Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Espelhamento de portas e analisadores

SUMMARY Esta seção descreve como o espelhamento de portas envia tráfego de rede para aplicativos analisador.

Entender espelhamento de portas e analisadores

Espelhamento de portas e analisadores enviam tráfego de rede para dispositivos que executam aplicativos analisadores. Um espelhamento de porta copia o tráfego IP da Camada 3 para uma interface. Um analisador copia pacotes (Camada 2) para uma interface. O tráfego espelhado pode ser origem de interfaces individuais ou múltiplas. Você pode usar um dispositivo conectado a uma interface de saída espelhada que executa um aplicativo analisador para realizar tarefas como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar o desempenho da rede, correlacionar eventos e outros problemas na rede.

Nos roteadores que contêm um circuito integrado específico do aplicativo Internet Processor II (ASIC) ou um processador de Internet Série T, o espelhamento de porta copia os pacotes Unicast que entram ou saem de uma porta ou entram em uma VLAN e enviam essas cópias para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. O tráfego espelhado é recebido por aplicativos que ajudam você a analisar esse tráfego.

O espelhamento de portas é diferente da amostra de tráfego. Na amostra de tráfego, uma chave de amostra com base no cabeamento IPv4 é enviada ao Mecanismo de Roteamento, onde uma chave é colocada em um arquivo ou cflowado. Pacotes com base nessa chave são enviados para um servidor cflowd. No espelhamento de portas, todo o pacote é copiado e enviado pela interface especificada onde ele pode ser capturado e analisado em detalhes.

Use o espelhamento de porta para enviar tráfego para dispositivos que analisam tráfego com finalidades como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. O espelhamento de portas é necessário quando você deseja realizar uma análise de tráfego, porque normalmente um switch envia pacotes apenas para a porta à qual o dispositivo de destino está conectado. Você provavelmente não quer enviar os pacotes originais para análise antes que eles sejam encaminhados por causa do atraso que isso causaria, então a alternativa comum é configurar o espelhamento de porta para enviar cópias do tráfego unicast para outra interface e executar um aplicativo analisador em um dispositivo conectado a essa interface.

Para configurar o espelhamento de portas, você configura uma instância de espelhamento de porta. Você não especifica uma entrada para esta instância. Em vez disso, você cria um filtro de firewall que especifica o tráfego necessário e o direciona à instância, incluindo a ação em port-mirror um then termo do filtro. O filtro de firewall deve estar configurado como family inet .

Tenha em mente o desempenho ao configurar o espelhamento de portas. Configurar o filtro de firewall para espelhar somente os pacotes necessários reduz a possibilidade de impacto no desempenho.

Você pode configurar uma instrução de analisador para definir o tráfego de entrada e saída na mesma configuração do analisador. O tráfego a ser analisado pode ser o tráfego que entra ou sai de uma interface ou tráfego que entra em uma VLAN. A configuração do analisador permite enviar esse tráfego para uma interface de saída, instância ou VLAN. Você pode configurar um analisador na [edit forwarding-options analyzer] hierarquia.

Nota:

Na plataforma EX4400-24T, quando você desativar qualquer interface em uma VLAN espelhada por porta remota, você precisará reabilitar a interface desabilitada e reconfigurar a sessão do analisador para retomar o espelhamento de porta.

Você pode usar o espelhamento de porta para copiar:

  • Todos os pacotes que entram ou saem de uma interface em qualquer combinação. Cópias de pacotes que entram em algumas interfaces e pacotes que saem de outras interfaces podem ser enviadas para a mesma interface local ou VLAN. Se você configurar o espelhamento de porta para copiar pacotes que saem de uma interface, o tráfego originado nesse switch ou dispositivo nó (em um sistema QFabric) não será copiado quando ele sair. Somente o tráfego comutado é copiado na saída. (Veja a limitação do espelhamento de saída abaixo.)

  • Qualquer ou todos os pacotes que entram em uma VLAN. Não é possível usar o espelhamento de porta para copiar pacotes que saem de uma VLAN.

  • Uma amostra filtrada por firewall de pacotes que entram em uma porta ou VLAN.

    Nota:

    Filtros de firewall não são suportados em portas de saída; não é possível especificar amostras baseadas em políticas de pacotes que saem de uma interface.

Você pode configurar amostras de tráfego e espelhamento de portas, definindo uma taxa de amostra independente e comprimento de executar para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostra de tráfego e espelhamento de porta, somente o espelhamento de porta será executado, conforme tiver precedência. Em outras palavras, se você configurar uma interface para amostrar de tráfego cada entrada de pacote na interface e no espelhamento de porta também selecionará esse pacote a ser copiado e enviado para a porta de destino, somente o processo de espelhamento de porta é executado. Os pacotes amostrados de tráfego que não são selecionados para espelhamento de porta continuam a ser amostrados e encaminhados ao servidor cflowd.

Para obter informações sobre os termos usados neste tópico, consulte Termos e definições de espelhamento de portas e analisador .

Tipos de instância

Para configurar o espelhamento de portas, configure uma instância de um dos seguintes tipos:

  • Instância do analisador — Especifique a entrada e a saída para a instância. Esse tipo de instância é útil para garantir que todo o tráfego que transita por uma interface ou entre em uma VLAN seja espelhado e enviado ao analisador.

  • Instância de espelhamento de porta — Você cria um filtro de firewall que identifica o tráfego desejado e o copia até a porta espelhada. Você não especifica uma entrada para esse tipo de instância. Esse tipo de instância é útil para controlar os tipos de tráfego espelhados. Você pode direcionar o tráfego para ele das seguintes maneiras:

    • Especifique o nome da instância de espelhamento de porta no filtro de firewall usando a ação quando houver várias port-mirror-instance instance-name instâncias de espelhamento de porta definidas.

    • Envie os pacotes espelhados para a interface de saída definida na instância usando a ação quando houver apenas uma instância de port-mirror espelhamento de porta definida.

Espelhamento de portas e STP

O comportamento do STP em uma configuração de espelhamento de porta depende da versão do Junos OS que você está usando:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 ou anteriormente, Junos OS 13.2X52: Quando o STP está ativado, o espelhamento de porta pode não ter sucesso, porque o STP pode bloquear os pacotes espelhados.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: O STP está inválido para tráfego espelhado. Você deve garantir que sua topologia impeça loops desse tráfego.

