Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

端口镜像和分析器

SUMMARY 本节介绍如何通过端口镜像将网络流量发送到分析器应用程序。

了解端口镜像和分析器

端口镜像 和分析器将网络流量发送到运行分析器应用程序的设备。端口镜像会将第 3 层 IP 流量复制到接口。分析器将桥接(第 2 层)数据包复制到接口。镜像的流量可以来自单个或多个接口。您可以使用连接到运行分析器应用程序的镜像输出接口的设备来执行诸如监控合规性、实施策略、检测入侵、监控网络性能、关联事件和其他网络上的问题等任务。

在包含互联网处理器 II 应用专用集成电路 (ASIC) 或 T 系列互联网处理器的路由器上,端口镜像会将进入或退出端口或进入 VLAN 的单播数据包复制,并将这些副本发送到本地接口进行本地监控或发送到 VLAN 进行远程监控。镜像的流量由帮助您分析该流量的应用程序接收。

端口镜像与流量采样不同。在流量采样中,基于 IPv4 标头的采样密钥发送至路由引擎,其中将密钥放置在文件或 cflow 中。基于该密钥的数据包被发送到 cflowd 服务器。在端口镜像中,整个数据包会通过指定接口复制并发送出去,以便对其进行详细捕获和分析。

使用端口镜像将流量发送到用于分析流量的设备,例如监控合规性、执行策略、检测入侵、监控和预测流量模式、关联事件等。当您想要执行流量分析时,需要端口镜像,因为交换机通常只向目标设备连接到的端口发送数据包。由于这会导致延迟,您可能不想在原始数据包转发之前发送进行分析,因此常见的替代方案是配置端口镜像,将单播流量的副本发送到另一个接口,并在连接到该接口的设备上运行分析器应用程序。

要配置端口镜像,请配置端口镜像实例。但不要为其指定输入。而是创建一个指定所需流量的防火墙过滤器,并将其定向到实例。在 port-mirror 过滤器的一个 then 术语中使用操作。防火墙过滤器必须配置为 family inet

配置端口镜像时,请时刻关注性能。将防火墙过滤器配置为仅镜像必要的数据包可降低影响性能的可能性。

您可以配置分析器语句,在同一分析器配置中同时定义输入流量和输出流量。要分析的流量可以是进出接口的流量,也可以是进入 VLAN 的流量。分析器配置允许您将此流量发送到输出接口、实例或 VLAN。您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注:

在 EX4400-24T 平台上,禁用远程端口镜像 VLAN 中的任何接口时,您需要重新启用禁用的接口并重新配置分析器会话以恢复端口镜像。

您可以使用端口镜像复制:

  • 以任意组合方式进入或退出接口的所有数据包。进入某些接口的数据包和退出其他接口的数据包的副本可以发送到同一本地接口或 VLAN。如果将端口镜像配置为复制退出某个接口的数据包,则当该交换机或节点设备(QFabric 系统中) 发起 的流量在出口时,不会复制该流量。出口上仅复制 交换 的流量。(参见下方出口镜像限制。)

  • 进入 VLAN 的任何或所有数据包。您不能使用端口镜像来复制退出 VLAN 的数据包。

  • 进入端口或 VLAN 的经过防火墙过滤的数据包示例。

  • 出口端口不支持防火墙过滤器;也就是说,您不能为退出接口的数据包指定基于策略的采样

  • 在 VXLAN 环境中,面向核心或主干的接口不支持基于防火墙过滤器的端口镜像。

您可以配置流量采样和端口镜像,为端口镜像数据包设置独立的采样速率和运行长度。但是,如果同时为流量采样和端口镜像选择数据包,则仅执行端口镜像,因为它优先。换句话说,如果配置了一个接口来对接口上每个输入的数据包进行流量采样,而端口镜像也选择要复制的数据包并发送到目标端口,则只会执行端口镜像进程。未选择用于端口镜像的流量取样数据包将继续被采样并转发到 cflowd 服务器。

有关本主题中使用的术语的信息,请参阅 端口镜像和分析器术语和定义

实例类型

要配置端口镜像,请配置以下类型之一的实例:

  • 分析器实例 — 指定实例的输入和输出。此实例类型可用于确保传输接口或进入 VLAN 的所有流量均能镜像并发送到分析器。

  • 端口镜像实例 — 您创建一个防火墙过滤器,用于识别所需的流量并将其复制到镜像端口。您不为此实例类型指定输入。此实例类型可用于控制镜像的流量类型。您可以通过以下方式将流量定向到它:

    • 当定义了多个端口镜像实例时, port-mirror-instance instance-name 通过使用操作,指定防火墙过滤器中端口镜像实例的名称。

    • 当只定义了一个端口镜像实例时, port-mirror 通过使用操作将镜像的数据包发送到实例中定义的输出接口。

对于 QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600 和 EX4650 交换机,以下端口镜像准则适用:

  • 最多可以同时配置四个端口镜像实例或四个分析器会话。换句话说,您不能一起配置四个端口镜像实例 四个分析器会话。
  • 如果没有端口镜像实例(即仅配置了分析器会话),则最多可为入口和出口镜像启用三个分析器会话。剩余的分析器会话只能用于入口镜像。
  • 如果只配置了一个端口镜像实例,那么对于剩余实例,最多可以配置三个分析器用于入口镜像,两个用于出口镜像的分析器。
  • 如果配置了两个端口镜像实例,那么对于剩余实例,最多可以配置两个分析器用于入口镜像,一个用于出口镜像分析器。
  • 如果配置了三个端口镜像实例,则剩余的实例只能配置为分析器(用于入口或出口镜像),

端口镜像和 STP

端口镜像配置中 STP 的行为取决于您使用的 Junos OS 版本:

  • Junos OS 13.2X50、Junos OS 13.2X51-D25 或更低版本、Junos OS 13.2X52:启用 STP 后,端口镜像可能无法成功,因为 STP 可能会阻止镜像的数据包。

  • Junos OS 13.2X51-D30,Junos OS 14.1X53:针对镜像流量禁用 STP。必须确保拓扑结构可防止此流量出现环路。

约束和限制

以下约束和限制适用于端口镜像:

仅镜像分析所需的数据包,从而降低了降低整体性能的可能性。如果镜像来自多个端口的流量,则镜像的流量可能会超过输出接口的容量。溢出数据包被丢弃。我们建议您通过选择特定接口来限制镜像流量,并避免使用 all 关键字。您还可以使用 防火墙过滤器 将特定流量发送到端口镜像实例,从而限制镜像流量。

  • 您总共可以创建四个端口镜像配置。

  • 在 EX9200 交换机上,EX9200-15C 线卡 不支持 端口镜像。

  • QFabric 系统中的每个节点组都受以下约束:

    • 其中最多有四种配置可用于本地端口镜像。

    • 其中多达三种配置可用于远程端口镜像。

  • 无论您是要配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果配置防火墙过滤器以将镜像的流量发送到端口, 则这算作应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,镜像会话总数没有系统级限制。

  • 在一个端口镜像配置中,您只能配置一种类型的输出,以完成一个 set analyzer name output 语句:

    • interface

    • ip-address

    • vlan

  • 仅针对同一物理接口在一个逻辑接口上在分析器(with set forwarding-options analyzer) 中配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置了第一个逻辑接口:其余逻辑接口会返回配置错误。

  • 如果镜像出口数据包,请勿在独立交换机或 QFabric 系统上配置超过 2000 个 VLAN。如果这样做,则某些 VLAN 数据包可能包含错误的 VLAN ID。这适用于所有 VLAN 数据包,而不仅仅是镜像的副本。

  • ratio不支持和loss-priority选项。

  • 出现物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行取样,则不会在镜像副本退出输出接口时对它们进行取样。

  • 您不能镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 在端口镜像实例中,您无法将 inet 或 inet6 接口配置为输出接口。以下交换机不支持此 set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> 配置:

    表 1: 不支持作为输出接口的 inet 系列 inet/inet6 的交换机
    EX 交换机 QFX 交换机

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • 如果输入为 VLAN,或者通过使用防火墙过滤器将流量发送到分析器,则聚合以太网接口不能是输出接口。

  • 当镜像的数据包从输出接口中发送时,不会针对可能在出口时应用于原始数据包的任何更改(例如 CoS 重写)而修改这些更改。

  • 一个接口只能是一个镜像配置的输入接口。请勿将同一接口与输入接口用于多个镜像配置。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法镜像在出口上。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像的副本将具有错误的 VLAN ID。

    如果您配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像的副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像出口端口的确切副本数量和确切数据包修改。因为 QFX5xxx 上的处理器(包括 QFX5100、 QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,这些交换机不提供准确的出口数据包修改,因此出口镜像的流量可能携带错误的 VLAN 标记,与原始流量中的标记不同。

  • 如果将端口镜像实例配置为镜像从执行 VLAN 封装的接口的流量,则镜像数据包的源地址和目标 MAC 地址与原始数据包的地址不同。

  • 不支持在 LAG 的成员接口上镜像。

  • 不支持出口 VLAN 镜像。

以下约束和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,则该地址不能与任何交换机管理接口位于同一子网中。

  • 如果创建虚拟路由实例并创建了包含输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

  • 输出 VLAN 不能是专用 VLAN 或 VLAN 范围。

  • 一个输出 VLAN 不能由多个分析器会话或端口镜像实例共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 具有多个成员接口,则流量只会镜像到 VLAN 的第一个成员,而同一 VLAN 的其他成员不携带任何镜像的流量。

  • 对于远程端口镜像到 IP 地址(GRE 封装),如果配置了多个分析器会话或端口镜像实例,并且可以通过同一接口访问分析器或端口镜像实例的 IP 地址,则只会配置一个分析器会话或端口镜像实例。

