配置端口镜像实例
2 层 端口镜像全局实例
在 MX 系列路由器和 EX 系列交换机上,您可以配置一组端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中所有端口上接收的数据包。这组端口镜像属性是路由器或交换机的第 2 层 端口镜像的全局 实例。
在全局实例配置中,您可以为第 2 层 端口镜像支持的每个数据包地址族指定一组镜像目标属性。
有关第 2 层 端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。如需比较 MX 系列路由器和 EX 系列交换机上可用的第 2 层 端口镜像类型,请参阅第 2 层端口镜像类型的应用。
配置第 2 层 端口镜像的全局实例
在 MX 系列路由器和 EX 系列交换机上,您可以配置一组第 2 层 端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中所有端口上接收的数据包。
要在 MX 系列路由器和 EX 系列交换机上配置第 2 层 端口镜像的全局实例:
2 层 端口镜像命名实例
本文介绍以下内容:
第 2 层 端口镜像命名实例概述
在 MX 系列路由器和 EX 系列交换机上,您可以定义一组端口镜像属性,这些属性可以显式绑定到路由器或交换机上的物理端口。这组 端口镜像 属性称为第 2 层 端口镜像的 命名实例 。
您可以将第 2 层 端口镜像的命名实例绑定到与MX 系列路由器或 EX 系列交换机的数据包转发引擎组件相关联的物理端口,这些端口位于路由器(或交换机)机箱的不同级别:
在 FPC 级别 — 您可以将命名实例绑定到与特定密集端口集中器 (DPC) 关联的物理端口,或绑定到与特定灵活端口集中器 (FPC) 关联的物理端口。
在 PIC 级别 — 您可以将端口镜像的命名实例绑定到特定数据包转发引擎(在特定 DPC 上)或特定 PIC。
MX 系列路由器支持 DPC 以及 FPC 和 PIC。与 FPC 不同,DPC 不支持 PIC。但是,在 Junos OS CLI 中,您可以使用 FPC 和 PIC 语法来配置或显示有关 DPC 和 DPC 上的数据包转发引擎的信息。
以下几点总结了基于命名实例的第 2 层 端口镜像的行为:
数据包选择的范围由绑定目标决定 — 在绑定到第 2 层 端口镜像的命名实例的端口(或端口)上,路由器或交换机根据命名实例中的数据包选择属性选择输入数据包。
所选数据包的目标由数据包地址族决定 — 在所选数据包中,路由器或交换机仅镜像属于地址族的数据包,第 2 层端口镜像的命名实例为其指定了一组镜像目的属性。在第 2 层 环境中,MX 系列路由器和 EX 系列交换机支持 VPLS(
family ethernet-switchingfamily vpls或 )流量和第 2 层 VPN 流量的family ccc端口镜像。
有关第 2 层 端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。如需比较 MX 系列路由器和 EX 系列交换机上可用的第 2 层 端口镜像类型,请参阅第 2 层端口镜像类型的应用。
在 FPC 级别分组的端口进行镜像
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层 端口镜像的命名实例绑定到安装在路由器(或交换机)机箱中的特定 DPC 或 FPC。实例中的端口镜像属性将应用于指定 DPC 上的所有数据包转发引擎(及其关联端口)或安装在指定 FPC 中的所有 PIC(及其关联端口)。绑定到 DPC 或 FPC 的端口镜像属性将覆盖在全局级别或 MX 系列路由器(或交换机)机箱绑定的任何端口镜像属性。
在 PIC 级别分组的端口进行镜像
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层 端口镜像的命名实例绑定到特定的数据包转发引擎或 PIC。该实例中的端口镜像属性将应用于与指定数据包转发引擎或 PIC 关联的所有端口。绑定到数据包转发引擎或 PIC 的端口镜像属性会覆盖绑定在包含它们的 DPC 或 FPC 上的任何端口镜像属性。
对于 MX960 路由器,数据包转发引擎到以太网端口的一对一映射。因此,只有在 MX960 路由器上,您才能配置端口镜像实例的特定端口绑定。
在绑定到多个命名实例的一组端口上进行镜像
在 MX 系列路由器和 EX 系列交换机上,您最多可以将两个指定的第 2 层 端口镜像实例应用到路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于相同的 DPC、FPC、数据包转发引擎或 PIC,您可以将两个不同的第 2 层 端口镜像规范绑定到一组端口。
