물리적 인터페이스에서 포트 미러링 구성
물리적 인터페이스에서 여러 수준의 레이어 2 포트 미러링의 우선 순위
MX 시리즈 라우터 또는 EX 시리즈 스위치 섀시의 다양한 수준(섀시 수준, FPC 수준 또는 PIC 수준)에서 다양한 레이어 2 포트 미러링 속성 세트(글로벌 인스턴스 및 하나 이상의 명명된 인스턴스)를 바인딩할 수 있습니다. 따라서 단일 그룹의 물리적 인터페이스를 여러 레이어 2 포트 미러링 정의에 바인딩할 수 있습니다.
포트 그룹(또는 MX960 라우터의 PIC 수준 바인딩의 경우 단일 포트)이 여러 레이어 2 포트 미러링 정의에 바인딩된 경우 라우터(또는 스위치)는 다음과 같이 레이어 2 포트 미러링 속성을 해당 포트에 적용합니다.
섀시 수준의 포트 미러링 속성은 섀시의 모든 포트에 암시적으로 적용됩니다. MX 시리즈 라우터 또는 EX 시리즈 스위치가 글로벌 포트 미러링 인스턴스로 구성된 경우, 이러한 포트 미러링 속성은 모든 포트에 적용됩니다. 레이어 2 포트 미러링의 글로벌 인스턴스 구성을 참조하십시오.
FPC 수준의 포트 미러링 속성은 섀시 수준의 속성을 재정의합니다. DPC 또는 FPC가 포트 미러링의 명명된 인스턴스에 바인딩된 경우, 해당 포트 미러링 속성은 해당 DPC 또는 FPC와 관련된 모든 포트에 적용되어 섀시 수준에서 바인딩된 모든 포트 미러링 속성을 재정의합니다. 레이어 2 포트 미러링을 FPC 수준에서 그룹화된 포트로 바인딩을 참조하십시오.
PIC 수준의 포트 미러링 속성은 FPC 수준의 속성을 재정의합니다. 패킷 전달 엔진 또는 PIC가 포트 미러링의 명명된 인스턴스에 바인딩된 경우, 이러한 포트 미러링 속성은 패킷 전달 엔진 또는 PIC와 관련된 모든 포트에 적용되어 FPC 수준에서 해당 포트에 바인딩된 모든 포트 미러링 속성을 재정의합니다. 레이어 2 포트 미러링을 PIC 수준에서 그룹화된 포트로 바인딩을 참조하십시오.
레이어 2 포트 미러링을 FPC 수준에서 그룹화된 포트로 바인딩
MX 시리즈 라우터와 EX 시리즈 스위치에서 레이어 2 포트 미러링의 명명된 인스턴스를 라우터(또는 스위치) 섀시의 특정 DPC 또는 특정 FPC에 바인딩할 수 있습니다. 이는 라우터(또는 스위치) 섀시의 FPC 수준에서 레이어 2 포트 미러링의 명명된 인스턴스를 바인딩하는 것으로 알려져 있습니다. 명명된 인스턴스에 지정된 포트 미러링 속성은 지정된 DPC 또는 FPC의 모든 패킷 포워딩 엔진과 관련된 모든 물리적 포트에 적용됩니다.
레이어 2 포트 미러링의 명명된 인스턴스를 라우터(또는 스위치) 섀시의 DPC 또는 FPC의 특정 패킷 전달 엔진에 바인딩할 수도 있습니다.
레이어 2 포트 미러링에서 지원하는 모든 패킷 유형 제품군의 경우
특정 DPC 또는 FPC에 바인딩된 포트 미러링 속성은 글로벌 수준에서 구성된 모든 포트 미러링 속성을 재정의합니다.
특정 패킷 전달 엔진에 바인딩된 포트 미러링 속성은 DPC 또는 FPC 수준에서 구성된 모든 포트 미러링 속성을 재정의합니다.
라우터(또는 스위치) 섀시 내의 동일한 포트 그룹에 레이어 2 포트 미러링의 명명된 인스턴스를 최대 2개까지 적용할 수 있습니다. 동일한 DPC 또는 FPC에 두 개의 서로 다른 포트 미러링 인스턴스를 적용하면 두 개의 개별 레이어 2 포트 미러링 사양을 단일 포트 그룹에 바인딩할 수 있습니다.
시작하기 전에 다음 작업을 완료하십시오.
레이어 2 포트 미러링의 명명된 인스턴스를 정의합니다. 레이어 2 포트 미러링의 명명된 인스턴스 정의를 참조하십시오.
