Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

端口镜像和分析器

本节介绍端口镜像如何将网络流量发送到分析器应用程序。

了解端口镜像和分析器

端口镜像 和分析器将网络流量发送到运行分析器应用的设备。端口镜像将第 3 层 IP 流量复制到接口。分析器将桥接(第 2 层)数据包复制到接口。镜像流量可以来自单个或多个接口。您可以使用连接到运行分析器应用的镜像输出接口的设备来执行各种任务,例如监控合规性、执行策略、检测入侵、监控网络性能、关联事件以及网络上的其他问题。

在包含互联网处理器 II 应用特定集成电路 (ASIC) 或 T Series 互联网处理器的路由器上,端口镜像复制进出端口或进入 VLAN 的单播数据包,并将这些副本发送到本地接口以进行本地监控,或发送至 VLAN 进行远程监控。镜像流量由帮助您分析该流量的应用程序接收。

端口镜像不同于流量采样。在流量采样中,基于 IPv4 报头的采样密钥被发送到路由引擎,在该引擎中将密钥放置在文件中或 cflowd。基于该密钥的数据包被发送到 cflowd 服务器。在端口镜像中,整个数据包被复制并通过指定接口发送出去,在那里可以对其进行详细捕获和分析。

使用端口镜像将流量发送到分析流量的设备,以实现监控合规性、执行策略、检测入侵、监控和预测流量模式、关联事件等目的。当您想要执行流量分析时,就需要端口镜像,因为交换机通常只向目标设备所连接的端口发送数据包。由于原始数据包会导致延迟,您可能不希望在转发之前将其发送以进行分析,因此常见的替代方法是配置端口镜像以将单播流量的副本发送到另一个接口,并在连接到该接口的设备上运行分析器应用程序。.

要配置端口镜像,请配置端口镜像实例。但不要为其指定输入相反,请创建一个防火墙过滤器,用于指定所需的流量,并将其定向到实例。为此,使用 port-mirror 过滤器术语中的 then 操作。防火墙过滤器必须配置为 family inet

配置端口镜像时,请考虑性能。将防火墙过滤器配置为仅镜像必要的数据包可降低影响性能的可能性。

您可以配置 analyzer 语句,以在同一分析器配置中定义输入流量和输出流量。要分析的流量可以是进入或退出接口的流量,也可以是进入 VLAN 的流量。分析器配置允许您将此流量发送到输出接口、实例或 VLAN。您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注意:

在 EX 系列交换机上,禁用远程端口镜像 VLAN 中的任何接口时,需要重新启用已禁用的接口,并重新配置分析器会话以恢复端口镜像。

您可以使用端口镜像来复制以下内容:

  • 以任意组合进入或退出接口的所有数据包。进入某些接口的数据包和退出其他接口的数据包的副本可以发送到同一本地接口或 VLAN。如果将端口镜像配置为复制退出接口的数据包,则 源自 该交换机或节点设备(在 QFabric 系统中)上的流量在出口时不会被复制。仅在出口处复制 交换流量 。(请参阅下面的出口镜像限制。)

  • 任何或所有进入 VLAN 的数据包。您不能使用端口镜像来复制退出 VLAN 的数据包。

  • 经过防火墙过滤的数据包进入端口或 VLAN 的样本。

  • 出口端口不支持防火墙过滤器;也就是说,您不能指定基于策略的退出接口数据包采样

  • 在 VXLAN 环境中,面向核心或主干的接口不支持基于防火墙过滤器的端口镜像。

您可以同时配置流量采样和端口镜像,为端口镜像数据包设置独立的采样率和运行长度。但是,如果同时选择数据包进行流量采样和端口镜像,则仅执行端口镜像,因为它优先。换言之,如果将接口配置为对输入到该接口的每个数据包进行流量采样,并且端口镜像也会选择要复制的数据包并将其发送到目标端口,则仅执行端口镜像过程。未选择端口镜像的流量采样数据包将继续进行采样并转发到 cflowd 服务器。

端口镜像和分析器术语和定义

下表提供了端口镜像和分析器文档的术语和定义。

表 1:术语
期限 定义

分析器

对于 EX2300、EX3400 或 EX4300 交换机,在镜像配置(分析器)中,分析器包括:

  • 分析器的名称
  • 源(输入)端口或 VLAN(可选)

分析器实例

端口镜像配置,包括名称、源接口或源 VLAN 以及镜像数据包的目标(本地接口或 VLAN)。

分析器输出接口(也称为监控端口)

将镜像流量发送到的接口,以及协议分析器应用连接到的接口。

对于 EX2300、EX3400 和 EX4300 交换机,用作分析器输出的接口必须配置为家族以太网交换。此外,分析器输出接口的以下限制也适用:

  • 不能同时作为源端口。
  • 不能用于交换。
  • 当属于端口镜像配置时,请勿参与第 2 层协议,例如生成树协议 (STP)。
  • 如果分析器输出接口的带宽不足以处理来自源端口的流量,则溢出数据包将被丢弃。

分析器 VLAN(也称为监控 VLAN)

 将镜像流量发送至的 VLAN。镜像流量可供协议分析器应用程序使用。监控 VLAN 中的成员接口分布在网络中的交换机中。
基于网桥域的分析器 配置为使用桥接域进行输入和/或输出的分析器会话。
默认分析器 具有默认镜像参数的分析器。默认情况下,镜像速率为 1,最大数据包长度为完整数据包的长度。
全局端口镜像 没有实例名称的端口镜像配置。防火墙过滤器操作 port-mirror 将是防火墙过滤器配置的操作。

输入接口(也称为镜像接口或监控接口)

