Konfigurieren der Portspiegelung
Port-Spiegelung ist die Fähigkeit eines Routers, eine Kopie eines IPv4- oder IPv6-Pakets zur Analyse an eine externe Hostadresse oder einen Paketanalysegerät zu senden. Die Port-Spiegelung unterscheidet sich von Datenverkehrs-Sampling. Bei Datenverkehrs-Sampling wird ein auf dem Paket-Header basierender Sampling-Schlüssel an die Routing-Engine gesendet. Dort kann der Schlüssel in eine Datei abgelegt werden, oder cflowd-Pakete basierend auf dem Schlüssel können an einen cflowd-Server gesendet werden. Bei der Portspiegelung wird das gesamte Paket kopiert und über eine Next-Hop-Schnittstelle gesendet.
Eine Anwendung zur Portspiegelung sendet ein doppeltes Paket an einen virtuellen Tunnel. Eine Next-Hop-Gruppe kann dann so konfiguriert werden, dass Kopien dieses duplizierten Pakets an mehrere Schnittstellen weitergeleitet werden. Weitere Informationen zu Next-Hop-Gruppen finden Sie unter Konfigurieren von Next-Hop-Gruppen zur Verwendung mehrerer Schnittstellen zur Weiterleitung von Paketen, die in der Portspiegelung verwendet werden.
Alle Multiservice Edge-Router der M-Serie, Core-Router der T-Serie und universelle 5G-Routing-Plattformen der MX-Serie unterstützen Portspiegelung für IPv4 oder IPv6. Die Router M120, M320 und MX unterstützen gleichzeitig Portspiegelung für IPv4 und IPv6.
Portspiegelung für VPLS-Datenverkehr wird auf M7i- und M10i-Routern unterstützt, die mit einem Enhanced CFEB (CFEB-E), auf M120-Routern, M320-Routern mit einem Enhanced III Flexible PIC Concentrators (FPCs) und Routern der MX-Serie konfiguriert sind.
In Junos OS Version 9.3 und höher wird die Portspiegelung für Layer-2-Datenverkehr auf Routern der MX-Serie unterstützt. Informationen zur Konfiguration der Portspiegelung für Layer 2-Datenverkehr finden Sie in der Junos OS Layer 2 Switching and Bridging Library für Routing-Geräte.
In Junos OS Version 9.6 und höher wird die Portspiegelung für Layer-2-VPN-Datenverkehr auf M120-Routern und M320-Routern unterstützt, die mit einer Enhanced III FPC konfiguriert sind. Sie können auch die maximale Länge des gespiegelten Pakets festlegen. Beim Einstellen wird das gespiegelte Paket auf die angegebene Länge abgeschnitten.
In den MPCs der Router der M- und MX-Serie sind GRE- und MPLS-Headerinformationen nicht im portgespiegelten Datenverkehr enthalten, der MPLS-Paketen entspricht, die über IP-GRE-Tunnel übertragen werden.
Konfigurationsrichtlinien zur Portspiegelung
Bei der Konfiguration der Portspiegelung gelten die folgenden Einschränkungen:
Es werden nur Transitdaten unterstützt.
Sie können entweder IPv4- oder IPv6-Portspiegelung konfigurieren, aber nicht beide auf Routern der M-Serie, außer bei den M120- und M320-Routern, die gleichzeitig Portspiegelung für IPv4 und IPv6 unterstützen.
Sie können die Portspiegelung für IPv4 und IPv6 auf den M120- und M320-Routern und den Routern der MX-Serie gleichzeitig konfigurieren.
Port-Spiegelung in Eingangs- und Ausgangsrichtung wird für Link Services IQ (lsq-) Schnittstellen nicht unterstützt.
Die Eingangsfilterung von Multicastpaketen wird auf allen Dense Port Concentrators (DPCs) in Routern der MX-Serie unterstützt. Das Egress-Filtern von Multicastpaketen wird nur für Schnittstellen auf MPCs in Routern der MX-Serie unterstützt. Das Filtern von Multicastpaketen basierend auf der Zieladresse wird auf Routern der M-Serie oder Routern der T-Serie nicht unterstützt und wird nicht für Schnittstellen auf I-Chip-ASIC-basierten DPCs in Routern der MX-Serie unterstützt.
