joesm Posted September 3, 2014 Posted September 3, 2014 Будет ли работать такая конструкция? irb { unit 39 { family inet { filter { input mirror-to-xe-0-3-0; output mirror-to-xe-0-3-0; } } } Задача такая: есть L3 мирроринг, нужно в него же отправить трафик проходящий через один из вланов в bridge Вставить ник Quote
agr Posted September 3, 2014 Posted September 3, 2014 Что за мирроринг? Какой конфиг у фильтра? В общем случае мирорринг из bridge-domain'а можно сделать, отключив в нем mac-learning. Вставить ник Quote
mightyscv Posted September 3, 2014 Posted September 3, 2014 Будет ли работать такая конструкция? Будет. Откуда опасения то? Вставить ник Quote
joesm Posted September 3, 2014 Author Posted September 3, 2014 agr вот конфиг фильтра и зеркала. filter mirror-to-xe-0-3-0 { term 1 { from { precedence immediate; } then { count no-mirror-to-xe-0-3-0; accept; } } term 2 { then { count mirror-to-xe-0-3-0; port-mirror-instance mirror-to-xe-0-3-0; accept; } } } forwarding-options { port-mirroring { instance { mirror-to-xe-0-2-0 { input { rate 1; run-length 1; } family inet { output { interface xe-0/3/0.0 { next-hop 2.2.2.1; } } } } mightyscv На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика. Что касается опасений, то после применения конфигурации трафик на порту зеркала не вырос, хотя в этом влане идет порядка гигабита. Вставить ник Quote
orlik Posted September 3, 2014 Posted September 3, 2014 Вам же ответили на форуме juniper , вы пробовали применить это решение ? Вставить ник Quote
agr Posted September 3, 2014 Posted September 3, 2014 (edited) joesm, транзитный L2 трафик через irb не отзеркалить, там только то, что идет самому процессору. Как я уже говорил, выводи на зеркало третью точку из bridge-domain'а и отключай mac-learning. Edited September 3, 2014 by agr Вставить ник Quote
mightyscv Posted September 3, 2014 Posted September 3, 2014 На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика. А, так это был не пример? Я думал адреса не указаны просто в качестве примера. Нет, в таком случае конечно же миррорить ничего не будет. Вам нужно миррорить непосредственно на портах, там где прописано family bridge. Ну и мирроринг для vpls сделать - это то же самое, что и bridge. Вставить ник Quote
joesm Posted September 4, 2014 Author Posted September 4, 2014 orlik Проблема не в том, что l3 зеркало не работает, а в том что в него не поступает трафик с irb, на котором по факту нет роутинга. agr а несколько подробнее? :) Вставить ник Quote
agr Posted September 4, 2014 Posted September 4, 2014 configuration bridge-domains br-111 { domain-type bridge; vlan-id 111; interface xe-1/0/0.111; # <<<< первый интерфейс к клиенту interface xe-1/1/0.111; # <<<< второй интерфейс к клиенту interface xe-1/2/0.111; # <<<< интерфейс к зеркалу bridge-options { no-mac-learning; } } Вставить ник Quote
joesm Posted September 4, 2014 Author Posted September 4, 2014 То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы xe-0/3/0 { unit 0 { family inet { address 2.2.2.6/30 { arp 2.2.2.5 mac 00:04:96:44:2d:80; } } } Вставить ник Quote
agr Posted September 4, 2014 Posted September 4, 2014 То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы Нет, так работать не будет. Интерфейс в bridge-domain должен иметь инкапсуляцию vlan-bridge и family inet на нем не работает. Можно переделать bridge-domain в vpls и его уже отмиррорить через forwarding-options port-mirroring, но на один и тот же выходной интерфейс миррорить и family inet и family vpls скорее всего не получится. Я бы подумал об изменении схемы или железки с зеркалом. Вставить ник Quote
joesm Posted September 4, 2014 Author Posted September 4, 2014 Получается кроме L2 мирроринга вариантов нет, печально Вставить ник Quote
agr Posted September 4, 2014 Posted September 4, 2014 Можете попробовать сделать xe-0/3/0 тегированным, в одном юните inet, а в другом bridge, и при этом в обоих поставить output-vlan-map pop . Этой командой будут срезаться теги в исходящих пакетах. Вставить ник Quote
joesm Posted September 5, 2014 Author Posted September 5, 2014 Если кому интересно на форуме Juniper-a мне дали ссылку на вот такой документ http://www.juniper.net/documentation/en_US/junos13.2/topics/task/configuration/services-configuring-port-mirroring-family-any.html К сожалению у меня нет MPC карт, только DPС и в конфиге я получаю Warning: configuration block ignored: unsupported platform (mx480 Вставить ник Quote
CityFox Posted September 5, 2014 Posted September 5, 2014 (edited) Еще есть такая штука: bridge-domains <bridge-domain-name> forwarding-options filter input bridge-domains <bridge-domain-name> forwarding-options flood input Вот тут описано: Applying Layer 2 Port Mirroring to Traffic Forwarded or Flooded to a Bridge Domain http://www.juniper.net/techpubs/en_US/junos13.3/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-bridge-domain.html Edited September 5, 2014 by CityFox Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.