Differences

This shows you the differences between two versions of the page.

--- topic:srx_port_morror [2017/05/02 09:57] – k
+++ topic:srx_port_morror [2021/08/12 08:35] (current) – external edit 127.0.0.1
@@ Line 16: / Line 16: @@
 <code>
 set forwarding-options port-mirroring input rate 1
-set forwarding-options port-mirroring input run-length 10
+set forwarding-options port-mirroring input run-length 1
 set forwarding-options port-mirroring family inet output interface fe-0/0/1.0 next-hop 10.11.12.2
 </code>
 где:\\
-  * input rate - "Частота" выборки пакетов которые будут отмиррорины.\\ "1" - каждый первый пакет из потока.\\ 10 - каждый десятый пакет из потока.
+  * input rate - "Частота" выборки пакетов которые будут отмиррорины.\\ "1" - каждый первый пакет из потока.\\ "10" - каждый десятый пакет из потока.
   * run-length -
 Настраиваем правило файрволла для захвата трафика который хотим мирорить.
+<code>
 set firewall family inet filter PORT-MIRROR term PERMIT-ALL then port-mirror
 set firewall family inet filter PORT-MIRROR term PERMIT-ALL then accept
+</code>
 Настраиваем интерфейс srx с которого будет мирорить трафик.
+<code>
 set interfaces gr-0/0/0 unit 14 family inet filter input PORT-MIRROR
 set interfaces gr-0/0/0 unit 14 family inet filter output PORT-MIRROR
+</code>
-###Замечание.
+>Замечание.
-На машине на которой работает анализатор надо обязательно настроить ip который задан в настройках srx. Если адрес не настраивать, а просто перевести порт в promiscuous режим, работать не будет. Srx не будет отправляться трафик в порт fe-0/0/1, скорее всего потому что не видит arp для 10.11.12.2 (??).
+>На машине на которой работает анализатор надо обязательно настроить ip который задан в настройках srx. Если адрес >не настраивать, а просто перевести порт в promiscuous режим, работать не будет. SRX не будет отправляться трафик в >порт fe-0/0/1, скорее всего потому что не видит arp для 10.11.12.2.
+>В принципе можно попробовать задать arp запись руками на уровне [edit interface ge-0/0/0]:
+><code>
+set interfaces fe-0/0/1 unit 0 family inet address 10.11.12.1/30 arp 10.11.12.2 mac 00:50:56:b6:30:7a;
+</code>
+> Сам не проверял.
 В итоге конфиг srx должен выглядеть так:
+<code>
 ...
 fe-0/0/1 {
@@ Line 43: / Line 52: @@
         family inet {
             address 10.11.12.1/30;
+                arp 10.11.12.2 mac 00:50:56:b6:30:7a;
         }
     }
@@ Line 103: / Line 113: @@
         }
     }
+</code>
+-----
+Полезные ссылки:
+  - [[https://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/services-configuring-traffic-sampling.html|Configuring Traffic Sampling]]
+  - [[https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/rate-edit-forwarding-options.html|rate]]
+  - [[http://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/run-length-edit-forwarding-options.html|run-lenght]]
+{{tag>juniper}}