Bei Layer 3-Portspiegelung (
family inetundfamily inet6) entspricht die Ziel-MAC-Adresse in der gespiegelten Kopie dieser Multicast-Ziel-IP-Adresse und nicht der in der[edit forwarding-options port-mirroring family (inet | inet6) output]Konfiguration angegebenen Unicast-MAC-Adresse.Firewall-Filter können standardmäßig nicht auf Zielschnittstellen zur Portspiegelung angewendet werden. Um die Portspiegelung von Zielschnittstellen zur Unterstützung von Firewall-Filtern zu ermöglichen, verwenden Sie die Anweisung, um die
no-filter-checkFilterprüfung an den Schnittstellen zu deaktivieren. Sie können dieno-filter-checkAnweisung auf den folgenden Hierarchieebenen einfügen:[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
Sie müssen einen Firewall-Filter mit der Aktion "Akzeptieren" und dem Aktionsmodifizierer für die Portspiegelung auf der eingehenden Schnittstelle enthalten.
Die Schnittstelle, die Sie für die Portspiegelung konfigurieren, sollte an keiner Art von Routing-Aktivität teilnehmen.
Die von Ihnen angegebene Zieladresse sollte nicht über eine Route zum endgültigen Datenverkehrsziel verfügen. Wenn die stichprobenfähigen IPv4-Pakete beispielsweise eine Zieladresse von 192.68.9.10 haben und der portgespiegelte Datenverkehr zur Analyse an 192.68.20.15 gesendet wird, sollte das mit dieser Adresse verbundene Gerät keine Route zu 192.68.9.10 kennen. Außerdem sollte es die erfassten Pakete nicht an die Quelladresse zurücksenden.
Auf allen Routern außer dem Router der MX-Serie können Sie pro Router nur eine Portspiegelungsschnittstelle konfigurieren. Wenn Sie mehr als eine Schnittstelle in der
port-mirroringAnweisung enthalten, wird die vorherige überschrieben. Router der MX-Serie unterstützen mehr als eine Portspiegelungsschnittstelle pro Router.Sie können mehrere Portspiegelungsinstanzen auf den Routern der M120-, M320- und MX-Serie konfigurieren.
Sie können sowohl Host-Sampling (cflowd) als auch Portspiegelung in derselben Konfiguration angeben. Sie können RE-Sampling- und Portspiegelungsaktionen gleichzeitig durchführen. Sie können jedoch keine PIC-Sampling- und Port-Spiegelungsaktionen gleichzeitig durchführen.
In typischen Anwendungen senden Sie die stichprobenierten Pakete zur Analyse an einen Analyzer oder eine Workstation, nicht an einen anderen Router. Wenn Sie diesen Datenverkehr über ein Netzwerk senden müssen, sollten Sie Tunnel verwenden.
Konfigurieren der Portspiegelung
Um die Portspiegelung zu konfigurieren, fügen Sie die port-mirroring Anweisung auf Hierarchieebene [edit forwarding-options] ein:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
Konfigurieren der Portspiegelungsadressenfamilie und -schnittstelle
Um die Portspiegelung zu konfigurieren, fügen Sie die port-mirroring Anweisung ein. Um den Datenverkehrstyp der Adressfamilie zu konfigurieren, der zum Beispiel übertragen wird, fügen Sie die family Anweisung ein. Um die Samplingrate, die Dauer des Samplings und die maximale Größe des gespiegelten Pakets zu konfigurieren, ist die input Anweisung enthalten. Um festzulegen, an welcher Schnittstelle duplizierte Pakete gesendet werden sollen, und die Next-Hop-Adresse zum Senden von Paketen, fügen Sie die output Anweisung ein. Um festzustellen, ob an der angegebenen Schnittstelle Filter vorhanden sind, fügen Sie die no-filter-check Anweisung ein.
Informationen zu Rate und run-length Anweisungen finden Sie unter Konfigurieren von Datenverkehrs-Sampling .
Konfigurieren mehrerer Portspiegelungsinstanzen
In Junos OS Version 9.5 und höher können Sie mehrere Portspiegelungsinstanzen auf den Routern der M120-, M320- und MX-Serie konfigurieren. Auf dem M120-Router können Sie jeder Instanz eine bestimmte Forwarding Engine Board (FEB) zuordnen. Sie können eine Port-Spiegelungsinstanz nicht einem als Backup FEB konfigurierten FEB zuordnen. Auf dem M320-Router können Sie jede Instanz einem bestimmten Flexible PIC Concentrator (FPC) zuordnen. Wenn Sie eine Portspiegelungsinstanz mit einer FPC oder einem FEB verknüpfen, können Sie Pakete zu verschiedenen Zielen spiegeln. Auf Routern der MX-Serie werden auch mehrere Portspiegelungsinstanzen unterstützt. Informationen zur Konfiguration mehrerer Portspiegelungsinstanzen auf Routern der MX-Serie finden Sie in der Junos OS Layer 2 Switching and Bridging Library für Routing-Geräte.
