Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía de administración y monitoreo de red Imitación de puerto Duplicación de puertos y analizadores

Guía de administración y monitoreo de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía de administración y monitoreo de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Configuración de la creación de reflejo de puertos en interfaces lógicas

date_range 18-Jan-25
arrow_backward
arrow_forward

Filtros de firewall de duplicación de puertos de capa 2

En este tema se describe la siguiente información:

Descripción general de los filtros de firewall de duplicación de puertos de capa 2

En un enrutador de la serie MX y en un conmutador de la serie EX, puede configurar un término de filtro de firewall para especificar que la duplicación de puerto de capa 2 se debe aplicar a todos los paquetes de la interfaz a la que se aplica el filtro de firewall.

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.

Los enrutadores y conmutadores de la serie MX admiten la duplicación del puerto de capa 2 del tráfico VPLS (family ethernet-switching o family vpls) y el tráfico VPN de capa 2 en family ccc un entorno de capa 2

Dentro de un filtro termde firewall, puede especificar las propiedades de duplicación de puertos de capa 2 en la then instrucción de cualquiera de las siguientes maneras:

  • Haga referencia implícita a las propiedades de duplicación de puertos de capa 2 vigentes en el puerto.

  • Haga referencia explícita a una instancia con nombre concreta de creación de reflejo de puertos de capa 2.

Nota:

Cuando configure un filtro de firewall de duplicación de puertos de capa 2, no incluya la instrucción opcional from que especifica condiciones de coincidencia según la dirección de origen de la ruta. Omita esta instrucción para que se considere que todos los paquetes coinciden y se tomen todos y cada actions uno action-modifiers especificados en la then instrucción.

Si desea reflejar todos los paquetes entrantes, no debe utilizar la instrucción de; /*comentario: Uno configura los términos de filtro con desde si están interesados en reflejar solo un subconjunto de paquetes.

Nota:

Si asocia enrutamiento y puente integrados (IRB) con la VLAN (o instancia de enrutamiento VPLS) y también configura dentro de la VLAN (o instancia de enrutamiento VPLS) un filtro de tabla de reenvío con la port-mirror acción o port-mirror-instance , el paquete IRB se refleja como un paquete de capa 2. Puede deshabilitar este comportamiento configurando la instrucción no-irb-layer-2-copy en la VLAN (o instancia de enrutamiento VPLS).

Para obtener una descripción detallada de cómo configurar un filtro de firewall de duplicación de puertos de capa 2, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

Para obtener información detallada acerca de cómo puede usar los filtros de firewall de duplicación de puertos de capa 2 con enrutadores MX y conmutadores serie EX configurados como enrutadores perimetrales de proveedor (PE) o conmutadores PE, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces lógicas de enrutadores PE. Para obtener información detallada acerca de la configuración de filtros de firewall en general (incluso en un entorno de capa 3), consulte la Guía del usuario de Políticas de enrutamiento, filtros de firewall y Controladores de tráfico.

Creación de reflejo de paquetes recibidos o enviados en una interfaz lógica

Para reflejar el tráfico de capa 2 recibido o enviado en una interfaz lógica, aplique un filtro de firewall de duplicación de puertos a la entrada o salida de la interfaz.

También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada. Para obtener más información, consulte Descripción de la creación de reflejo de puertos de capa 2 de interfaces Ethernet agregadas del enrutador PE.

Nota:

Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, puede habilitar la opción "mirror-once" para la duplicación de puertos de capa 2 en la instancia global para la familia de direcciones de paquetes de capa 2.

Duplicación de paquetes reenviados o inundados a una VLAN

Para reflejar el tráfico de capa 2 reenviado o inundado a una VLAN, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Cualquier paquete recibido para la tabla de reenvío o inundación de VLAN y que coincida con las condiciones del filtro se refleja.

Para obtener más información acerca de las VLAN, consulte Descripción de los dominios de puente de capa 2 . Para obtener información sobre el comportamiento de inundación en una VLAN, consulte Descripción del aprendizaje y reenvío de capa 2 para dominios de puente .

Nota:

Cuando se configura la creación de reflejo de puertos en cualquier interfaz bajo una VLAN, el paquete reflejado puede moverse a un analizador externo ubicado en VLAN diferentes.

Creación de reflejo de paquetes reenviados o inundados a una instancia de enrutamiento VPLS

Para reflejar el tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS, aplique un filtro de firewall de duplicación de puertos a la entrada a la tabla de reenvío o a la tabla de inundación. Se refleja cualquier paquete recibido para la tabla de inundación o reenvío de la instancia de enrutamiento de VPLS y que coincida con la condición de filtro.

Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Definición de un filtro de firewall de duplicación de puertos de capa 2

Para el tráfico del servicio de LAN privada virtual (VPLS) (family ethernet-switching o family vpls) y para las VPN de capa 2 con familia cccen enrutadores serie MX y solo en conmutadores serie EX, puede definir un filtro de firewall que especifique la creación de reflejo del puerto de capa 2 como la acción que debe realizarse si un paquete cumple las condiciones configuradas en el término del filtro de firewall.

Puede utilizar un filtro de firewall de duplicación de puertos de capa 2 de las siguientes maneras:

  • Para reflejar paquetes recibidos o enviados en una interfaz lógica.

  • Para reflejar paquetes reenviados o inundados a una VLAN.

  • Para reflejar paquetes reenviados o inundados a una instancia de enrutamiento VPLS.

  • Para reflejar paquetes de entrada de interfaz de túnel solo a varios destinos.

Para obtener un resumen de los tres tipos de duplicación de puertos de capa 2 que puede configurar en un enrutador de la serie MX y en un conmutador de la serie EX, consulte Aplicación de los tipos de duplicación de puertos de capa 2.

