Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Mise en miroir de ports et analyseurs

SUMMARY Cette section décrit comment la mise en miroir des ports envoie le trafic réseau aux applications d’analyse.

Comprendre la mise en miroir de ports et les analyseurs

La mise en miroir de ports et les analyseurs envoient du trafic réseau vers les périphériques exécutant des applications d’analyse. Un miroir de port copie le trafic IP de couche 3 vers une interface. Un analyseur copie les paquets pontés (couche 2) vers une interface. Le trafic en miroir peut provenir d’une ou de plusieurs interfaces. Vous pouvez utiliser un périphérique attaché à une interface de sortie miroir exécutant une application d’analyse pour effectuer des tâches telles que la surveillance de la conformité, l’application de stratégies, la détection d’intrusions, la surveillance des performances réseau, la corrélation d’événements et d’autres problèmes sur le réseau.

Sur les routeurs contenant un circuit intégré spécifique à l’application (ASIC) d’Internet Processor II ou un processeur Internet T Series, la mise en miroir de ports copie les paquets Unicast entrant ou sortant d’un port ou entrant dans un VLAN et envoie ces copies à une interface locale pour la surveillance locale ou à un VLAN pour la surveillance à distance. Le trafic en miroir est reçu par les applications qui vous aident à analyser ce trafic.

La mise en miroir des ports est différente de l’échantillonnage du trafic. Dans l’échantillonnage du trafic, une clé d’échantillonnage basée sur l’en-tête IPv4 est envoyée au moteur de routage, où une clé est placée dans un fichier ou cflowd. Les paquets basés sur cette clé sont envoyés à un serveur cflowd. Dans la mise en miroir de ports, l’intégralité du paquet est copiée et envoyée via l’interface spécifiée où il peut être capturé et analysé en détail.

Utilisez la mise en miroir des ports pour envoyer du trafic vers des appareils qui analysent le trafic à des fins telles que la surveillance de la conformité, l’application de stratégies, la détection d’intrusions, la surveillance et la prédiction des schémas de trafic, la corrélation d’événements, etc. La mise en miroir des ports est nécessaire lorsque vous souhaitez effectuer une analyse du trafic, car un commutateur envoie normalement des paquets uniquement au port auquel le périphérique de destination est connecté. Vous ne souhaitez probablement pas envoyer les paquets d’origine pour analyse avant qu’ils ne soient transférés en raison du retard que cela entraînerait. L’alternative courante consiste donc à configurer la mise en miroir des ports pour envoyer des copies du trafic unicast à une autre interface et exécuter une application d’analyse sur un périphérique connecté à cette interface.

Pour configurer la mise en miroir des ports, configurez une instance de mise en miroir des ports. mais ne spécifiez pas d’entrée pour cela. Au lieu de cela, créez un filtre de pare-feu qui spécifie le trafic requis et le dirige vers l’instance. Utilisez l’action port-mirror dans un then terme du filtre pour cela. Le filtre de pare-feu doit être configuré sur family inet.

Gardez les performances à l’esprit lors de la configuration de la mise en miroir des ports. La configuration du filtre de pare-feu pour qu’il ne mette en miroir que les paquets nécessaires réduit le risque d’impact sur les performances.

Vous pouvez configurer une instruction analyzer pour définir à la fois le trafic d’entrée et le trafic de sortie dans la même configuration d’analyseur. Le trafic à analyser peut être le trafic qui entre ou sort d’une interface, ou le trafic qui entre dans un VLAN. La configuration de l’analyseur vous permet d’envoyer ce trafic vers une interface de sortie, une instance ou un VLAN. Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.

REMARQUE :

Sur les commutateurs EX Series, lorsque vous désactivez une interface dans un VLAN de mise en miroir de port distant, vous devez réactiver l’interface désactivée et reconfigurer la session de l’analyseur pour reprendre la mise en miroir de ports.

Vous pouvez utiliser la mise en miroir des ports pour copier :

  • Tous les paquets entrant ou sortant d’une interface, quelle que soit leur combinaison. Des copies des paquets entrant dans certaines interfaces et des paquets sortant d’autres interfaces peuvent être envoyées à la même interface locale ou VLAN. Si vous configurez la mise en miroir des ports pour copier les paquets sortant d’une interface, le trafic provenant de ce commutateur ou de ce périphérique de nœud (dans un système QFabric) n’est pas copié lorsqu’il sort. Seul le trafic commuté est copié à la sortie. (Voir la limitation de la mise en miroir de sortie ci-dessous.)

  • Tout ou partie des paquets entrant dans un VLAN. Vous ne pouvez pas utiliser la mise en miroir des ports pour copier des paquets sortant d’un VLAN.

  • Échantillon filtré par pare-feu de paquets entrant dans un port ou un VLAN.

  • Les filtres de pare-feu ne sont pas pris en charge sur les ports de sortie. c’est-à-dire que vous ne pouvez pas spécifier d’échantillonnage basé sur des stratégies des paquets sortant d’une interface

  • Dans les environnements VXLAN, la mise en miroir des ports basée sur un filtre de pare-feu n’est pas prise en charge sur les interfaces orientées cur ou dorsale.

Vous pouvez configurer à la fois l’échantillonnage du trafic et la mise en miroir des ports, en définissant une fréquence d’échantillonnage et une durée d’exécution indépendantes pour les paquets mis en miroir des ports. Toutefois, si un paquet est sélectionné à la fois pour l’échantillonnage du trafic et la mise en miroir des ports, seule la mise en miroir des ports est exécutée, car elle est prioritaire. En d’autres termes, si vous configurez une interface pour échantillonner chaque paquet d’entrée de l’interface et que la mise en miroir des ports sélectionne également ce paquet à copier et à envoyer vers le port de destination, seul le processus de mise en miroir des ports est exécuté. Les paquets échantillonnés de trafic qui ne sont pas sélectionnés pour la mise en miroir de ports continuent d’être échantillonnés et transférés au serveur cflowd.

Termes et définitions relatifs à la mise en miroir de ports et à l’analyseur

Les tableaux suivants fournissent les termes et définitions de la documentation relative à la mise en miroir de ports et à l’analyseur.

Tableau 1 : Terminologie
Terme Définition

Analyseur

Pour les commutateurs EX2300, EX3400 ou EX4300, dans une configuration de mise en miroir (analyseur) sur un analyseur comprend :

  • Le nom de l’analyseur
  • Ports source (entrée) ou VLAN (en option)

Instance de l’analyseur

Configuration de mise en miroir des ports qui inclut un nom, des interfaces sources ou VLAN source, ainsi qu’une destination pour les paquets mis en miroir (interface locale ou VLAN).

Interface de sortie de l’analyseur (également appelée port de moniteur)

Interface à laquelle le trafic en miroir est envoyé et à laquelle une application d’analyse de protocole est connectée.

Pour les commutateurs EX2300, EX3400 et EX4300, les interfaces utilisées comme sortie pour un analyseur doivent être configurées en tant que commutation Ethernet familiale. En outre, les limitations suivantes s’appliquent aux interfaces de sortie de l’analyseur :

  • Ne peut pas être un port source.
  • Ne peut pas être utilisé pour la commutation.
  • Ne participez pas aux protocoles de couche 2, tels que le protocole STP (Spanning Tree Protocol), lorsque vous faites partie d’une configuration de mise en miroir de ports.
  • Si la bande passante de l’interface de sortie de l’analyseur n’est pas suffisante pour gérer le trafic provenant des ports sources, les paquets de dépassement sont abandonnés.

VLAN de l’analyseur (également appelé VLAN de surveillance)

 VLAN vers lequel le trafic en miroir est envoyé. Le trafic en miroir peut être utilisé par une application d’analyse de protocole. Les interfaces membres du VLAN moniteur sont réparties sur les commutateurs de votre réseau.
Analyseur basé sur un domaine en pont Session d’analyse configurée pour utiliser des domaines de pont pour l’entrée, la sortie ou les deux.
Analyseur par défaut Un analyseur avec des paramètres de mise en miroir par défaut. Par défaut, le taux de mise en miroir est égal à 1 et la longueur maximale du paquet correspond à la longueur du paquet complet.
Miroir de port global Configuration de mise en miroir de port qui n’a pas de nom d’instance. L’action de filtre de pare-feu port-mirror sera l’action de configuration du filtre de pare-feu.

Interface d’entrée (également appelée interface en miroir ou surveillée)

Interface qui copie le trafic vers l’interface miroir. Ce trafic peut entrer ou sortir (entrée ou sortie) de l’interface.

Une interface d’entrée en miroir ne peut pas être utilisée comme interface de sortie vers l’analyseur.

Analyseur basé sur LAG Un analyseur qui a un groupe d’agrégation de liens (LAG) spécifié comme interface d’entrée dans la configuration de l’analyseur.