  • 远程端口镜像中可能的输出接口数量因 QFX5K 系列中的交换机而异:

    • QFX5110、QFX5120、QFX5210 — 最多支持 4 个输出接口

    • QFX5100 和 QFX5200 — 最多支持 3 个输出接口。

  • 每当远程端口镜像 VLAN 中的任何成员从该 VLAN 中移除时,请重新配置该 VLAN 的分析器会话。

QFX5100 和 QFX5200 交换机的约束和限制

以下注意事项适用于 QFX5100 和 QFX5200 交换机上的端口镜像:

  • 配置输出到 IP 地址的镜像时,目标 IP 地址应可访问,并且必须解析 ARP。

  • 镜像的目标不支持 ECMP(等价多路径)负载平衡。

  • 远程端口镜像 (RSPAN) 中的输出接口数量各不相同。对于 QFX5110、QFX5120 和 QFX5210,交换机的最多为四个输出接口。对于 QFX5100 和 QFX5200 交换机,最多 3 台。

  • 将链路聚合组 (LAG) 指定为镜像输出接口时,最多镜像八个接口。

  • 镜像输入可以是 LAG、包含任意单元(如 ae0.101 或 xe-0/0/0.100) 的物理接口,也可以是子接口。无论如何,LAG 或物理接口上的所有流量都会镜像。

  • 您不能在 LAG 的成员接口上设置独立的镜像实例。

  • 一个镜像实例中包含的输出接口也不能在另一个镜像实例中使用。

  • 在端口镜像实例中,转发路径出口管道中丢弃的数据包永远不会镜像到目标位置。这是因为镜像操作发生在入口管道上,在丢弃操作之前。

  • 在端口镜像实例中,只能指定一个镜像输出目标。

  • 跨多个端口镜像或分析器实例配置的输出镜像目标必须都唯一。

  • 对于 ERSPAN IPv6 地址,当到分析器/端口镜像的输出为远程 IPv6 地址时,不支持出口镜像。不支持出口镜像。

  • 对于本地镜像,输出接口必须是系列以太网交换,带或不带 VLAN(即,不是第 3 层接口)。

  • 在服务提供商环境中配置端口镜像或分析器实例时,请使用 VLAN 名称,而非 VLAN ID。

QFabric 上的端口镜像

以下约束和限制适用于本地和远程端口镜像:

  • 您总共可以创建四个端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 其中最多有四种配置可用于本地端口镜像。

    • 其中多达三种配置可用于远程端口镜像。

  • 无论您是要配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果配置防火墙过滤器以将镜像流量发送到端口(即,在 analyzer 过滤器术语中使用操作修改符),则这算作应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,镜像会话总数没有系统级限制。

  • 在一个端口镜像配置中,您只能配置一种类型的输出,以完成一个 set analyzer name output 语句:

    • interface

    • ip-address

    • vlan

  • 仅针对同一物理接口在一个逻辑接口上在分析器(with set forwarding-options analyzer) 中配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置了第一个逻辑接口:其余逻辑接口会返回配置错误。

  • 如果镜像出口数据包,请勿在 QFX 系列平台上配置超过 2000 个 VLAN。 如果这样做,则某些 VLAN 数据包可能包含错误的 VLAN ID。这适用于所有 VLAN 数据包,而不仅仅是镜像的副本。

  • ratio不支持和loss-priority选项。

  • 出现物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行取样,则不会在镜像副本退出输出接口时对它们进行取样。

  • 您不能镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 如果输入为 VLAN,或者通过使用防火墙过滤器将流量发送到分析器,则聚合以太网接口不能是输出接口。

  • 当镜像的数据包从输出接口中发送时,不会针对可能在出口时应用于原始数据包的任何更改(例如 CoS 重写)而修改这些更改。

  • 一个接口只能是一个镜像配置的输入接口。请勿将同一接口与输入接口用于多个镜像配置。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法镜像在出口上。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像的副本将具有错误的 VLAN ID。

    如果您配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像的副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像出口端口的确切副本数量和确切数据包修改。因为 QFX5xxx 上的处理器(包括 QFX5100、 QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,这些交换机不提供准确的出口数据包修改,因此出口镜像的流量可能携带错误的 VLAN 标记,与原始流量中的标记不同。

  • 如果将端口镜像实例配置为镜像从执行 VLAN 封装的接口的流量,则镜像数据包的源地址和目标 MAC 地址与原始数据包的地址不同。

  • 不支持在 LAG 的成员接口上镜像。

  • 不支持出口 VLAN 镜像。

OCX 系列交换机上的端口镜像

以下约束和限制适用于 OCX 系列交换机上的端口镜像:

  • 您总共可以创建四个端口镜像配置。镜像入口或出口流量的配置不能超过两个。

  • 如果使用 sFlow 监控对流量进行取样,则不会在镜像副本退出输出接口时对它们进行取样。

  • 您只能创建一个端口镜像会话。

  • 您不能镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 路由的 VLAN 接口或 IRB 接口

  • 聚合以太网接口不能是输出接口。

  • 端口镜像配置中不要包含单元号不是 0 的 802.1Q 子接口。如果子接口的单元号不是 0,则端口镜像不适用于子接口。(可使用语句配置 802.1Q 子接口 vlan-tagging 。)

  • 在输出接口中发送数据包副本时,不会为通常应用于出口的任何更改(如 CoS 重写)而修改这些副本。

  • 一个接口只能是一个镜像配置的输入接口。请勿将同一接口与输入接口用于多个镜像配置。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法镜像在出口上。

  • STP 流量不支持基于 VLAN 的镜像。

EX2300、EX3400 和 EX4300 交换机上的端口镜像

在交换机上进行流量分析可能需要镜像,因为交换机与中枢不同,不会将数据包广播到目标设备上的每个端口。交换机仅向目标设备连接的端口发送数据包。

概述

在 EX2300、EX3400 和 EX4300 系列交换机上运行的 Junos OS 支持增强型第 2 层软件 (ELS) 配置,有助于在数据包级别分析这些交换机上的流量。

您可以使用端口镜像将数据包复制到本地接口进行本地监控,或复制到 VLAN 进行远程监控。您可以使用分析器实施有关网络使用和文件共享的策略,并通过查找特定站点或应用程序的异常或高带宽使用情况来识别网络上的问题来源。

端口镜像在层次结构级别上配置 [edit forwarding-options port-mirroring] 。要镜像路由(第 3 层)数据包,您可以使用将语句设置为inetinet6的端口镜像配置family

您可以使用端口镜像复制以下数据包:

  • Packets entering or exiting a port—您可以将数据包镜像为进出端口的任意数据包组合,最高可达 256 个端口。

    换句话说,您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN— 您可以将进入 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可以将多达 256 个 VLAN(包括 VLAN 范围和 PVLAN)配置为分析器的入口输入。

  • Policy-based sample packets-您可以镜像基于策略的进入端口或 VLAN 的数据包样本。您可以配置 防火墙过滤器 以建立策略以选择要镜像的数据包,并将示例发送到端口镜像实例或分析器 VLAN。

您可以在交换机上配置端口镜像,以便将单播流量的副本发送到接口、路由实例或 VLAN 等输出目标。然后,您可以使用协议分析器应用程序来分析镜像的流量。协议分析器应用程序可以在连接到分析器输出接口的计算机上运行,也可以在远程监控站上运行。对于输入流量,您可以配置防火墙过滤器术语,以指定是否必须将端口镜像应用于应用防火墙过滤器的接口上的所有数据包。您可以应用使用操作 port-mirror 配置的防火墙过滤器,或者 port-mirror-instance name 应用于输入或输出逻辑接口(包括聚合以太网逻辑接口),应用于转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。EX2300、EX3400 和 EX4300 交换机支持第 2 层环境中的 VPLS(family ethernet-switchingfamily vpls) 流量和 VPN 流量 family ccc 的端口镜像。

在防火墙过滤器术语中,可以通过以下方式在该 then 语句下指定端口镜像属性:

  • 隐式引用对端口生效的端口镜像属性。

  • 显式引用端口镜像的特定命名实例。

EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置准则

配置端口镜像时,我们建议您遵循某些准则,以确保从镜像中获得最佳优势。此外,我们建议您在不使用镜像时禁用镜像,并且选择必须镜像数据包的特定接口(即选择特定接口作为分析器的输入),而不是使用 all 可在所有接口上启用镜像并可能影响整体性能的关键字选项。仅镜像必要的数据包可减少任何潜在的性能影响。

使用本地镜像时,来自多个端口的流量将复制到分析器输出接口。如果分析器的输出接口达到容量,将丢弃数据包。因此,在配置分析器时,必须考虑镜像的流量是否超过分析器输出接口的容量。

您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注:

真正的出口镜像定义为镜像出口交换端口的确切副本数量和确切的数据包修改。由于 EX2300 和 EX3400 交换机上的处理器在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像的流量可以携带与原始流量中的标记不同的 VLAN 标记。

表 2 汇总了在 EX2300、EX3400 和 EX4300 交换机上镜像的其他配置准则。

表 2: EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置准则

指引

价值或支持信息

评论

可用作分析器的入口输入的 VLAN 数。

256

 

可同时启用的端口镜像会话和分析器数。

4

您总共可以配置四个会话,并且在任何时间点都只能启用以下一个:

  • 最多四个端口镜像会话(包括全局端口镜像会话)。

  • 最多四个分析器会话。

  • 端口镜像和分析器会话以及此组合的总会话必须达到四个。

您可以在交换机上配置超过指定数量的端口镜像实例或分析器,但只能为一个会话启用指定数量。

无法镜像流量的端口类型。

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 集成路由和桥接 (IRB) 接口;也称为路由 VLAN 接口 (RVI)。

