Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração do espelhamento de porta

O espelhamento de porta é a capacidade de um roteador enviar uma cópia de um pacote IPv4 ou IPv6 para um endereço de host externo ou um analisador de pacotes para análise.

Consulte o Explorador de recursos para obter a lista mais recente de plataformas suportadas e versões do Junos que oferecem suporte ao espelhamento de porta.

Este tópico, Configurando o espelhamento de porta, refere-se ao espelhamento de porta em roteadores da Série MX e Série PTX e switches EX9200. Para diferenças específicas de configuração, veja exemplos que pertencem ao espelhamento de porta nessas plataformas individuais — por exemplo , Exemplo: Configuração do espelhamento remoto de porta em roteadores PTX e Exemplo: Configuração de espelhamento de várias portas com grupos de próximo salto em roteadores da Série T, M, MX.

O espelhamento de porta é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave de amostragem baseada no cabeçalho do pacote é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo ou pacotes cflowd baseados na chave podem ser enviados para um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por meio de uma interface de próximo salto.

Usamos o termo pacote espelhado em vez de pacote amostrado neste documento. O espelhamento de porta é um tipo de amostragem.

Um aplicativo para espelhamento de porta envia um pacote duplicado para um túnel virtual. Um grupo de next-hop pode então ser configurado para encaminhar cópias desse pacote duplicado para várias interfaces. Para obter mais informações sobre grupos de next-hop, consulte Configurando grupos de next-hop para usar várias interfaces para encaminhar pacotes usados no espelhamento de porta.

Todas as Plataformas de roteamento universal 5G da Série MX oferecem suporte ao espelhamento de portas para IPv4 ou IPv6.

O espelhamento de porta para tráfego VPLS é suportado em roteadores da Série MX.

O espelhamento de porta é suportado para tráfego de Camada 2 em roteadores da Série MX. Para obter informações sobre como configurar o espelhamento de porta para tráfego de Camada 2, consulte o Guia de Gerenciamento e Monitoramento de Rede.

Nos MPCs nos roteadores da Série MX, as informações de cabeçalho GRE e MPLS não estão contidas no tráfego espelhado de porta correspondente aos pacotes MPLS transmitidos por túneis IP-GRE.

As plataformas PTX1K, PTX10002, PTX5K, PTX3K e PTX10K com placas de linha de primeira geração (LC1101, LC1102, LC1104 e LC1105) não oferecem suporte ao espelhamento de porta de saída.

Diretrizes de configuração de espelhamento de porta

Ao configurar o espelhamento de porta, as seguintes restrições se aplicam:

  • Somente dados de trânsito são suportados.

  • O valor de MTU da interface de saída do espelho de porta deve ser grande o suficiente para acomodar os pacotes espelhados.

  • Uma porta de tronco autônoma não é suportada como uma interface de saída de espelho de porta para roteadores da Série MX e switches EX9200. Se você quiser usar uma porta de tronco como uma porta de saída de espelho, você deve usar um domínio de ponte (MX) ou uma VLAN (EX) como saída de espelho de porta e, em seguida, anexar a porta de tronco ao respectivo domínio de ponte ou VLAN como uma porta de saída.

  • Você pode configurar o espelhamento de portas para IPv4 e IPv6 simultaneamente nos roteadores da Série MX.

  • O espelhamento de porta na direção de entrada e saída não é suportado para interfaces IQ (lsq-) de serviços de enlace.

  • A filtragem de entrada de pacotes multicast é suportada em todos os Dense Port Concentrators (DPCs) em roteadores da Série MX. A filtragem de saída de pacotes multicast é suportada para interfaces em MPCs em roteadores da Série MX. A filtragem de pacotes multicast com base no endereço de destino não é suportada para interfaces em DPCs baseados em ASIC I-chip em roteadores da Série MX.

    Para espelhamento de porta de Camada 3 (family inet e family inet6), se o tráfego que está sendo espelhado for multicast (em outras palavras, se o endereço IP de destino do pacote for um endereço multicast), o endereço MAC de destino na cópia espelhada corresponde a esse endereço IP de destino multicast e não ao endereço MAC de unicast especificado na [edit forwarding-options port-mirroring family (inet | inet6) output] configuração.

  • Por padrão, os filtros de firewall não podem ser aplicados a interfaces de destino de espelhamento de porta. Para permitir que as interfaces de destino de espelhamento de porta ofereçam suporte a filtros de firewall, use a instrução para desabilitar a no-filter-check verificação de filtro nas interfaces. Você pode incluir a no-filter-check instrução nos seguintes níveis de hierarquia:

    • [edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output]

    • [edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]

  • Você deve incluir um filtro de firewall com a ação e o accept port-mirror modificador de ação na interface de entrada.

  • A interface configurada para espelhamento de porta não deve participar de nenhum tipo de atividade de roteamento.

  • O endereço de destino especificado não deve ter uma rota para o destino de tráfego final. Por exemplo, se os pacotes IPv4 espelhados tiverem um endereço de destino e o tráfego espelhado 192.68.9.10 de porta for enviado para 192.68.20.15 análise, o dispositivo associado ao último endereço não deverá saber uma rota para 192.68.9.10. Além disso, ele não deve enviar os pacotes espelhados de volta ao endereço de origem.

  • Os roteadores da Série MX oferecem suporte a mais de uma interface de espelhamento de porta por roteador.

  • Você pode configurar várias instâncias de espelhamento de porta em roteadores da Série MX.

