Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Solución de problemas de duplicación de puertos

 

Restricciones y limitaciones del espejeado de puertos

Espejado de puertos local y remoto

Las siguientes delimitaciones y limitaciones se aplican a la creación de reflejos de puertos locales y remotos:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • Puede crearse un total de cuatro configuraciones de duplicación de puertos en cada grupo de nodo de un sistema QFabric, sujeto a las siguientes limitaciones:

    • Hasta cuatro configuraciones pueden ser para espejado de puertos local.

    • Hasta tres configuraciones pueden ser para espejado de puertos remotos.

  • Independientemente de si está configurando un conmutador autónomo o un grupo de nodos, se aplican los límites siguientes:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. (Si configura un filtro de Firewall para enviar tráfico a un espejo—de puerto es decir, utiliza el analyzer modificador de acciones en un término—de filtro, este contador contará como una configuración de reflejo de entrada para un conmutador o grupo de nodos en el que se aplica el filtro.)

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

Nota

En los sistemas QFabric, no existe un límite para todo el sistema en el número total de sesiones espejadas.

  • No puede configurar más de un tipo de resultado en una configuración de duplicación de puerto. Es decir, no puede utilizar más de una de las siguientes opciones para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Si configura Junos OS para que refleje los paquetes de salida, no configure más de 2000 VLAN en un conmutador independiente o en un sistema QFabric. Si lo hace, algunos paquetes VLAN podrían contener ID de VLAN incorrectos. Esto se aplica a cualquier paquete VLAN—y no solo a las copias espejadas.

  • No ratio se loss-priority admiten las opciones y.

  • Los paquetes con errores de capa física se filtran y no se envían al puerto de salida o a la VLAN.

  • Si utiliza la supervisión sFlow para muestrear el tráfico, no muestra las copias simétricas cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de Virtual Chassis dedicadas

    • Interfaces de administración (me0 o vme0)

    • canal de fibra interfaces

    • Interfaces de puente y enrutamiento integrados (IRB) (conocidas también como interfaces VLAN enrutadas o RVIs)

  • Una interfaz Ethernet agregada no puede ser una interfaz de resultados si la entrada es una VLAN o si el filtro de Firewall envía tráfico al analizador.

  • Cuando las copias de paquetes se envían a través de la interfaz de salida, no se modifican para ningún cambio que se aplique normalmente a las salidas, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada de una sola configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por la CPU (como, por ejemplo, los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en salidas.

  • No se admite la creación de reflejos basados en VLAN para el tráfico STP.

  • (Solo sistemas QFabric) Si configura un analizador de QFabric para que refleje el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos de nodo diferentes, las copias espejadas tienen IDs VLAN incorrectos. Esta limitación no se aplica si configura un analizador de QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo de nodo. En este caso, las copias espejadas tienen los identificadores de VLAN correctos (siempre y cuando no configures más de 2000 VLAN en el sistema QFabric).

  • La duplicación de salida auténtica se define como un reflejo del número exacto de copias y de las modificaciones exactas del paquete que se desconectó del puerto de salida del conmutador. Dado que el procesador de QFX5xxx (incluidos los conmutadores QFX5100, QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementa el espejado de salida en la canalización de entrada, esos conmutadores no proporcionan el paquete de salida preciso modificaciones, así que el tráfico espejeado puede llevar etiquetas VLAN incorrectas que difieran de las etiquetas del tráfico original.

  • Si configura una instancia de creación de reflejo del puerto para reflejar el tráfico que sale de una interfaz que realiza VXLAN encapsulación, las direcciones MAC de destino y de origen de los paquetes reflejados no serán las mismas que las del tráfico original.

  • No se admite la creación de reflejos en interfaces de miembro de un retraso.

  • No se admite el reflejo de VLAN de salida.

Solamente espejado de Puerto remoto

Las siguientes delimitaciones y limitaciones se aplican a la creación de reflejos de puertos remotos:

  • Si configura una dirección IP de salida, la dirección no puede estar en la misma subred que ninguna de las interfaces’de administración de conmutación s.

  • Si crea instancias de enrutamiento virtual y crea también una configuración de analizador que incluye una dirección IP de salida, la dirección de salida pertenece a la instancia de enrutamiento virtual predeterminada (la tabla de enrutamiento inet. 0).

  • Una VLAN de salida no puede ser una VLAN o intervalo VLAN privados.

