Configuração do espelhamento de porta
Espelhamento de porta é a capacidade de um roteador enviar uma cópia de um pacote IPv4 ou IPv6 para um endereço de host externo ou um analisador de pacotes para análise. O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho de pacotes é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes de cflowd com base na chave podem ser enviados para um servidor de cflowd. No espelhamento de portas, todo o pacote é copiado e enviado por uma interface de next-hop.
Um aplicativo para espelhamento de portas envia um pacote duplicado para um túnel virtual. Um grupo de next-hop pode então ser configurado para encaminhar cópias deste pacote duplicado para várias interfaces. Para obter mais informações sobre grupos de next-hop, consulte a configuração de grupos de next-hop para usar várias interfaces para encaminhar pacotes usados no espelhamento de portas.
Todos os roteadores de borda multisserviço da Série M , roteadores de núcleo da Série T e plataformas de roteamento universal 5G da Série MX oferecem suporte a espelhamento de portas para IPv4 ou IPv6. Os roteadores da Série M120, M320 e MX oferecem suporte a espelhamento de porta para IPv4 e IPv6 simultaneamente.
O espelhamento de portas para tráfego VPLS é suportado em roteadores M7i e M10i configurados com um CFEB aprimorado (CFEB-E), em roteadores M120, em roteadores M320 configurados com um Concentrador pic flexível (FPCs) aprimorados e roteadores da Série MX .
No Junos OS Release 9.3 e posterior, o espelhamento de portas é compatível com o tráfego de Camada 2 em roteadores da Série MX . Para obter informações sobre como configurar o espelhamento de portas para o tráfego de Camada 2, consulte a Junos OS Layer 2 Switching and Bridging Library for Routing Devices.
No Junos OS Release 9.6 e posterior, o espelhamento de portas é compatível com o tráfego VPN de Camada 2 em roteadores M120 e roteadores M320 configurados com um FPC Enhanced III. Você também pode definir o comprimento máximo do pacote espelhado. Quando definido, o pacote espelhado é truncado ao comprimento especificado.
Nos MPCs dos roteadores da Série M e da Série MX, as informações de cabeçalho GRE e MPLS não estão contidas no tráfego espelhado por porta correspondente a pacotes MPLS transmitidos por túneis IP-GRE.
Diretrizes de configuração de espelhamento de porta
Ao configurar o espelhamento da porta, as seguintes restrições aplicam-se:
Apenas os dados de trânsito são suportados.
Você pode configurar o espelhamento de portas IPv4 ou IPv6, mas não ambos nos roteadores da Série M, exceto nos roteadores M120 e M320, que oferecem suporte ao espelhamento de portas para IPv4 e IPv6 simultaneamente.
Você pode configurar o espelhamento de porta para IPv4 e IPv6 simultaneamente nos roteadores M120 e M320 e nos roteadores da Série MX.
O espelhamento de portas na direção de entrada e saída não é compatível com interfaces IQ (lsq-) de serviços de enlace.
A filtragem de entrada de pacotes multicast é suportada em todos os Concentradores de Portas Densas (DPCs) em roteadores da Série MX . A filtragem de saída de pacotes multicast é compatível com interfaces em MPCs apenas em roteadores da Série MX . A filtragem de pacotes multicast com base no endereço de destino não é suportada em roteadores da Série M ou roteadores da Série T e não tem suporte para interfaces em DPCs baseados em ASIC de I-chip em roteadores da Série MX .
Para espelhamento de portas de Camada 3 (
family inetefamily inet6), se o tráfego que está sendo espelhado for multicast (ou seja, se o endereço IP de destino do pacote for um endereço multicast), o endereço MAC de destino na cópia espelhada corresponde a este endereço IP de destino multicast e não ao endereço MAC unicast especificado na[edit forwarding-options port-mirroring family (inet | inet6) output]configuração.Por padrão, os filtros de firewall não podem ser aplicados a interfaces de destino que espelham portas. Para permitir que as interfaces de destino com espelhamento de porta suporte a filtros de firewall, use a
no-filter-checkdeclaração para desativar a verificação de filtros nas interfaces. Você pode incluir ano-filter-checkdeclaração nos seguintes níveis de hierarquia:[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
Você deve incluir um filtro de firewall com a ação aceita e o modificador de ação do espelho de porta na interface de entrada.
A interface configurada para espelhamento de portas não deve participar de nenhum tipo de atividade de roteamento.
O endereço de destino especificado por você não deve ter uma rota para o destino de tráfego final. Por exemplo, se os pacotes IPv4 amostrados tiverem um endereço de destino de 192.68.9.10 e o tráfego espelhado por porta for enviado para 192.68.20.15 para análise, o dispositivo associado a este último endereço não deve saber uma rota para 192.68.9.10. Além disso, ele não deve enviar os pacotes amostrados de volta para o endereço de origem.
Em todos os roteadores, exceto no roteador da Série MX, você pode configurar apenas uma interface de espelhamento de porta por roteador. Se você incluir mais de uma interface na
port-mirroringdeclaração, a anterior será sobreescrita. Os roteadores da Série MX oferecem suporte a mais de uma interface de espelhamento de porta por roteador.Você pode configurar várias instâncias de espelhamento de porta nos roteadores da Série M120, M320 e MX.
