Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

포트 미러링 및 분석기

SUMMARY 이 섹션에서는 포트 미러링이 네트워크 트래픽을 분석기 애플리케이션으로 전송하는 방법을 설명합니다.

포트 미러링 및 분석기 이해

포트 미러링 및 분석기는 네트워크 트래픽을 분석기 애플리케이션이 실행되는 디바이스로 전송합니다. 포트는 레이어 3 IP 트래픽을 인터페이스로 미러링합니다. 분석기는 브리지드(레이어 2) 패킷을 인터페이스로 복사합니다. 미러링된 트래픽은 단일 인터페이스 또는 여러 인터페이스에서 소스링될 수 있습니다. 분석기 애플리케이션이 실행되는 미러 출력 인터페이스에 연결된 장치를 사용하여 규제 준수 모니터링, 정책 적용, 침입 감지, 네트워크 성능 모니터링, 이벤트 상관 관계 분석 및 네트워크의 기타 문제와 같은 작업을 수행할 수 있습니다.

인터넷 프로세서 II ASIC(Application-Specific Integrated Circuit) 또는 T 시리즈 인터넷 프로세서가 포함된 라우터의 경우, 포트 미러링은 포트에 들어오거나 나가는 유니캐스트 패킷을 복사하고 로컬 모니터링을 위해 로컬 인터페이스 또는 VLAN으로 해당 복사본을 원격 모니터링을 위해 VLAN으로 전송합니다. 미러링된 트래픽은 해당 트래픽을 분석하는 데 도움이 되는 애플리케이션을 통해 수신됩니다.

포트 미러링은 트래픽 샘플링과 다릅니다. 트래픽 샘플링에서 IPv4 헤더 기반의 샘플링 키가 파일 또는 cflowd에 있는 라우팅 엔진 전송됩니다. 해당 키에 기반한 패킷은 cflowd 서버로 전송됩니다. 포트 미러링에서 전체 패킷은 특정 인터페이스를 통해 복사되어 전송되어 세부적으로 캡처 및 분석할 수 있습니다.

포트 미러링을 사용하여 규제 준수 모니터링, 정책 적용, 침입 감지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관 관계 분석 등의 목적으로 트래픽을 분석하는 디바이스로 트래픽을 전송합니다. 일반적으로 스위치가 대상 장치가 연결된 포트로만 패킷을 보내기 때문에 트래픽 분석을 수행하려면 포트 미러링이 필요합니다. 발생할 수 있는 지연으로 인해 분석을 위해 원래 패킷을 전송하지 않을 수도 있기 때문에 일반적인 대안은 포트 미러링을 구성하여 유니캐스트 트래픽의 복사본을 다른 인터페이스로 전송하고 해당 인터페이스에 연결된 장비에서 분석기 애플리케이션을 실행합니다.

포트 미러링을 구성하기 위해 포트 미러링 인스턴스를 구성합니다. 입력은 지정하지 않습니다. 대신 필요한 트래픽을 지정하는 방화벽 필터를 생성하고 인스턴스로 지시합니다. 필터의 용어로 해당 조치를 port-mirrorthen 실행합니다. 방화벽 필터는 으로 구성해야 family inet 합니다.

포트 미러링 구성 시 성능을 염두에 두어야 합니다. 필요한 패킷만 미러링할 수 있는 방화벽 필터를 구성하면 성능에 미치는 영향을 줄일 수 있습니다.

동일한 분석기 구성에서 입력 트래픽과 출력 트래픽을 모두 정의하도록 분석기 명령문을 구성할 수 있습니다. 분석할 트래픽은 인터페이스에 들어오거나 나가는 트래픽 또는 VLAN으로 진입하는 트래픽일 수 있습니다. 분석기 구성을 사용하면 이러한 트래픽을 출력 인터페이스, 인스턴스 또는 VLAN으로 전송할 수 있습니다. 계층에서 분석기를 구성할 수 [edit forwarding-options analyzer] 있습니다.

주:

EX4400-24T 플랫폼에서 원격 포트 미러링 VLAN에서 인터페이스를 비활성화하면 비활성화된 인터페이스를 다시 활성화하고 분석기 세션을 재구성하여 포트 미러링을 재개해야 합니다.

포트 미러링을 사용하여 다음을 복사할 수 있습니다.

  • 어떤 조합으로 인터페이스에 들어오거나 나가는 모든 패킷 일부 인터페이스로 들어오고 다른 인터페이스를 나가는 패킷의 복사본은 동일한 로컬 인터페이스 또는 VLAN으로 전송될 수 있습니다. 인터페이스에서 나가는 패킷을 복사하도록 포트 미러링을 구성하는 경우 해당 스위치 또는 노드 디바이스(QFabric 시스템에서)에서 시작된 트래픽은 Egress가 나갈 때 복사되지 않습니다. 오직 스위칭된 트래픽만 egress에 복사합니다. (다음은 egress 미러링에 대한 제한을 참조하십시오.)

  • VLAN에 들어오는 모든 패킷 또는 모든 패킷 포트 미러링을 사용하여 VLAN에서 나가는 패킷을 복사할 수 없습니다.

  • 포트 또는 VLAN에 입력하는 패킷의 방화벽 필터링 샘플

  • 방화벽 필터는 egress 포트에서 지원되지 않습니다. 인터페이스에서 나가는 패킷의 정책 기반 샘플링을 지정할 수 없습니다.