  • VLAN 标记的第 3 层接口

 

您可以在远程流量的端口镜像配置中包含的协议家族。

any

 

您可以为基于防火墙过滤器的配置中的端口镜像而配置的流量方向。

入口和出口

 

退出反映重写服务等级 (CoS) DSCP 或 802.1p 位的接口的镜像数据包。

适用

 

有物理层错误的数据包。

适用

带有这些错误的数据包被过滤掉,因此不会发送到分析器。

端口镜像不支持线速流量。

适用

线速流量的端口镜像会尽力而为。

出口 VLAN 的数据包镜像。

不支持

 

LAG 接口上的端口镜像或分析器输出。

支持

 

端口镜像或分析器输出 LAG 接口上的最大子成员数。

8

 

远程端口镜像或分析器 VLAN 中的最大接口数。

1

 

主机生成的控制数据包的出口镜像。

不支持

 

input 分析器部分配置第 3 层逻辑接口。

不支持

可以通过配置端口镜像来实现此功能。

必须避免分析器输入和输出部分包含相同 VLAN 或 VLAN 本身的成员。

适用

 

ACX7024、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机上的端口镜像

在 ACX7024、EX2200、EX3200、EX3300、EX4200、EX4500、EX4500、EX4550、EX6200 或 EX8200 系列交换机上运行的瞻博网络 Junos 操作系统 (Junos OS) 不支持增强型第 2 层软件 (ELS) 配置。因此,Junos OS 不包含在其他 Junos OS 软件包层级找到edit forwarding-options的语句,也port-mirror不包含port-mirroring防火墙过滤器条款中的操作。

您可以使用 端口镜像 来促进分析数据包级别的瞻博网络 EX 系列以太网交换机上的流量。您可以将端口镜像作为监控交换机流量的一部分,用于执行有关网络使用和文件共享的策略,以及通过定位特定站点或应用程序异常或大量带宽使用情况来识别网络上的问题来源。

您可以使用端口镜像将这些数据包复制到本地接口或 VLAN:

  • 进出端口的数据包

  • 您可以将进入某些端口的数据包和离开其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • ACX7024、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上进入 VLAN 的数据包

  • EX8200 交换机上退出 VLAN 的数据包

概述

端口镜像用于交换机上的流量分析,因为交换机与中枢不同,不会将数据包广播到目标设备上的每个端口。交换机仅向目标设备连接的端口发送数据包。

您可以在交换机上配置端口镜像,以便将单播流量的副本发送到本地分析器端口或分析器 VLAN。然后,您可以使用协议分析器来分析镜像的流量。协议分析器可以在连接到分析器输出接口的计算机上运行,也可以在远程监控站上运行。

您可以使用端口镜像来镜像以下任何一项:

  • Packets entering or exiting a port—您可以将数据包镜像为进出端口的任意数据包组合,最高可达 256 个端口。

    换句话说,您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN on an ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch- 您可以将进入 VLAN 的数据包镜像到分析器 VLAN 上。在 EX3200、EX4200、EX4500 和 EX4550 交换机上,您可以将多个 VLAN(最多 256 个 VLAN)配置为分析器的入口输入,包括 VLAN 范围和 PVLAN。

  • Packets exiting a VLAN on an EX8200 switch— 您可以将 EX8200 交换机上退出 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可以将多个 VLAN(最多 256 个 VLAN)(包括一个 VLAN 范围和 PVLAN)配置为向分析器的出口输入。

  • Statistical samples-您可以镜像一个统计样本的数据包,这些数据包包括:

    • 进入或退出端口

    • 在 ACX7024、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上输入 VLAN

    • 退出 EX8200 交换机上的 VLAN

    通过设置比率指定数据包的样本数。您可以将示例发送至本地分析器端口或分析器 VLAN。

  • Policy-based sample-您可以镜像基于策略的进入端口或 VLAN 的数据包样本。您可以配置 防火墙过滤器 以建立策略以选择要镜像的数据包。您可以将示例发送到本地分析器端口或分析器 VLAN。

ACX7024、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机的配置准则

配置端口镜像时,我们建议您遵循某些准则,以确保从端口镜像功能中获得最佳优势。此外,我们建议您在不使用端口镜像时禁用端口镜像,并且选择必须镜像数据包的特定接口(即选择特定接口作为分析器的输入),而不是使用 all 可在所有接口上启用端口镜像并影响整体性能的关键词。您还可以通过使用统计抽样、设置一个比率以选择统计样本或使用防火墙过滤器来限制镜像流量。仅镜像必要的数据包可减少任何潜在的性能影响。

借助本地端口镜像,来自多个端口的流量将复制到分析器输出接口。如果分析器的输出接口达到容量,将丢弃数据包。因此,在配置分析器时,必须考虑镜像的流量是否超过分析器输出接口的容量。

