Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Port-Spiegelung und Analysatoren

SUMMARY In diesem Abschnitt wird beschrieben, wie die Portspiegelung Netzwerkdatenverkehr an Analyseanwendungen sendet.

Grundlegendes zu Port-Spiegelung und Analysatoren

Port-Spiegelung und Analysetools senden Netzwerkverkehr an Geräte, auf denen Analyseanwendungen ausgeführt werden. Ein Port-Mirror kopiert den Layer-3-IP-Datenverkehr auf eine Schnittstelle. Ein Analyzer kopiert Bridge-Pakete (Layer 2) auf eine Schnittstelle. Gespiegelter Datenverkehr kann von einer oder mehreren Schnittstellen stammen. Sie können ein Gerät, das an eine Spiegelausgabeschnittstelle angeschlossen ist, auf der eine Analyseanwendung ausgeführt wird, verwenden, um Aufgaben wie die Überwachung der Compliance, die Durchsetzung von Richtlinien, die Erkennung von Eindringlingen, die Überwachung der Netzwerkleistung, die Korrelation von Ereignissen und andere Probleme im Netzwerk auszuführen.

Auf Routern, die einen Internet Processor II ASIC (Application-Specific Integrated Circuit) oder einen Internetprozessor der T-Serie enthalten, kopiert die Port-Spiegelung Unicast-Pakete, die in einen Port ein- oder ausgehen oder in ein VLAN eintreten, und sendet diese Kopien zur lokalen Überwachung an eine lokale Schnittstelle oder zur Fernüberwachung an ein VLAN. Der gespiegelte Datenverkehr wird von Anwendungen empfangen, die Sie bei der Analyse dieses Datenverkehrs unterstützen.

Die Portspiegelung unterscheidet sich vom Traffic-Sampling. Beim Traffic Sampling wird ein Samplingschlüssel, der auf dem IPv4-Header basiert, an die Routing-Engine gesendet, wo ein Schlüssel in einer Datei abgelegt oder cflowd wird. Pakete, die auf diesem Schlüssel basieren, werden an einen cflowd-Server gesendet. Bei der Port-Spiegelung wird das gesamte Paket kopiert und über die angegebene Schnittstelle gesendet, wo es im Detail erfasst und analysiert werden kann.

Verwenden Sie die Portspiegelung, um Datenverkehr an Geräte zu senden, die den Datenverkehr analysieren, z. B. zur Überwachung der Compliance, zur Durchsetzung von Richtlinien, zur Erkennung von Eindringlingen, zur Überwachung und Vorhersage von Datenverkehrsmustern, zur Korrelation von Ereignissen usw. Die Portspiegelung ist erforderlich, wenn Sie eine Datenverkehrsanalyse durchführen möchten, da ein Switch normalerweise Pakete nur an den Port sendet, mit dem das Zielgerät verbunden ist. Wahrscheinlich möchten Sie die ursprünglichen Pakete nicht zur Analyse senden, bevor sie weitergeleitet werden, da dies zu einer Verzögerung führen würde. Daher besteht die gängige Alternative darin, die Portspiegelung so zu konfigurieren, dass Kopien des Unicast-Datenverkehrs an eine andere Schnittstelle gesendet werden, und eine Analyseanwendung auf einem Gerät auszuführen, das mit dieser Schnittstelle verbunden ist.

Um die Portspiegelung zu konfigurieren, konfigurieren Sie eine Portspiegelungsinstanz. Geben Sie jedoch keine Eingabe dafür an. Erstellen Sie stattdessen einen Firewallfilter, der den erforderlichen Datenverkehr angibt und an die Instanz weiterleitet. Verwenden Sie dazu die Aktion in einem Begriff des Filters.port-mirrorthen Der Firewall-Filter muss als konfiguriert sein.family inet

Achten Sie bei der Konfiguration der Portspiegelung auf die Leistung. Wenn Sie den Firewallfilter so konfigurieren, dass nur die erforderlichen Pakete gespiegelt werden, wird die Möglichkeit von Leistungseinbußen verringert.

Sie können eine analyzer-Anweisung konfigurieren, um sowohl den Eingabedatenverkehr als auch den Ausgabedatenverkehr in derselben Analysekonfiguration zu definieren. Bei dem zu analysierenden Datenverkehr kann es sich um Datenverkehr handeln, der in eine Schnittstelle ein- oder ausgeht, oder um Datenverkehr, der in ein VLAN eintritt. Die Analysekonfiguration ermöglicht es Ihnen, diesen Datenverkehr an eine Ausgabeschnittstelle, eine Instanz oder ein VLAN zu senden. Sie können einen Analyzer in der Hierarchie konfigurieren.[edit forwarding-options analyzer]

HINWEIS:

Wenn Sie auf Switches der EX-Serie eine Schnittstelle in einem Remote-Port-Spiegelungs-VLAN deaktivieren, müssen Sie die deaktivierte Schnittstelle erneut aktivieren und die Analysesitzung neu konfigurieren, um die Port-Spiegelung fortzusetzen.

Sie können die Portspiegelung verwenden, um Folgendes zu kopieren:

  • Alle Pakete, die in beliebiger Kombination in eine Schnittstelle ein- oder ausgehen. Kopien von Paketen, die in einige Schnittstellen eingehen, und Pakete, die andere Schnittstellen verlassen, können an dieselbe lokale Schnittstelle oder dasselbe VLAN gesendet werden. Wenn Sie die Port-Spiegelung so konfigurieren, dass Pakete, die eine Schnittstelle verlassen, kopiert werden, wird der Datenverkehr, der von diesem Switch oder Node-Gerät (in einem QFabric-System) stammt , nicht kopiert, wenn er ausgeht. Beim Ausgang wird nur der geswitchte Datenverkehr kopiert. (Siehe die Einschränkung der Ausgangsspiegelung weiter unten.)

  • Einige oder alle Pakete, die in ein VLAN eingehen. Sie können die Portspiegelung nicht verwenden, um Pakete zu kopieren, die ein VLAN verlassen.

  • Ein durch die Firewall gefiltertes Beispiel von Paketen, die in einen Port oder ein VLAN eingehen.

  • Firewall-Filter werden auf Ausgangsports nicht unterstützt. Das heißt, Sie können kein richtlinienbasiertes Sampling von Paketen angeben, die eine Schnittstelle verlassen

  • In VXLAN-Umgebungen wird die auf Firewall-Filtern basierende Port-Spiegelung auf Core- oder Spine-Schnittstellen nicht unterstützt.

Sie können sowohl das Datenverkehrs-Sampling als auch die Port-Spiegelung konfigurieren, indem Sie eine unabhängige Samplingrate und -laufzeit für Port-gespiegelte Pakete festlegen. Wenn ein Paket jedoch sowohl für das Traffic-Sampling als auch für das Port-Mirroring ausgewählt wird, wird nur das Port-Mirroring ausgeführt, da es Vorrang hat. Mit anderen Worten: Wenn Sie eine Schnittstelle so konfigurieren, dass jedes an die Schnittstelle eingegebene Paket abgetastet wird und die Portspiegelung auch das Paket auswählt, das kopiert und an den Zielport gesendet werden soll, wird nur der Portspiegelungsprozess ausgeführt. Datenverkehrspakete, die nicht für die Portspiegelung ausgewählt wurden, werden weiterhin abgetastet und an den cflowd-Server weitergeleitet.

Begriffe und Definitionen für Port-Spiegelung und -Analyse

Die folgenden Tabellen enthalten Begriffe und Definitionen für die Dokumentation zu Portspiegelung und -analyse.

Tabelle 1: Terminologie
Begriff Definition

Analyzer

Für EX2300-, EX3400- oder EX4300-Switches in einer Spiegelungskonfiguration (Analyzer) auf einem Der Analyzer umfasst:

  • Der Name des Analysators
  • Quell-Ports (Eingang) oder VLAN (optional)

Analyzer-Instanz

Port-Mirroring-Konfiguration, die einen Namen, Quellschnittstellen oder Quell-VLAN und ein Ziel für gespiegelte Pakete (entweder eine lokale Schnittstelle oder ein VLAN) enthält.

Analyzer-Ausgangsschnittstelle (auch als Monitor-Port bezeichnet)

Schnittstelle, an die gespiegelter Datenverkehr gesendet wird und mit der eine Protokollanalyseanwendung verbunden ist.

Bei EX2300-, EX3400- und EX4300-Switches müssen Schnittstellen, die als Ausgang für einen Analysator verwendet werden, als Familien-Ethernet-Switching konfiguriert werden. Darüber hinaus gelten die folgenden Einschränkungen für die Ausgangsschnittstellen des Analysators:

  • Kann nicht auch ein Quellport sein.
  • Kann nicht zum Umschalten verwendet werden.
  • Sie dürfen nicht an Layer-2-Protokollen wie dem Spanning Tree Protocol (STP) teilnehmen, wenn diese Teil einer Portspiegelungskonfiguration sind.
  • Wenn die Bandbreite der Ausgangsschnittstelle des Analysators nicht ausreicht, um den Datenverkehr von den Quellports zu verarbeiten, werden Überlaufpakete verworfen.

Analyzer-VLAN (auch als Monitor-VLAN bezeichnet)

 VLAN, an das gespiegelter Datenverkehr gesendet wird. Der gespiegelte Datenverkehr kann von einer Protokollanalyseanwendung verwendet werden. Die Mitgliedsschnittstellen im Monitor-VLAN sind über die Switches in Ihrem Netzwerk verteilt.
Bridge-Domain-basierter Analysator Eine Analysesitzung, die für die Verwendung von Bridge-Domänen für Eingabe, Ausgabe oder beides konfiguriert ist.
Standard-Analysator Ein Analysetool mit Standard-Spiegelungsparametern. Standardmäßig beträgt die Spiegelungsrate 1 und die maximale Paketlänge ist die Länge des gesamten Pakets.
Globaler Port-Mirror Eine Portspiegelungskonfiguration ohne Instanznamen. Die Firewall-Filteraktion port-mirror ist die Aktion für die Konfiguration des Firewall-Filters.