Mise en miroir des ports locaux

Configuration de mise en miroir des ports dans laquelle les paquets mis en miroir sont copiés vers une interface du même commutateur.
Station de surveillance Un ordinateur exécutant une application d’analyse de protocole.
Analyseur basé sur un saut suivant Configuration de l’analyseur qui utilise le groupe next-hop comme sortie vers un analyseur.
Session d’analyse native Une session d’analyseur qui a à la fois des définitions d’entrée et de sortie dans sa configuration d’analyseur.
Mise en miroir basée sur les stratégies

Mise en miroir des paquets qui correspondent à un terme de filtre de pare-feu. L’action analyzer analyzer-name est utilisée dans le filtre de pare-feu pour envoyer des paquets spécifiés à l’analyseur.

Analyseur basé sur les ports Session d’analyse dont la configuration définit les interfaces d’entrée et de sortie.

Instance de mise en miroir de ports

Une configuration de mise en miroir des ports qui ne spécifie pas de source d’entrée ; Il spécifie uniquement une destination de sortie. Une configuration de filtre de pare-feu doit être définie pour la source d’entrée. Une configuration de filtre de pare-feu doit être définie pour mettre en miroir les paquets qui correspondent aux conditions de correspondance définies dans le terme de filtre de pare-feu. L’action port-mirror-instance name, dans la configuration du filtre de pare-feu, permet d’envoyer des paquets à l’analyseur et ces paquets constituent la source d’entrée.

Utilisez l’action port-mirror-instance instance-name dans la configuration du filtre de pare-feu pour envoyer des paquets au miroir de port.

REMARQUE : L’instance de mise en miroir des ports n’est pas prise en charge sur les appareils NFX150.
Application d’analyse de protocole Application utilisée pour examiner les paquets transmis sur un segment de réseau. Aussi communément appelé analyseur de réseau, renifleur de paquets ou sonde.

Interface de sortie (également connue sous le nom d’interface de moniteur)

Interface à laquelle les copies des paquets sont envoyées et à laquelle est connecté un périphérique exécutant un analyseur.

Les limitations suivantes s’appliquent à une interface de sortie (l’interface miroir cible) :

  • Ne peut pas être un port source.

  • Ne peut pas être utilisé pour la commutation.

  • Ne peut pas être une interface LAG (Aggregated Ethernet Interface).

  • Ne peut pas participer aux protocoles de couche 2, tels que le protocole Spanning Tree (STP).

  • Les associations VLAN existantes sont perdues lorsque la mise en miroir des ports est appliquée à l’interface.

  • Les paquets sont abandonnés si la capacité de l’interface de sortie est insuffisante pour gérer le trafic provenant des ports sources en miroir.

Adresse IP de sortie

Adresse IP de l’appareil exécutant une application d’analyse. L’appareil peut se trouver sur un réseau distant.

Lorsque vous utilisez cette fonctionnalité :

  • Les paquets en miroir sont encapsulés par GRE. L’application de l’analyseur doit être capable de désencapsuler les paquets encapsulés par GRE ou les paquets encapsulés par GRE doivent être désencapsulés avant d’atteindre l’application de l’analyseur. (Vous pouvez utiliser un renifleur de réseau pour décapsuler les paquets.)

  • L’adresse IP de sortie ne peut pas se trouver dans le même sous-réseau qu’une interface de gestion des commutateurs.

  • Si vous créez des instances de routage virtuelles et une configuration d’analyseur qui inclut une adresse IP de sortie, l’adresse IP de sortie appartient à l’instance de routage virtuelle par défaut (table de routage inet.0).

VLAN de sortie (également appelé VLAN de surveillance ou d’analyse)

VLAN vers lequel les copies des paquets sont envoyées et vers lequel un périphérique exécutant un analyseur est connecté. Le VLAN de l’analyseur peut s’étendre sur plusieurs commutateurs.

Les limitations suivantes s’appliquent à un VLAN de sortie :

  • Il ne peut pas s’agir d’un VLAN privé ou d’une plage de VLAN.

  • Ne peut pas être partagé par plusieurs analyzer instructions.

  • Ne peut être membre d’aucun autre VLAN.

  • Ne peut pas être une interface LAG (Aggregated Ethernet Interface).

  • Sur certains commutateurs, une seule interface peut être membre du VLAN de l’analyseur. Cette limitation ne s’applique pas au commutateur QFX10000. Lorsque le trafic entrant est mis en miroir, plusieurs interfaces QFX10000 peuvent appartenir au VLAN de sortie et le trafic est mis en miroir à partir de toutes ces interfaces. Si le trafic sortant est mis en miroir sur un commutateur QFX10000, une seule interface peut être membre du VLAN de l’analyseur.

Mise en miroir de ports distants

Fonctionne de la même manière que la mise en miroir de port local, sauf que le trafic en miroir n’est pas copié sur un port d’analyse local, mais est inondé vers un VLAN d’analyse que vous créez spécifiquement dans le but de recevoir le trafic en miroir.

Vous ne pouvez pas envoyer de paquets en miroir à une adresse IP distante sur un système QFabric.
Analyseur VLAN Session d’analyse dont la configuration utilise des VLAN à la fois pour l’entrée et la sortie, ou pour l’entrée ou la sortie.

Voir également

Types d’instances

Pour configurer la mise en miroir des ports, configurez une instance de l’un des types suivants :

  • Instance de l’analyseur : spécifiez l’entrée et la sortie de l’instance. Ce type d’instance est utile pour s’assurer que tout le trafic transitant par une interface ou entrant dans un VLAN est mis en miroir et envoyé à l’analyseur.

  • Instance de mise en miroir des ports : vous créez un filtre de pare-feu qui identifie le trafic souhaité et le copie sur le port miroir. Vous ne spécifiez pas d’entrée pour ce type d’instance. Ce type d’instance est utile pour contrôler les types de trafic mis en miroir. Vous pouvez diriger le trafic vers celui-ci de l’une des manières suivantes :

    • Spécifiez le nom de l’instance de mise en miroir de port dans le filtre de pare-feu à l’aide de l’action port-mirror-instance instance-name lorsque plusieurs instances de mise en miroir de port sont définies.

    • Envoyez les paquets mis en miroir à l’interface de sortie définie dans l’instance à l’aide de l’action lorsqu’il n’y a qu’une seule instance de mise en miroir de port-mirror port définie.

Pour les commutateurs QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 et EX4650, les instructions suivantes concernant la mise en miroir des ports s’appliquent :

  • Un maximum de quatre instances de mise en miroir de ports, ou quatre sessions d’analyse, peuvent être configurées en même temps. En d’autres termes, vous ne pouvez pas configurer quatre instances de mise en miroir de ports et quatre sessions d’analyse en même temps.
  • S’il n’existe aucune instance de mise en miroir de ports (c’est-à-dire que seules les sessions d’analyse sont configurées), vous pouvez activer jusqu’à trois sessions d’analyse pour la mise en miroir entrante et sortante. La session restante de l’analyseur doit être utilisée uniquement pour la mise en miroir d’entrée.
  • Si vous n’avez configuré qu’une seule instance de mise en miroir de ports, vous pouvez configurer jusqu’à trois analyseurs pour la mise en miroir d’entrée et deux analyseurs pour la mise en miroir de sortie.
  • Si vous avez configuré deux instances de mise en miroir de ports, vous pouvez configurer jusqu’à deux analyseurs pour la mise en miroir d’entrée et un analyseur pour la mise en miroir de sortie.
  • Si vous avez configuré une instance de mise en miroir à trois ports, l’instance restante ne peut être configurée qu’en tant qu’analyseur (pour la mise en miroir entrante ou sortante),

Mise en miroir des ports et STP

Le comportement de STP dans une configuration de mise en miroir de ports dépend de la version de Junos OS que vous utilisez :

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 ou version antérieure, Junos OS 13.2X52 : Lorsque STP est activé, la mise en miroir de ports peut échouer, car STP peut bloquer les paquets mis en miroir.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53 : STP est désactivé pour le trafic en miroir. Vous devez vous assurer que votre topologie empêche les boucles de ce trafic.

Contraintes et limites

Les contraintes et limitations suivantes s’appliquent à la mise en miroir des ports :

La mise en miroir des paquets nécessaires à l’analyse réduit le risque de réduction des performances globales. Si vous mettez en miroir le trafic de plusieurs ports, le trafic mis en miroir peut dépasser la capacité de l’interface de sortie. Les paquets de dépassement sont abandonnés. Nous vous recommandons de limiter la quantité de trafic en miroir en sélectionnant des interfaces spécifiques et d’éviter d’utiliser le all mot-clé. Vous pouvez également limiter la quantité de trafic mis en miroir en utilisant un filtre de pare-feu pour envoyer un trafic spécifique à l’instance de mise en miroir de ports.