Restrições e limitações

As seguintes restrições e limitações aplicam-se ao espelhamento de porta:

Espelhar apenas os pacotes necessários para análise reduz a possibilidade de reduzir o desempenho geral. Se você espelhar o tráfego de várias portas, o tráfego espelhado pode exceder a capacidade da interface de saída. Os pacotes de estouro são descartados. Recomendamos limitar a quantidade de tráfego espelhado selecionando interfaces específicas e evitar usar a all palavra-chave. Você também pode limitar a quantidade de tráfego espelhado usando um filtro de firewall para enviar tráfego específico para a instância de espelhamento de porta.

  • Você pode criar um total de quatro configurações de espelhamento de porta.

  • Cada grupo de nós em um sistema QFabric está sujeito às seguintes restrições:

    • Até quatro configurações podem ser usadas para espelhamento de portas locais.

    • Até três das configurações podem ser usadas para espelhamento remoto de portas.

  • Independentemente de você estar configurando um switch independente ou um grupo de nós:

    • Não pode haver mais do que duas configurações que espelham o tráfego de entrada. Se você configurar um filtro de firewall para enviar tráfego espelhado para uma porta, isso significa uma configuração de espelhamento de entrada para o grupo do switch ou nó ao qual o filtro é aplicado.

    • Não pode haver mais do que duas configurações que espelham o tráfego de saída.

    • Nos sistemas QFabric, não existe um limite em todo o sistema do número total de sessões espelhadas.

  • Você pode configurar apenas um tipo de saída em uma configuração de espelhamento de porta para completar uma set analyzer name output declaração:

    • interface

    • ip-address

    • vlan

  • Configure o espelhamento em um analisador set forwarding-options analyzer (com) em apenas uma interface lógica para a mesma interface física. Se você tentar configurar o espelhamento em várias interfaces lógicas configuradas em uma interface física, somente a primeira interface lógica está configurada com sucesso; as interfaces lógicas restantes retornam erros de configuração.

  • Se você espelhar pacotes de saída, não configure mais de 2.000 VLANs em um switch independente ou sistema QFabric. Se fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos. Isso se aplica a qualquer pacote VLAN, não apenas às copias espelhadas.

  • As ratio opções e as opções não são loss-priority suportadas.

  • Pacotes com erros de camada física não são enviados para a porta de saída ou para a VLAN.

  • Se você usar o monitoramento do sFlow para amostrar o tráfego, ele não amostra as copias do espelhamento quando elas saem da interface de saída.

  • Não é possível espelhar pacotes que saem ou entram nas seguintes portas:

    • Interfaces Virtual Chassis dedicadas

    • Interfaces de gerenciamento (me0 ou vme0)

    • Fibre Channel interfaces

    • Interfaces integradas de roteamento e conexão (IRB) (também conhecidas como interfaces VLAN roteados ou RVIs)

  • Uma interface Ethernet agregada não pode ser uma interface de saída se a entrada for uma VLAN ou se o tráfego for enviado ao analisador usando um filtro de firewall.

  • Quando pacotes espelhados são enviados de uma interface de saída, eles não são modificados para quaisquer alterações que possam ser aplicadas aos pacotes originais na saída, como CoS reescrita.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego de STP.

  • (somente sistemas QFabric) Se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estão em diferentes dispositivos de Nó, as cópias espelhadas terão IDs VLAN incorretas.

    Essa limitação não se aplica se você configurar um analisador QFabric para espelhar o tráfego de saída, e as interfaces de entrada e saída estão no mesmo dispositivo de nó. Nesse caso, as cópias espelhadas terão as IDs VLAN corretas (desde que você não configure mais de 2000 VLANs no sistema QFabric).

  • O espelhamento de saída verdadeira é definido como espelhamento do número exato de cópias e das modificações exatas de pacote que foram feitas na porta de saída. Como os processadores no QFX5xxx (incluindo QFX5100, QFX5110, QFX5120, QFX5200 e QFX5210) e EX4600 (incluindo EX4600 e EX4650) implementam espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, portanto, o tráfego espelhado de saída pode levar tags VLAN incorretas que diferem das tags do tráfego original.

  • Se você configurar uma instância de espelhamento de porta para espelhar o tráfego que sai de uma interface que realiza o encapsulamento VLAN, os endereços MAC de origem e destino dos pacotes espelhados não são os mesmos dos pacotes originais.

  • O espelhamento nas interfaces de membro de um LAG não é suportado.

  • O espelhamento de VLAN de saída não é suportado.

As seguintes restrições e limitações aplicam-se ao espelhamento de portas remotas:

  • Se você configurar um endereço IP de saída, esse endereço não pode estar na mesma sub-rede que qualquer uma das interfaces de gerenciamento do switch.

  • Se você criar instâncias de roteamento virtual e criar uma configuração de analisador que inclua um endereço IP de saída, o endereço IP de saída pertence à instância de roteamento virtual padrão (tabela de roteamento inet.0).

  • Uma VLAN de saída não pode ser uma linha de VLAN ou VLAN privada.

  • Uma VLAN de saída não pode ser compartilhada por várias analyzer declarações.

  • Uma interface VLAN de saída não pode ser membro de qualquer outro VLAN.

  • Uma interface VLAN de saída não pode ser uma interface Ethernet agregada.

  • Se a VLAN de saída tiver mais de um interface de membro, o tráfego será espelhado apenas para o primeiro membro da VLAN, e outros membros da mesma VLAN não transportam tráfego espelhado.

  • Se você tentar configurar mais de uma sessão de analisador para espelhamento de porta remota em um endereço IP (encapsulamento GRE) e os endereços IP dos analisadores podem ser alcançáveis pela mesma interface, apenas uma sessão de analisador está configurada.

  • O número de possíveis interfaces de saída no espelhamento de portas remotas varia entre os switches da linha QFX5K:

    • QFX5110, QFX5120, QFX5210 — Suporte a no máximo 4 interfaces de saída

    • QFX5100 e QFX5200 — Suporte a no máximo 3 interfaces de saída.

  • Sempre que qualquer membro em uma VLAN com espelhamento de porta remota for removido dessa VLAN, reconfigure a sessão de analisador para esse VLAN.

