Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置端口镜像实例

第 2 层端口镜像全局实例

在 MX 系列路由器和 EX 系列交换机上,您可以配置一组端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中的所有端口上接收的数据包。这组端口镜像属性是路由器或交换机第 2 层端口镜像全局实例

在全局实例配置中,您可以为第 2 层端口镜像支持的每个数据包地址系列指定一组镜像目标属性。

有关第 2 层端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。第 2 层端口镜像属性有关 MX 系列路由器和 EX 系列交换机上可用的第 2 层端口镜像类型的比较,请参阅 第 2 层端口镜像类型的应用。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html

配置第 2 层端口镜像的全局实例

在 MX 系列路由器和 EX 系列交换机上,您可以配置一组第 2 层端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中的所有端口上接收的数据包。

要在 MX 系列路由器和 EX 系列交换机上配置第 2 层端口镜像的全局实例,请执行以下操作:

  1. 启用第 2 层端口镜像的配置:
  2. 启用数据包选择属性的配置:
  3. 指定全局级别的数据包选择属性。

    1. 指定要选择的数据包数:

      有效范围为 1 到 65535。


    2. 指定要从每个选择镜像的数据包数:

      有效范围为 0 到 20。默认值为 0。


    3. 指定镜像数据包的截断长度:

      有效范围为 0 到 9216。默认值为 0,表示镜像数据包不会被截断。

  4. 指定要从中选择流量进行镜像的全局级别第 2 层地址类型族:

    选项的值 可以是 、 或 。familyethernet-switchingcccvpls

    注:

    在 层次结构级别下,协议族语句 是 的 别名。[edit forwarding-options port-mirroring]family ethernet-switchingfamily vpls 命令行界面 (CLI) 将第 2 层端口镜像配置 显示为 ,即使对于配置为 的第 2 层端口镜像也是如此。family vplsfamily ethernet-switching 在物理接口配置了 时使用。family ethernet-switchingencapsulation ethernet-bridge

  5. 启用此地址族的全局级镜像目标属性配置:
  6. 指定此地址族的全局级镜像目标属性。

    1. 指定要在其上发送镜像数据包的物理接口:

      您还可以将集成路由和桥接 (IRB) 接口指定为输出接口。


    2. (可选)允许在目标接口上为命名端口镜像实例配置过滤器:

  7. (可选)指定为镜像选择的任何数据包仅镜像一次到任何镜像目标:
    提示:

    当 MX 系列路由器或 EX 系列交换机配置为在入口和出口接口上执行第 2 层端口镜像时,启用该选项,这可能会导致向同一目标发送重复数据包(这将使镜像流量的分析复杂化)。mirror-once

  8. 验证第 2 层端口镜像的全局实例的最低配置:

第 2 层端口镜像命名实例

本主题介绍以下信息:

第 2 层端口镜像命名实例概述

在 MX 系列路由器和 EX 系列交换机上,您可以定义一组端口镜像属性,您可以将这些属性显式绑定到路由器或交换机上的物理端口。这组 端口镜像 属性称为第 2 层端口镜像的 命名实例

您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱不同级别的与 MX 系列路由器或 EX 系列交换机的数据包转发引擎组件关联的物理端口:

  • 在 FPC 级别 — 可以将命名实例绑定到与特定密集端口集中器 (DPC) 关联的物理端口或与特定灵活端口集中器 (FPC) 关联的物理端口。

  • 在 PIC 级别 — 您可以将端口镜像的命名实例绑定到特定数据包转发引擎(在特定 DPC 上)或特定 PIC。

注:

MX 系列路由器支持 DPC 以及 FPC 和 PIC。与 FPC 不同,DPC 不支持 PIC。但是,在 Junos OS CLI 中,您可以使用 FPC 和 PIC 语法来配置或显示有关 DPC 和 DPC 上的数据包转发引擎的信息。

以下几点总结了基于命名实例的第 2 层端口镜像的行为:

  • 数据包选择的范围由绑定目标决定 — 在绑定到第 2 层端口镜像的命名实例的端口(或端口)上,路由器或交换机根据命名实例中的数据包选择属性选择输入数据包。

  • 所选数据包的目标由数据包地址族决定 — 在所选数据包中,路由器或交换机仅镜像属于某个地址族的数据包,第 2 层端口镜像的命名实例为其指定了一组镜像目标属性。在第 2 层环境中,MX 系列路由器和 EX 系列交换机支持使用 VPLS(或)流量和第 2 层 VPN 流量的端口镜像。family ethernet-switchingfamily vplsfamily ccc

有关第 2 层端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。第 2 层端口镜像属性有关 MX 系列路由器和 EX 系列交换机上可用的第 2 层端口镜像类型的比较,请参阅 第 2 层端口镜像类型的应用。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html

在 FPC 级别分组的端口上进行镜像

在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中安装的特定 DPC 或 FPC。实例中的端口镜像属性将应用于指定 DPC 上的所有数据包转发引擎(及其关联端口)或指定 FPC 中安装的所有 PIC(及其关联端口)。绑定到 DPC 或 FPC 的端口镜像属性将覆盖在全局级别或 MX 系列路由器(或交换机)机箱绑定的任何端口镜像属性。

