    output {
        (next-hop-group group-name | interface interface-name);
    }
}
  4. 인스턴스에 대한 미러링 매개 변수를 구성합니다. 이 구성에서 레이어 2 패킷의 출력 또는 대상을 유효한 다음 홉 그룹 또는 레이어 2 인터페이스로 지정할 수 있습니다.
    content_copy zoom_out_map
    [edit forwarding-options port-mirroring]
user@host#instance instance-name {
    family any{
        output {
            (next-hop-group group-name | interface interface-name);
        }
    }
}
  5. 패킷이 전송되는 수신 또는 송신 인터페이스에서 방화벽 필터를 구성합니다.
    content_copy zoom_out_map
    [edit interface interface-name unit]
user@host# filter {
    output filter-name;
    input filter-name;
}

예: 방화벽 필터로 직원 웹 트래픽 미러링

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 스위치 1개

  • Junos 14.1X53-D20

개요

이 예에서는 xe-0/0/0 직원 컴퓨터에 대한 연결 역할을 합니다 xe-0/0/6 . 인터페이스가 xe-0/0/47 분석기 애플리케이션을 실행하는 디바이스에 연결되어 있습니다.

모든 트래픽을 미러링하기보다는 일반적으로 특정 트래픽만 미러링하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산에 대한 제약 때문에 필요할 수 있습니다. 이 예에서는 직원 컴퓨터에서 웹으로 보낸 트래픽만 미러링합니다.

토폴로지

그림 1은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.

그림 1: 로컬 포트 미러링을 위한 네트워크 토폴로지의 예로컬 포트 미러링을 위한 네트워크 토폴로지의 예

구성

직원이 웹으로 보내는 트래픽만 미러링되도록 지정하려면 이 섹션에서 설명하는 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 보냅니다.

절차

CLI 빠른 구성

웹으로 향하는 직원 컴퓨터의 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

content_copy zoom_out_map
[edit]
 set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24
 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
 set firewall family inet filter watch-employee term employee-to-corp then accept
 set firewall family inet filter watch-employee term employee-to-web from destination-port 80
 set firewall family inet filter watch-employee term employee-to-web then port-mirror
 set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24
 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24
 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee
 set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
주:

ip-address 아래의 set forwarding options port-mirroring family inet output 명령은 EX9253 플랫폼에서 지원되지 않습니다.

단계별 절차

직원 컴퓨터에 연결된 두 포트의 직원 대 웹 트래픽의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.

  1. 출력 인터페이스와 분석기 애플리케이션을 실행하는 디바이스의 IP 주소를 다음 홉으로 포함하여 포트 미러링 인스턴스를 구성합니다. (출력만 구성합니다. 입력은 필터에서 나옵니다.) 또한 미러가 IPv4 트래픽용임을 지정해야 합니다(family inet).

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28

  2. 웹으로 전송된 트래픽을 일치시키고 포트 미러링 인스턴스로 보내는 용어를 포함하는 IPv4(family inet) 방화벽 필터를 watch-employee 구성합니다. 회사 서브넷(의 대상 또는 소스 주소 192.0.nn.nn/24)에서 송수신되는 트래픽은 복사할 필요가 없으므로, 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 먼저 해당 트래픽을 수락하는 다른 용어를 생성합니다.

    content_copy zoom_out_map
    [edit firewall family inet]
er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24
user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24
user@switch# set filter watch-employee term employee-to-corp then accept
user@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirror

  3. 직원 컴퓨터와 분석기 디바이스에 연결된 IPv4 인터페이스의 주소를 구성합니다.

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24
user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24
user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24

  4. 방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee
user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
결과

구성 결과를 확인합니다:

content_copy zoom_out_map
[edit] 
user@switch# show 
forwarding-options {
    port-mirroring {
            employee-web-monitor	{
                output { 
                    ip-address 192.0.2.100.0;
                    } 
                }
            }
        } 
    }
}
...
firewall family inet {
    filter watch-employee {
        term employee-to-corp {
            from {
                destination-address 192.0.2.16/24;
                source-address 192.0.2.16/24;
            }
            then accept {
        }
        term employee-to-web {
            from {
                destination-port 80;
            }
            then port-mirror;
        }
    }
}
...
interfaces {
    xe-0/0/0 {
        unit 0 {
            family inet {
                filter {
                    input watch-employee;
                }
            }
        }
    }
    xe-0/0/6 {
        family inet {
            filter {
                input watch-employee;
            }
        }
    }
}

검증

분석기가 올바르게 생성되었는지 확인하기

목적

스위치에서 분석기가 적절한 입력 인터페이스와 출력 인터페이스로 생성되었는지 확인합니다.

