Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Port-Spiegelung und -Analyse

SUMMARY In diesem Abschnitt wird beschrieben, wie die Portspiegelung den Netzwerkdatenverkehr an Analyseanwendungen sendet.

Verständnis von Portspiegelung und Analyzern

Port-Spiegelung und Analysegeräte senden Netzwerkdatenverkehr an Geräte, auf denen Analyseanwendungen ausgeführt werden. Ein Portspiegel kopiert Layer-3-IP-Datenverkehr an eine Schnittstelle. Ein Analyzer kopiert Überbrückungspakete (Layer 2) an eine Schnittstelle. Gespiegelter Datenverkehr kann von einzelnen oder mehreren Schnittstellen stammen. Sie können ein an eine Spiegelausgabeschnittstelle angeschlossenes Gerät verwenden, auf dem eine Analyseanwendung ausgeführt wird, um Aufgaben wie die Überwachung der Compliance, die Durchsetzung von Richtlinien, die Erkennung von Eindringversuchen, die Überwachung der Netzwerkleistung, die Korrelation von Ereignissen und anderen Problemen im Netzwerk durchzuführen.

Auf Routern, die einen anwendungsspezifischen integrierten Circuit (ASIC) oder einen Internet processor der T-Serie enthalten, kopiert der Port Spiegelung Unicast-Pakete, die einen Port betreten oder verlassen oder in ein VLAN gelangen, und sendet diese Kopien an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Remoteüberwachung. Der gespiegelte Datenverkehr wird von Anwendungen empfangen, die Ihnen bei der Analyse dieses Datenverkehrs helfen.

Die Port-Spiegelung unterscheidet sich von Datenverkehrs-Sampling. Bei Datenverkehrs-Sampling wird ein auf dem IPv4-Header basierender Sampling-Schlüssel an die Routing-Engine gesendet, wo ein Schlüssel in eine Datei oder cflowd abgelegt wird. Pakete, die auf diesem Schlüssel basieren, werden an einen cflowd-Server gesendet. Bei der Portspiegelung wird das gesamte Paket kopiert und über die angegebene Schnittstelle gesendet, wo es im Detail erfasst und analysiert werden kann.

Verwenden Sie Port-Spiegelung, um Datenverkehr an Geräte zu senden, die Denkdatenverkehr für Zwecke wie die Überwachung der Compliance, die Durchsetzung von Richtlinien, die Erkennung von Eindringversuchen, die Überwachung und Vorhersage von Datenverkehrsmustern, die Korrelation von Ereignissen usw. analysieren. Für die Datenverkehrsanalyse ist eine Portspiegelung erforderlich, da ein Switch normalerweise nur Pakete an den Port sendet, an den das Zielgerät angeschlossen ist. Sie möchten die ursprünglichen Pakete wahrscheinlich nicht zur Analyse senden, bevor sie weitergeleitet werden, da dies die Verzögerung verursacht, also besteht die übliche Alternative darin, portbasierte Spiegelung zu konfigurieren, um Kopien des Unicast-Datenverkehrs an eine andere Schnittstelle zu senden und eine Analyseanwendung auf einem mit dieser Schnittstelle verbundenen Gerät auszuführen.

Konfigurieren Sie eine Portspiegelungsinstanz, um die Portspiegelung zu konfigurieren. geben Sie aber keine Eingaben dafür an. Erstellen Sie stattdessen einen Firewall-Filter, der den erforderlichen Datenverkehr angibt und ihn an die Instanz leitet. Verwenden Sie dafür die port-mirror Aktion in einem then Begriff des Filters. Der Firewall-Filter muss als family inetkonfiguriert werden.

Achten Sie bei der Konfiguration der Portspiegelung auf die Leistung. Durch die Konfiguration des Firewall-Filters zur Spiegelung nur der erforderlichen Pakete wird die Möglichkeit von Leistungsbeeinträchtigungen reduziert.

Sie können eine Analyzer-Anweisung konfigurieren, um sowohl den Eingangs- als auch den Ausgangsdatenverkehr in derselben Analysekonfiguration zu definieren. Der zu analysierenden Datenverkehr kann Datenverkehr sein, der eine Schnittstelle eingibt oder verlässt, oder Datenverkehr, der in ein VLAN eingibt. Die Analysekonfiguration ermöglicht es Ihnen, diesen Datenverkehr an eine Ausgabeschnittstelle, Instanz oder ein VLAN zu senden. Sie können einen Analyzer in der [edit forwarding-options analyzer] Hierarchie konfigurieren.

Anmerkung:

Auf der EX4400-24T-Plattform müssen Sie, wenn Sie jede Schnittstelle in einem Remote-Portspiegelungs-VLAN deaktivieren, die deaktivierte Schnittstelle neu aktivieren und die Analysesitzung neu konfigurieren, um die Portspiegelung wieder aufzunehmen.

Sie können die Portspiegelung zum Kopieren verwenden:

  • Alle Pakete, die in eine Schnittstelle gelangen oder diese verlassen, in beliebiger Kombination. Kopien von Paketen, die an einigen Schnittstellen eingehen, und Pakete, die andere Schnittstellen verlassen, können an dieselbe lokale Schnittstelle oder ein VLAN gesendet werden. Wenn Sie die Portspiegelung so konfigurieren, dass Pakete kopiert werden, die eine Schnittstelle verlassen, wird der Datenverkehr, der von diesem Switch oder Knotengerät (in einem QFabric-System) stammt , beim Ausgehenden nicht kopiert. Nur umgeschalteter Datenverkehr wird am Ausgang kopiert. (Siehe unten die Begrenzung der Ausgangsspiegelung.)

  • Alle oder alle Pakete, die in ein VLAN gelangen. Sie können die Portspiegelung nicht verwenden, um Pakete zu kopieren, die ein VLAN verlassen.

  • Ein Firewall-gefiltertes Beispiel von Paketen, die an einen Port oder ein VLAN gelangen.

  • Firewall-Filter werden auf Ausgangs-Ports nicht unterstützt; das heißt, Sie können keine richtlinienbasierte Stichproben von Paketen angeben, die eine Schnittstelle verlassen

  • In VXLAN-Umgebungen wird firewallfilterbasierte Port-Spiegelung nicht an Core- oder Spine-Schnittstellen unterstützt.

Sie können sowohl Datenverkehrs-Sampling als auch Port-Spiegelung konfigurieren, indem Sie eine unabhängige Sampling-Rate und Laufzeit für Port-gespiegelte Pakete festlegen. Wenn jedoch ein Paket sowohl für Datenverkehrs-Sampling als auch für Portspiegelung ausgewählt wird, wird nur die Portspiegelung ausgeführt, da sie Vorrang hat. Mit anderen Worten: Wenn Sie eine Schnittstelle für den Datenverkehr konfigurieren, die jeden Paketeingang an die Schnittstelle stichprobent und die Portspiegelung auch das zu kopierende Paket auswählt und an den Zielport sendet, wird nur der Portspiegelungsprozess ausgeführt. Die für die Portspiegelung nicht ausgewählten Datenverkehrspakete werden weiterhin stichprobeniert und an den cflowd-Server weitergeleitet.

Informationen zu den in diesem Thema verwendeten Begriffen finden Sie unter Port-Spiegelung und Analysebedingungen und -definitionen.

Instanztypen

Konfigurieren Sie eine Instanz eines der folgenden Typen, um die Portspiegelung zu konfigurieren:

  • Analyzer-Instanz– Geben Sie den Ein- und Ausgang für die Instanz an. Dieser Instanztyp ist nützlich, um sicherzustellen, dass der gesamte Datenverkehr, der eine Schnittstelle passiert oder ein VLAN betritt, gespiegelt und an den Analyzer gesendet wird.

  • Port-Spiegelungsinstanz: Sie erstellen einen Firewall-Filter, der den gewünschten Datenverkehr identifiziert und in den Spiegelungs-Port kopiert. Sie geben keine Eingaben für diesen Instanztyp an. Dieser Instanztyp ist nützlich für die Steuerung der Datenverkehrstypen, die gespiegelt werden. Datenverkehr kann auf folgende Weise geleitet werden:

    • Geben Sie den Namen der Portspiegelinstanz im Firewallfilter an, indem Sie die port-mirror-instance instance-name Aktion verwenden, wenn mehrere Portspiegelinstanzen definiert sind.

