Auf dieser Seite

Globale Layer 2-Port-Spiegelung
Konfigurieren der globalen Instanz der Layer-2-Portspiegelung
Benannte Layer-2-Port-Spiegelung
Definieren einer benannten Instanz der Layer-2-Portspiegelung
Deaktivieren von Layer-2-Portspiegelungsinstanzen
Konfigurieren der Inline-Port-Spiegelung

Konfigurieren von Port Mirroring-Instanzen

Globale Layer 2-Port-Spiegelung

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine Reihe von Port-Spiegelungseigenschaften konfigurieren, die implizit für Pakete gelten, die an allen Ports im Gehäuse des Routers (oder Switches) empfangen werden. Dieser Satz von Port-Mirroring-Eigenschaften ist die globale Instanz der Layer- 2-Port-Spiegelung für den Router oder Switch.

In der globalen Instance-Konfiguration können Sie eine Reihe von Spiegelzieleigenschaften für jede Paketadressfamilie angeben, die von der Layer-2-Port-Spiegelung unterstützt wird.

Eine allgemeine Beschreibung der Eigenschaften der Layer- 2-Portspiegelung finden Sie unter Grundlegendes zu den Eigenschaften der Layer-2-Portspiegelung. Einen Vergleich der Typen der Layer- 2-Port-Spiegelung, die auf einem Router der MX-Serie und auf einem Switch der EX-Serie verfügbar sind, finden Sie unter Anwendung der Layer-2-Port-Spiegelungstypen.

Konfigurieren der globalen Instanz der Layer-2-Portspiegelung

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine Reihe von Layer-2-Port-Spiegelungseigenschaften konfigurieren, die implizit für Pakete gelten, die an allen Ports im Router- (oder Switch-)Gehäuse empfangen werden.

So konfigurieren Sie die globale Instanz der Layer-2-Port-Spiegelung auf einem Router der MX-Serie und auf einem Switch der EX-Serie:

Aktivieren Sie die Konfiguration der Layer-2-Port-Spiegelung:

Aktivieren Sie die Konfiguration der Paketauswahleigenschaften:

Geben Sie Paketauswahleigenschaften auf globaler Ebene an.
1. Geben Sie die Anzahl der auszuwählenden Pakete an:
  Der gültige Bereich liegt zwischen 1 und 65535.
2. Geben Sie die Anzahl der Pakete an, die aus jeder Auswahl gespiegelt werden sollen:
  Der gültige Bereich liegt zwischen 0 und 20. Der Standardwert ist 0.
3. Geben Sie die Länge an, auf die gespiegelte Pakete gekürzt werden sollen:
  Der gültige Bereich liegt zwischen 0 und 9216. Der Standardwert ist 0, was bedeutet, dass die gespiegelten Pakete nicht abgeschnitten werden.
Geben Sie die Layer-2-Adresstypfamilie auf globaler Ebene an, aus der der Datenverkehr für die Spiegelung ausgewählt werden soll:
Der Wert der family Option kann ethernet-switching, cccoder vplssein.

HINWEIS:
Auf der [edit forwarding-options port-mirroring] Hierarchieebene ist die Protokollfamilienanweisung family ethernet-switching ein Alias für family vpls. Die Befehlszeilenschnittstelle (CLI) zeigt Layer- 2-Port-Mirroring-Konfigurationen als family vplsan, auch für Layer- 2-Port-Mirroring, die als konfiguriert ist family ethernet-switching. Verwenden Sie diese Option family ethernet-switching , wenn die physische Schnittstelle mit encapsulation ethernet-bridgekonfiguriert ist.
Aktivieren Sie die Konfiguration der Spiegelzieleigenschaften auf globaler Ebene für diese Adressfamilie:
Geben Sie Spiegelzieleigenschaften auf globaler Ebene für diese Adressfamilie an.
1. Geben Sie die physische Schnittstelle an, an die die gespiegelten Pakete gesendet werden sollen:
  Sie können auch eine integrierte Routing- und Bridging-Schnittstelle (IRB) als Ausgabeschnittstelle angeben.
2. (Optional) Konfiguration von Filtern auf der Zielschnittstelle für die benannte Port-Mirroring-Instanz zulassen:
(Optional) Geben Sie an, dass alle für die Spiegelung ausgewählten Pakete nur einmal an ein beliebiges Spiegelungsziel gespiegelt werden sollen:
Tipp:
Aktivieren Sie diese mirror-once Option, wenn ein Router der MX-Serie oder ein Switch der EX-Serie so konfiguriert ist, dass er eine Layer-2-Port-Spiegelung sowohl an der Eingangs- als auch an der Ausgangsschnittstelle durchführt, was dazu führen könnte, dass doppelte Pakete an dasselbe Ziel gesendet werden (was die Analyse des gespiegelten Datenverkehrs erschweren würde).