작업

명령을 사용하여 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다 show forwarding-options port-mirroring .

content_copy zoom_out_map
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance               
  Instance Id: 1              
  Input parameters:
    Rate                  : 1
    Run-length            : 0
    Maximum-packet-length : 0
  Output parameters:
    Family              State     Destination          Next-hop
    inet                up      xe-0/0/47.0          192.0.2.100
의미

이 출력은 포트 미러링 인스턴스의 비율이 1(모든 패킷 미러링, 기본 설정)이고 미러링된 원본 패킷의 최대 크기(0 전체 패킷을 나타냄)가 있음을 보여줍니다. 출력 인터페이스의 상태가 down이거나 출력 인터페이스가 구성되지 않은 경우, state 값은 가 되고 down 인스턴스는 미러링을 위해 프로그래밍되지 않습니다.

PE 라우터 또는 PE 스위치 논리적 인터페이스의 레이어 2 포트 미러링

서비스 프로바이더 네트워크의 고객 대면 에지에서 프로바이더 에지(PE) 디바이스로 구성된 라우터 또는 스위치의 경우, 다음 수신 및 송신 지점에 레이어 2 포트 미러링 방화벽 필터를 적용하여 라우터 또는 스위치와 고객 에지(CE) 디바이스(일반적으로 라우터 및 이더넷 스위치이기도 함) 간의 트래픽을 미러링할 수 있습니다.

표 1 에서는 레이어 2 포트 미러링 방화벽 필터를 PE 디바이스로 구성된 라우터 또는 스위치에 적용할 수 있는 방법을 설명합니다.

표 1: PE 디바이스에 레이어 2 포트 미러링 방화벽 필터 적용

적용 지점

미러링 범위

노트

구성 세부 정보

수신 고객 대면 논리적 인터페이스

서비스 프로바이더 고객의 네트워크 내에서 시작되어 먼저 고객 에지(CE) 디바이스로 전송되고 PE 디바이스 옆으로 전송되는 패킷.

VPLS 라우팅 인스턴스를 위해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수도 있습니다. 트래픽은 어그리게이션 인터페이스의 모든 링크에서 로드 밸런싱됩니다.

어그리게이션 이더넷 인터페이스에서 수신된 트래픽은 대상 MAC(DMAC) 주소의 조회를 기반으로 다른 인터페이스를 통해 전달됩니다.

  • 로컬 사이트로 향하는 패킷은 부하 분산된 하위 인터페이스에서 전송됩니다.

  • 원격 사이트로 향하는 패킷은 캡슐화되어 레이블 스위칭 경로(LSP)를 통해 전달됩니다.

레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오.

VPLS 라우팅 인스턴스에 대한 자세한 내용은 VPLS 라우팅 인스턴스 구성브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오.

송신 고객 대면 논리적 인터페이스

PE 디바이스에서 다른 PE 디바이스로 전달되는 유니캐스트 패킷.

NOTE:논리 인터페이스의 출력에 포트 미러링 필터를 적용하면 유니캐스트 패킷만 미러링됩니다. 멀티캐스트, 알 수 없는 유니캐스트 및 브로드캐스트 패킷을 미러링하려면 VLAN 또는 VPLS 라우팅 인스턴스의 플러드 테이블 입력에 필터를 적용합니다.

레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오.

VLAN 포워딩 테이블 또는 플러드 테이블에 대한 입력

CE 디바이스에서 VLAN으로 전송되는 트래픽 또는 플러드 트래픽 포워딩.

포워딩 및 플러드 트래픽은 일반적으로 브로드캐스트 패킷, 멀티캐스트 패킷, 목적지 MAC 주소를 알 수 없는 유니캐스트 패킷 또는 DMAC 라우팅 테이블에 MAC 항목이 있는 패킷으로 구성됩니다.

레이어 2 포트 미러링을 브리지 도메인에 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.

VPLS 라우팅 인스턴스 포워딩 테이블 또는 플러드 테이블에 대한 입력

CE 디바이스에서 VPLS 라우팅 인스턴스로 전송되는 트래픽 또는 플러드 트래픽 포워딩.

레이어 2 포트 미러링을 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용을 참조하십시오. VPLS의 플러딩 동작에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.

PE 라우터 또는 PE 스위치 어그리게이션 이더넷 인터페이스의 레이어 2 포트 미러링

어그리게이션 이더넷 인터페이스는 동일한 속도의 물리적 인터페이스 집합으로 구성되고 전이중 링크 연결 모드에서 작동하는 가상 어그리게이션 링크입니다. VPLS 라우팅 인스턴스를 위해 CE 디바이스와 PE 디바이스 간에 어그리게이션 이더넷 인터페이스를 구성할 수 있습니다. 트래픽은 어그리게이션 인터페이스의 모든 링크에서 로드 밸런싱됩니다. 어그리게이션 인터페이스에서 하나 이상의 링크에 장애가 발생하면 트래픽이 나머지 링크로 전환됩니다.