    • Senden Sie die gespiegelten Pakete an die in der Instanz definierte Ausgabeschnittstelle, indem Sie die port-mirror Aktion verwenden, wenn nur eine Portspiegelinstanz definiert ist.

Für die Switches QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 und EX4650 gelten die folgenden Richtlinien zur Portspiegelung:

  • Maximal vier Portspiegelungsinstanzen oder vier Analysesitzungen können gleichzeitig konfiguriert werden. Mit anderen Worten: Sie können nicht vier Portspiegelungsinstanzen und vier Analysesitzungen zusammen konfigurieren.
  • Wenn es keine Port-Spiegelungsinstanzen gibt( d. h. es werden nur Analysesitzungen konfiguriert), können Sie bis zu drei Analysesitzungen für die Ingress- und Egress-Spiegelung aktivieren. Die verbleibende Analysesitzung darf nur für die Eingangsspiegelung verwendet werden.
  • Wenn Sie nur eine Port-Spiegelungsinstanz konfiguriert haben, können Sie von den verbleibenden Instanzen bis zu drei Analyzer für die Ingress-Spiegelung und zwei Analyzer für die Ausgangsspiegelung konfigurieren.
  • Wenn Sie zwei Port-Spiegelungsinstanzen konfiguriert haben, können Sie von den verbleibenden Instanzen bis zu zwei Analyzer für die Ingress-Spiegelung und einen Analyzer für die Ausgangsspiegelung konfigurieren.
  • Wenn Sie drei Port-Spiegelungsinstanzen konfiguriert haben, kann die verbleibende Instanz nur als Analyzer konfiguriert werden (für die Ingress- oder Egress-Spiegelung).

Port-Spiegelung und STP

Das Verhalten von STP in einer Portspiegelungskonfiguration hängt von der verwendeten Version von Junos OS ab:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 oder höher, Junos OS 13.2X52: Wenn STP aktiviert ist, ist die Portspiegelung möglicherweise nicht erfolgreich, da STP die gespiegelten Pakete blockieren könnte.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: STP ist für spiegelungsgespiegelten Datenverkehr deaktiviert. Sie müssen sicherstellen, dass Ihre Topologie Schleifen dieses Datenverkehrs verhindert.

Einschränkungen und Einschränkungen

Für die Portspiegelung gelten die folgenden Einschränkungen und Einschränkungen:

Die Spiegelung nur der für die Analyse erforderlichen Pakete reduziert die Möglichkeit einer Leistungsreduzierung. Wenn Sie Datenverkehr von mehreren Ports spiegeln, kann der gespiegelte Datenverkehr die Kapazität der Ausgabeschnittstelle überschreiten. Die Überlaufpakete werden abgebrochen. Wir empfehlen, die Anzahl des gespiegelten Datenverkehrs zu begrenzen, indem Sie bestimmte Schnittstellen auswählen und das all Schlüsselwort nicht verwenden. Sie können auch die Menge des gespiegelten Datenverkehrs begrenzen, indem Sie einen Firewall-Filter verwenden, um bestimmten Datenverkehr an die Port-Spiegelungsinstanz zu senden.

  • Sie können insgesamt vier Portspiegelungskonfigurationen erstellen.

  • Jede Knotengruppe in einem QFabric-System unterliegt folgenden Einschränkungen:

    • Bis zu vier der Konfigurationen können für die lokale Portspiegelung verwendet werden.

    • Bis zu drei der Konfigurationen können für die Remote-Portspiegelung verwendet werden.

  • Unabhängig davon, ob Sie einen eigenständigen Switch oder eine Node-Gruppe konfigurieren:

    • Es gibt nicht mehr als zwei Konfigurationen, die den eingehenden Datenverkehr spiegeln. Wenn Sie einen Firewall-Filter so konfigurieren, dass gespiegelter Datenverkehr an einen Port gesendet wird, gilt dies als Ingress-Spiegelungskonfiguration für den Switch oder die Node-Gruppe, auf die der Filter angewendet wird.

    • Es gibt nicht mehr als zwei Konfigurationen, die den ausgehenden Datenverkehr spiegeln.

    • Bei QFabric-Systemen gibt es keine systemweite Begrenzung der Gesamtzahl der Spiegelungssitzungen.

  • Sie können nur einen Ausgabetyp in einer Portspiegelungskonfiguration konfigurieren, um eine set analyzer name output Anweisung abzuschließen:

    • interface

    • ip-address

    • vlan

  • Konfigurieren Sie die Spiegelung in einem Analyzer (mit set forwarding-options analyzer) auf nur einer logischen Schnittstelle für dieselbe physische Schnittstelle. Wenn Sie versuchen, Spiegelung auf mehreren logischen Schnittstellen zu konfigurieren, die auf einer physischen Schnittstelle konfiguriert sind, wird nur die erste logische Schnittstelle erfolgreich konfiguriert. die verbleibenden logischen Schnittstellen geben Konfigurationsfehler zurück.

  • Wenn Sie Ausgangspakete spiegeln, konfigurieren Sie nicht mehr als 2000 VLANs auf einem eigenständigen Switch oder QFabric-System. Wenn ja, können einige VLAN-Pakete falsche VLAN-IDs enthalten. Dies gilt für alle VLAN-Pakete, nicht nur für spiegelungsgespiegelte Kopien.

  • Die ratio Optionen werden loss-priority nicht unterstützt.

  • Pakete mit Fehlern auf physischer Ebene werden nicht an den Ausgabeport oder das VLAN gesendet.

  • Wenn Sie sFlow-Überwachung zum Mustern des Datenverkehrs verwenden, werden die Spiegelkopien nicht stichprobent, wenn sie die Ausgabeschnittstelle verlassen.

  • Sie können Keine Spiegelung von Paketen geben, die die folgenden Ports verlassen oder eingeben:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Managementschnittstellen (me0 oder vme0)

    • Fibre Channel-Schnittstellen

    • Integrierte Routing- und Bridging-Schnittstellen (IRB) (auch bekannt als Geroutete VLAN-Schnittstellen oder RVIs)

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein, wenn der Eingang ein VLAN ist oder wenn der Datenverkehr über einen Firewall-Filter an den Analyzer gesendet wird.

  • Wenn gespiegelte Pakete aus einer Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen modifiziert, die auf die ursprünglichen Pakete am Ausgang angewendet werden könnten, wie z. B. CoS-Rewriting.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (wie ARP-, ICMP-, BPDU- und LACP-Pakete) können nicht am Ausgang gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

  • (nur QFabric-Systeme) Wenn Sie einen QFabric-Analyzer zur Spiegelung des Ausgehenden Datenverkehrs konfigurieren und sich die Ein- und Ausgabeschnittstellen auf verschiedenen Node-Geräten befinden, haben die gespiegelten Kopien falsche VLAN-IDs.

    Diese Einschränkung gilt nicht, wenn Sie einen QFabric-Analyzer so konfigurieren, dass der ausgehende Datenverkehr gespiegelt wird und sich die Ein- und Ausgabeschnittstellen auf demselben Node-Gerät befinden. In diesem Fall haben die gespiegelten Kopien die richtigen VLAN-IDs (solange Sie nicht mehr als 2000 VLANs im QFabric-System konfigurieren).

  • Echte Ausgangsspiegelung wird definiert als Spiegelung der exakten Anzahl von Kopien und der exakten Paketmodifikationen, die am Ausgangsport herausgingen. Weil die Prozessoren auf QFX5xxx (einschließlich QFX5100, QFX5110, QFX5120, QFX5200 und QFX5210) und EX4600 (einschließlich EX4600 und EX4650) implementieren Egress-Spiegelung in der Eingangs-Pipeline. Diese Switches bieten keine präzisen Egress-Paketmodifikationen, sodass ausgehender Spiegelungsverkehr falsche VLAN-Tags übertragen kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

  • Wenn Sie eine Portspiegelinstanz so konfigurieren, dass der Datenverkehr, der eine Schnittstelle mit VLAN-Einkapselung verlässt, gespiegelt wird, sind die Quell- und Ziel-MAC-Adressen der gespiegelten Pakete nicht identisch mit denen der ursprünglichen Pakete.

  • Spiegelung auf Mitgliedsschnittstellen einer LAG wird nicht unterstützt.

  • Egress-VLAN-Spiegelung wird nicht unterstützt.

Die folgenden Einschränkungen und Einschränkungen gelten für die Remote-Portspiegelung:

  • Wenn Sie eine Ausgabe-IP-Adresse konfigurieren, kann sich diese Adresse nicht im selben Subnetz wie jede der Switch-Managementschnittstellen befinden.