将流量复制到镜像接口的接口。此流量可以进入或退出(入口或出口)接口。

镜像输入接口不能用作分析器的输出接口。

基于 LAG 的分析仪 在分析器配置中将链路聚合组 (LAG) 指定为输入(入口)接口的分析器。

本地端口镜像

一种端口镜像配置,将镜像数据包复制到同一交换机上的接口上。
监控站 运行协议分析器应用程序的计算机。
基于下一跳的分析器 使用下一跃点组作为分析器输出的分析器配置。
本机分析器会话 分析器会话,其分析器配置中同时具有输入和输出定义。
基于策略的镜像

镜像与防火墙过滤器术语匹配的数据包。该操作 analyzer analyzer-name 在防火墙过滤器中用于将指定的数据包发送到分析器。

基于端口的分析器 分析器会话,其配置定义输入和输出接口。

端口镜像实例

未指定输入源的端口镜像配置;它仅指定输出目标。必须为输入源定义防火墙过滤器配置。必须定义防火墙过滤器配置,以镜像与防火墙过滤器术语中定义的匹配条件匹配的数据包。防火墙过滤器配置中的操作项 port-mirror-instance instance-name 用于将数据包发送到分析器,这些数据包构成输入源。

使用防火墙过滤器配置中的操作将 port-mirror-instance instance-name 数据包发送到端口镜像。

注意:NFX150 设备不支持端口镜像实例。
协议分析器应用 用于检查通过网段传输的数据包的应用程序。通常也称为网络分析器、数据包嗅探器或探测器。

输出接口(也称为监控接口)

数据包副本的发送接口以及运行分析器的设备的连接接口。

以下限制适用于输出接口(目标镜像接口):

  • 不能同时作为源端口。

  • 不能用于交换。

  • 不能是聚合以太网接口 (LAG)。

  • 不能参与生成树协议 (STP) 等第 2 层协议。

  • 将端口镜像应用于接口时,现有 VLAN 关联将丢失。

  • 如果输出接口的容量不足以处理来自镜像源端口的流量,则数据包将被丢弃。

输出 IP 地址

运行分析器应用程序的设备的 IP 地址。设备可以位于远程网络上。

使用此功能时:

  • 镜像数据包采用 GRE 封装。分析器应用程序必须能够对 GRE 封装的数据包进行解封装,或者在到达分析器应用程序之前必须对 GRE 封装的数据包进行解封装。(您可以使用网络嗅探器对数据包进行解封。)

  • 输出 IP 地址不能与任何交换机管理接口位于同一子网中。

  • 如果创建包含输出 IP 地址的虚拟路由实例和分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

输出 VLAN(也称为监控器或分析器 VLAN)

VLAN 到数据包副本的发送位置,以及运行分析器的设备的连接位置。分析器 VLAN 可以跨越多台交换机。

输出 VLAN 有以下限制:

  • 不能是专用 VLAN 或 VLAN 范围。

  • 不能由多个 analyzer 语句共享。

  • 不能是任何其他 VLAN 的成员。

  • 不能是聚合以太网接口 (LAG)。

  • 在某些交换机上,分析器 VLAN 只能有一个接口成为成员。此限制不适用于 QFX10000 交换机。镜 像入口流量 时,多个 QFX10000 接口可以属于输出 VLAN,并且流量会从所有这些接口镜像。如果 QFX10000 交换机上镜像出口流量,则分析器 VLAN 只能有一个接口成为成员。

远程端口镜像

功能与本地端口镜像相同,不同之处在于镜像流量不会复制到本地分析器端口,而是泛洪到您专门为接收镜像流量而创建的分析器 VLAN。

您无法将镜像数据包发送到 QFabric 系统上的远程 IP 地址。
基于 VLAN 的分析器 分析器会话,其配置将 VLAN 用于输入和输出,或者用于输入或输出。

也可以看看

实例类型

要配置端口镜像,请配置以下类型之一的实例:

  • 分析器实例 - 指定实例的输入和输出。此实例类型可用于确保通过接口或进入 VLAN 的所有流量都经过镜像并发送到分析器。

  • 端口镜像实例 — 您可创建一个防火墙过滤器,用于识别所需流量并将其复制到镜像端口。您没有为此实例类型指定输入。此实例类型可用于控制镜像流量类型。您可以通过以下方式将流量定向到它:

    • 使用定义了多个端口镜像实例时的 port-mirror-instance instance-name 操作,在防火墙过滤器中指定端口镜像实例的名称。

    • 使用仅定义一个端口镜像实例时的 port-mirror 操作,将镜像数据包发送到实例中定义的输出接口。

对于 QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600 和 EX4650 交换机,以下端口镜像准则适用:

  • 最多可以同时配置四个端口镜像实例或四个分析器会话。换句话说,您不能同时配置四个端口镜像实例 四个分析器会话。
  • 如果没有端口镜像实例(即仅配置了分析器会话),则您最多可以为入口和出口镜像启用三个分析器会话。剩余的分析器会话只能用于入口镜像。
  • 如果您只配置了一个端口镜像实例,那么在剩余的实例中,您最多可以配置三个用于入口镜像的分析器,以及两个用于出口镜像的分析器。
  • 如果您配置了两个端口镜像实例,那么在剩余的实例中,您最多可以配置两个用于入口镜像的分析器,以及一个用于出口镜像的分析器。
  • 如果配置了三个端口镜像实例,则其余实例只能配置为分析器(用于入口或出口镜像),

端口镜像和 STP

端口镜像配置中 STP 的行为取决于您使用的 Junos OS 版本:

  • Junos OS 13.2X50、Junos OS 13.2X51-D25 或更低版本、Junos OS 13.2X52: 启用 STP 后,端口镜像可能不会成功,因为 STP 可能会阻止镜像数据包。

  • Junos OS 13.2X51-D30、Junos OS 14.1X53:镜像流量禁用 STP。您必须确保拓扑可防止此类流量环路。

约束和限制

以下限制和限制适用于端口镜像:

