在此页面上
配置端口镜像
端口镜像 是路由器将 IPv4 或 IPv6 数据包的副本发送到外部主机地址或数据包分析器进行分析的能力。端口镜像不同于流量采样。在流量采样中,基于数据包标头的采样密钥将发送到路由引擎。在那里,可以将密钥放在文件中,或者基于密钥的 cflowd 数据包可以发送到 cflowd 服务器。在端口镜像中,复制整个数据包并通过下一跃点接口发出。
一个用于端口镜像的应用程序将重复的数据包发送到虚拟隧道。然后,可以将下一跃点组配置为将此重复数据包的副本转发到多个接口。有关下一跃点组的更多信息,请参阅 配置下一跃点组以使用多个接口转发端口镜像中使用的数据包。
所有 M 系列多服务边缘路由器、T 系列核心路由器和 MX 系列 5G 通用路由平台都支持 IPv4 或 IPv6 的端口镜像。M120、M320 和 MX 系列路由器同时支持 IPv4 和 IPv6 的端口镜像。
配置了增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器、M120 路由器、配置了增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器以及 MX 系列路由器支持 VPLS 流量的端口镜像。
在 Junos OS 9.3 及更高版本中,MX 系列路由器上的第 2 层流量支持端口镜像。有关如何为第 2 层流量配置端口镜像的信息,请参阅 路由设备的 Junos OS 第 2 层交换和桥接库。
在 Junos OS 9.6 及更高版本中,配置了增强型 III FPC 的 M120 路由器和 M320 路由器上的第 2 层 VPN 流量支持端口镜像。您还可以设置镜像数据包的最大长度。设置后,镜像数据包将被截断为指定的长度。
在 M 系列和 MX 系列路由器上的 MPC 中,GRE 和 MPLS 标头信息不包含在与通过 IP-GRE 隧道传输的 MPLS 数据包对应的端口镜像流量中。
具有第一代线卡(LC1101、LC1102、LC1104 和 LC1105)的 PTX1K、PTX10002、PTX5K、PTX3K 和 PTX10K 平台不支持出口端口镜像。
有关支持端口镜像的受支持平台和 Junos 版本的最新列表,请参阅 功能资源管理器 。
端口镜像配置准则
配置端口镜像时,存在以下限制:
仅支持传输数据。
您可以在 M 系列路由器上配置 IPv4 或 IPv6 端口镜像,但不能同时配置 IPv4 和 IPv6 端口镜像,但 M120 和 M320 路由器除外,它们同时支持 IPv4 和 IPv6 的端口镜像。
您可以在 M120 和 M320 路由器以及 MX 系列路由器上同时为 IPv4 和 IPv6 配置端口镜像。
链路服务 IQ (lsq-) 接口不支持入口和出口方向的端口镜像。
MX 系列路由器中的所有密集端口集中器 (DPC) 都支持组播数据包的入口过滤。仅 MX 系列路由器中 MPC 上的接口支持组播数据包的出口过滤。M 系列路由器或 T 系列路由器不支持基于目标地址过滤组播数据包,MX 系列路由器中基于 I 芯片 ASIC 的 DPC 上的接口不支持基于目标地址过滤。
对于第 3 层端口镜像(
family inet和family inet6),如果要镜像的流量是组播的(换句话说,如果数据包的目标 IP 地址是组播地址),则镜像副本中的目标 MAC 地址对应于此组播目标 IP 地址,而不是配置中[edit forwarding-options port-mirroring family (inet | inet6) output]指定的单播 MAC 地址。默认情况下,防火墙过滤器不能应用于端口镜像目标接口。要启用端口镜像目标接口以支持防火墙过滤器,请使用语句
no-filter-check禁用接口上的过滤器检查。您可以在以下层次结构级别包含该no-filter-check语句:[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
您必须在入站接口上同时包含 具有接受 操作和 端口镜像 操作修饰符的防火墙过滤器。
为端口镜像配置的接口不应参与任何类型的路由活动。
您指定的目标地址不应具有到最终流量目标的路由。例如,如果采样 IPv4 数据包的目标地址为 192.68.9.10 ,并且端口镜像流量发送到 192.68.20.15 进行分析,则与后一个地址关联的设备不应知道到 192.68.9.10 的路由。此外,它不应将采样数据包发送回源地址。
在除 MX 系列路由器之外的所有路由器上,每个路由器只能配置一个端口镜像接口。如果在语句中包含
port-mirroring多个接口,则会覆盖前一个接口。MX 系列路由器支持每个路由器有多个端口镜像接口。您可以在 M120、M320 和 MX 系列路由器上配置多个端口镜像实例。
您可以在同一配置中同时指定主机 (cflowd) 采样和端口镜像。您可以同时执行重新采样和端口镜像操作。但是,不能同时执行 PIC 采样和端口镜像操作。
在典型应用中,您将采样数据包发送到分析器或工作站进行分析,而不是发送到其他路由器。如果必须通过网络发送此流量,则应使用隧道。
配置端口镜像
