在物理接口上配置端口镜像
物理接口上多级第 2 层端口镜像的优先级
您可以在 MX 系列路由器或 EX 系列交换机机箱的各个级别(机箱级别、FPC 级别或 PIC 级别)绑定不同的第 2 层端口镜像 属性集(全局实例和一个或多个命名实例)。因此,一组物理接口可以绑定到多个第 2 层端口镜像定义。
如果一组端口(或者在 MX960 路由器中的 PIC 级别绑定的情况下,为单个端口)绑定到多个第 2 层端口镜像定义,路由器(或交换机)将第 2 层端口镜像属性应用于这些端口,如下所示:
机箱级端口镜像属性隐式应用于机箱中的所有端口。如果 MX 系列路由器或 EX 系列交换机配置了全局端口镜像实例,则这些端口镜像属性将应用于所有端口。请参阅 配置第 2 层端口镜像的全局实例。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-global-instance-configuring.html
FPC 级别的端口镜像属性将覆盖机箱级别的属性。如果 DPC 或 FPC 绑定到端口镜像的命名实例,则这些端口镜像属性将应用于与该 DPC 或 FPC 关联的所有端口,并覆盖在机箱级别绑定的任何端口镜像属性。请参阅 将第 2 层端口镜像绑定到 FPC 级别分组的端口。将第 2 层端口镜像绑定到 FPC 级别分组的端口
PIC 级端口镜像属性将覆盖 FPC 级属性。如果数据包转发引擎或 PIC 绑定到端口镜像的命名实例,则这些端口镜像属性将应用于与数据包转发引擎或 PIC 关联的所有端口,覆盖在 FPC 级别绑定到这些端口的任何端口镜像属性。请参阅 将第 2 层端口镜像绑定到 PIC 级别分组的端口。将第 2 层端口镜像绑定到 PIC 级别分组的端口
将第 2 层端口镜像绑定到 FPC 级别分组的端口
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中的特定 DPC 或特定 FPC。这称为在路由器(或交换机)机箱的 FPC 级别绑定 第 2 层端口镜像的命名实例。命名实例中指定的端口镜像属性将应用于与指定 DPC 或 FPC 上的所有数据包转发引擎关联的所有物理端口。
您还可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中 DPC 或 FPC 上的特定数据包转发引擎。
适用于第 2 层端口镜像支持的任何数据包类型系列
绑定到特定 DPC 或 FPC 的端口镜像属性将覆盖在全局级别配置的任何端口镜像属性。
绑定到特定数据包转发引擎的端口镜像属性将覆盖在 DPC 或 FPC 级别配置的任何端口镜像属性。
您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个 DPC 或 FPC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。
在开始之前,请完成以下任务:
定义第 2 层端口镜像的命名实例。请参阅 定义第 2 层端口镜像的命名实例。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-named-instance-configuring.html
显示有关 MX 系列路由器和 EX 系列交换机中的 DPC 或 FPC 的数量和类型、每个交换机上的数据包转发引擎的数量以及每个数据包转发引擎的端口数量和类型的信息。
要将第 2 层端口镜像的命名实例绑定到 DPC 或 FPC 及其数据包转发引擎:
将第 2 层端口镜像绑定到 PIC 级别分组的端口
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到与特定数据包转发引擎关联的端口(在 DPC 上)或与特定 PIC 关联的端口(安装在 FPC 中)。这称为在路由器(或交换机)机箱的 PIC 级别绑定 第 2 层端口镜像的命名实例。命名实例中指定的端口镜像属性将应用于与指定数据包转发引擎关联的所有物理端口。
您还可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中的特定 DPC 或 FPC。
对于第 2 层端口镜像支持的任何数据包类型系列:
绑定到特定数据包转发引擎的端口镜像属性将覆盖在 DPC 或 FPC 级别配置的任何端口镜像属性。
绑定到特定 DPC 或 FPC 的端口镜像属性将覆盖在全局级别配置的任何端口镜像属性。
您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个数据包转发引擎或 PIC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。
对于 MX960 路由器,数据包转发引擎与以太网端口之间存在一对一映射。因此,只有在 MX960 路由器上,通过将第 2 层端口镜像的命名实例绑定到与该端口关联的数据包转发引擎,可以将该实例绑定到 特定端口 。
在开始之前,请完成以下任务:
定义第 2 层端口镜像的命名实例。请参阅 定义第 2 层端口镜像的命名实例。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-named-instance-configuring.html
显示有关 MX 系列路由器或 EX 系列交换机中的 DPC 数量和类型、每个 DPC 上的数据包转发引擎数量以及每个数据包转发引擎的端口数量和类型的信息。
要将第 2 层端口镜像的命名实例绑定到数据包转发引擎:
示例:机箱多个级别的第 2 层端口镜像
在 MX 系列路由器或 EX 系列交换机上,您可以在机箱的 FPC 或 DPC 级别或机箱的 PIC 级别应用第 2 层端口镜像的命名实例。但是,您只能配置(和隐式应用)一个第 2 层端口镜像的全局实例到整个机箱。
FPC 级别的第 2 层端口镜像
在此 MX 系列路由器或 EX 系列交换机机箱的配置示例中,第 2 层端口镜像 () 的命名实例绑定到在 FPC 级别分组的物理端口:pm1
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
}
}
这不是一个完整的配置。必须在层次结构级别配置 与插槽 2 中的 FPC 或 DPC 关联的物理接口。[edit interfaces] 必须在层次结构级别配置第 2 层端口镜像命名实例。pm1[edit forwarding-options port-mirroring instance]
