Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

SUMMARY Los filtros selectivos de duplicación de paquetes pueden servir como un mecanismo de solución de problemas altamente efectivo y también se pueden usar para fines de monitoreo del rendimiento.

Descripción de la creación de reflejo de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

Este documento se centra en la capacidad de seleccionar tráfico mediante una amplia variedad de condiciones de coincidencia de filtros IPv4 o IPv6 y de reflejar paquetes enteros con su información original de encabezado de capa 2.

La información del encabezado de capa 2 puede ser esencial para identificar a un cliente específico en una implementación de enrutador perimetral o a un par de Internet específico en un caso de emparejamiento público.

Características de la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

En pocas palabras, puede reflejar el encabezado original del paquete de capa 2 cuando la l2-mirror acción está configurada en un family inet filtro o family inet6 . Los paquetes se pueden duplicar local o remotamente mediante túneles GRE.

Si especifica la interfaz de salida en la configuración de creación de reflejo como una interfaz de túnel GRE, los paquetes se encapsulan en GRE antes de la transmisión. Una instancia de duplicación de puertos se puede configurar con varias familias de protocolos de salida.

Limitaciones para la configuración de creación de reflejo a nivel de paquete

  • La nueva acción, l2-mirror, sólo se admite para family inet y family inet6filtra.

  • La duplicación de capa 2 no es compatible con interfaces gr-*/*/**.

Configurar un filtro con una instancia de creación de reflejo de puerto o con creación de reflejo de puerto global

Puede configurarse l2-mirror en firewall family (inet | inet6) filter filter-name term then port-mirror (creación de reflejo de puerto global) o firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (instancias de duplicación de puertos, o "instancias de PM").

Haber l2-mirror configurado para un término indica que para los paquetes que coinciden con este término, el paquete de capa 2 se refleja. El software realiza comprobaciones de confirmación en busca de configuraciones no válidas, como cuando l2-mirror está configurado pero no se configura ninguna interfaz de salida de duplicación de puerto en family any la configuración de duplicación de puertos a nivel global o de instancia. Si desactiva l2-mirror, el comportamiento de creación de reflejo vuelve a la creación de reflejo de capa 3.

Los dos ejemplos siguientes muestran la configuración de un filtro (el nombre del filtro en los ejemplos es f1) con una instancia de creación de reflejo de puertos y con una creación de reflejo de puerto global. En ambos ejemplos, el tráfico se refleja en el destino remoto a través de un túnel GRE.

Nota:

Las configuraciones de duplicación de puertos, que se encuentran en forwarding-options, se configuran con family any, pero las condiciones de coincidencia en la configuración del filtro se realizan en family inet. El uso family any permite la creación de reflejo de paquetes de capa 2.
  1. Para configurar el filtro con una instancia de duplicación de puertos:
    Nota:

    Puede especificar una interfaz gr- como destino espejo. Consulte Configuración de tunelización de encapsulación de enrutamiento genérico en la serie ACX para obtener información sobre la configuración de interfaces gr- (el documento se refiere específicamente a los enrutadores de la serie ACX; la misma información se aplica a otros enrutadores, incluidos MX10003).
  2. Para configurar el filtro con la creación de reflejo global de puertos:

Configurar la creación de reflejo para túneles FTI

Cuando la ruta de datos atraviesa un túnel de interfaz de túnel flexible (FTI), el paquete de salida se envía con encapsulación de túnel. Puede configurar una configuración que refleje el paquete original, así como el paquete con todas las encapsulaciones a medida que sale.

Para reflejar el paquete original, configure la duplicación de entrada en la interfaz WAN de entrada.

Para reflejar el paquete con todas las encapsulaciones, habilite la creación de reflejo de salida en la interfaz WAN de salida.

Para habilitar la creación de reflejo basada en un filtro instalado en la interfaz FTI, utilice un proceso de dos pasos:

  1. Los paquetes se marcan para la creación de reflejo mediante la acción de política en la interfaz fti-. La acción de política se utiliza normalmente para seleccionar la regla de reescritura de salida, pero en este caso, la acción de política se utiliza para marcar paquetes interesantes con un atributo de política interna, sin ninguna regla de reescritura especial configurada.
  2. Tiene los paquetes de intercepción de software que coinciden con la política específica en el lado de la WAN de salida e inicia la l2-mirror acción. Los paquetes se notifican con información del encabezado de capa 2, incluida la encapsulación del túnel.
Nota:

En el siguiente ejemplo se muestra la creación de reflejo de puertos de capa 3. Para obtener la duplicación de puertos de capa 2, simplemente configure la l2-mirror acción como se muestra en los ejemplos anteriores de este documento.
  1. Defina policy-map policy-map-name bajo la class-of-service estrofa:
  2. Aplique un filtro de salida en la FTI con la acción policy-map pm1:
  3. El siguiente resultado de configuración muestra la configuración de FTI en la interfaz fti0.1001. (Para obtener más detalles sobre la configuración de un túnel FTI, consulte Descripción general de interfaces de túnel flexibles.)
  4. Agregue un filtro (aquí denominado mirror-all) en la interfaz WAN de salida con coincidencia de policy-map pm1 then port-mirror:

Puntos de fijación para filtros

Punto de conexión del filtro Tipo de interfaz Encabezado de capa 2 de paquete duplicado
Entrada Cualquier Ethernet excepto gr- y fti- Se informa del encabezado de capa 2 del paquete entrante
Salida Cualquier Ethernet excepto gr- y fti- Se informa del encabezado de capa 2 del paquete entrante
Entrada o salida Interfaz GR- No compatible
Entrada Interfaz FTI Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Salida Interfaz FTI Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Entrada Interfaz IRB Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Salida Interfaz IRB No compatible

Sugerencias para mejorar la configuración del filtrado de paquetes

Tenga en cuenta lo siguiente como práctica adicional para mejorar la configuración de la telemetría de red de filtros:

Puede utilizar filtros de cadena de entrada y de cadena de salida para separar la configuración de filtros utilizada para la creación de reflejo de los filtros existentes, lo que le ayudará a evitar errores de configuración inadvertidos durante la solución de problemas. Para obtener más información sobre esta característica, consulte Ejemplo: Uso de cadenas de filtro de firewall.