Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

端口镜像和分析器

SUMMARY 本节介绍如何通过端口镜像将网络信息流发送到分析器应用程序。

了解端口镜像与分析器

端口镜像 与分析器将网络流量发送到运行分析器应用程序的设备。端口镜像将第 3 层 IP 流量复制到接口。分析器将桥接(第 2 层)数据包复制到接口。镜像的流量来源可以来自一个或多个接口。您可使用连接到运行分析器应用程序的镜像输出接口的设备来执行诸如监控合规性、实施策略、检测入侵、监控网络性能、将事件关联以及网络上其他问题等任务。

在包含互联网处理器 II 应用程序特定集成电路 (ASIC) 或 T Series 互联网处理器的路由器上,端口镜像可复制进入或退出端口或进入 VLAN 的单播数据包,并将这些副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。镜像的流量由可帮助您分析该流量的应用程序接收。

端口镜像不同于流量采样。在信息流采样中,基于 IPv4 报头的采样密钥将发送至路由引擎,其中将密钥放置在文件或 cflowd 中。基于该密钥的数据包将发送至 cflowd 服务器。在端口镜像中,整个数据包通过指定接口复制和发送,您可以在该接口中详细捕获和分析。

使用端口镜像将流量发送到分析流量的设备,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。要执行流量分析时需要端口镜像,因为交换机通常会将数据包仅发送到目标设备所连接到的端口。您可能不想在转发原始数据包之前将其发送,因为这样做会造成延迟,因此常见的替代方法是将端口镜像配置为将单播流量的副本发送到另一个接口,并运行连接到该接口的设备上的 analyzer 应用程序。.

要配置端口镜像,请配置端口镜像实例。但不指定输入相反,请创建一个防火墙过滤器,用于指定所需信息流,并引导至实例。使用 port-mirror 过滤器 then 的一个术语中的操作。防火墙过滤器必须配置为family inet

配置端口镜像时,请记住性能。将防火墙过滤器配置为仅镜像必要的数据包可降低性能影响的可能性。

您可配置分析器语句,以在同一分析器配置中定义输入流量和输出流量。要分析的流量可以是进入或退出接口的流量,或者是进入 VLAN 的流量。Analyzer 配置允许您将此信息流发送至输出接口、实例或 VLAN。您可以在[edit forwarding-options analyzer]层次结构中配置分析器。

注:

在 EX4400-24T 平台上,禁用远程端口镜像 VLAN 中的任意接口时,您需要重新启用禁用接口并重新配置分析器会话以恢复端口镜像。

您可以使用端口镜像来复制:

  • 以任何组合方式进入或退出接口的所有数据包。进入某些接口的数据包和退出其他接口的数据包的副本可发送至同一本地接口或 VLAN。如果配置端口镜像以复制退出接口的数据包,则该交换机或节点设备上(QFabric 系统中)发起的信息流在出口时不会复制。只有 交换 流量会复制到出口。(请参阅以下有关出口镜像的限制。)

  • 进入 VLAN 的任何或所有数据包。不能使用端口镜像来复制退出 VLAN 的数据包。

  • 防火墙过滤的进入端口或 VLAN 的数据包样本。

  • 出口端口不支持防火墙过滤器;也就是说,您不能指定从接口退出的数据包基于策略的采样

  • 在VXLAN环境中,核心或面向主干的接口不支持基于防火墙过滤器的端口镜像。

您可以配置信息流采样和端口镜像,为端口镜像的数据包设置独立采样速率和运行长度。但是,如果数据包同时选择用于信息流采样和端口镜像,将仅执行端口镜像,因为它优先。换言之,如果配置接口以对接口的每路数据包输入进行信息流采样,并且端口镜像也选择要复制的数据包并发送至目标端口,则只会执行端口镜像进程。未选择用于端口镜像的信息流采样数据包将继续采样并转发至 cflowd 服务器。

有关本主题中使用的术语的信息,请参阅 端口镜像与分析器术语和定义

实例类型

要配置端口镜像,请配置以下类型的其中一个实例:

  • 分析器实例 — 指定实例的输入和输出。此实例类型有助于确保镜像所有通过接口或进入 VLAN 的流量并发送至分析器。

  • 端口镜像实例 — 您创建防火墙过滤器,用于识别所需流量并复制到镜像端口。您无需为此实例类型指定输入。此实例类型可用于控制镜像的流量类型。您可以通过以下方式将流量引导至流量:

    • 在定义了多个端口镜像实例时,使用操作指定防火墙过滤器中的端口 port-mirror-instance instance-name 镜像实例名称。

    • 在定义了一个端口镜像实例时,使用操作将镜像的数据包发送到实例中 port-mirror 定义的输出接口。

对于QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600 和 EX4650 交换机,以下端口镜像准则适用:

  • 最多可同时配置四个端口镜像实例或四个分析器会话。换言之,您不能一起配置四个端口镜像实例 四个分析器会话。
  • 如果没有端口镜像实例(即仅配置分析器会话),则您可启用多达三个分析器会话用于入口和出口镜像。剩余分析器会话只能用于入口镜像。
  • 如果配置了一个端口镜像实例,则对于其余实例,您最多可配置三个入口镜像分析器和两个出口镜像分析器。
  • 如果配置了两个端口镜像实例,则对于其余实例,您最多可配置两个入口镜像分析器和一个出口镜像分析器。
  • 如果配置了三个端口镜像实例,则其余实例只能配置为分析器(用于入口或出口镜像),

端口镜像和 STP

端口镜像配置中的 STP 行为取决于您使用的 Junos OS 版本:

  • Junos OS 13.2 X50,Junos OS 13.2 X51-D25 或更低版本,Junos OS 13.2 X52:启用 STP 时,端口镜像可能无法成功,因为 STP 可能会阻止镜像的数据包。

  • Junos OS 13.2 X51-D30,Junos OS 14.1 X53:为镜像流量禁用 STP。您必须确保您的拓扑能够防止此流量出现环路。

限制和限制

以下限制和限制适用于端口镜像:

仅镜像分析所需的数据包可减少降低整体性能的可能性。如果镜像来自多个端口的流量,镜像的流量可能会超过输出接口的容量。溢流数据包将丢弃。建议通过选择特定接口来限制镜像的流量,并避免使用 all 关键字。您还可以使用防火墙过滤器将特定流量发送到端口镜像实例,以限制镜像的信息流量。

  • 您可以创建总共四个端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多四种配置可用于本地端口镜像。

    • 最多三种配置可用于远程端口镜像。

  • 无论您是配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果配置防火墙过滤器将镜像的流量发送到端口,则此为应用了过滤器的交换机或节点组的入口镜像 配置。

    • 不能有两个以上的配置可用于镜像出口流量。

    • 在 QFabric 系统上,对镜像会话总数无系统范围限制。

  • 一个端口镜像配置中只能配置一种输出类型来完成 set analyzer name output 语句:

    • interface

    • ip-address

    • vlan

  • 为同一物理接口在一个逻辑接口上配置镜像 set forwarding-options analyzer (使用 )。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则只有第一个逻辑接口能够成功配置;其余逻辑接口将返回配置错误。

  • 如果镜像出口数据包,请勿在独立交换机或 QFabric 系统中配置超过 2000 个 VLAN。如果是,则某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于任何 VLAN 数据包,而非仅应用于镜像的副本。

  • ratioloss-priority选项不受支持。

  • 具有物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果您使用 sFlow 监控来对信息流进行采样,当镜像副本退出输出接口时,它不会对镜像副本进行取样。

  • 不能镜像正在退出或输入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或RVIS)

  • 如果输入为 VLAN,或者信息流使用防火墙过滤器发送至分析器,则聚合以太网接口不能是输出接口。

  • 镜像的数据包从输出接口发出时,不会为应用于出口原始数据包的任何更改(例如重写)CoS修改。

  • 接口只能是一个镜像配置的输入接口。不要将相同的接口用作多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能在出口上进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅 QFabric 系统)如果配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像的备份将具有错误的 VLAN ID。

    如果将 QFabric analyzer 配置为镜像传出流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像的副本将具有正确的 VLAN ID(只要在 QFabric 系统中配置 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像出出口端口的确切副本数和确切数据包修改。由于 QFX5xxx 上的处理器(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可以承载与原始流量中的标记不同的错误 VLAN 标记。

  • 如果配置端口镜像实例以镜像退出执行 VLAN 封装的接口的流量,则镜像数据包的来源和目标 MAC 地址与原始数据包不相同。

  • LAG 成员接口上的镜像不受支持。

  • 不支持出口 VLAN 镜像。

以下约束和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,该地址不能与任何交换机管理接口在同一子网中。

  • 如果创建虚拟路由实例并创建包括输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

  • 输出 VLAN 不能为专用 VLAN 或 VLAN 范围。

  • 输出 VLAN 不能由多个分析器会话或端口镜像实例共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 有多个成员接口,则信息流仅镜像到 VLAN 的第一个成员,而同一 VLAN 的其他成员则不会传输任何镜像流量。

  • 对于远程端口镜像到 IP 地址(GRE 封装),如果配置了多个分析器会话或端口镜像实例,并且分析器或端口镜像实例的 IP 地址可以通过同一个接口到达,则只会配置一个分析器会话或端口镜像实例。

  • 在 QFX5K 系列中的交换机之间,远程端口镜像中可能的输出接口数量各不相同:

    • QFX5110、QFX5120、QFX5210 — 支持最多 4 个输出接口

    • QFX5100和QFX5200 — 最多支持 3 个输出接口。

  • 只要从该 VLAN 中移除远程端口镜像 VLAN 中的任意成员,请重新配置该 VLAN 的分析器会话。

交换机和QFX5100 QFX5200限制

以下注意事项适用于交换机和 QFX5100 交换机QFX5200镜像:

  • 在配置镜像并输出到 IP 地址时,应可到达目标 IP 地址,并且必须解析 ARP。
  • 镜像的目标不支持 ECMP(等价多路径)负载均衡。

  • 远程端口镜像 (RSPAN) 中的输出接口数量各不相同。对于 QFX5110、QFX5120 和 QFX5210,交换机 的最大为四个输出接口。对于QFX5100和QFX5200交换机,最大值为三个。

  • 将链路聚合组 (LAG) 指定为镜像输出接口时,最多镜像八个接口。

  • 镜像输入可以是 LAG、带任何单元的物理接口(如 ae0.101 或 xe-0/0/0.100)或子接口。在任何情况下,LAG 或物理接口上的所有流量均会镜像。

  • 您不能在 LAG 的成员接口上设置独立的镜像实例。

  • 一个镜像实例中包含的输出接口也无法用于另一个镜像实例中。

  • 在端口镜像实例中,转发路径出口管道中丢弃的数据包永远不会减少镜像到目标。这是因为镜像操作在入口管道发生,然后再执行丢弃操作。

  • 在端口镜像实例中,只能指定一个镜像输出目标。

  • 跨多个端口镜像或分析器实例配置的输出镜像目标都必须具有唯一性。

  • 对于 ERSPAN IPv6 地址,当输出到分析器/端口镜像是远程 IPv6 地址时,不支持出口镜像。不支持出口镜像。

  • 对于本地镜像,输出接口必须是带或不带 VLAN 的家族以太网交换接口(也就是说,不是第 3 层接口)。

  • 在服务提供商环境中配置端口镜像或分析器实例时,请使用 VLAN 名称而非 VLAN ID。

QFabric 上的端口镜像

以下约束和限制适用于本地和远程端口镜像:

  • 您可以创建总共四个端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多四种配置可用于本地端口镜像。

    • 最多三种配置可用于远程端口镜像。

  • 无论您是配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果配置防火墙过滤器以将镜像的流量发送到端口(也就是说,使用过滤器术语中的操作修改器)则此为应用了过滤器的交换机或节点组的入口镜像配置。 analyzer

    • 不能有两个以上的配置可用于镜像出口流量。

    • 在 QFabric 系统上,对镜像会话总数无系统范围限制。

  • 一个端口镜像配置中只能配置一种输出类型来完成 set analyzer name output 语句:

    • interface

    • ip-address

    • vlan

  • 为同一物理接口在一个逻辑接口上配置镜像 set forwarding-options analyzer (使用 )。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则只有第一个逻辑接口能够成功配置;其余逻辑接口将返回配置错误。

  • 如果镜像出口数据包,请勿在 QFX 系列平台上配置超过 2000 个 VLAN。 如果已配置,则某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于任何 VLAN 数据包,而非仅应用于镜像的副本。

  • ratioloss-priority选项不受支持。

  • 具有物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果您使用 sFlow 监控来对信息流进行采样,当镜像副本退出输出接口时,它不会对镜像副本进行取样。

  • 不能镜像正在退出或输入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或RVIS)

  • 如果输入为 VLAN,或者信息流使用防火墙过滤器发送至分析器,则聚合以太网接口不能是输出接口。

  • 镜像的数据包从输出接口发出时,不会为应用于出口原始数据包的任何更改(例如重写)CoS修改。

  • 接口只能是一个镜像配置的输入接口。不要将相同的接口用作多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能在出口上进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅 QFabric 系统)如果配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像的备份将具有错误的 VLAN ID。

    如果将 QFabric analyzer 配置为镜像传出流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像的副本将具有正确的 VLAN ID(只要在 QFabric 系统中配置 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像出出口端口的确切副本数和确切数据包修改。由于 QFX5xxx 上的处理器(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可以承载与原始流量中的标记不同的错误 VLAN 标记。

  • 如果配置端口镜像实例以镜像退出执行 VLAN 封装的接口的流量,则镜像数据包的来源和目标 MAC 地址与原始数据包不相同。

  • LAG 成员接口上的镜像不受支持。

  • 不支持出口 VLAN 镜像。

OCX 系列交换机上的端口镜像

以下约束和限制适用于 OCX 系列交换机上的端口镜像:

  • 您可以创建总共四个端口镜像配置。镜像入口和出口流量的配置不能超过两个。

  • 如果您使用 sFlow 监控对信息流进行采样,当镜像副本退出输出接口时,它不会对镜像副本进行取样。

  • 只能创建一个端口镜像会话。

  • 不能镜像正在退出或输入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 路由 VLAN 接口或 IRB 接口