  • Wenn Sie virtuelle Routing-Instanzen erstellen und eine Analysekonfiguration erstellen, die eine Ausgabe-IP-Adresse enthält, gehört die Ausgabe-IP-Adresse zur standardmäßigen virtuellen Routing-Instanz (inet.0-Routingtabelle).

  • Ein Ausgabe-VLAN kann kein privater VLAN- oder VLAN-Bereich sein.

  • Ein Ausgabe-VLAN kann nicht von mehreren Analysesitzungen oder Portspiegelinstanzen gemeinsam genutzt werden.

  • Eine Ausgabe-VLAN-Schnittstelle kann kein Mitglied eines anderen VLANs sein.

  • Eine Ausgangs-VLAN-Schnittstelle kann keine aggregierte Ethernet-Schnittstelle sein.

  • Wenn das Ausgabe-VLAN über mehr als eine Memberschnittstelle verfügt, wird der Datenverkehr nur auf das erste Mitglied des VLAN gespiegelt, und andere Mitglieder desselben VLAN übertragen keinen gespiegelten Datenverkehr.

  • Für die Remote-Portspiegelung zu einer IP-Adresse (GRE-Einkapselung), wenn Sie mehr als eine Analyzersitzung oder Portspiegelinstanz konfigurieren und die IP-Adressen der Analyzer- oder Portspiegelinstanz über dieselbe Schnittstelle erreichbar sind, wird nur eine Analyzer-Sitzung oder Port-Spiegel-Instanz konfiguriert.

  • Die Anzahl der möglichen Ausgangsschnittstellen bei der Remote-Portspiegelung variiert zwischen den Switches der QFX5K-Reihe:

    • QFX5110, QFX5120, QFX5210 – Unterstützung von maximal 4 Ausgangsschnittstellen

    • QFX5100 und QFX5200 – Unterstützung von maximal 3 Ausgangsschnittstellen.

  • Jedes Mal, wenn ein Mitglied in einem Remote-Port, das VLAN spiegelt, aus diesem VLAN entfernt wird, konfigurieren Sie die Analysesitzung für dieses VLAN neu.

Einschränkungen und Einschränkungen für QFX5100- und QFX5200-Switches

Die folgenden Überlegungen gelten für die Portspiegelung auf QFX5100- und QFX5200-Switches:

  • Bei der Konfiguration von Spiegelung mit Ausgabe an IP-Adresse sollte die Ziel-IP-Adresse erreichbar sein und ARP muss gelöst werden.
  • Ecmp-Lastenausgleich (Equal Cost Multiple Path) wird für Spiegelungsziele nicht unterstützt.

  • Die Anzahl der Ausgangsschnittstellen in der Remote-Portspiegelung (RSPAN) variiert. Für QFX5110-, QFX5120- und QFX5210-Switches beträgt das Maximum vier Ausgangsschnittstellen. Für QFX5100- und QFX5200-Switches beträgt das Maximum drei.

  • Bei der Angabe einer Link Aggregation Group (LAG) als Spiegelungs-Ausgabeschnittstelle werden maximal acht Schnittstellen gespiegelt.

  • Der Spiegelungseingang kann eine LAG, eine physische Schnittstelle mit jeder Einheit (z. B. ae0.101 oder xe-0/0/0.100) oder eine Unterschnittstelle sein. In jedem Fall wird der gesamte Datenverkehr auf der LAG oder der physischen Schnittstelle gespiegelt.

  • Sie können keine unabhängige Spiegelungsinstanz auf einer Mitgliederschnittstelle einer LAG einrichten.

  • Eine Ausgabeschnittstelle, die in einer Spiegelungsinstanz enthalten ist, kann auch nicht in einer anderen Spiegelungsinstanz verwendet werden.

  • In einer Port-Spiegelungsinstanz werden abgebrochene Pakete in der Ausgangs-Pipeline des Weiterleitungspfads niemals ohne Spiegelung zum Ziel gespiegelt. Dies liegt daran, dass die Spiegelungsaktion in der Eingangs-Pipeline vor der Abbruchaktion erfolgt.

  • In einer Portspiegelungsinstanz kann nur ein Ziel für die Spiegelungsausgabe angegeben werden.

  • Ausgabespiegelziele, die über mehrere Portspiegelungs- oder Analyseinstanzen konfiguriert sind, müssen alle eindeutig sein.

  • Bei ERSPAN-IPv6-Adressen wird die Ausgangsspiegelung nicht unterstützt, wenn die Ausgabe an die Analyse-/Portspiegelung eine Remote-IPv6-Adresse ist. Egress-Spiegelung wird nicht unterstützt.

  • Für die lokale Spiegelung muss die Ausgangsschnittstelle Ethernet-Switching der Familie sein, mit oder ohne VLAN (d. s. keine Layer-3-Schnittstelle).

  • Wenn Sie eine Portspiegelungs- oder Analyseinstanz in einer Service Provider-Umgebung konfigurieren, verwenden Sie den VLAN-Namen anstelle der VLAN-ID.

Port-Spiegelung auf QFabric

Die folgenden Einschränkungen und Einschränkungen gelten für die lokale und Remote-Portspiegelung:

  • Sie können insgesamt vier Portspiegelungskonfigurationen erstellen.

  • Jede Knotengruppe in einem QFabric-System unterliegt folgenden Einschränkungen:

    • Bis zu vier der Konfigurationen können für die lokale Portspiegelung verwendet werden.

    • Bis zu drei der Konfigurationen können für die Remote-Portspiegelung verwendet werden.

  • Unabhängig davon, ob Sie einen eigenständigen Switch oder eine Node-Gruppe konfigurieren:

    • Es gibt nicht mehr als zwei Konfigurationen, die den eingehenden Datenverkehr spiegeln. Wenn Sie einen Firewall-Filter so konfigurieren, dass gespiegelter Datenverkehr an einen Port gesendet wird, das heißt, Sie verwenden den analyzer Aktionsmodifizierer in einem Filterbegriff, zählt dies als Eingangsspiegelung für den Switch oder die Node-Gruppe, auf die der Filter angewendet wird.

    • Es gibt nicht mehr als zwei Konfigurationen, die den ausgehenden Datenverkehr spiegeln.

    • Bei QFabric-Systemen gibt es keine systemweite Begrenzung der Gesamtzahl der Spiegelungssitzungen.

  • Sie können nur einen Ausgabetyp in einer Portspiegelungskonfiguration konfigurieren, um eine set analyzer name output Anweisung abzuschließen:

    • interface

    • ip-address

    • vlan

  • Konfigurieren Sie die Spiegelung in einem Analyzer (mit set forwarding-options analyzer) auf nur einer logischen Schnittstelle für dieselbe physische Schnittstelle. Wenn Sie versuchen, Spiegelung auf mehreren logischen Schnittstellen zu konfigurieren, die auf einer physischen Schnittstelle konfiguriert sind, wird nur die erste logische Schnittstelle erfolgreich konfiguriert. die verbleibenden logischen Schnittstellen geben Konfigurationsfehler zurück.

  • Wenn Sie Ausgangspakete spiegeln, konfigurieren Sie nicht mehr als 2000 VLANs auf einer Plattform der QFX-Serie. Wenn ja, können einige VLAN-Pakete falsche VLAN-IDs enthalten. Dies gilt für alle VLAN-Pakete, nicht nur für spiegelungsgespiegelte Kopien.

  • Die ratio Optionen werden loss-priority nicht unterstützt.

  • Pakete mit Fehlern auf physischer Ebene werden nicht an den Ausgabeport oder das VLAN gesendet.

  • Wenn Sie sFlow-Überwachung zum Mustern des Datenverkehrs verwenden, werden die Spiegelkopien nicht stichprobent, wenn sie die Ausgabeschnittstelle verlassen.

  • Sie können Keine Spiegelung von Paketen geben, die die folgenden Ports verlassen oder eingeben:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Managementschnittstellen (me0 oder vme0)

    • Fibre Channel-Schnittstellen

    • Integrierte Routing- und Bridging-Schnittstellen (IRB) (auch bekannt als Geroutete VLAN-Schnittstellen oder RVIs)

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein, wenn der Eingang ein VLAN ist oder wenn der Datenverkehr über einen Firewall-Filter an den Analyzer gesendet wird.