注: 说明中的“所有其他交换机”或“所有交换机”适用于支持端口镜像的所有交换机平台。有关平台支持的详细信息,请参阅 功能浏览器
表 3: 配置准则

指引

说明

评论

可用作分析器的入口输入的 VLAN 数
  • 16 个入口或 8 个入口和 8 个出口 — ACX7024 设备

    1 —EX2200 交换机

  • 256 — EX3200、EX4200、EX4500、EX4550 和 EX6200 交换机

  • 不适用 — EX8200 交换机

  

您可以同时启用的分析器数(适用于独立交换机和虚拟机箱)

  • 1 — EX2200、EX3200、EX4200、EX3300 和 EX6200 交换机

  • 7 个基于端口或 1 个全局 — EX4500 和 EX4550 交换机

  • 共 7 个,其中一个基于 VLAN、防火墙过滤器或 LAG,其余 6 个基于防火墙过滤器 — EX8200 交换机

    注:

    使用防火墙过滤器配置的分析器不支持对出口端口的数据包进行镜像。

  • 您可以在交换机上 配置 超过指定数量的分析器,但只能为一个会话 启用 指定数量的分析器。用于 disable ethernet-switching-options analyzer name 禁用分析器。

  • 有关 EX4500 和 EX4550 交换机上允许的基于防火墙过滤器的分析器数例外,请参阅此表中的下一行条目。

  • 在 EX4550 虚拟机箱上,如果输入和输出定义中的端口位于虚拟机箱中的不同交换机上,则只能配置一个分析器。要配置多个分析器,必须在虚拟机箱的同一交换机上配置整个分析器会话。

可在 EX4500 和 EX4550 交换机上配置的基于防火墙过滤器的分析器数

  • 1 — EX4500 和 EX4550 交换机

如果配置了多个分析器,则无法将其中的任何一个连接到防火墙过滤器。

无法镜像流量的端口类型

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 路由的 VLAN 接口 (RVI)

  • VLAN 标记的第 3 层接口

  

如果将端口镜像配置为在 EX8200 交换机上镜像从 10 千兆以太网端口的数据包,则当镜像的数据包超过 10 千兆以太网端口流量的 60% 时,数据包将同时在网络和镜像流量中丢弃。

  • EX8200 交换机

  

您可以指定一个比率的流量方向

  • 仅限入口 — EX8200 交换机

  • 入口和出口 — 所有其他交换机

  

协议家族,您可以包含在基于防火墙过滤器的远程分析器中

  • 除 EX8200 inet6交换机外inet的任何交换机

  • 任意 — 所有其他交换机

您可以在本地分析器中的 EX8200 交换机上使用和inet6上。inet

您可以为基于防火墙过滤器的配置中的端口镜像而配置的流量方向

  • 仅入口 — 所有交换机

  

标记接口上的镜像数据包可能包含错误的 VLAN ID 或 Ethertype。

  • VLAN ID 和 Ethertype — EX2200 交换机

  • 仅 VLAN ID — EX3200 和 EX4200 交换机

  • 仅以太网 — EX4500 和 EX4550 交换机

  • 不适用 — EX8200 交换机

  

退出接口的镜像数据包不会反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

  • 所有交换机

  

分析器会将错误的 802.1Q (dot1q) 标头追加到路由流量上的镜像数据包,或者当属于路由 VLAN 接口 (RVI) 的出口 VLAN 配置为该分析器的输入时,分析器不会镜像路由流量上的任何数据包。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

作为应对方案,配置一个分析器,使用该 VLAN 的每个端口(成员接口)作为出口输入。

出现物理层错误的数据包不会发送至本地或远程分析器。

  • 所有交换机

带有这些错误的数据包被过滤掉,因此不会发送到分析器。

EX8200 交换机无法使用配置为 VLAN 的第 3 层接口上的端口镜像配置。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

  

端口镜像不支持线速流量。

  • 所有交换机

线速流量的端口镜像会尽力而为。

在 EX8200 虚拟机箱中,要跨虚拟机箱镜像流量,输出端口必须为 LAG。

  • EX8200 虚拟机箱

  • 不适用 — 所有其他交换机

在 EX8200 虚拟机箱中:

  • 您可以将 LAG 配置为仅适用于本机分析器的监控端口。

  • 您不能将 LAG 配置为基于防火墙过滤器的分析器的监控端口。

  • 如果分析器配置包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

在独立 EX8200 交换机中,您可以在输出定义中配置 LAG。

  • EX8200 独立交换机

  • 不适用 — 所有其他交换机

在 EX8200 独立交换机中:

  • 您可以在本机和基于防火墙的分析器上将 LAG 配置为监控端口。

  • 如果配置中包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

SRX 设备上的端口镜像

端口镜像会复制进入或退出端口的数据包,并将副本发送到本地接口进行监控。端口镜像用于将流量发送到用于分析流量的应用程序,例如监控合规性、执行策略、检测入侵、监控和预测流量模式、关联事件等。</para>< para>Port 镜像用于将所有数据包的副本或仅在端口上看到的取样数据包的副本发送到网络监控连接。您可以在传入端口(入口端口镜像)或传出端口(出口端口镜像)上镜像数据包。

端口镜像仅在具有以下 I/O 卡的 SRX 设备上受支持:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

在 SRX 设备上,通过 mirrored 端口的所有数据包都会被复制并发送到指定 mirror-to 端口。这些端口必须在 I/O 卡中的相同 Broadcom 芯片组 上。

在 SRX 设备上,端口镜像仅适用于物理接口。

了解第 2 层端口镜像

在包含互联网处理器 II ASIC 的路由平台和交换机上,您可以将来自路由平台或交换机的任何传入数据包的副本发送到外部主机地址或数据包分析器进行分析。这称为 端口镜像

在 Junos OS 9.3 及更高版本中,瞻博网络 MX 系列 5G 通用路由平台支持第 2 层桥接流量和虚拟专用 LAN 服务 (VPLS) 流量的 端口镜像

在 Junos OS 9.4 及更高版本中,第 2 层环境中的 MX 系列路由器支持通过透明连接同一类型的逻辑接口的电路交叉连接 (CCC) 为第 2 层 VPN 流量提供端口镜像。

在 Junos OS 12.3R2 版中,瞻博网络 EX 系列交换机支持第 2 层桥接流量的端口镜像。

通过层端口镜像,您可以指定监控指定端口的传入和传出数据包的方式,以及将选定数据包的副本转发到另一个目标,以便分析数据包。

MX 系列路由器和 EX 系列交换机支持第 2 层端口镜像,通过使用服务等级 (CoS) 架构执行流量监控功能,该架构在概念上与其他路由平台和交换机相似,但特别不同。

与 M120 多服务边缘路由器和 M320 多服务边缘路由器类似,MX 系列路由器和 EX 系列交换机支持同时镜像 IPv4、IPv6 和 VPLS 数据包。

在第 3 层环境中,MX 系列路由器和 EX 系列交换机支持 IPv4 (family inet) 和 IPv6 (family inet6) 流量的镜像。有关第 3 层端口镜像的信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南

2 层端口镜像属性

端口镜像 可以指定以下类型的属性:

数据包选择

第 2 层端口镜像的数据包选择属性指定如何选择取样数据包进行镜像:

  • 每个样本中的数据包数。

  • 要从每个示例镜像的数据包数。

  • 要截断镜像数据包的长度。

数据包地址族

数据包地址家族类型指定要镜像的流量类型。在第 2 层环境中,MX 系列路由器和 EX 系列交换机支持以下数据包地址家族的端口镜像:

  • 家族类型 ethernet-switching— 当物理接口配置封装类型 ethernet-bridge时,用于镜像 VPLS 流量。

  • 家族类型 ccc— 用于镜像第 2 层 VPN 流量。

  • 族类型 vpls— 用于镜像 VPLS 流量。

注:

在典型应用中,您将镜像的数据包直接发送到分析器,而不是其他路由器或交换机。如果必须通过网络发送镜像的数据包,则应使用隧道。对于第 2 层 VPN 实施,您可以使用第 2 层 VPN 路由实例类型 l2vpn 将数据包隧道传输至远程目标。

有关为第 2 层 VPN 配置路由实例的信息,请参阅 路由设备的 Junos OS VPN 库。有关第 2 层 VPN 的详细配置示例,请参阅 Junos OS。有关隧道接口的信息,请参阅 路由设备的 Junos OS 网络接口库

镜像目标属性

对于给定的数据包地址系列,第 2 层端口镜像实例的镜像目标属性指定了在特定物理接口上 发送所选数据包的方式:

  • 发送选定数据包的物理接口。

  • 是否对镜像目标接口禁用过滤器检查。默认情况下,所有接口均会启用过滤器检查。

    注:

    如果将过滤器应用于也是第 2 层端口镜像目标的接口,则提交失败,除非您禁用该镜像目标接口的过滤器检查。

镜像一次选项

如果在入口接口和出口接口上都启用了端口镜像,则可以阻止 MX 系列路由器和 EX 系列交换机向同一目标发送重复数据包(这会使镜像流量的分析复杂化)。

注:

镜像一次端口镜像选项是一个全局设置。该选项与数据包选择属性和数据包家族类型特定的镜像目标属性无关。

第 2 层端口镜像类型的应用

您可以将不同的第 2 层端口镜像属性集应用于 MX 系列或 EX 系列路由的不同入口或出口点的 VPLS 数据包。

表 4 介绍了可在 MX 系列路由器和 EX 系列交换机上配置的三种类型的第 2 层 端口镜像 ,即:全局实例、命名实例和防火墙过滤器。

表 4: 第 2 层端口镜像类型的应用

第 2 层端口镜像定义类型

应用点

镜像的范围

说明

配置详细信息

第 2 层端口镜像的全局实例

MX 系列路由器(或交换机)机箱中的所有端口。

MX 系列路由器(或交换机)机箱中所有端口上接收的 VPLS 数据包。

如果配置了,全局端口镜像属性将隐式应用于路由器(或交换机)机箱中所有端口上接收的所有 VPLS 数据包。

请参阅 配置第 2 层端口镜像的全局实例

第 2 层端口镜像的命名实例

在 FPC 级别分组的端口

请参阅 将第 2 层端口镜像绑定到在 FPC 级别分组的端口

在与特定 DPC 或 FPC 及其数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖由全局端口镜像实例配置的任何端口镜像属性。

请参阅 定义第 2 层端口镜像的命名实例

MX 系列路由器和 EX 系列交换机支持的端口镜像目的地数量仅限于路由器或交换机机箱中安装的 DPC 或 FPC 中包含的数据包转发引擎数量。

在 PIC 级别分组的端口

请参阅 将第 2 层端口镜像绑定到 PIC 级别分组的端口

在与特定数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖在 FPC 级别或全局端口镜像实例中配置的任何端口镜像属性。

2 层端口镜像防火墙过滤器

逻辑接口 (包括聚合以太网接口)

请参阅 将第 2 层端口镜像应用于逻辑接口

在逻辑接口上接收或发送的 VPLS 数据包。

防火墙过滤器 配置中,包括 actionaction-modifier 条款应用于所选用于镜像的数据包:

  • 建议 accept操作。

  • 修改 port-mirror 器将隐式引用当前绑定到底层物理接口的端口镜像属性。

  • port-mirror-instance pm-instance-name修改器显式引用端口镜像的命名实例。

  • (可选)仅对于隧道接口输入数据包,要将数据包镜像到其他目标,请包括 next-hop-group next-hop-group-name 修改器。此修改符引用指定下一跃点地址的下一跃点组(用于向分析器发送数据包的其他副本)。

请参阅 定义第 2 层端口镜像防火墙过滤器

注:

逻辑系统不支持第 2 层端口镜像防火墙过滤器。

有关将隧道接口输入数据包镜像到多个目标,另请参阅 为第 2 层端口镜像定义下一跃点组

VLAN 转发表或泛表

请参阅 将第 2 层端口镜像应用于转发或泛洪到网桥域的流量

转发或泛洪到 VLAN 的第 2 层流量

VPLS 路由实例转发表或泛洪表

请参阅 对转发或泛洪至 VPLS 路由实例的流量应用第 2 层端口镜像

转发或泛洪到 VPLS 路由实例的第 2 层流量

第 2 层端口镜像限制

以下限制适用于第 2 层 端口镜像

  • 只能镜像第 2 层传输数据(包含通过路由平台或交换机传输的数据块从源转发到目标的数据包)。第 2 层本地数据(包含路由引擎发往或由路由引擎发送的数据块的数据包,如第 2 层控制数据包)不会镜像。

  • 如果对 逻辑接口的输出应用端口镜像过滤器,则只会镜像单播数据包。要镜像广播数据包、组播数据包、具有未知目标媒体访问控制 (MAC) 地址的单播数据包,或者目标 MAC (DMAC) 路由表中有 MAC 条目的数据包,请对 VLAN 或虚拟专用 LAN 服务 (VPLS) 路由实例的输入信息表应用过滤器。

  • 镜像目标设备应位于专用 VLAN 上,不应参与任何桥接活动;镜像目标设备不应有到最终流量目标的网桥,并且镜像目标设备不应将镜像的数据包发送回源地址。

  • 对于全局端口镜像实例或命名端口镜像实例,您只能为每个端口镜像实例和数据包地址系列配置一个镜像输出接口。如果在语句下family (ethernet-switching | ccc | vpls) output包含多个语句,则上interfaceinterface个语句将被覆盖。

  • 逻辑系统不支持第 2 层端口镜像防火墙过滤。

    在第 2 层端口镜像 防火墙过滤器 定义中 action-modifier ,过滤器(port-mirrorport-mirror-instance pm-instance-name)依赖于在层次结构下配置的全局实例或第 2 层端口镜像的命名实例中 [edit forwarding-options port-mirroring] 定义的端口镜像属性。因此, term 过滤器无法支持逻辑系统的第 2 层端口镜像。

  • 对于第 2 层端口镜像防火墙过滤器,您可以通过包括 port-mirror 语句来隐式引用第 2 层端口镜像属性,如果第 2 层端口镜像的多个命名实例绑定到底层物理接口,则在逻辑接口上仅使用部分中的第一个绑定(或唯一绑定)。这样做是为了向后兼容。

  • 第 2 层端口镜像防火墙过滤器不支持使用下一跃点子组来均衡镜像流量负载。