  • 네트워크 가상 확장형 LAN(VXLAN) 환경에서는 방화벽 필터 기반 포트 미러링이 코어 또는 Spine-facing 인터페이스에서 지원되지 않습니다.

트래픽 샘플링과 포트 미러링을 모두 구성하여 포트 미러링 패킷에 대해 독립 샘플링 속도와 런 길이를 설정할 수 있습니다. 그러나 트래픽 샘플링과 포트 미러링을 위해 패킷을 선택한 경우 우선 순위가 따라 포트 미러링만 실행됩니다. 즉, 인터페이스와 포트 미러링에 대한 모든 패킷 입력을 트래픽 샘플링하는 인터페이스를 구성하면 해당 패킷을 복사하여 대상 포트로 전송하는 경우 포트 미러링 프로세스만 실행됩니다. 포트 미러링을 위해 선택되지 않는 트래픽 샘플링 패킷은 계속해서 샘플링되어 cflowd 서버로 전달됩니다.

이 주제에서 사용되는 용어에 대한 자세한 내용은 포트 미러링 및 분석기 용어 및 정의 을 참조하십시오.

인스턴스 유형

포트 미러링을 구성하기 위해 다음 유형 중 하나의 인스턴스를 구성합니다.

  • Analyzer 인스턴스—인스턴스의 입력 및 출력을 지정합니다. 이 인스턴스 유형은 인터페이스를 전송하거나 VLAN에 입력하는 모든 트래픽이 미러링 및 분석기로 전송되는 데 유용합니다.

  • 포트 미러링 인스턴스—원하는 트래픽을 식별하는 방화벽 필터를 생성하고 이를 미러링 포트에 복사합니다. 이 인스턴스 유형에 대한 입력은 지정하지 않습니다. 이 인스턴스 유형은 미러링된 트래픽 유형을 제어하는 데 유용합니다. 다음과 같은 방법으로 트래픽을 해당 트래픽으로 지시할 수 있습니다.

    • 정의된 여러 포트 미러링 인스턴스가 있을 때 방화벽 필터에서 포트 미러링 인스턴스의 port-mirror-instance instance-name 이름을 지정합니다.

    • 정의된 포트 미러링 인스턴스가 단 하나의 포트 미러링 인스턴스인 경우 작업을 사용하여 인스턴스에서 정의된 출력 인터페이스로 미러링된 port-mirror 패킷을 전송합니다.

QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 및 EX4650 스위치의 경우 다음과 같은 포트 미러링 가이드라인이 적용됩니다.

  • 동시에 최대 4개의 포트 미러링 인스턴스 또는 4개의 분석기 세션을 구성할 수 있습니다. 즉, 4개의 포트 미러링 인스턴스와 4개의 분석기 세션을 함께 구성할 수 없습니다.
  • 포트 미러링 인스턴스가 없는 경우(분석기 세션만 구성된 경우), ingress 및 egress 미러링을 위해 최대 3개의 분석기 세션을 활성화할 수 있습니다. 남은 분석기 세션은 ingress 미러링에만 사용되어야 합니다.
  • 하나의 포트 미러링 인스턴스만 구성한 경우, 나머지 인스턴스 중 나머지 인스턴스는 ingress 미러링을 위한 분석기를 최대 3개, egress 미러링을 위한 분석기를 2개까지 구성할 수 있습니다.
  • 2개의 포트 미러링 인스턴스가 구성된 경우 나머지 인스턴스 중 2개의 분석기를 구성하여 ingress 미러링을 위한 분석기를 최대 2개, egress 미러링을 위한 분석기를 1개까지 구성할 수 있습니다.
  • 3개의 포트 미러링 인스턴스가 구성된 경우, 나머지 인스턴스는 분석기(ingress 또는 egress 미러링의 경우)로만 구성할 수 있습니다.

포트 미러링 및 STP

포트 미러링 구성에서 STP의 동작은 사용하는 Junos OS 버전에 따라 다릅니다.

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 13.Junos OS 2X52 이전 버전: STP가 활성화되면 STP가 미러링된 패킷을 차단할 수 있기 때문에 포트 미러링이 성공하지 않을 수 있습니다.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: 미러링된 트래픽에 대해 STP가 비활성화됩니다. 토폴로지가 이러한 트래픽 루프를 방지하도록 보장해야 합니다.

제약 및 제한

포트 미러링에는 다음과 같은 제약 조건과 제한이 적용됩니다.

분석을 위해 필요한 패킷만 미러링하면 전반적인 성능을 줄일 수 있습니다. 여러 포트에서 트래픽을 미러링하는 경우 미러링된 트래픽이 출력 인터페이스의 용량을 초과할 수 있습니다. 오버플로우 패킷은 드롭됩니다. 특정 인터페이스를 선택하여 미러링된 트래픽의 양을 제한하고 키워드를 사용하지 않는 것이 all 좋습니다. 또한 방화벽 필터를 사용하여 포트 미러링 인스턴스로 특정 트래픽을 전송하여 미러링된 트래픽의 양을 제한할 수도 있습니다.

  • 총 4개의 포트 미러링 구성을 생성할 수 있습니다.

  • QFabric 시스템의 각 노드 그룹은 다음과 같은 제약 조건에 따라 변경됩니다.

    • 로컬 포트 미러링에 최대 4개의 구성을 사용할 수 있습니다.

    • 원격 포트 미러링에 최대 3개의 구성을 사용할 수 있습니다.