  • Wenn gespiegelte Pakete aus einer Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen modifiziert, die auf die ursprünglichen Pakete am Ausgang angewendet werden könnten, wie z. B. CoS-Rewriting.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (wie ARP-, ICMP-, BPDU- und LACP-Pakete) können nicht am Ausgang gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

  • (nur QFabric-Systeme) Wenn Sie einen QFabric-Analyzer zur Spiegelung des Ausgehenden Datenverkehrs konfigurieren und sich die Ein- und Ausgabeschnittstellen auf verschiedenen Node-Geräten befinden, haben die gespiegelten Kopien falsche VLAN-IDs.

    Diese Einschränkung gilt nicht, wenn Sie einen QFabric-Analyzer so konfigurieren, dass der ausgehende Datenverkehr gespiegelt wird und sich die Ein- und Ausgabeschnittstellen auf demselben Node-Gerät befinden. In diesem Fall haben die gespiegelten Kopien die richtigen VLAN-IDs (solange Sie nicht mehr als 2000 VLANs im QFabric-System konfigurieren).

  • Echte Ausgangsspiegelung wird definiert als Spiegelung der exakten Anzahl von Kopien und der exakten Paketmodifikationen, die am Ausgangsport herausgingen. Weil die Prozessoren auf QFX5xxx (einschließlich QFX5100, QFX5110, QFX5120, QFX5200 und QFX5210) und EX4600 (einschließlich EX4600 und EX4650) implementieren Egress-Spiegelung in der Eingangs-Pipeline. Diese Switches bieten keine präzisen Egress-Paketmodifikationen, sodass ausgehender Spiegelungsverkehr falsche VLAN-Tags übertragen kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

  • Wenn Sie eine Portspiegelinstanz so konfigurieren, dass der Datenverkehr, der eine Schnittstelle mit VLAN-Einkapselung verlässt, gespiegelt wird, sind die Quell- und Ziel-MAC-Adressen der gespiegelten Pakete nicht identisch mit denen der ursprünglichen Pakete.

  • Spiegelung auf Mitgliedsschnittstellen einer LAG wird nicht unterstützt.

  • Egress-VLAN-Spiegelung wird nicht unterstützt.

Port-Spiegelung auf Switches der OCX-Serie

Für die Portspiegelung auf Switches der OCX-Serie gelten die folgenden Einschränkungen und Einschränkungen:

  • Sie können insgesamt vier Portspiegelungskonfigurationen erstellen. Es gibt nicht mehr als zwei Konfigurationen, die den eingehenden oder ausgehenden Datenverkehr spiegeln.

  • Wenn Sie sFlow-Überwachung zum Mustern des Datenverkehrs verwenden, werden die Spiegelkopien nicht stichprobent, wenn sie die Ausgabeschnittstelle verlassen.

  • Sie können nur eine Portspiegelungssitzung erstellen.

  • Sie können Keine Spiegelung von Paketen geben, die die folgenden Ports verlassen oder eingeben:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Managementschnittstellen (me0 oder vme0)

    • Fibre Channel-Schnittstellen

    • Geroutete VLAN-Schnittstellen oder IRB-Schnittstellen

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein.

  • Fügen Sie keine 802.1Q-Unterschnittstelle mit einer anderen Einheitennummer als 0 in einer Portspiegelungskonfiguration ein. Portspiegelung funktioniert nicht mit Unterschnittstellen, wenn ihre Einheitennummer nicht 0 ist. (Sie konfigurieren 802.1Q-Unterschnittstellen mithilfe der vlan-tagging Anweisung.)

  • Wenn Paketkopien an die Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen modifiziert, die normalerweise am Ausgang angewendet werden, wie z. B. CoS-Rewriting.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (wie ARP-, ICMP-, BPDU- und LACP-Pakete) können nicht am Ausgang gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

Portspiegelung auf EX2300-, EX3400- und EX4300-Switches

Für die Datenverkehrsanalyse auf einem Switch kann eine Spiegelung erforderlich sein, da ein Switch im Gegensatz zu einem Hub nicht Pakete an jeden Port auf dem Zielgerät sendet. Der Switch sendet Pakete nur an den Port, an den das Zielgerät angeschlossen ist.

Überblick

Junos OS, das auf Switches der Serien EX2300, EX3400 und EX4300 ausgeführt wird, unterstützt die Enhanced Layer 2 Software (ELS)-Konfigurationen, die die Analyse des Datenverkehrs auf diesen Switches auf Paketebene erleichtern.

Sie verwenden Portspiegelung, um Pakete zur lokalen Überwachung an eine lokale Schnittstelle oder für die Remoteüberwachung in ein VLAN zu kopieren. Sie können Analysegeräte verwenden, um Richtlinien zur Netzwerknutzung und Dateifreigabe durchzusetzen und Problemquellen in Ihrem Netzwerk zu identifizieren, indem Sie eine abnormale oder starke Bandbreitennutzung nach bestimmten Stationen oder Anwendungen lokalisieren.

Die Portspiegelung wird auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert. Um Geroutete (Layer 3)-Pakete zu spiegeln, können Sie die Portspiegelungskonfiguration verwenden, in der die family Anweisung auf inet oder inet6festgelegt ist.

Sie können die Portspiegelung verwenden, um diese Pakete zu kopieren:

  • Packets entering or exiting a port— Sie können die Pakete in einer beliebigen Kombination von Paketen spiegeln, die in Ports bis zu 256 Ports eindringen oder verlassen.

    Mit anderen Worten, Sie können Kopien der Pakete, die in einige Ports gelangen, und die Pakete, die andere Ports verlassen, an denselben lokalen Analyse-Port oder das VLAN des Analyzers senden.

  • Packets entering a VLAN— Sie können die in ein VLAN eingegebenen Pakete entweder auf einen lokalen Analyse-Port oder auf ein Analyse-VLAN spiegeln. Sie können bis zu 256 VLANs, einschließlich eines VLAN-Bereichs und PVLANs, als Eingangseingang für einen Analyzer konfigurieren.

  • Policy-based sample packets— Sie können ein richtlinienbasiertes Beispiel von Paketen spiegeln, die einen Port oder ein VLAN betreten. Sie konfigurieren einen Firewall-Filter , um eine Richtlinie zu erstellen, um die zu spiegelnden Pakete auszuwählen und das Muster an eine Port-Spiegelungsinstanz oder an ein ANALYSE-VLAN zu senden.

Sie können die Portspiegelung auf dem Switch so konfigurieren, dass Kopien des Unicast-Datenverkehrs an ein Ausgabeziel gesendet werden, z. B. eine Schnittstelle, eine Routing-Instanz oder ein VLAN. Dann können Sie den gespiegelten Datenverkehr mithilfe einer Protokollanalyseanwendung analysieren. Die Protokollanalyseanwendung kann entweder auf einem Computer ausgeführt werden, der an die Analyse-Ausgangsschnittstelle angeschlossen ist, oder auf einer Remote-Überwachungsstation. Für den eingehenden Datenverkehr können Sie einen Firewall-Filterbegriff so konfigurieren, dass festgelegt wird, ob die Portspiegelung auf alle Pakete an der Schnittstelle angewendet werden muss, auf die der Firewall-Filter angewendet wird. Sie können einen Firewall-Filter anwenden, der mit der Aktion port-mirror konfiguriert ist, oder port-mirror-instance name auf die logischen Ein- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf Datenverkehr, der an ein VLAN weitergeleitet oder an eine VPLS-Routinginstanz weitergeleitet oder überflutet wird. EX2300-, EX3400- und EX4300-Switches unterstützen die Portspiegelung von VPLS- (family ethernet-switching oder family vpls) Datenverkehr und VPN-Datenverkehr mit family ccc in einer Layer-2-Umgebung.

Innerhalb eines Firewall-Filterbegriffs können Sie die Portspiegelungseigenschaften unter der then Anweisung auf folgende Weise angeben:

  • Verweisen Sie implizit auf die auf den Port wirksamen Portspiegelungseigenschaften.

  • Verweisen Sie explizit auf eine bestimmte benannte Instanz der Portspiegelung.