Para definir un filtro de firewall con una acción de duplicación de puertos de capa 2:

  1. Habilite la configuración de filtros de firewall para paquetes de capa 2 que forman parte de una VLAN, una conexión cruzada de conmutación de capa 2 o un servicio de LAN privada virtual (VPLS):
    content_copy zoom_out_map
    [edit]
user@host# edit firewall family family

    El valor de la family opción puede ser ethernet-switching , ccc, o vpls.

  2. Habilite la configuración de un filtro pm-filter-namede firewall:
    content_copy zoom_out_map
    [edit firewall family family]
user@host# edit filter pm-filter-name
  3. Habilite la configuración de un término pm-filter-term-namede filtro de firewall:
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name]
user@host# edit term pm-filter-term-name
  4. (Opcional) Especifique las condiciones de coincidencia del filtro de firewall en función de la dirección de origen de la ruta solo si desea reflejar un subconjunto de los paquetes de muestra.
    Nota:

    Si desea que todos los paquetes muestreados se consideren coincidentes (y que estén sujetos a las acciones especificadas en la then instrucción), omita la from instrucción por completo.

  5. Habilite la configuración de y para aplicar a los actionaction-modifier paquetes coincidentes:
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name term pm-filter-term-name]
user@host# edit then
  6. Especifique las acciones que se deben realizar en los paquetes coincidentes:
    content_copy zoom_out_map
    [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set action

    El valor recomendado para el action es accept. Si no especifica una acción, o si omite la then instrucción por completo, se aceptarán todos los paquetes que coincidan con las condiciones de la from instrucción.

  7. Especifique la action-modifiercreación de reflejo del puerto de capa 2 o un grupo del próximo salto como:

    • Para hacer referencia a las propiedades de creación de reflejo de puerto de capa 2 actualmente vigentes para el motor de reenvío de paquetes o PIC asociado con la interfaz física subyacente, utilice la port-mirror instrucción:

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set port-mirror

    • Para hacer referencia a las propiedades de creación de reflejo de puertos de capa 2 configuradas en una instancia con nombre específica, utilice el modificador de acción port-mirror-instancepm-instance-name :

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set port-mirror-instance pm-instance-name

      Si la interfaz física subyacente no está enlazada a una instancia con nombre de creación de reflejo de puerto de capa 2, sino que está implícitamente enlazada a la instancia global de creación de reflejo de puerto de capa 2, el tráfico en la interfaz lógica se refleja de acuerdo con las propiedades especificadas en la instancia con nombre a la que hace referencia el port-mirror-instance modificador de acción.

    • Para hacer referencia a un grupo del salto siguiente que especifica las direcciones del salto siguiente (para enviar copias adicionales de paquetes a un analizador), utilice el modificador de acción next-hop-group pm-next-hop-group-name :

      content_copy zoom_out_map
      [edit firewall family family filter pm-filter-name term pm-filter-term-name then]
user@host# set next-hop-group pm-next-hop-group-name

      Para obtener información de configuración acerca de los grupos del próximo salto, consulte Definición de un grupo del siguiente salto para la creación de reflejo de puertos de capa 2. Si especifica un grupo de salto siguiente para la creación de reflejo de puertos de capa 2, el término filtro de firewall se aplica únicamente a la entrada de la interfaz de túnel.

  8. Verifique la configuración mínima del filtro de firewall de duplicación de puertos de capa 2:
    content_copy zoom_out_map
    [edit firewall ... ]
user@host# top
[edit]
user@host# show firewall
 
family (ethernet-switching | ccc | vpls) { # Type of packets to mirror
    filter pm-filter-name { # Firewall filter name
        term pm-filter-term-name {
            from { # Do not specify match conditions based on route source address
            }
            then {
                action; # Recommended action is ’accept’
                action-modifier; # Three options for Layer 2 port mirroring
            }
        }
    }
}

    En la instrucción de término then del filtro del firewall, el action-modifier puede ser port-mirror, port-mirror-instance , o next-hop-group pm-next-hop-group-name.

Configuración del filtro de firewall independiente del protocolo para la creación de reflejo de puertos

En los enrutadores de la serie MX con MPC, puede configurar un filtro de firewall para reflejar los paquetes de capa 2 y capa 3 a nivel global y a nivel de instancia. Cuando se configura el espejo de puerto en la entrada o salida, se copia el paquete que entra o sale de una interfaz y las copias se envían a la interfaz local para la supervisión local.

Nota:

A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten family any la creación de reflejo de puertos. Las interfaces DPC no admiten family anyarchivos .

Normalmente, el filtro de firewall está configurado de tal manera que refleja los paquetes de capa 2 o capa 3 según la familia configurada en la interfaz. Sin embargo, en el caso de una interfaz de enrutamiento y puente integrados (IRB), los paquetes de capa 2 no se reflejan completamente porque las interfaces IRB están configuradas para reflejar solo paquetes de capa 3. En una interfaz de este tipo, puede configurar un filtro de firewall y parámetros de duplicación de puertos en la familia any para garantizar que un paquete se refleje completamente, independientemente de si se trata de un paquete de capa 2 o de capa 3.

Nota:

  • Para la creación de reflejo de puertos en una instancia, puede configurar una o más familias como inet, inet6, ccc, y vpls simultáneamente para la misma instancia.

  • En el caso de la duplicación de puertos de capa 2, las etiquetas VLAN y los encabezados MPLS se conservan y se pueden ver en la copia duplicada a la salida.

  • Para la normalización de VLAN, la información antes de la normalización se ve para un paquete reflejado en la entrada. Del mismo modo, en la salida, la información después de la normalización se ve para el paquete reflejado.

Antes de empezar a configurar la creación de reflejo de puertos, debe configurar interfaces físicas válidas.