  • Vous pouvez créer un total de quatre configurations de mise en miroir des ports.

  • Sur les commutateurs EX9200, la mise en miroir des ports n’est pas prise en charge sur les cartes de ligne EX9200-15C.

  • Chaque groupe de noeuds d’un système QFabric est soumis aux contraintes suivantes :

    • Il est possible d’utiliser jusqu’à quatre de ces configurations pour la mise en miroir des ports locaux.

    • Jusqu’à trois de ces configurations peuvent être utilisées pour la mise en miroir de ports distants.

  • Que vous configuriez un commutateur autonome ou un groupe de nuds :

    • Il ne peut y avoir plus de deux configurations qui mettent en miroir le trafic entrant. Si vous configurez un filtre de pare-feu pour envoyer du trafic en miroir vers un port, cela compte comme une configuration de mise en miroir d’entrée pour le commutateur ou le groupe de nuds auquel le filtre est appliqué.

    • Il ne peut y avoir plus de deux configurations qui mettent en miroir le trafic sortant.

    • Sur les systèmes QFabric, il n’y a pas de limite à l’échelle du système sur le nombre total de sessions miroir.

  • Vous ne pouvez configurer qu’un seul type de sortie dans une configuration de mise en miroir de port pour compléter une set analyzer name output instruction :

    • interface

    • ip-address

    • vlan

  • Configurez la mise en miroir dans un analyseur (avec set forwarding-options analyzer) sur une seule interface logique pour la même interface physique. Si vous essayez de configurer la mise en miroir sur plusieurs interfaces logiques configurées sur une interface physique, seule la première interface logique est correctement configurée. Les autres interfaces logiques renvoient des erreurs de configuration.

  • Si vous mettez en miroir des paquets sortants, ne configurez pas plus de 2 000 VLAN sur un commutateur autonome ou un système QFabric. Si c’est le cas, certains paquets VLAN peuvent contenir des ID de VLAN incorrects. Cela s’applique à tous les paquets VLAN, et pas seulement aux copies en miroir.

  • Les ratio options et loss-priority ne sont pas prises en charge.

  • Les paquets présentant des erreurs de couche physique ne sont pas envoyés au port de sortie ou au VLAN.

  • Si vous utilisez la surveillance sFlow pour échantillonner le trafic, elle n’échantillonne pas les copies miroir lorsqu’elles quittent l’interface de sortie.

  • Vous ne pouvez pas mettre en miroir les paquets sortant ou entrant dans les ports suivants :

    • Interfaces Virtual Chassis dédiées

    • Interfaces de gestion (me0 ou vme0)

    • Interfaces Fibre Channel

    • Interfaces de routage et de pontage intégrées (IRB) (également appelées interfaces VLAN routées ou RVI)

  • Dans une instance de mise en miroir de port, vous ne pouvez pas configurer une interface inet ou inet6 en tant qu’interface de sortie. Les commutateurs suivants ne prennent pas en charge cette set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> configuration :

    Tableau 2 : Les commutateurs ne prennent pas en charge la famille inet/inet6 en tant qu’interface de sortie
    Commutateurs EX QFX Switches

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • Une interface Ethernet agrégée ne peut pas être une interface de sortie si l’entrée est un VLAN ou si le trafic est envoyé à l’analyseur à l’aide d’un filtre de pare-feu.

  • Lorsque des paquets mis en miroir sont envoyés à partir d’une interface de sortie, ils ne sont pas modifiés pour les modifications qui pourraient être appliquées aux paquets d’origine lors de la sortie, telles que la réécriture CoS.

  • Une interface ne peut être l’interface d’entrée que pour une seule configuration de mise en miroir. N’utilisez pas la même interface que l’interface d’entrée pour plusieurs configurations de mise en miroir.

  • Les paquets générés par le processeur (tels que les paquets ARP, ICMP, BPDU et LACP) ne peuvent pas être mis en miroir lors de la sortie.

  • La mise en miroir VLAN n’est pas prise en charge pour le trafic STP.

  • (Systèmes QFabric uniquement) Si vous configurez un analyseur QFabric pour mettre en miroir le trafic sortant et que les interfaces d’entrée et de sortie se trouvent sur des périphériques de nœud différents, les copies mises en miroir auront des ID de VLAN incorrects.

    Cette limitation ne s’applique pas si vous configurez un analyseur QFabric pour mettre en miroir le trafic sortant et que les interfaces d’entrée et de sortie se trouvent sur le même périphérique Node. Dans ce cas, les copies en miroir auront les ID VLAN corrects (tant que vous ne configurez pas plus de 2000 VLAN sur le système QFabric).

  • La véritable mise en miroir de sortie est définie comme la mise en miroir du nombre exact de copies et des modifications exactes des paquets qui sont sortis du port de sortie. Étant donné que les processeurs des commutateurs QFX5100 et EX4600 implémentent la mise en miroir de sortie dans le pipeline entrant, ces commutateurs ne fournissent pas de modifications précises des paquets de sortie, de sorte que le trafic en miroir de sortie peut transporter des balises VLAN incorrectes qui diffèrent de celles du trafic d’origine.

  • Si vous configurez une instance de mise en miroir de port pour mettre en miroir le trafic sortant d’une interface qui effectue une encapsulation VLAN, les adresses MAC source et de destination des paquets mis en miroir ne sont pas les mêmes que celles des paquets d’origine.

  • La mise en miroir sur les interfaces membres d’un LAG n’est pas prise en charge.

  • La mise en miroir VLAN sortante n’est pas prise en charge.

Les contraintes et limitations suivantes s’appliquent à la mise en miroir de ports distants :

  • Si vous configurez une adresse IP de sortie, cette adresse ne peut pas se trouver dans le même sous-réseau qu’une interface de gestion des commutateurs.

  • Si vous créez des instances de routage virtuelles et que vous créez une configuration d’analyseur qui inclut une adresse IP de sortie, l’adresse IP de sortie appartient à l’instance de routage virtuelle par défaut (table de routage inet.0).

  • Un VLAN de sortie ne peut pas être un VLAN privé ou une plage de VLAN.

  • Un VLAN de sortie ne peut pas être partagé par plusieurs sessions d’analyse ou instances de miroir de port.

  • Une interface VLAN de sortie ne peut être membre d’aucun autre VLAN.

  • Une interface VLAN de sortie ne peut pas être une interface Ethernet agrégée.

  • Si le VLAN de sortie possède plusieurs interfaces membres, le trafic est mis en miroir uniquement sur le premier membre du VLAN, et les autres membres du même VLAN ne transportent aucun trafic en miroir.

  • Pour la mise en miroir de ports distants vers une adresse IP (encapsulation GRE), si vous configurez plusieurs sessions d’analyseurs ou instances de mise en miroir de port et que les adresses IP des analyseurs ou de l’instance de mise en miroir de port sont accessibles via la même interface, une seule session de l’analyseur ou instance de mise en miroir de port sera configurée.

  • Le nombre d’interfaces de sortie possibles dans la mise en miroir de ports distants varie selon les commutateurs de la gamme QFX5K :

    • QFX5110, QFX5120, QFX5210 : prise en charge d’un maximum de 4 interfaces de sortie

    • QFX5100 et QFX5200 : prend en charge un maximum de 3 interfaces de sortie.

  • Chaque fois qu’un membre d’un VLAN de mise en miroir de port distant est supprimé de ce VLAN, reconfigurez la session d’analyse pour ce VLAN.

Contraintes et limitations des commutateurs QFX5100 et QFX5200

Les considérations suivantes s’appliquent à la mise en miroir de ports sur les commutateurs QFX5100 et QFX5200 :

  • Lors de la configuration de la mise en miroir avec une sortie vers l’adresse IP, l’adresse IP de destination doit être accessible et ARP doit être résolu.

  • L’équilibrage de charge ECMP (Equal Cost Multiple Path) n’est pas pris en charge pour les destinations en miroir.

  • Le nombre d’interfaces de sortie dans la mise en miroir de ports distants (RSPAN) varie. Pour les commutateurs QFX5110, QFX5120 et QFX5210, le maximum est de quatre interfaces de sortie. Pour les commutateurs QFX5100 et QFX5200, le maximum est de trois.

  • Lors de la spécification d’un groupe d’agrégation de liens (LAG) en tant qu’interface de sortie de mise en miroir, un maximum de huit interfaces sont mises en miroir.

  • L’entrée de mise en miroir peut être un LAG, une interface physique avec n’importe quelle unité (telle que ae0.101 ou xe-0/0/0.100) ou une sous-interface. Dans tous les cas, tout le trafic du LAG ou de l’interface physique est mis en miroir.