Eingangsschnittstelle (auch als gespiegelte oder überwachte Schnittstelle bezeichnet)

Eine Schnittstelle, die Datenverkehr an die Spiegelschnittstelle kopiert. Dieser Datenverkehr kann in die Schnittstelle ein- oder ausgehen (Eingang oder Ausgang).

Eine gespiegelte Eingangsschnittstelle kann nicht als Ausgabeschnittstelle für das Analysegerät verwendet werden.

LAG-basierter Analysator Ein Analysegerät, für das in der Analysekonfiguration eine Link Aggregation Group (LAG) als Eingabeschnittstelle (Eingang) angegeben ist.

Lokale Portspiegelung

Eine Port-Mirroring-Konfiguration, bei der die gespiegelten Pakete auf eine Schnittstelle auf demselben Switch kopiert werden.
Leitstelle Ein Computer, auf dem eine Protokollanalyseanwendung ausgeführt wird.
Next-Hop-basierter Analysator Eine Analyzer-Konfiguration, die die Next-Hop-Gruppe als Ausgabe für einen Analyzer verwendet.
Native Analysesitzung Eine Analysesitzung, deren Analysekonfiguration sowohl Eingabe- als auch Ausgabedefinitionen enthält.
Richtlinienbasierte Spiegelung

Spiegelung von Paketen, die einem Firewall-Filterbegriff entsprechen. Die Aktion wird im Firewallfilter verwendet, um bestimmte Pakete an den Analyzer zu senden.analyzer analyzer-name

Portbasierter Analysator Eine Analysesitzung, deren Konfiguration Schnittstellen für die Eingabe und die Ausgabe definiert.

Port-Spiegelungsinstanz

Eine Portspiegelungskonfiguration, die keine Eingabequelle angibt. Es wird nur ein Ausgabeziel angegeben. Für die Eingangsquelle muss eine Firewall-Filterkonfiguration definiert werden. Eine Firewallfilterkonfiguration muss definiert werden, um Pakete zu spiegeln, die den im Firewallfilterbegriff definierten Übereinstimmungsbedingungen entsprechen. Der Aktionspunkt port-mirror-instance instance-name in der Firewall-Filterkonfiguration wird verwendet, um Pakete an den Analyzer zu senden, und diese Pakete bilden die Eingabequelle.

Verwenden Sie die Aktion in der Firewall-Filterkonfiguration, um Pakete an den Port-Mirror zu senden.port-mirror-instance instance-name

HINWEIS: Die Portspiegelungsinstanz wird auf NFX150-Geräten nicht unterstützt.
Protokollanalysator-Anwendung Eine Anwendung zum Untersuchen von Paketen, die über ein Netzwerksegment übertragen werden. Wird auch als Netzwerkanalysator, Paket-Sniffer oder Probe bezeichnet.

Ausgabeschnittstelle (auch als Monitorschnittstelle bezeichnet)

Die Schnittstelle, an die die Kopien der Pakete gesendet werden und an die ein Gerät angeschlossen ist, auf dem ein Analysegerät ausgeführt wird.

Die folgenden Einschränkungen gelten für eine Ausgabeschnittstelle (die Zielspiegelschnittstelle):

  • Kann nicht auch ein Quellport sein.

  • Kann nicht zum Umschalten verwendet werden.

  • Es darf sich nicht um eine aggregierte Ethernet-Schnittstelle (LAG) handeln.

  • Kann nicht an Layer-2-Protokollen wie dem Spanning Tree Protocol (STP) teilnehmen.

  • Vorhandene VLAN-Zuordnungen gehen verloren, wenn die Portspiegelung auf die Schnittstelle angewendet wird.

  • Pakete werden verworfen, wenn die Kapazität der Ausgabeschnittstelle nicht ausreicht, um den Datenverkehr von den gespiegelten Quellports zu verarbeiten.

Ausgangs-IP-Adresse

IP-Adresse des Geräts, auf dem eine Analyseanwendung ausgeführt wird. Das Gerät kann sich in einem Remote-Netzwerk befinden.

Wenn Sie diese Funktion verwenden:

  • Gespiegelte Pakete sind GRE-gekapselt. Die Analyseanwendung muss in der Lage sein, GRE-gekapselte Pakete zu entkapseln, oder die GRE-gekapselten Pakete müssen entkapselt werden, bevor sie die Analyseanwendung erreichen. (Sie können einen Netzwerk-Sniffer verwenden, um die Pakete zu entkapseln.)

  • Die Ausgangs-IP-Adresse darf sich nicht im selben Subnetz wie eine der Switch-Managementschnittstellen befinden.

  • Wenn Sie virtuelle Routinginstanzen und eine Analysekonfiguration erstellen, die eine Ausgabe-IP-Adresse enthält, gehört die Ausgabe-IP-Adresse zur virtuellen Standard-Routinginstanz (Routing-Tabelle inet.0).

Ausgangs-VLAN (auch als Monitor- oder Analyse-VLAN bezeichnet)

VLAN an den Ort, an den Kopien der Pakete gesendet werden und an den ein Gerät angeschlossen ist, auf dem ein Analysator ausgeführt wird. Das Analyzer-VLAN kann sich über mehrere Switches erstrecken.

Die folgenden Einschränkungen gelten für ein Ausgabe-VLAN:

  • Es darf sich nicht um ein privates VLAN oder einen VLAN-Bereich handeln.

  • Kann nicht von mehreren Anweisungen gemeinsam genutzt werden.analyzer

  • Kann nicht Mitglied eines anderen VLANs sein.

  • Es darf sich nicht um eine aggregierte Ethernet-Schnittstelle (LAG) handeln.

  • Bei einigen Switches kann nur eine Schnittstelle Mitglied des Analyzer-VLANs sein. Diese Einschränkung gilt nicht für den QFX10000-Switch. Wenn eingehender Datenverkehr gespiegelt wird, können mehrere QFX10000-Schnittstellen zum Ausgabe-VLAN gehören, und der Datenverkehr wird von all diesen Schnittstellen gespiegelt. Wenn der ausgehende Datenverkehr auf einem QFX10000 Switch gespiegelt wird, kann nur eine Schnittstelle Mitglied des Analyzer-VLANs sein.

Remote-Port-Spiegelung

Funktioniert genauso wie die lokale Port-Spiegelung, mit der Ausnahme, dass der gespiegelte Datenverkehr nicht an einen lokalen Analyzer-Port kopiert wird, sondern an ein Analyse-VLAN, das Sie speziell für den Empfang von gespiegeltem Datenverkehr erstellen.

Sie können keine gespiegelten Pakete an eine entfernte IP-Adresse auf einem QFabric-System senden.
VLAN-basierter Analysator Eine Analysesitzung, deren Konfiguration VLANs sowohl für die Eingabe als auch für die Ausgabe oder für die Eingabe oder Ausgabe verwendet.

Siehe auch

Instance-Typen

Um die Portspiegelung zu konfigurieren, konfigurieren Sie eine Instanz eines der folgenden Typen:

  • Analyzer-Instanz: Geben Sie die Eingabe und Ausgabe für die Instanz an. Dieser Instance-Typ ist nützlich, um sicherzustellen, dass der gesamte Datenverkehr, der eine Schnittstelle passiert oder in ein VLAN gelangt, gespiegelt und an den Analyzer gesendet wird.

  • Port-Mirroring-Instanz: Sie erstellen einen Firewall-Filter, der den gewünschten Datenverkehr identifiziert und an den Mirror-Port kopiert. Für diesen Instanztyp geben Sie keine Eingabe an. Dieser Instance-Typ ist nützlich, um die Datenverkehrstypen zu steuern, die gespiegelt werden. Sie können den Datenverkehr auf folgende Weise dorthin leiten:

    • Geben Sie den Namen der Portspiegelungsinstanz im Firewallfilter an, indem Sie die Aktion verwenden, wenn mehrere Portspiegelungsinstanzen definiert sind.port-mirror-instance instance-name

    • Senden Sie die gespiegelten Pakete an die in der Instanz definierte Ausgabeschnittstelle, indem Sie die Aktion verwenden, wenn nur eine Portspiegelungsinstanz definiert ist.port-mirror

Für QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, EX4600- und EX4650-Switches gelten die folgenden Richtlinien für die Port-Spiegelung:

  • Es können maximal vier Portspiegelungsinstanzen oder vier Analysesitzungen gleichzeitig konfiguriert werden. Mit anderen Worten, es ist nicht möglich, vier Portspiegelungsinstanzen und vier Analysesitzungen zusammen zu konfigurieren.
  • Wenn keine Portspiegelungsinstanzen vorhanden sind (d. h., nur Analysesitzungen konfiguriert sind), können Sie bis zu drei Analysesitzungen für die Eingangs- und Ausgangsspiegelung aktivieren. Die verbleibende Analysesitzung darf nur für die Eingangsspiegelung verwendet werden.
  • Wenn Sie nur eine Portspiegelungsinstanz konfiguriert haben, können Sie von den verbleibenden Instanzen bis zu drei Analysetools für die Eingangsspiegelung und zwei Analysetools für die Ausgangsspiegelung konfigurieren.
  • Wenn Sie zwei Portspiegelungsinstanzen konfiguriert haben, können Sie von den verbleibenden Instanzen bis zu zwei Analysetools für die Eingangsspiegelung und einen Analyseanalyzer für die Ausgangsspiegelung konfigurieren.
  • Wenn Sie drei Port-Spiegelungsinstanzen konfiguriert haben, kann die verbleibende Instanz nur als Analyzer konfiguriert werden (entweder für Eingangs- oder Ausgangsspiegelung).

Port-Spiegelung und STP

Das Verhalten von STP in einer Port-Mirroring-Konfiguration hängt von der verwendeten Version von Junos OS ab:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 oder früher, Junos OS 13.2X52: Wenn STP aktiviert ist, ist die Portspiegelung möglicherweise nicht erfolgreich, da STP die gespiegelten Pakete blockieren könnte.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: STP ist für gespiegelten Datenverkehr deaktiviert. Sie müssen sicherstellen, dass Ihre Topologie Schleifen dieses Datenverkehrs verhindert.