Você pode especificar a amostragem do host (cflowd) e o espelhamento de porta na mesma configuração. Você pode realizar ações de amostragem RE e espelhamento de porta simultaneamente. No entanto, você não pode realizar ações de amostragem pic e espelhamento de porta simultaneamente.
Em aplicativos típicos, você envia os pacotes amostrados para um analisador ou uma estação de trabalho para análise, não para outro roteador. Se você precisa enviar esse tráfego por uma rede, você deve usar túneis.
Configuração do espelhamento de porta
Para configurar o espelhamento de porta, inclua a port-mirroring declaração no nível de [edit forwarding-options] hierarquia:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
Configurando a família e a interface do endereço espelhamento de porta
Para configurar o espelhamento de porta, inclua a port-mirroring declaração. Para configurar o tipo de tráfego familiar de endereço para amostrar, inclua a family declaração. Para configurar a taxa de amostragem, o comprimento da amostragem e o tamanho máximo para o pacote espelhado, inclua a input declaração. Para especificar em qual interface enviar pacotes duplicados e o endereço de próximo salto para enviar pacotes, inclua a output declaração. Para determinar se há algum filtro na interface especificada, inclua a no-filter-check declaração.
Para obter informações sobre a taxa e run-length as declarações, consulte Configuração de amostragem de tráfego .
Configuração de várias instâncias de espelhamento de porta
No Junos OS Release 9.5 e posterior, você pode configurar várias instâncias de espelhamento de porta nos roteadores M120, M320 e MX Series. No roteador M120, você pode associar cada instância a uma placa de mecanismo de encaminhamento (FEB) específica. Você não pode associar uma instância de espelhamento de porta a um FEB configurado como um FEB de backup. No roteador M320, você pode associar cada instância a um Concentrador PIC Flexível (FPC) específico. Associar uma instância de espelhamento de porta com um FPC ou um FEB permite que você espelhar pacotes em diferentes destinos. Várias instâncias de espelhamento de porta também são suportadas em roteadores da Série MX. Para obter informações sobre a configuração de várias instâncias de espelhamento de portas em roteadores da Série MX, consulte a Junos OS Layer 2 Switching and Bridging Library for Routing Devices.
Nos roteadores MX80 e MX104, as instâncias de espelhamento de porta devem estar sempre associadas ao FPC 0, porque associar instâncias de espelhamento de porta a FPC 1 ou FPC 2 pode resultar em um comportamento inconsistente devido à arquitetura subjacente.
Para configurar uma instância de espelhamento de porta, inclua a instance port-mirroring-instance declaração no nível de [edit forwarding-options port-mirroring] hierarquia:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- Configuração de instâncias de espelhamento de porta
- Associação de uma instância de espelhamento de porta em roteadores M320
- Associação de uma instância de espelhamento de porta em roteadores M120
- Configurando plataformas de roteamento universal 5G da Série MX e roteadores M120 para espelhar o tráfego apenas uma vez
Configuração de instâncias de espelhamento de porta
Você pode configurar várias instâncias de espelhamento de porta. Especifique uma única port-mirroring-instance-name para cada instância configurada.
Associação de uma instância de espelhamento de porta em roteadores M320
Você pode associar uma instância de espelhamento de porta a um FPC específico em um roteador M320 ou com um FEB específico em um roteador M120. Você pode associar apenas uma instância de espelhamento de porta a cada FPC em um roteador M320 ou com cada FEB em um roteador M120. Em um roteador M120, você não pode associar uma instância de espelhamento de porta com um FEB configurado como um FEB de backup.
Para associar uma instância de espelhamento de porta a um FPC em um roteador M320, inclua a port-mirror-instance port-mirroring-instance-name declaração no nível de [edit chassis fpc slot-number] hierarquia:
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Para slot-number, especifique o número de slot do FPC que você deseja associar à instância de espelhamento de porta. Para port-mirroring-instance-name, especifique o nome de uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia. Para obter mais informações sobre a configuração de um FPC em um roteador M320, consulte a Junos OS Administration Library para dispositivos de roteamento.
Associação de uma instância de espelhamento de porta em roteadores M120
Para associar uma instância de espelhamento de porta com um FEB em um roteador M120, inclua a port-mirror-instance port-mirroring-instance-name declaração no nível de [edit chassis feb slot-number] hierarquia:
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Para slot-number, especifique o número de slot do FEB que você deseja associar à instância de espelhamento de porta. Para port-mirroring-instance-name, especifique o nome de uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia. Para obter informações sobre a configuração da redundância FEB em um roteador M120, consulte o Guia de usuário de alta disponibilidade do Junos OS. Para obter informações sobre a configuração da conectividade FPC-to-FEB em um roteador M120, consulte a Junos OS Administration Library para dispositivos de roteamento.
Configurando plataformas de roteamento universal 5G da Série MX e roteadores M120 para espelhar o tráfego apenas uma vez
Somente nos roteadores da Série MX e M120, você pode configurar o espelhamento de porta para que o roteador espelhasse o tráfego apenas uma vez. Se você configurar o espelhamento de porta em interfaces de entrada e saída, o mesmo pacote pode ser espelhado duas vezes. Para espelhar pacotes apenas uma vez e impedir que o roteador envie pacotes amostrados duplicados para o mesmo destino de espelhamento, inclua a mirror-once declaração no nível de [edit forwarding-options port-mirroring] hierarquia:
[edit forwarding-options port-mirroring] mirror-once;
A mirror-once declaração é suportada apenas na instância global de espelhamento de portas.