Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la mise en miroir des ports

La mise en miroir des ports est la capacité d’un routeur à envoyer une copie d’un paquet IPv4 ou IPv6 à une adresse hôte externe ou à un outil d’analyse des paquets pour analyse.

Consultez l’explorateur de fonctionnalités pour obtenir la liste la plus récente des plates-formes prises en charge et des versions de Junos qui prennent en charge la mise en miroir des ports.

La mise en miroir des ports est différente de l’échantillonnage du trafic. Lors de l’échantillonnage du trafic, une clé d’échantillonnage basée sur l’en-tête du paquet est envoyée au moteur de routage. Là, la clé peut être placée dans un fichier, ou les paquets cflowd basés sur la clé peuvent être envoyés à un serveur cflowd. Dans la mise en miroir des ports, l’intégralité du paquet est copiée et envoyée via une interface de saut suivant.

Une application de mise en miroir des ports envoie un paquet en double à un tunnel virtuel. Un groupe de saut suivant peut ensuite être configuré pour transférer des copies de ce paquet dupliqué à plusieurs interfaces. Pour plus d’informations sur les groupes de saut suivant, consultez Configuration des groupes de saut suivant afin d’utiliser plusieurs interfaces pour transférer les paquets utilisés dans la mise en miroir des ports.

Toutes les plates-formes de routage universelles MX Series 5G prennent en charge la mise en miroir des ports pour IPv4 ou IPv6.

La mise en miroir des ports pour le trafic VPLS est prise en charge sur les routeurs MX Series.

La mise en miroir des ports est prise en charge pour le trafic de couche 2 sur les routeurs MX Series. Pour plus d’informations sur la configuration de la mise en miroir des ports pour le trafic de couche 2, consultez le Guide de gestion et de surveillance du réseau.

Dans les MPC des routeurs MX Series, les informations d’en-tête GRE et MPLS ne sont pas contenues dans le trafic en miroir de port correspondant aux paquets MPLS transmis via les tunnels IP-GRE.

Les plates-formes PTX1K, PTX10002, PTX5K, PTX3K et PTX10K avec des cartes de ligne de première génération (LC1101, LC1102, LC1104 et LC1105) ne prennent pas en charge la mise en miroir des ports de sortie.

Instructions pour la configuration de la mise en miroir des ports

Lors de la configuration de la mise en miroir des ports, les restrictions suivantes s’appliquent :

  • Seules les données de transit sont prises en charge.

  • La valeur MTU de l’interface de sortie miroir de port doit être suffisamment grande pour accueillir les paquets mis en miroir.

  • Un port trunk autonome n’est pas pris en charge en tant que miroir de port ou interface de sortie d’analyseur pour les routeurs MX Series et les commutateurs EX9200. Si vous souhaitez utiliser un port trunk comme port de sortie miroir, vous devez utiliser un domaine de pont (MX) ou un VLAN (EX) comme sortie miroir de port, puis attacher le port trunk au domaine de pont ou au VLAN concerné comme port de sortie.

  • Vous pouvez configurer la mise en miroir des ports pour IPv4 et IPv6 simultanément sur les routeurs MX Series.

  • La mise en miroir des ports entrants et sortants n’est pas prise en charge pour les interfaces Link Services IQ (lsq-).

  • Le filtrage entrant des paquets de multicast est pris en charge sur tous les concentrateurs de ports denses (DPC) des routeurs MX Series. Le filtrage sortant des paquets multicast est pris en charge pour les interfaces sur MPC dans les routeurs MX Series. Le filtrage des paquets de multicast en fonction de l’adresse de destination n’est pas pris en charge pour les interfaces des DPC basés sur ASIC à puce I dans les routeurs MX Series.

    Pour la mise en miroir de ports de couche 3 (family inet et family inet6), si le trafic mis en miroir est un multicast (en d'autres termes, si l'adresse IP de destination du paquet est une adresse multicast), l'adresse MAC de destination dans la copie en miroir correspond à cette adresse IP de destination multicast et non à l'adresse MAC unicast spécifiée dans la [edit forwarding-options port-mirroring family (inet | inet6) output] configuration.

  • Par défaut, les filtres de pare-feu ne peuvent pas être appliqués aux interfaces de destination de mise en miroir des ports. Pour activer les interfaces de destination de mise en miroir des ports afin de prendre en charge les filtres de pare-feu, utilisez l’instruction pour désactiver la no-filter-check vérification des filtres sur les interfaces. Vous pouvez inclure l’instruction no-filter-check aux niveaux hiérarchiques suivants :

    • [edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output]

    • [edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]

  • Vous devez inclure un filtre de pare-feu avec l’action accept et le modificateur d’action port-mirror sur l’interface entrante.

  • L’interface que vous configurez pour la mise en miroir des ports ne doit participer à aucun type d’activité de routage.

  • L’adresse de destination que vous spécifiez ne doit pas avoir d’itinéraire vers la destination finale du trafic. Par exemple, si les paquets IPv4 échantillonnés ont l’adresse de destination de 192.68.9.10 et que le trafic en miroir de port est envoyé à 192.68.20.15 pour analyse, l’équipement associé à cette dernière adresse ne doit pas connaître de route vers 192.68.9.10. En outre, il ne doit pas renvoyer les paquets échantillonnés à l’adresse source.

  • Les routeurs MX Series prennent en charge plus d’une interface de mise en miroir de ports par routeur.

  • Vous pouvez configurer plusieurs instances de mise en miroir des ports sur les routeurs MX Series.