PIC 级别的第 2 层端口镜像
在此 MX 系列路由器或 EX 系列交换机机箱的配置示例中,第 2 层端口镜像 () 的命名实例绑定到在 PIC 级别分组的物理端口:pm2
[edit]
chassis {
fpc 2 {
pic 0 {
port-mirror-instance pm2;
}
}
}
这不是一个完整的配置。必须在层次结构级别配置 与插槽 2 中的 FPC 或 DPC 关联的物理接口。[edit interfaces] 必须在层次结构级别配置第 2 层端口镜像命名实例。pm2[edit forwarding-options port-mirroring instance]
FPC 和 PIC 级别的第 2 层端口镜像
在此 MX 系列路由器机箱或 EX 系列交换机的配置示例中,在路由器(或交换机)机箱的 FPC 级别应用了第 2 层端口镜像 () 的一个命名实例。pm1 第二个命名实例 () 应用于 PIC 级别:pm2
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
pic 0 {
port-mirror-instance pm2;
}
}
}
这不是一个完整的配置。与插槽 2 中的 FPC 或 DPC 关联的物理接口(包括与 关联的 物理接口)必须在层次结构级别进行 配置。pic 0[edit interfaces] 第 2 层端口镜像命名实例 , 必须在层次结构级别进行 配置。pm1pm2[edit forwarding-options port-mirroring instance]
通过 GRE 接口配置第 2 层端口镜像
端口镜像是路由器将数据包副本发送到外部主机地址或数据包分析器进行分析的能力。一个用于端口镜像的应用程序将重复的数据包发送到虚拟隧道。然后,可以将下一跃点组配置为将此重复数据包的副本转发到多个接口。Junos OS 支持通过 GRE 接口将第 2 层端口镜像到远程收集器。
要通过 GRE 接口配置第 2 层端口镜像,请执行以下操作:
另请参阅
示例:通过 GRE 接口配置第 2 层端口镜像
此示例说明如何通过 GRE 接口配置第 2 层端口镜像以进行分析。
要求
此示例使用以下硬件和软件组件:
一台 MX 系列路由器
在所有设备上运行的 Junos OS 16.1 或更高版本
概述
端口镜像是路由器将数据包副本发送到外部主机地址或数据包分析器进行分析的能力。一个用于端口镜像的应用程序将重复的数据包发送到虚拟隧道。然后,可以将下一跃点组配置为将此重复数据包的副本转发到多个接口。从 Junos OS 16.1 版开始,支持通过 GRE 接口将第 2 层端口镜像到远程收集器。
拓扑
图 1 显示了通过 GRE 接口配置的端口镜像。接口 gr-4/0/0 配置为家庭网桥。防火墙家族网桥过滤器 f1 配置为端口镜像。镜像目标配置为 gr-4/0/0。防火墙家族网桥过滤器 f1 应用于 xe-3/2/5.0 接口的入口和出口,该接口将数据包镜像到镜像目标 gr-4/0/0。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
R0
set chassis fpc4 pic0 tunnel-services bandwidth 10g set chassis network-services enhanced-ip set interfaces xe-3/2/5 flexible-vlan-tagging set interfaces xe-3/2/5 encapsulation flexible-ethernet-services set interfaces xe-3/2/5 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/5 unit 0 vlan-id 100 set interfaces xe-3/2/5 unit 0 family bridge filter input f1 set interfaces xe-3/2/5 unit 0 family bridge filter output f1 set interfaces xe-3/2/9 flexible-vlan-tagging set interfaces xe-3/2/9 encapsulation flexible-ethernet-services set interfaces xe-3/2/9 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/9 unit 0 vlan-id 100 set interfaces gr-4/0/0 unit 0 tunnel source 10.1.1.1 set interfaces gr-4/0/0 unit 0 tunnel destination 10.1.1.2 set interfaces gr-4/0/0 unit 0 family bridge interface-mode trunk set interfaces gr-4/0/0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring input rate 1 set forwarding-options family vpls output interface gr-4/0/0.0 set firewall family bridge filter f1 term t then count c set firewall family bridge filter f1 term t then port-mirror set bridge-domains b vlan-id 100 set bridge-domains b interface xe-3/2/5.0 set bridge-domains b interface xe-3/2/9.0
配置 R0
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 Junos OS CLI 用户指南 中的“”。Using the CLI Editor in Configuration Mode
要配置设备 R0:
配置机箱的灵活 PIC 集中器参数。