仅镜像分析所需的数据包可降低降低整体性能的可能性。如果镜像来自多个端口的流量,镜像流量可能会超过输出接口的容量。溢出数据包被丢弃。建议通过选择特定接口来限制镜像流量,并避免使用 all 关键字。您还可以使用 防火墙过滤器 将特定流量发送到端口镜像实例,从而限制镜像流量。

  • 您总共可以创建四个端口镜像配置。

  • 在 EX9200 交换机上,EX9200-15C 线卡 不支持端口 镜像。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多可将四个配置用于本地端口镜像。

    • 最多可将三种配置用于远程端口镜像。

  • 无论配置的是独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果将防火墙过滤器配置为将镜像流量发送到某个端口,则这计为应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,系统范围对镜像会话总数没有限制。

  • 在一个端口镜像配置中只能配置一种输出类型来完成语 set analyzer name output 句:

    • interface

    • ip-address

    • vlan

  • 在分析器中(使用 set forwarding-options analyzer),仅在同一物理接口的一个逻辑接口上配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置第一个逻辑接口;其余逻辑接口将返回配置错误。

  • 如果镜像出口数据包,请勿在独立交换机或 QFabric 系统上配置超过 2000 个 VLAN。否则,某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于所有 VLAN 数据包,而不仅仅是镜像副本。

  • 不支持和ratioloss-priority选项。

  • 存在物理层错误的数据包不会发送至输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 在端口镜像实例中,不能将 inet OR inet6 接口配置为输出接口。以下交换机不支持此 set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> 配置:

    表 2:不支持 family inet/inet6 AS 输出接口的交换机
    EX 交换机 QFX 交换机

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • 如果输入是 VLAN 或使用防火墙过滤器将流量发送到分析器,则聚合以太网接口不能是输出接口。

  • 从输出接口发送镜像数据包时,不会针对出口时可能应用于原始数据包的任何更改(如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,请勿使用与输入接口相同的接口。

  • CPU 生成的数据包(例如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口处进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像副本将具有不正确的 VLAN ID。

    如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像从出口端口发出的确切副本数和确切的数据包修改。由于 QFX5100 和 EX4600 交换机上的处理器在入口管道中实施了出口镜像,因此这些交换机无法提供准确的出口数据包修改,因此出口镜像流量可能携带与原始流量中的标记不同的错误 VLAN 标记。

  • 如果将端口镜像实例配置为镜像流出执行 VLAN 封装的接口的流量,则镜像数据包的源和目标 MAC 地址与原始数据包的源和目标 MAC 地址不同。

  • 不支持在 LAG 的成员接口上进行镜像。

  • 不支持出口 VLAN 镜像。

以下限制和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,则该地址不能与任何交换机管理接口位于同一个子网中。

  • 如果创建虚拟路由实例并创建包含输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

  • 输出 VLAN 不能是专用 VLAN 或 VLAN 范围。

  • 一个输出 VLAN 不能由多个分析器会话或端口镜像实例共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 具有多个成员接口,则流量只会镜像到 VLAN 的第一个成员,同一 VLAN 的其他成员不会携带任何镜像流量。

  • 对于远程端口镜像到一个 IP 地址(GRE 封装),如果配置了多个分析器会话或端口镜像实例,并且分析器或端口镜像实例的 IP 地址可通过同一接口访问,则将仅配置一个分析器会话或端口镜像实例。

  • 远程端口镜像中可能的输出接口数量因 QFX5K 系列中的交换机而异:

    • QFX5110、QFX5120、QFX5210 — 最多支持 4 个输出接口

    • QFX5100 和 QFX5200 — 最多支持 3 个输出接口。

  • 每当从该 VLAN 中移除远程端口镜像 VLAN 中的任何成员时,请重新配置该 VLAN 的分析器会话。

QFX5100 和 QFX5200 交换机的限制和限制

以下注意事项适用于 QFX5100 和 QFX5200 交换机上的端口镜像:

  • 将镜像配置为输出到 IP 地址时,目标 IP 地址应可访问,并且必须解析 ARP。

  • 镜像目标不支持 ECMP(等价多路径)负载平衡。

  • 远程端口镜像 (RSPAN) 中的输出接口数量各不相同。对于 QFX5110、QFX5120 和 QFX5210 交换机,最多四个输出接口。对于 QFX5100 和 QFX5200 交换机,最多为 3 个。

  • 将链路聚合组 (LAG) 指定为镜像输出接口时,最多可镜像 8 个接口。

  • 镜像输入可以是 LAG、具有任意单元的物理接口(例如 ae0.101 或 xe-0/0/0.100)或子接口。在任何情况下,都会对 LAG 或物理接口上的所有流量进行镜像。

  • 您无法在 LAG 的成员接口上设置独立的镜像实例。

  • 一个镜像实例中包含的输出接口不能在另一个镜像实例中使用。

  • 在端口镜像实例中,转发路径出口管道中的丢包仍会镜像到目标。这是因为镜像操作发生在丢弃操作之前的入口管道上。

  • 在端口镜像实例中,只能指定一个镜像输出目的。

  • 跨多个端口镜像或分析器实例配置的输出镜像目标必须都是唯一的。

  • 对于 ERSPAN IPv6 地址,当分析器/端口镜像的输出是远程 IPv6 地址时,不支持出口镜像。不支持出口镜像。

  • 对于本地镜像,输出接口必须是 family ethernet-switching,无论是否为 VLAN(即,不是第 3 层接口)。

  • 在服务提供商环境中配置端口镜像或分析器实例时,请使用 VLAN 名称而非 VLAN ID。

QFX5230-64CD 和 QFX5240 交换机 上的端口镜像

本文档的这一部分介绍特定于 QFX5230-64CD 和 QFX5240 交换机的端口镜像配置详细信息。有关交换机上的端口镜像的常规信息,请参阅此 端口镜像和分析器 文档中的前面部分。