  • Vous ne pouvez pas configurer une instance de mise en miroir indépendante sur une interface membre d’un LAG.

  • Une interface de sortie incluse dans une instance de mise en miroir ne peut pas être utilisée dans une autre instance de mise en miroir.

  • Dans une mise en miroir de ports, les paquets abandonnés dans le pipeline de sortie du chemin de transfert sont néanmoins mis en miroir vers la destination. En effet, l’action de mise en miroir se produit au niveau du pipeline d’entrée, avant l’action de suppression.

  • Dans une instance de mise en miroir de port, une seule destination de sortie de mise en miroir peut être spécifiée.

  • Les destinations de mise en miroir de sortie configurées sur plusieurs instances de mise en miroir de ports ou d’analyseur doivent toutes être uniques.

  • Pour les adresses IPv6 ERSPAN, la mise en miroir de sortie n’est pas prise en charge lorsque la sortie vers l’analyseur/la mise en miroir de port est une adresse IPv6 distante. Le miroir de sortie n’est pas pris en charge.

  • Pour la mise en miroir locale, l’interface de sortie doit être une commutation Ethernet familiale, avec ou sans VLAN (c’est-à-dire pas une interface de couche 3).

  • Lors de la configuration d’une instance de mise en miroir de port ou d’analyse dans un environnement de fournisseur de services, utilisez le nom du VLAN plutôt que l’ID de VLAN.

Mise en miroir des ports sur les commutateurs QFX10000 Series

La liste suivante décrit les contraintes et limitations qui s’appliquent spécifiquement aux commutateurs QFX10000 Series. Pour obtenir des informations générales sur la mise en miroir de ports sur les commutateurs, reportez-vous aux sections précédentes de ce document Mise en miroir de ports et analyseurs qui n’appellent pas spécifiquement d’autres noms de plate-forme dans le titre de la section.

  • Seule la mise en miroir globale des ports entrants est prise en charge. Vous pouvez configurer la mise en miroir des ports globaux avec des paramètres d’entrée tels que rate , , run-lengthet maximum-packet-length. La mise en miroir des ports globaux de sortie n’est pas prise en charge.

  • Les instances de mise en miroir de ports ne sont prises en charge que pour la mise en miroir de ports distants. Les instances globales de mise en miroir de ports sont prises en charge pour la mise en miroir locale.

  • La mise en miroir de ports locaux est uniquement prise en charge sur les familles de filtres de pare-feu suivantes : inet et inet6.

  • La mise en miroir des ports locaux n’est pas prise en charge sur les familles any de filtres de pare-feu ou ccc.

Mise en miroir des ports sur QFabric

Les contraintes et limitations suivantes s’appliquent à la mise en miroir des ports locaux et distants :

  • Vous pouvez créer un total de quatre configurations de mise en miroir des ports.

  • Chaque groupe de noeuds d’un système QFabric est soumis aux contraintes suivantes :

    • Il est possible d’utiliser jusqu’à quatre de ces configurations pour la mise en miroir des ports locaux.

    • Jusqu’à trois de ces configurations peuvent être utilisées pour la mise en miroir de ports distants.

  • Que vous configuriez un commutateur autonome ou un groupe de nuds :

    • Il ne peut y avoir plus de deux configurations qui mettent en miroir le trafic entrant. Si vous configurez un filtre de pare-feu pour envoyer du trafic en miroir vers un port, c’est-à-dire que vous utilisez le modificateur d’action dans un terme de filtre, cela compte comme une configuration de mise en miroir d’entrée pour le commutateur ou le groupe de nœuds auquel le analyzer filtre est appliqué.

    • Il ne peut y avoir plus de deux configurations qui mettent en miroir le trafic sortant.

    • Sur les systèmes QFabric, il n’y a pas de limite à l’échelle du système sur le nombre total de sessions miroir.

  • Vous ne pouvez configurer qu’un seul type de sortie dans une configuration de mise en miroir de port pour compléter une set analyzer name output instruction :

    • interface

    • ip-address

    • vlan

  • Configurez la mise en miroir dans un analyseur (avec set forwarding-options analyzer) sur une seule interface logique pour la même interface physique. Si vous essayez de configurer la mise en miroir sur plusieurs interfaces logiques configurées sur une interface physique, seule la première interface logique est correctement configurée. Les autres interfaces logiques renvoient des erreurs de configuration.

  • Si vous mettez en miroir des paquets sortants, ne configurez pas plus de 2 000 VLAN sur un commutateur QFX Series. Si c’est le cas, certains paquets VLAN peuvent contenir des ID de VLAN incorrects. Cela s’applique à tous les paquets VLAN, et pas seulement aux copies en miroir.

  • Les ratio options et loss-priority ne sont pas prises en charge.

  • Les paquets présentant des erreurs de couche physique ne sont pas envoyés au port de sortie ou au VLAN.

  • Si vous utilisez la surveillance sFlow pour échantillonner le trafic, elle n’échantillonne pas les copies miroir lorsqu’elles quittent l’interface de sortie.

  • Vous ne pouvez pas mettre en miroir les paquets sortant ou entrant dans les ports suivants :

    • Interfaces Virtual Chassis dédiées

    • Interfaces de gestion (me0 ou vme0)

    • Interfaces Fibre Channel

    • Interfaces de routage et de pontage intégrées (IRB) (également appelées interfaces VLAN routées ou RVI)

  • Une interface Ethernet agrégée ne peut pas être une interface de sortie si l’entrée est un VLAN ou si le trafic est envoyé à l’analyseur à l’aide d’un filtre de pare-feu.

  • Lorsque des paquets mis en miroir sont envoyés à partir d’une interface de sortie, ils ne sont pas modifiés pour les modifications qui pourraient être appliquées aux paquets d’origine lors de la sortie, telles que la réécriture CoS.

  • Une interface ne peut être l’interface d’entrée que pour une seule configuration de mise en miroir. N’utilisez pas la même interface que l’interface d’entrée pour plusieurs configurations de mise en miroir.

  • Les paquets générés par le processeur (tels que les paquets ARP, ICMP, BPDU et LACP) ne peuvent pas être mis en miroir lors de la sortie.

  • La mise en miroir VLAN n’est pas prise en charge pour le trafic STP.

  • (Systèmes QFabric uniquement) Si vous configurez un analyseur QFabric pour mettre en miroir le trafic sortant et que les interfaces d’entrée et de sortie se trouvent sur des périphériques de nœud différents, les copies mises en miroir auront des ID de VLAN incorrects.

    Cette limitation ne s’applique pas si vous configurez un analyseur QFabric pour mettre en miroir le trafic sortant et que les interfaces d’entrée et de sortie se trouvent sur le même périphérique Node. Dans ce cas, les copies en miroir auront les ID VLAN corrects (tant que vous ne configurez pas plus de 2000 VLAN sur le système QFabric).

  • La véritable mise en miroir de sortie est définie comme la mise en miroir du nombre exact de copies et des modifications exactes des paquets qui sont sortis du port de sortie. Étant donné que les processeurs des commutateurs QFX5xxx (y compris QFX5100, QFX5110, QFX5120, QFX5200 et QFX5210) et EX4600 (y compris EX4600 et EX4650) implémentent la mise en miroir de sortie dans le pipeline entrant, ces commutateurs ne fournissent pas de modifications précises des paquets de sortie, de sorte que le trafic en miroir de sortie peut transporter des balises VLAN incorrectes qui diffèrent de celles du trafic d’origine.

  • Si vous configurez une instance de mise en miroir de port pour mettre en miroir le trafic sortant d’une interface qui effectue une encapsulation VLAN, les adresses MAC source et de destination des paquets mis en miroir ne sont pas les mêmes que celles des paquets d’origine.

  • La mise en miroir sur les interfaces membres d’un LAG n’est pas prise en charge.

  • La mise en miroir VLAN sortante n’est pas prise en charge.

Mise en miroir des ports sur les commutateurs OCX Series

Les contraintes et limitations suivantes s’appliquent à la mise en miroir de ports sur les commutateurs OCX Series :

  • Vous pouvez créer un total de quatre configurations de mise en miroir des ports. Il ne peut y avoir plus de deux configurations qui mettent en miroir le trafic entrant ou sortant.

  • Si vous utilisez la surveillance sFlow pour échantillonner le trafic, elle n’échantillonne pas les copies miroir lorsqu’elles quittent l’interface de sortie.

  • Vous ne pouvez créer qu’une seule session de mise en miroir des ports.

  • Vous ne pouvez pas mettre en miroir les paquets sortant ou entrant dans les ports suivants :

    • Interfaces Virtual Chassis dédiées

    • Interfaces de gestion (me0 ou vme0)

    • Interfaces Fibre Channel

    • Interfaces VLAN routées ou interfaces IRB

  • Une interface Ethernet agrégée ne peut pas être une interface de sortie.