Einschränkungen und Einschränkungen

Für die Portspiegelung gelten die folgenden Einschränkungen:

Wenn nur die für die Analyse erforderlichen Pakete gespiegelt werden, verringert sich die Wahrscheinlichkeit, dass die Gesamtleistung verringert wird. Wenn Sie Datenverkehr von mehreren Ports spiegeln, kann der gespiegelte Datenverkehr die Kapazität der Ausgabeschnittstelle überschreiten. Die Überlaufpakete werden verworfen. Es wird empfohlen, die Menge des gespiegelten Datenverkehrs durch die Auswahl bestimmter Schnittstellen zu begrenzen und die Verwendung des Schlüsselworts zu vermeiden.all Sie können die Menge des gespiegelten Datenverkehrs auch begrenzen, indem Sie einen Firewallfilter verwenden, um bestimmten Datenverkehr an die Portspiegelungsinstanz zu senden.

  • Sie können insgesamt vier Port-Mirroring-Konfigurationen erstellen.

  • Auf EX9200-Switches wird die Portspiegelung auf EX9200-15C-Linecards nicht unterstützt.

  • Jede Node-Gruppe in einem QFabric-System unterliegt den folgenden Einschränkungen:

    • Bis zu vier der Konfigurationen können für die lokale Portspiegelung verwendet werden.

    • Bis zu drei der Konfigurationen können für die Remote-Port-Spiegelung verwendet werden.

  • Unabhängig davon, ob Sie einen Standalone-Switch oder eine Node-Gruppe konfigurieren:

    • Es darf nicht mehr als zwei Konfigurationen geben, die den eingehenden Datenverkehr widerspiegeln. Wenn Sie einen Firewallfilter so konfigurieren, dass gespiegelter Datenverkehr an einen Port gesendet wird, zählt dies als Eingangsspiegelungskonfiguration für den Switch oder die Knotengruppe, auf die der Filter angewendet wird.

    • Es darf nicht mehr als zwei Konfigurationen geben, die den ausgehenden Datenverkehr widerspiegeln.

    • Auf QFabric-Systemen gibt es keine systemweite Begrenzung für die Gesamtzahl der Mirror-Sitzungen.

  • Sie können nur einen Ausgabetyp in einer Portspiegelungskonfiguration konfigurieren, um eine Anweisung abzuschließen:set analyzer name output

    • interface

    • ip-address

    • vlan

  • Konfigurieren Sie die Spiegelung in einem Analysetool (mit ) auf nur einer logischen Schnittstelle für dieselbe physische Schnittstelle.set forwarding-options analyzer Wenn Sie versuchen, die Spiegelung auf mehreren logischen Schnittstellen zu konfigurieren, die auf einer physischen Schnittstelle konfiguriert sind, wird nur die erste logische Schnittstelle erfolgreich konfiguriert. Die übrigen logischen Schnittstellen geben Konfigurationsfehler zurück.

  • Wenn Sie ausgehende Pakete spiegeln, konfigurieren Sie nicht mehr als 2000 VLANs auf einem Standalone-Switch oder QFabric-System. Wenn Sie dies tun, enthalten einige VLAN-Pakete möglicherweise falsche VLAN-IDs. Dies gilt für alle VLAN-Pakete, nicht nur für die gespiegelten Kopien.

  • Die Optionen und werden nicht unterstützt.ratioloss-priority

  • Pakete mit Fehlern auf der physikalischen Ebene werden nicht an den Ausgabeport oder das VLAN gesendet.

  • Wenn Sie die sFlow-Überwachung zum Prüfen des Datenverkehrs verwenden, werden die Spiegelkopien beim Verlassen der Ausgabeschnittstelle nicht abgetastet.

  • Pakete, die die folgenden Ports verlassen oder betreten, können nicht gespiegelt werden:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Verwaltungsschnittstellen (me0 oder vme0)

    • Fibre-Channel-Schnittstellen

    • Integrierte Routing- und Bridging-Schnittstellen (IRB-Schnittstellen) (auch als geroutete VLAN-Schnittstellen oder RVIs bezeichnet)

  • In einer Port-Mirroring-Instanz können Sie keine inet- oder inet6-Schnittstelle als Ausgabeschnittstelle konfigurieren. Die folgenden Switches unterstützen die Konfiguration nicht:set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name>

    Tabelle 2: Switches, die die Familie inet/inet6 nicht als Ausgangsschnittstelle unterstützen
    EX-Switches Switches der QFX-Serie

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein, wenn es sich bei der Eingabe um ein VLAN handelt oder wenn Datenverkehr mithilfe eines Firewall-Filters an den Analyzer gesendet wird.

  • Wenn gespiegelte Pakete von einer Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen geändert, die möglicherweise auf die ursprünglichen Pakete beim ausgehenden Datenverkehr angewendet werden, z. B. CoS-Umschreibungen.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (z. B. ARP-, ICMP-, BPDU- und LACP-Pakete) können beim ausgehenden Datenverkehr nicht gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

  • (Nur QFabric-Systeme) Wenn Sie einen QFabric-Analyzer so konfigurieren, dass er den ausgehenden Datenverkehr spiegelt, und sich die Ein- und Ausgabeschnittstellen auf unterschiedlichen Node-Geräten befinden, haben die gespiegelten Kopien falsche VLAN-IDs.

    Diese Einschränkung gilt nicht, wenn Sie einen QFabric-Analyzer so konfigurieren, dass er den ausgehenden Datenverkehr spiegelt und sich die Ein- und Ausgabeschnittstellen auf demselben Node-Gerät befinden. In diesem Fall haben die gespiegelten Kopien die korrekten VLAN-IDs (solange Sie nicht mehr als 2000 VLANs auf dem QFabric-System konfigurieren).

  • Echte Ausgangsspiegelung ist definiert als Spiegelung der genauen Anzahl von Kopien und der genauen Paketänderungen, die den Ausgangsport verlassen haben. Da die Prozessoren auf QFX5100- und EX4600-Switches die Ausgangsspiegelung in der Eingangspipeline implementieren, bieten diese Switches keine genauen Änderungen an den Ausgangspaketen, sodass der gespiegelte ausgehende Datenverkehr falsche VLAN-Tags enthalten kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

  • Wenn Sie eine Port-Mirroring-Instanz so konfigurieren, dass der Datenverkehr gespiegelt wird, der eine Schnittstelle verlässt, die die VLAN-Kapselung durchführt, stimmen die Quell- und Ziel-MAC-Adressen der gespiegelten Pakete nicht mit denen der ursprünglichen Pakete überein.

  • Die Spiegelung auf Mitgliedsschnittstellen einer LAG wird nicht unterstützt.

  • Die Spiegelung von Ausgangs-VLANs wird nicht unterstützt.

Die folgenden Einschränkungen gelten für die Remote-Port-Spiegelung:

  • Wenn Sie eine Ausgangs-IP-Adresse konfigurieren, darf sich diese Adresse nicht im selben Subnetz wie eine der Switch-Managementschnittstellen befinden.

  • Wenn Sie virtuelle Routinginstanzen und eine Analysekonfiguration erstellen, die eine Ausgabe-IP-Adresse enthält, gehört die Ausgabe-IP-Adresse zur virtuellen Standard-Routinginstanz (Routing-Tabelle inet.0).

  • Ein Ausgangs-VLAN kann kein privates VLAN oder VLAN-Bereich sein.

  • Ein Ausgangs-VLAN kann nicht von mehreren Analysesitzungen oder Port-Mirror-Instanzen gemeinsam genutzt werden.

  • Eine Ausgangs-VLAN-Schnittstelle kann kein Mitglied eines anderen VLANs sein.

  • Eine Ausgangs-VLAN-Schnittstelle kann keine aggregierte Ethernet-Schnittstelle sein.

  • Wenn das Ausgabe-VLAN über mehr als eine Mitgliedsschnittstelle verfügt, wird der Datenverkehr nur auf das erste Mitglied des VLANs gespiegelt, und andere Mitglieder desselben VLANs übertragen keinen gespiegelten Datenverkehr.

  • Wenn Sie für die Remote-Port-Spiegelung auf eine IP-Adresse (GRE-Kapselung) mehr als eine Analyzer-Sitzung oder Port-Mirror-Instanz konfigurieren und die IP-Adressen der Analyzer oder Port-Mirror-Instanz über dieselbe Schnittstelle erreichbar sind, wird nur eine Analyzer-Sitzung oder Port-Mirror-Instanz konfiguriert.

  • Die Anzahl der möglichen Ausgangsschnittstellen bei der Remote-Port-Spiegelung variiert zwischen den Switches der QFX5K-Reihe:

    • QFX5110, QFX5120, QFX5210 – Unterstützt maximal 4 Ausgabeschnittstellen

    • QFX5100 und QFX5200 – Unterstützt maximal 3 Ausgabeschnittstellen.

  • Wenn ein Mitglied in einem Remote-Port-Spiegelungs-VLAN aus diesem VLAN entfernt wird, konfigurieren Sie die Analysesitzung für dieses VLAN neu.

Einschränkungen und Einschränkungen für QFX5100- und QFX5200 Switches

Die folgenden Überlegungen gelten für die Portspiegelung auf QFX5100- und QFX5200-Switches:

  • Wenn Sie die Spiegelung mit Ausgabe an die IP-Adresse konfigurieren, sollte die Ziel-IP-Adresse erreichbar sein, und ARP muss aufgelöst werden.

  • ECMP-Lastenausgleich (Equal Cost Multiple Path) wird für gespiegelte Ziele nicht unterstützt.

  • Die Anzahl der Ausgabeschnittstellen bei Remote Port Mirroring (RSPAN) variiert. Für QFX5110-, QFX5120- und QFX5210-Switches sind maximal vier Ausgangsschnittstellen möglich. Bei QFX5100- und QFX5200-Switches beträgt das Maximum drei.

  • Wenn Sie eine Link Aggregation Group (LAG) als Spiegelungsausgabeschnittstelle angeben, werden maximal acht Schnittstellen gespiegelt.

  • Der Spiegelungseingang kann eine LAG, eine physische Schnittstelle mit einer beliebigen Einheit (z. B. ae0.101 oder xe-0/0/0.100) oder eine Subschnittstelle sein. In jedem Fall wird der gesamte Datenverkehr auf der LAG oder der physischen Schnittstelle gespiegelt.