레이어 2 포트 미러링 방화벽 필터를 어그리게이션 이더넷 인터페이스에 적용하여 상위 인터페이스에서 포트 미러링 을 구성할 수 있습니다. 그러나 하위 인터페이스가 다른 레이어 2 포트 미러링 인스턴스에 바인딩된 경우 하위 인터페이스에서 수신된 패킷은 해당 포트 미러링 인스턴스에서 지정한 대상으로 미러링됩니다. 따라서 여러 하위 인터페이스가 패킷을 여러 대상으로 미러링할 수 있습니다.

예를 들어, 상위 어그리게이션 이더넷 인터페이스 인스턴스에 ae0 두 개의 하위 인터페이스가 있다고 가정해 보겠습니다.

  • xe-2/0/0

  • xe-3/1/2

의 이러한 하위 인터페이스가 ae0 두 개의 서로 다른 레이어 2 포트 미러링 인스턴스에 바인딩되었다고 가정해 보겠습니다.

  • pm_instance_A- 하위 인터페이스에 xe-2/0/0바인딩된 레이어 2 포트 미러링의 명명된 인스턴스입니다.

  • pm_instance_B- 하위 인터페이스에 xe-3/1/2바인딩된 레이어 2 포트 미러링의 명명된 인스턴스입니다.

이제 전송된 레이어 2 트래픽 ae0.0 (어그리게이션된 이더넷 인터페이스 인스턴스의 0논리적 단위0)에 레이어 2 포트 미러링 방화벽 필터를 적용한다고 가정해 보겠습니다. 이는 에서 ae0.0포트 미러링을 활성화하며, 이는 레이어 2 포트 미러링 속성이 지정된 하위 인터페이스에서 수신된 트래픽 처리에 다음과 같은 영향을 미칩니다.

  • 에서 xe-2/0/0 수신된 패킷은 포트 미러링 인스턴스에서 pm_instance_A구성된 출력 인터페이스로 미러링됩니다.

  • 에서 xe-3/1/2.0 수신된 패킷은 포트 미러링 인스턴스에서 pm_instance_B구성된 출력 인터페이스로 미러링됩니다.

pm_instance_B 은(는) 다른 패킷 선택 속성 또는 미러링 대상 속성을 지정할 수 있기 때문에 pm_instance_A 에서 xe-2/0/0 수신된 패킷은 다른 패킷을 다른 대상으로 미러링할 수 있습니다xe-3/1/2.0.

레이어 2 포트 미러링을 논리적 인터페이스에 적용

레이어 2 포트 미러링 방화벽 필터를 어그리게이션 이더넷 논리적 인터페이스를 포함한 논리적 인터페이스의 입력 또는 출력에 적용할 수 있습니다. 필터 동작으로 지정된 주소 유형 계열의 패킷만 미러링됩니다.

시작하기 전에 다음 작업을 완료하십시오.

  • 논리적 인터페이스의 입력 또는 논리적 인터페이스의 출력에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.

    주:

    이 구성 작업에는 두 개의 레이어 2 포트 미러링 방화벽 필터가 표시됩니다. 논리적 인터페이스 수신 트래픽에 적용된 필터 하나와 논리적 인터페이스 송신 트래픽에 적용된 필터 하나.

레이어 2 포트 미러링 방화벽 필터를 입력 또는 출력 논리적 인터페이스에 적용하려면:

  1. 논리적 인터페이스에 대한 기본 물리적 인터페이스를 구성합니다.

    1. 기본 물리적 인터페이스의 구성을 활성화합니다.

      content_copy zoom_out_map
      [edit]
user@host# edit interfaces interface-name
      주:

      포트 미러링 방화벽 필터는 어그리게이션 이더넷 논리적 인터페이스에도 적용될 수 있습니다.


    2. VPLS용으로 구성된 기가비트 이더넷 인터페이스 및 어그리게이션 이더넷 인터페이스의 경우, 인터페이스에서 802.1Q VLAN 태그가 지정된 프레임의 수신 및 전송을 활성화합니다.

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# set vlan-tagging

    3. IEEE 802.1Q VLAN 태깅 및 브리징이 활성화되고 TPID 0x8100 또는 사용자 정의 TPID를 전달하는 패킷을 허용해야 하는 이더넷 인터페이스의 경우 논리적 링크 레이어 캡슐화 유형을 설정합니다.

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# set encapsulation extended-vlan-ethernet-switching
  2. 레이어 2 포트 미러링 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.

    1. 논리적 단위 번호를 지정합니다.

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# edit unit logical-unit-number

    2. 기가비트 이더넷 또는 어그리게이션 이더넷 인터페이스의 경우, 802.1Q VLAN 태그 ID를 논리적 인터페이스에 바인딩합니다.

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set vlan-id number
  3. 브리징 도메인, 레이어 2 스위칭 교차 연결 또는 VPLS(Virtual Private LAN Service)의 일부인 레이어 2 패킷에 적용할 입력 또는 출력 필터의 사양을 활성화합니다.