  • 聚合以太网接口不能是输出接口。

  • 不要在端口镜像配置中包含 802.1 Q 子接口,其设备号不是0。如果子接口的单元号不是 0,则端口镜像不起作用。(您可使用 语句配置 802.1Q 子 vlan-tagging 接口。)

  • 将数据包副本发送出输出接口时,不会针对在出口上正常应用的任何变化(如 CoS 重写)修改它们。

  • 接口只能是一个镜像配置的输入接口。不要将相同的接口用作多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能在出口上进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

在交换机、EX2300交换机EX3400端口EX4300镜像

交换机上的流量分析可能需要镜像,因为与集线器不同的交换机不会将数据包广播至目标设备上的每个端口。交换机仅将数据包发送至目标设备所连接的端口。

概述

Junos OS EX2300、EX3400 和 EX4300 系列交换机上运行的交换机支持增强型第 2 层软件 (ELS) 配置,可方便分析这些交换机上的数据包级别流量。

您可使用端口镜像将数据包复制到本地接口进行本地监控,或复制到 VLAN 进行远程监控。您可使用分析器实施有关网络使用和文件共享的策略,并且通过确定特定站或应用程序的异常或大量带宽使用情况,识别网络上的问题源。

端口镜像配置在 层次结构 [edit forwarding-options port-mirroring] 级别中。要镜像路由(第 3 层)数据包,您可以使用将 语句设置为 或 的端口镜像 family inet 配置 inet6

您可以使用端口镜像复制这些数据包:

  • Packets entering or exiting a port— 可以输入或退出端口的数据包的任意组合镜像到多达 256 个端口。

    换言之,您可将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN—您可将进入 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可将最多 256 个 VLAN(包括 VLAN 范围和 PVLAN)配置为分析器入口输入。

  • Policy-based sample packets—您可以镜像进入端口或 VLAN 的基于策略的数据包示例。您可配置 防火墙过滤器 以建立策略以选择要镜像的数据包,并将示例发送到端口镜像实例或分析器 VLAN。

您可以在交换机上配置端口镜像,以将单播流量的副本发送到输出目标,例如接口、路由实例或 VLAN。然后,您可以使用协议分析器应用程序分析镜像流量。协议分析器应用程序可在连接到 analyzer 输出接口或远程监控站的计算机上运行。对于输入流量,您可以配置防火墙过滤器术语,以指定是否必须将端口镜像应用于防火墙过滤器所应用于的接口上的所有数据包。您可将防火墙过滤器配置为操作port-mirrorport-mirror-instance name输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或淹没至 VLAN 的流量或转发或淹没到 VPLS 的流量路由实例。EX2300、EX3400和 EX4300交换机支持第 2 层环境中 VPLS ( 或 ) 流量和 VPN 流量的端口 family ethernet-switchingfamily vplsfamily ccc 镜像。

在防火墙过滤器术语内,您可以通过以下方式在 语句下 then 指定端口镜像属性:

  • 隐式引用端口上有效的端口镜像属性。

  • 显式引用端口镜像的特定命名实例。

有关 EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器的配置准则

配置端口镜像时,建议您遵循某些准则,以确保从镜像获得最佳收益。此外,我们建议您在未使用时禁用镜像,并且选择必须镜像数据包的特定接口(即,选择特定接口作为分析器输入),优先使用可在所有接口上启用镜像且会影响整体性能的关键字选项。 all 仅镜像必要的数据包可降低任何潜在性能影响。

通过本地镜像,来自多个端口的信息流将复制到 analyzer 输出接口中。如果分析器的输出接口达到容量,数据包将丢弃。因此,在配置分析器时,您必须考虑正在镜像的信息流是否超过了分析器输出接口的容量。

您可以在[edit forwarding-options analyzer]层次结构中配置分析器。

注:

真正的出口镜像定义为镜像从传出交换端口中取出的确切副本数和确切数据包修改。由于 EX2300 和 EX3400 交换机上的处理器在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可以承载与原始流量中不同标记的 VLAN 标记。

表 1 汇总了在交换机、交换机EX2300、EX3400和EX4300镜像的其他配置准则。

表 1: 有关 EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器的配置准则

准则

值或支持信息

评论

可用作向分析器入入口的 Vlan 数量。

256

 

您可以同时启用的端口镜像会话和分析器的数量。

4

您最多可以配置四个会话,并且您只能在任一时间点启用以下某个选项:

  • 最多四个端口镜像会话(包括全局端口镜像会话)。

  • 最多四个分析器会话。

  • 端口镜像和分析器会话组合以及此组合的总数必须为四个。

您可以在交换机上配置多个端口镜像实例或分析器,但您只能为会话启用指定的编号。

不能在其上镜像信息流的端口类型。

  • 虚拟机箱端口(vcp)

  • 管理以太网端口(me0 或 vme0)

  • 集成路由和桥接(IRB)接口;又称为路由 VLAN 接口(Rvi)。

  • VLAN 标记的第3层接口

 