Restrições e limitações para QFX5100 e QFX5200 switches

As considerações a seguir aplicam-se ao espelhamento de porta em switches QFX5100 e QFX5200 de segurança:

  • Ao configurar o espelhamento com a saída para o endereço IP, o endereço IP de destino deve ser alcançável e o ARP deve ser resolvido.
  • O balanceamento de carga do ECMP (Equal Cost Multiple Path) não é suportado para destinos espelhados.

  • O número de interfaces de saída no espelhamento de portas remotas (RSPAN) varia. Para QFX5110, QFX5120 e QFX5210, os switches no máximo são quatro interfaces de saída. Para QFX5100 e QFX5200 switches, o máximo é de três.

  • Ao especificar um grupo de agregação de enlace (LAG) como a interface de saída de espelhamento, no máximo oito interfaces são espelhadas.

  • A entrada de espelhamento pode ser uma LAG, uma interface física com qualquer unidade (como ae0.101 ou xe-0/0/0.100) ou uma sub-interface. De qualquer forma, todo o tráfego na interface física ou LAG é espelhado.

  • Você não pode configurar uma instância de espelhamento independente em uma interface de membro de um LAG.

  • Uma interface de saída incluída em uma instância de espelhamento também não pode ser usada em outra instância de espelhamento.

  • Para espelhamento local, a interface de saída deve ser com switching de ethernet da família, com ou sem VLAN (ou seja, não uma interface de Camada 3).

  • Para endereços ERSPAN IPv6, o espelhamento de saída não é suportado quando a saída para o analisador/espelhamento de portas é um endereço IPv6 remoto. O espelhamento de saída não é suportado.

Espelhamento de portas no QFabric

As seguintes restrições e limitações aplicam-se ao espelhamento de portas locais e remotas:

  • Você pode criar um total de quatro configurações de espelhamento de porta.

  • Cada grupo de nós em um sistema QFabric está sujeito às seguintes restrições:

    • Até quatro configurações podem ser usadas para espelhamento de portas locais.

    • Até três das configurações podem ser usadas para espelhamento remoto de portas.

  • Independentemente de você estar configurando um switch independente ou um grupo de nós:

    • Não pode haver mais do que duas configurações que espelham o tráfego de entrada. Se você configurar um filtro de firewall para enviar tráfego espelhado para uma porta, ou seja, usar o modificador de ação em um termo de filtro, isso significa uma configuração de espelhamento de ingresso no grupo do switch ou nó ao qual o filtro é analyzer aplicado.

    • Não pode haver mais do que duas configurações que espelham o tráfego de saída.

    • Nos sistemas QFabric, não existe um limite em todo o sistema do número total de sessões espelhadas.

  • Você pode configurar apenas um tipo de saída em uma configuração de espelhamento de porta para completar uma set analyzer name output declaração:

    • interface

    • ip-address

    • vlan

  • Configure o espelhamento em um analisador set forwarding-options analyzer (com) em apenas uma interface lógica para a mesma interface física. Se você tentar configurar o espelhamento em várias interfaces lógicas configuradas em uma interface física, somente a primeira interface lógica está configurada com sucesso; as interfaces lógicas restantes retornam erros de configuração.

  • Se você espelhar pacotes de saída, não configure mais de 2.000 VLANs em um switch independente ou sistema QFabric. Se fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos. Isso se aplica a qualquer pacote VLAN, não apenas às copias espelhadas.

  • As ratio opções e as opções não são loss-priority suportadas.

  • Pacotes com erros de camada física não são enviados para a porta de saída ou para a VLAN.

  • Se você usar o monitoramento do sFlow para amostrar o tráfego, ele não amostra as copias do espelhamento quando elas saem da interface de saída.

  • Não é possível espelhar pacotes que saem ou entram nas seguintes portas:

    • Interfaces Virtual Chassis dedicadas

    • Interfaces de gerenciamento (me0 ou vme0)

    • Fibre Channel interfaces

    • Interfaces integradas de roteamento e conexão (IRB) (também conhecidas como interfaces VLAN roteados ou RVIs)

  • Uma interface Ethernet agregada não pode ser uma interface de saída se a entrada for uma VLAN ou se o tráfego for enviado ao analisador usando um filtro de firewall.

  • Quando pacotes espelhados são enviados de uma interface de saída, eles não são modificados para quaisquer alterações que possam ser aplicadas aos pacotes originais na saída, como CoS reescrita.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego de STP.

  • (somente sistemas QFabric) Se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estão em diferentes dispositivos de Nó, as cópias espelhadas terão IDs VLAN incorretas.

    Essa limitação não se aplica se você configurar um analisador QFabric para espelhar o tráfego de saída, e as interfaces de entrada e saída estão no mesmo dispositivo de nó. Nesse caso, as cópias espelhadas terão as IDs VLAN corretas (desde que você não configure mais de 2000 VLANs no sistema QFabric).

  • O espelhamento de saída verdadeira é definido como espelhamento do número exato de cópias e das modificações exatas de pacote que foram feitas na porta de saída. Como os processadores no QFX5xxx (incluindo QFX5100, QFX5110, QFX5120, QFX5200 e QFX5210) e EX4600 (incluindo EX4600 e EX4650) implementam espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, portanto, o tráfego espelhado de saída pode levar tags VLAN incorretas que diferem das tags do tráfego original.

  • Se você configurar uma instância de espelhamento de porta para espelhar o tráfego que sai de uma interface que realiza o encapsulamento VLAN, os endereços MAC de origem e destino dos pacotes espelhados não são os mesmos dos pacotes originais.

  • O espelhamento nas interfaces de membro de um LAG não é suportado.

  • O espelhamento de VLAN de saída não é suportado.

Espelhamento de portas em switches da Série OCX

As seguintes restrições e limitações aplicam-se ao espelhamento de porta em switches da Série OCX:

  • Você pode criar um total de quatro configurações de espelhamento de porta. Não pode haver mais do que duas configurações que espelham a entrada ou o tráfego de saída.

  • Se você usar o monitoramento do sFlow para amostrar o tráfego, ele não amostra as copias do espelhamento quando elas saem da interface de saída.

  • Você pode criar apenas uma sessão de espelhamento de portas.

  • Não é possível espelhar pacotes que saem ou entram nas seguintes portas:

    • Interfaces Virtual Chassis dedicadas

    • Interfaces de gerenciamento (me0 ou vme0)

    • Fibre Channel interfaces

    • Interfaces VLAN roteados ou IRB

  • Uma interface Ethernet agregada não pode ser uma interface de saída.