  • Una VLAN de salida no se puede compartir analyzer con varias instrucciones.

  • Una interfaz VLAN de salida no puede ser miembro de ninguna otra VLAN.

  • Una interfaz VLAN de salida no puede ser una interfaz Ethernet agregada.

  • Si la VLAN de salida tiene más de una interfaz de miembro, el tráfico se espeja únicamente al primer miembro de la VLAN y los demás miembros de la misma VLAN no tienen tráfico espejeado.

  • Si intenta configurar más de una sesión de Analyzer para el reflejo de Puerto remoto en una dirección IP (encapsulación GRE) y se puede tener acceso a las direcciones IP de los analizadores a través de la misma interfaz, solo se configurará una sesión de Analyzer.

Restricciones de duplicación de puertos en conmutadores de la serie OCX

Las siguientes delimitaciones y limitaciones se aplican al espejeado de puertos en conmutadores de la serie OCX:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos. También se aplican las siguientes restricciones:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

  • Si utiliza la supervisión sFlow para muestrear el tráfico, no muestra las copias simétricas cuando salen de la interfaz de salida.

  • Sólo puede crear una sesión de duplicación de puertos.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de Virtual Chassis dedicadas

    • Interfaces de administración (me0 o vme0)

    • canal de fibra interfaces

    • Interfaces VLAN enrutadas o interfaces IRB

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida.

  • No incluya una subinterfaz de 802.1 Q que tenga un número de unidad distinto de 0 en una configuración de duplicación de puerto. La duplicación de puertos no funciona con subinterfaces si su número de unidad no es 0. Puede configurar las subinterfaces de 802.1 Q mediante la vlan-tagging instrucción.

  • Cuando las copias de paquetes se envían a través de la interfaz de salida, no se modifican para ningún cambio que se aplique normalmente a las salidas, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada de una sola configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por la CPU (como, por ejemplo, los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en salidas.

  • No se admite la creación de reflejos basados en VLAN para el tráfico STP.

Duplicación del puerto de salida con traducción de VLAN

Problema

Description: Si crea una configuración de duplicación de puerto que refleje el tráfico de la VLAN del cliente (CVLAN) en las salidas y el tráfico se somete a la traducción de VLAN antes de que se produzca la duplicación, la traducción de VLAN no se aplica a los paquetes reflejados. Es decir, los paquetes reflejados conservan la etiqueta del servicio VLAN (SVLAN) que debe sustituirse por la etiqueta CVLAN en las salidas de salida. Los paquetes originales no se ven afectados—en estos paquetes. la traducción de VLAN funciona correctamente y la etiqueta SVLAN se sustituye por la etiqueta CVLAN en salida.

Solución

Este es el comportamiento esperado.

Duplicación del puerto de salida con VLAN privadas

Problema

Description: Si crea una configuración de duplicación de puerto que refleje el tráfico de VLAN privado (PVLAN) en las salidas, el tráfico reflejado (el tráfico que se envía al sistema de analizador) tendrá la etiqueta VLAN de la VLAN de entrada en lugar de la VLAN de salida. Por ejemplo, supongamos la siguiente configuración de PVLAN:

  • Puerto de troncal promiscuo que transporta las VLAN principales pvlan100 y pvlan400.

  • Puerto de acceso aislado que transporta isolated200 de VLAN secundaria. Esta VLAN es miembro de la pvlan100 VLAN principal.

  • Puerto de la comunidad que transporta las VLAN secundarias comm300. Esta VLAN también es miembro de pvlan100 principal de VLAN.

  • Interfaz de salida (interfaz de pantalla) que se conecta al sistema de Analyzer. Esta interfaz reenvía el tráfico reflejado al analizador.

Si un paquete para pvlan100 entra en el puerto de Troncalización promiscuo y se cierra en el puerto de acceso aislado, el paquete original no se etiquetará a la salida porque se está cerrando en un puerto de acceso. Sin embargo, la copia espejada conserva la etiqueta para pvlan100 cuando se envía al analizador.

A continuación se muestra otro ejemplo: Si se trata de un paquete para la entrada de comm300 en el puerto comunitario y de salida en el puerto troncal promiscuo, el paquete original transporta la etiqueta para pvlan100 en salida, como cabría esperar. Sin embargo, la copia espejada conserva la etiqueta para comm300 cuando se envía al analizador.

Solución

Este es el comportamiento esperado.