  • 독립형 스위치 또는 Node 그룹을 구성하는지 여부에 관계없이

    • ingress 트래픽을 미러링하는 2개의 구성이 있을 수 없습니다. 미러링된 트래픽을 포트로 전송하도록 방화벽 필터를 구성하면 필터가 적용되는 스위치 또는 Node 그룹에 대한 수신 미러링 구성으로 계산됩니다.

    • Egress 트래픽을 미러링하는 2개 이상의 구성이 있을 수 없습니다.

    • QFabric 시스템에서는 총 미러 세션 수에 대한 시스템 전방위 제한이 없습니다.

  • 하나의 포트 미러링 구성에서 오직 하나의 출력 유형만 구성하여 명령문을 set analyzer name output 완성할 수 있습니다.

    • interface

    • ip-address

    • vlan

  • 동일한 물리적 인터페이스를 위한 하나의 논리적 인터페이스에서 분석기에서 미러링을 set forwarding-options analyzer 구성합니다. 물리적 인터페이스에서 구성된 여러 논리적 인터페이스에서 미러링을 구성하려는 경우 첫 번째 논리적 인터페이스만 성공적으로 구성됩니다. 나머지 논리적 인터페이스는 구성 오류를 반환합니다.

  • egress 패킷을 미러링하는 경우 독립형 스위치 또는 QFabric 시스템상에서 2000개 이상의 VLA를 구성하지 마십시오. 그런 경우 일부 VLAN 패킷에는 올바르지 않은 VLAN ID가 포함되어 있을 수 있습니다. 이는 미러링된 복사본이 아니라 모든 VLAN 패킷에 적용됩니다.

  • 옵션 ratioloss-priority 및 지원되지 않습니다.

  • 물리적 레이어 오류가 있는 패킷은 출력 포트 또는 VLAN으로 전송되지 않습니다.

  • sFlow 모니터링을 사용하여 트래픽을 샘플링하는 경우 출력 인터페이스를 나가면 미러 복사본을 샘플링하지 않습니다.

  • 다음 포트에서 나가거나 입력하는 패킷을 미러링할 수 없습니다.

    • 전용 Virtual Chassis 인터페이스

    • 관리 인터페이스(me0 또는 vme0)

    • 파이버 채널 인터페이스

    • IRB(Integrated Routing and Bridging) 인터페이스(라우팅 VLAN 인터페이스 또는 RIS라고도)

  • 입력된 이더넷 인터페이스는 입력된 VLAN인 경우 또는 방화벽 필터를 사용하여 트래픽이 분석기로 전송되는 경우 출력 인터페이스가 될 수 없습니다.

  • 미러링된 패킷이 출력 인터페이스에서 전송되는 경우, CoS 재작성과 같은 egress의 원래 패킷에 적용될 수 있는 변경에 대해 수정되지 않습니다.

  • 인터페이스는 하나의 미러링 구성을 위한 입력 인터페이스가 될 수 있습니다. 여러 미러링 구성을 위한 입력 인터페이스와 동일한 인터페이스를 사용하지 말 것.

  • CPU 생성 패킷(예: ARP, ICMP, BPDU 및 LACP 패킷)은 egress에서 미러링될 수 없습니다.

  • VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.

  • (QFabric 시스템만 해당) egress 트래픽을 미러링하도록 QFabric 분석기를 구성하고 입력 및 출력 인터페이스가 서로 다른 Node 장비에 있는 경우 미러링된 복사본에 올바르지 않은 VLAN ID가 있습니다.

    QFabric 분석기를 Egress 트래픽을 미러링하도록 구성하고 입력 및 출력 인터페이스가 동일한 Node 장비에 있는 경우 이러한 제한은 적용되지 않습니다. 이 경우 미러링된 복사본은 올바른 VLAN ID를 하게 됩니다(QFabric 시스템에서 2000개 이상의 VLAN을 구성하지 않는 한).

  • 진정한 egress 미러링은 정확한 복사본 수와 egress 포트에서 나갔던 정확한 패킷 수정을 반영하는 것으로 정의됩니다. QFX5xxx의 프로세서가 QFX5100 때문에 QFX5110, QFX5120, QFX5200 및 QFX5210) 및 EX4600(EX4600 및 EX4650 포함) 스위치는 ingress 파이프라인에서 egress 미러링을 구현하기 때문에, 이들 스위치는 정확한 egress 패킷 수정을 제공하지 못하기 때문에 egress 미러링된 트래픽은 원래 트래픽의 태그와 다른 올바르지 않은 VLAN 태그를 전달할 수 있습니다.

  • VLAN 캡슐화(encapsulation)를 수행하는 인터페이스에서 나가는 트래픽을 미러링하도록 포트 미러링 인스턴스를 구성하는 경우 미러링된 패킷의 소스 및 대상 MAC 주소는 원래 패킷의 주소와 동일하지 않습니다.

  • LAG의 구성원 인터페이스에서 미러링은 지원되지 않습니다.

  • Egress VLAN 미러링은 지원되지 않습니다.

원격 포트 미러링에는 다음과 같은 제약 조건과 제한이 적용됩니다.

  • 출력 IP 주소를 구성하는 경우 해당 주소가 스위치 관리 인터페이스와 동일한 서브네트워크에 있을 수 없습니다.

  • 가상 라우팅 인스턴스를 생성하고 출력 IP 주소를 포함하는 분석기 구성을 생성하면 출력 IP 주소는 기본 가상 라우팅 인스턴스(inet.0 라우팅 테이블)에 속합니다.

