Konfigurieren der Portspiegelung
Portspiegelung ist die Fähigkeit eines Routers, eine Kopie eines IPv4- oder IPv6-Pakets zur Analyse an eine externe Hostadresse oder einen Sniffer zu senden.
Im Feature-Explorer finden Sie eine aktuelle Liste der unterstützten Plattformen und Junos-Versionen, die Portspiegelung unterstützen.
Die Portspiegelung unterscheidet sich vom Traffic Sampling. Beim Datenverkehrssampling wird ein auf dem Paket-Header basierender Sampling-Schlüssel an die Routing-Engine gesendet. Dort kann der Schlüssel in einer Datei abgelegt werden, oder auf dem Schlüssel basierende cflowd-Pakete können an einen cflowd-Server gesendet werden. Bei der Portspiegelung wird das gesamte Paket kopiert und über eine Next-Hop-Schnittstelle gesendet.
Eine Anwendung für die Portspiegelung sendet ein dupliziertes Paket an einen virtuellen Tunnel. Anschließend kann eine Next-Hop-Gruppe so konfiguriert werden, dass Kopien dieses doppelten Pakets an mehrere Schnittstellen weitergeleitet werden. Weitere Informationen zu Next-Hop-Gruppen finden Sie unter Konfigurieren von Next-Hop-Gruppen für die Verwendung mehrerer Schnittstellen zum Weiterleiten von Paketen, die in der Portspiegelung verwendet werden.
Alle MX-Serie 5G unterstützen Universelle Routing-Plattformen Portspiegelung für IPv4 oder IPv6.
Die Portspiegelung für VPLS-Datenverkehr wird auf Routern der MX-Serie unterstützt.
Die Portspiegelung wird für Layer-2-Datenverkehr auf Routern der MX-Serie unterstützt. Informationen zum Konfigurieren der Portspiegelung für Layer 2-Datenverkehr finden Sie im Handbuch zur Netzwerkverwaltung und -überwachung.
In den MPCs auf Routern der MX-Serie sind GRE- und MPLS-Header-Informationen nicht im portgespiegelten Datenverkehr enthalten, der den MPLS-Paketen entspricht, die über IP-GRE-Tunnel übertragen werden.
Die Plattformen PTX1K, PTX10002, PTX5K, PTX3K und PTX10K mit Linecards der ersten Generation (LC1101, LC1102, LC1104 und LC1105) unterstützen keine Ausgangsportspiegelung.
Konfigurationsrichtlinien für die Portspiegelung
Bei der Konfiguration der Portspiegelung gelten die folgenden Einschränkungen:
-
Es werden nur Transitdaten unterstützt.
-
Der MTU-Wert der Portspiegel-Ausgabeschnittstelle sollte groß genug sein, um die gespiegelten Pakete aufzunehmen.
-
Ein eigenständiger Trunk-Port wird nicht als Port-Spiegelung oder Analyse-Ausgabeschnittstelle für Router der MX-Serie und EX9200-Switches unterstützt. Wenn Sie einen Trunk-Port als Spiegel-Ausgabeport verwenden möchten, müssen Sie eine Bridge-Domain (MX) oder ein VLAN (EX) als Port-Spiegel-Ausgabe verwenden und dann den Trunk-Port an die entsprechende Bridge-Domain oder das VLAN als Ausgabeport anschließen.
-
Sie können die Portspiegelung für IPv4 und IPv6 gleichzeitig auf den Routern der MX-Serie konfigurieren.
-
Die Portspiegelung in Eingangs- und Ausgangsrichtung wird für Link Services IQ (lsq-)-Schnittstellen nicht unterstützt.
-
Die Eingangsfilterung von Multicast-Paketen wird auf allen Dense Port Concentrators (DPCs) in Routern der MX-Serie unterstützt. Die Ausgangsfilterung von Multicast-Paketen wird für Schnittstellen auf MPCs in Routern der MX-Serie unterstützt. Das Filtern von Multicast-Paketen basierend auf der Zieladresse wird für Schnittstellen auf I-Chip-ASIC-basierten DPCs in Routern der MX-Serie nicht unterstützt.