  • N’incluez pas de sous-interface 802.1Q dont le numéro d’unité est autre que 0 dans une configuration de mise en miroir des ports. La mise en miroir des ports ne fonctionne pas avec les sous-interfaces si leur numéro d’unité n’est pas 0. (Vous configurez les sous-interfaces 802.1Q à l’aide de l’instruction vlan-tagging .)

  • Lorsque des copies de paquets sont envoyées à l’interface de sortie, elles ne sont pas modifiées pour les modifications normalement appliquées à la sortie, telles que la réécriture CoS.

  • Une interface ne peut être l’interface d’entrée que pour une seule configuration de mise en miroir. N’utilisez pas la même interface que l’interface d’entrée pour plusieurs configurations de mise en miroir.

  • Les paquets générés par le processeur (tels que les paquets ARP, ICMP, BPDU et LACP) ne peuvent pas être mis en miroir lors de la sortie.

  • La mise en miroir VLAN n’est pas prise en charge pour le trafic STP.

Mise en miroir des ports sur les commutateurs EX2300, EX3400 et EX4300

La mise en miroir peut être nécessaire pour l’analyse du trafic sur un commutateur, car un commutateur, contrairement à un concentrateur, ne diffuse pas de paquets sur tous les ports de l’équipement de destination. Le commutateur envoie des paquets uniquement au port auquel le périphérique de destination est connecté.

Présentation

Junos OS exécuté sur les commutateurs EX2300, EX3400 et EX4300 Series prend en charge les configurations ELS (Enhanced L2LSoftware Software Couche 2) qui facilitent l’analyse du trafic sur ces commutateurs au niveau des paquets.

La mise en miroir de ports permet de copier des paquets vers une interface locale pour la surveillance locale ou vers un VLAN pour la surveillance à distance. Vous pouvez utiliser des analyseurs pour appliquer des stratégies concernant l’utilisation du réseau et le partage de fichiers, et pour identifier les sources de problèmes sur votre réseau en localisant une utilisation anormale ou importante de la bande passante par des stations ou des applications spécifiques.

La mise en miroir des ports est configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie. Pour mettre en miroir des paquets routés (couche 3), vous pouvez utiliser la configuration de mise en miroir des ports dans laquelle l’instruction family est définie sur inet ou inet6.

Vous pouvez utiliser la mise en miroir des ports pour copier ces paquets :

  • Packets entering or exiting a port: vous pouvez mettre en miroir les paquets dans n’importe quelle combinaison de paquets entrant ou sortant des ports jusqu’à 256 ports.

    En d’autres termes, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyse local ou le même VLAN d’analyseur.

  • Packets entering a VLAN: vous pouvez mettre en miroir les paquets entrant dans un VLAN sur un port d’analyseur local ou sur un VLAN d’analyseur. Vous pouvez configurer jusqu’à 256 VLAN, y compris une plage de VLAN et des PVLAN, en tant qu’entrée d’un analyseur.

  • Policy-based sample packets: vous pouvez mettre en miroir un échantillon de paquets entrant dans un port ou un VLAN, basé sur une stratégie. Vous configurez un filtre de pare-feu afin d’établir une stratégie permettant de sélectionner les paquets à mettre en miroir et d’envoyer l’échantillon à une instance de mise en miroir de ports ou à un VLAN d’analyse.

Vous pouvez configurer la mise en miroir des ports sur le commutateur pour envoyer des copies du trafic Unicast vers une destination de sortie telle qu’une interface, une instance de routage ou un VLAN. Ensuite, vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole. L’application de l’analyseur de protocole peut s’exécuter soit sur un ordinateur connecté à l’interface de sortie de l’analyseur, soit sur une station de surveillance à distance. Pour le trafic d’entrée, vous pouvez configurer un terme de filtre de pare-feu afin de spécifier si la mise en miroir des ports doit être appliquée à tous les paquets à l’interface à laquelle le filtre de pare-feu est appliqué. Vous pouvez appliquer un filtre de pare-feu configuré avec l’action port-mirror ou aux interfaces logiques d’entrée ou de sortie (y compris les interfaces logiques Ethernet agrégées), au trafic transféré ou inondé vers un VLAN, ou au trafic transféré ou port-mirror-instance name inondé vers une instance de routage VPLS. Les commutateurs EX2300, EX3400 et EX4300 prennent en charge la mise en miroir des ports du trafic VPLS (family ethernet-switching ou family vpls) et du trafic family ccc VPN dans un environnement de couche 2.

Dans un terme de filtre de pare-feu, vous pouvez spécifier les propriétés de mise en miroir des ports sous l’instruction de l’une then des manières suivantes :

  • Référencez implicitement les propriétés de mise en miroir de port en vigueur sur le port.

  • Faites explicitement référence à une instance nommée particulière de mise en miroir de ports.

Instructions de configuration pour la mise en miroir de ports et les analyseurs sur les commutateurs EX2300, EX3400 et EX4300

Lorsque vous configurez la mise en miroir de ports, nous vous recommandons de suivre certaines instructions pour vous assurer de tirer le meilleur parti de la mise en miroir. En outre, nous vous recommandons de désactiver la mise en miroir lorsque vous ne l’utilisez pas et de sélectionner des interfaces spécifiques pour lesquelles les paquets doivent être mis en miroir (c’est-à-dire sélectionner des interfaces spécifiques en entrée de l’analyseur) plutôt que d’utiliser l’option all de mot-clé qui active la mise en miroir sur toutes les interfaces et peut avoir un impact sur les performances globales. La mise en miroir des paquets nécessaires réduit tout impact potentiel sur les performances.

Avec la mise en miroir locale, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Ainsi, lors de la configuration d’un analyseur, vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.

Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.

REMARQUE :

La mise en miroir de sortie véritable est définie comme la mise en miroir du nombre exact de copies et des modifications exactes des paquets qui sont sorties du port commuté de sortie. Étant donné que le processeur des commutateurs EX2300 et EX3400 implémente la mise en miroir de sortie dans le pipeline entrant, ces commutateurs ne fournissent pas de modifications précises des paquets de sortie, de sorte que le trafic en miroir de sortie peut transporter des balises VLAN différentes de celles du trafic d’origine.

Tableau 3 Résume les instructions de configuration supplémentaires pour la mise en miroir sur les commutateurs EX2300, EX3400 et EX4300.

Tableau 3 : Instructions de configuration pour la mise en miroir de ports et les analyseurs sur les commutateurs EX2300, EX3400 et EX4300

Ligne directrice

Informations sur la valeur ou le support

Commentaire

Nombre de VLAN que vous pouvez utiliser comme entrée d’un analyseur.

256

 

Nombre de sessions de mise en miroir de ports et d’analyseurs que vous pouvez activer simultanément.

4

Vous pouvez configurer quatre sessions au total et vous ne pouvez activer qu’une seule des sessions suivantes à tout moment :

  • Un maximum de quatre sessions de mise en miroir de ports (y compris la session de mise en miroir de ports globale).

  • Un maximum de quatre sessions d’analyse.

  • une combinaison de sessions de mise en miroir de ports et de sessions d’analyse, et le total de cette combinaison doit être de quatre.

Vous pouvez configurer plus d’instances de mise en miroir de ports ou d’analyseurs sur le commutateur, mais vous ne pouvez activer que le nombre spécifié pour une session.

Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic.

  • Ports Virtual Chassis (VCP)

  • Gestion des ports Ethernet (me0 ou vme0)

  • Interfaces de routage et de pontage intégrées (IRB) ; également connues sous le nom d’interfaces VLAN routées (RVI).

  • Interfaces de couche 3 balisées VLAN

 

Familles de protocoles que vous pouvez inclure dans une configuration de mise en miroir des ports pour le trafic distant.

any

 

Itinéraires de trafic que vous pouvez configurer pour la mise en miroir sur les ports dans les configurations basées sur des filtres de pare-feu.

Entrées et sorties

 

Paquets en miroir sortant d’une interface qui reflètent des bits DSCP ou 802.1p de classe de service (CoS) réécrits.

Applicable

 

Paquets présentant des erreurs de couche physique.

Applicable

Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur.

La mise en miroir des ports ne prend pas en charge le trafic à débit de ligne.

Applicable

La mise en miroir des ports pour le trafic de débit de ligne s’effectue au mieux.

Mise en miroir des paquets sortant d’un VLAN.

Non pris en charge

 

Mise en miroir de ports ou sortie de l’analyseur sur une interface LAG.

Mise en place

 

Nombre maximal de membres enfants sur une interface LAG de sortie de port ou d’analyseur.

8

 

Nombre maximal d’interfaces dans un VLAN d’analyse ou de mise en miroir de ports distant.