  • 출력 VLAN은 사설 VLAN 또는 VLAN 범위가 될 수 없습니다.

  • 출력 VLAN은 여러 분석기 세션 또는 포트 미러 인스턴스에 의해 공유될 수 없습니다.

  • 출력 VLAN 인터페이스는 다른 VLAN의 구성원이 될 수 없습니다.

  • 출력 VLAN 인터페이스는 통합 이더넷 인터페이스가 될 수 없습니다.

  • 출력 VLAN에 두 개 이상의 구성원 인터페이스가 있는 경우 트래픽은 VLAN의 첫 번째 멤버에만 미러링됩니다. 동일한 VLAN의 다른 구성원은 미러링된 트래픽을 전달하지 않습니다.

  • GRE 캡슐화(gre encapsulation)에 대한 원격 포트 미러링의 경우, 두 개 이상의 분석기 세션 또는 포트 미러 인스턴스를 구성하고 분석기 또는 포트 미러 인스턴스의 IP 주소를 동일한 인터페이스를 통해 도달할 수 있는 경우 하나의 분석기 세션 또는 포트 미러 인스턴스만 구성됩니다.

  • 원격 포트 미러링에서 가능한 출력 인터페이스의 수는 QFX5K 라인의 스위치에 따라 다를 수 있습니다.

    • QFX5110, QFX5120, QFX5210—최대 4개 출력 인터페이스 지원

    • QFX5100 QFX5200—최대 3개 출력 인터페이스를 지원

  • 원격 포트 미러링 VLAN의 구성원이 해당 VLAN에서 제거될 때마다 해당 VLAN에 대한 분석기 세션을 재구성합니다.

스위치 및 스위치의 제약 QFX5100 QFX5200 제한

다음 고려 사항은 스위치 및 스위치의 포트 미러링에 QFX5100 QFX5200 있습니다.

  • IP 주소로의 출력을 통해 미러링을 구성할 경우 대상 IP 주소에 도달하고 ARP가 해결되어야 합니다.
  • ECMP(Equal Cost Multiple Path) 로드 밸런싱은 미러링된 대상에 지원되지 않습니다.

  • 원격 포트 미러링(RSPAN)의 출력 인터페이스 수는 다양합니다. 스위치 QFX5110, QFX5120 및 QFX5210 스위치의 최대 출력 인터페이스는 4개입니다. 스위치 QFX5100 QFX5200 최대 3개입니다.

  • 링크 어그리게이트 그룹(LAG)을 미러링 출력 인터페이스로 지정하면 최대 8개의 인터페이스가 미러링됩니다.

  • 미러링 입력은 LAG, 모든 유닛(예: ae0.101 또는 xe-0/0/0.100)이 있는 물리적 인터페이스 또는 하위 인터페이스가 될 수 있습니다. 어떤 경우에도 LAG 또는 물리적 인터페이스의 모든 트래픽이 미러링됩니다.

  • LAG의 멤버 인터페이스에 독립 미러링 인스턴스를 설정할 수 없습니다.

  • 한 미러링 인스턴스에 포함된 출력 인터페이스는 다른 미러링 인스턴스에서도 사용할 수 없습니다.

  • 포트 미러링 인스턴스에서 포링 경로의 egress 파이프라인에서 드롭된 패킷은 결코 대상에 미러링되지 않습니다. 이는 미러링 작업이 드롭 작업 이전의 ingress 파이프라인에서 발생하기 때문에,

  • 포트 미러링 인스턴스에서 오직 하나의 미러 출력 대상만 지정할 수 있습니다.

  • 여러 포트 미러링 또는 분석기 인스턴스 전반에 걸쳐 구성된 출력 미러 대상은 모두 고유해야 합니다.

  • ERSPAN IPv6 주소의 경우 분석기/포트 미러링에 대한 출력이 원격 IPv6 주소인 경우 egress 미러링이 지원되지 않습니다. Egress 미러링은 지원되지 않습니다.

  • 로컬 미러링을 위해 출력 인터페이스는 VLAN(Layer 3 인터페이스가 아닌) 유무에 따라 패밀리 이더넷 스위칭이 되어야 합니다.

  • 서비스 제공업체 환경에서 포트 미러링 또는 분석기 인스턴스를 구성할 때 VLAN ID가 아닌 VLAN 이름을 사용합니다.

QFabric의 포트 미러링

로컬 및 원격 포트 미러링에는 다음과 같은 제약 조건과 제한이 적용됩니다.

  • 총 4개의 포트 미러링 구성을 생성할 수 있습니다.

  • QFabric 시스템의 각 노드 그룹은 다음과 같은 제약 조건에 따라 변경됩니다.

    • 로컬 포트 미러링에 최대 4개의 구성을 사용할 수 있습니다.

    • 원격 포트 미러링에 최대 3개의 구성을 사용할 수 있습니다.

  • 독립형 스위치 또는 Node 그룹을 구성하는지 여부에 관계없이

    • ingress 트래픽을 미러링하는 2개의 구성이 있을 수 없습니다. 포트에 미러링된 트래픽을 전송하도록 방화벽 필터를 구성하면 필터 용어로 작업 수정자를 사용하면 필터가 적용되는 스위치 또는 Node 그룹에 대한 수신 미러링 구성으로 analyzer 계산됩니다.

    • Egress 트래픽을 미러링하는 2개 이상의 구성이 있을 수 없습니다.