您只能在 MX 系列路由器和 EX 系列交换机上配置一个第 2 层 端口镜像全局实例。
通过配置内联端口镜像,可以为每个 FPC 配置两个以上的端口镜像实例。有关内联端口镜像的信息,请参阅 配置内联端口镜像。
定义第 2 层端口镜像的命名实例
在 MX 系列路由器和 EX 系列交换机上,您可以定义一组第 2 层 端口镜像属性,这些属性可以绑定到特定的数据包转发引擎(在路由器或交换机机箱的 PIC 级别)或一组数据包转发引擎(在机箱的 DPC 或 FPC 级别)。
要在 MX 系列路由器或 EX 系列交换机上定义第 2 层 端口镜像的命名实例:
禁用第 2 层 端口镜像实例
您可以禁用第 2 层 端口镜像的全局实例、特定的命名实例或所有端口镜像实例:
要禁用第 2 层 端口镜像的全局实例,请在层次结构级别包含
[edit forwarding-options port-mirroring]以下disable语句:[edit] forwarding-options { port-mirroring { disable; Disables the global instance of Layer 2 port mirroring. ...global-instance-of-layer-2-port-mirroring-configuration... } }
要禁用第 2 层 端口镜像的特定命名实例的定义,请在层次结构级别包含
[edit forwarding-options port-mirroring instance instance-name]以下disable语句:[edit] forwarding-options { port-mirroring { ...optional-configuration-of-the-global-instance-of-layer-2-port-mirroring... instance { port-mirroring-instance-name { disable; Disables this named instance of Layer 2 port mirroring. ...definition-of-a-named-instance-of-layer-2-port-mirroring... } } } }
要禁用第 2 层 端口镜像的全局实例和所有命名实例,请在
[edit forwarding-options port-mirroring]层次结构级别包含以下disable-all-instances语句:[edit] forwarding-options { port-mirroring { disable-all-instances; Disables all instances of Layer 2 port mirroring. ...optional-configuration-of-the-global-instance-of-layer-2-port-mirroring... instance { port-mirroring-instance-name { ...definition-of-a-named-instance-of-layer-2-port-mirroring... } } } }
配置内联端口镜像
借助内联端口镜像,您可以在防火墙过滤器 then port-mirror-instance 操作中指定未绑定到灵活 PIC 集中器 (FPC) 的实例。这样,每个 FPC 就不再局限于两个端口镜像实例。内联端口镜像将端口镜像目标与输入参数(如 rate)分离。当输入参数在交换机接口板中编程时,镜像数据包的下一跳目的地在数据包本身中可用。只有基于 Trio 的模块化端口集中器 (MPC) 才支持内联端口镜像。
使用内联端口镜像,端口镜像实例将可以选择从指定该参数的另一个实例继承输入参数,如以下 CLI 配置示例所示:
instance pm2 {
+ input-parameters-instance pm1;
family inet {
output {
interface ge-1/2/3.0 {
next-hop 192.0.2.10;
}
}
}
}
不允许多级继承。一个实例可以被多个实例引用。实例可以引用在其之前定义的另一个实例。不允许前向引用,实例也不能引用自身,这样做会导致配置解析时出错。
用户可以在防火墙过滤器中指定未绑定到 FPC 的实例。指定的筛选器应继承已绑定到 FPC 的两个实例之一。否则,则不会将数据包标记为端口镜像。如果是这样,则将使用引用实例指定的输入参数对数据包进行采样,但副本将发送到其自己的目的地。