In MX80- und MX104-Routern sollten Portspiegelungsinstanzen immer mit FPC 0 verknüpft werden, da die Zuweisung von Portspiegelungsinstanzen zu FPC 1 oder FPC 2 aufgrund der zugrunde liegenden Architektur zu inkonsistenten Verhalten führen kann.
Um eine Port-Spiegelungsinstanz zu konfigurieren, fügen Sie die instance port-mirroring-instance Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- Konfigurieren von Portspiegelungsinstanzen
- Zuweisung einer Portspiegelungsinstanz zu M320-Routern
- Zuweisung einer Portspiegelungsinstanz zu M120-Routern
- Konfiguration der universellen 5G-Routing-Plattformen der MX-Serie und der M120-Router zur einmaligen Spiegelung des Datenverkehrs
Konfigurieren von Portspiegelungsinstanzen
Sie können mehrere Portspiegelungsinstanzen konfigurieren. Geben Sie für jede von Ihnen konfigurierte Instanz ein Eindeutiges port-mirroring-instance-name an.
Zuweisung einer Portspiegelungsinstanz zu M320-Routern
Sie können eine Portspiegelungsinstanz einer bestimmten FPC auf einem M320-Router oder einem bestimmten FEB auf einem M120-Router zuordnen. Sie können jeder FPC auf einem M320-Router oder mit jedem FEB auf einem M120-Router nur eine Portspiegelinstanz zuordnen. Auf einem M120-Router können Sie keine Portspiegelungsinstanz mit einer FEB-Konfiguration als Backup-FEB zuordnen.
Um eine Portspiegelungsinstanz einer FPC auf einem M320-Router zuzuordnen, fügen Sie die port-mirror-instance port-mirroring-instance-name Anweisung auf der [edit chassis fpc slot-number] Hierarchieebene ein:
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Geben slot-numberSie für die Steckplatznummer der FPC an, die Sie der Portspiegelinstanz zuordnen möchten. Geben port-mirroring-instance-nameSie für den Namen einer auf Hierarchieebene [edit forwarding-options port-mirroring] konfigurierten Portspiegelinstanz an. Weitere Informationen zur Konfiguration einer FPC auf einem M320-Router finden Sie in der Junos OS Administration Library for Routing Devices.
Zuweisung einer Portspiegelungsinstanz zu M120-Routern
Um eine Portspiegelungsinstanz einem FEB auf einem M120-Router zuzuordnen, fügen Sie die port-mirror-instance port-mirroring-instance-name Anweisung auf der [edit chassis feb slot-number] Hierarchieebene ein:
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Geben slot-numberSie für die Steckplatznummer des FEB an, das Sie der Portspiegelinstanz zuordnen möchten. Geben port-mirroring-instance-nameSie für den Namen einer auf Hierarchieebene [edit forwarding-options port-mirroring] konfigurierten Portspiegelinstanz an. Informationen zur Konfiguration der FEB-Redundanz auf einem M120-Router finden Sie im Junos OS High Availability Benutzerhandbuch. Informationen zur Konfiguration der FPC-zu-FEB-Konnektivität auf einem M120-Router finden Sie in der Junos OS Administration Library for Routing Devices.
Konfiguration der universellen 5G-Routing-Plattformen der MX-Serie und der M120-Router zur einmaligen Spiegelung des Datenverkehrs
Nur auf Routern der MX- und M120-Serie können Sie die Portspiegelung so konfigurieren, dass der Router den Datenverkehr nur einmal spiegelt. Wenn Sie die Portspiegelung sowohl an Eingangs- als auch an Ausgangsschnittstellen konfigurieren, kann dasselbe Paket doppelt gespiegelt werden. Um Pakete nur ein einziges Mal zu spiegeln und zu verhindern, dass der Router doppelte Beispielpakete an ein und dasselbe Spiegelungsziel sendet, fügen Sie die mirror-once Anweisung auf Hierarchieebene [edit forwarding-options port-mirroring] ein:
[edit forwarding-options port-mirroring] mirror-once;
Die mirror-once Anweisung wird nur in der globalen Portspiegelungsinstanz unterstützt.