  • Não inclua uma subinterface 802.1Q que tenha um número de unidade diferente de 0 em uma configuração de espelhamento de portas. O espelhamento de portas não funciona com subinterfaces se o número da unidade não for 0. (Você configura subinterfaces 802.1Q usando a vlan-tagging declaração.)

  • Quando as copias de pacote são enviadas da interface de saída, elas não são modificadas para quaisquer alterações normalmente aplicadas na saída, como CoS reescrita.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego de STP.

Espelhamento de portas em switches EX2300, EX3400 e EX4300

Pode ser necessário espelhamento para análise de tráfego em um switch, porque um switch, ao contrário de um hub, não transmite pacotes para todas as portas do dispositivo de destino. O switch envia pacotes apenas para a porta para a qual o dispositivo de destino está conectado.

Visão geral

O Junos OS executado nos switches EX2300, EX3400 e série EX4300 tem suporte para as configurações de Software de Camada 2 Aprimorada (ELS) que facilitam a análise de tráfego nesses switches no nível dos pacotes.

Você usa o espelhamento de porta para copiar pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar analisadores para aplicar políticas relacionadas ao uso da rede e ao compartilhamento de arquivo e identificar fontes de problemas na sua rede localizando o uso de largura de banda anormal ou pesado por estações ou aplicativos específicos.

O espelhamento de portas está configurado em nível [edit forwarding-options port-mirroring] de hierarquia. Para espelhar pacotes roteados (Camada 3), você pode usar a configuração de espelhamento de porta na qual a family instrução está definida inet como ou inet6 .

Você pode usar o espelhamento de porta para copiar esses pacotes:

  • Packets entering or exiting a port— Você pode espelhar os pacotes em qualquer combinação de pacotes que entram ou saem de portas de até 256 portas.

    Em outras palavras, você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas até a mesma porta do analisador local ou do VLAN analisador.

  • Packets entering a VLAN— Você pode espelhar os pacotes que entram em uma VLAN em uma porta de analisador local ou em um VLAN analisador. Você pode configurar até 256 VLANs, incluindo uma linha VLAN e PVLANs, como entrada de entrada para um analisador.

  • Policy-based sample packets— Você pode espelhar uma amostra baseada em políticas de pacotes que estão entrando em uma porta ou uma VLAN. Você configura um filtro de firewall para estabelecer uma política para selecionar os pacotes a serem espelhados e enviar a amostra para uma instância de espelhamento de porta ou para um VLAN analisador.

Você pode configurar o espelhamento de porta no switch para enviar copias do tráfego Unicast para um destino de saída, como uma interface, uma instância de roteamento ou uma VLAN. Depois, você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo. O aplicativo analisador de protocolo pode ser executado em um computador conectado à interface de saída do analisador ou em uma estação de monitoramento remoto. Para o tráfego de entrada, você pode configurar um termo de filtro de firewall para especificar se o espelhamento de porta deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado. Você pode aplicar um filtro de firewall configurado com a ação ou às interfaces lógicas de entrada ou saída (incluindo interfaces lógicas Ethernet agregadas), ao tráfego encaminhado ou inundado para uma VLAN ou tráfego encaminhado ou inundado para uma instância de roteamento port-mirrorport-mirror-instance name VPLS. EX2300, EX3400 e switches EX4300 para espelhamento de porta de VPLS (ou) tráfego e tráfego VPN em um ambiente family ethernet-switchingfamily vpls de Camada family ccc 2.

Dentro de um termo de filtro de firewall, você pode especificar as propriedades de espelhamento de porta na then instrução das seguintes maneiras:

  • Referência implícita às propriedades de espelhamento de porta vigentes na porta.

  • Referência explicitamente a uma instância específica chamada de espelhamento de portas.

Orientações de configuração para espelhamento de portas e analisadores em switches EX2300, EX3400 e EX4300 de segurança

Ao configurar o espelhamento de portas, recomendamos que você siga determinadas orientações para garantir que você obtenha o melhor benefício do espelhamento. Além disso, recomendamos que você desative o espelhamento quando não estiver usando e que selecione interfaces específicas para as quais os pacotes devem ser espelhados (ou seja, selecionar interfaces específicas como entrada no analisador) em preferência por usar a opção de palavra-chave que permite espelhamento em todas as interfaces e pode afetar o all desempenho geral. Espelhar apenas os pacotes necessários reduz qualquer impacto no desempenho potencial.

Com o espelhamento local, o tráfego de várias portas é replicado para a interface de saída do analisador. Se a interface de saída de um analisador atingir a capacidade, os pacotes serão descartados. Assim, ao configurar um analisador, você deve considerar se o tráfego espelhado excede a capacidade da interface de saída do analisador.

Você pode configurar um analisador na [edit forwarding-options analyzer] hierarquia.

Nota:

O espelhamento de saída verdadeira é definido como espelhamento do número exato de cópias e das modificações exatas de pacote que foram feitas na porta comutado de saída. Como o processador nos switches EX2300 e EX3400 implementa espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, e assim o tráfego espelhado de saída pode levar tags VLAN que diferem das tags do tráfego original.

Tabela 1 sintetiza mais orientações de configuração para espelhamento em EX2300, EX3400 e EX4300 switches.

Tabela 1: Orientações de configuração para espelhamento de portas e analisadores em switches EX2300, EX3400 e EX4300 de segurança

Diretriz

Informações de valor ou suporte

Comentário

Número de VLANs que você pode usar como entrada de entrada para um analisador.

256

 

Número de sessões de espelhamento de porta e analisadores que você pode habilitar simultaneamente.

4

Você pode configurar um total de quatro sessões e habilitar apenas uma das seguintes a qualquer momento:

  • No máximo quatro sessões de espelhamento de porta (incluindo a sessão global de espelhamento de portas).

  • No máximo quatro sessões de analisador.

  • Uma combinação de sessões de espelhamento de porta e analisador, e o total dessa combinação deve ser de quatro.

Você pode configurar mais do que o número especificado de instâncias de espelhamento de porta ou analisadores no switch, mas você pode habilitar apenas o número especificado para uma sessão.