在 PIC 级别分组的端口上进行镜像

在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到特定的数据包转发引擎或 PIC。该实例中的端口镜像属性将应用于与指定的数据包转发引擎或 PIC 关联的所有端口。绑定到数据包转发引擎或 PIC 的端口镜像属性将覆盖在包含这些属性的 DPC 或 FPC 上绑定的任何端口镜像属性。

注:

对于 MX960 路由器,数据包转发引擎与以太网端口之间存在一对一映射。因此,只能在 MX960 路由器上配置端口镜像实例的特定于端口的绑定。

在绑定到多个命名实例的一组端口上进行镜像

在 MX 系列路由器和 EX 系列交换机上,您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个 DPC、FPC、数据包转发引擎或 PIC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。

注:

您只能在 MX 系列路由器和 EX 系列交换机上配置一个第 2 层端口镜像的全局实例。

注:

通过配置内联端口镜像,可以为每个 FPC 配置两个以上的端口镜像实例。有关内联端口镜像的信息,请参阅 配置内联端口镜像。配置内联端口镜像

定义第 2 层端口镜像的命名实例

在 MX 系列路由器和 EX 系列交换机上,您可以定义一组第 2 层端口镜像属性,您可以将这些属性绑定到特定数据包转发引擎(在路由器或交换机机箱的 PIC 级别)或一组数据包转发引擎(在机箱的 DPC 或 FPC 级别)。

要在 MX 系列路由器或 EX 系列交换机上定义第 2 层端口镜像的命名实例,请执行以下操作:

  1. 启用第 2 层端口镜像的命名实例的配置:
  2. 启用数据包采样属性的配置:
  3. 指定数据包选择属性:

    1. 指定要选择的数据包数:

      有效范围为 到 。165535


    2. 指定要从每个选择镜像的数据包数:

      有效范围为 到 。020 默认值为 。0

      注:

      MX80 路由器不支持该 语句。run-length


    3. 指定镜像数据包的截断长度:

      有效范围为 到 。09216 默认值为 ,表示不会截断镜像的数据包。0

      注:

      MX80 路由器不支持该 语句。maximum-packet-length

  4. 为属于桥接域、第 2 层交换交叉连接或虚拟专用 LAN 服务 (VPLS) 的第 2 层数据包启用镜像目标属性配置:

    1. 指定要镜像的流量的第 2 层地址族类型:

      选项的值 可以是 、 或 。familyethernet-switchingcccvpls

      注:

      在 层次结构级别下,协议族语句 是 的 别名。[edit forwarding-options port-mirroring]family ethernet-switchingfamily vpls 命令行界面 (CLI) 将第 2 层端口镜像配置 显示为 ,即使对于配置为 的第 2 层端口镜像也是如此。family vplsfamily ethernet-switching 在物理接口配置了 时使用。family ethernet-switchingencapsulation ethernet-bridge


    2. 启用镜像目标属性的配置:

  5. 指定镜像目标属性。

    1. 指定要在其上发送镜像数据包的物理接口:


    2. (可选)允许在全局端口镜像实例的目标接口上配置过滤器:

      注:

      您无法在 MX80 路由器上配置端口镜像实例。您只能在 MX80 路由器上配置全局级别的端口镜像。

  6. (可选)指定为镜像选择的任何数据包仅镜像一次到任何镜像目标:
    提示:

    当 MX 系列路由器或 EX 系列交换机配置为在入口和出口接口执行第 2 层端口镜像时,启用全局 选项,这可能会导致向同一目标发送重复数据包(这反过来会使镜像流量的分析复杂化)。mirror-once

  7. 要为不同的数据包家族类型配置镜像目标,请重复步骤 4 到 6。
  8. 验证第 2 层端口镜像的命名实例的最低配置:

禁用第 2 层端口镜像实例

您可以禁用第 2 层端口镜像的全局实例、特定命名实例或端口镜像的所有实例:

配置内联端口镜像

内联端口镜像使您能够在防火墙过滤器 操作中指定未绑定到灵活 PIC 集中器 (FPC) 的实例。then port-mirror-instance 这样,您就不限于每个 FPC 只能有两个端口镜像实例。内联端口镜像将端口镜像目标与输入参数(如 )分离。rate 虽然输入参数在交换机接口板中编程,但镜像数据包的下一跳目标在数据包本身中可用。内联端口镜像仅在基于 Trio 的模块化端口集中器 (MPC) 上受支持。

使用内联端口镜像,端口镜像实例可以选择从指定它的另一个实例继承输入参数,如以下 CLI 配置示例所示:

不允许多级继承。一个实例可以由多个实例引用。一个实例可以引用在其之前定义的另一个实例。不允许前向引用,实例不能引用自身,这样做会导致配置解析过程中出错。

用户可以在防火墙过滤器中指定未绑定到 FPC 的实例。指定的筛选器应继承已绑定到 FPC 的两个实例之一。否则,不会将数据包标记为端口镜像。如果是这样,则将使用引用实例指定的输入参数对数据包进行采样,但副本将发送到其自己的目标。