    • QFabric 시스템에서는 총 미러 세션 수에 대한 시스템 전방위 제한이 없습니다.

  • 하나의 포트 미러링 구성에서 오직 하나의 출력 유형만 구성하여 명령문을 set analyzer name output 완성할 수 있습니다.

    • interface

    • ip-address

    • vlan

  • 동일한 물리적 인터페이스를 위한 하나의 논리적 인터페이스에서 분석기에서 미러링을 set forwarding-options analyzer 구성합니다. 물리적 인터페이스에서 구성된 여러 논리적 인터페이스에서 미러링을 구성하려는 경우 첫 번째 논리적 인터페이스만 성공적으로 구성됩니다. 나머지 논리적 인터페이스는 구성 오류를 반환합니다.

  • egress 패킷을 미러링하는 경우 QFX 시리즈 플랫폼에서 2000개 이상의 VLA를 구성하지 마십시오. 경우 일부 VLAN 패킷에는 올바르지 않은 VLAN ID가 포함되어 있을 수 있습니다. 이는 미러링된 복사본이 아니라 모든 VLAN 패킷에 적용됩니다.

  • 옵션 ratioloss-priority 및 지원되지 않습니다.

  • 물리적 레이어 오류가 있는 패킷은 출력 포트 또는 VLAN으로 전송되지 않습니다.

  • sFlow 모니터링을 사용하여 트래픽을 샘플링하는 경우 출력 인터페이스를 나가면 미러 복사본을 샘플링하지 않습니다.

  • 다음 포트에서 나가거나 입력하는 패킷을 미러링할 수 없습니다.

    • 전용 Virtual Chassis 인터페이스

    • 관리 인터페이스(me0 또는 vme0)

    • 파이버 채널 인터페이스

    • IRB(Integrated Routing and Bridging) 인터페이스(라우팅 VLAN 인터페이스 또는 RIS라고도)

  • 입력된 이더넷 인터페이스는 입력된 VLAN인 경우 또는 방화벽 필터를 사용하여 트래픽이 분석기로 전송되는 경우 출력 인터페이스가 될 수 없습니다.

  • 미러링된 패킷이 출력 인터페이스에서 전송되는 경우, CoS 재작성과 같은 egress의 원래 패킷에 적용될 수 있는 변경에 대해 수정되지 않습니다.

  • 인터페이스는 하나의 미러링 구성을 위한 입력 인터페이스가 될 수 있습니다. 여러 미러링 구성을 위한 입력 인터페이스와 동일한 인터페이스를 사용하지 말 것.

  • CPU 생성 패킷(예: ARP, ICMP, BPDU 및 LACP 패킷)은 egress에서 미러링될 수 없습니다.

  • VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.

  • (QFabric 시스템만 해당) egress 트래픽을 미러링하도록 QFabric 분석기를 구성하고 입력 및 출력 인터페이스가 서로 다른 Node 장비에 있는 경우 미러링된 복사본에 올바르지 않은 VLAN ID가 있습니다.

    QFabric 분석기를 Egress 트래픽을 미러링하도록 구성하고 입력 및 출력 인터페이스가 동일한 Node 장비에 있는 경우 이러한 제한은 적용되지 않습니다. 이 경우 미러링된 복사본은 올바른 VLAN ID를 하게 됩니다(QFabric 시스템에서 2000개 이상의 VLAN을 구성하지 않는 한).

  • 진정한 egress 미러링은 정확한 복사본 수와 egress 포트에서 나갔던 정확한 패킷 수정을 반영하는 것으로 정의됩니다. QFX5xxx의 프로세서가 QFX5100 때문에 QFX5110, QFX5120, QFX5200 및 QFX5210) 및 EX4600(EX4600 및 EX4650 포함) 스위치는 ingress 파이프라인에서 egress 미러링을 구현하기 때문에, 이들 스위치는 정확한 egress 패킷 수정을 제공하지 못하기 때문에 egress 미러링된 트래픽은 원래 트래픽의 태그와 다른 올바르지 않은 VLAN 태그를 전달할 수 있습니다.

  • VLAN 캡슐화(encapsulation)를 수행하는 인터페이스에서 나가는 트래픽을 미러링하도록 포트 미러링 인스턴스를 구성하는 경우 미러링된 패킷의 소스 및 대상 MAC 주소는 원래 패킷의 주소와 동일하지 않습니다.

  • LAG의 구성원 인터페이스에서 미러링은 지원되지 않습니다.

  • Egress VLAN 미러링은 지원되지 않습니다.

OCX 시리즈 스위치의 포트 미러링

OCX Series 스위치의 포트 미러링에는 다음과 같은 제약 조건과 제한이 적용됩니다.

  • 총 4개의 포트 미러링 구성을 생성할 수 있습니다. ingress 또는 egress 트래픽을 미러링하는 2개의 구성이 있을 수 없습니다.

  • sFlow 모니터링을 사용하여 트래픽을 샘플링하는 경우 출력 인터페이스를 나가면 미러 복사본을 샘플링하지 않습니다.

  • 하나의 포트 미러링 세션만 만들 수 있습니다.

  • 다음 포트에서 나가거나 입력하는 패킷을 미러링할 수 없습니다.

    • 전용 Virtual Chassis 인터페이스

    • 관리 인터페이스(me0 또는 vme0)

    • 파이버 채널 인터페이스

    • 라우팅된 VLAN 인터페이스 또는 IRB 인터페이스

  • 통합 Ethernet 인터페이스는 출력 인터페이스가 될 수 없습니다.