Wenn bei der Layer-3-Portspiegelung (
family inetundfamily inet6) der gespiegelte Datenverkehr Multicast ist (d. h. wenn die Ziel-IP-Adresse des Pakets eine Multicast-Adresse ist), entspricht die Ziel-MAC-Adresse in der gespiegelten Kopie dieser Multicast Ziel-IP-Adresse und nicht der in der[edit forwarding-options port-mirroring family (inet | inet6) output]Konfiguration angegebenen Unicast MAC-Adresse. -
Standardmäßig können Firewall-Filter nicht auf Port-Spiegelungs-Zielschnittstellen angewendet werden. Um die Portspiegelung von Zielschnittstellen zur Unterstützung von Firewall-Filtern zu aktivieren, verwenden Sie die
no-filter-checkAnweisung, um die Filterprüfung für die Schnittstellen zu deaktivieren. Sie können dieno-filter-checkAnweisung auf den folgenden Hierarchieebenen einbinden:-
[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output] -
[edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
-
-
Sie müssen einen Firewall-Filter sowohl mit der
acceptAktion als auch mit demport-mirrorAktionsmodifizierer auf der eingehenden Schnittstelle einschließen. -
Die Schnittstelle, die Sie für die Portspiegelung konfigurieren, sollte nicht an Routing-Aktivitäten teilnehmen.
-
Die von Ihnen angegebene Zieladresse sollte keine Route zum endgültigen Ziel des Datenverkehrs haben. Wenn die abgetasteten IPv4-Pakete beispielsweise die Zieladresse haben
192.68.9.10und der portgespiegelte Datenverkehr zur Analyse gesendet192.68.20.15wird, sollte das Gerät, das der letzteren Adresse zugeordnet ist, keine Route zu192.68.9.10kennen. Außerdem sollten die abgetasteten Pakete nicht an die Quelladresse zurückgesendet werden. -
Router der MX-Serie unterstützen mehr als eine Portspiegelungsschnittstelle pro Router.
-
Sie können mehrere Port-Spiegelungsinstanzen auf Routern der MX-Serie konfigurieren.
-
Sie können sowohl Host-Sampling (cflowd) als auch Portspiegelung in derselben Konfiguration angeben. Sie können Routing-Engine-Sampling- und Port-Spiegelungsaktionen gleichzeitig durchführen. Sie können jedoch nicht gleichzeitig PIC-Sampling- und Port-Spiegelungsaktionen ausführen.
-
In typischen Anwendungen senden Sie die abgetasteten Pakete zur Analyse an einen Analysator oder eine Workstation, nicht an einen anderen Router. Wenn Sie diesen Datenverkehr über ein Netzwerk senden müssen, sollten Sie Tunnel verwenden.
-
Auf Routern der PTX-Serie, die Portspiegelung unterstützen, werden IPv4-Pakete verworfen, wenn die Paketlänge die konfigurierte maximale Paketlänge überschreitet.
Wenn in einem Firewall-Filter, der mit einer port-mirror-instance ODER-Aktion port-mirror konfiguriert ist, auch eine Aktion konfiguriert ist, sollte die Port-Spiegelungsinstanzfamilie lautenany.l2-mirror Wenn die l2-mirror Aktion nicht vorhanden ist, sollte die Port-Spiegelungsinstanzfamilie die Firewall-Filterfamilie sein.
Im folgenden Beispiel port-mirroring instance pm1 ist inet, die Firewallfilterfamilie, und weil l2-mirror keine Aktion vorhanden ist.
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family inet output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then accept
Da im folgenden Beispiel l2-mirror neben der Aktion auch eine Aktion vorhanden port-mirror-instance ist, port-mirroring instance pm1 family ist any.