  • Você pode especificar a amostragem de host (cflowd) e o espelhamento de porta na mesma configuração. Você pode executar ações de amostragem do Mecanismo de Roteamento e espelhamento de porta simultaneamente. No entanto, você não pode executar ações de amostragem de PIC e espelhamento de porta simultaneamente.

  • Em aplicações típicas, você envia os pacotes espelhados para um analisador ou uma estação de trabalho para análise, não para outro roteador. Se você precisar enviar esse tráfego por uma rede, deverá usar túneis.

  • Nos roteadores da Série PTX que oferecem suporte ao espelhamento de portas, os pacotes IPv4 são descartados se o comprimento do pacote exceder o comprimento máximo de pacote configurado.

Observação:

Em um filtro de firewall configurado com uma ação ouport-mirror, se l2-mirror a port-mirror-instance ação também estiver configurada, a família de instâncias de espelhamento de porta deverá ser any. Na ausência da ação, a l2-mirror família de instâncias de espelhamento de porta deve ser a família de filtros de firewall.

No exemplo a seguir, port-mirroring instance pm1 é inet, que é a família de filtros de firewall e porque l2-mirror a ação não está presente.

No exemplo a seguir, como l2-mirror a ação também está presente ao lado da port-mirror-instance ação, port-mirroring instance pm1 family é any.

Configuração do espelhamento de porta

Para configurar o espelhamento de porta, inclua a port-mirroring declaração no nível da [edit forwarding-options] hierarquia:

Configurando a família de endereços e a interface de espelhamento de porta

Para configurar o espelhamento de porta, inclua a port-mirroring declaração. Para configurar o tipo de tráfego da família de endereços a ser espelhado, inclua a family declaração. Para configurar a taxa de amostragem, o comprimento da amostragem e o tamanho máximo do pacote espelhado, inclua a input declaração. Para especificar em qual interface enviar pacotes duplicados e o endereço do próximo salto enviar pacotes, inclua a output declaração. Para determinar se há algum filtro na interface especificada, inclua a no-filter-check declaração.

Para obter informações sobre as instruções and , run-length consulte Configurando a rate amostragem de tráfego.

Configuração de roteadores da Série MX para espelhar o tráfego apenas uma vez

Nos roteadores da Série MX, você pode configurar o espelhamento de porta para que o roteador espelhe o tráfego apenas uma vez. Se você configurar o espelhamento de porta em interfaces de entrada e saída, o mesmo pacote poderá ser espelhado duas vezes. Para espelhar pacotes apenas uma vez e impedir que o roteador envie pacotes espelhados duplicados para o mesmo destino de espelhamento, inclua a mirror-once [edit forwarding-options port-mirroring] declaração no nível de hierarquia:

Observação:

A mirror-once instrução é suportada apenas na instância de espelhamento de porta global.

Configuração de instâncias de espelhamento de porta

As instâncias permitem espelhar pacotes para diferentes destinos do mesmo PFE e também usar diferentes parâmetros de amostragem para cada instância.

Você pode configurar várias instâncias de espelhamento de porta em roteadores da Série MX. Para obter informações sobre como configurar várias instâncias de espelhamento de porta, consulte o Guia de gerenciamento e monitoramento de rede.

Para configurar uma instância de espelhamento de porta, inclua a instance port-mirroring-instance declaração no nível da [edit forwarding-options port-mirroring] hierarquia:

Associando uma instância de espelhamento de porta a um FPC ou PIC em roteadores da Série MX

Você deve associar instâncias de espelhamento de porta a FPCs ou PICs. Você pode associar uma instância de espelhamento de porta a um FPC específico ou a um PIC específico em um roteador da Série MX. "Associar" uma instância de espelhamento de porta a um FPC ou PIC às vezes é chamado de "vincular" a instância ao FPC ou PIC.

Uma instância de nível PIC substitui uma instância de nível FPC e uma instância de nível FPC substitui uma instância global.

O número de instâncias suportadas é:

  • Em um MX DPC, no máximo 2 instâncias podem ser vinculadas (associadas a) um PIC. Como você pode ter 4 PICs por FPC, cada FPC oferece suporte a 8 instâncias.
  • Em um MX MPC, no máximo 2 instâncias são suportadas e elas só podem ser vinculadas no nível do FPC na hierarquia de [edit chassis] configuração.

Para verificar a associação de instâncias de espelhamento de porta com um FPC, emita o comando show chassis fpc fpc-number configuration-mode.

Para associar uma instância de espelhamento de porta a um FPC ou PIC em um roteador da Série MX, você deve incluir a port-mirror-instance port-mirroring-instance-name declaração no [edit chassis fpc slot-number] nível de hierarquia (substituir fpc por pic para configurar a ligação em um PIC).

Observação:

Você não precisa incluir essa [edit chassis] configuração em uma configuração global de espelhamento de porta.

Para slot-number, especifique o número do slot do FPC ou PIC que você deseja associar à instância de espelhamento de porta. Para port-mirroring-instance-name, especifique o nome de uma instância de espelhamento de porta que você configurou no nível de [edit forwarding-options port-mirroring] hierarquia.

Comportamento específico da plataforma

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.

Use as tabelas a seguir para analisar o comportamento específico da sua plataforma:

Plataforma

Diferença

Série PTX de roteadores

A no-filter-check instrução para desabilitar a verificação de filtro nas interfaces não é suportada.