Tipos de portas nas quais você não pode espelhar o tráfego.

  • Virtual Chassis portas (VCPs)

  • Portas Ethernet de gerenciamento (me0 ou vme0)

  • Interfaces integradas de roteamento e ponte (IRB); também conhecidas como interfaces VLAN roteados (RVIs).

  • Interfaces de Camada 3 marcadas por VLAN

 

Famílias de protocolo que você pode incluir em uma configuração de espelhamento de porta para tráfego remoto.

any

 

Direções de tráfego que você pode configurar para espelhamento em portas em configurações baseadas em filtro de firewall.

Entrada e saída

 

Pacotes espelhados que saem de uma interface que refletem a classe de serviço (CoS) DSCP ou bits 802.1p.

Aplicável

 

Pacotes com erros de camada física.

Aplicável

Pacotes com esses erros são filtrados e, portanto, não são enviados ao analisador.

O espelhamento de portas não tem suporte para tráfego de taxa de linha.

Aplicável

O espelhamento de portas para tráfego de taxa de linha é feito com a melhor base de esforço.

Espelhamento de pacotes com saída de uma VLAN.

Sem suporte

 

Saída de espelhamento de porta ou analisador em uma interface DE LAG.

Suportado

 

Número máximo de membros crianças em uma interface de LAG de saída do espelhamento de porta ou analisador.

8

 

Número máximo de interfaces em uma VLAN remota com espelhamento de portas ou analisador.

1

 

Espelhamento de saída de pacotes de controle gerados por host.

Não suportado

 

Configurando interfaces lógicas de Camada 3 na input estrofe de um analisador.

Sem suporte

Essa funcionalidade pode ser conquistada configurando o espelhamento de portas.

É preciso evitar as estrofes de entrada e saída do analisador que contenham membros da mesma VLAN ou da própria VLAN.

Aplicável

 

Espelhamento de porta EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 e switches EX8200 Série EX8200

Juniper Networks Sistema operacional Junos (Junos OS) em execução nos switches EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 ou série EX8200 não dá suporte a configurações de Software aprimorado de Camada 2 (ELS). Assim, o Junos OS não inclui a declaração encontrada no nível da hierarquia de outros pacotes do Junos OS ou a ação em termos de filtro port-mirroringedit forwarding-options de port-mirror firewall.

Você pode usar o espelhamento de porta para facilitar a análise do tráfego em seu Juniper Networks Série EX Switch de ethernet em um nível de pacote. Você pode usar o espelhamento de porta como parte do monitoramento do tráfego de switch para fins como aplicar políticas relacionadas ao uso e ao compartilhamento de arquivo da rede e identificar fontes de problemas em sua rede localizando uso de largura de banda anormal ou pesado por estações ou aplicativos específicos.

Você pode usar o espelhamento de porta para copiar esses pacotes para uma interface local ou para uma VLAN:

  • Pacotes que entram ou saem de uma porta

  • Você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas até a mesma porta do analisador local ou do VLAN analisador.

  • Pacotes que entram em uma VLAN em switches EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou EX6200 switches

  • Pacotes que saem de uma VLAN em EX8200 switches

Visão geral

O espelhamento de portas é usado para análise de tráfego em um switch, porque um switch, ao contrário de um hub, não transmite pacotes para todas as portas do dispositivo de destino. O switch envia pacotes apenas para a porta para a qual o dispositivo de destino está conectado.

Você configura o espelhamento de porta no switch para enviar copias do tráfego Unicast para uma porta de analisador local ou para um VLAN analisador. Depois, você pode analisar o tráfego espelhado usando um analisador de protocolo. O analisador de protocolo pode ser executado em um computador conectado à interface de saída do analisador ou em uma estação de monitoramento remoto.

Você pode usar o espelhamento de porta para espelhar qualquer um dos seguintes:

  • Packets entering or exiting a port— Você pode espelhar os pacotes em qualquer combinação de pacotes que entram ou saem de portas de até 256 portas.

    Em outras palavras, você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas até a mesma porta do analisador local ou do VLAN analisador.

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— Você pode espelhar os pacotes que entram em uma VLAN em um VLAN analisador. Nos switches EX3200, EX4200, EX4500 e EX4550, você pode configurar várias VLANs (até 256 VLANs), incluindo uma gama de VLAN e PVLANs, como entrada de entrada para um analisador.

  • Packets exiting a VLAN on an EX8200 switch— Você pode espelhar os pacotes que saem de uma VLAN em um switch EX8200 para uma porta de analisador local ou para um VLAN analisador. Você pode configurar várias VLANs (até 256 VLANs), incluindo uma gama VLAN e PVLANs, como entrada de saída para um analisador.

  • Statistical samples— Você pode espelhar uma amostra estatísticas de pacotes que são:

    • Entrar ou sair de uma porta

    • Inserindo uma VLAN em um EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou switch EX6200

    • Sair de uma VLAN em um EX8200 switch

    Você especifica o número amostral de pacotes definindo a razão. Você pode enviar a amostra para uma porta de analisador local ou para um VLAN analisador.

  • Policy-based sample— Você pode espelhar uma amostra baseada em políticas de pacotes que estão entrando em uma porta ou uma VLAN. Você configura um filtro de firewall para estabelecer uma política para selecionar os pacotes a serem espelhados. Você pode enviar a amostra para uma porta de analisador local ou para um VLAN analisador.

Orientações de configuração para EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 e switches EX8200 Série EX8200

Ao configurar o espelhamento de portas, recomendamos que você siga determinadas orientações para garantir que você obtenha o melhor benefício do recurso de espelhamento de portas. Além disso, recomendamos que você desative o espelhamento de porta quando não estiver usando e que selecione interfaces específicas para as quais os pacotes devem ser espelhados (ou seja, selecionar interfaces específicas como entrada para o analisador) em vez de usar a palavra-chave que permite o espelhamento de porta em todas as interfaces e pode afetar o all desempenho geral. Você também pode limitar a quantidade de tráfego espelhado usando amostras estatísticas, definindo uma razão para selecionar uma amostra estatística ou usando um filtro de firewall. Espelhar apenas os pacotes necessários reduz qualquer impacto no desempenho potencial.