使用以下列表中给出的值配置 QFX5230-64CD 和 QFX5240 交换机上的镜像会话数。以下是三种镜像会话的最大配置值:入口镜像、出口镜像和端口镜像实例。调整这些值以充分利用可用镜像会话的总数:

  • 在 QFX5230-64CD 上:

    • 可用的镜像会话总数:8

    • 最大入口镜:5

    • 最大出口镜:3

    • 最大端口镜像:3

    例如,如果配置 3 个端口镜像实例,则最多有 5 个会话可在入口镜像和出口镜像之间拆分。

  • 在QFX5240上:

    • 可用镜像会话总数:7

    • 最大入口镜:4

    • 最大出口镜:3

    • 最大端口镜像:3

    例如,如果配置 1 个端口镜像实例,则最多有 6 个会话可在入口镜像和出口镜像之间拆分。

QFX10000 系列交换机上的端口镜像

以下列表介绍了专门适用于 QFX10000 系列交换机的约束和限制。有关交换机上的端口镜像的一般信息,请参阅本 端口镜像和分析器 文档前面的章节,这些章节在章节标题中没有特别指出其他平台名称。

  • 仅支持入口全局端口镜像。您可以使用输入参数(如 rate 、 和 run-lengthmaximum-packet-length)配置全局端口镜像。不支持出口全局端口镜像。

  • 端口镜像实例仅支持远程端口镜像。本地镜像支持端口镜像全 实例。

  • 仅以下防火墙过滤器系列支持本地端口镜像: inetinet6

  • 防火墙过滤器族anyccc或 不支持本地端口镜像。

QFabric 上的端口镜像

以下限制和限制适用于本地和远程端口镜像:

  • 您总共可以创建四个端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多可将四个配置用于本地端口镜像。

    • 最多可将三种配置用于远程端口镜像。

  • 无论配置的是独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果将防火墙过滤器配置为将镜像流量发送到端口(即 analyzer 在过滤器术语中使用操作修饰符),则这将计为应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,系统范围对镜像会话总数没有限制。

  • 在一个端口镜像配置中只能配置一种输出类型来完成语 set analyzer name output 句:

    • interface

    • ip-address

    • vlan

  • 在分析器中(使用 set forwarding-options analyzer),仅在同一物理接口的一个逻辑接口上配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置第一个逻辑接口;其余逻辑接口将返回配置错误。

  • 如果镜像出口数据包,请勿在 QFX 系列交换机上配置超过 2000 个 VLAN。否则,某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于所有 VLAN 数据包,而不仅仅是镜像副本。

  • 不支持和ratioloss-priority选项。

  • 存在物理层错误的数据包不会发送至输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 如果输入是 VLAN 或使用防火墙过滤器将流量发送到分析器,则聚合以太网接口不能是输出接口。

  • 从输出接口发送镜像数据包时,不会针对出口时可能应用于原始数据包的任何更改(如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,请勿使用与输入接口相同的接口。

  • CPU 生成的数据包(例如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口处进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像副本将具有不正确的 VLAN ID。

    如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像从出口端口发出的确切副本数和确切的数据包修改。由于 QFX5xxx(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,因此这些交换机无法提供准确的出口数据包修改,因此出口镜像流量可能携带与原始流量中的标记不同的错误 VLAN 标记。

  • 如果将端口镜像实例配置为镜像流出执行 VLAN 封装的接口的流量,则镜像数据包的源和目标 MAC 地址与原始数据包的源和目标 MAC 地址不同。

  • 不支持在 LAG 的成员接口上进行镜像。

  • 不支持出口 VLAN 镜像。

OCX 系列交换机上的端口镜像

以下限制和限制适用于 OCX 系列交换机上的端口镜像:

  • 您总共可以创建四个端口镜像配置。镜像入口或出口流量的配置不能超过两个。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 您只能创建一个端口镜像会话。

  • 无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 路由的 VLAN 接口或 IRB 接口

  • 聚合以太网接口不能是输出接口。

  • 请勿在端口镜像配置中包含单元号为 0 以外的 802.1Q 子接口。如果子接口的单元号不为 0,则端口镜像不适用于子接口。(您可以使用语句配置 vlan-tagging 802.1Q 子接口。)

  • 从输出接口发送数据包副本时,不会针对通常在出口时应用的任何更改(如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,请勿使用与输入接口相同的接口。

  • CPU 生成的数据包(例如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口处进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

EX2300、EX3400 和 EX4300 交换机上的端口镜像

交换机上的流量分析可能需要镜像,因为与集线器不同,交换机不会将数据包广播到目标设备上的每个端口。交换机仅将数据包发送到目标设备所连接的端口。

概述

在 EX2300、EX3400 和 EX4300 系列交换机上运行的 Junos OS 支持增强型第 2 层软件 (ELS) 配置,有助于在数据包级别分析这些交换机上的流量。

您可以使用端口镜像将数据包复制到本地接口以进行本地监控,或将数据包复制到 VLAN 进行远程监控。您可以使用分析器实施有关网络使用和文件共享的策略,并通过定位特定站点或应用的异常或大量带宽使用情况来识别网络上的问题根源。

端口镜像在层次结构级别上[edit forwarding-options port-mirroring]配置。要镜像路由(第 3 层)数据包,可以使用将语句设置为inetinet6或 的端口镜像配置family

您可以使用端口镜像来复制以下数据包:

  • Packets entering or exiting a port— 您可以将数据包镜像成任何数据包组合,进入或退出端口,多达 256 个端口。

    换句话说,您可以将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一个本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN— 您可以将进入 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您最多可以将 256 个 VLAN(包括 VLAN 范围和 PVLAN)配置为分析器的入口输入。

  • Policy-based sample packets— 您可以镜像进入端口或 VLAN 的数据包的基于策略的样本。您可以配置 防火墙过滤器 来建立策略,以选择要镜像的数据包,并将样本发送到端口镜像实例或分析器 VLAN。

您可以在交换机上配置端口镜像,以便将单播流量的副本发送到接口、路由实例或 VLAN 等输出目标。然后,您可以使用协议分析器应用程序分析镜像流量。协议分析仪应用程序可以在连接到分析仪输出接口的计算机上运行,也可以在远程监控站上运行。对于输入流量,您可以配置防火墙过滤器术语,以指定是否必须将端口镜像应用于应用防火墙过滤器的接口上的所有数据包。您可以将配置有该操作port-mirrorport-mirror-instance name的防火墙过滤器应用于输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。EX2300、EX3400 和 EX4300 交换机支持在第 2 层 环境中对 VPLS(family ethernet-switchingfamily vpls)流量和 VPN 流量family ccc进行端口镜像。

在防火墙过滤器术语中,可通过以下方式指定语句下的 then 端口镜像属性:

  • 隐式引用端口上有效的端口镜像属性。

  • 显式引用端口镜像的特定命名实例。

EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置准则

配置端口镜像时,建议遵循特定准则,以确保从镜像中获得最佳收益。此外,建议您在不使用镜像时禁用镜像,并选择必须镜像数据包的特定接口(即,选择特定接口作为分析器的输入),而不是使用 all 关键字选项,该选项可在所有接口上启用镜像,并且可能会影响整体性能。仅镜像必要的数据包可减少任何潜在的性能影响。

使用本地镜像时,来自多个端口的流量被复制到分析器输出接口。如果分析器的输出接口达到容量,数据包将被丢弃。因此,在配置分析器时,必须考虑要镜像的流量是否超过分析器输出接口的容量。

您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注意:

真正的出口镜像定义为镜像从出换端口发出的确切副本数和确切的数据包修改。由于 EX2300 和 EX3400 交换机上的处理器在入口管道中实施出口镜像,因此这些交换机无法提供准确的出口数据包修改,因此出口镜像流量可能携带与原始流量中的标记不同的 VLAN 标记。

表 3 总结了在 EX2300、EX3400 和 EX4300 交换机上进行镜像的其他配置准则。

表 3:EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置准则

指南

价值或支持信息

注释

可用作分析器入口输入的 VLAN 数。

256

 

可同时启用的端口镜像会话和分析器数。

4

您总共可以配置四个会话,并且在任何时间点只能启用以下一项:

  • 最多四个端口镜像会话(包括全局端口镜像会话)。

  • 最多四个分析器会话。

  • 端口镜像和分析器会话的组合,此组合的总数必须为 4 个。

您可以在交换机上配置超过指定数量的端口镜像实例或分析器,但只能为会话启用指定数量的端口镜像实例或分析器。

无法镜像流量的端口类型。

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 集成路由和桥接 (IRB) 接口;也称为路由 VLAN 接口 (RVI)。

  • VLAN 标记的第 3 层接口

 

您可以包含在远程流量的端口镜像配置中的协议家族。

any

 

流量方向,您可以配置这些方向,以便在基于防火墙过滤器的配置中的端口上进行镜像。

入口和出口

 

从接口流出的镜像数据包,这些数据包反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

适用

 

存在物理层错误的数据包。

适用

包含这些错误的数据包将被过滤掉,因此不会发送到分析器。

端口镜像不支持线速流量。

适用

线速流量的端口镜像是在尽最大努力的基础上完成的。

对从 VLAN 出口的数据包进行镜像。

不支持

 

LAG 接口上的端口镜像或分析器输出。

支持

 

端口镜像或分析器输出 LAG 接口上的最大子成员数。

8

 

远程端口镜像或分析器 VLAN 中的最大接口数。

1

 

主机生成的控制数据包的出口镜像。

不支持

 

在分析器节中 input 配置第 3 层逻辑接口。

不支持

此功能可以通过配置端口镜像来实现。

必须避免包含同一 VLAN 成员或 VLAN 本身的分析器输入和输出节。

适用

 

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机上的端口镜像

在 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 或 EX8200 系列交换机上运行的瞻博网络Junos 操作系统 (Junos OS) 不支持增强型第 2 层软件 (ELS) 配置。因此,Junos OS 不包括在其他 Junos OS 软件包层次结构级别找到edit forwarding-options的语句,也不port-mirror包括port-mirroring防火墙过滤器术语中的操作。

您可以使用 端口镜像 来方便地在数据包级别上分析瞻博网络 EX 系列以太网交换机上的流量。您可以将端口镜像用作监控交换机流量的一部分,以实施有关网络使用和文件共享的策略,以及通过定位特定站点或应用程序的异常或高带宽使用情况来识别网络上的问题根源。

您可以使用端口镜像将这些数据包复制到本地接口或 VLAN:

  • 进入或退出端口的数据包

  • 您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一个本地分析器端口或分析器 VLAN。

  • 数据包进入 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上的 VLAN

  • 从 EX8200 交换机上流出 VLAN 的数据包

概述

端口镜像用于交换机上的流量分析,因为与集线器不同,交换机不会将数据包广播到目标设备上的每个端口。交换机仅将数据包发送到目标设备所连接的端口。

您在交换机上配置端口镜像,以便将单播流量的副本发送到本地分析器端口或分析器 VLAN。然后,您可以使用协议分析器分析镜像流量。协议分析仪可以在连接到分析仪输出接口的计算机上运行,也可以在远程监控站上运行。