可包括在远程信息流的端口镜像配置中的协议系列。

any

 

您可以配置的信息流方向,用于镜像基于防火墙过滤器的配置中的端口。

入口和出口

 

从接口退出的镜像数据包反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

适用

 

具有物理层错误的数据包。

适用

具有这些错误的数据包将被过滤掉,因此不会发送至 analyzer。

端口镜像不支持线路速率信息流。

适用

用于线速流量的端口镜像是通过最佳努力来实现的。

Egressing VLAN 的数据包镜像。

不支持

 

LAG 接口上的端口镜像或分析器输出。

支持

 

端口镜像或分析器输出 LAG 接口上的最大子成员数。

8

 

远程端口镜像或分析器 VLAN 中的最大接口数。

1

 

主机生成的控制数据包的出口镜像。

不支持

 

在分析器的input部分中配置3层逻辑接口。

不支持

此功能可通过配置端口镜像来实现。

必须避免包含相同 VLAN 或 VLAN 本身的部分 input 和 output。

适用

 

EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机上的端口镜像

瞻博网络 Junos 操作系统 、EX3200、EX3300、EX4200、EX2200 EX4500、EX4550、EX6200 或 EX8200 系列交换机上运行的 Junos OS)不支持增强型第 2 层软件 (ELS) 配置。因此,Junos OS不包括在其他应用程序包的层次结构级别Junos OS的语句,或者防火墙 port-mirroringedit forwarding-optionsport-mirror 过滤器术语中的操作。

您可以使用端口镜像来帮助分析数据包级别瞻博网络 EX 系列以太网交换机上的流量。您可以将端口镜像用作监控交换机信息流的一部分,例如实施有关网络使用情况和文件共享的策略,以及通过查找异常或大量带宽使用情况确定网络上的问题源站或应用程序。

您可以使用端口镜像将这些数据包复制到本地接口或 VLAN:

  • 输入或退出端口的数据包

  • 您可将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • 在 EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上进入 VLAN 的数据包

  • 在 EX8200 交换机上退出 VLAN 的数据包

概述

端口镜像用于交换机上的流量分析,因为交换机与中心不同,不会将数据包广播至目标设备上每个端口。交换机仅将数据包发送至目标设备所连接的端口。

您可将交换机上的端口镜像配置为将单播流量的副本发送到本地分析器端口或分析器 VLAN。然后,您可以使用协议分析器分析镜像的流量。协议分析器可在连接到分析器输出接口的计算机或远程监控站上运行。

您可以使用端口镜像镜像以下任一项:

  • Packets entering or exiting a port— 可以输入或退出端口的数据包的任意组合镜像到多达 256 个端口。

    换言之,您可将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—您可以在分析器 VLAN 上镜像进入 VLAN 的数据包。在 EX3200、EX4200、EX4500 和 EX4550 交换机上,您可以将多个 Vlan (最多256个 Vlan)(包括 VLAN 范围和 Pvlan)配置为分析器的入口输入。

  • Packets exiting a VLAN on an EX8200 switch—您可以将从虚拟交换机EX8200 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可以配置多个 Vlan (最多256个 Vlan),包括 VLAN 范围和 Pvlan,作为 analyzer 的出口输入。

  • Statistical samples— 您可以镜像数据包的统计样本,这些数据包包括:

    • 进入或退出端口

    • 在 EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上输入 VLAN

    • 在 EX8200 交换机上退出 VLAN

    通过设置比率来指定数据包的样本数。您可将示例发送至本地 analyzer 端口或分析器 VLAN。

  • Policy-based sample—您可以镜像进入端口或 VLAN 的基于策略的数据包示例。您可以配置防火墙过滤器,以建立用于选择要镜像的数据包的策略。您可将示例发送至本地 analyzer 端口或分析器 VLAN。

路由器 EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机的配置准则

配置端口镜像时,建议遵循某些准则,以确保从端口镜像功能获得最佳优势。此外,我们建议您在未使用时禁用端口镜像,并且选择必须镜像数据包的特定接口(即,选择特定接口作为分析器输入),而不是使用可在所有接口上启用端口镜像且会影响整体性能的关键字。 all 您还可以使用统计采样、设置比率以选择统计样本或使用防火墙过滤器来限制镜像流量的数量。仅镜像必要的数据包可降低任何潜在性能影响。

通过本地端口镜像,来自多个端口的流量将复制到 analyzer 输出接口中。如果分析器的输出接口达到容量,数据包将丢弃。因此,在配置分析器时,您必须考虑正在镜像的信息流是否超过了分析器输出接口的容量。

注: 说明中的"所有其他交换机"或"所有交换机"适用于支持端口镜像的所有交换机平台。有关平台支持的详细信息,请参阅功能资源管理器
表 2: 配置准则

准则

Description

评论

可用作将输入到分析器的 Vlan 数量

  • 1 — EX2200交换机

  • 256—EX3200、EX4200、EX4500、EX4550 交换机EX6200交换机

  • 不适用 — EX8200交换机

 