  • Es ist nicht möglich, eine unabhängige Spiegelungsinstanz auf einer Mitgliedsschnittstelle einer LAG einzurichten.

  • Eine Ausgabeschnittstelle, die in einer Spiegelungsinstanz enthalten ist, kann nicht auch in einer anderen Spiegelungsinstanz verwendet werden.

  • In einer Port-Mirroring-Instanz werden verworfene Pakete in der Ausgangspipeline des Weiterleitungspfads dennoch an das Ziel gespiegelt. Dies liegt daran, dass die Spiegelungsaktion an der Eingangspipeline vor der Drop-Aktion erfolgt.

  • In einer Port-Mirroring-Instanz kann nur ein Mirror-Ausgabeziel angegeben werden.

  • Ausgabespiegelungsziele, die über mehrere Port-Spiegelungs- oder Analyseinstanzen konfiguriert sind, müssen alle eindeutig sein.

  • Für ERSPAN-IPv6-Adressen wird die Ausgangsspiegelung nicht unterstützt, wenn die Ausgabe an den Analyzer/Port-Mirroring eine Remote-IPv6-Adresse ist. Die Ausgangsspiegelung wird nicht unterstützt.

  • Für die lokale Spiegelung muss es sich bei der Ausgabeschnittstelle um ein Familienethernet-Switching mit oder ohne VLAN (d. h. nicht um eine Layer-3-Schnittstelle) handeln.

  • Verwenden Sie bei der Konfiguration einer Port-Mirroring- oder Analyzer-Instanz in einer Service-Provider-Umgebung den VLAN-Namen anstelle der VLAN-ID.

Port-Spiegelung auf Switches der Serie QFX10000

In der folgenden Liste werden Einschränkungen und Einschränkungen beschrieben, die speziell für Switches der QFX10000 Serie gelten. Allgemeine Informationen zur Port-Spiegelung auf Switches finden Sie in früheren Abschnitten dieses Dokuments zu Port-Spiegelung und -Analysen , in denen andere Plattformnamen im Abschnittstitel nicht ausdrücklich genannt werden.

  • Es wird nur die globale Spiegelung eingehender Ports unterstützt. Sie können die globale Portspiegelung mit Eingabeparametern wie , und konfigurieren.raterun-lengthmaximum-packet-length Die Spiegelung globaler Ausgangsports wird nicht unterstützt.

  • Portspiegelungsinstanzen werden nur für die Remote-Portspiegelung unterstützt. Globale Instanzen der Portspiegelung werden für die lokale Spiegelung unterstützt.

  • Die lokale Portspiegelung wird nur für die folgenden Firewallfilterfamilien unterstützt: und .inetinet6

  • Die lokale Portspiegelung wird für Firewallfilterfamilien oder .anyccc

Port-Spiegelung auf QFabric

Die folgenden Einschränkungen und Einschränkungen gelten für die lokale und Remote-Port-Spiegelung:

  • Sie können insgesamt vier Port-Mirroring-Konfigurationen erstellen.

  • Jede Node-Gruppe in einem QFabric-System unterliegt den folgenden Einschränkungen:

    • Bis zu vier der Konfigurationen können für die lokale Portspiegelung verwendet werden.

    • Bis zu drei der Konfigurationen können für die Remote-Port-Spiegelung verwendet werden.

  • Unabhängig davon, ob Sie einen Standalone-Switch oder eine Node-Gruppe konfigurieren:

    • Es darf nicht mehr als zwei Konfigurationen geben, die den eingehenden Datenverkehr widerspiegeln. Wenn Sie einen Firewallfilter so konfigurieren, dass gespiegelter Datenverkehr an einen Port gesendet wird, d. h., Sie verwenden den Aktionsmodifizierer in einem Filterbegriff, zählt dies als Eingangsspiegelungskonfiguration für den Switch oder die Knotengruppe, auf die der Filter angewendet wird.analyzer

    • Es darf nicht mehr als zwei Konfigurationen geben, die den ausgehenden Datenverkehr widerspiegeln.

    • Auf QFabric-Systemen gibt es keine systemweite Begrenzung für die Gesamtzahl der Mirror-Sitzungen.

  • Sie können nur einen Ausgabetyp in einer Portspiegelungskonfiguration konfigurieren, um eine Anweisung abzuschließen:set analyzer name output

    • interface

    • ip-address

    • vlan

  • Konfigurieren Sie die Spiegelung in einem Analysetool (mit ) auf nur einer logischen Schnittstelle für dieselbe physische Schnittstelle.set forwarding-options analyzer Wenn Sie versuchen, die Spiegelung auf mehreren logischen Schnittstellen zu konfigurieren, die auf einer physischen Schnittstelle konfiguriert sind, wird nur die erste logische Schnittstelle erfolgreich konfiguriert. Die übrigen logischen Schnittstellen geben Konfigurationsfehler zurück.

  • Wenn Sie Ausgangspakete spiegeln, konfigurieren Sie nicht mehr als 2000 VLANs auf einem Switch der QFX-Serie. Wenn Sie dies tun, enthalten einige VLAN-Pakete möglicherweise falsche VLAN-IDs. Dies gilt für alle VLAN-Pakete, nicht nur für die gespiegelten Kopien.

  • Die Optionen und werden nicht unterstützt.ratioloss-priority

  • Pakete mit Fehlern auf der physikalischen Ebene werden nicht an den Ausgabeport oder das VLAN gesendet.

  • Wenn Sie die sFlow-Überwachung zum Prüfen des Datenverkehrs verwenden, werden die Spiegelkopien beim Verlassen der Ausgabeschnittstelle nicht abgetastet.

  • Pakete, die die folgenden Ports verlassen oder betreten, können nicht gespiegelt werden:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Verwaltungsschnittstellen (me0 oder vme0)

    • Fibre-Channel-Schnittstellen

    • Integrierte Routing- und Bridging-Schnittstellen (IRB-Schnittstellen) (auch als geroutete VLAN-Schnittstellen oder RVIs bezeichnet)

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein, wenn es sich bei der Eingabe um ein VLAN handelt oder wenn Datenverkehr mithilfe eines Firewall-Filters an den Analyzer gesendet wird.

  • Wenn gespiegelte Pakete von einer Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen geändert, die möglicherweise auf die ursprünglichen Pakete beim ausgehenden Datenverkehr angewendet werden, z. B. CoS-Umschreibungen.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (z. B. ARP-, ICMP-, BPDU- und LACP-Pakete) können beim ausgehenden Datenverkehr nicht gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

  • (Nur QFabric-Systeme) Wenn Sie einen QFabric-Analyzer so konfigurieren, dass er den ausgehenden Datenverkehr spiegelt, und sich die Ein- und Ausgabeschnittstellen auf unterschiedlichen Node-Geräten befinden, haben die gespiegelten Kopien falsche VLAN-IDs.

    Diese Einschränkung gilt nicht, wenn Sie einen QFabric-Analyzer so konfigurieren, dass er den ausgehenden Datenverkehr spiegelt und sich die Ein- und Ausgabeschnittstellen auf demselben Node-Gerät befinden. In diesem Fall haben die gespiegelten Kopien die korrekten VLAN-IDs (solange Sie nicht mehr als 2000 VLANs auf dem QFabric-System konfigurieren).

  • Echte Ausgangsspiegelung ist definiert als Spiegelung der genauen Anzahl von Kopien und der genauen Paketänderungen, die den Ausgangsport verlassen haben. Da die Prozessoren auf QFX5xxx-Switches (einschließlich QFX5100, QFX5110, QFX5120, QFX5200 und QFX5210) und EX4600-Switches (einschließlich EX4600 und EX4650) die Ausgangsspiegelung in der Eingangspipeline implementieren, bieten diese Switches keine genauen Änderungen an Ausgangspaketen, sodass gespiegelter ausgehender Datenverkehr falsche VLAN-Tags enthalten kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

  • Wenn Sie eine Port-Mirroring-Instanz so konfigurieren, dass der Datenverkehr gespiegelt wird, der eine Schnittstelle verlässt, die die VLAN-Kapselung durchführt, stimmen die Quell- und Ziel-MAC-Adressen der gespiegelten Pakete nicht mit denen der ursprünglichen Pakete überein.

  • Die Spiegelung auf Mitgliedsschnittstellen einer LAG wird nicht unterstützt.

  • Die Spiegelung von Ausgangs-VLANs wird nicht unterstützt.

Port-Spiegelung auf Switches der OCX-Serie

Die folgenden Einschränkungen gelten für die Portspiegelung auf Switches der OCX-Serie:

  • Sie können insgesamt vier Port-Mirroring-Konfigurationen erstellen. Es darf nicht mehr als zwei Konfigurationen geben, die den eingehenden oder ausgehenden Datenverkehr widerspiegeln.

  • Wenn Sie die sFlow-Überwachung zum Prüfen des Datenverkehrs verwenden, werden die Spiegelkopien beim Verlassen der Ausgabeschnittstelle nicht abgetastet.

  • Sie können nur eine Portspiegelungssitzung erstellen.

  • Pakete, die die folgenden Ports verlassen oder betreten, können nicht gespiegelt werden:

    • Dedizierte Virtual Chassis-Schnittstellen

    • Verwaltungsschnittstellen (me0 oder vme0)

    • Fibre-Channel-Schnittstellen

    • Geroutete VLAN-Schnittstellen oder IRB-Schnittstellen

  • Eine aggregierte Ethernet-Schnittstelle kann keine Ausgabeschnittstelle sein.

  • Schließen Sie in einer Port-Mirroring-Konfiguration keine 802.1Q-Subschnittstelle mit einer anderen Einheitennummer als 0 ein. Die Portspiegelung funktioniert nicht mit Subschnittstellen, wenn deren Gerätenummer nicht 0 ist. (Sie konfigurieren 802.1Q-Subschnittstellen mithilfe der Anweisung.)vlan-tagging

  • Wenn Paketkopien an die Ausgabeschnittstelle gesendet werden, werden sie nicht für Änderungen geändert, die normalerweise beim Ausgang angewendet werden, wie z. B. CoS-Umschreiben.

