Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de la duplicación de puertos y los analizadores en conmutadores EX2300, EX3400 y EX4300

 
Nota

Este concepto usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS).

La creación de reflejos puede ser necesaria para el análisis de tráfico en un conmutador, ya que un conmutador, al contrario que un concentrador, no transmite los paquetes a todos los puertos del dispositivo de destino. El conmutador sólo envía paquetes al puerto al que está conectado el dispositivo de destino.

Los conmutadores Juniper Networks EX2300, EX3400 y EX4300 Ethernet son compatibles con los métodos de duplicación siguientes: duplicación y análisis de puertos. Puede utilizar la creación de reflejos o analizadores de puertos para facilitar el análisis de tráfico de estos conmutadores en el nivel de paquetes. Puede utilizar analizadores como parte del tráfico del conmutador de supervisión con el fin de aplicar políticas relativas al uso de la red y al uso compartido de archivos e identificar los orígenes de los problemas en su red, localizando un uso anormal o pesado del ancho de banda en particular estaciones o aplicaciones.

Los paquetes reflejados se pueden copiar en una interfaz local para su supervisión local o en una VLAN para la supervisión remota. Se pueden copiar los siguientes paquetes:

  • Packets entering or exiting a port—Puede reflejar los paquetes en cualquier combinación de paquetes entrando o saliendo de puertos en un máximo de 256 puertos. Por ejemplo, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos a la misma VLAN de puerto o analizador local del analizador.

  • Packets entering a VLAN—Puede reflejar los paquetes introduciendo una VLAN en un puerto analizador local o en una VLAN de analizador. Puede configurar varias VLAN (hasta 256 VLAN), incluido el rango de VLAN y PVLANs, a medida que entra en el analizador.

  • Policy-based sample packets—Puede reflejar una muestra de paquetes basada en políticas que estén entrando en un puerto o en una VLAN. Puede configurar un filtro de Firewall para establecer una directiva que seleccione los paquetes que se van a reflejar. Puede enviar la muestra a una instancia de creación de reflejo de puerto o a una VLAN de analizador.

Este tema describe lo siguiente:

Descripción de duplicación de Puerto

La duplicación de puertos se configura en un conmutador EX2300, EX3400 o EX4300 para enviar copias del tráfico de unidifusión a un destino de salida como una interfaz, una instancia de enrutamiento o una VLAN. A continuación, puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos. La aplicación de analizador de protocolos puede ejecutarse en un equipo conectado a la interfaz de salida del analizador o en una estación de supervisión remota. Para el tráfico de entrada, puede configurar un término de filtro de cortafuegos para especificar si se debe aplicar la duplicación de puertos en todos los paquetes en la interfaz a la que se aplica el filtro de Firewall. Puede aplicar un filtro de firewall configurado con la acción port-mirror o port-mirror-instance name en las interfaces lógicas de entrada o salida (incluidas interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o a tráfico reenviado o INUNDAdo a un VPLS instancia de enrutamiento. Los conmutadores EX2300, EX3400 y EX4300 son compatibles con el reflejo defamily ethernet-switching puertos family vplsde VPLS (o) del family ccc tráfico y el tráfico de VPN en un entorno de capa 2. Dentro de un término de filtro de firewall, puede especificar las propiedades de duplicación de then puertos bajo la instrucción de cualquiera de las maneras siguientes:

  • Hacer referencia implícita a las propiedades de reflejo de puerto en vigor en el puerto.

  • Hacer referencia de forma explícita a una instancia con nombre específica de duplicación de puertos.

Puede configurar la creación de reflejos de [edit forwarding-options port-mirroring] puerto en el nivel de jerarquía.

Nota

Puede utilizar la creación de reflejo de puerto para reflejar el tráfico en las interfaces de la capa 3. Los analizadores se pueden utilizar para reflejar paquetes de puentes enlazados (capa 2). Para reflejar paquetes enrutados (paquetes de capa 3), puede usar la configuración de duplicación de puertos en la family que la instrucción se inet establece inet6en o.