要配置端口镜像,请在层次结构级别包含 port-mirroring 语句 [edit forwarding-options] :
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
配置端口镜像地址族和接口
要配置端口镜像,请包含该 port-mirroring 语句。要配置要采样的流量的地址族类型,请包含 family 语句。要配置镜像数据包的采样速率、采样长度和最大大小,请包含该 input 语句。要指定在哪个接口上发送重复数据包以及发送数据包的下一跃点地址,请包含该 output 语句。要确定指定接口上是否有任何筛选器,请包含该 no-filter-check 语句。
有关 速率 和 run-length 语句的信息,请参阅 配置流量采样 。
配置多个端口镜像实例
在 Junos OS 9.5 及更高版本中,您可以在 M120、M320 和 MX 系列路由器上配置多个端口镜像实例。在 M120 路由器上,您可以将每个实例与特定的转发引擎板 (FEB) 相关联。您无法将端口镜像实例与配置为备份 FEB 的 FEB 关联。在 M320 路由器上,您可以将每个实例与特定的灵活 PIC 集中器 (FPC) 相关联。通过将端口镜像实例与 FPC 或 FEB 关联,您可以将数据包镜像到不同的目标。MX 系列路由器还支持多个端口镜像实例。有关在 MX 系列路由器上配置多个端口镜像实例的信息,请参阅 适用于路由设备的 Junos OS 第 2 层交换和桥接库。
在 MX80 和 MX104 路由器中,端口镜像实例应始终与 FPC 0 关联,因为由于底层架构的原因,将端口镜像实例关联到 FPC 1 或 FPC 2 可能会导致行为不一致。
要配置端口镜像实例,请在层次结构级别包含 instance port-mirroring-instance 以下语句 [edit forwarding-options port-mirroring] :
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
配置端口镜像实例
您可以配置多个端口镜像实例。为您配置的每个实例指定唯一 port-mirroring-instance-name 一个。
关联 M320 路由器上的端口镜像实例
您可以将端口镜像实例与 M320 路由器上的特定 FPC 或 M120 路由器上的特定 FEB 相关联。您只能将一个端口镜像实例与 M320 路由器上的每个 FPC 或 M120 路由器上的每个 FEB 相关联。在 M120 路由器上,不能将端口镜像实例与配置为备份 FEB 的 FEB 关联。
要将端口镜像实例与 M320 路由器上的 FPC 相关联,请在层次结构级别包含 port-mirror-instance port-mirroring-instance-name 以下语句 [edit chassis fpc slot-number] :
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
对于 slot-number,指定要与端口镜像实例关联的 FPC 的插槽编号。对于 port-mirroring-instance-name,指定在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例的名称。有关在 M320 路由器上配置 FPC 的详细信息,请参阅 Junos OS 路由设备管理库。
关联 M120 路由器上的端口镜像实例
要将端口镜像实例与 M120 路由器上的 FEB 关联,请在层次结构级别包含 port-mirror-instance port-mirroring-instance-name 以下语句 [edit chassis feb slot-number] :
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
对于 slot-number,指定要与端口镜像实例关联的 FEB 的插槽号。对于 port-mirroring-instance-name,指定在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例的名称。有关在 M120 路由器上配置 FEB 冗余的信息,请参阅 Junos OS 高可用性用户指南。有关在 M120 路由器上配置 FPC 到 FEB 连接的信息,请参阅 路由设备的 Junos OS 管理库。
将 MX 系列 5G 通用路由平台和 M120 路由器配置为仅镜像一次流量
只能在 MX 系列和 M120 路由器上配置端口镜像,以便路由器仅镜像一次流量。如果同时在入口和出口接口上配置端口镜像,则同一数据包可能会镜像两次。要仅镜像一次数据包并防止路由器将重复的采样数据包发送到同一镜像目标,请在层次结构级别包含 mirror-once 以下语句 [edit forwarding-options port-mirroring] :
[edit forwarding-options port-mirroring] mirror-once;
该 mirror-once 语句仅在全局端口镜像实例中受支持。