Com o espelhamento de portas locais, o tráfego de várias portas é replicado para a interface de saída do analisador. Se a interface de saída de um analisador atingir a capacidade, os pacotes serão descartados. Assim, ao configurar um analisador, você deve considerar se o tráfego espelhado excede a capacidade da interface de saída do analisador.

Nota: "Todos os outros switches" ou "Todos os switches" na descrição aplicam-se a todas as plataformas de switch que suportam espelhamento de portas. Para obter detalhes sobre o suporte à plataforma, consulte o Feature Explorer.
Tabela 2: Orientações de configuração

Diretriz

Descrição

Comentário

Número de VLANs que você pode usar como entrada de entrada para um analisador

  • Switches de EX2200 1

  • Switches 256-EX3200, EX4200, EX4500, EX4550 e EX6200

  • Não se aplica a switches EX8200

 

Número de analisadores que você pode habilitar simultaneamente (aplica-se a switches autônomos e Virtual Chassis)

  • Switches 1- EX2200, EX3200, EX4200, EX3300 e switches EX6200

  • 7 switches baseados em porta ou 1 global — EX4500 e EX4550 de rede

  • 7 no total, com um baseado em VLAN, filtro de firewall ou LAG, e com os 6 restantes com base em filtros de firewall — switches EX8200 switches

    Nota:

    Um analisador configurado com um filtro de firewall não tem suporte para espelhamento de pacotes que estão em saída.

  • Você pode configurar mais do que o número especificado de analisadores no switch, mas você pode habilitar apenas o número especificado para uma sessão. Use disable ethernet-switching-options analyzer name para desativar um analisador.

  • Consulte a entrada da próxima linha nesta tabela para ter a exceção do número de analisadores baseados em firewall permitidos em switches EX4500 e EX4550 firewall.

  • Em uma EX4550 Virtual Chassis, você pode configurar apenas um analisador se as portas nas definições de entrada e saída estão em switches diferentes em uma Virtual Chassis. Para configurar vários analisadores, uma sessão de analisador inteira deve ser configurada no mesmo switch de uma Virtual Chassis.

Número de analisadores baseados em filtro de firewall que você pode configurar em EX4500 e EX4550 switches

  • 1 — switches EX4500 e EX4550 de segurança

Se você configurar vários analisadores, não poderá prender nenhum deles a um filtro de firewall.

Tipos de portas nas quais você não pode espelhar o tráfego

  • Virtual Chassis portas (VCPs)

  • Portas Ethernet de gerenciamento (me0 ou vme0)

  • Interfaces VLAN roteados (RVIs)

  • Interfaces de Camada 3 marcadas por VLAN

 

Se o espelhamento de porta estiver configurado para espelhar pacotes que saem de portas Ethernet de 10 Gigabits em switches EX8200, os pacotes são lançados em tráfego espelhado e de rede quando os pacotes espelhados superam 60 por cento do tráfego de porta ethernet de 10 Gigabit.

  • EX8200 switches

 

Direções de tráfego para as quais você pode especificar uma razão

  • Somente entrada — switches EX8200 de entrada

  • Entrada e saída — Todos os outros switches

 

Famílias de protocolo que você pode incluir em um analisador remoto baseado em filtro de firewall

  • Qualquer inet um, exceto inet6 switches EX8200 de segurança

  • Todos os outros switches

Você pode usar inet switches de EX8200 em um inet6 analisador local.

Direções de tráfego que você pode configurar para espelhamento em portas em configurações baseadas em filtro de firewall

  • Somente entrada — Todos os switches

 

Pacotes espelhados em interfaces tagged podem conter uma ID ou Étertype VLAN incorreto.

  • ID de VLAN e Ethertype , switches EX2200 de segurança

  • Somente ID VLAN — switches EX3200 e EX4200

  • Somente ethertype — switches EX4500 e EX4550 básicos

  • Não se aplica a switches EX8200

 

Os pacotes espelhados que saem de uma interface não refletem a classe de serviço (CoS) DSCP ou bits 802.1p.

  • Todos os switches

 

O analisador anexa um header 802.1Q incorreto aos pacotes espelhados no tráfego roteado ou não espelha nenhum pacote no tráfego roteado quando uma VLAN de saída que pertence a uma dot1q interface VLAN roteada (RVI) está configurada como a entrada desse analisador.

  • EX8200 switches

  • Não se aplica a todos os outros switches

Como solução alternativa, configure um analisador que usa cada porta (interface de membro) da VLAN como entrada de saída.

Pacotes com erros de camada física não são enviados ao analisador local ou remoto.

  • Todos os switches

Pacotes com esses erros são filtrados e, portanto, não são enviados ao analisador.

A configuração de espelhamento de porta em uma interface de Camada 3 com a saída configurada para uma VLAN não está disponível nos EX8200 switches.

  • EX8200 switches

  • Não se aplica a todos os outros switches

 

O espelhamento de portas não tem suporte para tráfego de taxa de linha.

  • Todos os switches

O espelhamento de portas para tráfego de taxa de linha é feito com a melhor base de esforço.

Em uma EX8200 Virtual Chassis, para espelhar o tráfego na Virtual Chassis, a porta de saída deve ser um LAG.

  • EX8200 Virtual Chassis

  • Não se aplica a todos os outros switches

Em uma EX8200 Virtual Chassis:

  • Você pode configurar o LAG como uma porta de monitoramento apenas para analisadores nativos.

  • Você não pode configurar o LAG como uma porta de monitoramento para analisadores com base em filtros de firewall.

  • Se uma configuração de analisador contiver LAG como uma porta de monitor, você não pode configurar o VLAN na definição de entrada de um analisador.

Em switches de EX8200 autônomos, você pode configurar LAG na definição de saída.

  • EX8200 autônomos

  • Não se aplica a todos os outros switches

Em EX8200 comutadores autônomos:

  • Você pode configurar um LAG como uma porta de monitoramento em analisadores nativos e baseados em firewall.

  • Se uma configuração contiver LAG como uma porta do monitor, você não pode configurar a VLAN na definição de entrada de um analisador.

Espelhamento de portas em dispositivos SRX

O espelhamento da porta copia pacotes que entram ou saem de uma porta e enviam as cópias para uma interface local para monitoramento. O espelhamento de portas é usado para enviar tráfego para aplicativos que analisam o tráfego com finalidades como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. </para><para>O espelhamento de porta é usado para enviar uma cópia de todos os pacotes ou apenas os pacotes amostrados vistos em uma porta para uma conexão de monitoramento de rede. Você pode espelhar os pacotes na porta de entrada (espelhamento de porta de entrada) ou na porta de saída (espelhamento de porta de saída).

