Перейти к содержимому
Калькуляторы

Juniper MX480 и firewall

Будет ли работать такая конструкция?

 

irb {
   unit 39 {
       family inet {
           filter {
               input mirror-to-xe-0-3-0;
               output mirror-to-xe-0-3-0;
           }
       }
   }

 

Задача такая: есть L3 мирроринг, нужно в него же отправить трафик проходящий через один из вланов в bridge

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что за мирроринг? Какой конфиг у фильтра?

В общем случае мирорринг из bridge-domain'а можно сделать, отключив в нем mac-learning.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Будет ли работать такая конструкция?

Будет. Откуда опасения то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

agr вот конфиг фильтра и зеркала.

  filter mirror-to-xe-0-3-0 {
       term 1 {
           from {
               precedence immediate;
           }
           then {
               count no-mirror-to-xe-0-3-0;
               accept;
           }
       }
       term 2 {
           then {
               count mirror-to-xe-0-3-0;
               port-mirror-instance mirror-to-xe-0-3-0;
               accept;
           }
       }
   }

forwarding-options {
   port-mirroring {
       instance {
           mirror-to-xe-0-2-0 {
               input {
                   rate 1;
                   run-length 1;
               }
               family inet {
                   output {
                       interface xe-0/3/0.0 {
                           next-hop 2.2.2.1;
                       }
                   }
               }
           }

mightyscv На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика.

Что касается опасений, то после применения конфигурации трафик на порту зеркала не вырос, хотя в этом влане идет порядка гигабита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам же ответили на форуме juniper , вы пробовали применить это решение ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

joesm, транзитный L2 трафик через irb не отзеркалить, там только то, что идет самому процессору.

Как я уже говорил, выводи на зеркало третью точку из bridge-domain'а и отключай mac-learning.

Изменено пользователем agr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На интерфейсах где прописаны IP адреса зеркало работает без проблем, но в этом случае на интерфейсе нет IP адреса и нет роутинга проходящего трафика.

А, так это был не пример? Я думал адреса не указаны просто в качестве примера.

Нет, в таком случае конечно же миррорить ничего не будет. Вам нужно миррорить непосредственно на портах, там где прописано family bridge. Ну и мирроринг для vpls сделать - это то же самое, что и bridge.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

orlik Проблема не в том, что l3 зеркало не работает, а в том что в него не поступает трафик с irb, на котором по факту нет роутинга.

 

agr а несколько подробнее? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

configuration bridge-domains   

br-111 {
   domain-type bridge;
   vlan-id 111;
   interface xe-1/0/0.111;  # <<<< первый интерфейс к клиенту 
   interface xe-1/1/0.111;  # <<<< второй интерфейс к клиенту
   interface xe-1/2/0.111;  # <<<< интерфейс к зеркалу
   bridge-options {
       no-mac-learning;
   }
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы

    xe-0/3/0 {
       unit 0 {
           family inet {
               address 2.2.2.6/30 {
                   arp 2.2.2.5 mac 00:04:96:44:2d:80;
               }
           }
       }

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То, что интерфейс ранее сконфигурирован как не вызовет проблем? Плюс железка в которую все зеркалируется врядл и понимает вланы

Нет, так работать не будет. Интерфейс в bridge-domain должен иметь инкапсуляцию vlan-bridge и family inet на нем не работает.

Можно переделать bridge-domain в vpls и его уже отмиррорить через forwarding-options port-mirroring, но на один и тот же выходной интерфейс миррорить и family inet и family vpls скорее всего не получится. Я бы подумал об изменении схемы или железки с зеркалом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получается кроме L2 мирроринга вариантов нет, печально

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете попробовать сделать xe-0/3/0 тегированным, в одном юните inet, а в другом bridge, и при этом в обоих поставить

output-vlan-map pop

. Этой командой будут срезаться теги в исходящих пакетах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если кому интересно на форуме Juniper-a мне дали ссылку на вот такой документ http://www.juniper.net/documentation/en_US/junos13.2/topics/task/configuration/services-configuring-port-mirroring-family-any.html

 

К сожалению у меня нет MPC карт, только DPС и в конфиге я получаю

Warning: configuration block ignored: unsupported platform (mx480

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще есть такая штука:

bridge-domains <bridge-domain-name> forwarding-options filter input

bridge-domains <bridge-domain-name> forwarding-options flood input

 

Вот тут описано: Applying Layer 2 Port Mirroring to Traffic Forwarded or Flooded to a Bridge Domain http://www.juniper.net/techpubs/en_US/junos13.3/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-bridge-domain.html

Изменено пользователем CityFox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.