Para configurar un filtro de firewall independiente del protocolo para la creación de reflejo de puertos:

  1. Configure un filtro de firewall global para reflejar el tráfico de salida, salida o entrada.
    content_copy zoom_out_map
    [edit firewall family any]
user@host# set filter filter-name {
    term term-name {
        then {
            port-mirror;
            accept;
        }
    }
}
  2. Configure un filtro de firewall para reflejar el tráfico de una instancia.
    content_copy zoom_out_map
    [edit firewall family any]
user@host# set filter filter-name {
    term term-name {
        then {
            port-mirror-instance instance-name;
            accept;
        }
    }
}
  3. Configure los parámetros de creación de reflejo para el tráfico de salida y de entrada.
    content_copy zoom_out_map
    [edit forwarding-options port-mirroring]
user@host# input {
    maximum-packet-length bytes
    rate rate;
}
family any {
    output {
        (next-hop-group group-name | interface interface-name);
    }
}
  4. Configure los parámetros de creación de reflejo para una instancia. En esta configuración, puede especificar el resultado o el destino de los paquetes de capa 2 para que sean un grupo de próximo salto válido o una interfaz de capa 2.
    content_copy zoom_out_map
    [edit forwarding-options port-mirroring]
user@host#instance instance-name {
    family any{
        output {
            (next-hop-group group-name | interface interface-name);
        }
    }
}
  5. Configure el filtro de firewall en la interfaz de entrada o salida en la que se transmiten los paquetes.
    content_copy zoom_out_map
    [edit interface interface-name unit]
user@host# filter {
    output filter-name;
    input filter-name;
}

Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador

  • Junos 14.1X53-D20

Descripción general

En este ejemplo, xe-0/0/0 y xe-0/0/6 sirven como conexiones para las computadoras de los empleados. La interfaz xe-0/0/47 está conectada a un dispositivo que ejecuta una aplicación analizadora.

En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. En este ejemplo solo se refleja el tráfico enviado desde los equipos de los empleados a la Web.

Topología

Figura 1 muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de topología de red para creación de reflejo de puerto localEjemplo de topología de red para creación de reflejo de puerto local

Configurar

Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:

content_copy zoom_out_map
[edit]
 set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24
 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
 set firewall family inet filter watch-employee term employee-to-corp then accept
 set firewall family inet filter watch-employee term employee-to-web from destination-port 80
 set firewall family inet filter watch-employee term employee-to-web then port-mirror
 set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24
 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24
 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee
 set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
Nota:

El ip-address comando bajo set forwarding options port-mirroring family inet output no es compatible con la plataforma EX9253.

Procedimiento paso a paso

Para configurar la creación de reflejo del puerto local del tráfico de empleados a la web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure una instancia de duplicación de puertos, incluida la interfaz de salida y la dirección IP del dispositivo que ejecuta la aplicación del analizador como el próximo salto. (Configure solo la salida: la entrada proviene del filtro). También debe especificar que la réplica es para el tráfico IPv4 (family inet).

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28

  2. Configure un filtro de firewall IPv4 (family inet) llamado watch-employee que incluya un término para hacer coincidir el tráfico enviado a la Web y enviarlo a la instancia de creación de reflejo de puertos. No es necesario copiar el tráfico enviado a y procedente de la subred corporativa (destino o dirección de origen de ) , así que primero cree otro término para aceptar ese tráfico antes de 192.0.nn.nn/24que llegue al término que envía el tráfico web a la instancia:

    content_copy zoom_out_map
    [edit firewall family inet]
er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24
user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24
user@switch# set filter watch-employee term employee-to-corp then accept
user@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirror

  3. Configure direcciones para las interfaces IPv4 conectadas a los equipos de los empleados y al dispositivo analizador:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24
user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24
user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24

  4. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee
user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show 
forwarding-options {
    port-mirroring {
            employee-web-monitor	{
                output { 
                    ip-address 192.0.2.100.0;
                    } 
                }
            }
        } 
    }
}
...
firewall family inet {
    filter watch-employee {
        term employee-to-corp {
            from {
                destination-address 192.0.2.16/24;
                source-address 192.0.2.16/24;
            }
            then accept {
        }
        term employee-to-web {
            from {
                destination-port 80;
            }
            then port-mirror;
        }
    }
}
...
interfaces {
    xe-0/0/0 {
        unit 0 {
            family inet {
                filter {
                    input watch-employee;
                }
            }
        }
    }
    xe-0/0/6 {
        family inet {
            filter {
                input watch-employee;
            }
        }
    }
}

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que el analizador se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador de espejo de puertos se ha configurado como se esperaba mediante el show forwarding-options port-mirroring comando.

content_copy zoom_out_map
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance               
  Instance Id: 1              
  Input parameters:
    Rate                  : 1
    Run-length            : 0
    Maximum-packet-length : 0
  Output parameters:
    Family              State     Destination          Next-hop
    inet                up      xe-0/0/47.0          192.0.2.100
Significado

Este resultado muestra que la instancia de duplicación de puertos tiene una proporción de 1 (duplicación de cada paquete, la configuración predeterminada) y el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será down y la instancia no se programará para la creación de reflejo.

Duplicación de puertos de capa 2 de interfaces lógicas de enrutador PE o conmutador de PE

Para un enrutador o conmutador configurado como dispositivo perimetral de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puerto de capa 2 en los siguientes puntos de entrada y salida para reflejar el tráfico entre el enrutador o conmutador y los dispositivos perimetrales del cliente (CE), que normalmente también son enrutadores y conmutadores Ethernet.

Tabla 1 describe las formas en que puede aplicar filtros de firewall de duplicación de puertos de capa 2 a un enrutador o conmutador configurado como dispositivo PE.