Konfigurationsrichtlinien für Portspiegelung und Analyzer auf EX2300-, EX3400- und EX4300-Switches

Bei der Konfiguration der Portspiegelung empfehlen wir, bestimmte Richtlinien zu befolgen, um einen optimalen Nutzen aus der Spiegelung zu ziehen. Darüber hinaus empfehlen wir, dass Sie die Spiegelung deaktivieren, wenn Sie sie nicht verwenden, und dass Sie bestimmte Schnittstellen auswählen, für die Pakete gespiegelt werden müssen (d. h. bestimmte Schnittstellen als Eingabe an den Analyzer auswählen), bevor Sie die all Schlüsselwortoption verwenden, die Spiegelung auf allen Schnittstellen ermöglicht und die Gesamtleistung beeinträchtigen kann. Spiegelung nur der erforderlichen Pakete reduziert potenzielle Leistungseinbußen.

Mit lokaler Spiegelung wird der Datenverkehr von mehreren Ports zur Analyse-Ausgabeschnittstelle repliziert. Wenn die Ausgangsschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete abgebrochen. Bei der Konfiguration eines Analyzers müssen Sie daher prüfen, ob der spiegelungsfähige Datenverkehr die Kapazität der Analyse-Ausgabeschnittstelle überschreitet.

Sie können einen Analyzer in der [edit forwarding-options analyzer] Hierarchie konfigurieren.

Anmerkung:

Echte Ausgangsspiegelung wird definiert als Spiegelung der exakten Anzahl von Kopien und der genauen Paketmodifikationen, die den ausgangsvermittelten Port passierten. Da der Prozessor auf EX2300- und EX3400-Switches eine Ausgangsspiegelung in der Eingangs-Pipeline implementiert, bieten diese Switches keine präzisen Egress-Paketänderungen, sodass ausgehender gespiegelter Datenverkehr VLAN-Tags übertragen kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

Tabelle 1 fasst zusätzliche Konfigurationsrichtlinien für die Spiegelung auf EX2300-, EX3400- und EX4300-Switches zusammen.

Tabelle 1: Konfigurationsrichtlinien für Portspiegelung und Analyzer auf EX2300-, EX3400- und EX4300-Switches

Richtlinie

Wert- oder Supportinformationen

Kommentar

Anzahl der VLANs, die Sie als Eingangseingang zu einem Analysegerät verwenden können.

256

 

Anzahl der sitzungs- und analysefähigen Portspiegelungssitzungen und -analysegeräte, die Sie gleichzeitig aktivieren können.

4

Sie können insgesamt vier Sitzungen konfigurieren und jederzeit nur eine der folgenden Optionen aktivieren:

  • Maximal vier Sitzungen zur Portspiegelung (einschließlich der globalen Portspiegelungssitzung).

  • Maximal vier Analysesitzungen.

  • Eine Kombination aus Portspiegelung und Analysesitzungen, und die Gesamtmenge dieser Kombination muss vier betragen.

Sie können mehr als die angegebene Anzahl von Portspiegelungsinstanzen oder Analyzern auf dem Switch konfigurieren, aber Sie können nur die angegebene Nummer für eine Sitzung aktivieren.

Arten von Ports, auf denen Sie den Datenverkehr nicht spiegeln können.

  • Virtual Chassis-Ports (VCPs)

  • Management Ethernet-Ports (me0 oder vme0)

  • Integrierte Routing- und Bridging(IRB)-Schnittstellen; auch bekannt als Geroutete VLAN-Schnittstellen (RVIs).

  • VLAN-tagged Layer 3-Schnittstellen

 

Protokollfamilien, die Sie in eine Portspiegelungskonfiguration für Remotedatenverkehr einbinden können.

any

 

Datenverkehrsrichtungen, die Sie für die Spiegelung von Ports in Firewall-Filter-basierten Konfigurationen konfigurieren können.

Eingang und Ausgang

 

Gespiegelte Pakete, die eine Schnittstelle verlassen, die umgeschriebene Class-of-Service (CoS)-DSCP- oder 802.1p-Bits widerspiegeln.

Anwendbar

 

Pakete mit Fehlern auf physischer Ebene.

Anwendbar

Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analyzer gesendet.

Die Port-Spiegelung unterstützt keinen Datenverkehr mit Leitungsgeschwindigkeit.

Anwendbar

Port-Spiegelung für Datenverkehr mit Leitungsgeschwindigkeit erfolgt nach besten Kräften.

Spiegelung von Paketen, die ein VLAN austreten.

Nicht unterstützt

 

Port-Spiegelung oder Analyse-Ausgabe an einer LAG-Schnittstelle.

Unterstützt

 

Maximale Anzahl von untergeordneten Mitgliedern auf einer Portspiegelungs- oder Analyse-Ausgabe-LAG-Schnittstelle.

8

 

Maximale Anzahl von Schnittstellen in einem Remote-Portspiegelungs- oder Analyse-VLAN.

1

 

Ausgangsspiegelung von hostgenerierten Steuerpaketen.

Nicht unterstützt

 

Konfigurieren logischer Layer-3-Schnittstellen in der input Stanza eines Analyzers.

Nicht unterstützt

Diese Funktionalität kann durch die Konfiguration der Portspiegelung erreicht werden.

Die Ein- und Ausgangsstanzen von Analysegeräten, die Mitglieder desselben VLANs oder des VLANs selbst enthalten, müssen vermieden werden.

Anwendbar

 

Portspiegelung für Switches der Serien EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 und EX8200

Das Junos-Betriebssystem (Junos OS) von Juniper Networks, das auf switches der Serien EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 oder EX8200 ausgeführt wird, unterstützt keine Enhanced Layer 2 Software (ELS)-Konfigurationen. Daher enthält Junos OS weder die port-mirroring auf der Ebene der edit forwarding-options Hierarchie anderer Junos OS-Pakete gefundene Anweisung noch die port-mirror Aktion in Form von Firewall-Filtern.

Sie können Port-Spiegelung verwenden, um die Analyse des Datenverkehrs auf Ihrem Ethernet-Switch der EX-Serie von Juniper Networks auf Paketebene zu erleichtern. Sie können Portspiegelung als Teil der Überwachung des Switch-Datenverkehrs verwenden, z. B. zur Durchsetzung von Richtlinien zur Netzwerknutzung und Dateifreigabe und zur Identifizierung von Problemquellen in Ihrem Netzwerk, indem Sie eine abnormale oder starke Bandbreitennutzung durch bestimmte Stationen oder Anwendungen lokalisieren.

Mit Portspiegelung können Sie diese Pakete in eine lokale Schnittstelle oder in ein VLAN kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Sie können Kopien der Pakete, die in einige Ports gelangen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyse-Port oder das gleiche Analyzer-VLAN senden.

  • Pakete, die auf EX2200-, EX3200-, EX3300-, EX4200-, EX4500-, EX4550- oder EX6200-Switches ein VLAN eingeben

  • Pakete, die ein VLAN auf EX8200-Switches verlassen

Überblick

Port-Spiegelung wird für die Datenverkehrsanalyse auf einem Switch verwendet, da ein Switch im Gegensatz zu einem Hub nicht Pakete an jeden Port auf dem Zielgerät sendet. Der Switch sendet Pakete nur an den Port, an den das Zielgerät angeschlossen ist.

Sie konfigurieren die Portspiegelung auf dem Switch, um Kopien des Unicast-Datenverkehrs entweder an einen lokalen Analyse-Port oder ein Analyzer-VLAN zu senden. Dann können Sie den gespiegelten Datenverkehr mithilfe eines Protokollanalysegeräts analysieren. Der Protokollanalyseer kann entweder auf einem Computer ausgeführt werden, der an die Ausgabeschnittstelle des Analysegeräts angeschlossen ist, oder auf einer Remote-Überwachungsstation.

Sie können die Portspiegelung verwenden, um einen der folgenden Spiegelungen zu ermöglichen:

  • Packets entering or exiting a port— Sie können die Pakete in einer beliebigen Kombination von Paketen spiegeln, die in Ports bis zu 256 Ports eindringen oder verlassen.

    Mit anderen Worten, Sie können Kopien der Pakete, die in einige Ports gelangen, und die Pakete, die andere Ports verlassen, an denselben lokalen Analyse-Port oder das VLAN des Analyzers senden.

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— Sie können die Pakete spiegeln, die in ein VLAN in einem Analyse-VLAN eingegeben werden. Auf EX3200-, EX4200-, EX4500- und EX4550-Switches können Sie mehrere VLANs (bis zu 256 VLANs), einschließlich eines VLAN-Bereichs und PVLANs, als Eingangseingang zu einem Analyzer konfigurieren.