  • Eine Schnittstelle kann die Eingabeschnittstelle für nur eine Spiegelungskonfiguration sein. Verwenden Sie nicht dieselbe Schnittstelle wie die Eingabeschnittstelle für mehrere Spiegelungskonfigurationen.

  • CPU-generierte Pakete (z. B. ARP-, ICMP-, BPDU- und LACP-Pakete) können beim ausgehenden Datenverkehr nicht gespiegelt werden.

  • VLAN-basierte Spiegelung wird für STP-Datenverkehr nicht unterstützt.

Port-Spiegelung auf EX2300-, EX3400- und EX4300-Switches

Die Spiegelung kann für die Datenverkehrsanalyse auf einem Switch erforderlich sein, da ein Switch im Gegensatz zu einem Hub nicht Pakete an jeden Port des Zielgeräts sendet. Der Switch sendet Pakete nur an den Port, mit dem das Zielgerät verbunden ist.

Überblick

Junos OS, das auf Switches der Serien EX2300, EX3400 und EX4300 ausgeführt wird, unterstützt die ELS-Konfigurationen (Enhanced Layer 2 Software), die die Analyse des Datenverkehrs auf diesen Switches auf Paketebene erleichtern.

Sie verwenden die Portspiegelung, um Pakete für die lokale Überwachung auf eine lokale Schnittstelle oder für die Fernüberwachung in ein VLAN zu kopieren. Sie können Analysetools verwenden, um Richtlinien bezüglich der Netzwerknutzung und der Dateifreigabe durchzusetzen und um Problemquellen in Ihrem Netzwerk zu identifizieren, indem Sie abnormale oder starke Bandbreitennutzung durch bestimmte Stationen oder Anwendungen ermitteln.

Die Portspiegelung wird auf Hierarchieebene konfiguriert.[edit forwarding-options port-mirroring] Um geroutete Pakete (Layer 3) zu spiegeln, können Sie die Portspiegelungskonfiguration verwenden, in der die Anweisung auf oder festgelegt ist.family inetinet6

Sie können die Portspiegelung verwenden, um diese Pakete zu kopieren:

  • Packets entering or exiting a port- Sie können die Pakete in einer beliebigen Kombination von Paketen spiegeln, die in Ports ein- oder ausgehen, bis zu 256 Ports.

    Mit anderen Worten, Sie können Kopien der Pakete, die in einige Ports eingehen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyzer-Port oder dasselbe Analyzer-VLAN senden.

  • Packets entering a VLAN- Sie können die Pakete, die in ein VLAN eingehen, entweder an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN spiegeln. Sie können bis zu 256 VLANs, einschließlich eines VLAN-Bereichs und PVLANs, als Eingangseingang für einen Analysator konfigurieren.

  • Policy-based sample packets- Sie können eine richtlinienbasierte Stichprobe von Paketen spiegeln, die in einen Port oder ein VLAN gelangen. Sie konfigurieren einen Firewall-Filter , um eine Richtlinie einzurichten, um die zu spiegelnden Pakete auszuwählen und das Beispiel an eine Port-Spiegelungsinstanz oder an ein Analyse-VLAN zu senden.

Sie können die Portspiegelung auf dem Switch so konfigurieren, dass Kopien des Unicast-Datenverkehrs an ein Ausgabeziel wie eine Schnittstelle, eine Routing-Instanz oder ein VLAN gesendet werden. Anschließend können Sie den gespiegelten Datenverkehr mithilfe einer Protokollanalyseanwendung analysieren. Die Protokollanalysator-Anwendung kann entweder auf einem Computer ausgeführt werden, der an die Ausgabeschnittstelle des Analysators angeschlossen ist, oder auf einer Remote-Überwachungsstation. Für den Eingangsdatenverkehr können Sie einen Firewallfilterbegriff konfigurieren, um anzugeben, ob die Portspiegelung auf alle Pakete an der Schnittstelle angewendet werden muss, auf die der Firewallfilter angewendet wird. Sie können einen mit der Aktion konfigurierten Firewall-Filter auf die logischen Ein- oder Ausgabeschnittstellen (einschließlich aggregierter logischer Ethernet-Schnittstellen), auf Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird, oder auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird, anwenden.port-mirrorport-mirror-instance name EX2300-, EX3400- und EX4300-Switches unterstützen die Port-Spiegelung von VPLS- (oder ) Datenverkehr und VPN-Datenverkehr in einer Layer-2-Umgebung.family ethernet-switchingfamily vplsfamily ccc

Innerhalb eines Firewallfilterbegriffs können Sie die Portspiegelungseigenschaften unter der Anweisung auf folgende Weise angeben:then

  • Verweisen Sie implizit auf die Port-Spiegelungseigenschaften, die für den Port gelten.

  • Verweisen Sie explizit auf eine bestimmte benannte Instanz der Portspiegelung.

Konfigurationsrichtlinien für Port-Spiegelung und Analysatoren auf EX2300-, EX3400- und EX4300-Switches

Wir empfehlen Ihnen, bei der Konfiguration der Portspiegelung bestimmte Richtlinien zu befolgen, um sicherzustellen, dass Sie den optimalen Nutzen aus der Spiegelung ziehen. Darüber hinaus empfehlen wir, die Spiegelung zu deaktivieren, wenn Sie sie nicht verwenden, und bestimmte Schnittstellen auszuwählen, für die Pakete gespiegelt werden müssen (d. h. bestimmte Schnittstellen als Eingabe für das Analysetool auszuwählen), anstatt die Schlüsselwortoption zu verwenden, die die Spiegelung auf allen Schnittstellen ermöglicht und sich auf die Gesamtleistung auswirken kann.all Wenn nur die erforderlichen Pakete gespiegelt werden, werden potenzielle Leistungseinbußen reduziert.

Bei der lokalen Spiegelung wird der Datenverkehr von mehreren Ports an die Ausgabeschnittstelle des Analysetools repliziert. Wenn die Ausgabeschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete verworfen. Daher müssen Sie bei der Konfiguration eines Analysetools berücksichtigen, ob der gespiegelte Datenverkehr die Kapazität der Analyseausgabeschnittstelle überschreitet.

Sie können einen Analyzer in der Hierarchie konfigurieren.[edit forwarding-options analyzer]

HINWEIS:

Echte Ausgangsspiegelung ist definiert als Spiegelung der genauen Anzahl von Kopien und der genauen Paketänderungen, die den ausgehenden Switch-Port verlassen haben. Da der Prozessor der EX2300- und EX3400-Switches die Ausgangsspiegelung in der Eingangspipeline implementiert, bieten diese Switches keine genauen Änderungen an den Ausgangspaketen, sodass der gespiegelte ausgehende Datenverkehr VLAN-Tags enthalten kann, die sich von den Tags im ursprünglichen Datenverkehr unterscheiden.

Tabelle 3 Fasst zusätzliche Konfigurationsrichtlinien für die Spiegelung auf EX2300-, EX3400- und EX4300-Switches zusammen.

Tabelle 3: Konfigurationsrichtlinien für Port-Spiegelung und Analysatoren auf EX2300-, EX3400- und EX4300-Switches

Richtlinie

Wert- oder Supportinformationen

Kommentar

Anzahl der VLANs, die Sie als Eingangseingabe für einen Analyzer verwenden können.

256

 

Anzahl der Portspiegelungssitzungen und Analysetools, die Sie gleichzeitig aktivieren können.

4

Sie können insgesamt vier Sitzungen konfigurieren und jeweils nur eine der folgenden Optionen aktivieren:

  • Maximal vier Port-Spiegelungssitzungen (einschließlich der globalen Port-Spiegelungssitzung).

  • Maximal vier Analysesitzungen.

  • Eine Kombination aus Portspiegelungs- und Analysesitzungen, und die Summe dieser Kombination muss vier betragen.

Sie können mehr als die angegebene Anzahl von Port-Mirroring-Instanzen oder -Analyzern auf dem Switch konfigurieren, aber Sie können nur die angegebene Anzahl für eine Sitzung aktivieren.

Porttypen, auf denen der Datenverkehr nicht gespiegelt werden kann.

  • Virtual Chassis-Ports (VCPs)

  • Management-Ethernet-Ports (me0 oder vme0)

  • Integrierte Routing- und Bridging-Schnittstellen (IRB); auch als geroutete VLAN-Schnittstellen (RVIs) bezeichnet.

  • VLAN-getaggte Layer-3-Schnittstellen

 

Protokollfamilien, die Sie in eine Portspiegelungskonfiguration für Remotedatenverkehr einbinden können.

any

 

Datenverkehrsrichtungen, die Sie für die Spiegelung auf Ports in Firewall-Filter-basierten Konfigurationen konfigurieren können.

Eingang und Ausgang

 

Gespiegelte Pakete, die eine Schnittstelle verlassen und umgeschriebene Class-of-Service (CoS) DSCP- oder 802.1p-Bits widerspiegeln.

Anwendbar

 

Pakete mit Fehlern auf der physischen Ebene.

Anwendbar

Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analysator gesendet.

Die Portspiegelung unterstützt keinen Datenverkehr mit Leitungsgeschwindigkeit.

Anwendbar

Die Portspiegelung für Datenverkehr mit Leitungsgeschwindigkeit erfolgt nach bestem Bemühen.

Spiegelung von Paketen, die aus einem VLAN ausgehen.

Nicht unterstützt

 

Port-Spiegelung oder Analysator-Ausgabe auf einer LAG-Schnittstelle.

Unterstützt

 

Maximale Anzahl von untergeordneten Membern auf einer Portspiegelungs- oder Analyzer-Ausgangs-LAG-Schnittstelle.

8

 

Maximale Anzahl von Schnittstellen in einem Remote-Port-Mirroring- oder Analyzer-VLAN.

1

 

Ausgangsspiegelung von hostgenerierten Steuerpaketen.

Nicht unterstützt

 

Konfiguration logischer Layer-3-Schnittstellen in der Zeilengruppe eines Analysetools.input

Nicht unterstützt

Diese Funktionalität kann durch Konfigurieren der Portspiegelung erreicht werden.