  • 포트 미러링 구성에서 0이 아닌 유닛 번호가 있는 802.1Q 서브세그리스는 포함하지 않습니다. 포트 미러링은 단위 번호가 0이 아닌 경우 하위 에지와 작동하지 않습니다. (명령문을 사용하여 802.1Q 서브테르프를 vlan-tagging 구성합니다.)

  • 패킷 복사본이 출력 인터페이스를 통해 전송될 때 CoS 재 기록과 같은 egress에 일반적으로 적용되는 변경에 대해 수정되지 않습니다.

  • 인터페이스는 하나의 미러링 구성을 위한 입력 인터페이스가 될 수 있습니다. 여러 미러링 구성을 위한 입력 인터페이스와 동일한 인터페이스를 사용하지 말 것.

  • CPU 생성 패킷(예: ARP, ICMP, BPDU 및 LACP 패킷)은 egress에서 미러링될 수 없습니다.

  • VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.

스위치, EX2300, EX3400 스위치의 EX4300 미러링

허브와 달리 스위치가 대상 장치의 모든 포트로 패킷을 브로드캐스트하지 못하기 때문에 스위치의 트래픽 분석에는 미러링이 필요할 수 있습니다. 스위치는 대상 장치가 연결된 포트로만 패킷을 전송합니다.

개요

Junos OS, EX2300 EX3400, EX4300 스위치에서 실행되는 스위치는 패킷 수준에서 이러한 스위치의 트래픽을 쉽게 분석하는 ELS(Enhanced Layer 2 Software) 구성을 지원하며,

포트 미러링을 사용하여 로컬 모니터링을 위해 패킷을 로컬 인터페이스로 복사하거나 원격 모니터링을 위해 VLAN에 복사할 수 있습니다. 분석기를 사용하여 네트워크 사용 및 파일 공유와 관련한 정책을 적용하고 특정 스테이션 또는 애플리케이션에 따라 비정상적 또는 과도하게 사용하는 대역폭 사용량을 위치하여 네트워크에서 문제의 원인을 식별할 수 있습니다.

포트 미러링은 계층 수준에서 [edit forwarding-options port-mirroring] 구성됩니다. 라우팅된(Layer 3) 패킷을 미러링하려면 명령문이 설정되거나 으로 설정된 포트 미러링 구성을 사용할 family inetinet6 있습니다.

포트 미러링을 사용하여 이러한 패킷을 복사할 수 있습니다.

  • Packets entering or exiting a port—최대 256개 포트로 들어오거나 나가는 모든 패킷 조합으로 패킷을 미러링할 수 있습니다.

    즉, 일부 포트에 입력된 패킷의 복사본과 다른 포트에서 나가는 패킷을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.

  • Packets entering a VLAN—VLAN에 입력된 패킷을 로컬 분석기 포트 또는 분석기 VLAN으로 미러링할 수 있습니다. 분석기에 대한 ingress 입력으로 VLAN 범위 및 PVLAN을 포함하여 최대 256개 VLAN을 구성할 수 있습니다.

  • Policy-based sample packets—포트 또는 VLAN에 입력하는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 미러링할 패킷을 선택하고 포트 미러링 인스턴스 또는 분석기 VLAN으로 샘플을 전송하는 정책을 설정하도록 방화벽 필터를 구성합니다.

스위치에서 포트 미러링을 구성하여 인터페이스, 라우팅 인스턴스 또는 VLAN과 같은 출력 대상에 유니캐스트 트래픽의 복사본을 전송할 수 있습니다. 그런 다음 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다. 프로토콜 분석기 애플리케이션은 분석기 출력 인터페이스에 연결된 컴퓨터 또는 원격 모니터링 스테이션에서 실행할 수 있습니다. 입력 트래픽의 경우 방화벽 필터 용어를 구성하여 방화벽 필터가 적용되는 인터페이스의 모든 패킷에 포트 미러링을 적용해야 하는지 여부를 지정할 수 있습니다. 조치 또는 입력 또는 출력 논리적 인터페이스(통합 이더넷 논리적 인터페이스 포함)로 구성된 방화벽 필터를 VLAN으로 전달 또는 플러드된 트래픽 또는 VPLS 라우팅 인스턴스로 전달 또는 플러드된 트래픽에 적용할 수 port-mirrorport-mirror-instance name 있습니다. EX2300, EX3400 및 EX4300 스위치는 레이어 2 환경에서 VPLS(또는) 트래픽 및 VPN 트래픽의 포트 미러링을 family ethernet-switchingfamily vplsfamily ccc 제공합니다.

방화벽 필터 용어 내에서 다음과 같은 방식으로 명령문에 있는 포트 미러링 속성을 then 지정할 수 있습니다.

  • 포트에 실제로 적용된 포트 미러링 속성을 암시적으로 참조합니다.

  • 명시적으로 포트 미러링의 특정 명명 인스턴스를 참조합니다.

스위치, EX2300, EX3400 및 분석기를 위한 EX4300 지침

포트 미러링을 구성할 때 미러링을 통해 최적의 이점을 얻을 수 있도록 특정 지침을 따르는 것이 좋습니다. 또한, 모든 인터페이스에서 미러링을 지원하고 전반적인 성능에 영향을 미칠 수 있는 키워드 옵션을 사용할 때 미러링을 비활성화하고, 미러링을 위해 패킷을 미러링해야 하는 특정 인터페이스(즉, 분석기를 입력할 때 특정 인터페이스를 선택)를 선택하는 것이 all 좋습니다. 필요한 패킷만 미러링하면 성능에 미치는 영향을 줄일 수 있습니다.