Tabla 1: Aplicación de filtros de firewall de duplicación de puertos de capa 2 en dispositivos PE

Punto de aplicación

Alcance de la creación de reflejo

Notas

Detalles de configuración

Interfaz lógica orientada al cliente de entrada

Paquetes que se originan en la red de un cliente proveedor de servicios, se envían primero a un dispositivo CE y se envían junto al dispositivo PE.

También puede configurar interfaces Ethernet agregadas entre dispositivos CE y PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada.

El tráfico recibido en una interfaz Ethernet agregada se reenvía a través de una interfaz diferente según una búsqueda de la dirección MAC de destino (DMAC):

  • Los paquetes destinados a un sitio local se envían fuera de la interfaz secundaria con equilibrio de carga.

  • Los paquetes destinados al sitio remoto se encapsulan y reenvían a través de una ruta de conmutación de etiquetas (LSP).

Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.

Para obtener más información acerca de las instancias de enrutamiento VPLS, consulte Configuración de una instancia de enrutamiento VPLS y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.

Interfaz lógica de salida orientada al cliente

Paquetes de unidifusión reenviados por el dispositivo PE a otro dispositivo PE.

NOTE:Si aplica un filtro de duplicación de puertos a la salida de una interfaz lógica, solo se reflejan los paquetes de unidifusión. Para reflejar paquetes de multidifusión, unidifusión desconocida y difusión, aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento VLAN o VPLS.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.

Entrada a una tabla de reenvío de VLAN o una tabla de inundación

Reenvío de tráfico o tráfico de inundación enviado a la VLAN desde un dispositivo CE.

El tráfico de reenvío e inundación suele estar compuesto por paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de destino desconocida o paquetes con una entrada MAC en la tabla de enrutamiento DMAC.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Entrada a una tabla de reenvío de instancia de enrutamiento VPLS o tabla de inundación

Reenvío de tráfico o tráfico de inundación enviado a la instancia de enrutamiento VPLS desde un dispositivo CE.

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Para obtener información sobre el comportamiento de inundación en VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Duplicación de puertos de capa 2 de interfaces Ethernet agregadas de enrutador PE o conmutador PE

Una interfaz Ethernet agregada es un vínculo agregado virtual que consta de un conjunto de interfaces físicas de la misma velocidad y que funcionan en modo de conexión de vínculo dúplex completo. Puede configurar interfaces Ethernet agregadas entre dispositivos CE y dispositivos PE para instancias de enrutamiento VPLS. El tráfico tiene un equilibrio de carga en todos los vínculos de la interfaz agregada. Si se produce un error en uno o más vínculos de la interfaz agregada, el tráfico se cambia a los vínculos restantes.

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz Ethernet agregada para configurar la duplicación de puertos en la interfaz principal. Sin embargo, si alguna interfaz secundaria está enlazada a diferentes instancias de duplicación de puertos de capa 2, los paquetes recibidos en las interfaces secundarias se reflejarán en los destinos especificados por sus respectivas instancias de duplicación de puertos. Por lo tanto, varias interfaces secundarias pueden reflejar paquetes a múltiples destinos.

Por ejemplo, supongamos que la instancia ae0 de interfaz Ethernet agregada principal tiene dos interfaces secundarias:

  • xe-2/0/0

  • xe-3/1/2

Supongamos que estas interfaces secundarias en ae0 están enlazadas a dos instancias diferentes de duplicación de puertos de capa 2:

  • pm_instance_A: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz xe-2/0/0secundaria.

  • pm_instance_B: una instancia con nombre de duplicación de puertos de capa 2, enlazada a la interfaz xe-3/1/2secundaria.

Ahora supongamos que aplica un filtro de firewall de duplicación de puertos de capa 2 al tráfico de capa 2 enviado ( ae0.0 unidad 0 lógica en la instancia 0de interfaz Ethernet agregada). Esto habilita la creación de reflejo de puertos en ae0.0, lo que tiene el siguiente efecto en el procesamiento del tráfico recibido en las interfaces secundarias para las que se especifican propiedades de duplicación de puertos de capa 2:

  • Los paquetes recibidos se reflejan en xe-2/0/0 las interfaces de salida configuradas en la instancia pm_instance_Ade duplicación de puertos.

  • Los paquetes recibidos se reflejan en xe-3/1/2.0 las interfaces de salida configuradas en la instancia pm_instance_Bde duplicación de puertos.

Dado que pm_instance_A y pm_instance_B puede especificar diferentes propiedades de selección de paquetes o propiedades de destino reflejado, los paquetes recibidos en xe-2/0/0 y xe-3/1/2.0 pueden reflejar diferentes paquetes a diferentes destinos.

Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 a la entrada o a la salida de una interfaz lógica, incluida una interfaz lógica Ethernet agregada. Sólo se reflejan los paquetes de la familia de tipos de direcciones especificada por la acción de filtrado.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 para aplicarlo a la entrada a una interfaz lógica o a una interfaz lógica. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos de capa 2: un filtro aplicado al tráfico de entrada de la interfaz lógica y un filtro aplicado al tráfico de salida de la interfaz lógica.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a una interfaz lógica de entrada o salida:

  1. Configure la interfaz física subyacente para la interfaz lógica.

    1. Habilite la configuración de la interfaz física subyacente:

      content_copy zoom_out_map
      [edit]
user@host# edit interfaces interface-name
      Nota:

      También se puede aplicar un filtro de firewall de duplicación de puertos a una interfaz lógica Ethernet agregada.