Die Eingabe- und Ausgabezeilen des Analyzers, die Mitglieder desselben VLAN oder des VLAN selbst enthalten, müssen vermieden werden.

Anwendbar

 

Port-Spiegelung auf Switches der Serien ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 und EX8200

Das Betriebssystem Junos (Junos OS) von Juniper Networks, das auf Switches der Serien ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 oder EX8200 ausgeführt wird, unterstützt keine ELS-Konfigurationen (Enhanced Layer 2 Software). Daher enthält Junos OS nicht die Anweisung, die sich auf der Ebene der Hierarchie anderer Junos OS-Pakete befindet, oder die Aktion in Firewall-Filterbegriffen.port-mirroringedit forwarding-optionsport-mirror

Sie können die Portspiegelung verwenden, um die Analyse des Datenverkehrs auf Ihrem Ethernet-Switch der EX-Serie von Juniper Networks auf Paketebene zu erleichtern. Sie können die Portspiegelung als Teil der Überwachung des Switch-Datenverkehrs verwenden, z. B. um Richtlinien für die Netzwerknutzung und die Dateifreigabe durchzusetzen und um Problemquellen in Ihrem Netzwerk zu identifizieren, indem Sie eine ungewöhnliche oder starke Bandbreitennutzung durch bestimmte Stationen oder Anwendungen ermitteln.

Sie können die Portspiegelung verwenden, um diese Pakete auf eine lokale Schnittstelle oder in ein VLAN zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Sie können Kopien der Pakete, die in einige Ports eingehen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyzer-Port oder dasselbe Analyzer-VLAN senden.

  • Pakete, die in ein VLAN auf ACX7024-, ACX7100-, ACX7509-, EX2200-, EX3200-, EX3300-, EX4200-, EX4500-, EX4550- oder EX6200-Switches eingehen

  • Pakete, die ein VLAN auf EX8200-Switches verlassen

Überblick

Die Portspiegelung wird für die Datenverkehrsanalyse auf einem Switch verwendet, da ein Switch im Gegensatz zu einem Hub nicht Pakete an jeden Port auf dem Zielgerät sendet. Der Switch sendet Pakete nur an den Port, mit dem das Zielgerät verbunden ist.

Sie konfigurieren die Port-Spiegelung auf dem Switch so, dass Kopien des Unicast-Datenverkehrs entweder an einen lokalen Analyzer-Port oder ein Analyzer-VLAN gesendet werden. Anschließend können Sie den gespiegelten Datenverkehr mithilfe eines Protokollanalysators analysieren. Der Protokollanalysator kann entweder auf einem Computer ausgeführt werden, der an die Ausgangsschnittstelle des Analysators angeschlossen ist, oder auf einer entfernten Überwachungsstation.

Sie können die Portspiegelung verwenden, um Folgendes zu spiegeln:

  • Packets entering or exiting a port- Sie können die Pakete in einer beliebigen Kombination von Paketen spiegeln, die in Ports ein- oder ausgehen, bis zu 256 Ports.

    Mit anderen Worten, Sie können Kopien der Pakete, die in einige Ports eingehen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyzer-Port oder dasselbe Analyzer-VLAN senden.

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch- Sie können die Pakete, die in ein VLAN eingehen, in einem Analyzer-VLAN spiegeln. Auf EX3200-, EX4200-, EX4500- und EX4550-Switches können Sie mehrere VLANs (bis zu 256 VLANs), einschließlich eines VLAN-Bereichs und PVLANs, als Eingangseingang für einen Analysator konfigurieren.

  • Packets exiting a VLAN on an EX8200 switch- Sie können die Pakete, die ein VLAN auf einem EX8200-Switch verlassen, entweder an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN spiegeln. Sie können mehrere VLANs (bis zu 256 VLANs), einschließlich eines VLAN-Bereichs und PVLANs, als Ausgangseingang für einen Analysator konfigurieren.

  • Statistical samples—Sie können eine statistische Stichprobe von Paketen spiegeln, die:

    • Betreten oder Verlassen eines Ports

    • Aufrufen eines VLAN auf einem ACX7024-, ACX7100-, ACX7509-, EX2200-, EX3200-, EX3300-, EX4200-, EX4500-, EX4550- oder EX6200-Switch

    • Beenden eines VLANs auf einem EX8200-Switch

    Sie geben die Stichprobenanzahl der Pakete an, indem Sie das Verhältnis festlegen. Sie können die Probe entweder an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN senden.

  • Policy-based sample- Sie können eine richtlinienbasierte Stichprobe von Paketen spiegeln, die in einen Port oder ein VLAN gelangen. Sie konfigurieren einen Firewallfilter , um eine Richtlinie zur Auswahl der zu spiegelnden Pakete einzurichten. Sie können die Probe an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN senden.

Konfigurationsrichtlinien für Switches der Serien ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 und EX8200

Wir empfehlen Ihnen, bei der Konfiguration der Portspiegelung bestimmte Richtlinien zu befolgen, um sicherzustellen, dass Sie die Portspiegelungsfunktion optimal nutzen können. Darüber hinaus empfehlen wir, die Portspiegelung zu deaktivieren, wenn Sie sie nicht verwenden, und bestimmte Schnittstellen auszuwählen, für die Pakete gespiegelt werden müssen (d. h. bestimmte Schnittstellen als Eingabe für das Analysetool auszuwählen), anstatt das Schlüsselwort zu verwenden, das die Portspiegelung auf allen Schnittstellen aktiviert und sich auf die Gesamtleistung auswirken kann.all Sie können die Menge des gespiegelten Datenverkehrs auch begrenzen, indem Sie statistische Stichproben verwenden, ein Verhältnis festlegen, um eine statistische Stichprobe auszuwählen, oder einen Firewallfilter verwenden. Wenn nur die erforderlichen Pakete gespiegelt werden, werden potenzielle Leistungseinbußen reduziert.

Bei der lokalen Portspiegelung wird der Datenverkehr von mehreren Ports an die Ausgabeschnittstelle des Analysetools repliziert. Wenn die Ausgabeschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete verworfen. Daher müssen Sie bei der Konfiguration eines Analysetools berücksichtigen, ob der gespiegelte Datenverkehr die Kapazität der Analyseausgabeschnittstelle überschreitet.

HINWEIS:

Auf ACX5448-Routern darf die Analysator-Eingabe unter der Hierarchieebene [] nur auf logischen .0-Schnittstellen für Eingangs- und Ausgangsschnittstellen konfiguriert werden.edit forwarding-options analyzer an input egress Wenn Sie andere logische Schnittstellen als .0 konfigurieren, wird während des Commits ein Fehler angezeigt. Im Folgenden finden Sie ein Beispiel für einen Commit-Fehler, der angezeigt wird, wenn die Analyzer-Eingabe für die logische Schnittstelle .100 konfiguriert ist:

HINWEIS: "Alle anderen Switches" oder "Alle Switches" in der Beschreibung gelten für alle Switch-Plattformen, die Port-Spiegelung unterstützen. Ausführliche Informationen zur Plattformunterstützung finden Sie im Funktions-Explorer.https://apps.juniper.net/feature-explorer/
Tabelle 4: Konfigurationsrichtlinien

Richtlinie

Beschreibung

Kommentar

Anzahl der VLANs, die Sie als Eingangseingang für einen Analyzer verwenden können
  • 16 Ingress oder 8 Ingress und 8 Egress – ACX7024 Geräte

    1 – EX2200-Switches

  • 256—EX3200-, EX4200-, EX4500-, EX4550- und EX6200-Switches

  • Trifft nicht zu – EX8200-Switches

  

Anzahl der Analysen, die Sie gleichzeitig aktivieren können (gilt sowohl für Standalone-Switches als auch für Virtual Chassis)

  • 1—EX2200-, EX3200-, EX4200-, EX3300- und EX6200-Switches

  • 7 Port-basierte oder 1 globale Switches – EX4500 und EX4550

  • 7 insgesamt, wobei einer auf einem VLAN, einem Firewall-Filter oder einer LAG und die restlichen 6 auf Firewall-Filtern basieren – EX8200-Switches

    HINWEIS:

    Ein Analysetool, das mit einem Firewallfilter konfiguriert wurde, unterstützt die Spiegelung von Paketen, bei denen es sich um ausgehende Ports handelt, nicht.

  • Sie können mehr als die angegebene Anzahl von Analyzern auf dem Switch konfigurieren , aber Sie können nur die angegebene Anzahl für eine Sitzung aktivieren . Verwenden Sie diese Option , um einen Analyzer zu deaktivieren.disable ethernet-switching-options analyzer name

  • Im nächsten Zeileneintrag in dieser Tabelle finden Sie die Ausnahme von der Anzahl der Firewall-Filter-basierten Analysen, die auf EX4500- und EX4550-Switches zulässig sind.

  • Bei einem EX4550 Virtual Chassis können Sie nur einen Analyzer konfigurieren, wenn sich die Ports in den Eingangs- und Ausgangsdefinitionen auf unterschiedlichen Switches in einem Virtual Chassis befinden. Um mehrere Analyzer zu konfigurieren, muss eine gesamte Analyzer-Sitzung auf demselben Switch eines Virtual Chassis konfiguriert werden.

Anzahl der Firewall-Filter-basierten Analysen, die Sie auf EX4500- und EX4550-Switches konfigurieren können

  • 1 – EX4500- und EX4550-Switches

Wenn Sie mehrere Analysetools konfigurieren, können Sie keines davon an einen Firewallfilter anfügen.

Arten von Ports, auf denen der Datenverkehr nicht gespiegelt werden kann

  • Virtual Chassis-Ports (VCPs)

  • Management-Ethernet-Ports (me0 oder vme0)

  • Geroutete VLAN-Schnittstellen (RVIs)

  • VLAN-getaggte Layer-3-Schnittstellen

  

Wenn die Port-Spiegelung so konfiguriert ist, dass Pakete gespiegelt werden, die 10-Gigabit-Ethernet-Ports auf EX8200-Switches verlassen, werden Pakete sowohl im Netzwerk- als auch im gespiegelten Datenverkehr verworfen, wenn die gespiegelten Pakete 60 Prozent des 10-Gigabit-Ethernet-Port-Datenverkehrs überschreiten.