您可以使用端口镜像来镜像以下任何一项:

  • Packets entering or exiting a port— 您可以将数据包镜像成任何数据包组合,进入或退出端口,多达 256 个端口。

    换句话说,您可以将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一个本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— 您可以镜像进入分析器 VLAN 上的数据包。在 EX3200、EX4200、EX4500 和 EX4550 交换机上,可以将多个 VLAN(最多 256 个 VLAN)配置为分析器的入口输入,包括 VLAN 范围和 PVLAN。

  • Packets exiting a VLAN on an EX8200 switch— 您可以将从 EX8200 交换机上退出 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可以将多个 VLAN(最多 256 个 VLAN)配置为分析器的出口输入,包括一个 VLAN 范围和 PVLAN。

  • Statistical samples— 您可以镜像以下数据包的统计样本:

    • 进入或退出端口

    • 在 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上输入 VLAN

    • 退出 EX8200 交换机上的 VLAN

    您可以通过设置比率来指定数据包的样本数。您可以将样本发送到本地分析器端口或分析器 VLAN。

  • Policy-based sample— 您可以镜像进入端口或 VLAN 的数据包的基于策略的样本。您可以配置 防火墙过滤器 来建立策略,以选择要镜像的数据包。您可以将样本发送到本地分析器端口或分析器 VLAN。

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机的配置准则

配置端口镜像时,建议遵循特定准则,以确保从端口镜像功能中获得最佳优势。此外,建议您在不使用端口镜像时禁用端口镜像,并选择必须镜像数据包的特定接口(即选择特定接口作为分析器的输入),而不是使用 all 在所有接口上启用端口镜像并可能影响整体性能的关键字。您还可以使用统计抽样、设置比率以选择统计样本或使用防火墙过滤器来限制镜像流量。仅镜像必要的数据包可减少任何潜在的性能影响。

使用本地端口镜像时,来自多个端口的流量会复制到分析器输出接口。如果分析器的输出接口达到容量,数据包将被丢弃。因此,在配置分析器时,必须考虑要镜像的流量是否超过分析器输出接口的容量。

注意:

在 ACX5448 路由器的 [edit forwarding-options analyzer an input egress] 层次结构级别下,只能在入口和出口接口的 .0 逻辑接口上配置分析器输入。如果配置 .0 以外的逻辑接口,则在提交期间会显示错误。以下是配置分析器输入时显示的提交错误示例 .100 逻辑接口:
注意:说明中的“所有其他交换机”或“所有交换机”适用于支持端口镜像的所有交换机平台。有关平台支持的详细信息,请参阅 功能浏览器
表 4:配置准则

指南

描述

注释

可用作分析器入口输入的 VLAN 数
  • 16 个入口或 8 个入口和 8 个出口 - ACX7024 设备

    1 - EX2200 交换机

  • 256 - EX3200、EX4200、EX4500、EX4550 和 EX6200 交换机

  • 不适用 — EX8200 交换机

  

可同时启用的分析器数(适用于独立交换机和虚拟机箱)

  • 1 - EX2200、EX3200、EX4200、EX3300 和 EX6200 交换机

  • 基于 7 端口或 1 个全局端口 - EX4500 和 EX4550 交换机

  • 共 7 个,其中 1 个基于 VLAN、防火墙过滤器或 LAG,其余 6 个基于防火墙过滤器 - EX8200 交换机

    注意:

    使用防火墙过滤器配置的分析器不支持镜像出口端口的数据包。

  • 您可以在交换机上 配置 超过指定数量的分析器,但只能为会话 启用 指定数量的分析器。用于 disable ethernet-switching-options analyzer name 禁用分析器。

  • 有关 EX4500 和 EX4550 交换机上允许的基于防火墙过滤器的分析器数量的例外情况,请参阅下表中的下一行条目。

  • 在 EX4550 虚拟机箱上,如果输入和输出定义中的端口位于虚拟机箱的不同交换机上,则只能配置一个分析器。要配置多个分析器,必须在虚拟机箱的同一交换机上配置整个分析器会话。

可在 EX4500 和 EX4550 交换机上配置的基于防火墙过滤器的分析器数量

  • 1 - EX4500 和 EX4550 交换机

如果配置多个分析器,则无法将其中任何一个连接到防火墙过滤器。

无法镜像流量的端口类型

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 路由的 VLAN 接口 (RVI)

  • VLAN 标记的第 3 层接口

  

如果将端口镜像配置为镜像从 EX8200 交换机上的 10 千兆以太网端口流出的数据包,则当镜像数据包超过 10 千兆以太网端口流量的 60% 时,网络流量和镜像流量中都会丢包。

  • EX8200 交换机

  

流量方向,您可以为其指定比率

  • 仅入口 - EX8200 交换机

  • 入口和出口 — 所有其他交换机

  

可包含在基于防火墙过滤器的远程分析仪中的协议家族

  • 除 和 —EX8200 交换机以外的inetinet6任何交换机

  • 任意 — 所有其他交换机

您可以在 inet 本地分析器中使用 和 inet6 在 EX8200 交换机上使用。

流量方向,您可以配置这些方向,以便在基于防火墙过滤器的配置中的端口上进行镜像

  • 仅入口 — 所有交换机

  

标记接口上的镜像数据包可能包含不正确的 VLAN ID 或 Ethertype。

  • 同时使用 VLAN ID 和 Ethertype—EX2200 交换机

  • 仅 VLAN ID — EX3200 和 EX4200 交换机

  • 仅限 Ethertype — EX4500 和 EX4550 交换机

  • 不适用 — EX8200 交换机

  

退出接口的镜像数据包不会反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

  • 所有交换机

  