로컬 미러링을 사용하면 여러 포트의 트래픽이 분석기 출력 인터페이스에 복제됩니다. 분석기를 위한 출력 인터페이스가 용량에 도달하면 패킷은 삭제됩니다. 따라서 분석기를 구성하는 동안 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 여부를 고려해야 합니다.

계층에서 분석기를 구성할 수 [edit forwarding-options analyzer] 있습니다.

주:

진정한 egress 미러링은 정확한 복사본 수와 egress 스위칭 포트에서 나갔던 정확한 패킷 수정을 반영하는 것으로 정의됩니다. EX2300 및 EX3400 스위치의 프로세서는 ingress 파이프라인에서 egress 미러링을 구현하기 때문에 이들 스위치는 정확한 Egress 패킷 수정을 제공하지 못하기 때문에 egress 미러링된 트래픽은 원래 트래픽의 태그와 다른 VLAN 태그를 전달할 수 있습니다.

표 1 스위치, 스위치, 스위치 및 스위치에 대한 미러링을 위한 EX2300, EX3400 EX4300 요약합니다.

표 1: 스위치, EX2300, EX3400 및 분석기를 위한 EX4300 지침

지침

가치 또는 지원 정보

코멘트

분석기에 대한 ingress 입력으로 사용할 수 있는 VLA 수입니다.

256

 

동시 활성화할 수 있는 포트 미러링 세션 및 분석기 수

4

총 4개의 세션을 구성할 수 있으며, 정해진 시점에 하나만 활성화할 수 있습니다.

  • 최대 4개의 포트 미러링 세션(글로벌 포트 미러링 세션 포함).

  • 최대 4개의 분석기 세션.

  • 포트 미러링 및 분석기 세션을 결합하고 이 조합의 총합은 4개가 되어야 합니다.

스위치에서 지정된 포트 미러링 인스턴스 또는 분석기 수 이상을 구성할 수 있지만 세션에 대해 지정된 수만 활성화할 수 있습니다.

트래픽을 미러링할 수 없는 포트 유형

  • Virtual Chassis 포트(VCP)

  • 관리 이더넷 포트(me0 또는 vme0)

  • IRB(Integrated Routing and Bridging) 인터페이스, RIS(Routed VLAN Interfaces)라고도 합니다.

  • VLAN 태그 레이어 3 인터페이스

 

원격 트래픽을 위한 포트 미러링 구성에 포함할 수 있는 프로토콜 패밀리

any

 

방화벽 필터 기반 구성의 포트에서 미러링을 구성할 수 있는 트래픽 방향

수신 및 송신

 

CoS(Class-of-Service) DSCP 또는 802.1p 비트를 재구성하는 인터페이스를 통과하는 미러링된 패킷

적용

 

물리적 레이어 오류가 있는 패킷.

적용

이러한 오류가 있는 패킷은 필터링되어 분석기로 전송되지 않습니다.

포트 미러링은 유선 속도 트래픽을 지원하지 않습니다.

적용

유선 속도 트래픽에 대한 포트 미러링은 best-effort 기반으로 수행됩니다.

VLAN을 전송하는 패킷 미러링

지원되지 않음

 

LAG 인터페이스의 포트 미러링 또는 분석기 출력.

지원

 

포트 미러링 또는 분석기 출력 LAG 인터페이스의 최대 자식 멤버 수입니다.

8

 

원격 포트 미러링 또는 분석기 VLAN의 최대 인터페이스 개수.

1

 

호스트 생성 제어 패킷의 전송 미러링

지원되지 않습니다.

 

분석기 사방에서 레이어 3 논리적 인터페이스 input 구성.

지원되지 않음

이 기능은 포트 미러링을 구성하여 달성할 수 있습니다.

동일한 VLAN 또는 VLAN 자체의 구성원을 포함하는 분석기 입력 및 출력 스탠자를 피해야 합니다.

적용

 

포트 미러링(EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 및 EX8200 시리즈 스위치

주니퍼 네트웍스 Junos 운영체제(Junos OS)는 EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 또는 EX8200 Series 스위치에서 실행되는 ELS(Enhanced Layer 2 Software) 구성을 지원하지 않습니다. 따라서 Junos OS 다른 패키지의 계층 수준에서 발견되는 명령문이나 방화벽 필터 조건에서 Junos OS 동작은 port-mirroringedit forwarding-optionsport-mirror 포함하지 않습니다.

포트 미러링을 사용하여 패킷 레벨에서 EX 시리즈 주니퍼 네트웍스 트래픽을 이더넷 스위치 수 있습니다. 포트 미러링을 스위치 트래픽 모니터링의 일부로 사용할 수 있습니다. 예를 들어 네트워크 사용 및 파일 공유에 대한 정책을 적용하고 특정 스테이션 또는 애플리케이션에 따라 비정상적 또는 과도하게 많은 대역폭 사용량을 찾아 네트워크에서 문제의 소스를 식별할 수 있습니다.

포트 미러링을 사용하여 이러한 패킷을 로컬 인터페이스 또는 VLAN에 복사할 수 있습니다.

  • 포트로 들어오거나 나가는 패킷

  • 일부 포트에 입력된 패킷의 복사본과 다른 포트에서 나가는 패킷을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.

