myst Posted August 30, 2013 Posted August 30, 2013 (edited) Коллеги, помогите решить данный вопрос. Есть SRX 650, на нем есть два интерфейса, один аггрегированный ae1 с которого надо зеркалировать трафик второй просто гигабитный куда надо сливать трафик. Оба интерфейса находятся в одной routing-instances и в одной security зоне. Вот такая конфа: set interfaces ge-2/0/18 gigether-options 802.3ad ae1 set interfaces ge-2/0/19 gigether-options 802.3ad ae1 set interfaces ae1 description "# AGG #" set interfaces ae1 aggregated-ether-options link-speed 1g set interfaces ae1 aggregated-ether-options lacp active set interfaces ae1 aggregated-ether-options lacp periodic slow set interfaces ae1 unit 0 family inet filter input port-mirror set interfaces ae1 unit 0 family inet filter output port-mirror set interfaces ae1 unit 0 family inet address xx.xx.xx.x/27 set interfaces ge-0/0/0 unit 0 family inet address 10.20.20.1/30 set interfaces ae1 unit 0 family inet filter input port-mirror set interfaces ae1 unit 0 family inet filter output port-mirror set firewall family inet filter port-mirror term ALL from source-address 0.0.0.0/0 set firewall family inet filter port-mirror term ALL then port-mirror set firewall family inet filter port-mirror term ALL then count pkt_count set firewall family inet filter port-mirror term ALL then accept set routing-instances SUPER-SERVERS instance-type virtual-route set routing-instances SUPER-SERVERS forwarding-options port-mirroring input rate 1 set routing-instances SUPER-SERVERS forwarding-options port-mirroring input run-length 12 set routing-instances SUPER-SERVERS forwarding-options port-mirroring family inet output interface ge-0/0/0.0 next-hop 10.20.20.2 set routing-instances SUPER-SERVERS interface ge-0/0/0.0 set routing-instances SUPER-SERVERS interface ae1.0 set security zones security-zone SS-untrust host-inbound-traffic system-services all set security zones security-zone SS-untrust host-inbound-traffic protocols all set security zones security-zone SS-untrust interfaces ae1.0 set security zones security-zone SS-untrust interfaces ge-0/0/0.0 set security policies from-zone SS-untrust to-zone SS-untrust policy SS-untrust-to-SS-untrust match source-address any set security policies from-zone SS-untrust to-zone SS-untrust policy SS-untrust-to-SS-untrust match destination-address any set security policies from-zone SS-untrust to-zone SS-untrust policy SS-untrust-to-SS-untrust match application any set security policies from-zone SS-untrust to-zone SS-untrust policy SS-untrust-to-SS-untrust then permit Собственно на ge-0/0/0.0 трафика по нулям: run show interfaces ge-0/0/0 Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 137, SNMP ifIndex: 507 Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x0 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Current address: b0:c6:9a:86:66:00, Hardware address: b0:c6:9a:86:66:00 Last flapped : 2013-08-29 17:12:25 MSK (11:54:11 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Active alarms : None Active defects : None Interface transmit statistics: Disabled Хотя судя по всему на фильтр пакетики попадают: # run show firewall counter filter port-mirror pkt_count Filter: port-mirror Counters: Name Bytes Packets pkt_count 34913243601 57433331 Даже без идей куда копать. Ни одного документа который бы описывал то, что я пытаюсь сделать (аггрегация+routing-instances) я не нашел. Заранее спасибо. Edited August 30, 2013 by myst Вставить ник Quote
NikBSDOpen Posted August 30, 2013 Posted August 30, 2013 А использовать forwarding-options port-mirroring family inet output interface не получается? Вставить ник Quote
myst Posted August 30, 2013 Author Posted August 30, 2013 А использовать forwarding-options port-mirroring family inet output interface не получается? Так вот же оно: set routing-instances SUPER-SERVERS forwarding-options port-mirroring input rate 1 set routing-instances SUPER-SERVERS forwarding-options port-mirroring input run-length 12 set routing-instances SUPER-SERVERS forwarding-options port-mirroring family inet output interface ge-0/0/0.0 next-hop 10.20.20.2 Только в инстансе, поскольку интерфейсы находятся там... Как только я выношу из инстанса интерфейсы и делаю: set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring input run-length 12 set forwarding-options port-mirroring family inet output interface ge-0/0/0.0 next-hop 10.20.20.2 Все начинает пахать. У меня закрадываются сомнения что джунипер вообще умеет мироринг в врф... Вставить ник Quote
NikBSDOpen Posted August 30, 2013 Posted August 30, 2013 К сожалению не могу собрать стенд что бы попробовать. SRX может и не умеет. Вставить ник Quote
myst Posted August 30, 2013 Author Posted August 30, 2013 Ок, коллеги, в принципе судя по всему именно не умеет. Вопрос намба два. Нужно с него слить netflow в какой-либо опенсорсный коллектор. Я так понимаю он должен уметь IPFIX, но доки не нашел, хотелось бы убедиться. Ну или J-Flow, если есть опенсорс софт для него... Вставить ник Quote
eretik69 Posted October 16, 2014 Posted October 16, 2014 Добрый день Всем. Я тут в первый раз , быстро просмотрел темы и вроде свою не нашел. Итак, просьба помочь в следующей ситуации: Есть два juniper mx960 c ver 10.4R5.5 Junos между ними проброшен L2vpn family ccc для транспортировки ТВ сигнала. Задача , на первом настроить port-mirroring для подключения декодера и получения ТВ-потока , проходящего по L2vpn. Делал попытки прописать как написано в доках, мониторинг интерфейса показал отгруженность трафика и снифером посмотрел , трафик тот и UDP, multicast параметры все как надо , а подключив декодер или комп с анализатор транспортных потоков ничего не выдает . Завернул с дальнего Juniper обратным каналом , проверил , все нормально. Просьба помочь разобраться. Спасибо Добавлено через 5 часов 42 минуты ищу и не нахожу ...можно прямую ссылку тогда ... Вставить ник Quote
NikBSDOpen Posted October 17, 2014 Posted October 17, 2014 Ого, контракта я я так понимаю нет? Может это поможет? DO_Ambassadors_2014 Recipe 13 Port Mirroring. Не ахти, какая "дока" но она мне помогла определиться, в какую сторону нужно было копать, когдя я на "шабашке" скрещивал мелкий srx с active directory. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.