Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解端口镜像与分析器

端口镜像概述

端口镜像 与分析器将网络流量发送到运行分析器应用程序的设备。端口镜像将第 3 层 IP 流量复制到接口。分析器将桥接(第 2 层)数据包复制到接口。镜像的流量来源可以来自一个或多个接口。您可使用连接到运行分析器应用程序的镜像输出接口的设备来执行诸如监控合规性、实施策略、检测入侵、监控网络性能、将事件关联以及网络上其他问题等任务。

在包含互联网处理器 II 应用程序特定集成电路 (ASIC) 或 T Series 互联网处理器的路由器上,端口镜像可复制进入或退出端口或进入 VLAN 的单播数据包,并将这些副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。镜像的流量由可帮助您分析该流量的应用程序接收。

端口镜像与信息流采样不同。在信息流采样中,基于 IPv4 包头的采样密钥会发送至路由引擎,其中将密钥置于文件或 cflowd 中。基于该密钥的数据包将发送至 cflowd 服务器。在端口镜像中,整个数据包通过指定接口复制和发送,您可以在该接口中详细捕获和分析。

您可以配置信息流采样和端口镜像,为端口镜像的数据包设置独立的采样速率和运行长度。但是,如果数据包同时选择用于信息流采样和端口镜像,将仅执行端口镜像,因为它优先。换言之,如果配置接口以对接口的每路数据包输入进行信息流采样,并且端口镜像还会选择要复制的数据包并发送至目标端口,则只会执行端口镜像进程。未选择用于端口镜像的信息流采样数据包将继续采样并转发至 cflowd 服务器。

您可以使用端口镜像来复制:

  • 以任何组合方式进入或退出接口的所有数据包。进入某些接口的数据包和退出其他接口的数据包的副本可发送至同一本地接口或 VLAN。如果配置端口镜像以复制退出接口的数据包,则该交换机或节点设备上(QFabric 系统中)发起的信息流在出口时不会复制。只有交换流量会复制到出口。(请参阅下面的出口镜像限制。)

  • 进入 VLAN 的任何或所有数据包。不能使用端口镜像来复制退出 VLAN 的数据包。

  • 防火墙过滤的进入端口或 VLAN 的数据包样本。

    注意:

    出口端口不支持防火墙过滤器;不能为退出接口的数据包指定基于策略的采样。

分析器概述

您可配置分析器语句,以在同一分析器配置中定义输入流量和输出流量。要分析的流量可以是进入或退出接口的流量,或者是进入 VLAN 的流量。分析器配置允许您将此流量发送到输出接口、实例或 VLAN。您可以在 层次结构中配置 [edit forwarding-options analyzer] 分析器。

端口镜像术语

表 1 列出了文档中有关端口镜像的术语并提供定义。

表 1:端口镜像术语和定义
术语 定义

分析器实例

端口镜像配置,包括名称、源接口或源 VLAN,以及镜像数据包的目标(本地接口或 VLAN)。

端口镜像实例

注意:

两台设备不支持端口NFX150实例。

未指定输入的端口镜像配置。防火墙过滤器可用于将流量发送到端口镜像。使用 port-mirror-instance instance-name 防火墙过滤器配置中的操作将数据包发送到端口镜像。

输出接口(也称为监控接口)

数据包副本的发送位置以及运行分析器的设备要连接到的接口。

以下限制适用于输出接口(目标镜像接口):

  • 不能也是源端口。

  • 不能用于交换。

  • 不能是聚合以太网接口 (LAG)。

  • 无法参与生成树协议 (STP) 等第 2 层协议。

  • 当将端口镜像应用于接口时,现有 VLAN 关联将丢失。

  • 如果输出接口的容量不足以处理来自镜像源端口的信息流,数据包将丢失。

输出 IP 地址

运行分析器应用程序的设备的 IP 地址。设备可以位于远程网络上。

使用此功能时:

  • 镜像的数据包经过 GRE 封装。分析器应用程序必须能够解封装 GRE 封装的数据包或 GRE 封装的数据包必须解封装,才能到达分析器应用程序。(您可以使用网络探测器对数据包进行解封装。)

  • 输出 IP 地址不能与任何交换机管理接口在同一子网中。

  • 如果创建虚拟路由实例和包括输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

输出 VLAN(也称为监控或分析器 VLAN)

将数据包的副本发送至与运行分析器的设备连接的 VLAN。分析器 VLAN 可以跨越多个交换机。

以下限制适用于输出 VLAN:

  • 不能是专用 VLAN 或 VLAN 范围。

  • 不能由多个语句 analyzer 共享。

  • 不能是任何其他 VLAN 的成员。

  • 不能是聚合以太网接口 (LAG)。

  • 在某些交换机上,只有一个接口成为分析器 VLAN 的成员。此限制不适用于 QFX10000 交换机。镜像 入口流量 时,多个QFX10000接口可属于输出 VLAN,并且流量从所有这些接口镜像。如果 出口流量 镜像到 QFX10000交换机上,则只有一个接口可成为分析器 VLAN 的成员。

输入接口(也称为镜像或监控接口)

将信息流复制到镜像接口的接口。此流量可以进入或退出(入口或出口)接口。镜像的输入接口不能用作分析器设备的输出接口。

监控站

运行分析器应用程序的计算机。

本地端口镜像

一种端口镜像配置,镜像的数据包将复制到同一交换机上的接口。

远程端口镜像

镜像的数据包将发送至您创建的输出(分析器)VLAN,以接收镜像信息流或远程 IP 地址。(不能将镜像的数据包发送到 QFabric 系统上的远程 IP 地址。)