    2. Para las interfaces Gigabit Ethernet y las interfaces Ethernet agregadas configuradas para VPLS, habilite la recepción y transmisión de tramas etiquetadas con VLAN 802.1Q en la interfaz:

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# set vlan-tagging

    3. Para las interfaces Ethernet que tienen habilitado el etiquetado y el puente de VLAN IEEE 802.1Q y que deben aceptar paquetes que llevan 0x8100 TPID o un TPID definido por el usuario, establezca el tipo de encapsulación de capa de vínculo lógico:

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# set encapsulation extended-vlan-ethernet-switching
  2. Configure la interfaz lógica a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2.

    1. Especifique el número de unidad lógica:

      content_copy zoom_out_map
      [edit interfaces interface-name]
user@host# edit unit logical-unit-number

    2. Para una interfaz Gigabit Ethernet o Ethernet agregada, enlace un ID de etiqueta VLAN 802.1Q a la interfaz lógica:

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set vlan-id number
  3. Habilite la especificación de un filtro de entrada o salida que se aplicará a los paquetes de capa 2 que forman parte del dominio de puente, las conexiones cruzadas de conmutación de capa 2 o el servicio de LAN privada virtual (VPLS).

    • Si el filtro se va a evaluar cuando se reciben paquetes en la interfaz:

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set family family filter input pm-filter-name-a

    • Si el filtro debe evaluarse cuando se envían paquetes en la interfaz:

      content_copy zoom_out_map
      [edit interfaces interface-name unit logical-unit-number]
user@host# set family family filter output pm-filter-name-b

    El valor de la family opción puede ser ethernet-switching, ccc, o vpls.

    Nota:

    Si se aplican filtros de firewall de duplicación de puertos tanto en la entrada como en la salida de una interfaz lógica, se reflejan dos copias de cada paquete. Para evitar que el enrutador o conmutador reenvíe paquetes duplicados al mismo destino, incluya la instrucción opcional mirror-once en el nivel de [edit forwarding-options] jerarquía.

  4. Compruebe la configuración mínima para aplicar un filtro de firewall de creación de reflejo de puerto de capa 2 con nombre a una interfaz lógica:
    content_copy zoom_out_map
    [edit interfaces interface-name unit logical-unit-number family family filter ... ]
user@host# top
[edit]
user@host# show interfaces
 
interfaces {
    interface-name {
        vlan-tagging;
        encapsulation extended-vlan-ethernet-switching;
        unit number { # Apply a filter to the input of this interface
            vlan-id number;
            family (ethernet-switching | ccc | vpls) {
                filter {
                    input pm-filter-for-logical-interface-input;
                }
            }
        }
        unit number { # Apply a filter to the output of this interface 
            vlan-id number;
            family (ethernet-switching | ccc | vpls) {
                filter {
                    output pm-filter-for-logical-interface-output;
                }
            }
        }
    }
}

Aplicación de la duplicación de puertos de capa 2 al tráfico CCC familiar con interfaces lógicas Demux a través de Ethernet agregada

In port-mirroring configurations for Layer 2 families, you can use demultiplexing (demux) logical interfaces over aggregated Ethernet interfaces to substantially reduce the number of logical interfaces that are consumed by member physical interfaces under the AE bundle.

En este tema se proporcionan instrucciones y pasos para ayudarle a configurar las interfaces lógicas demux con este fin de ahorrar en el uso de interfaces físicas miembro en un paquete AE.

Directrices

Señalaremos los elementos de configuración que son específicos de este uso de la configuración de las interfaces lógicas demux sobre interfaces Ethernet agregadas.

  • Configure la familia de la siguiente manera ccc :

    • La configuración de duplicación de puertos en edit forwarding-options port mirroring family

    • La configuración del filtro de firewall en edit firewall family

    • La configuración de la interfaz demux en edit interfaces demux0 unit 0 family

  • Asegúrese de que las configuraciones de las familias de filtros de firewall y creación de reflejo de puertos sean (1) las mismas o (2) en la misma jerarquía.

  • Puede configurar la interfaz demux a través de una ae interfaz para la creación global de reflejo de puertos y para instancias de creación de reflejo de puertos.

  • Para el filtro de firewall, además de usar ccc como familia:

    • Utilícelo port-mirror como acción para el filtro.

    • Aplique el filtro en la interfaz demux.

  • Configure la ae interfaz como la interfaz subyacente de la interfaz lógica demux mediante la instrucción, de la underlying-interface siguiente manera:
    content_copy zoom_out_map
    set interfaces demux0 unit 0 demux-options underlying-interface ae0

Ejemplo de configuración

La siguiente es una configuración dispersa: solo queremos mostrarle una imagen de cómo se desarrollarían las pautas anteriores en una configuración de ejemplo.

content_copy zoom_out_map
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0
set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1
set interfaces xe-0/0/2:2 encapsulation ethernet-bridge
set interfaces xe-0/0/2:2 unit 0 family bridge
set interfaces xe-0/0/2:3 encapsulation ethernet-bridge
set interfaces xe-0/0/2:3 unit 0 family bridge
set interfaces ae0 flexible-vlan-tagging
set interfaces ae0 encapsulation flexible-ethernet-services
set interfaces ae1 flexible-vlan-tagging
set interfaces ae1 encapsulation flexible-ethernet-services
set interfaces demux0 unit 0 encapsulation vlan-ccc
set interfaces demux0 unit 0 vlan-id 300
set interfaces demux0 unit 0 demux-options underlying-interface ae0
set interfaces demux0 unit 0 family ccc filter input port-mirror
set interfaces demux0 unit 1 encapsulation vlan-ccc
set interfaces demux0 unit 1 vlan-id 300
set interfaces demux0 unit 1 demux-options underlying-interface ae1
set interfaces demux0 unit 1 family ccc
set forwarding-options port-mirroring input rate 1
set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0
set firewall family ccc filter port-mirror term term1 then count Counter1
set firewall family ccc filter port-mirror term term1 then port-mirror
set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1
set protocols mpls interface demux0.0
set protocols mpls interface demux0.1
set bridge-domains br1 interface xe-0/0/2:0.0
set bridge-domains br1 interface xe-0/0/2:3.0
set bridge-domains br1 interface xe-0/0/2:1.0
set bridge-domains br2 vlan-id 300

Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a un dominio de puente. Sólo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a ese dominio de puente.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a un dominio de puente o se inunda a un dominio de puente. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: Un filtro aplicado al tráfico de entrada de la tabla de reenvío del dominio del puente y un filtro aplicado al tráfico de entrada de la tabla de inundación del dominio del puente.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de un dominio de puente:

  1. Habilite la configuración del dominio bridge-domain-name de puente al que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:

    • Para un dominio de puente:

      content_copy zoom_out_map
      [edit]
user@host# edit bridge-domains bridge-domain-name

    • Para un dominio puente en una instancia de enrutamiento:

      content_copy zoom_out_map
      [edit]
user@host# edit routing-instances routing-instance-name bridge-domains bridge-domain-name
user@host# set instance-type virtual-switch

      Para obtener información de configuración más detallada, consulte Configuración de una instancia de enrutamiento VPLS.

  2. Configure el dominio de puente:
    content_copy zoom_out_map
    [edit]
user@host# set domain-type bridge
user@host# set interface interface-name
user@host# set routing-interface routing-interface-name

    Para obtener información detallada sobre la configuración, consulte Configuración de un dominio de puente y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.

  3. Habilite la configuración del reenvío de tráfico en el dominio del puente:
    content_copy zoom_out_map
    [edit ... bridge-domains bridge-domain-name]
user@host# edit forwarding-options
  4. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de dominio de puente o a la tabla de inundación.

    • Para reflejar los paquetes que se reenvían al dominio del puente:

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set filter input pm-filter-for-bd-ingress-forwarded

    • Para reflejar los paquetes que se inundan al dominio del puente:

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set flood input pm-filter-for-bd-ingress-flooded
  5. Compruebe la configuración mínima para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación del dominio del puente.

    1. Desplácese hasta el nivel de jerarquía en el que está configurado el dominio de puente:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Mostrar las configuraciones de dominio de puente:

      content_copy zoom_out_map
      user@host# show bridge domains
 
bridge-domains {
    bridge-domain-name {
        instance-type virtual-switch; # For a bridge domain under a routing instance.
        domain-type bridge;
        interface interface-name;
        forwarding-options {
            filter { # Mirror ingress forwarded traffic
                input pm-filter-for-bd-ingress-forwarded;
            }
            flood { # Mirror ingress flooded traffic
                input pm-filter-for-bd-ingress-flooded;
            }
        }
    }
}

Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una instancia de enrutamiento VPLS. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa instancia de enrutamiento VPLS.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una instancia de enrutamiento VPLS o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de la instancia de enrutamiento VPLS y un filtro aplicado al tráfico de entrada de la tabla de inundación de la instancia de enrutamiento VPLS.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o a la tabla de inundación de una instancia de enrutamiento VPLS:

  1. Habilite la configuración de la instancia de enrutamiento VPLS a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:
    content_copy zoom_out_map
    [edit]
user@host# edit routing-instances routing-instance-name
user@host# set instance-type vpls
user@host# set interface interface-name
user@host# set route-distinguisher (as-number:number | ip-address:number)
user@host# set vrf-import [policy-names]
user@host# set vrf-export [policy-names]
user@host# edit protocols vpls
user@host@ ... vpls-configuration ...

    Para obtener información de configuración más detallada, consulte Configuración de una instancia de enrutamiento VPLS.

  2. Habilite la configuración del reenvío de tráfico en la instancia de enrutamiento VPLS:
    content_copy zoom_out_map
    [edit routing-instances routing-instance-name protocols vpls]
user@host# up 2
[edit routing-instances routing-instance-name]
user@host# edit forwarding-options
  3. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de instancias de enrutamiento VPLS o a la tabla de inundación.

    • Para reflejar los paquetes que se reenvían a la instancia de enrutamiento VPLS:

      content_copy zoom_out_map
      [edit routing-instances routing-instance-name forwarding-options]
user@host# set filter input pm-filter-for-vpls-ri-forwarded

    • Para reflejar los paquetes que se inundan a la instancia de enrutamiento de VPLS:

      content_copy zoom_out_map
      [edit routing-instances routing-instance-name forwarding-options]
user@host# set flood input pm-filter-for-vpls-ri-flooded
  4. Verifique la configuración mínima para aplicar un filtro de firewall de duplicación de puerto de capa 2 a la tabla de reenvío o tabla de inundación de la instancia de enrutamiento VPLS:
    content_copy zoom_out_map
    [edit routing-instances routing-instance-name forwarding-options]
user@host# top
[edit]
user@host# show routing-instances
 
routing-instances {
    routing-instance-name {
        instance-type vpls;
        interface interface-name;
        route-distinguisher (as-number:number | ip-address:number);
        vrf-import [policy-names];
        vrf-export [policy-names];
        protocols {
            vpls {
                ...vpls-configuration...
            }
        }
        forwarding-options {
            family vpls {
                filter { # Mirror ingress forwarded traffic
                    input pm-filter-for-vpls-ri-forwarded; 
                }
                flood { # Mirror ingress flooded traffic
                    input pm-filter-for-vpls-ri-flooded; 
                }
            }
        }
    }
}

Aplicación de la duplicación de puertos de capa 2 al tráfico reenviado o inundado a una VLAN

Puede aplicar un filtro de firewall de duplicación de puertos de capa 2 al tráfico que se reenvía o inunda a una VLAN. Solo se reflejan los paquetes del tipo de familia especificado y reenviados o inundados a esa VLAN.

