joesm Опубликовано 3 сентября, 2014 · Жалоба Будет ли работать такая конструкция? irb { unit 39 { family inet { filter { input mirror-to-xe-0-3-0; output mirror-to-xe-0-3-0; } } } Задача такая: есть L3 мирроринг, нужно в него же отправить трафик проходящий через один из вланов в bridge Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 3 сентября, 2014 · Жалоба Что за мирроринг? Какой конфиг у фильтра? В общем случае мирорринг из bridge-domain'а можно сделать, отключив в нем mac-learning. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 3 сентября, 2014 · Жалоба Будет ли работать такая конструкция? Будет. Откуда опасения то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 3 сентября, 2014 · Жалоба agr вот конфиг фильтра и зеркала. filter mirror-to-xe-0-3-0 { term 1 { from { precedence immediate; } then { count no-mirror-to-xe-0-3-0; accept; } } term 2 { then { count mirror-to-xe-0-3-0; port-mirror-instance mirror-to-xe-0-3-0; accept; } } } forwarding-options { port-mirroring { instance { mirror-to-xe-0-2-0 { input { rate 1; run-length 1; } family inet { output { interface xe-0/3/0.0 { next-hop 2.2.2.1; } } } } mightyscv На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика. Что касается опасений, то после применения конфигурации трафик на порту зеркала не вырос, хотя в этом влане идет порядка гигабита. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 3 сентября, 2014 · Жалоба Вам же ответили на форуме juniper , вы пробовали применить это решение ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 3 сентября, 2014 (изменено) · Жалоба joesm, транзитный L2 трафик через irb не отзеркалить, там только то, что идет самому процессору. Как я уже говорил, выводи на зеркало третью точку из bridge-domain'а и отключай mac-learning. Изменено 3 сентября, 2014 пользователем agr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 3 сентября, 2014 · Жалоба На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика. А, так это был не пример? Я думал адреса не указаны просто в качестве примера. Нет, в таком случае конечно же миррорить ничего не будет. Вам нужно миррорить непосредственно на портах, там где прописано family bridge. Ну и мирроринг для vpls сделать - это то же самое, что и bridge. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 4 сентября, 2014 · Жалоба orlik Проблема не в том, что l3 зеркало не работает, а в том что в него не поступает трафик с irb, на котором по факту нет роутинга. agr а несколько подробнее? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 4 сентября, 2014 · Жалоба configuration bridge-domains br-111 { domain-type bridge; vlan-id 111; interface xe-1/0/0.111; # <<<< первый интерфейс к клиенту interface xe-1/1/0.111; # <<<< второй интерфейс к клиенту interface xe-1/2/0.111; # <<<< интерфейс к зеркалу bridge-options { no-mac-learning; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 4 сентября, 2014 · Жалоба То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы xe-0/3/0 { unit 0 { family inet { address 2.2.2.6/30 { arp 2.2.2.5 mac 00:04:96:44:2d:80; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 4 сентября, 2014 · Жалоба То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы Нет, так работать не будет. Интерфейс в bridge-domain должен иметь инкапсуляцию vlan-bridge и family inet на нем не работает. Можно переделать bridge-domain в vpls и его уже отмиррорить через forwarding-options port-mirroring, но на один и тот же выходной интерфейс миррорить и family inet и family vpls скорее всего не получится. Я бы подумал об изменении схемы или железки с зеркалом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 4 сентября, 2014 · Жалоба Получается кроме L2 мирроринга вариантов нет, печально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 4 сентября, 2014 · Жалоба Можете попробовать сделать xe-0/3/0 тегированным, в одном юните inet, а в другом bridge, и при этом в обоих поставить output-vlan-map pop . Этой командой будут срезаться теги в исходящих пакетах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 5 сентября, 2014 · Жалоба Если кому интересно на форуме Juniper-a мне дали ссылку на вот такой документ http://www.juniper.net/documentation/en_US/junos13.2/topics/task/configuration/services-configuring-port-mirroring-family-any.html К сожалению у меня нет MPC карт, только DPС и в конфиге я получаю Warning: configuration block ignored: unsupported platform (mx480 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CityFox Опубликовано 5 сентября, 2014 (изменено) · Жалоба Еще есть такая штука: bridge-domains <bridge-domain-name> forwarding-options filter input bridge-domains <bridge-domain-name> forwarding-options flood input Вот тут описано: Applying Layer 2 Port Mirroring to Traffic Forwarded or Flooded to a Bridge Domain http://www.juniper.net/techpubs/en_US/junos13.3/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-bridge-domain.html Изменено 5 сентября, 2014 пользователем CityFox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...