Configuration des instances de mise en miroir des ports

Instance globale de mise en miroir de ports de couche 2

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez configurer un ensemble de propriétés de mise en miroir des ports qui s’appliquent implicitement aux paquets reçus sur tous les ports du châssis du routeur (ou commutateur). Cet ensemble de propriétés de mise en miroir des ports est l’instance globale de la mise en miroir des ports de couche 2 pour le routeur ou le commutateur.

Dans la configuration globale de l’instance, vous pouvez spécifier un ensemble de propriétés de destination de mise en miroir pour chaque famille d’adresses de paquet prise en charge par la mise en miroir de ports de couche 2.

Pour obtenir une description générale des propriétés de mise en miroir de ports de couche 2, reportez-vous à la section Présentation des propriétés de mise en miroir de ports de couche 2. Pour comparer les types de mise en miroir de ports de couche 2 disponibles sur un routeur MX Series et sur un commutateur EX Series, reportez-vous à la section Application des types de mise en miroir de ports de couche 2.

Configuration de l’instance globale de la mise en miroir des ports de couche 2

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez configurer un ensemble de propriétés de mise en miroir de port de couche 2 qui s’appliquent implicitement aux paquets reçus sur tous les ports du châssis du routeur (ou commutateur).

Pour configurer l’instance globale de la mise en miroir de ports de couche 2 sur un routeur MX Series et sur un commutateur EX Series :

Activez la configuration de la mise en miroir des ports de couche 2 :
Activez la configuration des propriétés de sélection de paquets :
Spécifiez les propriétés de sélection de paquets au niveau global.
1. Spécifiez le nombre de paquets à sélectionner :
  La plage valide est comprise entre 1 et 65535.
2. Spécifiez le nombre de paquets à mettre en miroir à partir de chaque sélection :
  La plage valide est comprise entre 0 et 20. La valeur par défaut est 0.
3. Spécifiez la longueur à laquelle les paquets en miroir doivent être tronqués :
  La plage valide est comprise entre 0 et 9216. La valeur par défaut est 0, ce qui signifie que les paquets mis en miroir ne sont pas tronqués.
Spécifiez la famille de types d’adresses de couche 2 au niveau global à partir de laquelle le trafic doit être sélectionné pour la mise en miroir :
La valeur de l’option family peut être ethernet-switching, cccou vpls.

REMARQUE :
Au niveau de la [edit forwarding-options port-mirroring] hiérarchie, l’instruction family ethernet-switching de la famille de protocoles est un alias pour family vpls. L’interface de ligne de commande (CLI) affiche les configurations de mise en miroir de port de couche 2 sous la forme , même pour la mise en miroir de port de couche 2 configurée sous la forme family vplsfamily ethernet-switching. À utiliser family ethernet-switching lorsque l’interface physique est configurée avec encapsulation ethernet-bridge.
Activez la configuration des propriétés de destination de mise en miroir au niveau global pour cette famille d’adresses :
Spécifiez les propriétés de destination de mise en miroir au niveau global pour cette famille d’adresses.
1. Spécifiez l’interface physique sur laquelle envoyer les paquets mis en miroir :
  Vous pouvez également spécifier une interface de routage et de pontage intégrée (IRB) comme interface de sortie.
2. (Facultatif) Autoriser la configuration des filtres sur l’interface de destination pour l’instance de mise en miroir de port nommée :
(Facultatif) Spécifiez que tous les paquets sélectionnés pour la mise en miroir ne doivent être mis en miroir qu’une seule fois vers une destination de mise en miroir :
Conseil :
Activez cette option lorsqu’un mirror-once routeur MX Series ou un commutateur EX Series est configuré pour effectuer une mise en miroir de ports de couche 2 aux interfaces d’entrée et de sortie, ce qui peut entraîner l’envoi de paquets en double vers la même destination (ce qui complique l’analyse du trafic en miroir).

Vérifiez la configuration minimale de l’instance globale de la mise en miroir des ports de couche 2 :

Instances nommées de mise en miroir des ports de couche 2

Cette rubrique décrit les informations suivantes :

Présentation des instances nommées de mise en miroir de ports de couche 2
Mise en miroir sur les ports regroupés au niveau FPC
Mise en miroir au niveau des ports regroupés au niveau du PIC
Mise en miroir au niveau d’un groupe de ports liés à plusieurs instances nommées

Présentation des instances nommées de mise en miroir de ports de couche 2

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez définir un ensemble de propriétés de mise en miroir des ports que vous pouvez lier explicitement aux ports physiques du routeur ou du commutateur. Cet ensemble de propriétés de mise en miroir de ports est connu sous le nom d’instance nommée de mise en miroir de ports de couche 2.

Vous pouvez lier une instance nommée de mise en miroir de ports de couche 2 aux ports physiques associés aux composants du moteur de transfert de paquets d’un routeur MX Series ou d’un commutateur EX Series à différents niveaux du châssis du routeur (ou commutateur) :

Au niveau FPC : vous pouvez lier une instance nommée aux ports physiques associés à un concentrateur de ports denses (DPC) spécifique ou aux ports physiques associés à un concentrateur de ports flexibles (FPC) spécifique.
Au niveau du PIC : vous pouvez lier une instance nommée de mise en miroir de ports à un moteur de transfert de paquets spécifique (sur un DPC spécifique) ou à un PCI spécifique.