Antes de comenzar, realice la tarea siguiente:

  • Defina un filtro de firewall de duplicación de puertos de capa 2 que se aplicará al tráfico que se reenvía a una VLAN o se inunda a una VLAN. Para obtener más información, consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

    Nota:

    Esta tarea de configuración muestra dos filtros de firewall de duplicación de puertos Layer_2: un filtro aplicado al tráfico de entrada de la tabla de reenvío de VLAN y un filtro aplicado al tráfico de entrada de la tabla de inundación de VLAN.

Para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o de inundación de una VLAN:

  1. Habilite la configuración de la VLAN bridge-domain-name a la que desea aplicar un filtro de firewall de duplicación de puertos de capa 2 para el tráfico reenviado o inundado:

    • Para una VLAN:

      content_copy zoom_out_map
      [edit]
user@host# edit bridge-domains bridge-domain-name

    • Para una VLAN en una instancia de enrutamiento:

      content_copy zoom_out_map
      [edit]
user@host# edit routing-instances routing-instance-name bridge-domains bridge-domain-name
user@host# set instance-type virtual-switch

      Para obtener información de configuración más detallada, consulte Configuración de una instancia de enrutamiento VPLS.

  2. Configure la VLAN:
    content_copy zoom_out_map
    [edit]
user@host# set domain-type bridge
user@host# set interface interface-name
user@host# set routing-interface routing-interface-name

    Para obtener información de configuración más detallada, consulte Configuración de un dominio de puente y Configuración de identificadores de VLAN para dominios de puente e instancias de enrutamiento VPLS.

  3. Habilite la configuración del reenvío de tráfico en la VLAN:
    content_copy zoom_out_map
    [edit ... bridge-domains bridge-domain-name]
user@host# edit forwarding-options
  4. Aplique un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío de VLAN o a la tabla de inundación.

    • Para reflejar los paquetes que se reenvían a la VLAN:

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set filter input pm-filter-for-bd-ingress-forwarded

    • Para reflejar los paquetes que se inundan a la VLAN:

      content_copy zoom_out_map
      [edit ... bridge-domains bridge-domain-name forwarding-options]
user@host# set flood input pm-filter-for-bd-ingress-flooded
  5. Compruebe la configuración mínima para aplicar un filtro de firewall de duplicación de puertos de capa 2 a la tabla de reenvío o tabla de inundación de la VLAN.

    1. Desplácese hasta el nivel de jerarquía en el que está configurada la VLAN:

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. Mostrar las configuraciones de VLAN:

      content_copy zoom_out_map
      user@host# show vlans
 
vlans {
    vlan-name {
        instance-type virtual-switch; # For a bridge domain under a routing instance.
        domain-type bridge;
        interface interface-name;
        forwarding-options {
            filter { # Mirror ingress forwarded traffic
                input pm-filter-for-bd-ingress-forwarded;
            }
            flood { # Mirror ingress flooded traffic
                input pm-filter-for-bd-ingress-flooded;
            }
        }
    }
}

Ejemplo: Creación de reflejo de puertos de capa 2 en una interfaz lógica

Los pasos siguientes describen un ejemplo en el que se utilizan la instancia global de duplicación de puertos y un filtro de firewall de duplicación de puertos para configurar la creación de reflejo de puertos de capa 2 para la entrada a una interfaz lógica.

  1. Configure la VLAN example-bd-with-analyzer, que contiene el analizador de paquetes externo, y la VLAN example-bd-with-traffic, que contiene el origen y el destino del tráfico de capa 2 que se está reflejando:

    content_copy zoom_out_map
    [edit]
bridge-domains {
    example-bd-with-analyzer { # Contains an external traffic analyzer
        vlan-id 1000;
        interface ge-2/0/0.0; # External analyzer
    }
    example-bd-with-traffic { # Contains traffic input and output interfaces
        vlan-id 1000;
        interface ge-2/0/6.0; # Traffic input port 
        interface ge-3/0/1.2; # Traffic output port
    }
}

    Suponga que la interfaz ge-2/0/0.0 lógica está asociada con un analizador de tráfico externo que va a recibir paquetes duplicados de puerto. Supongamos que las interfaces ge-2/0/6.0 lógicas y ge-3/0/1.2 serán puertos de entrada y salida de tráfico, respectivamente.

  2. Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/0/0.0 lógica en VLAN example-bd-with-analyzer). Asegúrese de habilitar la opción que permite aplicar filtros a este destino de duplicación de puertos:

    content_copy zoom_out_map
    [edit]
forwarding-options {
    port-mirroring {
        input {
            rate 10;	
            run-length 5; 
        }
        family ethernet-switching {
            output {
                interface ge-2/0/0.0; # Mirror packets to the external analyzer
                no-filter-check; # Allow filters on the mirror destination interface 
            }
        }
    }
}

    La input instrucción en el nivel de jerarquía especifica que el [edit forwarding-options port-mirroring] muestreo comienza cada décimo paquete y que cada uno de los primeros cinco paquetes seleccionados debe reflejarse.

    La output instrucción en el nivel de [edit forwarding-options port-mirroring family ethernet-switching] jerarquía especifica la interfaz de reflejo de salida para los paquetes de capa 2 en un entorno de puente:

    • La interfaz ge-2/0/0.0lógica , que está asociada con el analizador de paquetes externo, se configura como el destino de duplicación de puertos.

    • La instrucción opcional no-filter-check permite configurar filtros en esta interfaz de destino.