O espelhamento de portas é suportado apenas nos dispositivos SRX com as seguintes placas de E/S:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

Nos dispositivos SRX, todos os pacotes que passam pela porta são copiados e mirrored enviados para a porta mirror-to especificada. Essas portas devem estar no mesmo chipset Broadcom nas placas de E/O.

Nos dispositivos SRX, o espelhamento de portas funciona apenas em interfaces físicas.

Entender o espelhamento de portas de Camada 2

Em plataformas de roteamento e switches que contenham um ASIC internet Processor II, você pode enviar uma cópia de qualquer pacote recebido da plataforma de roteamento ou switch para um endereço host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de portas.

No Junos OS Release 9.3 e mais tarde, o Juniper Networks Série MX 5G Plataformas de roteamento universal em um ambiente de suporte a portas de Camada 2 espelhamento de portas para conexão de tráfego de Camada 2 e tráfego de VPLS (Virtual Private Lan Service, serviço de LAN virtual privado).

Na Versão 9.4 e posterior do Junos OS, os roteadores da Série MX em um ambiente de Camada 2 suportam espelhamento de portas para tráfego VPN de Camada 2 em um CCC (Circuit Cross-Connect) que conecta interfaces lógicas com o mesmo tipo de conexão.

No Junos OS Release 12.3R2, os switches Juniper Networks Ex Series são de suporte ao espelhamento de portas para tráfego de conexão de Camada 2.

O espelhamento de porta de camada permite especificar a maneira como os pacotes de entrada e saída em portas especificadas são monitorados e a maneira como as cópias de pacotes selecionados são encaminhadas para outro destino, onde os pacotes podem ser analisados.

Os roteadores da Série MX e os switches da Série EX são de suporte ao espelhamento de portas de Camada 2 executando funções de monitoramento de fluxo usando uma arquitetura de classe de serviço (CoS) em conceito semelhante a, mas em especial diferente de outras plataformas e switches de roteamento.

Como o roteador de borda multisserviço M120 e o roteador de borda multisserviço M320, os roteadores da série MX e os switches série EX são suportados pelo espelhamento de pacotes IPv4, IPv6 e VPLS simultaneamente.

Em um ambiente de Camada 3, roteadores da Série MX e switches série EX são de suporte ao espelhamento do tráfego family inet IPv4 () e IPv6 ( family inet6 ). Para obter informações sobre o espelhamento de portas de Camada 3, consulte as Políticas de Roteamento, Filtros de Firewall e Guia do Usuário dos Políciadores de Tráfego.

Propriedades de espelhamento de portas de Camada 2

O espelhamento de portas especifica os seguintes tipos de propriedades:

Seleção de pacotes

As propriedades de seleção de pacotes do espelhamento de portas Camada 2 especificam como os pacotes amostrados devem ser selecionados para espelhamento:

  • O número de pacotes em cada amostra.

  • O número de pacotes a espelhar de cada amostra.

  • O comprimento até o qual os pacotes espelhados devem ser truncados.

Família de endereços de pacotes

O tipo da família de endereços de pacote especifica o tipo de tráfego a ser espelhado. Em um ambiente de Camada 2, os roteadores da Série MX e os switches da Série EX são de suporte ao espelhamento de portas para as seguintes famílias de endereços de pacote:

  • Tipo de ethernet-switching família — Para espelhamento do tráfego de VPLS quando a interface física estiver configurada com o tipo de encapsulamento. ethernet-bridge

  • Tipo de ccc família — Para espelhamento do tráfego de VPN da Camada 2.

  • Tipo de vpls família — Para espelhamento do tráfego de VPLS.

Nota:

Em aplicativos típicos, você envia pacotes espelhados diretamente para um analisador, não para outro roteador ou switch. Se você tiver que enviar pacotes espelhados por uma rede, use túneis. Para implementações de VPN de Camada 2, você pode usar o tipo de instância de roteamento VPN de Camada 2 para tunelar os pacotes l2vpn até um destino remoto.

Para obter informações sobre como configurar uma instância de roteamento para VPN de Camada 2, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento. Para ver uma configuração de VPN de Camada 2 detalhada, consulte Junos OS. Para obter informações sobre interfaces de túnel, consulte a Biblioteca de Interfaces de Rede do Junos OS para dispositivos de roteamento.

Propriedades de destino espelhado

Para uma família de endereços de pacote determinada, as propriedades de destino espelhamento de uma instância de espelhamento de porta Camada 2 especificam como os pacotes selecionados devem ser enviados em uma interface física específica:

  • A interface física na qual enviar os pacotes selecionados.

  • Não importa se a verificação de filtro está desabilitada na interface de destino do espelhamento. Por padrão, a verificação de filtro está ativada em todas as interfaces.

    Nota:

    Se você aplicar um filtro a uma interface que também seja um destino de espelhamento de portas Camada 2, ocorrerá uma falha de confirmação a menos que tenha desabilitado a verificação do filtro para a interface de destino do espelhamento.

Opção Mirror-Once

Se o espelhamento de porta estiver habilitado para interfaces de entrada e saída, você pode impedir que o roteador da Série MX e um switch da Série EX enviem pacotes duplicados para o mesmo destino (o que complica a análise do tráfego espelhado).

Nota:

A opção de espelhamento de portas uma vez espelhada é uma configuração global. A opção é independente das propriedades de seleção de pacotes e das propriedades de destino de espelhamento específicas do tipo da família de pacotes.

Aplicação dos tipos de espelhamento de portas de Camada 2

Você pode aplicar diferentes conjuntos de propriedades de espelhamento de porta Camada 2 aos pacotes VPLS em diferentes pontos de entrada ou saída de uma rota da Série MX ou da Série EX.

Tabela 3 descreve os três tipos de espelhamento de portas de Camada 2 que você pode configurar em roteadores da Série MX e switches da Série EX, o: instância global, instâncias nomeadas e filtros de firewall.

Tabela 3: Aplicação dos tipos de espelhamento de portas de Camada 2

Tipo de Definição de Espelhamento de Portas de Camada 2

Ponto de aplicação

Escopo do espelhamento

Descrição

Detalhes da configuração

Espelhamento de portas de Camada 2 em instância global

Todas as portas no chassi (ou switch) do roteador da Série MX.