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family any output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then l2-mirror set firewall family inet filter f1 term t1 then accept
Konfigurieren der Portspiegelung
Um die Portspiegelung zu konfigurieren, fügen Sie die port-mirroring Anweisung auf Hierarchieebene [edit forwarding-options] ein:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
- Konfiguration der Port-Spiegelungsadressfamilie und -Schnittstelle
- Router der MX-Serie so konfigurieren, dass Datenverkehr nur einmal gespiegelt wird
Konfiguration der Port-Spiegelungsadressfamilie und -Schnittstelle
Um die Portspiegelung zu konfigurieren, fügen Sie die port-mirroring Anweisung ein. Um den Adressfamilientyp des zu erfassenden Datenverkehrs zu konfigurieren, schließen Sie die family Anweisung ein. Um die Sampling-Rate, die Länge der Sampling und die maximale Größe für das gespiegelte Paket zu konfigurieren, fügen Sie die input Anweisung ein. Um anzugeben, an welche Schnittstelle doppelte Pakete gesendet werden sollen und welche Next-Hop-Adresse gesendet werden soll, fügen Sie die output Anweisung ein. Um zu bestimmen, ob Filter auf der angegebenen Schnittstelle vorhanden sind, schließen Sie die no-filter-check Anweisung ein.
Weitere Informationen zu den und-Anweisungen finden Sie unter Konfigurieren der rate run-length Datenverkehrsabtastung.
Router der MX-Serie so konfigurieren, dass Datenverkehr nur einmal gespiegelt wird
Auf Routern der MX-Serie können Sie die Portspiegelung so konfigurieren, dass der Router den Datenverkehr nur einmal spiegelt. Wenn Sie die Portspiegelung sowohl auf Eingangs- als auch auf Ausgangsschnittstellen konfigurieren, kann dasselbe Paket zweimal gespiegelt werden. Um Pakete nur einmal zu spiegeln und zu verhindern, dass der Router doppelte abgetastete Pakete an dasselbe Spiegelungsziel sendet, fügen Sie die mirror-once folgende Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:
[edit forwarding-options port-mirroring] mirror-once;
Die mirror-once Anweisung wird nur in der globalen Portspiegelungsinstanz unterstützt.
Portspiegelungsinstanzen konfigurieren
Mit Instances können Sie Pakete aus derselben PFE an verschiedene Ziele spiegeln und für jede Instanz unterschiedliche Sampling-Parameter verwenden.
Sie können mehrere Port-Spiegelungsinstanzen auf Routern der MX-Serie konfigurieren. Informationen zum Konfigurieren mehrerer Portspiegelungsinstanzen finden Sie im Handbuch zur Netzwerkverwaltung und -überwachung.
Um eine Portspiegelungsinstanz zu konfigurieren, fügen Sie die instance port-mirroring-instance Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
Verknüpfen einer Port-Spiegelungsinstanz mit einem FPC oder einem PIC auf Routern der MX-Serie
Sie müssen Portspiegelungsinstanzen FPCs oder PIC zuordnen. Sie können eine Port-Spiegelungsinstanz mit einem bestimmten FPC oder mit einem bestimmten PIC auf einem Router der MX-Serie verknüpfen. Das "Zuordnen" einer Portspiegelungsinstanz zu einem FPC oder PIC wird manchmal als "Bindung" der Instanz an den FPC oder PIC bezeichnet.
Eine Instance auf PIC-Ebene überschreibt eine Instance auf FPC-Ebene, und eine Instance auf FPC-Ebene überschreibt eine globale Instance.
Die Anzahl der unterstützten Instanzen beträgt:
- Auf einem MX DPC können maximal 2 Instanzen an ein PIC gebunden (mit diesem verknüpft) werden. Da Sie 4 PICs pro FPC haben können, unterstützt jeder FPC 8 Instanzen.
- Auf einer MX-MPC werden maximal 2 Instanzen unterstützt, die nur auf FPC-Ebene unter der
[edit chassis]Konfigurationshierarchie gebunden werden können.
Um die Zuordnung von Portspiegelungsinstanzen zu einem FPC zu überprüfen, geben Sie den Befehl show chassis fpc fpc-number configuration-mode ein.
Geben slot-numberSie für die Steckplatznummer des FPC oder PIC an, den Sie der Portspiegelungsinstanz zuordnen möchten. Geben Sie für port-mirroring-instance-nameden Namen einer Portspiegelungsinstanz an, die Sie auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert haben.
Plattformspezifisches Verhalten
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:
| Plattform |
Unterschied |
|---|---|
| Router der PTX-Serie |
Die |