  • EX8200-Switches

  

Verkehrsrichtungen, für die Sie ein Verhältnis angeben können

  • Nur Ingress – EX8200-Switches

  • Eingang und Ausgang: Alle anderen Switches

  

Protokollfamilien, die Sie in einen auf Firewall-Filtern basierenden Remote-Analyzer einbinden können

  • Alle außer und – EX8200-Switchesinetinet6

  • Beliebig – Alle anderen Switches

Sie können und auf EX8200-Switches in einem lokalen Analysator verwenden.inetinet6

Datenverkehrsrichtungen, die Sie für die Spiegelung auf Ports in Firewall-Filter-basierten Konfigurationen konfigurieren können

  • Nur Ingress – Alle Switches

  

Gespiegelte Pakete auf getaggten Schnittstellen enthalten möglicherweise eine falsche VLAN-ID oder einen falschen Ethertyp.

  • Sowohl VLAN-ID als auch Ethertyp – EX2200-Switches

  • Nur VLAN-ID: EX3200- und EX4200-Switches

  • Nur Ethertyp: EX4500- und EX4550-Switches

  • Trifft nicht zu – EX8200-Switches

  

Gespiegelte Pakete, die eine Schnittstelle verlassen, spiegeln keine umgeschriebenen CoS-DSCP- (Class-of-Service) oder 802.1p-Bits wider.

  • Alle Switches

  

Der Analyzer hängt einen falschen 802.1Q ()-Header an die gespiegelten Pakete im gerouteten Datenverkehr an oder spiegelt keine Pakete im gerouteten Datenverkehr wider, wenn ein Ausgangs-VLAN, das zu einer gerouteten VLAN-Schnittstelle (RVI) gehört, als Eingabe für diesen Analyzer konfiguriert ist.dot1q

  • EX8200-Switches

  • Trifft nicht zu – Alle anderen Switches

Konfigurieren Sie als Problemumgehung einen Analyzer, der jeden Port (Mitgliedsschnittstelle) des VLAN als Ausgangseingang verwendet.

Pakete mit Fehlern auf der physikalischen Ebene werden nicht an den lokalen oder Remote-Analysator gesendet.

  • Alle Switches

Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analysator gesendet.

Die Konfiguration der Port-Spiegelung auf einer Layer-3-Schnittstelle, bei der der Ausgang in einem VLAN konfiguriert ist, ist auf EX8200-Switches nicht verfügbar.

  • EX8200-Switches

  • Trifft nicht zu – Alle anderen Switches

  

Die Portspiegelung unterstützt keinen Datenverkehr mit Leitungsgeschwindigkeit.

  • Alle Switches

Die Portspiegelung für Datenverkehr mit Leitungsgeschwindigkeit erfolgt nach bestem Bemühen.

In einem EX8200 Virtual Chassis muss der Ausgangsport eine LAG sein, damit der Datenverkehr über das Virtual Chassis gespiegelt wird.

  • EX8200 mit Virtual Chassis

  • Trifft nicht zu – Alle anderen Switches

In einem virtuellen EX8200-Chassis:

  • Sie können LAG nur für native Analysatoren als Monitorport konfigurieren.

  • Sie können die LAG nicht als Überwachungsport für Analysetools konfigurieren, die auf Firewallfiltern basieren.

  • Wenn eine Analyzer-Konfiguration LAG als Monitor-Port enthält, können Sie das VLAN nicht in der Eingangsdefinition eines Analyzers konfigurieren.

In eigenständigen EX8200-Switches können Sie LAG in der Ausgabedefinition konfigurieren.

  • Standalone-Switches EX8200

  • Trifft nicht zu – Alle anderen Switches

In EX8200-Standalone-Switches:

  • Sie können eine LAG als Monitor-Port sowohl auf nativen als auch auf Firewall-basierten Analyzern konfigurieren.

  • Wenn eine Konfiguration LAG als Monitor-Port enthält, können Sie VLAN nicht in der Eingangsdefinition eines Analyzers konfigurieren.

Port-Spiegelung auf Firewalls der SRX-Serie

Bei der Portspiegelung werden Pakete kopiert, die einen Port betreten oder verlassen, und die Kopien zur Überwachung an eine lokale Schnittstelle gesendet. Die Portspiegelung wird verwendet, um Datenverkehr an Anwendungen zu senden, die den Datenverkehr zu Zwecken wie der Überwachung der Compliance, der Durchsetzung von Richtlinien, der Erkennung von Eindringlingen, der Überwachung und Vorhersage von Datenverkehrsmustern, der Korrelation von Ereignissen usw. analysieren. &lt;/para>&lt;para>Port-Spiegelung wird verwendet, um eine Kopie aller Pakete oder nur der abgetasteten Pakete, die auf einem Port angezeigt werden, an eine Netzwerküberwachungsverbindung zu senden. Sie können die Pakete entweder auf dem eingehenden Port (Ingress Port Mirroring) oder dem ausgehenden Port (Egress Port Mirroring) spiegeln.

Die Portspiegelung wird nur auf den Firewalls der SRX-Serie mit den folgenden E/A-Karten unterstützt:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

Bei Firewalls der SRX-Serie werden alle Pakete, die den Port passieren, kopiert und an den angegebenen Port gesendet.mirroredmirror-to Diese Ports müssen sich auf demselben Broadcom-Chipsatz wie auf den E/A-Karten befinden.

Bei Firewalls der SRX-Serie funktioniert die Portspiegelung nur auf physischen Schnittstellen.

Grundlegendes zur Layer-2-Port-Spiegelung

Auf Routing-Plattformen und Switches, die einen Internetprozessor II-ASIC enthalten, können Sie eine Kopie jedes eingehenden Pakets von der Routing-Plattform oder dem Switch zur Analyse an eine externe Hostadresse oder einen Paketanalysator senden. Dies wird als Port-Spiegelung bezeichnet.

In Junos OS Version 9.3 und höher unterstützen die universellen 5G-Routing-Plattformen der MX-Serie von Juniper Networks in einer Layer-2-Umgebung die Portspiegelung für Layer-2-Bridging-Datenverkehr und VPLS-Datenverkehr (Virtual Private LAN Service).

In Junos OS Version 9.4 und höher unterstützen Router der MX-Serie in einer Layer-2-Umgebung die Port-Spiegelung für Layer-2-VPN-Datenverkehr über einen Circuit Cross-Connect (CCC), der logische Schnittstellen desselben Typs transparent verbindet.

In Junos OS Version 12.3R2 unterstützen die Switches der EX-Serie von Juniper Networks die Portspiegelung für Layer-2-Bridging-Datenverkehr.

Mit der Layer-Port-Spiegelung können Sie die Art und Weise angeben, in der ein- und ausgehende Pakete an bestimmten Ports überwacht werden, und die Art und Weise, in der Kopien ausgewählter Pakete an ein anderes Ziel weitergeleitet werden, wo die Pakete analysiert werden können.

Router und Switches der MX-Serie unterstützen die Layer-2-Port-Spiegelung, indem sie Datenstromüberwachungsfunktionen unter Verwendung einer Class-of-Service (CoS)-Architektur ausführen, die im Konzept anderen Routing-Plattformen und Switches ähnelt, sich aber insbesondere von diesen unterscheidet.

Wie der Multiservice-Edge-Router M120 und der Multiservice-Edge-Router M320 unterstützen die Router der MX-Serie und die Switches der EX-Serie die gleichzeitige Spiegelung von IPv4-, IPv6- und VPLS-Paketen.

In einer Layer-3-Umgebung unterstützen Router und Switches der MX-Serie und Switches der EX-Serie die Spiegelung von IPv4- () und IPv6-Datenverkehr ().family inetfamily inet6 Weitere Informationen zur Layer-3-Port-Spiegelung finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html

Eigenschaften der Layer-2-Port-Spiegelung

Die Portspiegelung gibt die folgenden Eigenschaftstypen an:

Paket-Selektion

Die Paketauswahleigenschaften der Layer-2-Portspiegelung geben an, wie die abgetasteten Pakete für die Spiegelung ausgewählt werden sollen:

  • Die Anzahl der Pakete in jeder Stichprobe.

  • Die Anzahl der Pakete, die aus jedem Beispiel gespiegelt werden sollen.

  • Die Länge, auf die gespiegelte Pakete gekürzt werden sollen.

Paketadress-Familie

Der Paketadressfamilientyp gibt den Typ des Datenverkehrs an, der gespiegelt werden soll. In einer Layer-2-Umgebung unterstützen Router und Switches der MX-Serie die Port-Spiegelung für die folgenden Paketadressfamilien:

  • Familientyp - Für die Spiegelung des VPLS-Datenverkehrs, wenn die physische Schnittstelle mit dem Kapselungstyp konfiguriert ist.ethernet-switchingethernet-bridge

  • Familientyp : Für die Spiegelung von Layer 2-VPN-Datenverkehr.ccc

  • Family type —Für die Spiegelung des VPLS-Datenverkehrs.vpls

HINWEIS:

In typischen Anwendungen senden Sie gespiegelte Pakete direkt an einen Analyzer, nicht an einen anderen Router oder Switch. Wenn Sie gespiegelte Pakete über ein Netzwerk senden müssen, sollten Sie Tunnel verwenden. Bei Layer-2-VPN-Implementierungen können Sie den Layer-2-VPN-Routing-Instance-Typ verwenden, um die Pakete an ein Remoteziel zu tunneln.l2vpn

Informationen zum Konfigurieren einer Routing-Instance für Layer 2-VPN finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html Eine ausführliche Beispielkonfiguration für ein Layer 2-VPN finden Sie unter Junos OS.https://www.juniper.net/documentation/en_US/release-independent/junos/information-products/pathway-pages/junos/product/index.html Weitere Informationen zu Tunnelschnittstellen finden Sie in der Junos OS Network Interfaces Library for Routing Devices.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.html

Spiegeln von Zieleigenschaften

Für eine bestimmte Paketadressfamilie geben die Spiegelungszieleigenschaften einer Layer-2-Port-Mirroring-Instanz an, wie die ausgewählten Pakete an eine bestimmte physische Schnittstelle gesendet werden sollen:

  • Die physische Schnittstelle, an die die ausgewählten Pakete gesendet werden sollen.