可同时启用的分析器数量(适用于独立交换机和虚拟机箱)

  • 1 —EX2200、EX3200、EX4200、EX3300 和 EX6200交换机

  • 7 个基于端口或 1 个全局 — EX4500和EX4550交换机

  • 7 个,一个基于 VLAN、防火墙过滤器或 LAG,其余 6 个基于防火墙过滤器 — EX8200交换机

    注:

    使用防火墙过滤器配置的分析器不支持镜像为 egressing 端口的数据包。

  • 您可以在交换机上配置超过指定数量的分析器,但只能为会话启用指定数量。用于 disable ethernet-switching-options analyzer name 禁用分析器。

  • 请参阅此表中的下一行条目,了解允许对交换机和交换机EX4500防火墙过滤器EX4550数的例外情况。

  • 在 EX4550 虚拟机箱上,如果输入和输出定义中的端口位于虚拟机箱的不同交换机上,则只能配置一个分析器。要配置多个分析器,必须在虚拟机箱的同一交换机上配置整个 analyzer 会话。

可在交换机和交换机上配置的基于防火墙过滤器的EX4500 EX4550数

  • 1— EX4500交换机EX4550交换机

如果您配置多个分析器,则不能将任何它们附加到防火墙过滤器中。

不能在其上镜像信息流的端口类型

  • 虚拟机箱端口(vcp)

  • 管理以太网端口(me0 或 vme0)

  • 路由 VLAN 接口(Rvi)

  • VLAN 标记的第3层接口

 

如果端口镜像配置为镜像 EX8200 交换机上的10千兆位以太网端口的数据包,当镜像数据包超过10千兆位以太网端口流量的 60% 时,数据包将被丢弃在网络和镜像流量中。

  • EX8200 交换机

 

您可以为其指定比率的流量方向

  • 仅入口 — EX8200交换机

  • 入口和出口 - 所有其他交换机

 

可包含在基于防火墙筛选器的远程分析器中的协议系列

  • inetinet6 —EX8200交换机

  • 任意 - 所有其他交换机

您可以在本地 inet 分析 inet6 器EX8200 和 交换机上。

您可以配置在基于防火墙过滤器的配置中的端口上镜像的信息流方向

  • 仅入口 - 所有交换机

 

标记接口上的镜像数据包可能包含不正确的 VLAN ID 或 Ethertype。

  • VLAN ID 和 Ethertype — EX2200交换机

  • 仅 VLAN ID — EX3200 和 EX4200 交换机

  • 仅 Ethertype — EX4500和EX4550交换机

  • 不适用 — EX8200交换机

 

正在退出接口的镜像数据包不会反映重写的服务类(CoS) DSCP 或 802.1 p 位。

  • 所有交换机

 

分析器将不正确的 802.1Q ( ) 标头附加到路由流量上的镜像数据包,或者当属于路由 VLAN 接口 (RVI) 出口 VLAN 配置为该分析器输入时,它不会镜像路由流量上的任何数据包。 dot1q

  • EX8200 交换机

  • 不适用 — 所有其他交换机

作为一种解决方法,配置将 VLAN 的每个端口(成员接口)用作出口输入的分析器。

具有物理层错误的数据包不会发送到本地或远程分析器。

  • 所有交换机

具有这些错误的数据包将被过滤掉,因此不会发送至 analyzer。

在 EX8200 交换机上,带有配置为 VLAN 的输出的第3层接口上的端口镜像配置不可用。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

 

端口镜像不支持线路速率信息流。

  • 所有交换机

用于线速流量的端口镜像是通过最佳努力来实现的。

在EX8200 虚拟机箱中,要跨 虚拟机箱镜像流量,输出端口必须为 LAG。

  • EX8200 虚拟机箱

  • 不适用 — 所有其他交换机

在 EX8200 虚拟机箱:

  • 您只能将 LAG 配置为仅适用于本机分析器的监控器端口。

  • 不能将 LAG 配置为基于防火墙过滤器的分析器的监控器端口。

  • 如果 analyzer 配置中包含 LAG 作为监控器端口,则不能在 analyzer 的输入定义中配置 VLAN。

在独立 EX8200 交换机中,您可以在输出定义中配置 LAG。

  • EX8200 独立交换机

  • 不适用 — 所有其他交换机

在 EX8200 独立交换机中:

  • 您可将 LAG 配置为基于本机和防火墙的分析器上的监控器端口。

  • 如果配置中包含 LAG 作为监控器端口,则不能在 analyzer 的输入定义中配置 VLAN。

SRX 设备的端口镜像

端口镜像可复制进入或退出端口的数据包,并将副本发送到本地接口进行监控。端口镜像用于将流量发送到分析流量以用于监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等目的的应用程序。</para><para> 端口镜像用于将所有数据包的副本或端口上看到的示例数据包发送到网络监控连接。您可以镜像传入端口(入口端口镜像)或传出端口(出口端口镜像)上的数据包。