MX 시리즈 라우터와 EX 시리즈 스위치의 DPC 또는 FPC의 수와 유형, 각각의 패킷 전달 엔진 수, 패킷 전달 엔진당 포트의 수와 유형에 대한 정보를 표시합니다.
레이어 2 포트 미러링의 명명된 인스턴스를 DPC 또는 FPC와 해당 패킷 전달 엔진에 바인딩하려면:
레이어 2 포트 미러링을 PIC 수준에서 그룹화된 포트로 바인딩
MX 시리즈 라우터와 EX 시리즈 스위치에서 레이어 2 포트 미러링의 명명된 인스턴스를 특정 패킷 전달 엔진(DPC)과 연결된 포트 또는 특정 PIC와 연결된 포트(FPC에 설치)에 바인딩할 수 있습니다. 이는 라우터(또는 스위치) 섀시의 PIC 수준에서 레이어 2 포트 미러링의 명명된 인스턴스를 바인딩하는 것으로 알려져 있습니다. 명명된 인스턴스에 지정된 포트 미러링 속성은 지정된 패킷 전달 엔진과 관련된 모든 물리적 포트에 적용됩니다.
레이어 2 포트 미러링의 명명된 인스턴스를 라우터(또는 스위치) 섀시의 특정 DPC 또는 FPC에 바인딩할 수도 있습니다.
레이어 2 포트 미러링에서 지원하는 모든 패킷 유형 제품군의 경우:
특정 패킷 전달 엔진에 바인딩된 포트 미러링 속성은 DPC 또는 FPC 수준에서 구성된 모든 포트 미러링 속성을 재정의합니다.
특정 DPC 또는 FPC에 바인딩된 포트 미러링 속성은 글로벌 수준에서 구성된 모든 포트 미러링 속성을 재정의합니다.
라우터(또는 스위치) 섀시 내의 동일한 포트 그룹에 최대 2개의 레이어 2 포트 미러링 인스턴스를 적용할 수 있습니다. 동일한 패킷 전달 엔진 또는 PIC에 두 개의 서로 다른 포트 미러링 인스턴스를 적용하면 두 개의 개별 레이어 2 포트 미러링 사양을 단일 포트 그룹에 바인딩할 수 있습니다.
MX960 라우터의 경우 패킷 전달 엔진과 이더넷 포트의 일대일 매핑이 있습니다. 따라서 MX960 라우터에서만 레이어 2 포트 미러링의 명명된 인스턴스를 포트와 연결된 패킷 전달 엔진에 바인딩하여 특정 포트에 바인딩할 수 있습니다.
시작하기 전에 다음 작업을 완료하십시오.
레이어 2 포트 미러링의 명명된 인스턴스를 정의합니다. 레이어 2 포트 미러링의 명명된 인스턴스 정의를 참조하십시오.
MX 시리즈 라우터 또는 EX 시리즈 스위치의 DPC 수 및 유형, 각 DPC의 패킷 포워딩 엔진 수, 패킷 포워딩 엔진당 포트 수 및 유형에 대한 정보를 표시합니다.
레이어 2 포트 미러링의 명명된 인스턴스를 패킷 전달 엔진에 바인딩하려면:
예: 섀시의 여러 수준에서 레이어 2 포트 미러링
MX 시리즈 라우터 또는 EX 시리즈 스위치에서 섀시의 FPC 또는 DPC 수준 또는 섀시의 PIC 수준에서 레이어 2 포트 미러링의 명명된 인스턴스를 적용할 수 있습니다. 그러나 레이어 2 포트 미러링의 전역 인스턴스를 하나만 전체 섀시에 구성하고 암시적으로 적용할 수 있습니다.
FPC 수준에서 레이어 2 포트 미러링
MX 시리즈 라우터 또는 EX 시리즈 스위치 섀시의 이 구성 예에서 레이어 2 포트 미러링(pm1)의 명명된 인스턴스는 FPC 수준에서 그룹화된 물리적 포트에 바인딩됩니다.
[edit] chassis { fpc 2 { port-mirror-instance pm1; } }
이것은 완전한 구성이 아닙니다. 슬롯 2의 FPC 또는 DPC와 관련된 물리적 인터페이스는 계층 수준에서 구성해야 [edit interfaces]
합니다. 레이어 2 포트 미러링 명명된 인스턴스는 pm1 계층 수준에서 구성해야 [edit forwarding-options port-mirroring instance]
합니다.