REMARQUE :

Les routeurs MX Series prennent en charge les DPC ainsi que les FPC et PICs. Contrairement aux FPC, les DPC ne prennent pas en charge les PIC. Toutefois, dans la CLI de Junos OS, vous utilisez la syntaxe FPC et PIC pour configurer ou afficher des informations sur les DPC et les moteurs de transfert de paquets sur les DPC.

Les points suivants résument le comportement de la mise en miroir des ports de couche 2 en fonction des instances nommées :

L’étendue de la sélection des paquets est déterminée par la cible de la liaison : au niveau des ports (ou ports) liés à une instance nommée de mise en miroir de ports de couche 2, le routeur ou le commutateur sélectionne les paquets d’entrée en fonction des propriétés de sélection de paquets de l’instance nommée.
La destination d’un paquet sélectionné est déterminée par la famille d’adresses du paquet : parmi les paquets sélectionnés, le routeur ou le commutateur met en miroir uniquement les paquets appartenant à une famille d’adresses pour laquelle l’instance nommée de la mise en miroir de ports de couche 2 spécifie un ensemble de propriétés de destination de miroir. Dans un environnement de couche 2, les routeurs MX Series et les commutateurs EX Series prennent en charge la mise en miroir des ports du trafic VPLS (family ethernet-switching ou family vpls) et du trafic VPN de couche 2 avec family ccc.

Mise en miroir sur les ports regroupés au niveau FPC

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez lier une instance nommée de mise en miroir de port de couche 2 à un DPC ou FPC spécifique installé dans le châssis du routeur (ou du commutateur). Les propriétés de mise en miroir des ports de l’instance sont appliquées à tous les moteurs de transfert de paquets (et leurs ports associés) sur le DPC spécifié ou à tous les PIC (et leurs ports associés) installés dans le FPC spécifié. Les propriétés de mise en miroir de port liées à un DPC ou FPC remplacent toutes les propriétés de mise en miroir de port liées au niveau global ou au châssis du routeur (ou du commutateur) MX Series.

Mise en miroir au niveau des ports regroupés au niveau du PIC

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez lier une instance nommée de mise en miroir de ports de couche 2 à un moteur de transfert de paquets ou PIC spécifique. Les propriétés de mise en miroir de port dans cette instance sont appliquées à tous les ports associés au moteur de transfert de paquets ou PIC spécifié. Les propriétés de mise en miroir de port liées à un moteur de transfert de paquets ou à un PIC remplacent toutes les propriétés de mise en miroir de port liées au DPC ou au FPC qui les contient.

REMARQUE :

Pour les routeurs MX960, il existe un mappage un à un des moteurs de transfert de paquets sur les ports Ethernet. Par conséquent, sur les routeurs MX960 uniquement, vous pouvez configurer des liaisons spécifiques au port des instances de mise en miroir des ports.

Mise en miroir au niveau d’un groupe de ports liés à plusieurs instances nommées

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez appliquer jusqu’à deux instances nommées de mise en miroir de ports de couche 2 au même groupe de ports dans le châssis du routeur (ou commutateur). En appliquant deux instances de mise en miroir de ports différentes au même DPC, FPC, moteur de transfert de paquets ou PIC, vous pouvez lier deux spécifications de mise en miroir de port de couche 2 distinctes à un seul groupe de ports.

REMARQUE :

Vous ne pouvez configurer qu’une seule instance globale de mise en miroir de ports de couche 2 sur un routeur MX Series et sur un commutateur EX Series.

REMARQUE :

Vous pouvez configurer plus de deux instances de mise en miroir de ports pour chaque FPC en configurant la mise en miroir de ports en ligne. Pour plus d’informations sur la mise en miroir de ports en ligne, reportez-vous à la section Configuration de la mise en miroir de ports en ligne.

Définition d’une instance nommée de la mise en miroir de ports de couche 2

Sur un routeur MX Series et sur un commutateur EX Series, vous pouvez définir un ensemble de propriétés de mise en miroir de port de couche 2 que vous pouvez lier à un moteur de transfert de paquets particulier (au niveau du PIC du châssis du routeur ou du commutateur) ou à un groupe de moteurs de transfert de paquets (au niveau DPC ou FPC du châssis).

Pour définir une instance nommée de mise en miroir de ports de couche 2 sur un routeur MX Series ou sur un commutateur EX Series :

Activez la configuration d’une instance nommée de la mise en miroir des ports de couche 2 :

Activez la configuration des propriétés d’échantillonnage de paquets :

Spécifiez les propriétés de sélection de paquets :
1. Spécifiez le nombre de paquets à sélectionner :
  La plage valide est 1 comprise entre 65535.
2. Spécifiez le nombre de paquets à mettre en miroir à partir de chaque sélection :
  La plage valide est 0 comprise entre 20. La valeur par défaut est 0.
  
