配置端口镜像
端口镜像 是路由器将 IPv4 或 IPv6 数据包的副本发送到外部主机地址或数据包分析器进行分析的能力。
请参阅 功能浏览器 ,了解支持端口镜像的受支持平台和 Junos 版本的最新列表。
本主题配置端口镜像涉及 MX 系列和 PTX 系列路由器以及 EX9200 交换机上的端口镜像。有关特定配置差异,请参阅与这些平台上的端口镜像相关的示例,例如: 在 PTX 路由器上配置远程端口镜像和示例:在 M、MX 和 T Series 路由器上使用下一跳组配置多端口镜像。
端口镜像不同于流量采样。在流量采样中,基于数据包标头的采样密钥被发送到路由引擎。在那里,可以将密钥放入文件中,或者可以将基于密钥的 cflowd 数据包发送到 cflowd 服务器。在端口镜像中,整个数据包被复制并通过下一跃点接口发送出去。
在本文档中,我们将使用 术语“镜像数据包 ”而不是 “采样数据包 ”。端口镜像是采样的一种。
端口镜像的一个应用会将重复的数据包发送到虚拟隧道。然后可以配置下一跃点组,将此重复数据包的副本转发到多个接口。有关下一跳组的更多信息,请参阅 配置下一跳组以使用多个接口转发端口镜像中使用的数据包。
所有 MX 系列 5G 通用路由平台都支持 IPv4 或 IPv6 的端口镜像。
MX 系列路由器支持 VPLS 流量的端口镜像。
MX 系列路由器上的第 2 层流量支持端口镜像。有关如何为第 2 层流量配置端口镜像的信息,请参阅 网络管理和监控指南。
在 MX 系列路由器上的 MPC 中,GRE 和 MPLS 报头信息不包含在通过 IP-GRE 隧道传输的 MPLS 数据包对应的端口镜像流量中。
配备第一代线卡(LC1101、LC1102、LC1104 和 LC1105)的 PTX1K、PTX10002、PTX5K、PTX3K 和 PTX10K 平台不支持出口端口镜像。
端口镜像配置准则
配置端口镜像时,应注意以下限制:
-
仅支持传输数据。
-
端口镜像输出接口 MTU 值应足够大,以容纳镜像数据包。
-
独立中继端口不支持用作 MX 系列路由器和 EX9200 交换机的端口镜像输出接口。如果要将中继端口用作镜像输出端口,则必须使用网桥域 (MX) 或 VLAN (EX) 作为端口镜像输出,然后将中继端口连接到相应的网桥域或 VLAN 作为输出端口。
-
您可以在 MX 系列路由器上同时为 IPv4 和 IPv6 配置端口镜像。
-
链路服务 IQ (lsq-) 接口不支持入口和出口方向的端口镜像。
-
MX 系列路由器中的所有密集端口集中器 (DPC) 均支持对组播数据包进行入口过滤。MX 系列路由器中的 MPC 上的接口支持对组播数据包进行出口过滤。MX 系列 路由器中基于 I 芯片 ASIC 的 DPC 上的接口不支持基于目标地址过滤组播数据包。
对于第 3 层端口镜像(
family inet和family inet6),如果要镜像的流量是组播的(换句话说,如果数据包的目标 IP 地址是组播地址),则镜像副本中的目标 MAC 地址对应于此组播目标 IP 地址,而不是配置中[edit forwarding-options port-mirroring family (inet | inet6) output]指定的单播 MAC 地址。 -
默认情况下,防火墙过滤器不能应用于端口镜像目标接口。要启用端口镜像目标接口以支持防火墙过滤器,请使用该语句对
no-filter-check接口禁用过滤器检查。您可以在以下层级包含该no-filter-check语句:-
[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output] -
[edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
-
-
您必须在入站接口上为
accept作和port-mirror作修饰符添加防火墙过滤器。 -
您为端口镜像配置的接口不应参与任何类型的路由活动。
-
您指定的目标地址不应包含到最终流量目标的路由。例如,如果镜像 IPv4 数据包的目标地址为 ,
192.68.9.10并且端口镜像流量被发送到192.68.20.15进行分析,则与后一个地址关联的设备不应知道到192.68.9.10的路由。此外,它不应将镜像数据包发送回源地址。 -
MX 系列路由器支持每台路由器多个端口镜像接口,路由器支持多个端口镜像接口。
-
您可以在 MX 系列路由器上配置多个端口镜像实例。
-
您可以在同一配置中同时指定主机 (cflowd) 采样和端口镜像。您可以同时执行路由引擎采样和端口镜像作。但是,您不能同时执行 PIC 采样和端口镜像作。
-
在典型应用中,将镜像数据包发送到分析器或工作站进行分析,而不是发送到其他路由器。如果必须通过网络发送此流量,则应使用隧道。
-
在支持端口镜像的 PTX 系列路由器上,如果数据包长度超过配置的最大数据包长度,IPv4 数据包将被丢弃。
在配置了 or作的port-mirror-instance防火墙过滤器中,如果还配置了作,则l2-mirror端口镜像实例家族应为 any。port-mirror在没有l2-mirror作的情况下,端口镜像实例家族应为防火墙过滤器家族。