    • 인터페이스에서 패킷이 수신될 때 필터를 평가해야 하는 경우:

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set family family filter input pm-filter-name-a

    • 인터페이스에서 패킷이 전송될 때 필터를 평가해야 하는 경우:

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set family family filter output pm-filter-name-b

    옵션의 family 값은 , ccc, 또는 vpls일 수 있습니다ethernet-switching.

    주:

    포트 미러링 방화벽 필터가 논리 인터페이스의 입력과 출력 모두에 적용되면, 각 패킷의 복사본 두 개가 미러링됩니다. 라우터 또는 스위치가 중복 패킷을 동일한 대상으로 전달하지 않도록 하려면 계층 수준에서 선택적 mirror-once 문을 [edit forwarding-options] 포함합니다.

  4. 명명된 레이어 2 포트 미러링 방화벽 필터를 논리적 인터페이스에 적용하기 위한 최소 구성을 확인합니다.
    content_copy zoom_out_map
    [edit interfaces interface-name unit logical-unit-number family family filter ... ]
user@host# top
[edit]
user@host# show interfaces
 
interfaces {
    interface-name {
        vlan-tagging;
        encapsulation extended-vlan-ethernet-switching;
        unit number { # Apply a filter to the input of this interface
            vlan-id number;
            family (ethernet-switching | ccc | vpls) {
                filter {
                    input pm-filter-for-logical-interface-input;
                }
            }
        }
        unit number { # Apply a filter to the output of this interface 
            vlan-id number;
            family (ethernet-switching | ccc | vpls) {
                filter {
                    output pm-filter-for-logical-interface-output;
                }
            }
        }
    }
}

어그리게이션 이더넷을 통한 Demux 논리적 인터페이스를 사용하는 제품군 ccc 트래픽에 레이어 2 포트 미러링 적용

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

이 주제는 AE 번들에서 구성원 물리적 인터페이스의 사용을 절약하기 위해 demux 논리적 인터페이스를 설정하는 데 도움이 되는 지침과 단계를 제공합니다.

지침

어그리게이션된 이더넷 인터페이스를 통해 demux 논리 인터페이스를 구성하는 이러한 사용과 관련된 구성 요소를 살펴보겠습니다.

  • 다음과 같이 ccc 패밀리를 구성합니다.

    • 의 포트 미러링 구성 edit forwarding-options port mirroring family

    • 의 방화벽 필터 구성 edit firewall family

    • 의 demux 인터페이스 구성 edit interfaces demux0 unit 0 family

  • 방화벽 필터 및 포트 미러링을 위한 제품군의 구성이 (1) 동일하거나 (2) 동일한 계층에 있는지 확인합니다.

  • 글로벌 포트 미러링 및 포트 미러링 인스턴스를 위해 인터페이스를 통해 ae demux 인터페이스를 구성할 수 있습니다.

  • 방화벽 필터의 경우 제품군으로 사용하는 ccc 것 외에:

    • 필터에 대한 작업으로 사용합니다 port-mirror .

    • demux 인터페이스에 필터를 적용합니다.

  • ae 다음과 같이 문을 사용하여 underlying-interface 인터페이스를 demux 논리적 인터페이스의 기본 인터페이스로 구성합니다.
    content_copy zoom_out_map
    set interfaces demux0 unit 0 demux-options underlying-interface ae0

구성 샘플

다음은 스파스 구성입니다. 샘플 구성에서 앞의 지침이 어떻게 적용되는지에 대한 그림만 보여드리고자 합니다.

content_copy zoom_out_map
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0
set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1
set interfaces xe-0/0/2:2 encapsulation ethernet-bridge
set interfaces xe-0/0/2:2 unit 0 family bridge
set interfaces xe-0/0/2:3 encapsulation ethernet-bridge
set interfaces xe-0/0/2:3 unit 0 family bridge
set interfaces ae0 flexible-vlan-tagging
set interfaces ae0 encapsulation flexible-ethernet-services
set interfaces ae1 flexible-vlan-tagging
set interfaces ae1 encapsulation flexible-ethernet-services
set interfaces demux0 unit 0 encapsulation vlan-ccc
set interfaces demux0 unit 0 vlan-id 300
set interfaces demux0 unit 0 demux-options underlying-interface ae0
set interfaces demux0 unit 0 family ccc filter input port-mirror
set interfaces demux0 unit 1 encapsulation vlan-ccc
set interfaces demux0 unit 1 vlan-id 300
set interfaces demux0 unit 1 demux-options underlying-interface ae1
set interfaces demux0 unit 1 family ccc
set forwarding-options port-mirroring input rate 1
set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0
set firewall family ccc filter port-mirror term term1 then count Counter1
set firewall family ccc filter port-mirror term term1 then port-mirror
set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1
set protocols mpls interface demux0.0
set protocols mpls interface demux0.1
set bridge-domains br1 interface xe-0/0/2:0.0
set bridge-domains br1 interface xe-0/0/2:3.0
set bridge-domains br1 interface xe-0/0/2:1.0
set bridge-domains br2 vlan-id 300

브리지 도메인으로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용

레이어 2 포트 미러링 방화벽 필터를 브리지 도메인으로 전달되거나 플러딩되는 트래픽에 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 브리지 도메인으로 전달되거나 플러딩된 패킷만 미러링됩니다.