  • Packets exiting a VLAN on an EX8200 switch— Sie können die Pakete, die ein VLAN auf einem EX8200-Switch verlassen, entweder auf einen lokalen Analyse-Port oder auf ein Analyse-VLAN spiegeln. Sie können mehrere VLANs (bis zu 256 VLANs), einschließlich eines VLAN-Bereichs und PVLANs, als Ausgangseingang an einen Analyzer konfigurieren.

  • Statistical samples— Sie können eine statistische Stichprobe von Paketen spiegeln, die:

    • Ein- oder Ausstieg aus einem Port

    • VlaN-Eingabe auf einem EX2200-, EX3200-, EX3300-, EX4200-, EX4500-, EX4550- oder EX6200-Switch

    • Verlassen eines VLANs auf einem EX8200-Switch

    Sie geben die Beispielanzahl der Pakete an, indem Sie das Verhältnis festlegen. Sie können das Sample entweder an einen lokalen Analyse-Port oder an ein Analyse-VLAN senden.

  • Policy-based sample— Sie können ein richtlinienbasiertes Beispiel von Paketen spiegeln, die einen Port oder ein VLAN betreten. Sie konfigurieren einen Firewall-Filter , um eine Richtlinie zu erstellen, um die zu spiegelnden Pakete auszuwählen. Sie können das Sample an einen lokalen Analyse-Port oder an ein VLAN für Analysen senden.

Konfigurationsrichtlinien für die Switches der Serien EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 und EX8200

Bei der Konfiguration der Portspiegelung empfehlen wir, bestimmte Richtlinien zu befolgen, um sicherzustellen, dass Sie von der Portspiegelungsfunktion optimal profitieren. Darüber hinaus empfehlen wir, dass Sie die Portspiegelung deaktivieren, wenn Sie sie nicht verwenden, und dass Sie bestimmte Schnittstellen auswählen, für die Pakete gespiegelt werden müssen (d. h. bestimmte Schnittstellen als Eingang zum Analysegerät auswählen), im Gegensatz zu dem Schlüsselwort, das die all Portspiegelung auf allen Schnittstellen ermöglicht und die Gesamtleistung beeinträchtigen kann. Sie können auch die Menge des gespiegelten Datenverkehrs begrenzen, indem Sie statistische Stichproben verwenden, ein Verhältnis festlegen, um ein statistisches Muster auszuwählen, oder einen Firewall-Filter verwenden. Spiegelung nur der erforderlichen Pakete reduziert potenzielle Leistungseinbußen.

Bei der lokalen Portspiegelung wird der Datenverkehr von mehreren Ports zur Analyse-Ausgabeschnittstelle repliziert. Wenn die Ausgangsschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete abgebrochen. Bei der Konfiguration eines Analyzers müssen Sie daher prüfen, ob der spiegelungsfähige Datenverkehr die Kapazität der Analyse-Ausgabeschnittstelle überschreitet.

Anmerkung: "Alle anderen Switches" oder "Alle Switches" in der Beschreibung gelten für alle Switch-Plattformen, die Port-Spiegelung unterstützen. Weitere Informationen zur Plattformunterstützung finden Sie unter Feature Explorer.
Tabelle 2: Konfigurationsrichtlinien

Richtlinie

Beschreibung

Kommentar

Anzahl der VLANs, die Sie als Eingangseingang zu einem Analysegerät verwenden können

  • 1 – EX2200-Switches

  • 256 – Switches EX3200, EX4200, EX4500, EX4550 und EX6200

  • Nicht zutreffend – EX8200-Switches

 

Anzahl der gleichzeitig aktivierenden Analysegeräte (gilt sowohl für standalone Switches als auch für Virtual Chassis)

  • 1 – Switches EX2200, EX3200, EX4200, EX3300 und EX6200

  • 7 Port-basierte oder 1 globale Switches – EX4500- und EX4550-Switches

  • 7 insgesamt, mit einem basierend auf VLAN, Firewall-Filter oder LAG und mit den verbleibenden 6 auf Firewall-Filtern – EX8200-Switches

    Anmerkung:

    Ein mit einem Firewall-Filter konfigurierter Analyzer unterstützt keine Spiegelung von Paketen, die austretende Ports sind.

  • Sie können mehr als die angegebene Anzahl von Analysegeräten auf dem Switch konfigurieren , aber Sie können nur die angegebene Nummer für eine Sitzung aktivieren . Verwenden Sie disable ethernet-switching-options analyzer name zum Deaktivieren eines Analyzers.

  • Im nächsten Zeileneintrag in dieser Tabelle finden Sie eine Ausnahme zur Anzahl firewallfilterbasierter Analysegeräte, die auf EX4500- und EX4550-Switches zulässig sind.

  • Auf einem EX4550 Virtual Chassis können Sie nur einen Analyzer konfigurieren, wenn sich Ports in den Ein- und Ausgabedefinitionen auf verschiedenen Switches in einem Virtual Chassis befinden. Um mehrere Analysegeräte zu konfigurieren, muss eine gesamte Analysesitzung auf dem gleichen Switch eines Virtual Chassis konfiguriert werden.

Anzahl firewallfilterbasierter Analysegeräte, die auf EX4500- und EX4550-Switches konfiguriert werden können

  • 1 – EX4500- und EX4550-Switches

Wenn Sie mehrere Analysegeräte konfigurieren, können Sie keines davon an einen Firewall-Filter anschließen.

Arten von Ports, auf denen Der Datenverkehr nicht gespiegelt werden kann

  • Virtual Chassis-Ports (VCPs)

  • Management Ethernet-Ports (me0 oder vme0)

  • Routing-VLAN-Schnittstellen (RVIs)

  • VLAN-tagged Layer 3-Schnittstellen

 

Wenn die Portspiegelung so konfiguriert ist, dass Pakete gespiegelt werden, die 10-Gigabit Ethernet-Ports auf EX8200-Switches verlassen, werden Pakete sowohl im Netzwerk als auch im gespiegelten Datenverkehr unterbrochen, wenn die gespiegelten Pakete 60 Prozent des 10-Gigabit Ethernet-Port-Datenverkehrs überschreiten.

  • EX8200-Switches

 

Datenverkehrsrichtungen, für die Sie ein Verhältnis angeben können

  • Nur Eingang – EX8200-Switches

  • Eingang und Ausgang – Alle anderen Switches

 

Protokollfamilien, die Sie in einen Firewall-filterbasierten Remote-Analyzer einbinden können

  • Alle Switches außer inet und inet6– EX8200-Switches

  • Alle – Alle anderen Switches

Sie können und inet6 auf EX8200-Switches in einem lokalen Analysegerät verwendeninet.

Datenverkehrsrichtungen, die Sie für die Spiegelung von Ports in Firewall-Filter-basierten Konfigurationen konfigurieren können

  • Nur Eingang – Alle Switches

 

Gespiegelte Pakete an getaggten Schnittstellen können eine falsche VLAN-ID oder ethertype enthalten.

  • SOWOHL VLAN-ID als auch Ethertype – EX2200-Switches

  • Nur VLAN-ID – EX3200- und EX4200-Switches

  • Nur Ethertype : EX4500- und EX4550-Switches

  • Nicht zutreffend – EX8200-Switches

 

Gespiegelte Pakete, die eine Schnittstelle verlassen, spiegeln keine umgeschriebenen Class-of-Service (CoS)-DSCP- oder 802.1p-Bits wider.

  • Alle Switches

 

Der Analyzer fügt den gespiegelten Paketen des gerouteten Datenverkehrs einen falschen 802.1Q-Headerdot1q an oder spiegelt keine Pakete des gerouteten Datenverkehrs wieder, wenn ein Ausgangs-VLAN, das zu einer gerouteten VLAN-Schnittstelle (RVI) gehört, als Eingang für den Analyzer konfiguriert wird.

  • EX8200-Switches

  • Nicht zutreffend – Alle anderen Switches

Konfigurieren Sie als Problemumgehung einen Analyzer, der jeden Port (Member-Schnittstelle) des VLAN als Ausgangseingabe verwendet.

Pakete mit Fehlern auf physischer Ebene werden nicht an den lokalen oder Remote-Analyzer gesendet.

  • Alle Switches

Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analyzer gesendet.

Die Portspiegelungskonfiguration auf einer Layer-3-Schnittstelle mit der für ein VLAN konfigurierten Ausgabe ist auf EX8200-Switches nicht verfügbar.