在以下示例中, port-mirroring instance pm1 是 inet,即防火墙过滤器系列,并且因为 l2-mirror 不存在作。
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family inet output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then accept
在以下示例中,由于 action 也与 action 一起port-mirror-instance存在,port-mirroring instance pm1 family因此 l2-mirror 是 any。
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family any output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then l2-mirror set firewall family inet filter f1 term t1 then accept
配置端口镜像
要配置端口镜像,请在[edit forwarding-options]层次结构级别包含以下port-mirroring语句:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
配置端口镜像地址族和接口
要配置端口镜像,请包含该 port-mirroring 语句。要配置要镜像的流量地址族类型,请包含该 family 语句。要配置镜像数据包的采样速率、采样长度和最大大小,请包含该 input 语句。要指定在哪个接口上发送重复数据包以及要发送数据包的下一跳地址,请包含该 output 语句。要确定指定接口上是否存在任何过滤器,请包含该 no-filter-check 语句。
有关 rate and run-length 语句的信息,请参阅 配置流量采样。
将 MX 系列路由器配置为仅镜像一次流量
在 MX 系列路由器上,您可以配置端口镜像,使路由器仅镜像一次流量。如果在入口和出口接口上均配置端口镜像,则同一数据包可能会被镜像两次。要仅镜像一次数据包并防止路由器将重复的镜像数据包发送到同一镜像目标,请在层次结构级别包含[edit forwarding-options port-mirroring]该mirror-once语句:
[edit forwarding-options port-mirroring] mirror-once;
mirror-once该语句仅在全局端口镜像实例中受支持。
配置端口镜像实例
通过实例,您可以将数据包从同一 PFE 镜像到不同的目标,并为每个实例使用不同的采样参数。
您可以在 MX 系列路由器上配置多个端口镜像实例。有关配置多个端口镜像实例的信息,请参阅 《网络管理和监控指南》。
要配置端口镜像实例,请在层次结构级别包含[edit forwarding-options port-mirroring]以下instance port-mirroring-instance语句:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
将端口镜像实例与 MX 系列路由器上的 FPC 或 PIC 相关联
您必须将端口镜像实例与 FPC 或 PIC 相关联。您可以将端口镜像实例与 MX 系列路由器上的特定 FPC 或特定 PIC 相关联。将端口镜像实例“关联”到 FPC 或 PIC 有时称为将实例“绑定”到 FPC 或 PIC。
PIC 级实例覆盖 FPC 级实例,FPC 级实例覆盖全局实例。
支持的实例数为:
- 在 MX DPC 上,最多可以绑定 2 个实例到(与)一个 PIC。由于每个 FPC 可以有 4 个 PIC,因此每个 FPC 支持 8 个实例。
- 在 MX MPC 上,最多支持 2 个实例,并且只能在配置层次结构下的
[edit chassis]FPC 级别进行绑定。
要检查端口镜像实例与 FPC 的关联,请发出 configuration-mode 命令 show chassis fpc fpc-number。
要将端口镜像实例与 MX 系列路由器上的 FPC 或 PIC 相关联,必须在层次结构级别包含[edit chassis fpc slot-number]该port-mirror-instance port-mirroring-instance-name语句(替换fpc为 pic 以在 PIC 上配置绑定)。
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
您无需将此 [edit chassis] 配置包含在 全局 端口镜像配置中。
对于 slot-number,指定要与端口镜像实例关联的 FPC 或 PIC 的插槽编号。对于 port-mirroring-instance-name,指定在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例的名称。
特定于平台的行为
使用 功能资源管理器 确认平台和版本对特定功能的支持。
使用下表查看平台的特定于平台的行为:
| 平台 |
差异 |
|---|---|
| PTX 系列路由器 |
|