시작하기 전에 다음 작업을 완료하십시오.

  • 브리지 도메인으로 전달되거나 브리지 도메인으로 플러딩되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.

    주:

    이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 브리지 도메인 포워딩 테이블 수신 트래픽에 적용된 필터 하나와 브리지 도메인 플러드 테이블 수신 트래픽에 적용된 필터 하나.

레이어 2 포트 미러링 방화벽 필터를 브리지 도메인의 포워딩 테이블 또는 플러드 테이블에 적용하려면 다음을 수행합니다.

  1. 전달되거나 플러드된 트래픽에 대해 레이어 2 포트 미러링 방화벽 필터를 적용할 브리지 도메인의 bridge-domain-name 구성을 활성화합니다.

    • 브리지 도메인의 경우:

      content_copy zoom_out_map
      [edit]
user@host# edit bridge-domains bridge-domain-name

    • 라우팅 인스턴스 아래의 브리지 도메인의 경우:

      content_copy zoom_out_map
      [edit]
user@host# edit routing-instances routing-instance-name bridge-domains bridge-domain-name
user@host# set instance-type virtual-switch

      자세한 구성 정보는 VPLS 라우팅 인스턴스 구성을 참조하십시오.

  2. 브리지 도메인을 구성합니다.
    content_copy zoom_out_map
    [edit]
user@host# set domain-type bridge
user@host# set interface interface-name
user@host# set routing-interface routing-interface-name

    자세한 구성 정보는 브리지 도메인 구성브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오.

  3. 브리지 도메인에서 트래픽 전달 구성을 활성화합니다.
    content_copy zoom_out_map
    [edit ... bridge-domains bridge-domain-name]
user@host# edit forwarding-options
  4. 레이어 2 포트 미러링 방화벽 필터를 브리지 도메인 포워딩 테이블 또는 플러드 테이블에 적용합니다.

    • 브리지 도메인으로 전달되는 패킷을 미러링하려면 다음을 수행합니다.

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set filter input pm-filter-for-bd-ingress-forwarded

    • 브리지 도메인으로 플러딩되는 패킷을 미러링하려면:

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set flood input pm-filter-for-bd-ingress-flooded
  5. 레이어 2 포트 미러링 방화벽 필터를 브리지 도메인의 포워딩 테이블 또는 플러드 테이블에 적용하기 위한 최소 구성을 확인합니다.

    1. 브리지 도메인이 구성된 계층 수준으로 이동합니다.

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. 브리지 도메인 구성을 표시합니다.

      content_copy zoom_out_map
      user@host# show bridge domains
 
bridge-domains {
    bridge-domain-name {
        instance-type virtual-switch; # For a bridge domain under a routing instance.
        domain-type bridge;
        interface interface-name;
        forwarding-options {
            filter { # Mirror ingress forwarded traffic
                input pm-filter-for-bd-ingress-forwarded;
            }
            flood { # Mirror ingress flooded traffic
                input pm-filter-for-bd-ingress-flooded;
            }
        }
    }
}

VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용

레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스로 전달되거나 플러드되는 트래픽에 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 VPLS 라우팅 인스턴스로 전달되거나 플러드된 패킷만 미러링됩니다.

시작하기 전에 다음 작업을 완료하십시오.

  • VPLS 라우팅 인스턴스로 전달되거나 VLAN으로 플러드되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.

    주:

    이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 필터 하나는 VPLS 라우팅 인스턴스 포워딩 테이블 수신 트래픽에 적용되고, 다른 필터는 VPLS 라우팅 인스턴스 플러드 테이블 수신 트래픽에 적용됩니다.

레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스의 포워딩 테이블 또는 플러드 테이블에 적용하려면,

  1. 전달되거나 플러드된 트래픽에 대해 레이어 2 포트 미러링 방화벽 필터를 적용할 VPLS 라우팅 인스턴스의 구성을 활성화합니다.
    content_copy zoom_out_map
    [edit]
user@host# edit routing-instances routing-instance-name
user@host# set instance-type vpls
user@host# set interface interface-name
user@host# set route-distinguisher (as-number:number | ip-address:number)
user@host# set vrf-import [policy-names]
user@host# set vrf-export [policy-names]
user@host# edit protocols vpls
user@host@ ... vpls-configuration ...

    자세한 구성 정보는 VPLS 라우팅 인스턴스 구성을 참조하십시오.