Descripción general del analizador

Puede configurar un analizador para definir tanto el tráfico de entrada como el tráfico de salida en la misma configuración del analizador. El tráfico de entrada que se va a analizar puede ser tráfico que entra o sale de una interfaz o tráfico que entra en una VLAN. La configuración de Analyzer le permite enviar este tráfico a una interfaz de salida, instancia o VLAN. Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Terminología de creación de reflejos y analizador de puertos

Tabla 1enumera algunas condiciones de duplicación de puertos y sus descripciones.

Tabla 1: Terminología de creación de reflejos

PeríodoDescriptiva

Analizador

En una configuración de duplicación (Analyzer) de un conmutador EX2300, EX3400 o EX4300, el analizador incluye:

  • El nombre del analizador

  • Puertos de origen (entrada) o VLAN

  • Un destino para los paquetes reflejados (un puerto de monitor o una VLAN de monitor)

Interfaz de salida del analizador

(También conocido como puerto de monitor)

Interfaz a la que se envía tráfico reflejado y a la que se conecta una aplicación de analizador de protocolos.

Nota: Las interfaces utilizadas como salida para un analizador deben configurarse ethernet-switching bajo la familia.

Las interfaces de salida del analizador tienen las siguientes limitaciones:

  • No puede ser también un puerto de origen.

  • No participe en protocolos de capa 2, como el protocolo de árbol de expansión (STP), cuando forme parte de una configuración de duplicación de puerto.

  • Si el ancho de banda de la interfaz de salida del analizador no es suficiente para controlar el tráfico de los puertos de origen, los paquetes de desbordamiento desaparecerán.

Analyzer VLAN

(También conocido como VLAN de monitor)

VLAN a la que se envía tráfico reflejado. El tráfico reflejado puede ser utilizado por una aplicación de analizador de protocolos. Las interfaces de miembro de la VLAN de monitor se propagan entre los conmutadores de su red.

Duplicación de puertos

Configuración de la creación de reflejos de puerto que no especifica una fuente de entrada; solo especifica un destino de salida. Debe definirse una configuración de filtro de Firewall para el origen de entrada. Una configuración de filtro de Firewall debe definirse para reflejar paquetes que coincidan con las condiciones de coincidencia definidas en el término de filtro de Firewall. El elemento port-mirror-instance instance-name de acción de la configuración del filtro del cortafuegos se utiliza para enviar paquetes al analizador y estos paquetes forman el origen de la entrada.

Espejo de Puerto global

Configuración de duplicación del puerto que no tiene un nombre de instancia. La acción port-mirror de filtrado de Firewall será la acción de la configuración del filtro de Firewall.

Interfaz de entrada

(También conocidos como puertos reflejados o interfaces supervisadas)

Interfaz en el conmutador que se va a reflejar. El tráfico que entra o sale de esta interfaz está reflejado.

Analizador basado en posposición

Es un analizador que tiene un grupo de agregación de vínculos especificado como interfaz de entrada (Ingress) en la configuración del analizador.

Espejado local

Configuración de Analyzer en la que los paquetes se reflejan en un puerto analizador local.

Estación de supervisión

Un equipo donde se ejecute una aplicación de analizador de protocolos.

Sesión de analizador nativo

Una sesión de Analyzer que tiene input las output dos definiciones y en su configuración de Analyzer.

Espejado basado en políticas

(También conocido como duplicación de puerto)

Reflejo de paquetes que coinciden con los elementos de coincidencia del término de filtro del firewall definido. El elemento port-mirror-instance instance-name de acción se utiliza en el filtro del firewall para enviar los paquetes al puerto del monitor.

Analizador basado en puertos

Una sesión de Analyzer cuya configuración define interfaces tanto para entrada como para salida.

Aplicación de analizador de protocolos

Aplicación utilizada para examinar paquetes transmitidos a través de un segmento de red. También se denomina analizador de redes, rastreador de paquetes o sonda.

Espejado de Puerto remoto

Funciona del mismo modo que el reflejo de puertos local, salvo que el tráfico reflejado no se copia en un puerto analizador local sino que se inunda a una VLAN de Analyzer que se crea específicamente con el fin de recibir tráfico reflejado.

Analizador basado en VLAN

Una sesión de Analyzer cuya configuración utiliza VLAN tanto para entrada como salida, o para entrada o salida.