  3. Configure el filtro example-bridge-pm-filterde firewall de duplicación de puerto de capa 2:

    content_copy zoom_out_map
    [edit]
firewall {
    family ethernet-switching {
        filter example-bridge-pm-filter {
            term example-filter-terms {
                then {
                    accept; 
                    port-mirror;
                }
            }
        }
    }
}

    Cuando este filtro de firewall se aplica a la entrada o salida de una interfaz lógica para el tráfico en un entorno de puente, la creación de reflejo del puerto de capa 2 se realiza de acuerdo con las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas para la instancia global de creación de reflejo de puerto de capa 2. Dado que este filtro de firewall está configurado con la única acción acceptde filtro predeterminada, todos los paquetes seleccionados por las input propiedades (rate = 10 y run-length = 5) coinciden con este filtro.

  4. Configure las interfaces lógicas:

    content_copy zoom_out_map
    [edit]
interfaces {
    ge-2/0/0 { # Define the interface to the external analyzer 
        encapsulation ethernet-bridge;
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-2/0/6 { # Define the traffic input port
        flexible-vlan-tagging;
        encapsulation extended-vlan-bridge; 
        unit 0 {
            vlan-id 100;
            family ethernet-switching {
                filter {
                    input example-bridge-pm-filter; # Apply the port-mirroring firewall filter
                }
            }
        }
    }
    ge-3/0/1 { # Define the traffic output port 
        flexible-vlan-tagging;
        encapsulation extended-vlan-bridge;
        unit 2 {
            vlan-tags outer 10 inner 20;
            family ethernet-switching;
        }
    }
}

    Los paquetes recibidos en la interfaz ge-2/0/6.0 lógica en VLAN example-bd-with-traffic se evalúan mediante el filtro example-bridge-pm-filterde firewall de duplicación de puertos. El filtro de firewall actúa sobre el tráfico de entrada de acuerdo con las acciones de filtro configuradas en el propio filtro de firewall, más las propiedades de muestreo de paquetes de entrada y las propiedades de destino de reflejo configuradas en la instancia global de creación de reflejo de puertos:

    • Todos los paquetes recibidos en ge-2/0/6.0 se reenvían a su (supuesto) destino normal en la interfaz ge-3/0/1.2lógica.

    • Por cada diez paquetes de entrada, se reenvían copias de los primeros cinco paquetes de esa selección al analizador externo en la interfaz ge-0/0/0.0 lógica de la otra VLAN, example-bd-with-analyzer.

    Si configura el filtro example-bridge-pm-filter de firewall de duplicación de puertos para que realice la discard acción en lugar de la accept acción, todos los paquetes originales se descartan, mientras que las copias de los paquetes seleccionados mediante las propiedades globales de duplicación input de puertos se envían al analizador externo.

Ejemplo: Duplicación de puertos de capa 2 para una VPN de capa 2

El siguiente ejemplo no es una configuración completa, pero muestra todos los pasos necesarios para configurar la duplicación de puertos en una L2VPN mediante family ccc.

  1. Configure la VLAN port-mirror-bd, que contiene el analizador de paquetes externo:

    content_copy zoom_out_map
    [edit]
vlans {
    port-mirror-vlan { # Contains an external traffic analyzer
        interface ge-2/2/9.0; # External analyzer
    }
}

  2. Configure la CCC VPN de capa 2 para conectar la interfaz ge-2/0/1.0 lógica y la interfaz ge-2/0/1.1lógica:

    content_copy zoom_out_map
    [edit]
protocols {
    mpls {
        interface all;
    }
    connections {
        interface-switch if_switch {
            interface ge-2/0/1.0;
            interface ge-2/0/1.1;
        }
    }
}

  3. Configure la duplicación de puertos de capa 2 para la instancia global, siendo el destino de la duplicación de puertos la interfaz VLAN asociada con el analizador externo (interfaz ge-2/2/9.0 lógica en VLAN example-bd-with-analyzer):

    content_copy zoom_out_map
    [edit]
forwarding-options {
    port-mirroring {
        input {
            rate 1;	
            maximum-packet-length 200; 
        }
        family ccc {
            output {
                interface ge-2/2/9.0; # Mirror packets to the external analyzer
            }
        }
        instance {
            inst1 {
                input {
                    rate 1;	
                    maximum-packet-length 300; 
                }
                family ccc {
                    output {
                        interface ge-2/2/9.0;
                    }
                {
            }
        }
    }
}

  4. Defina el filtro pm_filter_ccc de firewall de duplicación de puertos de capa 2 para family ccc:

    content_copy zoom_out_map
    [edit]
firewall {
    family ccc {
        filter pm_filter_ccc {
            term pm {
                then port-mirror;
            }
        }
    }
}

  5. Aplique la instancia de réplica de puerto al chasis:

    content_copy zoom_out_map
    [edit]
chassis {
    fpc 2 {
        port-mirror-instance inst1;
    }
}

  6. Configure la interfaz ge-2/2/9 para las VLAN y configure la interfaz ge-2/0/1 para la creación de reflejo de puertos con el filtro de pm_filter_ccc firewall:

    content_copy zoom_out_map
    [edit]
interfaces {
    ge-2/2/9 {
        encapsulation ethernet-bridge;
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-2/0/1 {
        vlan-tagging;
        encapsulation extended-vlan-ccc;
        unit 0 {
            vlan-id 10;
            family ccc {
                filter {
                    input pm_filter_ccc;
                }
            }
        }
        unit 1 {
            vlan-id 20;
            family ccc {
                filter {
                    output pm_filter_ccc;
                }
            }
        }
    }
}

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
13.3R6
A partir de Junos OS versión 13.3R6, solo las interfaces MPC admiten family any la creación de reflejo de puertos.
arrow_backward PREVIOUS Configuración de la duplicación de puertos en interfaces físicas
NEXT arrow_forward Configuración de la duplicación de puertos para varios destinos
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top