Überprüfen Sie die Mindestkonfiguration der globalen Instanz der Layer-2-Portspiegelung:

Benannte Layer-2-Port-Spiegelung

In diesem Thema werden die folgenden Informationen beschrieben:

Übersicht über Layer-2-Port-Spiegelung benannter Instanzen
Spiegelung an Ports, die auf FPC-Ebene gruppiert sind
Spiegelung an Ports, die auf PIC-Ebene gruppiert sind
Spiegelung an einer Gruppe von Ports, die an mehrere benannte Instanzen gebunden sind

Übersicht über Layer-2-Port-Spiegelung benannter Instanzen

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine Reihe von Port-Spiegelungseigenschaften definieren, die Sie explizit an physische Ports am Router oder Switch binden können. Dieser Satz von Portspiegelungseigenschaften wird als benannte Instanz der Layer- 2-Portspiegelung bezeichnet.

Sie können eine benannte Instanz der Layer-2-Port-Spiegelung an physische Ports binden, die den Komponenten der Packet Forwarding Engine eines Routers der MX-Serie oder eines Switches der EX-Serie auf verschiedenen Ebenen des Router- (oder Switch-)Gehäuses zugeordnet sind:

Auf FPC-Ebene: Sie können eine benannte Instanz an die physischen Ports binden, die einem bestimmten Dense Port Concentrator (DPC) zugeordnet sind, oder an die physischen Ports, die einem bestimmten Flexible Port Concentrator (FPC) zugeordnet sind.
Auf PIC-Ebene: Sie können eine benannte Instanz der Portspiegelung an eine bestimmte Paketweiterleitungs-Engine (auf einem bestimmten DPC) oder an ein bestimmtes PIC binden.

HINWEIS:

Router der MX-Serie unterstützen sowohl DPCs als auch FPCs und PICs. Im Gegensatz zu FPCs unterstützen DPCs keine PICs. In der Junos OS CLI verwenden Sie jedoch die FPC- und PIC-Syntax, um Informationen zu DPCs und den Paketweiterleitungsmodulen auf den DPCs zu konfigurieren oder anzuzeigen.

In den folgenden Punkten wird das Verhalten der Layer-2-Port-Spiegelung basierend auf benannten Instanzen zusammengefasst:

Der Umfang der Paketauswahl wird durch das Ziel der Bindung bestimmt: An den Ports (oder Ports), die an eine benannte Instanz der Layer-2-Portspiegelung gebunden sind, wählt der Router oder Switch Eingabepakete entsprechend den Paketauswahleigenschaften in der benannten Instanz aus.
Das Ziel eines ausgewählten Pakets wird durch die Paketadressfamilie bestimmt: Von den ausgewählten Paketen spiegelt der Router oder Switch nur die Pakete, die zu einer Adressfamilie gehören, für die die benannte Instanz der Layer-2-Port-Spiegelung eine Reihe von Spiegelzieleigenschaften angibt. In einer Layer- 2-Umgebung unterstützen Router und Switches der MX-Serie und Switches der EX-Serie die Port-Spiegelung von VPLS-Datenverkehr (family ethernet-switching oder family vpls) und Layer- 2-VPN-Datenverkehr mit family ccc.

Spiegelung an Ports, die auf FPC-Ebene gruppiert sind

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Port-Spiegelung an einen bestimmten DPC oder FPC binden, der im Gehäuse des Routers (oder Switches) installiert ist. Die Eigenschaften der Portspiegelung in der Instanz werden auf alle Paketweiterleitungsmodule (und die zugehörigen Ports) in der angegebenen DPC oder auf alle PICs (und die zugehörigen Ports) angewendet, die in der angegebenen FPC installiert sind. Port-Spiegelungseigenschaften, die an einen DPC oder FPC gebunden sind, setzen alle Port-Spiegelungseigenschaften außer Kraft, die auf globaler Ebene oder im Gehäuse des Routers (oder Switches) der MX-Serie gebunden sind.