只有具有以下 I/O 卡的 SRX 设备上才支持端口镜像:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

在 SRX 设备上,通过端口的所有数据包 mirrored 将复制并发送到指定的 mirror-to 端口。这些端口必须位于 I/O 卡中的同一 Broadcom 芯片组上。

在 SRX 设备上,端口镜像仅在物理接口上工作。

了解2层端口镜像

在包含互联网处理器 II ASIC 的路由平台和交换机上,您可以从路由平台或交换机到外部主机地址或数据包分析程序发送任何传入数据包的副本,以便进行交换。这称为端口镜像

在 Junos OS 9.3 及更高版本中,第 2 层环境中 瞻博网络 MX 系列 5G 通用路由平台支持第 2 层桥接流量和虚拟专用 LAN 服务 (VPLS) 流量的端口镜像。

在 Junos OS 9.4 及更高版本中,第 2 层环境中 MX 系列路由器支持通过电路交叉连接 (CCC) 的 2 层 VPN 流量镜像,该电路交叉连接可透明地连接相同类型的逻辑接口。

在 Junos OS 版本 12.3 R2 中,瞻博网络 EX 系列交换机支持第2层桥接信息流的端口镜像。

通过层端口镜像,您可以指定监控指定端口中的传入和传出数据包的方式,以及将选定数据包的副本转发至另一个目标(可在其中分析数据包的方式)。

MX 系列路由器和 EX 系列交换机通过使用服务等级 (CoS) 架构(概念上与其他路由平台和交换机相似,但特别不同)执行流监控功能,支持第 2 层端口镜像。

与 M120 多服务边缘路由器和 M320 多服务边缘路由器一样,MX 系列路由器和 EX 系列交换机也支持同时镜像 IPv4、IPv6 和 VPLS 数据包。

在 3 层环境中,MX 系列路由器和 EX 系列交换机支持镜像 IPv4 ( ) 和 family inet IPv6 ( family inet6 ) 流量。有关第 3 层端口镜像的信息,请参阅 路由策略、防火墙 过滤器和流量管制器用户指南

第 2 层端口镜像属性

端口镜像指定以下类型的属性:

数据包选择

第 2 层端口镜像的数据包选择属性指定如何选择取样数据包进行镜像:

  • 每个样本中的数据包数。

  • 每个样本要镜像的数据包数量。

  • 镜像数据包将被截断的长度。

数据包地址系列

数据包地址系列类型指定要镜像的信息流类型。在 2 层环境中,MX 系列路由器和 EX 系列交换机支持以下数据包地址族的端口镜像:

  • 家族类型 ethernet-switching —当物理接口配置有封装类型时,用于镜像 VPLS 信息流 ethernet-bridge

  • 家族类型 ccc —用于镜像第 2 层 VPN 流量。

  • 家族类型 vpls —用于镜像 VPLS 流量。

注:

在典型的应用中,您直接将镜像的数据包发送到分析器,而不是发送给另一个路由器或交换机。如果必须通过网络发送镜像数据包,则应使用隧道。对于第 2 层 VPN 实施,您可以使用第 2 层 VPN 路由实例类型将数据包隧道传输至 l2vpn 远程目标。

有关配置第 2 层 VPN 的路由实例的信息,请参阅路由Junos OS VPN 库。有关详细的第 2 层 VPN 示例配置,请参阅 Junos OS。有关隧道接口的信息,请参阅 Junos OS设备的网络接口

镜像目标属性

对于给定数据包地址系列,第 2 层端口镜像实例的镜像目标属性指定如何在特定物理接口上 发送选定数据包:

  • 要在其上发送所选数据包的物理接口。

  • 是否要为镜像目标接口禁用过滤器检查。默认情况下,在所有接口上启用过滤器检查。

    注:

    如果将过滤器应用于也是第 2 层端口镜像目的地的接口,则会发生提交失败,除非您已禁用过滤器检查以检查镜像目标接口

仅镜像一次选项

如果在入口和出口接口上启用了端口镜像,则可以阻止 MX 系列路由器和 EX 系列交换机将重复数据包发送至同一目的地(这会复杂地分析镜像流量)。

注:

镜像一次端口镜像选项是全局设置。该选项独立于数据包选择属性和数据包系列类型特定的镜像目标属性。

第 2 层端口镜像类型的应用

您可以将不同的第 2 层端口镜像属性集应用于 MX 系列或 EX 系列路由的不同入口或出口点的 VPLS 数据包。

表 3 介绍了可在 MX 系列路由器和 EX 系列交换机上配置的三种类型的第 2 层端口镜像, :全局实例、命名实例和防火墙过滤器。

表 3: 第 2 层端口镜像类型的应用

第 2 层端口镜像定义的类型

应用程序点

镜像范围

Description

配置详细信息

第 2 层端口镜像的全局实例

MX 系列路由器(或交换机)机箱中所有端口。

在 MX 系列路由器(或交换机)机箱的所有端口上接收的 VPLS 数据包。

如果配置了全局端口镜像属性,则隐式应用于路由器(或交换机)机箱中所有端口上接收的所有 VPLS 数据包。

请参阅配置第2层端口镜像的全局实例

第 2 层端口镜像的命名实例

在 FPC 级别分组的端口

请参阅将2层端口镜像绑定到在 FPC 级别分组的端口

在与特定 DPC 或 FPC 及其数据包转发引擎相关联的端口上收到的 VPLS 数据包。

覆盖由全局端口镜像实例配置的任何端口镜像属性。

请参阅定义第2层端口镜像的命名实例

MX 系列路由器和 EX 系列交换机支持的端口镜像目标数量仅限于路由器或交换机机箱中安装的 DPC 或FPC 中包含的数据包转发引擎数量。

在 PIC 级别分组的端口

请参阅将2层端口镜像绑定到在 PIC 级别分组的端口

在与特定数据包转发引擎相关联的端口上收到的 VPLS 数据包。

覆盖在 FPC 级别或全局端口镜像实例中配置的任何端口镜像属性。

2 层端口镜像防火墙过滤器

逻辑接口(包括聚合以太网接口)

请参阅将2层端口镜像应用于逻辑接口

在逻辑接口上接收或发送的 VPLS 数据包。

防火墙过滤器配置 中,包括 操作操作修改者 术语,以应用到选择用于镜像的数据包:

  • accept建议操作。

  • 修改器隐式引用当前绑定到底层物理接口的端口 port-mirror 镜像属性。

  • 修改 port-mirror-instance pm-instance-name 器明确引用指定的端口镜像实例。

  • (可选)仅适用于通道接口输入数据包,要将数据包镜像到其他目标,请包括 next-hop-group next-hop-group-name 修改器。此修改器引用下一跳跃组,用于指定下一跳跃地址(用于向分析器发送数据包的附加副本)。

请参阅定义2层端口镜像防火墙过滤器

注:

逻辑系统不支持第 2 层端口镜像防火墙过滤器。

对于镜像通道接口输入数据包到多个目的地,请参阅为第2层端口镜像定义下一跳组

VLAN 转发表或洪水表

请参阅对转发或淹没到网桥域的流量应用2层端口镜像

转发或淹没到 VLAN 的2层流量

VPLS 路由实例转发表或洪水表

请参阅对转发或淹没到 VPLS 路由实例的流量应用2层端口镜像

转发或淹没到 VPLS 路由实例的2层流量

第 2 层端口镜像限制

以下限制适用于第 2 层 端口镜像

  • 只有第 2 层传输数据(包含通过路由平台或交换机从来源转发至目的地的数据包)才能镜像。第 2 层本地数据(包含要发往或由 路由引擎 发送的数据包(例如第 2 层控制数据包)不会镜像。

  • 如果将端口镜像过滤器应用于逻辑接口的输出,则仅镜像单播数据包。要镜像广播数据包、组播数据包、具有未知目标 媒体访问控制(地址) (MAC) 地址的单播数据包或目标 MAC (DMAC) 路由表中的 MAC 条目的数据包,请对 VLAN 或虚拟专用 LAN 服务 (VPLS) 路由实例的输入应用过滤器。

  • 镜像目标设备应位于专用 VLAN 上,不应参与任何桥接活动;镜像目标设备不应有桥接到最终流量目标,镜像目标设备不应将镜像的数据包发送回源地址。

  • 对于全局端口镜像实例或命名端口镜像实例,只能为每个端口镜像实例和数据包地址系列配置一个镜像输出接口。如果在interfacefamily (ethernet-switching | ccc | vpls) output语句下面包含多个语句,则上一interface语句将被覆盖。

  • 逻辑系统不支持第 2 层端口镜像防火墙过滤。

    在 2 层端口镜像防火墙过滤器定义中,过滤器 ( 或 ) 依赖于在全局实例中定义的端口镜像属性或第 action-modifierport-mirrorport-mirror-instance pm-instance-name 2 [edit forwarding-options port-mirroring] 层端口镜像的命名实例(在层次结构下配置)。因此, term 过滤器不能支持逻辑系统的第 2 层端口镜像。

  • 对于第 2 层端口镜像防火墙过滤器,您通过包含语句隐式引用第 2 层端口镜像属性,如果第 2 层端口镜像的多个已命名实例绑定到底层物理接口,则逻辑接口中只会使用部分(或唯一绑定)的第一个绑定。 port-mirror 这是为了向后兼容性而完成。

  • 第 2 层端口镜像防火墙过滤器不支持使用下一跃点子组进行负载平衡镜像的流量。