  2. VPLS 라우팅 인스턴스에서 트래픽 포워딩 구성을 활성화합니다.
    content_copy zoom_out_map
    [edit routing-instances routing-instance-name protocols vpls]
user@host# up 2
[edit routing-instances routing-instance-name]
user@host# edit forwarding-options
  3. 레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스 포워딩 테이블 또는 플러드 테이블에 적용합니다.

    • VPLS 라우팅 인스턴스로 전달되는 패킷을 미러링하려면 다음을 수행합니다.

      content_copy zoom_out_map
      [edit routing-instances routing-instance-name forwarding-options]
user@host# set filter input pm-filter-for-vpls-ri-forwarded

    • VPLS 라우팅 인스턴스로 플러딩되는 패킷을 미러링하려면 다음을 수행합니다.

      content_copy zoom_out_map
      [edit routing-instances routing-instance-name forwarding-options]
user@host# set flood input pm-filter-for-vpls-ri-flooded
  4. 레이어 2 포트 미러링 방화벽 필터를 VPLS 라우팅 인스턴스의 포워딩 테이블 또는 플러드 테이블에 적용하기 위한 최소 구성을 확인합니다.
    content_copy zoom_out_map
    [edit routing-instances routing-instance-name forwarding-options]
user@host# top
[edit]
user@host# show routing-instances
 
routing-instances {
    routing-instance-name {
        instance-type vpls;
        interface interface-name;
        route-distinguisher (as-number:number | ip-address:number);
        vrf-import [policy-names];
        vrf-export [policy-names];
        protocols {
            vpls {
                ...vpls-configuration...
            }
        }
        forwarding-options {
            family vpls {
                filter { # Mirror ingress forwarded traffic
                    input pm-filter-for-vpls-ri-forwarded; 
                }
                flood { # Mirror ingress flooded traffic
                    input pm-filter-for-vpls-ri-flooded; 
                }
            }
        }
    }
}

VLAN으로 전달되거나 플러드된 트래픽에 레이어 2 포트 미러링 적용

VLAN으로 전달되거나 플러딩되는 트래픽에 레이어 2 포트 미러링 방화벽 필터를 적용할 수 있습니다. 지정된 제품군 유형의 패킷과 해당 VLAN으로 전달되거나 플러딩된 패킷만 미러링됩니다.

시작하기 전에 다음 작업을 완료하십시오.

  • VLAN으로 전달되거나 VLAN으로 플러딩되는 트래픽에 적용할 레이어 2 포트 미러링 방화벽 필터를 정의합니다. 자세한 내용은 레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오.

    주:

    이 구성 작업에는 두 개의 Layer_2 포트 미러링 방화벽 필터가 표시됩니다. 하나의 필터는 VLAN 포워딩 테이블 수신 트래픽에 적용되고, 다른 하나는 VLAN 플러드 테이블 수신 트래픽에 적용됩니다.

레이어 2 포트 미러링 방화벽 필터를 VLAN의 포워딩 테이블 또는 플러드 테이블에 적용하려면 다음을 수행합니다.

  1. 전달되거나 플러딩된 트래픽에 대해 레이어 2 포트 미러링 방화벽 필터를 적용할 VLAN bridge-domain-name 의 구성을 활성화합니다.

    • VLAN의 경우:

      content_copy zoom_out_map
      [edit]
user@host# edit bridge-domains bridge-domain-name

    • 라우팅 인스턴스 아래 VLAN의 경우:

      content_copy zoom_out_map
      [edit]
user@host# edit routing-instances routing-instance-name bridge-domains bridge-domain-name
user@host# set instance-type virtual-switch

      자세한 구성 정보는 VPLS 라우팅 인스턴스 구성을 참조하십시오.

  2. VLAN을 구성합니다.
    content_copy zoom_out_map
    [edit]
user@host# set domain-type bridge
user@host# set interface interface-name
user@host# set routing-interface routing-interface-name

    자세한 구성 정보는 브리지 도메인 구성브리지 도메인 및 VPLS 라우팅 인스턴스에 대한 VLAN 식별자 구성을 참조하십시오.

  3. VLAN에서 트래픽 전달 구성을 활성화합니다.
    content_copy zoom_out_map
    [edit ... bridge-domains bridge-domain-name]
user@host# edit forwarding-options
  4. 레이어 2 포트 미러링 방화벽 필터를 VLAN 포워딩 테이블 또는 플러드 테이블에 적용합니다.

    • VLAN으로 전달되는 패킷을 미러링하려면 다음을 수행합니다.

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set filter input pm-filter-for-bd-ingress-forwarded

    • VLAN으로 플러딩되는 패킷을 미러링하려면 다음을 수행합니다.