当属于路由 VLAN 接口 (RVI) 的出口 VLAN 配置为该分析器的输入时,分析器会将不正确的 802.1Q (dot1q) 报头附加到路由流量上的镜像数据包,或者不会镜像路由流量上的任何数据包。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

变通方法是配置一个分析器,将 VLAN 的每个端口(成员接口)用作出口输入。

存在物理层错误的数据包不会发送至本地或远程分析器。

  • 所有交换机

包含这些错误的数据包将被过滤掉,因此不会发送到分析器。

第 3 层接口上的端口镜像配置(输出配置为 VLAN)在 EX8200 交换机上不可用。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

  

端口镜像不支持线速流量。

  • 所有交换机

线速流量的端口镜像是在尽最大努力的基础上完成的。

在 EX8200 虚拟机箱中,要镜像跨虚拟机箱的流量,输出端口必须是 LAG。

  • EX8200 虚拟机箱

  • 不适用 — 所有其他交换机

在 EX8200 虚拟机箱中:

  • 您只能将 LAG 配置为本机分析器的监控端口。

  • 您无法将 LAG 配置为基于防火墙过滤器的分析器的监控端口。

  • 如果分析器配置包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

在独立 EX8200 交换机中,您可以在输出定义中配置 LAG。

  • EX8200 独立交换机

  • 不适用 — 所有其他交换机

在 EX8200 独立交换机中:

  • 您可以将 LAG 配置为本机和基于防火墙的分析器上的监控端口。

  • 如果配置中包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

SRX 系列防火墙上的端口镜像

端口镜像复制进入或退出端口的数据包,并将这些副本发送到本地接口进行监控。端口镜像用于将流量发送到分析流量的应用,以实现监控合规性、执行策略、检测入侵、监控和预测流量模式、关联事件等目的。</para><para>端口镜像用于将所有数据包的副本或仅在端口上看到的采样数据包发送到网络监控连接。您可以在传入端口(入口端口镜像)或传出端口(出口端口镜像)上镜像数据包。

仅具有以下 I/O 卡的 SRX 系列防火墙才支持端口镜像:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

在 SRX 系列防火墙上,通过 mirrored 该端口的所有数据包都将被复制并发送到指定 mirror-to 端口。这些端口必须位于 I/O 卡中的同一 Broadcom 芯片组上。

在 SRX 系列防火墙上,端口镜像仅适用于物理接口。

了解 2 层端口镜像

在包含互联网处理器 II ASIC 的路由平台和交换机上,您可以将来自路由平台或交换机的任何传入数据包的副本发送到外部主机地址或数据包分析器进行分析。这称为 端口镜像

在 Junos OS 9.3 及更高版本 中,第 2 层 环境中的瞻博网络 MX 系列 5G 通用路由平台支持第 2 层 桥接流量和虚拟专用 LAN 服务 (VPLS) 流量的 端口镜像

在 Junos OS 9.4 及更高版本 中,第 2 层 环境中的 MX 系列路由器支持通过电路交叉连接 (CCC) 对第 2 层 VPN 流量进行端口镜像,该电路交叉连接可透明连接相同类型的逻辑接口。

在 Junos OS 12.3R2 版中,瞻博网络 EX 系列交换机支持第 2 层桥接流量的端口镜像。

通过层端口镜像,您可以指定监控指定端口上的传入和传出数据包的方式,以及将所选数据包的副本转发到另一个目标(以便分析数据包)的方式。

MX 系列路由器和 EX 系列交换机使用服务等级 (CoS) 架构来执行流监控功能,从而支持第 2 层 端口镜像,该架构在概念上与其他路由平台和交换机相似,但又特别不同。

与 M120 多业务边缘路由器和 M320 多业务边缘路由器一样,MX 系列路由器和 EX 系列交换机同时支持 IPv4、IPv6 和 VPLS 数据包的镜像。

在第 3 层 环境中,MX 系列路由器和 EX 系列交换机支持 IPv4 (family inet) 和 IPv6 (family inet6) 流量的镜像。有关第 3 层 端口镜像的信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南

第 2 层端口镜像属性

端口镜像 指定以下类型的属性:

数据包选择

第 2 层 端口镜像的数据包选择属性指定如何选择取样数据包进行镜像:

  • 每个样本中的数据包数。

  • 每个样本要镜像的数据包数。

  • 镜像数据包要截短的长度。

数据包地址家族

数据包地址族类型指定要镜像的流量类型。在第 2 层 环境中,MX 系列路由器和 EX 系列交换机支持以下数据包地址族的端口镜像:

  • 家族类型 ethernet-switching— 当物理接口配置了封装类型 ethernet-bridge时,用于镜像 VPLS 流量。

  • 家族类型 ccc— 用于镜像第 2 层 VPN 流量。

  • 家族类型 vpls— 用于镜像 VPLS 流量。

注意:

在典型应用中,您会将镜像数据包直接发送到分析器,而不是其他路由器或交换机。如果必须通过网络发送镜像数据包,则应使用隧道。对于第 2 层 VPN 实施,您可以使用第 2 层 VPN 路由实例类型 l2vpn 将数据包隧道发送到远程目标。

有关为第 2 层 VPN 配置路由实例的信息,请参阅适用于 路由设备的 Junos OS VPN 库。有关详细的第 2 层 VPN 示例配置,请参阅 Junos OS。有关隧道接口的信息,请参阅适用于 路由设备的 Junos OS 网络接口库

镜像目标属性

对于给定的数据包地址族,第 2 层 端口镜像实例的镜像目的属性将指定如何在特定物理接口上发送所选数据包:

  • 发送选定数据包的物理接口。

  • 是否为镜像目标接口禁用过滤器检查。默认情况下,所有接口上都启用过滤器检查。

    注意:

    如果将过滤器应用于也是第 2 层 端口镜像目标的接口,则将发生提交失败,除非您已禁用该镜像目标接口的过滤器检查。

镜像一次选项

如果在入口和出口接口都启用了端口镜像,则可以防止 MX 系列路由器和 EX 系列交换机向同一目标发送重复数据包(这会使镜像流量的分析变得复杂)。

注意:

mirror-once port-mirroring 选项是全局设置。该选项独立于数据包选择属性和数据包家族特定类型的镜像目标属性。

第 2 层 端口镜像类型的应用

您可以将不同的第 2 层 端口镜像属性集应用于 MX 系列或 EX 系列路由的不同入口或出口点的 VPLS 数据包。

表 5 介绍了可在 MX 系列路由器和 EX 系列交换机上配置的三种类型的第 2 层  端口镜像 :全局实例、命名实例和防火墙过滤器。

表 5:第 2 层 端口镜像类型的应用

第 2 层 端口 镜像定义的类型

应用点

镜像范围

描述

配置详细信息

第 2 层端口 镜像的全局实例    

MX 系列路由器(或交换机)机箱中的所有端口。

在 MX 系列路由器(或交换机)机箱的所有端口上接收的 VPLS 数据包。

如果配置了全局端口镜像属性,则全局端口镜像属性将隐式应用于在路由器(或交换机)机箱中所有端口上接收的所有 VPLS 数据包。

请参阅 配置第 2 层端口镜像的全局实例

第 2 层端口 镜像的命名 实例   

在 FPC 级别分组的端口

请参阅将 第 2 层端口镜像绑定到 FPC 级别分组的端口

在与特定 DPC 或 FPC 及其数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖全局端口镜像实例配置的任何端口镜像属性。

请参阅 定义第 2 层端口镜像的命名实例

MX 系列路由器和 EX 系列交换机支持的端口镜像目标数量限制为安装在路由器或交换机机箱中的 DPC 或 FPC 上包含的数据包转发引擎数量。

在 PIC 级别分组的端口

请参阅将 第 2 层端口镜像绑定到 PIC 级别分组的端口

在与特定数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖在 FPC 级别或全局端口镜像实例中配置的任何端口镜像属性。

2 层 端口镜像防火墙 过滤器

逻辑接口 (包括聚合以太网接口)

请参阅将 第 2 层端口镜像应用于逻辑接口

通过逻辑接口接收或发送的 VPLS 数据包。

防火墙过滤器 配置中,包括 actionaction-modifier 要应用于为镜像选定的数据包的条款:

  • 建议采取该 accept操作。

  • port-mirror修饰符隐式引用当前绑定到底层物理接口的端口镜像属性。

  • port-mirror-instance pm-instance-name 饰符显式引用端口镜像的命名实例。

  • (选答)仅对于隧道接口输入数据包,要将数据包镜像到其他目标,请添加 next-hop-group next-hop-group-name 修饰符。此修饰符引用指定下一跃点地址的下一跃点组(用于将数据包的其他副本发送到分析器)。

请参阅 定义第 2 层端口镜像防火墙过滤器

注意:

逻辑系统不 支持第 2 层 端口镜像防火墙过滤器。

有关将隧道接口输入数据包镜像到多个目标,另请参阅 为第 2 层端口镜像定义下一跳组

VLAN 转发表或泛洪表

请参阅将 第 2 层端口镜像应用于转发或泛洪至桥接域的流量

转发或泛洪至 VLAN 的第 2 层流量

VPLS 路由实例转发表或泛洪表

请参阅将 第 2 层端口镜像应用于转发或泛洪至 VPLS 路由实例的流量

转发或泛洪至 VPLS 路由实例的第 2 层流量

第 2 层 端口镜像的限制

以下限制适用于第 2 层  端口镜像

  • 只能镜像第 2 层 传输数据(从源转发到目标时包含通过路由平台或交换机传输的数据块的数据包)。第 2 层 本地数据(包含发往路由引擎或由发送的数据块的数据包,如第 2 层控制数据包)不会进行镜像。

  • 如果将端口镜像过滤器应用于 逻辑接口的输出,则仅镜像单播数据包。要镜像广播数据包、组播数据包、目标媒体访问控制 (MAC) 地址未知的单播数据包,或目标 MAC (DMAC) 路由表中有 MAC 条目的数据包,请对 VLAN 或虚拟专用 LAN 服务 (VPLS) 路由实例的泛洪表的输入应用过滤器。

  • 镜像目标设备应位于专用 VLAN 上,不应参与任何桥接活动;镜像目的设备不应有到最终流量目的的桥接器,镜像目的设备不应将镜像数据包发送回源地址。

  • 对于全局端口镜像实例或命名端口镜像实例,每个端口镜像实例和数据包地址族只能配置一个镜像输出接口。如果在语句下包含多个interface语句,则将覆盖前一个interfacefamily (ethernet-switching | ccc | vpls) output句。

  • 逻辑系统不支持第 2 层 端口镜像防火墙过滤。

    在第 2 层 端口镜像 防火墙过滤器 定义中, action-modifier 过滤器(port-mirrorport-mirror-instance pm-instance-name)依赖于在层次结构下 [edit forwarding-options port-mirroring] 配置的第 2 层 端口镜像全局实例或命名实例中定义的端口镜像属性。因此,过滤器 term 不 支持逻辑系统的第 2 层 端口镜像。

  • 对于第 2 层 端口镜像防火墙过滤器,其中通过包含 port-mirror 语句来隐式引用第 2 层 端口镜像属性,如果第 2 层 端口镜像的多个命名实例绑定到底层物理接口,则仅在逻辑接口上使用节中的第一个绑定(或唯一的绑定)。这样做是为了向后兼容。

  • 第 2 层 端口镜像防火墙过滤器 不支持使用下一跃点子组来对镜像流量进行负载平衡。