Directrices de configuración para la duplicación y los analizadores de puertos en conmutadores EX2300, EX3400 y EX4300

Cuando configure la duplicación o los analizadores de puertos en conmutadores EX2300, EX3400 y EX4300, le recomendamos que siga ciertas pautas para garantizar que obtenga el mejor beneficio del espejeado. Además, recomendamos que desactive la creación de reflejos cuando no la esté utilizando y que seleccione interfaces específicas para las que los paquetes deben reflejarse (es decir, seleccione interfaces específicas como entrada para el analizador), en preferencia a all utilizar la opción palabra clave, que habilitará la creación de reflejos en todas las interfaces. El reflejo de los paquetes necesarios reduce cualquier impacto potencial sobre el rendimiento.

Con la creación de reflejo local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador llega a su capacidad, los paquetes desaparecen. Por lo tanto, al configurar un analizador, debe tener en cuenta si el tráfico que se va a reflejar supera la capacidad de la interfaz de salida del analizador.

Tabla 2resume directrices adicionales de configuración para la creación de reflejos en conmutadores EX2300, EX3400 y EX4300.

Tabla 2: Directrices de configuración para la duplicación y los analizadores de puertos en conmutadores EX2300, EX3400 y EX4300

Directrices

Información de valor o de soporte

Coment

Número de redes VLAN que se pueden usar como entradas de entrada para un analizador.

256

 

Número de sesiones y analizadores de creación de reflejos de puerto que puede activar de forma concurrente.

4

  • Puede configurar un total de cuatro sesiones y puede activar sólo una de las siguientes en cualquier momento:

    • Un máximo de cuatro sesiones de creación de reflejos de puertos (incluida la sesión global de reflejo de puertos). Consulte Tabla 1 para obtener una descripción de la duplicación de Puerto global.

    • Un máximo de cuatro sesiones de Analyzer.

    • Una combinación de sesiones de creación de reflejos de puerto y analizador, y el total de esta combinación debe ser cuatro.

  • Puede configurar más de la cantidad especificada de instancias de creación de reflejo de puerto o analizadores en el conmutador, pero solo puede habilitar el número especificado para una sesión.

Tipos de puertos en los que no se puede reflejar el tráfico.

  • Puertos de Virtual Chassis (VCPS)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces de enrutamiento y puentes integrados (IRB); también se conocen como interfaces VLAN enrutadas (RVIs).

  • Interfaces VLAN con etiqueta de capa 3

 

Familias de protocolos que puede incluir en una configuración de duplicación de puerto para el tráfico remoto.

any

 

Direcciones de tráfico que puede configurar para la creación de reflejos en puertos en–configuraciones basadas en filtros de cortafuegos.

Entrada y salida

 

Los paquetes reflejados que salen de una interfaz reflejan los bits reescritos de clase de servicio (CoS) o 802.1 p.

Válida

 

Los paquetes con errores de capa física no se envían al analizador local o remoto.

Válida

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La duplicación de puertos no admite el tráfico de la velocidad de línea.

Válida

La duplicación de puertos para el tráfico de la velocidad de línea se realiza de la mejor manera posible.

Espejado de paquetes de salida de una VLAN.

No compatible

 

El reflejo de puerto o la salida del analizador en una interfaz de posposición.

Posible

 

Número máximo de miembros secundarios en una interfaz de reflejo de puerto o de salida del analizador.

8

 

Número máximo de interfaces en una VLAN de Remote Port mirroring o Analyzer.

1

 

Salida del reflejo de paquetes de control generados por el host.

No compatible

 

Configuración de interfaces lógicas de capa input 3 en el Stanza de un analizador.

No compatible

Esta funcionalidad puede lograrse mediante la configuración del reflejo de puerto.

Debe evitarse la entrada y salida del analizador stanzas que contenga miembros de la misma VLAN o la propia VLAN.

Válida

 

Limitación del espejado de puertos

  • La duplicación de salida auténtica se define como un reflejo del número exacto de copias y de las modificaciones exactas del paquete que se desconectó del puerto de salida del conmutador. Dado que el procesador de los conmutadores EX2300 y EX3400 implementa el reflejo de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas del paquete de salida, así que el tráfico espejeado de salida puede llevar etiquetas VLAN incorrectas que difieran de las etiquetas del tráfico original.