Pacotes VPLS recebidos em todas as portas do roteador (ou switch) da Série MX.

Se configuradas, as propriedades de espelhamento de porta globais aplicam-se implicitamente a todos os pacotes VPLS recebidos em todas as portas no chassi do roteador (ou switch).

Veja configurar a instância global do espelhamento de portas de Camada 2

Instância nomeada de Espelhamento de Portas de Camada 2

Portas agrupadas em nível de FPC

Consulte o espelhamento de portas de Camada 2 vinculante para portas agrupadas no nível FPC.

Pacotes VPLS recebidos em portas associadas a um DPC ou FPC específicos e seus Mecanismos de Encaminhamento de Pacotes.

Substitui quaisquer propriedades de espelhamento de porta configuradas pela instância global de espelhamento de portas.

Consulte Como definir uma instância nomeada de espelhamento de portas de Camada 2.

O número de destinos de espelhamento de porta suportados para um roteador da Série MX e para um switch da Série EX limita-se ao número de Mecanismos de Encaminhamento de Pacotes contidos nos DPCs ou FPCs instalados no roteador ou no chassi do switch.

Portas agrupadas em nível DE PIC

Consulte o espelhamento de portas de Camada 2 vinculante para portas agrupadas em nível DE PIC.

Pacotes VPLS recebidos em portas associadas a uma rede Mecanismo de Encaminhamento de Pacotes.

Substitui quaisquer propriedades de espelhamento de porta configuradas no nível de FPC ou na instância global de espelhamento de portas.

Filtro de firewall com espelhamento de portas Camada 2

Interface lógica (incluindo uma interface Ethernet agregada)

Consulte Como aplicar o espelhamento de portas de Camada 2 a uma interface lógica.

Pacotes VPLS recebidos ou enviados em uma interface lógica.

Na configuração do filtro de firewall,inclua termos de ação e modificador de ação a fim de se aplicar aos pacotes selecionados para espelhamento:

  • acceptRecomenda-se a ação.

  • O port-mirror modificador referencia implicitamente as propriedades de espelhamento de porta atualmente ligadas às interfaces físicas subjacentes.

  • O port-mirror-instance pm-instance-name modificador faz referência explicitamente a uma instância nomeada de espelhamento de portas.

  • (Opcional) Para pacotes de entrada de interface de túnel apenas para espelhar os pacotes para destinos next-hop-group next-hop-group-name adicionais, inclua o modificador. Esse modificador faz referência a um grupo de next-hop que especifica os endereços de next-hop (para enviar cópias adicionais de pacotes para um analisador).

Consulte Como definir um filtro de firewall com espelhamento de portas de Camada 2.

Nota:

Filtros de firewall com espelhamento de porta 2 não são suportados para sistemas lógicos.

Para espelhamento de pacotes de entrada da interface de túnel para vários destinos, consulte Também consulte Definir um Grupo de Next-Hop paraEspelhamento de Portas de Camada 2.

Tabela de encaminhamento de VLAN ou tabela de inundação

Consulte Como aplicar o espelhamento de portas de Camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte.

Tráfego de Camada 2 encaminhado ou inundado para uma VLAN

Tabela de encaminhamento de instância de VPLS ou tabela de inundação

Consulte Como aplicar o espelhamento de portas de Camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.

Tráfego de Camada 2 encaminhado ou inundado para uma instância de roteamento VPLS

Restrições ao espelhamento de portas de Camada 2

As restrições a seguir aplicam-se ao espelhamento de portas de Camada2:

  • Somente os dados de trânsito da Camada 2 (pacotes que contêm partes de dados que transitam pela plataforma ou switch de roteamento conforme são encaminhados de uma origem até um destino) podem ser espelhados. Os dados locais da Camada 2 (pacotes que contêm partes de dados destinados ou enviados pelo Mecanismo de Roteamento, como pacotes de controle de Camada 2) não são espelhados.

  • Se você aplicar um filtro de espelhamento de porta à saída de uma interface lógica,somente os pacotes Unicast serão espelhados. Para espelhar pacotes de broadcast, pacotes Multicast, pacotes Unica controle de acesso ao meio st com um endereço de destino desconhecido (MAC) ou pacotes com uma entrada MAC na tabela de roteamento MAC (DMAC) de destino, aplique um filtro à entrada na tabela de inundação de uma instância de roteamento VLAN ou VPLS privada virtual.

  • O dispositivo de destino espelhado deve estar em uma VLAN dedicada e não participar de nenhuma atividade de ponte; o dispositivo de destino espelhado não deve ter uma ponte até o destino final do tráfego, e o dispositivo de destino espelhado não deve enviar os pacotes espelhados de volta ao endereço de origem.

  • Para a instância global de espelhamento de portas ou uma instância de espelhamento de portas nomeada, você pode configurar apenas uma interface de saída de espelhamento por instância de espelhamento de porta e família de endereços de pacote. Se você incluir mais de uma interface declaração na family (ethernet-switching | ccc | vpls) output declaração, a declaração anterior será interface anulada.

  • A filtragem de firewall com espelhamento de portas Camada 2 não é suportada para sistemas lógicos.

    Em uma definição de filtro de firewall com espelhamento de porta 2, o filtro ( ou) depende das propriedades de espelhamento de porta definidas na instância global ou em instâncias nomeadas de espelhamento de porta action-modifier Camada port-mirrorport-mirror-instance pm-instance-name 2, configuradas sob a [edit forwarding-options port-mirroring] hierarquia. Portanto, o filtro não pode suportar o espelhamento de portas de term Camada 2 para sistemas lógicos.

  • Para um filtro de firewall de espelhamento de porta Camada 2 no qual você referencia implicitamente as propriedades de espelhamento de porta Camada 2 incluindo a instrução, se várias instâncias nomeadas de espelhamento de porta Camada 2 estão ligadas à interface física subjacente, somente a primeira vinculação na estrofe (ou a única vinculação) é usada na port-mirror interface lógica. Isso é feito para compatibilidade reversa.

  • Os filtros de firewall espelhamento de porta Camada 2 não suportam o uso de subgrupos next-hop para tráfego espelhado de balanceamento de carga.