Spiegelung an Ports, die auf PIC-Ebene gruppiert sind

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine benannte Instanz der Layer-2-Port-Spiegelung an eine bestimmte Packet Forwarding Engine (PIC) binden. Die Portspiegelungseigenschaften in dieser Instanz werden auf alle Ports angewendet, die der angegebenen Packet Forwarding Engine (PIC) zugeordnet sind. Portspiegelungseigenschaften, die an eine Paketweiterleitungs-Engine oder einen PIC gebunden sind, überschreiben alle Portspiegelungseigenschaften, die an den DPC oder FPC gebunden sind, der sie enthält.

HINWEIS:

Für MX960-Router gibt es eine Eins-zu-Eins-Zuordnung von Packet Forwarding Engines zu Ethernet-Ports. Daher können Sie nur auf MX960-Routern portspezifische Bindungen von Portspiegelungsinstanzen konfigurieren.

Spiegelung an einer Gruppe von Ports, die an mehrere benannte Instanzen gebunden sind

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie bis zu zwei benannte Instanzen der Layer-2-Port-Spiegelung auf dieselbe Gruppe von Ports innerhalb des Router- (oder Switch-) Gehäuses anwenden. Durch die Anwendung von zwei verschiedenen Port-Mirroring-Instanzen auf dieselbe DPC, FPC, Packet Forwarding Engine oder PIC können Sie zwei unterschiedliche Layer-2-Port-Mirroring-Spezifikationen an eine einzige Gruppe von Ports binden.

HINWEIS:

Sie können nur eine globale Instanz der Layer-2-Port-Spiegelung auf einem Router der MX-Serie und auf einem Switch der EX-Serie konfigurieren.

HINWEIS:

Sie können mehr als zwei Portspiegelungsinstanzen für jeden FPC konfigurieren, indem Sie die Inline-Portspiegelung konfigurieren. Weitere Informationen zur Inline-Port-Spiegelung finden Sie unter Konfigurieren der Inline-Port-Spiegelung.

Definieren einer benannten Instanz der Layer-2-Portspiegelung

Auf einem Router der MX-Serie und auf einem Switch der EX-Serie können Sie eine Reihe von Layer-2-Port-Spiegelungseigenschaften definieren, die Sie an eine bestimmte Paketweiterleitungs-Engine (auf der PIC-Ebene des Router- oder Switch-Gehäuses) oder an eine Gruppe von Paketweiterleitungs-Engines (auf der DPC- oder FPC-Ebene des Gehäuses) binden können.

So definieren Sie eine benannte Instanz der Layer-2-Port-Spiegelung auf einem Router der MX-Serie oder auf einem Switch der EX-Serie:

Aktivieren Sie die Konfiguration einer benannten Instanz der Layer-2-Port-Spiegelung:

Aktivieren Sie die Konfiguration der Paket-Sampling-Eigenschaften:

Legen Sie die Eigenschaften für die Paketauswahl fest:
1. Geben Sie die Anzahl der auszuwählenden Pakete an:
  Der gültige Bereich ist 1 bis 65535.
2. Geben Sie die Anzahl der Pakete an, die aus jeder Auswahl gespiegelt werden sollen:
  Der gültige Bereich ist 0 bis 20. Der Standardwert ist 0.
  
  HINWEIS:
  Die run-length Anweisung wird auf MX80-Routern nicht unterstützt.
3. Geben Sie die Länge an, auf die gespiegelte Pakete gekürzt werden sollen:
  Der gültige Bereich ist 0 bis 9216. Der Standardwert ist 0, was bedeutet, dass die gespiegelten Pakete nicht abgeschnitten werden.
  
  HINWEIS:
  Die maximum-packet-length Anweisung wird auf MX80-Routern nicht unterstützt.
Aktivieren Sie die Konfiguration der Spiegelzieleigenschaften für Layer-2-Pakete, die Teil der Bridging-Domain, der Layer-2-Switching-Crossconnects oder des Virtual Private LAN Service (VPLS) sind:
1. Geben Sie den Layer-2-Adressfamilientyp des Datenverkehrs an, der gespiegelt werden soll:
  Der Wert der family Option kann , cccoder vplsseinethernet-switching.
  