  • Vous pouvez spécifier à la fois l’échantillonnage de l’hôte (cflowd) et la mise en miroir des ports dans la même configuration. Vous pouvez effectuer simultanément des actions d’échantillonnage du moteur de routage et de mise en miroir des ports. Cependant, vous ne pouvez pas effectuer simultanément des actions d’échantillonnage PIC et de mise en miroir des ports.

  • Dans les applications classiques, vous envoyez les paquets échantillonnés à un analyseur ou à un poste de travail, et non à un autre routeur. Si vous devez envoyer ce trafic sur un réseau, vous devez utiliser des tunnels.

  • Sur les routeurs PTX Series qui prennent en charge la mise en miroir des ports, les paquets IPv4 sont abandonnés si la longueur du paquet dépasse la longueur maximale configurée.

Remarque :

Dans un filtre de pare-feu configuré avec une action ouport-mirror, si l2-mirror une port-mirror-instance action est également configurée, la famille d’instances de mise en miroir des ports doit être any. En l’absence de l’action, la l2-mirror famille d’instances de mise en miroir des ports doit être la famille de filtres de pare-feu.

Dans l’exemple suivant, port-mirroring instance pm1 est inet, qui est la famille de filtres de pare-feu, et parce l2-mirror que l’action n’est pas présente.

Dans l’exemple suivant, parce que l2-mirror l’action est également présente à côté de port-mirror-instance l’action, port-mirroring instance pm1 family est any.

Configuration de la mise en miroir des ports

Pour configurer la mise en miroir des ports, incluez l’instruction port-mirroring au niveau de la [edit forwarding-options] hiérarchie :

Configuration de la famille et de l’interface d’adresses de mise en miroir des ports

Pour configurer la mise en miroir des ports, incluez l’instruction port-mirroring . Pour configurer le type de trafic de famille d’adresses à échantillonner, incluez l’instruction family . Pour configurer le taux d’échantillonnage, la longueur de l’échantillonnage et la taille maximale du paquet mis en miroir, incluez l’instruction input . Pour spécifier sur quelle interface envoyer les paquets en double et l’adresse du saut suivant pour envoyer les paquets, incluez l’instruction output . Pour déterminer s’il existe des filtres sur l’interface spécifiée, incluez l’instruction no-filter-check .

Pour plus d’informations sur les instructions andrun-length, consultez Configuration de l’échantillonnagerate du trafic.

Configuration des routeurs MX Series pour mettre le trafic en miroir une seule fois

Sur les routeurs MX Series, vous pouvez configurer la mise en miroir des ports afin que le routeur ne reflète le trafic qu’une seule fois. Si vous configurez la mise en miroir des ports sur les interfaces entrantes et sortantes, le même paquet peut être mis en miroir deux fois. Pour mettre en miroir les paquets une seule fois et empêcher le routeur d’envoyer des paquets échantillonnés en double à la même destination de mise en miroir, incluez l’instruction mirror-once au niveau de la [edit forwarding-options port-mirroring] hiérarchie :

Remarque :

L’instruction mirror-once n’est prise en charge que dans l’instance globale de mise en miroir des ports.

Configuration d’instances de mise en miroir de ports

Les instances vous permettent de mettre en miroir des paquets vers différentes destinations à partir du même PFE et d’utiliser des paramètres d’échantillonnage différents pour chaque instance.

Vous pouvez configurer plusieurs instances de mise en miroir des ports sur les routeurs MX Series. Pour plus d’informations sur la configuration de plusieurs instances de mise en miroir de ports, consultez le Guide de surveillance et de gestion du réseau.

Pour configurer une instance de mise en miroir des ports, incluez l’instruction instance port-mirroring-instance au niveau de la [edit forwarding-options port-mirroring] hiérarchie :

Association d’une instance de mise en miroir de ports à un FPC ou à un PIC sur les routeurs MX Series

Vous devez associer des instances de mise en miroir de ports à des FPC ou des PIC. Vous pouvez associer une instance de mise en miroir de ports à un FPC spécifique ou à un PIC spécifique sur un routeur MX Series. « L’association » d’une instance de mise en miroir de ports à un FPC ou à un PIC est parfois appelée « liaison » de l’instance au FPC ou au PIC.

Une instance de niveau PIC remplace une instance de niveau FPC et une instance de niveau FPC remplace une instance globale.

Le nombre d’instances prises en charge est de :

  • Sur un DPC MX, un maximum de 2 instances peuvent être liées (associées à) un PIC. Comme vous pouvez avoir 4 PIC par FPC, chaque FPC prend en charge 8 instances.
  • Sur un MX MPC, un maximum de 2 instances sont prises en charge et elles ne peuvent être liées qu’au niveau FPC dans la hiérarchie de [edit chassis] configuration.

Pour vérifier l’association des instances de mise en miroir de ports à un FPC, exécutez la commande show chassis fpc fpc-number configuration-mode.

Pour slot-number, spécifiez le numéro d’emplacement du FPC ou du PIC que vous souhaitez associer à l’instance de mise en miroir des ports. Pour port-mirroring-instance-name, spécifiez le nom d’une instance de mise en miroir des ports que vous avez configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Comportement spécifique à la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.

Utilisez le tableau suivant pour examiner le comportement spécifique à votre plate-forme :

Plate-forme

Différence

Routeurs PTX Series

L’instruction no-filter-check permettant de désactiver la vérification des filtres sur les interfaces n’est pas prise en charge.