1

 

Mise en miroir sortante des paquets de contrôle générés par l’hôte.

Non pris en charge

 

Configuration des interfaces logiques de couche 3 dans la strophe input d’un analyseur.

Non pris en charge

Cette fonctionnalité peut être obtenue en configurant la mise en miroir des ports.

Les strophes d’entrée et de sortie de l’analyseur contenant des membres du même VLAN ou le VLAN lui-même doivent être évités.

Applicable

 

Mise en miroir des ports sur les commutateurs ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 et EX8200

Juniper Networks Système d'exploitation Junos (Junos OS) exécuté sur les commutateurs des séries ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 ou EX8200 ne prend pas en charge les configurations ELS (Enhanced L2 Software). Par conséquent, Junos OS n’inclut pas l’instruction trouvée au niveau de la edit forwarding-options hiérarchie des autres packages Junos OS, ni l’action port-mirroring dans les port-mirror termes de filtre de pare-feu.

Vous pouvez utiliser la mise en miroir des ports pour faciliter l’analyse du trafic sur vos Juniper Networks EX Series Commutateur Ethernet au niveau des paquets. Vous pouvez utiliser la mise en miroir de ports pour surveiller le trafic des commutateurs, par exemple pour appliquer des stratégies d’utilisation du réseau et de partage de fichiers, et pour identifier les sources de problèmes sur votre réseau en localisant l’utilisation anormale ou importante de la bande passante par des stations ou des applications particulières.

Vous pouvez utiliser la mise en miroir des ports pour copier ces paquets vers une interface locale ou vers un VLAN :

  • Paquets entrant ou sortant d’un port

  • Vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyseur local ou le même VLAN d’analyseur.

  • Paquets entrant dans un VLAN sur les commutateurs ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou EX6200

  • Paquets sortant d’un VLAN sur les commutateurs EX8200

Présentation

La mise en miroir des ports permet d’analyser le trafic sur un commutateur, car celui-ci, contrairement aux concentrateurs, ne diffuse pas de paquets sur tous les ports de l’équipement de destination. Le commutateur envoie des paquets uniquement au port auquel le périphérique de destination est connecté.

Vous configurez la mise en miroir des ports sur le commutateur pour envoyer des copies du trafic Unicast vers un port d’analyse local ou un VLAN d’analyse. Vous pouvez ensuite analyser le trafic en miroir à l’aide d’un analyseur de protocole. L’analyseur de protocole peut fonctionner soit sur un ordinateur connecté à l’interface de sortie de l’analyseur, soit sur une station de télésurveillance.

Vous pouvez utiliser la mise en miroir de ports pour mettre en miroir l’un des éléments suivants :

  • Packets entering or exiting a port: vous pouvez mettre en miroir les paquets dans n’importe quelle combinaison de paquets entrant ou sortant des ports jusqu’à 256 ports.

    En d’autres termes, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyse local ou le même VLAN d’analyseur.

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch: vous pouvez mettre en miroir les paquets entrant dans un VLAN sur un VLAN de l’analyseur. Sur les commutateurs EX3200, EX4200, EX4500 et EX4550, vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN), y compris une plage de VLAN et des PVLAN, en tant qu’entrée d’un analyseur.

  • Packets exiting a VLAN on an EX8200 switch: vous pouvez mettre en miroir les paquets sortant d’un VLAN sur un commutateur EX8200 vers un port d’analyseur local ou vers un VLAN d’analyseur. Vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN), y compris une plage de VLAN et des PVLAN, en tant qu’entrée de sortie d’un analyseur.

  • Statistical samples: vous pouvez mettre en miroir un échantillon statistique de paquets qui sont :

    • Entrée ou sortie d’un port

    • Saisie d’un VLAN sur un commutateur ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou EX6200

    • Quitter un VLAN sur un commutateur EX8200

    Vous spécifiez le nombre d’échantillons de paquets en définissant le ratio. Vous pouvez envoyer l’échantillon vers un port d’analyse local ou vers un VLAN d’analyse.

  • Policy-based sample: vous pouvez mettre en miroir un échantillon de paquets entrant dans un port ou un VLAN, basé sur une stratégie. Vous configurez un filtre de pare-feu afin d’établir une stratégie de sélection des paquets à mettre en miroir. Vous pouvez envoyer l’échantillon vers un port d’analyse local ou vers un VLAN d’analyseur.

Instructions de configuration pour les commutateurs des séries ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 et EX8200

Lorsque vous configurez la mise en miroir de ports, nous vous recommandons de suivre certaines instructions pour vous assurer de tirer le meilleur parti de la fonctionnalité de mise en miroir de ports. En outre, nous vous recommandons de désactiver la mise en miroir des ports lorsque vous ne l’utilisez pas et de sélectionner des interfaces spécifiques pour lesquelles les paquets doivent être mis en miroir (c’est-à-dire, sélectionner des interfaces spécifiques en entrée de l’analyseur) plutôt que d’utiliser le mot-clé qui active la all mise en miroir des ports sur toutes les interfaces et peut avoir un impact sur les performances globales. Vous pouvez également limiter la quantité de trafic en miroir à l’aide de l’échantillonnage statistique, en définissant un ratio pour sélectionner un échantillon statistique ou en utilisant un filtre de pare-feu. La mise en miroir des paquets nécessaires réduit tout impact potentiel sur les performances.

Avec la mise en miroir des ports locaux, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Ainsi, lors de la configuration d’un analyseur, vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.

REMARQUE :

Sur les routeurs ACX5448, sous le niveau hiérarchique [edit forwarding-options analyzer an input egress], l’entrée de l’analyseur doit être configurée uniquement sur les interfaces logiques .0 pour les interfaces d’entrée et de sortie. Si vous configurez des interfaces logiques autres que .0, une erreur s’affiche lors de la validation. Voici un exemple d’erreur de validation affiché lorsque l’entrée de l’analyseur est configurée avec l’interface logique .100 :

REMARQUE : Les termes « Tous les autres commutateurs » ou « Tous les commutateurs » dans la description s’appliquent à toutes les plates-formes de commutation qui prennent en charge la mise en miroir des ports. Pour plus d’informations sur la prise en charge de la plate-forme, consultez l’Explorateur de fonctionnalités.
Tableau 4 : Instructions de configuration

Ligne directrice

Description

Commentaire

Nombre de VLAN que vous pouvez utiliser comme entrée d’un analyseur
  • 16 appareils entrants ou 8 entrants et 8 sortants : ACX7024

    1 : commutateurs EX2200

  • 256 : commutateurs EX3200, EX4200, EX4500, EX4550 et EX6200

  • Ne s’applique pas : commutateurs EX8200

  

Nombre d’analyseurs que vous pouvez activer simultanément (s’applique à la fois aux commutateurs autonomes et à Virtual Chassis)

  • 1 : commutateurs EX2200, EX3200, EX4200, EX3300 et EX6200

  • 7 ports ou 1 port global : commutateurs EX4500 et EX4550

  • 7 au total, dont un basé sur un VLAN, un filtre de pare-feu ou un LAG, et les 6 autres basés sur des filtres de pare-feu : les commutateurs EX8200

    REMARQUE :

    Un analyseur configuré à l’aide d’un filtre de pare-feu ne prend pas en charge la mise en miroir des paquets qui sont des ports sortants.

  • Vous pouvez configurer plus que le nombre spécifié d’analyseurs sur le commutateur, mais vous ne pouvez activer que le nombre spécifié pour une session. Permet disable ethernet-switching-options analyzer name de désactiver un analyseur.

  • Reportez-vous à l’entrée de ligne suivante de ce tableau pour connaître l’exception au nombre d’analyseurs basés sur des filtres de pare-feu autorisés sur les commutateurs EX4500 et EX4550.

  • Sur un Virtual Chassis EX4550, vous ne pouvez configurer qu’un seul analyseur si les ports des définitions d’entrée et de sortie se trouvent sur des commutateurs différents dans un Virtual Chassis. Pour configurer plusieurs analyseurs, une session entière d’analyseur doit être configurée sur le même commutateur d’un Virtual Chassis.

Nombre d’analyseurs basés sur des filtres de pare-feu pouvant être configurés sur les commutateurs EX4500 et EX4550

  • 1—Commutateurs EX4500 et EX4550

Si vous configurez plusieurs analyseurs, vous ne pouvez pas en attacher un seul à un filtre de pare-feu.

Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic

  • Ports Virtual Chassis (VCP)

  • Gestion des ports Ethernet (me0 ou vme0)

  • Interfaces VLAN routées (RVI)

  • Interfaces de couche 3 balisées VLAN

  

Si la mise en miroir des ports est configurée pour mettre en miroir les paquets sortant des ports Ethernet 10 Gigabit sur les commutateurs EX8200, les paquets sont abandonnés dans le trafic réseau et le trafic en miroir lorsque les paquets mis en miroir dépassent 60 % du trafic du port Ethernet 10 Gigabit.

