Configuration de la mise en miroir des ports
La mise en miroir de ports est la capacité d’un routeur à envoyer une copie d’un paquet IPv4 ou IPv6 à une adresse hôte externe ou à un outil d’analyse des paquets pour analyse. La mise en miroir des ports est différente de l’échantillonnage du trafic. Dans l’échantillonnage de trafic, une clé d’échantillonnage basée sur l’en-tête du paquet est envoyée au moteur de routage. Là, la clé peut être placée dans un fichier, ou des paquets cflowd basés sur la clé peuvent être envoyés à un serveur cflowd. Dans la mise en miroir de ports, l’intégralité du paquet est copiée et envoyée via une interface next-hop.
Une application de mise en miroir des ports envoie un paquet dupliqué à un tunnel virtuel. Un groupe next-hop peut ensuite être configuré pour transmettre des copies de ce paquet dupliqué à plusieurs interfaces. Pour plus d’informations sur les groupes next-hop, reportez-vous à la section Configuration des groupes next-hop pour utiliser plusieurs interfaces afin de transférer les paquets utilisés dans la mise en miroir de ports.
Toutes les plates-formes de routage universelles M Series, Core Routers T Series et MX Series 5G prennent en charge la mise en miroir des ports pour IPv4 ou IPv6. Les routeurs M120, M320 et MX Series prennent en charge la mise en miroir des ports pour IPv4 et IPv6 simultanément.
La mise en miroir des ports pour le trafic VPLS est prise en charge sur les routeurs M7i et M10i configurés avec un CFEB-E amélioré, sur les routeurs M120, sur les routeurs M320 configurés avec un concentrateur PIC flexible (FPC) Enhanced III et sur les routeurs MX Series.
Dans Junos OS version 9.3 et ultérieure, la mise en miroir des ports est prise en charge pour le trafic de couche 2 sur les routeurs MX Series. Pour plus d’informations sur la configuration de la mise en miroir de ports pour le trafic de couche 2, reportez-vous à la bibliothèque de commutation et de pontage de couche 2 de Junos OS pour les périphériques de routage.
Dans Junos OS version 9.6 et ultérieure, la mise en miroir des ports est prise en charge pour le trafic VPN de couche 2 sur les routeurs M120 et M320 configurés avec un FPC Enhanced III. Vous pouvez également définir la longueur maximale du paquet mis en miroir. Lorsqu’il est défini, le paquet mis en miroir est tronqué à la longueur spécifiée.
Dans les MPC des routeurs M Series et MX Series, les informations d’en-tête GRE et MPLS ne sont pas contenues dans le trafic en miroir des ports correspondant aux paquets MPLS transmis via les tunnels IP-GRE.
Les plates-formes PTX1K, PTX10002, PTX5K, PTX3K et PTX10K équipées de cartes de ligne de première génération (LC1101, LC1102, LC1104 et LC1105) ne prennent pas en charge la mise en miroir des ports de sortie.
Consultez l’Explorateur de fonctionnalités pour obtenir la liste la plus récente des plates-formes prises en charge et des versions de Junos qui prennent en charge la mise en miroir des ports.
Consignes de configuration de la mise en miroir des ports
Lors de la configuration de la mise en miroir des ports, les restrictions suivantes s’appliquent :
Seules les données de transit sont prises en charge.
Vous pouvez configurer la mise en miroir des ports IPv4 ou IPv6, mais pas les deux sur les routeurs M Series, à l’exception des routeurs M120 et M320, qui prennent en charge la mise en miroir des ports pour IPv4 et IPv6 simultanément.
Vous pouvez configurer la mise en miroir de ports pour IPv4 et IPv6 simultanément sur les routeurs M120 et M320 et les routeurs MX Series.
La mise en miroir des ports dans le sens entrant et sortant n’est pas prise en charge pour les interfaces lsq (Link Services IQ).
Le filtrage entrant des paquets multicast est pris en charge sur tous les concentrateurs de ports denses (DPC) des routeurs MX Series. Le filtrage sortant des paquets multicast est pris en charge pour les interfaces sur les MPC des routeurs MX Series uniquement. Le filtrage des paquets multicast basé sur l’adresse de destination n’est pas pris en charge sur les routeurs M Series ou les routeurs T Series et n’est pas pris en charge pour les interfaces sur les DPC ASIC à puce I dans les routeurs MX Series.