PIC 수준에서 레이어 2 포트 미러링
MX 시리즈 라우터 또는 EX 시리즈 스위치 섀시의 이 구성 예에서 레이어 2 포트 미러링(pm2)의 명명된 인스턴스는 PIC 수준에서 그룹화된 물리적 포트에 바인딩됩니다.
[edit] chassis { fpc 2 { pic 0 { port-mirror-instance pm2; } } }
이것은 완전한 구성이 아닙니다. 슬롯 2의 FPC 또는 DPC와 관련된 물리적 인터페이스는 계층 수준에서 구성해야 [edit interfaces]
합니다. 레이어 2 포트 미러링 명명된 인스턴스는 pm2 계층 수준에서 구성해야 [edit forwarding-options port-mirroring instance]
합니다.
FPC 및 PIC 수준에서 레이어 2 포트 미러링
MX 시리즈 라우터 섀시 또는 EX 시리즈 스위치의 이 구성 예에서는 레이어 2 포트 미러링(pm1)의 명명된 인스턴스 하나가 라우터(또는 스위치) 섀시의 FPC 수준에 적용됩니다. 두 번째 명명된 인스턴스(pm2)가 PIC 수준에서 적용됩니다.
[edit] chassis { fpc 2 { port-mirror-instance pm1; pic 0 { port-mirror-instance pm2; } } }
이것은 완전한 구성이 아닙니다. 와 관련된 pic 0물리적 인터페이스를 포함하여 슬롯 2의 FPC 또는 DPC와 관련된 물리적 인터페이스는 계층 수준에서 구성해야 [edit interfaces]
합니다. 레이어 2 포트는 명명된 인스턴스를 pm1 미러링하며 pm2 계층 수준에서 구성해야 [edit forwarding-options port-mirroring instance]
합니다.
GRE 인터페이스를 통한 레이어 2 포트 미러링 구성
포트 미러링은 라우터가 분석을 위해 패킷 사본을 외부 호스트 주소 또는 패킷 분석기로 보내는 기능입니다. 포트 미러링을 위한 하나의 애플리케이션은 중복 패킷을 가상 터널로 보냅니다. 그런 다음 이 중복 패킷의 복사본을 여러 인터페이스로 전달하도록 다음 홉 그룹을 구성할 수 있습니다. Junos OS는 GRE 인터페이스를 통해 원격 컬렉터로의 레이어 2 포트 미러링을 지원합니다.
GRE 인터페이스를 통해 레이어 2 포트 미러링을 구성하려면 다음을 수행합니다.
참조
예: GRE 인터페이스를 통한 레이어 2 포트 미러링 구성
이 예는 분석을 위해 GRE 인터페이스를 통해 레이어 2 포트 미러링을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MX 시리즈 라우터 1개
모든 디바이스에서 Junos OS 릴리스 16.1 이상 실행
개요
포트 미러링은 라우터가 분석을 위해 패킷 사본을 외부 호스트 주소 또는 패킷 분석기로 보내는 기능입니다. 포트 미러링을 위한 하나의 애플리케이션은 중복 패킷을 가상 터널로 보냅니다. 그런 다음 이 중복 패킷의 복사본을 여러 인터페이스로 전달하도록 다음 홉 그룹을 구성할 수 있습니다. Junos OS 릴리스 16.1부터 GRE 인터페이스를 통해 원격 컬렉터로의 레이어 2 포트 미러링이 지원됩니다.
토폴로지
그림 1 은(는) GRE 인터페이스를 통해 구성된 포트 미러링을 보여줍니다. 인터페이스 gr-4/0/0은 패밀리 브리지로 구성됩니다. 방화벽 제품군 브리지 필터 f1은 포트 미러링으로 구성됩니다. 미러 대상은 gr-4/0/0으로 구성됩니다. 방화벽 제품군 브리지 필터 f1은 xe-3/2/5.0 인터페이스의 수신 및 송신에 적용되며, 이 인터페이스는 패킷을 미러링하여 대상 gr-4/0/0을 미러링합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
R0
set chassis fpc4 pic0 tunnel-services bandwidth 10g set chassis network-services enhanced-ip set interfaces xe-3/2/5 flexible-vlan-tagging set interfaces xe-3/2/5 encapsulation flexible-ethernet-services set interfaces xe-3/2/5 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/5 unit 0 vlan-id 100 set interfaces xe-3/2/5 unit 0 family bridge filter input f1 set interfaces xe-3/2/5 unit 0 family bridge filter output f1 set interfaces xe-3/2/9 flexible-vlan-tagging set interfaces xe-3/2/9 encapsulation flexible-ethernet-services set interfaces xe-3/2/9 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/9 unit 0 vlan-id 100 set interfaces gr-4/0/0 unit 0 tunnel source 10.1.1.1 set interfaces gr-4/0/0 unit 0 tunnel destination 10.1.1.2 set interfaces gr-4/0/0 unit 0 family bridge interface-mode trunk set interfaces gr-4/0/0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring input rate 1 set forwarding-options family vpls output interface gr-4/0/0.0 set firewall family bridge filter f1 term t then count c set firewall family bridge filter f1 term t then port-mirror set bridge-domains b vlan-id 100 set bridge-domains b interface xe-3/2/5.0 set bridge-domains b interface xe-3/2/9.0
R0 구성
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 "Using the CLI Editor in Configuration Mode"를 참조하십시오.