  • Commutateurs EX8200

  

Itinéraires routiers pour lesquels vous pouvez spécifier un ratio

  • Entrée uniquement : commutateurs EX8200

  • Entrée et sortie : tous les autres commutateurs

  

Familles de protocoles que vous pouvez inclure dans un analyseur distant basé sur un filtre de pare-feu

  • Tout sauf inet et inet6: commutateurs EX8200

  • Any (N’importe lequel) : tous les autres commutateurs

Vous pouvez utiliser inet et inet6 sur les commutateurs EX8200 dans un analyseur local.

Itinéraires de trafic que vous pouvez configurer pour la mise en miroir sur les ports dans des configurations basées sur des filtres de pare-feu

  • Entrée uniquement : tous les commutateurs

  

Les paquets mis en miroir sur des interfaces balisées peuvent contenir un ID de VLAN ou un Ethertype incorrect.

  • ID VLAN et Ethertype : commutateurs EX2200

  • ID VLAN uniquement : commutateurs EX3200 et EX4200

  • Ethertype uniquement : commutateurs EX4500 et EX4550

  • Ne s’applique pas : commutateurs EX8200

  

Les paquets en miroir sortant d’une interface ne reflètent pas les bits DSCP ou 802.1p de classe de service (CoS) réécrits.

  • Tous les commutateurs

  

L’analyseur ajoute un en-tête 802.1Q () incorrect aux paquets mis en miroir sur le trafic acheminé ou ne met en miroir aucun paquet sur le trafic acheminé lorsqu’un VLAN sortant appartenant à une interface VLAN routé (dot1qRVI) est configuré en tant qu’entrée pour cet analyseur.

  • Commutateurs EX8200

  • Ne s’applique pas : tous les autres commutateurs

Pour contourner ce problème, configurez un analyseur qui utilise chaque port (interface membre) du VLAN comme entrée de sortie.

Les paquets présentant des erreurs de couche physique ne sont pas envoyés à l’analyseur local ou distant.

  • Tous les commutateurs

Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur.

La configuration de mise en miroir de ports sur une interface de couche 3 avec la sortie configurée sur un VLAN n’est pas disponible sur les commutateurs EX8200.

  • Commutateurs EX8200

  • Ne s’applique pas : tous les autres commutateurs

  

La mise en miroir des ports ne prend pas en charge le trafic à débit de ligne.

  • Tous les commutateurs

La mise en miroir des ports pour le trafic de débit de ligne s’effectue au mieux.

Dans un Virtual Chassis EX8200, pour refléter le trafic sur le Virtual Chassis, le port de sortie doit être un LAG.

  • EX8200 Virtual Chassis

  • Ne s’applique pas : tous les autres commutateurs

Dans un Virtual Chassis EX8200 :

  • Vous pouvez configurer LAG en tant que port de surveillance uniquement pour les analyseurs natifs.

  • Vous ne pouvez pas configurer LAG en tant que port de surveillance pour les analyseurs basés sur des filtres de pare-feu.

  • Si une configuration d’analyseur contient LAG comme port de surveillance, vous ne pouvez pas configurer le VLAN dans la définition d’entrée d’un analyseur.

Sur les commutateurs EX8200 autonomes, vous pouvez configurer le LAG dans la définition de sortie.

  • Commutateurs autonomes EX8200

  • Ne s’applique pas : tous les autres commutateurs

Dans les commutateurs autonomes EX8200 :

  • Vous pouvez configurer un LAG en tant que port de surveillance sur les analyseurs natifs et basés sur un pare-feu.

  • Si une configuration contient LAG en tant que port de surveillance, vous ne pouvez pas configurer le VLAN dans la définition d’entrée d’un analyseur.

Mise en miroir des ports sur les pare-feu SRX Series

La mise en miroir des ports copie les paquets entrant ou sortant d’un port et envoie les copies à une interface locale pour surveillance. La mise en miroir des ports permet d’envoyer du trafic vers des applications qui analysent le trafic à des fins telles que la surveillance de la conformité, l’application de stratégies, la détection d’intrusions, la surveillance et la prédiction des modèles de trafic, la corrélation d’événements, etc. La mise en miroir &lt;/para>&lt;para>Port est utilisée pour envoyer une copie de tous les paquets ou seulement des paquets échantillonnés vus sur un port vers une connexion de surveillance réseau. Vous pouvez mettre en miroir les paquets sur le port entrant (mise en miroir des ports entrants) ou sur le port sortant (mise en miroir des ports sortants).

La mise en miroir de ports est prise en charge uniquement sur les pare-feu SRX Series avec les cartes d’E/S suivantes :

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • E/S FLEX SRX5K-FPC-IOC

Sur les pare-feu SRX Series, tous les paquets transitant par le port sont copiés et envoyés vers le mirrored port spécifié mirror-to . Ces ports doivent se trouver sur le même chipset Broadcom que les cartes d’E /S.

Sur les pare-feu SRX Series, la mise en miroir des ports fonctionne uniquement sur les interfaces physiques.

Comprendre la mise en miroir de ports de couche 2

Sur les plates-formes et commutateurs de routage qui contiennent un ASIC Internet Processor II, vous pouvez envoyer une copie de tout paquet entrant de la plate-forme de routage ou du commutateur à une adresse hôte externe ou à un outil d’analyse de paquets pour analyse. C’est ce qu’on appelle la mise en miroir des ports.

Dans Junos OS version 9.3 et ultérieure, Juniper Networks MX Series Plates-formes de routage universelles 5G dans un environnement de couche 2 prennent en charge la mise en miroir des ports pour le trafic de pontage de couche 2 et le trafic VPLS (Virtual Private LAN Service).

Dans Junos OS version 9.4 et ultérieure, les routeurs MX Series d’un environnement de couche 2 prennent en charge la mise en miroir des ports pour le trafic VPN de couche 2 sur une connexion croisée de circuit (CCC) qui connecte de manière transparente des interfaces logiques du même type.

Dans Junos OS version 12.3R2, les commutateurs Juniper Networks EX Series prennent en charge la mise en miroir des ports pour le trafic de pontage de couche 2.

La mise en miroir des ports de couche vous permet de spécifier la manière dont les paquets entrants et sortants sur des ports spécifiés sont surveillés et la manière dont les copies des paquets sélectionnés sont transférées vers une autre destination, où les paquets peuvent être analysés.

Les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir de ports de couche 2 en exécutant des fonctions de surveillance de flux à l’aide d’une architecture de classe de service (CoS) dont la conception est similaire, mais particulièrement différente, des autres plates-formes de routage et commutateurs.

À l’instar des routeurs M120 et M320, les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir simultanée des paquets IPv4, IPv6 et VPLS.

Dans un environnement de couche 3, les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir du trafic IPv4 () et IPv6 (family inetfamily inet6). Pour plus d’informations sur la mise en miroir de ports de couche 3, reportez-vous au Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic.

Propriétés de la mise en miroir de ports de couche 2

La mise en miroir des ports spécifie les types de propriétés suivants :

Sélection de paquets

Les propriétés de sélection de paquets de la mise en miroir de ports de couche 2 spécifient la manière dont les paquets échantillonnés doivent être sélectionnés pour la mise en miroir :

  • Nombre de paquets dans chaque échantillon.

  • Nombre de paquets à mettre en miroir à partir de chaque échantillon.

  • Longueur à laquelle les paquets en miroir doivent être tronqués.

Famille d’adresses de paquets

Le type de famille d’adresses de paquets spécifie le type de trafic à mettre en miroir. Dans un environnement de couche 2, les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir des ports pour les familles d’adresses de paquets suivantes :

  • ethernet-switchingType de famille : pour la mise en miroir du trafic VPLS lorsque l’interface physique est configurée avec le type ethernet-bridged’encapsulation .

  • cccType de famille : pour la mise en miroir du trafic VPN de couche 2.

  • Type vplsde famille : pour la mise en miroir du trafic VPLS.

REMARQUE :

Dans les applications classiques, vous envoyez les paquets en miroir directement à un analyseur, et non à un autre routeur ou commutateur. Si vous devez envoyer des paquets en miroir sur un réseau, vous devez utiliser des tunnels. Pour les implémentations VPN de couche 2, vous pouvez utiliser le type l2vpn d’instance de routage VPN de couche 2 pour tunneliser les paquets vers une destination distante.

Pour plus d’informations sur la configuration d’une instance de routage pour VPN de couche 2, reportez-vous à la bibliothèque de VPN Junos OS pour les périphériques de routage. Pour obtenir un exemple détaillé de configuration VPN de couche 2, consultez Junos OS. Pour plus d’informations sur les interfaces de tunnel, reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage.