Pour la mise en miroir de ports de couche 3 (
family inetetfamily inet6), si le trafic mis en miroir est multicast (en d'autres termes, si l'adresse IP de destination du paquet est une adresse multicast), la adresse MAC de destination dans la copie en miroir correspond à cette adresse IP de destination multicast et non à l'adresse MAC unicast spécifié dans la[edit forwarding-options port-mirroring family (inet | inet6) output]configuration.Par défaut, les filtres de pare-feu ne peuvent pas être appliqués aux interfaces de destination avec mise en miroir de ports. Pour activer la mise en miroir des ports des interfaces de destination afin de prendre en charge les filtres de pare-feu, utilisez l’instruction pour désactiver la
no-filter-checkvérification des filtres sur les interfaces. Vous pouvez inclure l’instructionno-filter-checkaux niveaux hiérarchiques suivants :[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
Vous devez inclure un filtre de pare-feu avec à la fois l’action d’acceptation et le modificateur d’action de mise en miroir du port sur l’interface entrante.
L’interface que vous configurez pour la mise en miroir des ports ne doit participer à aucun type d’activité de routage.
L’adresse de destination que vous spécifiez ne doit pas avoir d’itinéraire vers la destination finale du trafic. Par exemple, si les paquets IPv4 échantillonnés ont une adresse de destination 192.68.9.10 et que le trafic en miroir de port est envoyé à 192.68.20.15 pour analyse, l’équipement associé à cette dernière adresse ne doit pas connaître de route vers 192.68.9.10. De plus, il ne doit pas renvoyer les paquets échantillonnés à l’adresse source.
Sur tous les routeurs, à l’exception du routeur MX Series, vous ne pouvez configurer qu’une seule interface de mise en miroir de ports par routeur. Si vous incluez plusieurs interfaces dans l’instruction
port-mirroring, la précédente est écrasée. Les routeurs MX Series prennent en charge plusieurs interfaces de mise en miroir de port par routeur.Vous pouvez configurer plusieurs instances de mise en miroir de ports sur les routeurs M120, M320 et MX Series.
Vous pouvez spécifier à la fois l’échantillonnage d’hôte (cflowd) et la mise en miroir des ports dans la même configuration. Vous pouvez effectuer simultanément des actions de rééchantillonnage et de mise en miroir de ports. Toutefois, vous ne pouvez pas effectuer simultanément des actions d’échantillonnage PIC et de mise en miroir de ports.
Dans les applications classiques, vous envoyez les paquets échantillonnés à un analyseur ou à une station de travail pour analyse, et non à un autre routeur. Si vous devez envoyer ce trafic sur un réseau, vous devez utiliser des tunnels.
Configuration de la mise en miroir des ports
Pour configurer la mise en miroir des ports, incluez l’instruction suivante port-mirroring au niveau de la [edit forwarding-options] hiérarchie :
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
Configuration de la famille d’adresses et de l’interface de mise en miroir des ports
Pour configurer la mise en miroir des ports, incluez l’instruction port-mirroring . Pour configurer le type de famille d’adresses du trafic à échantillonner, incluez l’instruction family . Pour configurer le taux d’échantillonnage, la durée de l’échantillonnage et la taille maximale du paquet mis en miroir, incluez l’instruction input . Pour spécifier l’interface sur laquelle envoyer les paquets dupliqués et l’adresse du prochain saut pour envoyer les paquets, incluez l’instruction output . Pour déterminer s’il existe des filtres sur l’interface spécifiée, incluez l’instruction no-filter-check .
Pour plus d’informations sur le taux et run-length les instructions, reportez-vous à la section Configuration de l’échantillonnage du trafic .
Configuration de plusieurs instances de mise en miroir de ports
Dans Junos OS version 9.5 et ultérieure, vous pouvez configurer plusieurs instances de mise en miroir de ports sur les routeurs M120, M320 et MX Series. Sur le routeur M120, vous pouvez associer chaque instance à une carte FEB (Forwarding Engine Board) spécifique. Vous ne pouvez pas associer une instance de mise en miroir de port à une FEB configurée en tant que FEB de secours. Sur le routeur M320, vous pouvez associer chaque instance à un concentrateur PIC flexible (FPC) spécifique. L’association d’une instance de mise en miroir de ports à un FPC ou à un FEB vous permet de mettre en miroir des paquets vers différentes destinations. Plusieurs instances de mise en miroir de ports sont également prises en charge sur les routeurs MX Series. Pour plus d’informations sur la configuration de plusieurs instances de mise en miroir de ports sur les routeurs MX Series, reportez-vous à la bibliothèque de commutation et de pontage de couche 2 de Junos OS pour les périphériques de routage.