  • EX8200-Switches

  • Nicht zutreffend – Alle anderen Switches

 

Die Port-Spiegelung unterstützt keinen Datenverkehr mit Leitungsgeschwindigkeit.

  • Alle Switches

Port-Spiegelung für Datenverkehr mit Leitungsgeschwindigkeit erfolgt nach besten Kräften.

In einem EX8200 Virtual Chassis muss der Ausgabeport eine LAG sein, um den Datenverkehr über das Virtual Chassis zu spiegeln.

  • EX8200 mit Virtual Chassis

  • Nicht zutreffend – Alle anderen Switches

In einem EX8200 Virtual Chassis:

  • Sie können LAG nur für native Analysegeräte als Monitorport konfigurieren.

  • Lag kann nicht als Monitorport für Analysegeräte basierend auf Firewall-Filtern konfiguriert werden.

  • Wenn eine Analysekonfiguration LAG als Monitorport enthält, können Sie VLAN nicht in der Eingabedefinition eines Analyzers konfigurieren.

In eigenständigen EX8200-Switches können Sie LAG in der Ausgabedefinition konfigurieren.

  • Eigenständige EX8200-Switches

  • Nicht zutreffend – Alle anderen Switches

In EX8200-Eigenständige Switches:

  • Sie können lag als Monitorport sowohl auf nativen als auch firewallbasierten Analysegeräten konfigurieren.

  • Wenn eine Konfiguration LAG als Monitorport enthält, können Sie VLAN nicht in der Eingabedefinition eines Analyzers konfigurieren.

Port-Spiegelung auf SRX-Geräten

Die Portspiegelung kopiert Pakete, die in einen Port eintreten oder den Port verlassen, und sendet die Kopien zur Überwachung an eine lokale Schnittstelle. Port-Spiegelung wird verwendet, um Datenverkehr an Anwendungen zu senden, die den Datenverkehr zu Zwecken wie Überwachung der Compliance, Durchsetzung von Richtlinien, Erkennung von Eindringversuchen, Überwachung und Vorhersage von Datenverkehrsmustern, Korrelierung von Ereignissen usw. analysieren. </para><para>Port-Spiegelung wird verwendet, um eine Kopie aller Pakete oder nur der auf einem Port gesehenen Stichprobenpakete an eine Netzwerküberwachungsverbindung zu senden. Sie können die Pakete entweder am eingehenden Port (Ingress-Port-Spiegelung) oder am ausgehenden Port (Egress-Port-Spiegelung) spiegeln.

Port-Spiegelung wird nur auf SRX-Geräten mit den folgenden E/A-Karten unterstützt:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex-E/A

Auf SRX-Geräten werden alle Pakete, die den mirrored Port passieren, kopiert und an den angegebenen mirror-to Port gesendet. Diese Ports müssen sich auf demselben Broadcom-Chipsatz in den E/A-Karten befinden.

Auf SRX-Geräten funktioniert die Portspiegelung nur an physischen Schnittstellen.

Informationen zur Layer-2-Portspiegelung

Auf Routingplattformen und Switches, die einen Internet Processor II ASIC enthalten, können Sie eine Kopie jedes eingehenden Pakets von der Routing-Plattform oder dem Switch zur Analyse an eine externe Hostadresse oder einen Paketanalyse-Server senden. Dies wird als Portspiegelung bezeichnet.

In Junos OS Version 9.3 und höher unterstützen die universellen 5G-Routing-Plattformen der MX-Serie von Juniper Networks in einer Layer-2-Umgebung Portspiegelung für Layer 2-Bridging-Datenverkehr und VPLS-Datenverkehr (Virtual Private LAN Service).

In Junos OS Version 9.4 und höher unterstützen Router der MX-Serie in einer Layer-2-Umgebung Portspiegelung für Layer 2-VPN-Datenverkehr über eine Circuit Cross-Connect (CCC), die logische Schnittstellen desselben Typs transparent verbindet.

In Junos OS Version 12.3R2 unterstützen Switches der EX-Serie von Juniper Networks Port-Spiegelung für Layer-2-Bridging-Datenverkehr.

Mit der Layer-Portspiegelung können Sie festlegen, wie ein- und ausgehende Pakete an bestimmten Ports überwacht werden und wie Kopien ausgewählter Pakete an ein anderes Ziel weitergeleitet werden, wo die Pakete analysiert werden können.

Router der MX-Serie und Switches der EX-Serie unterstützen Layer-2-Portspiegelung durch Durchführung von Flussüberwachungsfunktionen durch Verwendung einer Class-of-Service (CoS)-Architektur, die im Konzept ähnlich ist, sich jedoch insbesondere von anderen Routingplattformen und Switches unterscheidet.

Wie der Multiservice Edge-Router M120 und der Multiservice Edge-Router M320 unterstützen Router der MX-Serie und Switches der EX-Serie gleichzeitig die Spiegelung von IPv4-, IPv6- und VPLS-Paketen.

In einer Layer-3-Umgebung unterstützen Router der MX-Serie und Switches der EX-Serie die Spiegelung von IPv4- (family inet) und IPv6 (family inet6) Datenverkehr. Informationen zur Layer-3-Portspiegelung finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.

Layer 2-Portspiegelungseigenschaften

Port-Spiegelung gibt die folgenden Arten von Eigenschaften an:

Paketauswahl

Die Paketauswahleigenschaften der Layer 2-Portspiegelung geben an, wie die stichprobenfähigen Pakete für die Spiegelung ausgewählt werden sollen:

  • Die Anzahl der Pakete in jedem Beispiel.

  • Die Anzahl der Pakete, die von jedem Beispiel gespiegelt werden sollen.

  • Die Länge, in der gespiegelte Pakete abgeschnitten werden sollen.

Paketadressenfamilie

Der Paketadressfamilientyp gibt den Datenverkehrstyp an, der gespiegelt werden soll. In einer Layer-2-Umgebung unterstützen Router der MX-Serie und Switches der EX-Serie Portspiegelung für die folgenden Paketadressenfamilien:

  • Familientyp ethernet-switching– Für die Spiegelung von VPLS-Datenverkehr, wenn die physische Schnittstelle mit Kapselungstyp ethernet-bridgekonfiguriert ist.

  • Familientyp ccc– Für spiegelungsartigen Layer-2-VPN-Datenverkehr.

  • Familientyp vpls– Für die Spiegelung des VPLS-Datenverkehrs.

Anmerkung:

In typischen Anwendungen senden Sie gespiegelte Pakete direkt an einen Analyzer, nicht an einen anderen Router oder Switch. Wenn Sie gespiegelte Pakete über ein Netzwerk senden müssen, sollten Sie Tunnel verwenden. Für Layer-2-VPN-Implementierungen können Sie den Layer-2-VPN-Routinginstanztyp l2vpn verwenden, um die Pakete zu einem Remote-Ziel zu tunneln.

Informationen zur Konfiguration einer Routing-Instanz für Layer 2-VPN finden Sie in der Junos OS VPNs Library for Routing Devices. Eine detaillierte Layer-2-VPN-Beispielkonfiguration finden Sie unter Junos OS. Informationen zu Tunnelschnittstellen finden Sie in der Junos OS Network Interfaces Library für Routinggeräte.

Spiegelungszieleigenschaften

Für eine bestimmte Paketadressfamilie geben die Spiegelungszieleigenschaften einer Layer-2-Portspiegelinstanz an, wie die ausgewählten Pakete an eine bestimmte physische Schnittstelle gesendet werden sollen:

  • Die physische Schnittstelle, auf der die ausgewählten Pakete gesendet werden sollen.

  • Ob die Filterprüfung für die Spiegelungszielschnittstelle deaktiviert werden soll. Standardmäßig ist die Filterprüfung an allen Schnittstellen aktiviert.

    Anmerkung:

    Wenn Sie einen Filter auf eine Schnittstelle anwenden, die auch ein Layer-2-Ziel für die Portspiegelung ist, tritt ein Commit-Fehler auf, es sei denn, Sie haben die Filterprüfung für diese Spiegelungszielschnittstelle deaktiviert.

Mirror-Once-Option

Wenn die Portspiegelung sowohl an den Eingangs- als auch an den Ausgangsschnittstellen aktiviert ist, können Sie verhindern, dass der Router der MX-Serie und ein Switch der EX-Serie doppelte Pakete an das gleiche Ziel senden (was die Analyse des gespiegelten Datenverkehrs erschweren würde).