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set flood input pm-filter-for-bd-ingress-flooded
  5. 레이어 2 포트 미러링 방화벽 필터를 VLAN의 포워딩 테이블 또는 플러드 테이블에 적용하기 위한 최소 구성을 확인합니다.

    1. VLAN이 구성된 계층 수준으로 이동합니다.

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. VLAN 구성을 표시합니다.

      content_copy zoom_out_map
      user@host# show vlans
 
vlans {
    vlan-name {
        instance-type virtual-switch; # For a bridge domain under a routing instance.
        domain-type bridge;
        interface interface-name;
        forwarding-options {
            filter { # Mirror ingress forwarded traffic
                input pm-filter-for-bd-ingress-forwarded;
            }
            flood { # Mirror ingress flooded traffic
                input pm-filter-for-bd-ingress-flooded;
            }
        }
    }
}

예: 논리적 인터페이스에서 레이어 2 포트 미러링

다음 단계는 글로벌 포트 미러링 인스턴스 및 포트 미러링 방화벽 필터를 사용하여 논리적 인터페이스에 대한 입력에 대한 레이어 2 포트 미러링을 구성하는 예를 설명합니다.

  1. 외부 패킷 분석기가 포함된 VLAN example-bd-with-analyzer과 미러링되는 레이어 2 트래픽의 소스 및 대상이 포함된 VLAN example-bd-with-traffic을 구성합니다.

    content_copy zoom_out_map
    [edit]
bridge-domains {
    example-bd-with-analyzer { # Contains an external traffic analyzer
        vlan-id 1000;
        interface ge-2/0/0.0; # External analyzer
    }
    example-bd-with-traffic { # Contains traffic input and output interfaces
        vlan-id 1000;
        interface ge-2/0/6.0; # Traffic input port 
        interface ge-3/0/1.2; # Traffic output port
    }
}

    논리적 인터페이스가 ge-2/0/0.0 포트 미러링 패킷을 수신할 외부 트래픽 분석기와 연결되어 있다고 가정합니다. 논리적 인터페이스 ge-2/0/6.0ge-3/0/1.2 가 각각 트래픽 입력 포트와 출력 포트가 될 것이라고 가정합니다.

  2. 포트 미러링 대상이 외부 분석기와 연결된 VLAN 인터페이스(VLANexample-bd-with-analyzer의 논리적 인터페이스ge-2/0/0.0)가 되도록 글로벌 인스턴스에 대한 레이어 2 포트 미러링을 구성합니다. 이 포트 미러링 대상에 필터를 적용할 수 있는 옵션을 활성화해야 합니다.

    content_copy zoom_out_map
    [edit]
forwarding-options {
    port-mirroring {
        input {
            rate 10;	
            run-length 5; 
        }
        family ethernet-switching {
            output {
                interface ge-2/0/0.0; # Mirror packets to the external analyzer
                no-filter-check; # Allow filters on the mirror destination interface 
            }
        }
    }
}

    계층 수준의 문 [edit forwarding-options port-mirroring] 은 샘플링이 input 매 10번째 패킷마다 시작되고 선택된 처음 5개의 패킷이 각각 미러링되도록 지정합니다.

    계층 수준의 문 [edit forwarding-options port-mirroring family ethernet-switching]output 브리징 환경에서 레이어 2 패킷에 대한 출력 미러 인터페이스를 지정합니다.

    • 외부 패킷 분석기와 연결된 논리적 인터페이스 ge-2/0/0.0는 포트 미러링 대상으로 구성됩니다.

    • 선택적 no-filter-check 문을 사용하면 이 대상 인터페이스에서 필터를 구성할 수 있습니다.

  3. 레이어 2 포트 미러링 방화벽 필터를 example-bridge-pm-filter구성합니다.

    content_copy zoom_out_map
    [edit]
firewall {
    family ethernet-switching {
        filter example-bridge-pm-filter {
            term example-filter-terms {
                then {
                    accept; 
                    port-mirror;
                }
            }
        }
    }
}

    이 방화벽 필터가 브리징 환경에서 트래픽에 대한 논리적 인터페이스의 입력 또는 출력에 적용될 때, 레이어 2 포트 미러링 글로벌 인스턴스에 대해 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 레이어 2 포트 미러링이 수행됩니다. 이 방화벽 필터는 단일 기본 필터 동작 accept으로 구성되므로 속성(rate = 10run-length =5)으로 input 선택한 모든 패킷이 이 필터와 일치합니다.