Dans les routeurs MX80 et MX104, les instances de mise en miroir de ports doivent toujours être associées à FPC 0, car l’association d’instances de mise en miroir de ports à FPC 1 ou FPC 2 peut entraîner un comportement incohérent en raison de l’architecture sous-jacente.
Pour configurer une instance de mise en miroir de port, incluez l’instruction suivante instance port-mirroring-instance au niveau de la [edit forwarding-options port-mirroring] hiérarchie :
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- Configuration des instances de mise en miroir des ports
- Association d’une instance de mise en miroir de ports sur des routeurs M320
- Association d’une instance de mise en miroir de ports sur des routeurs M120
- Configuration des routeurs MX Series 5G Plates-formes de routage universelles et M120 pour mettre en miroir le trafic une seule fois
Configuration des instances de mise en miroir des ports
Vous pouvez configurer plusieurs instances de mise en miroir des ports. Spécifiez un unique port-mirroring-instance-name pour chaque instance que vous configurez.
Association d’une instance de mise en miroir de ports sur des routeurs M320
Vous pouvez associer une instance de mise en miroir de ports à un FPC spécifique sur un routeur M320 ou à un FEB spécifique sur un routeur M120. Vous ne pouvez associer qu’une seule instance de mise en miroir des ports à chaque FPC d’un routeur M320 ou à chaque FEB d’un routeur M120. Sur un routeur M120, vous ne pouvez pas associer une instance de mise en miroir de port à un FEB configuré en tant que FEB de secours.
Pour associer une instance de mise en miroir de port à un FPC sur un routeur M320, incluez l’instruction suivante port-mirror-instance port-mirroring-instance-name au niveau de la [edit chassis fpc slot-number] hiérarchie :
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Pour slot-number, spécifiez le numéro d’emplacement du FPC que vous souhaitez associer à l’instance de mise en miroir des ports. Pour port-mirroring-instance-name, spécifiez le nom d’une instance de mise en miroir de port que vous avez configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie. Pour plus d’informations sur la configuration d’un FPC sur un routeur M320, reportez-vous à la Bibliothèque d’administration de Junos OS pour les périphériques de routage.
Association d’une instance de mise en miroir de ports sur des routeurs M120
Pour associer une instance de mise en miroir de port à un FEB sur un routeur M120, incluez l’instruction suivante port-mirror-instance port-mirroring-instance-name au niveau de la [edit chassis feb slot-number] hiérarchie :
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Pour slot-number, spécifiez le numéro d’emplacement de la FEB que vous souhaitez associer à l’instance de mise en miroir des ports. Pour port-mirroring-instance-name, spécifiez le nom d’une instance de mise en miroir de port que vous avez configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie. Pour plus d’informations sur la configuration de la redondance FEB sur un routeur M120, consultez le Guide de l’utilisateur haute disponibilité de Junos OS. Pour plus d’informations sur la configuration de la connectivité FPC-FEB sur un routeur M120, reportez-vous à la Bibliothèque d’administration de Junos OS pour les périphériques de routage.
Configuration des routeurs MX Series 5G Plates-formes de routage universelles et M120 pour mettre en miroir le trafic une seule fois
Sur les routeurs MX Series et M120 uniquement, vous pouvez configurer la mise en miroir des ports afin que le routeur ne mette en miroir le trafic qu’une seule fois. Si vous configurez la mise en miroir des ports sur les interfaces d’entrée et de sortie, le même paquet peut être mis en miroir deux fois. Pour mettre en miroir les paquets une seule fois et empêcher le routeur d’envoyer des paquets échantillonnés en double vers la même destination de mise en miroir, incluez l’instruction suivante mirror-once au niveau de la [edit forwarding-options port-mirroring] hiérarchie :
[edit forwarding-options port-mirroring] mirror-once;
L’instruction mirror-once n’est prise en charge que dans l’instance globale de mise en miroir des ports.