  HINWEIS:
  Auf der [edit forwarding-options port-mirroring] Hierarchieebene ist die Protokollfamilienanweisung family ethernet-switching ein Alias für family vpls. Die Befehlszeilenschnittstelle (CLI) zeigt Layer- 2-Port-Mirroring-Konfigurationen als family vplsan, auch für Layer- 2-Port-Mirroring, die als konfiguriert ist family ethernet-switching. Verwenden Sie diese Option family ethernet-switching , wenn die physische Schnittstelle mit encapsulation ethernet-bridgekonfiguriert ist.
2. Aktivieren Sie die Konfiguration der Eigenschaften des Spiegelziels:
Geben Sie die Eigenschaften des Spiegelziels an.
1. Geben Sie die physische Schnittstelle an, an die die gespiegelten Pakete gesendet werden sollen:
2. (Optional) Konfiguration von Filtern auf der Zielschnittstelle für die globale Port-Mirroring-Instanz zulassen:
  HINWEIS:
  Sie können keine Portspiegelungsinstanzen auf MX80-Routern konfigurieren. Sie können die Portspiegelung nur auf globaler Ebene auf MX80-Routern konfigurieren.
(Optional) Geben Sie an, dass alle für die Spiegelung ausgewählten Pakete nur einmal an ein beliebiges Spiegelungsziel gespiegelt werden sollen:
Tipp:
Aktivieren Sie die Option "Global mirror-once ", wenn ein Router der MX-Serie oder ein Switch der EX-Serie so konfiguriert ist, dass er eine Layer-2-Port-Spiegelung sowohl an der Eingangs- als auch an der Ausgangsschnittstelle durchführt, was dazu führen könnte, dass doppelte Pakete an dasselbe Ziel gesendet werden (was wiederum die Analyse des gespiegelten Datenverkehrs erschweren würde).
Um ein Spiegelungsziel für einen anderen Paketfamilientyp zu konfigurieren, wiederholen Sie die Schritte 4 bis 6.

Überprüfen Sie die Mindestkonfiguration der benannten Instanzen der Layer-2-Portspiegelung:

Deaktivieren von Layer-2-Portspiegelungsinstanzen

Sie können die globale Instanz der Layer-2-Portspiegelung, eine bestimmte benannte Instanz oder alle Instanzen der Portspiegelung deaktivieren:

Um die globale Instanz der Layer- 2-Portspiegelung zu deaktivieren, fügen Sie die disable Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:

Um die Definition einer bestimmten benannten Instanz der Layer- 2-Portspiegelung zu deaktivieren, fügen Sie die disable Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring instance instance-name] ein:

Um die globale Instanz und alle benannten Instanzen der Layer- 2-Portspiegelung zu deaktivieren, fügen Sie die disable-all-instances Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:

Konfigurieren der Inline-Port-Spiegelung

Die Inline-Port-Spiegelung bietet Ihnen die Möglichkeit, Instanzen, die nicht an den flexiblen PIC-Concentrator (FPC) gebunden sind, in der Firewall-Filteraktion then port-mirror-instance anzugeben. Auf diese Weise sind Sie nicht auf nur zwei Port-Mirror-Instanzen pro FPC beschränkt. Die Inline-Port-Spiegelung entkoppelt das Port-Mirror-Ziel von den Eingabeparametern wie rate. Während die Eingangsparameter in der Switch-Schnittstellenplatine programmiert werden, ist das Next-Hop-Ziel des gespiegelten Pakets im Paket selbst verfügbar. Die Inline-Port-Spiegelung wird nur auf Trio-basierten modularen Portkonzentratoren (MPCs) unterstützt.

Bei Verwendung der Inline-Port-Spiegelung verfügt eine Port-Mirror-Instanz über die Option, Eingabeparameter von einer anderen Instanz zu erben, die sie angibt, wie im folgenden CLI-Konfigurationsbeispiel gezeigt:

Mehrere Vererbungsebenen sind nicht zulässig. Auf eine Instanz kann von mehreren Instanzen verwiesen werden. Eine Instanz kann auf eine andere Instanz verweisen, die vor ihr definiert wurde. Vorwärtsverweise sind nicht zulässig und eine Instanz kann nicht auf sich selbst verweisen, da dies zu einem Fehler bei der Konfigurationsanalyse führt.

Der Benutzer kann im Firewallfilter eine Instanz angeben, die nicht an die FPC gebunden ist. Der angegebene Filter sollte eine der beiden Instanzen erben, die an die FPC gebunden wurden. Wenn dies nicht der Fall ist, wird das Paket nicht für die Portspiegelung markiert. Wenn dies der Fall ist, wird das Paket mit den von der referenzierten Instanz angegebenen Eingabeparametern abgetastet, aber die Kopie wird an das eigene Ziel gesendet.