[edit chassis] user@R0# set fpc4 pic0 tunnel-services bandwidth 10g user@R0# set network-services enhanced-ip
配置机箱的增强型 IP 网络服务。
[edit chassis] user@R0# set network-services enhanced-ip
配置接口。
[edit interfaces] user@R0# set xe-3/2/5 flexible-vlan-tagging user@R0# set xe-3/2/5 encapsulation flexible-ethernet-services user@R0# set xe-3/2/5 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/5 unit 0 vlan-id 100 user@R0# set xe-3/2/5 unit 0 family bridge filter input f1 user@R0# set xe-3/2/5 unit 0 family bridge filter output f1 user@R0# set xe-3/2/9 flexible-vlan-tagging user@R0# set xe-3/2/9 encapsulation flexible-ethernet-services user@R0# set xe-3/2/9 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/9 unit 0 vlan-id 100 user@R0# set gr-4/0/0 unit 0 tunnel source 10.1.1.1 user@R0# set gr-4/0/0 unit 0 tunnel destination 10.1.1.2 user@R0# set gr-4/0/0 unit 0 family bridge interface-mode trunk user@R0# set gr-4/0/0 unit 0 family bridge vlan-id 100
配置要采样的输入数据包的速率。
[edit forwarding-options] user@R0# set port-mirroring input rate 1
配置要镜像的数据包的 VPLS 地址族的输出接口。
[edit forwarding-options] user@R0# set family vpls output interface gr-4/0/0.0
为防火墙过滤器配置协议家族 BRIDGE。
[edit firewall] user@R0# set family bridge filter f1 term t then count c user@R0# set family bridge filter f1 term t then port-mirror
配置网桥域的 VLAN ID。
[edit bridge-domains] user@R0# set b vlan-id 100 user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
配置桥接域的接口。
[edit bridge-domains] user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
成果
在配置模式下,输入 、 、 和命令来确认您的配置。show bridge-domainsshow chassisshow forwarding-optionsshow firewallshow interfaces 如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。
user@R0# show chassis
fpc 4 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
network-services enhanced-ip;
user@R0# show interfaces
}
xe-3/2/5 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
family bridge {
filter {
input f1;
output f1;
}
}
}
}
xe-3/2/9 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
}
}
gr-4/0/0 {
unit 0 {
tunnel {
source 10.1.1.1;
destination 10.1.1.2;
}
family bridge {
interface-mode trunk;
vlan-id 100;
}
}
}
user@R0# show forwarding-options
port-mirroring {
input {
rate 1;
}
family vpls {
output {
interface gr-4/0/0.0;
}
}
}
user@R0# show firewall
family bridge {
filter f1 {
term t {
then {
count c;
port-mirror;
}
}
}
}
user@R0# show bridge-domains
b {
vlan-id 100;
interface xe-3/2/5.0;
interface xe-3/2/9.0;
}
验证
确认配置工作正常。
验证流量的端口镜像
目的
显示流量信息的端口镜像。
操作
在设备 R0 上,在操作模式下,运行 命令以显示流量信息的端口镜像。show forwarding-options port-mirroring
user@R0> show forwarding-options port-mirroring
Instance Name: & globalinstance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
Instance Name: pm_instance
Instance Id: 2
Input parameters:
Rate : 10
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0 意义
输出显示流量信息的端口镜像。