L2 mirroring на Juniper MX

[Andy_999]

Здравствуйте.

Есть необходимость сделать зеркалирование порта на Juniper MX-80. Зеркало на базе L3 работает отлично, но нужно сделать L2, т.к. СОРМ L3 не понимает. Пробовал делать как в мануалах, но не очень получилось. Если у кого данная схема реализована и работает, накидайте примерную схему, желательно с указанием протокола инкапсуляции, ну или готовый конфиг :)

Заранее спасибо!

[Heviad]

Если правильно понял задачу:

interfaces {

xe-0/0/1 {

description Mirror_from; #Порт, с которого зеркалить

unit 0 {

family inet {

filter {

input SORM;

output SORM;

}

}

}

}

 

xe-0/0/2 {

description SORM; #Порт с СОРМом

unit 0 {

family inet {

address 10.0.255.253/30 {

arp 10.0.255.254 mac xx:xx:xx:xx:xx:xx; # Любой левый мак (mac СОРМа? :))

}

}

}

}

}

 

forwarding-options {

port-mirroring {

mirror-once;

input {

rate 1;

run-length 1;

}

family inet {

output {

interface xe-0/0/2.0 {

next-hop 10.0.255.254;

}

no-filter-check;

}

}

}

}

 

firewall {

filter SORM {

term mirror {

then {

port-mirror;

accept;

}

}

}

 

Ну как-то так должно, у меня работало, когда на тест брали MX80.

Edited February 15, 2012 by Heviad

[Andy_999]

arp 10.0.255.254 mac xx:xx:xx:xx:xx:xx; # Любой левый мак (mac СОРМа? :))

т.е. здесь указываем любой ip и мак сорма, я правильно понял? не нужно при это создавать статическую арп записить на МХ?

Edited February 16, 2012 by Andy_999

[Heviad]

Любой IP, на который зеркалить (он же в port-mirroring), и любой mac в принципе, не обязательно, чтобы это был мак СОРМа. Больше ничего не требуется, трафик будет зеркалиться на данный порт.

Edited February 16, 2012 by Heviad

[Andy_999]

Любой IP, на который зеркалить (он же в port-mirroring), и любой mac в принципе, не обязательно, чтобы это был мак СОРМа. Больше ничего не требуется, трафик будет заркалиться на данный порт.

проблема в том, что нет никакого IP на который надо зеркалить, есть СОРМ, но он не умеет в L3 :(

[Heviad]

Он и не нужен на СОРМе, задача заставить MX-80 считать, что такой IP есть, что данный пример и делает.

[Andy_999]

Он и не нужен на СОРМе, задача заставить MX-80 считать, что такой IP есть, что данный пример и делает.

Теперь ясно, спасибо, попробую!

Я вообще пробовал так, но трафик лил на комп, с поднятым ip. Все работало, но не подумал попробовать также на сорм :)

Edited February 16, 2012 by Andy_999

[dmvy]

расскажите, что вы сливаете в СОРМ? весь трафик? лицензии хватит?

[Andy_999]

расскажите, что вы сливаете в СОРМ? весь трафик? лицензии хватит?

сливаем интернет трафик.

[pingz]

Как сливать, конкретные vlan'ы, а не весь трафик т.к. в сети еще есть мультикаст, внутренний трафик, который бы не желательно туда скидывать.

[hsvt]

Как зеркалить в порт если там family bridge и гоняются вланы ? (bridge domains, irb)

 

show interfaces xe-0/0/0
vlan-tagging;
unit 0 {
   family bridge {
       interface-mode trunk;
       vlan-id-list [ 4 5 6 7 9 10 11 12 13 14 15 ]

filter с family bridge не работает, точнее счётчики по нулям на зеркале.

 

Use either one of the following hardware and software components:

 

One EX9200 switch with Junos OS Release 13.2 or later

One MX Series router with Junos OS Release 14.1 or later

Before you configure port mirroring, be sure you have an understanding of mirroring concepts. For information about analyzers, see Understanding Port Mirroring Analyzers. For information about port mirroring, see Understanding Layer 2 Port Mirroring.

 

С 14.1 запилили нормальный analyzer как у EX, но не хотелось бы обновляться.

Edited December 3, 2016 by hsvt

[Zubzeero]

Удалось как-то решить проблему с зеркалированием с интерфейса family bridge?

[pingz]

15 часов назад, Zubzeero сказал:

Удалось как-то решить проблему с зеркалированием с интерфейса family bridge?

Почитай https://m.habrahabr.ru/post/336978/