  • Gibt an, ob die Filterprüfung für die Spiegelzielschnittstelle deaktiviert werden soll. Standardmäßig ist die Filterprüfung auf allen Schnittstellen aktiviert.

    HINWEIS:

    Wenn Sie einen Filter auf eine Schnittstelle anwenden, die auch ein Layer-2-Port-Spiegelungsziel ist, tritt ein Commit-Fehler auf, es sei denn, Sie haben die Filterprüfung für diese Spiegelzielschnittstelle deaktiviert.

Mirror-Once-Option

Wenn die Port-Spiegelung sowohl an der Eingangs- als auch an der Ausgangsschnittstelle aktiviert ist, können Sie verhindern, dass der Router der MX-Serie und ein Switch der EX-Serie doppelte Pakete an dasselbe Ziel senden (was die Analyse des gespiegelten Datenverkehrs erschweren würde).

HINWEIS:

Die Option "Einmalig spiegeln" ist eine globale Einstellung. Die Option ist unabhängig von den Paketauswahleigenschaften und den paketfamilientypspezifischen Spiegelzieleigenschaften.

Anwendung von Layer-2-Port-Mirroring-Typen

Sie können verschiedene Sätze von Layer-2-Port-Spiegelungseigenschaften auf die VPLS-Pakete an verschiedenen Eingangs- oder Ausgangspunkten einer MX-Serie oder einer EX-Serie anwenden.

Tabelle 5 beschreibt die drei Arten der Layer-2-Port-Spiegelung , die Sie auf Routern und Switches der EX-Serie konfigurieren können: globale Instanz, benannte Instanzen und Firewall-Filter.

Tabelle 5: Anwendung von Layer-2-Port-Mirroring-Typen

Art der Definition der Layer-2-Port-Spiegelung

Anwendungspunkt

Umfang der Spiegelung

Beschreibung

Konfigurationsdaten

Globale Instanz der Layer-2-Port-Spiegelung

Alle Ports im Gehäuse des Routers (oder Switches) der MX-Serie.

VPLS-Pakete, die an allen Ports im Gehäuse des Routers (oder Switches) der MX-Serie empfangen werden.

Falls konfiguriert, gelten die globalen Port-Spiegelungseigenschaften implizit für alle VPLS-Pakete, die an allen Ports im Router- (oder Switch-) Gehäuse empfangen werden.

Weitere Informationen finden Sie unter Konfigurieren der globalen Instanz der Layer-2-Portspiegelunghttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-global-instance-configuring.html

Benannte Instanz der Layer-2-Port-Spiegelung

Auf FPC-Ebene gruppierte Ports

Weitere Informationen finden Sie unter Binden der Layer-2-Portspiegelung an Ports, die auf FPC-Ebene gruppiert sind.Bindung der Layer-2-Port-Spiegelung an Ports, die auf FPC-Ebene gruppiert sind

VPLS-Pakete, die auf Ports empfangen werden, die einem bestimmten DPC oder FPC und seinen Paketweiterleitungs-Engines zugeordnet sind.

Überschreibt alle Portspiegelungseigenschaften, die von der globalen Portspiegelungsinstanz konfiguriert wurden.

Weitere Informationen finden Sie unter Definieren einer benannten Instanz der Layer-2-Port-Spiegelung.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-named-instance-configuring.html

Die Anzahl der Port-Mirroring-Ziele, die für einen Router der MX-Serie und für einen Switch der EX-Serie unterstützt werden, ist auf die Anzahl der Paketweiterleitungs-Engines beschränkt, die auf den DPCs oder FPCs enthalten sind, die im Router- oder Switch-Gehäuse installiert sind.

Auf PIC-Ebene gruppierte Ports

Weitere Informationen finden Sie unter Binden der Layer-2-Portspiegelung an Ports, die auf PIC-Ebene gruppiert sind.Bindung der Layer-2-Port-Spiegelung an Ports, die auf PIC-Ebene gruppiert sind

VPLS-Pakete, die auf Ports empfangen werden, die einer bestimmten Paketweiterleitungs-Engine zugeordnet sind.

Überschreibt alle Portspiegelungseigenschaften, die auf FPC-Ebene oder in der globalen Portspiegelungsinstanz konfiguriert sind.

Layer-2-Port-Mirroring-Firewall-Filter

Logische Schnittstelle (einschließlich einer aggregierten Ethernet-Schnittstelle)

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf eine logische Schnittstelle.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-logical-interface.html

VPLS-Pakete, die über eine logische Schnittstelle empfangen oder gesendet werden.

Geben Sie in der Konfiguration des Firewall-Filters die für die Spiegelung ausgewählten Pakete die folgenden Begriffe ein:actionaction-modifier

  • Die Aktion wird empfohlen.accept

  • Der Modifizierer verweist implizit auf die Portspiegelungseigenschaften, die derzeit an die zugrunde liegenden physischen Schnittstellen gebunden sind.port-mirror

  • Der Modifizierer verweist explizit auf eine benannte Instanz der Portspiegelung.port-mirror-instance pm-instance-name

  • (Optional) Fügen Sie nur für Eingangspakete der Tunnelschnittstelle den Modifizierer ein, um die Pakete auf zusätzliche Ziele zu spiegeln.next-hop-group next-hop-group-name Dieser Modifizierer verweist auf eine Next-Hop-Gruppe, die die Next-Hop-Adressen angibt (um zusätzliche Kopien von Paketen an einen Analyzer zu senden).

Weitere Informationen finden Sie unter Definieren eines Layer-2-Port-Mirroring-Firewall-Filters.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

HINWEIS:

Layer-2-Port-Mirroring-Firewall-Filter werden für logische Systeme nicht unterstützt.

Informationen zum Spiegeln von Eingangspaketen der Tunnelschnittstelle an mehrere Ziele finden Sie auch unter Definieren einer Next-Hop-Gruppe für die Layer-2-Port-Spiegelung.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-next-hop-group-configuring.html

VLAN-Weiterleitungstabelle oder Flood-Tabelle

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird.Anwenden von Layer-2-Port-Spiegelung auf Datenverkehr, der an eine Bridge-Domäne weitergeleitet oder überflutet wird

Layer-2-Datenverkehr, der an ein VLAN weitergeleitet oder überflutet wird

VPLS-Routing-Instanz-Weiterleitungstabelle oder Flood-Tabelle

Weitere Informationen finden Sie unter Anwenden der Layer-2-Port-Spiegelung auf Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-applying-vpls-routing-instance.html

Layer-2-Datenverkehr, der an eine VPLS-Routing-Instanz weitergeleitet oder überflutet wird

Einschränkungen bei der Layer-2-Port-Spiegelung

Für die Layer-2-Portspiegelung gelten die folgenden Einschränkungen:

  • Nur Layer-2-Transitdaten (Pakete, die Datenblöcke enthalten, die die Routing-Plattform oder den Switch bei der Weiterleitung von einer Quelle an ein Ziel übertragen) können gespiegelt werden. Lokale Layer-2-Daten (Pakete, die Datenblöcke enthalten, die für die Routing-Engine bestimmt sind oder von ihr gesendet werden, z. B. Layer-2-Steuerpakete) werden nicht gespiegelt.

  • Wenn Sie einen Portspiegelungsfilter auf die Ausgabe einer logischen Schnittstelle anwenden, werden nur Unicast-Pakete gespiegelt. Um Broadcast-Pakete, Multicast-Pakete, Unicast-Pakete mit einer unbekannten MAC-Adresse (Media Access Control) des Ziels oder Pakete mit einem MAC-Eintrag in der DMAC-Routing-Tabelle (Destination MAC) zu spiegeln, wenden Sie einen Filter auf die Eingabe in die Flood-Tabelle einer VLAN- oder VPLS-Routing-Instanz (Virtual Private LAN Service) an.

  • Das Mirror-Zielgerät sollte sich in einem dedizierten VLAN befinden und nicht an Bridging-Aktivitäten teilnehmen. Das Mirror-Zielgerät sollte keine Bridge zum endgültigen Datenverkehrsziel haben, und das Mirror-Zielgerät sollte die gespiegelten Pakete nicht an die Quelladresse zurücksenden.

  • Für die globale Port-Mirroring-Instanz oder eine benannte Port-Mirroring-Instanz können Sie nur eine Mirror-Ausgabeschnittstelle pro Port-Mirroring-Instanz und Paketadressfamilie konfigurieren. Wenn Sie mehr als eine Anweisung unter die Anweisung einfügen, wird die vorherige Anweisung überschrieben.interfacefamily (ethernet-switching | ccc | vpls) outputinterface

  • Layer-2-Port-Mirroring-Firewall-Filterung wird für logische Systeme nicht unterstützt.

    In einer Firewallfilterdefinition für die Layer-2-Portspiegelung stützt sich der Filter ( oder ) auf Portspiegelungseigenschaften, die in der globalen Instanz oder in benannten Instanzen der Layer-2-Portspiegelung definiert sind, die unter der Hierarchie konfiguriert sind.action-modifierport-mirrorport-mirror-instance pm-instance-name[edit forwarding-options port-mirroring] Daher kann der Filter die Layer-2-Portspiegelung für logische Systeme nicht unterstützen.term

  • Wenn bei einem Firewallfilter für die Layer-2-Portspiegelung, in dem Sie implizit auf die Eigenschaften der Layer-2-Portspiegelung verweisen, indem Sie die Anweisung einschließen, wird nur die erste Bindung in der Zeilengruppe (oder die einzige Bindung) an der logischen Schnittstelle verwendet, wenn mehrere benannte Instanzen der Layer-2-Portspiegelung an die zugrunde liegende physische Schnittstelle gebunden sind.port-mirror Dies geschieht aus Gründen der Abwärtskompatibilität.

  • Layer-2-Port-Mirroring-Firewall-Filter unterstützen nicht die Verwendung von Next-Hop-Untergruppen für den Lastenausgleich von gespiegeltem Datenverkehr.