Propriétés de la destination de mise en miroir

Pour une famille d’adresses de paquet donnée, les propriétés de destination du miroir d’une instance de mise en miroir de port de couche 2 spécifient la manière dont les paquets sélectionnés doivent être envoyés sur une interface physique particulière :

  • Interface physique sur laquelle envoyer les paquets sélectionnés.

  • Indique si la vérification du filtre doit être désactivée pour l’interface de destination du miroir. Par défaut, la vérification du filtre est activée sur toutes les interfaces.

    REMARQUE :

    Si vous appliquez un filtre à une interface qui est également une destination de mise en miroir de port de couche 2, un échec de validation se produit, sauf si vous avez désactivé la vérification du filtre pour cette interface de destination de mise en miroir en miroir.

Mirror-Once Option

Si la mise en miroir des ports est activée aux interfaces entrante et sortante, vous pouvez empêcher le routeur MX Series et un commutateur EX Series d’envoyer des paquets en double vers la même destination (ce qui compliquerait l’analyse du trafic mis en miroir).

REMARQUE :

L’option mirror-once port-mirroring est un paramètre global. L’option est indépendante des propriétés de sélection de paquets et des propriétés de destination de miroir spécifiques au type de famille de paquets.

Application des types de mise en miroir de ports de couche 2

Vous pouvez appliquer différents ensembles de propriétés de mise en miroir de port de couche 2 aux paquets VPLS à différents points d’entrée ou de sortie d’un itinéraire MX Series ou EX Series.

Tableau 5 décrit les trois types de mise en miroir de ports de couche 2 que vous pouvez configurer sur un MX Series routeurs et commutateurs EX Series, à savoir : instance globale, instances nommées et filtres de pare-feu.

Tableau 5 : Application des types de mise en miroir de ports de couche 2

Type de définition de la mise en miroir de ports de couche 2

Point d’application

Champ d’application de la mise en miroir

Description

Détails de configuration

Instance globale de mise en miroir des ports de couche 2

Tous les ports du châssis de routeur (ou de commutateur) MX Series.

Paquets VPLS reçus sur tous les ports du châssis du routeur (ou commutateur) MX Series.

Si elles sont configurées, les propriétés globales de mise en miroir des ports s’appliquent implicitement à tous les paquets VPLS reçus sur tous les ports du châssis du routeur (ou du commutateur).

Reportez-vous à la section Configuration de l’instance globale de la mise en miroir des ports de couche 2

Instance nommée de la mise en miroir de ports de couche 2

Ports regroupés au niveau FPC

Reportez-vous à la section Liaison de la mise en miroir de ports de couche 2 à des ports regroupés au niveau FPC.

Paquets VPLS reçus sur les ports associés à un DPC ou un FPC spécifique et à ses moteurs de transfert de paquets.

Remplace toutes les propriétés de mise en miroir de port configurées par l’instance de mise en miroir de port globale.

Reportez-vous à la section Définition d’une instance nommée de la mise en miroir de ports de couche 2.

Le nombre de destinations de mise en miroir de ports prises en charge pour un routeur MX Series et pour un commutateur EX Series est limité au nombre de moteurs de transfert de paquets contenus dans les DPC ou FPC installés dans le châssis du routeur ou du commutateur.

Ports regroupés au niveau du PIC

Reportez-vous à la section Liaison de la mise en miroir de ports de couche 2 à des ports regroupés au niveau PIC.

Paquets VPLS reçus sur les ports associés à un moteur de transfert de paquets spécifique.

Remplace toutes les propriétés de mise en miroir de port configurées au niveau FPC ou dans l’instance de mise en miroir de port globale.

Filtre de pare-feu de mise en miroir des ports de couche 2

Interface logique (y compris une interface Ethernet agrégée)

Reportez-vous à la section Application de la mise en miroir de ports de couche 2 à une interface logique.

Paquets VPLS reçus ou envoyés via une interface logique.

Dans la configuration du filtre de pare-feu , incluez action et action-modifier les termes à appliquer aux paquets sélectionnés pour la mise en miroir :

  • L’action acceptest recommandée.

  • Le port-mirror modificateur fait implicitement référence aux propriétés de mise en miroir des ports actuellement liées aux interfaces physiques sous-jacentes.

  • Le port-mirror-instance pm-instance-name modificateur fait explicitement référence à une instance nommée de mise en miroir de ports.

  • (Facultatif) Pour les paquets d’entrée de l’interface tunnel uniquement, pour mettre en miroir les paquets vers des destinations supplémentaires, incluez le next-hop-group next-hop-group-name modificateur. Ce modificateur fait référence à un groupe next-hop qui spécifie les adresses next-hop (pour envoyer des copies supplémentaires de paquets à un analyseur).

Reportez-vous à la section Définition d’un filtre de pare-feu de mise en miroir de ports de couche 2.

REMARQUE :

Les filtres de pare-feu de mise en miroir de ports de couche 2 ne sont pas pris en charge pour les systèmes logiques.

Pour la mise en miroir des paquets d’entrée de l’interface de tunnel vers plusieurs destinations, reportez-vous également à la section Définition d’un groupe de sauts suivants pour la mise en miroir de ports de couche 2.

Table de transfert VLAN ou table d’inondation

Reportez-vous à la section Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers un domaine de pont.

Trafic de couche 2 transféré ou inondé vers un VLAN

Table de transfert d’instance de routage VPLS ou table dinondation

Reportez-vous à la section Application de la mise en miroir de ports de couche 2 au trafic transféré ou inondé vers une instance de routage VPLS.

Trafic de couche 2 transféré ou inondé vers une instance de routage VPLS

Restrictions sur la mise en miroir de ports de couche 2

Les restrictions suivantes s’appliquent à la mise en miroir de ports de couche 2 :

  • Seules les données de transit de couche 2 (paquets contenant des blocs de données transitant par la plate-forme de routage ou le commutateur lorsqu’elles sont transférées d’une source à une destination) peuvent être mises en miroir. Les données locales de couche 2 (paquets contenant des blocs de données destinés ou envoyés par le moteur de routage, tels que les paquets de contrôle de couche 2) ne sont pas mises en miroir.

  • Si vous appliquez un filtre de mise en miroir de port à la sortie d’une interface logique, seuls les paquets Unicast sont mis en miroir. Pour mettre en miroir des paquets de diffusion, des paquets multicast, des paquets Unicast dont l’adresse MAC de destination est inconnue ou des paquets dont l’entrée MAC figure dans la table de routage DMAC (MAC) de destination, appliquez un filtre à l’entrée de la table d’inondation d’une instance de routage VLAN ou VPLS (Virtual Private LAN Service).

  • L’équipement de destination miroir doit se trouver sur un VLAN dédié et ne doit participer à aucune activité de pontage ; Le périphérique de destination en miroir ne doit pas avoir de pont vers la destination finale du trafic, et le périphérique de destination en miroir ne doit pas renvoyer les paquets en miroir à l’adresse source.

  • Pour l’instance de mise en miroir de port globale ou une instance de mise en miroir de port nommée, vous ne pouvez configurer qu’une seule interface de sortie de mise en miroir par instance de mise en miroir de port et par famille d’adresses de paquets. Si vous incluez plusieurs instructions sous l’instruction interface , l’instruction family (ethernet-switching | ccc | vpls) output précédente interface est remplacée.

  • Le filtrage de pare-feu en miroir de ports de couche 2 n’est pas pris en charge pour les systèmes logiques.

    Dans une définition de filtre de pare-feu de mise en miroir de ports de couche 2, le filtre (port-mirror ou ) s’appuie action-modifier sur les propriétés de mise en miroir de ports définies dans l’instance globale ou port-mirror-instance pm-instance-nameles instances nommées de mise en miroir de ports de couche 2, qui sont configurées sous la [edit forwarding-options port-mirroring] hiérarchie. Par conséquent, le filtre ne peut pas prendre en charge la term mise en miroir de ports de couche 2 pour les systèmes logiques.

  • Pour un filtre de pare-feu de mise en miroir de port de couche 2 dans lequel vous référencez implicitement les propriétés de mise en miroir de port de couche 2 en incluant l’instruction, si plusieurs instances nommées de mise en miroir de port de couche 2 sont liées à l’interface physique sous-jacente, seule la première liaison de la strophe (ou la seule liaison) est utilisée au niveau de l’interface port-mirror logique. Ceci est fait pour la rétrocompatibilité.

  • Les filtres de pare-feu de mise en miroir de ports de couche 2 ne prennent pas en charge l’utilisation de sous-groupes next-hop pour le trafic en miroir d’équilibrage de charge.