디바이스 R0 구성:
섀시의 유연한 PIC concentrator 매개 변수를 구성합니다.
[edit chassis] user@R0# set fpc4 pic0 tunnel-services bandwidth 10g user@R0# set network-services enhanced-ip
섀시의 향상된 네트워크 서비스를 구성합니다.
[edit chassis] user@R0# set network-services enhanced-ip
인터페이스를 구성합니다.
[edit interfaces] user@R0# set xe-3/2/5 flexible-vlan-tagging user@R0# set xe-3/2/5 encapsulation flexible-ethernet-services user@R0# set xe-3/2/5 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/5 unit 0 vlan-id 100 user@R0# set xe-3/2/5 unit 0 family bridge filter input f1 user@R0# set xe-3/2/5 unit 0 family bridge filter output f1 user@R0# set xe-3/2/9 flexible-vlan-tagging user@R0# set xe-3/2/9 encapsulation flexible-ethernet-services user@R0# set xe-3/2/9 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/9 unit 0 vlan-id 100 user@R0# set gr-4/0/0 unit 0 tunnel source 10.1.1.1 user@R0# set gr-4/0/0 unit 0 tunnel destination 10.1.1.2 user@R0# set gr-4/0/0 unit 0 family bridge interface-mode trunk user@R0# set gr-4/0/0 unit 0 family bridge vlan-id 100
샘플링할 입력 패킷의 속도를 구성합니다.
[edit forwarding-options] user@R0# set port-mirroring input rate 1
미러링할 VPLS 주소 패킷 제품군에 대한 출력 인터페이스를 구성합니다.
[edit forwarding-options] user@R0# set family vpls output interface gr-4/0/0.0
방화벽 필터에 대한 프로토콜 제품군 BRIDGE를 구성합니다.
[edit firewall] user@R0# set family bridge filter f1 term t then count c user@R0# set family bridge filter f1 term t then port-mirror
브리지 도메인에 대한 VLAN ID를 구성합니다.
[edit bridge-domains] user@R0# set b vlan-id 100 user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
브리지 도메인에 대한 인터페이스를 구성합니다.
[edit bridge-domains] user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
결과
구성 모드에서 show bridge-domains, show chassis, show forwarding-options, show firewall 및 show interfaces 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@R0# show chassis fpc 4 { pic 0 { tunnel-services { bandwidth 10g; } } } network-services enhanced-ip;
user@R0# show interfaces } xe-3/2/5 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { encapsulation vlan-bridge; vlan-id 100; family bridge { filter { input f1; output f1; } } } } xe-3/2/9 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { encapsulation vlan-bridge; vlan-id 100; } } gr-4/0/0 { unit 0 { tunnel { source 10.1.1.1; destination 10.1.1.2; } family bridge { interface-mode trunk; vlan-id 100; } } }
user@R0# show forwarding-options port-mirroring { input { rate 1; } family vpls { output { interface gr-4/0/0.0; } } }
user@R0# show firewall family bridge { filter f1 { term t { then { count c; port-mirror; } } } }
user@R0# show bridge-domains b { vlan-id 100; interface xe-3/2/5.0; interface xe-3/2/9.0; }
검증
구성이 올바르게 작동하고 있는지 확인합니다.
트래픽의 포트 미러링 확인
목적
트래픽 정보의 포트 미러링을 표시합니다.
작업
디바이스 R0에서 작동 모드에서 명령을 실행하여 show forwarding-options port-mirroring
트래픽 정보의 포트 미러링을 표시합니다.
user@R0> show forwarding-options port-mirroring
Instance Name: & globalinstance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
Instance Name: pm_instance
Instance Id: 2
Input parameters:
Rate : 10
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
의미
출력은 트래픽 정보의 포트 미러링을 보여줍니다.