Anmerkung:

Bei der Spiegelungsoption für spiegelungsbasierte Ports handelt es sich um eine globale Einstellung. Die Option ist unabhängig von den Paketauswahleigenschaften und den typspezifischen Spiegelungszieleigenschaften der Paketfamilie.

Anwendung von Layer-2-Portspiegelungstypen

Sie können verschiedene Sätze von Layer 2-Portspiegelungseigenschaften auf die VPLS-Pakete an verschiedenen Eingangs- oder Ausgangspunkten einer MX-Serie oder einer Route der EX-Serie anwenden.

Tabelle 3 beschreibt die drei Arten von Layer-2-Portspiegelung , die Sie auf Routern der MX-Serie und Switches der EX-Serie konfigurieren können: globale Instanz, benannte Instanzen und Firewall-Filter.

Tabelle 3: Anwendung von Layer-2-Portspiegelungstypen

Typ der Layer 2-Portspiegelungsdefinition

Anwendungsort

Umfang der Spiegelung

Beschreibung

Konfigurationsdaten

Globale Instanz der Layer 2-Portspiegelung

Alle Ports im Router- (oder Switch-Gehäuse) der MX-Serie.

VPLS-Pakete, die an allen Ports im Router- oder Switch-Gehäuse der MX-Serie empfangen wurden.

Wenn sie konfiguriert ist, gelten die globalen Portspiegelungseigenschaften implizit für alle VPLS-Pakete, die an allen Ports im Router- (oder Switch)-Gehäuse empfangen werden.

Siehe Konfigurieren der globalen Instanz der Layer 2-Portspiegelung

Benannte Instanz der Layer 2-Portspiegelung

Ports, die auf FPC-Ebene gruppiert sind

Siehe Bindung von Layer 2-Portspiegelung zu Ports, die auf FPC-Ebene gruppiert sind.

VPLS-Pakete, die an Ports empfangen werden, die einer bestimmten DPC oder FPC und ihren Packet Forwarding Engines zugeordnet sind.

Überschreibt alle von der globalen Portspiegelungsinstanz konfigurierten Portspiegelungseigenschaften.

Siehe Definition einer benannten Instanz der Layer-2-Portspiegelung.

Die Anzahl der portbasierten Spiegelungsziele, die für einen Router der MX-Serie und für einen Switch der EX-Serie unterstützt werden, ist auf die Anzahl der Packet Forwarding Engines beschränkt, die auf den im Router- oder Switch-Gehäuse installierten DPCs oder FPCs enthalten sind.

Auf PIC-Ebene gruppierte Ports

Siehe Bindung von Layer 2-Portspiegelung zu ports, die auf PIC-Ebene gruppiert sind.

VPLS-Pakete, die an Ports empfangen werden, die einer bestimmten Packet Forwarding Engine zugeordnet sind.

Überschreibt alle auf FPC-Ebene oder in der globalen Portspiegelungsinstanz konfigurierten Portspiegelungseigenschaften.

Layer-2-Port-Spiegelungs-Firewall-Filter

Logische Schnittstelle (einschließlich einer aggregierten Ethernet-Schnittstelle)

Siehe Anwenden der Layer-2-Portspiegelung auf eine logische Schnittstelle.

VPLS-Pakete, die an einer logischen Schnittstelle empfangen oder gesendet werden.

In der Firewall-Filterkonfiguration enthalten Sie Aktions - und Action-Modifier-Begriffe , die auf die pakete angewendet werden können, die für die Spiegelung ausgewählt wurden:

  • Die acceptAktion wird empfohlen.

  • Der port-mirror Modifikator verweist implizit auf die Portspiegelungseigenschaften, die derzeit an die zugrunde liegenden physischen Schnittstellen gebunden sind.

  • Der port-mirror-instance pm-instance-name Modifikator verweist ausdrücklich auf eine benannte Instanz der Portspiegelung.

  • (Optional) Geben Sie für die Eingabepakete der Tunnelschnittstelle nur den Modifikator ein, next-hop-group next-hop-group-name um die Pakete zu zusätzlichen Zielen zu spiegeln. Dieser Modifikator verweist auf eine Next-Hop-Gruppe, die die Next-Hop-Adressen angibt (zum Senden zusätzlicher Kopien von Paketen an einen Analyzer).

Siehe Definition eines Layer-2-Firewall-Filters zur Portspiegelung.

Anmerkung:

Firewall-Filter zur Layer-2-Portspiegelung werden für logische Systeme nicht unterstützt.

Informationen zur Spiegelung von Eingangspaketen der Tunnelschnittstelle zu mehreren Zielen finden Sie auch unter Definieren einer Next-Hop-Gruppe für Layer 2-Portspiegelung.

VLAN-Weiterleitungstabelle oder Flood-Tabelle

Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird.

Layer 2-Datenverkehr weitergeleitet oder an ein VLAN überflutet

VPLS-Routinginstanzweiterleitungstabelle oder Flood-Tabelle

Siehe Anwenden von Layer-2-Portspiegelung auf Datenverkehr, der an eine VPLS-Routinginstanz weitergeleitet oder überflutet wurde.

Layer 2-Datenverkehr weitergeleitet oder an eine VPLS-Routinginstanz überflutet

Beschränkungen der Layer 2-Portspiegelung

Für die Layer-2-Portspiegelung gelten die folgenden Einschränkungen:

  • Es können nur Layer-2-Transitdaten (Pakete, die große Datenmengen enthalten, die auf der Routing-Plattform oder dem Switch übertragen werden, während sie von einer Quelle an ein Ziel weitergeleitet werden) gespiegelt werden. Lokale Layer 2-Daten (Pakete, die Blöcke von Daten enthalten, für die die Routing-Engine bestimmt oder gesendet wird, z. B. Layer 2-Kontrollpakete) werden nicht gespiegelt.

  • Wenn Sie einen Portspiegelungsfilter auf die Ausgabe einer logischen Schnittstelle anwenden, werden nur Unicast-Pakete gespiegelt. Um Broadcast-Pakete, Multicast-Pakete, Unicast-Pakete mit einer unbekannten Mac-Adresse (Destination Media Access Control) oder Pakete mit einem MAC-Eintrag in der Ziel-MAC (DMAC)-Routingtabelle zu spiegeln, wenden Sie einen Filter auf die Eingabe in die Flood-Tabelle einer VLAN- oder VPLS-Routinginstanz an.

  • Das Spiegelungszielgerät sollte in einem dedizierten VLAN ausgeführt werden und darf an keiner Bridging-Aktivität teilnehmen; das Spiegelungszielgerät sollte keine Brücke zum zielenden Datenverkehrsziel haben, und das Spiegelungszielgerät sollte die gespiegelten Pakete nicht an die Quelladresse zurücksenden.

  • Für die globale Portspiegelungsinstanz oder eine benannte Port-Spiegelungsinstanz können Sie pro Port-Spiegelungsinstanz und Paketadressenfamilie nur eine Spiegelungs-Ausgabeschnittstelle konfigurieren. Wenn Sie mehr als eine interface Erklärung in die family (ethernet-switching | ccc | vpls) output Erklärung aufnehmen, wird die vorherige interface Erklärung außer Kraft gesetzt.

  • Firewall-Filterung mit Layer 2-Portspiegelung wird für logische Systeme nicht unterstützt.

    In einer Firewall-Definition zur Layer-2-Portspiegelung stützt sich der action-modifier Filter (port-mirror oder port-mirror-instance pm-instance-name) auf die in der globalen Instanz definierten Portspiegelungseigenschaften oder benannten Instanzen der Layer 2-Portspiegelung, die in der [edit forwarding-options port-mirroring] Hierarchie konfiguriert sind. Daher kann der Filter layer term 2-Portspiegelung für logische Systeme nicht unterstützen.

  • Für einen Layer-2-Portspiegelungs-Firewall-Filter, bei dem Sie implizit auf Layer 2-Portspiegelungseigenschaften verweisen, indem Sie die port-mirror Anweisung einbeziehen. Wenn mehrere benannte Instanzen von Layer 2-Portspiegelung an die zugrunde liegende physische Schnittstelle gebunden sind, wird an der logischen Schnittstelle nur die erste Bindung in der Stanza (oder die einzige Bindung) verwendet. Dies dient der Abwärtskompatibilität.

  • Layer-2-Firewall-Filter für die Portspiegelung unterstützen die Verwendung von Next-Hop-Untergruppen für load-balancing-gespiegelten Datenverkehr nicht.