  REMARQUE :
  L’instruction run-length n’est pas prise en charge sur les routeurs MX80.
3. Spécifiez la longueur à laquelle les paquets en miroir doivent être tronqués :
  La plage valide est 0 comprise entre 9216. La valeur par défaut est 0, ce qui signifie que les paquets mis en miroir ne sont pas tronqués.
  
  REMARQUE :
  L’instruction maximum-packet-length n’est pas prise en charge sur les routeurs MX80.
Activez la configuration des propriétés de destination miroir pour les paquets de couche 2 qui font partie du domaine de pontage, des connexions croisées de commutation de couche 2 ou du service VPLS (Virtual Private LAN Service) :
1. Spécifiez le type de famille d’adresses de couche 2 du trafic à mettre en miroir :
  La valeur de l’option family peut être ethernet-switching, cccou vpls.
  
  REMARQUE :
  Au niveau de la [edit forwarding-options port-mirroring] hiérarchie, l’instruction family ethernet-switching de la famille de protocoles est un alias pour family vpls. L’interface de ligne de commande (CLI) affiche les configurations de mise en miroir de port de couche 2 sous la forme , même pour la mise en miroir de port de couche 2 configurée sous la forme family vplsfamily ethernet-switching. À utiliser family ethernet-switching lorsque l’interface physique est configurée avec encapsulation ethernet-bridge.
2. Activez la configuration des propriétés de destination du miroir :
Spécifiez les propriétés de destination du miroir.
1. Spécifiez l’interface physique sur laquelle envoyer les paquets mis en miroir :
2. (Facultatif) Autoriser la configuration des filtres sur l’interface de destination pour l’instance de mise en miroir de port globale :
  REMARQUE :
  Vous ne pouvez pas configurer les instances de mise en miroir de ports sur les routeurs MX80. Vous ne pouvez configurer la mise en miroir des ports qu’au niveau global sur les routeurs MX80.
(Facultatif) Spécifiez que tous les paquets sélectionnés pour la mise en miroir ne doivent être mis en miroir qu’une seule fois vers une destination de mise en miroir :
Conseil :
Activez l’option globale mirror-once lorsqu’un routeur MX Series ou un commutateur EX Series est configuré pour effectuer une mise en miroir de ports de couche 2 aux interfaces dentrée et de sortie, ce qui peut entraîner l’envoi de paquets en double vers la même destination (ce qui complique l’analyse du trafic mis en miroir).
Pour configurer une destination de mise en miroir pour un autre type de famille de paquets, répétez les étapes 4 à 6.

Vérifiez la configuration minimale des instances nommées de la mise en miroir de ports de couche 2 :

Désactivation des instances de mise en miroir de ports de couche 2

Vous pouvez désactiver l’instance globale de la mise en miroir de ports de couche 2, une instance nommée particulière ou toutes les instances de mise en miroir de ports :

Pour désactiver l’instance globale de la mise en miroir des ports de couche 2, incluez l’instruction disable au niveau de la [edit forwarding-options port-mirroring] hiérarchie :

Pour désactiver la définition d’une instance nommée particulière de la mise en miroir de ports de couche 2, incluez l’instruction disable au niveau de la [edit forwarding-options port-mirroring instance instance-name] hiérarchie :

Pour désactiver l’instance globale et toutes les instances nommées de la mise en miroir de ports de couche 2, incluez l’instruction disable-all-instances au niveau de la [edit forwarding-options port-mirroring] hiérarchie :

Configuration de la mise en miroir de ports en ligne

La mise en miroir de ports en ligne vous permet de spécifier des instances qui ne sont pas liées au concentrateur PIC flexible (FPC) dans l’action de filtre then port-mirror-instance du pare-feu. De cette façon, vous n’êtes pas limité à seulement deux instances de mise en miroir de port par FPC. La mise en miroir de ports en ligne dissocie la destination port-miroir des paramètres d’entrée tels que rate. Alors que les paramètres d’entrée sont programmés dans la carte d’interface de commutation, la destination du prochain saut du paquet mis en miroir est disponible dans le paquet lui-même. La mise en miroir de ports en ligne n’est prise en charge que sur les concentrateurs de ports modulaires (MPC) basés sur Trio.

À l’aide de la mise en miroir de ports en ligne, une instance de mise en miroir de port aura la possibilité d’hériter des paramètres d’entrée d’une autre instance qui la spécifie, comme illustré dans l’exemple de configuration CLI suivant :

Les niveaux d’héritage multiples ne sont pas autorisés. Une instance peut être référencée par plusieurs instances. Une instance peut faire référence à une autre instance définie avant elle. Les références directes ne sont pas autorisées et une instance ne peut pas se référer à elle-même, ce qui provoquerait une erreur lors de l’analyse de la configuration.

L’utilisateur peut spécifier une instance qui n’est pas liée au FPC dans le filtre de pare-feu. Le filtre spécifié doit hériter de l’une des deux instances qui ont été liées au FPC. Si ce n’est pas le cas, le paquet n’est pas marqué pour la mise en miroir des ports. Si c’est le cas, le paquet sera échantillonné à l’aide des paramètres d’entrée spécifiés par l’instance référencée, mais la copie sera envoyée à sa propre destination.