基于策略的镜像

镜像与防火墙过滤器术语匹配的数据包。操作 analyzer analyzer-name 在防火墙过滤器中用于将指定数据包发送到分析器。

端口镜像实例类型

要配置端口镜像,请配置以下类型之一的实例:

  • 分析器实例 — 指定实例的输入和输出。此实例类型有助于确保镜像所有通过接口或进入 VLAN 的流量并发送至分析器。

  • 端口镜像实例 — 您创建防火墙过滤器,用于识别所需流量并复制到镜像端口。您不为此实例类型指定输入。此实例类型可用于控制镜像的流量类型。您可以通过以下方式将流量引导至流量:

    • 在定义了多个端口镜像实例时,使用操作指定防火墙过滤器中的端口 port-mirror-instance instance-name 镜像实例名称。

    • 在定义了一个端口镜像实例时,使用操作将镜像的数据包发送到实例中 port-mirror 定义的输出接口。

端口镜像和 STP

端口镜像配置中的 STP 行为取决于使用的Junos OS版本:

  • Junos OS 13.2X50、Junos OS 13.2X51-D25 或更早版本,Junos OS 13.2X52: 启用 STP 时,端口镜像可能无法成功,因为 STP 可能会阻止镜像的数据包。

  • Junos OS 13.2X51-D30,Junos OS 14.1X53: 镜像的流量将禁用 STP。您必须确保您的拓扑防止此流量出现环路。

端口镜像性能限制

仅镜像分析所需的数据包可减少降低整体性能的可能性。如果镜像来自多个端口的流量,镜像的流量可能会超过输出接口的容量。溢流数据包将丢弃。建议通过选择特定接口来限制镜像的流量,并避免使用 all 关键字。您还可以使用防火墙过滤器将特定流量发送到端口镜像实例,以限制镜像的流量量。

本地和远程端口镜像限制和限制

下列限制和限制适用于本地和远程端口镜像:

  • 总共可以创建四个端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多四种配置可用于本地端口镜像。

    • 最多三种配置可用于远程端口镜像。

  • 无论您是配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果配置防火墙过滤器将镜像的流量发送到端口,此流量将视为应用了过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,镜像会话总数没有系统级限制。

  • 一个端口镜像配置中只能配置一种输出类型来完成 set analyzer name output 语句:

    • interface

    • ip-address

    • vlan

  • 为同一物理接口在一个逻辑接口上配置镜像 set forwarding-options analyzer (使用 )。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置第一个逻辑接口;剩余逻辑接口将返回配置错误。

  • 如果镜像出口数据包,请勿在独立交换机或 QFabric 系统中配置超过 2000 个 VLAN。如果已配置,则某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于任何 VLAN 数据包,而非仅应用于镜像的副本。

  • ratio不支持 loss-priority 和 选项。

  • 具有物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果您使用 sFlow 监控对信息流进行采样,当镜像副本退出输出接口时,它不会对镜像副本进行取样。

  • 不能对退出或进入以下端口的数据包进行镜像:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或RVIS)

  • 如果输入为 VLAN,或者信息流使用防火墙过滤器发送至分析器,则聚合以太网接口不能是输出接口。

  • 镜像的数据包从输出接口发出时,不会为应用于出口原始数据包的任何更改(例如重写)CoS修改。

  • 一个接口可以是只有一个镜像配置的输入接口。不要将同一个接口用于多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能镜像到出口上。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅 QFabric 系统)如果配置 QFabric 分析器来镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像的备份将具有错误的 VLAN ID。

    如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口在同一节点设备上,则此限制不适用。在这种情况下,镜像的副本将具有正确的 VLAN ID(只要在 QFabric 系统中配置 VLAN 不超过 2000 个)。

  • 真正的出口镜像定义为镜像出出口端口的确切副本数和确切数据包修改。由于 QFX5xxx(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机上的处理器在入口管道中实施出口镜像,因此出口镜像流量不提供准确的出口数据包修改,因此出口镜像流量可能携带与原始流量中标记不同的错误 VLAN 标记。

  • 如果配置端口镜像实例以镜像退出执行 VLAN 封装的接口的流量,则镜像数据包的来源和目标 MAC 地址与原始数据包不相同。

  • 不支持在 LAG 的成员接口上镜像。

  • 不支持出口 VLAN 镜像。

远程端口镜像限制和限制

以下限制和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,该地址不能与任何交换机管理接口在同一子网中。

  • 如果创建虚拟路由实例并创建包括输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

  • 输出 VLAN 不能是专用 VLAN 或 VLAN 范围。

  • 输出 VLAN 不能由多个语句 analyzer 共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 具有多个成员接口,则信息流仅镜像到 VLAN 的第一个成员,并且同一 VLAN 的其他成员不承载任何镜像的流量。

  • 如果您尝试配置多个分析器会话以将远程端口镜像到 IP 地址(GRE 封装),并且分析器的 IP 地址可以通过同一个接口到达,则仅配置了一个分析器会话。

  • 在 QFX5K 系列中的交换机之间,远程端口镜像中可能的输出接口数量各不相同:

    • QFX5110、QFX5120、QFX5210 — 支持最多 4 个输出接口

    • QFX5100和QFX5200 — 最多支持 3 个输出接口。

  • 只要从该 VLAN 中移除远程端口镜像 VLAN 中的任意成员,请重新配置该 VLAN 的分析器会话。