  4. 논리적 인터페이스를 구성합니다.

    content_copy zoom_out_map
    [edit]
interfaces {
    ge-2/0/0 { # Define the interface to the external analyzer 
        encapsulation ethernet-bridge;
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-2/0/6 { # Define the traffic input port
        flexible-vlan-tagging;
        encapsulation extended-vlan-bridge; 
        unit 0 {
            vlan-id 100;
            family ethernet-switching {
                filter {
                    input example-bridge-pm-filter; # Apply the port-mirroring firewall filter
                }
            }
        }
    }
    ge-3/0/1 { # Define the traffic output port 
        flexible-vlan-tagging;
        encapsulation extended-vlan-bridge;
        unit 2 {
            vlan-tags outer 10 inner 20;
            family ethernet-switching;
        }
    }
}

    VLAN example-bd-with-traffic 의 논리적 인터페이스에서 ge-2/0/6.0 수신된 패킷은 포트 미러링 방화벽 필터example-bridge-pm-filter에 의해 평가됩니다. 방화벽 필터는 방화벽 필터 자체에 구성된 필터 동작과 글로벌 포트 미러링 인스턴스에 구성된 입력 패킷 샘플링 속성 및 미러 대상 속성에 따라 입력 트래픽에 작용합니다.

    • 에서 ge-2/0/6.0 수신된 모든 패킷은 논리적 인터페이스의 ge-3/0/1.2(가정된) 정상 대상으로 전달됩니다.

    • 10개의 입력 패킷마다 해당 선택 항목의 처음 5개 패킷 사본은 다른 VLANexample-bd-with-analyzer의 논리적 인터페이스에 ge-0/0/0.0 있는 외부 분석기로 전달됩니다.

    작업 대신 accept 작업을 수행하도록 discard 포트 미러링 방화벽 필터를 example-bridge-pm-filter 구성하면 전역 포트 미러링 input 속성을 사용하여 선택한 패킷의 복사본이 외부 분석기로 전송되는 동안 모든 원본 패킷이 삭제됩니다.

예: 레이어 2 VPN을 위한 레이어 2 포트 미러링

다음 예는 완전한 구성은 아니지만 를 사용하여 family cccL2VPN에서 포트 미러링을 구성하는 데 필요한 모든 단계를 보여줍니다.

  1. 외부 패킷 분석기가 포함된 VLAN port-mirror-bd을 구성합니다.

    content_copy zoom_out_map
    [edit]
vlans {
    port-mirror-vlan { # Contains an external traffic analyzer
        interface ge-2/2/9.0; # External analyzer
    }
}

  2. 논리적 인터페이스 ge-2/0/1.0 와 논리적 인터페이스를 ge-2/0/1.1연결하도록 레이어 2 VPN CCC를 구성합니다.

    content_copy zoom_out_map
    [edit]
protocols {
    mpls {
        interface all;
    }
    connections {
        interface-switch if_switch {
            interface ge-2/0/1.0;
            interface ge-2/0/1.1;
        }
    }
}

  3. 포트 미러링 대상이 외부 분석기와 연결된 VLAN 인터페이스(VLANexample-bd-with-analyzer의 논리적 인터페이스ge-2/2/9.0)가 되도록 글로벌 인스턴스에 대한 레이어 2 포트 미러링을 구성합니다.

    content_copy zoom_out_map
    [edit]
forwarding-options {
    port-mirroring {
        input {
            rate 1;	
            maximum-packet-length 200; 
        }
        family ccc {
            output {
                interface ge-2/2/9.0; # Mirror packets to the external analyzer
            }
        }
        instance {
            inst1 {
                input {
                    rate 1;	
                    maximum-packet-length 300; 
                }
                family ccc {
                    output {
                        interface ge-2/2/9.0;
                    }
                {
            }
        }
    }
}

  4. 에 대한 family ccc레이어 2 포트 미러링 방화벽 필터를 pm_filter_ccc 정의합니다.

    content_copy zoom_out_map
    [edit]
firewall {
    family ccc {
        filter pm_filter_ccc {
            term pm {
                then port-mirror;
            }
        }
    }
}

  5. 포트 미러 인스턴스를 섀시에 적용합니다.

    content_copy zoom_out_map
    [edit]
chassis {
    fpc 2 {
        port-mirror-instance inst1;
    }
}

  6. VLAN에 대한 인터페이스를 ge-2/2/9 구성하고 방화벽 필터를 사용하여 pm_filter_ccc 포트 미러링을 위한 인터페이스를 ge-2/0/1 구성합니다.

    content_copy zoom_out_map
    [edit]
interfaces {
    ge-2/2/9 {
        encapsulation ethernet-bridge;
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-2/0/1 {
        vlan-tagging;
        encapsulation extended-vlan-ccc;
        unit 0 {
            vlan-id 10;
            family ccc {
                filter {
                    input pm_filter_ccc;
                }
            }
        }
        unit 1 {
            vlan-id 20;
            family ccc {
                filter {
                    output pm_filter_ccc;
                }
            }
        }
    }
}

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
13.3R6
Junos OS 릴리스 13.3R6부터는 MPC 인터페이스만 포트 미러링을 지원합니다 family any .
arrow_backward PREVIOUS 물리적 인터페이스에서 포트 미러링 구성
NEXT arrow_forward 여러 대상에 대한 포트 미러링 구성
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top