  • 스위치, EX3200, EX3300, EX4200, EX4500, EX4550 또는 스위치에서 V EX2200 LAN으로 들어가는 EX6200 패킷

  • 스위치에서 VLAN에서 나가는 EX8200 패킷

개요

허브와 달리 스위치는 대상 장치의 모든 포트로 패킷을 브로드캐스트하지 못하기 때문에 포트 미러링은 스위치의 트래픽 분석에 사용됩니다. 스위치는 대상 장치가 연결된 포트로만 패킷을 전송합니다.

스위치에서 포트 미러링을 구성하여 유니캐스트 트래픽의 복사본을 로컬 분석기 포트 또는 분석기 VLAN으로 전송합니다. 그런 다음 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다. 프로토콜 분석기는 분석기 출력 인터페이스에 연결된 컴퓨터 또는 원격 모니터링 스테이션에서 실행할 수 있습니다.

포트 미러링을 사용하여 다음 중 원하는 것 을 미러링할 수 있습니다.

  • Packets entering or exiting a port—최대 256개 포트로 들어오거나 나가는 모든 패킷 조합으로 패킷을 미러링할 수 있습니다.

    즉, 일부 포트에 입력된 패킷의 복사본과 다른 포트에서 나가는 패킷을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—분석기 VLAN에서 VLAN에 입력된 패킷을 미러링할 수 있습니다. EX3200, EX4200, EX4500 및 EX4550 스위치에서 분석기에 대한 ingress 입력으로 VLAN 범위 및 PVLAN을 포함하여 여러 VLAN(최대 256 VLAN)을 구성할 수 있습니다.

  • Packets exiting a VLAN on an EX8200 switch—VLAN에서 나가는 패킷을 로컬 분석기 포트 또는 EX8200 VLAN으로 미러링할 수 있습니다. 분석기에 대한 egress 입력으로 VLAN 범위 및 PVLAN을 포함하여 여러 VLAN(최대 256 VLAN)을 구성할 수 있습니다.

  • Statistical samples—패킷의 통계 샘플을 미러링할 수 있습니다.

    • 포트 진입 또는 나가기

    • EX3200, EX3200, EX3300, EX4200, EX4500, EX4550 스위치에 V EX2200 LAN EX6200 입력

    • 스위치에서 VLAN을 나가는 EX8200 스위치

    비율을 설정하여 패킷의 샘플 번호를 지정합니다. 샘플을 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.

  • Policy-based sample—포트 또는 VLAN에 입력하는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 방화벽 필터를 구성하여 미러링할 패킷을 선택하기 위한 정책을 수립합니다. 샘플을 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.

EX3200, EX2200, EX3300, EX4200, EX4500, EX4550, EX6200 및 EX8200 가이드라인

포트 미러링을 구성할 때 포트 미러링 기능의 최적 이점을 얻을 수 있도록 특정 지침을 따르는 것이 좋습니다. 또한, 이를 사용하지 않을 경우 포트 미러링을 비활성화하고 모든 인터페이스에서 포트 미러링을 지원하고 전반적인 성능에 영향을 미칠 수 있는 키워드를 사용하는 것이 아니라, 패킷을 미러링해야 하는 특정 인터페이스(즉, 분석기를 입력할 때 특정 인터페이스를 선택)를 선택하는 것이 all 좋습니다. 또한 통계적 샘플링을 사용하고 통계 샘플을 선택할 비율을 설정하거나 방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한할 수도 있습니다. 필요한 패킷만 미러링하면 성능에 미치는 영향을 줄일 수 있습니다.

로컬 포트 미러링을 사용하면 여러 포트의 트래픽이 분석기 출력 인터페이스에 복제됩니다. 분석기를 위한 출력 인터페이스가 용량에 도달하면 패킷은 삭제됩니다. 따라서 분석기를 구성하는 동안 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 여부를 고려해야 합니다.

주: 설명에 있는 "기타 모든 스위치" 또는 "모든 스위치"는 포트 미러링을 지원하는 모든 스위치 플랫폼에 적용됩니다. 플랫폼 지원에 대한 자세한 내용은 Feature Explorer 를 참조하십시오.
표 2: 구성 지침

지침

설명

코멘트

분석기에 대한 ingress 입력으로 사용할 수 있는 VLA 수

  • 1—EX2200 스위치

  • 256—EX3200, EX4200, EX4500, EX4550, EX6200 스위치

  • 적용되지 않습니다—EX8200 스위치

 

동시에 사용할 수 있는 분석기 수(독립형 스위치 및 스위치에 Virtual Chassis)

  • 1—EX2200, EX3200, EX4200, EX3300 스위치 및 EX6200 스위치

  • 포트 기반 스위치 7개 또는 글로벌 1개—EX4500 및 EX4550 스위치

  • 총 7개( VLAN, 방화벽 필터 또는 LAG 기반, 나머지 6개는 방화벽 필터를 기반으로 한 스위치를 EX8200 있습니다.

    주:

    방화벽 필터를 사용하여 구성된 분석기는 Egressing 포트에 있는 패킷 미러링을 지원하지 않습니다.

  • 스위치에서 지정된 수의 분석기를 이상 구성할 수 있지만 세션에 대해 지정된 수만 활성화할 수 있습니다. 분석기를 disable ethernet-switching-options analyzer name 비활성화하는 데 사용

  • 네트워크 및 스위치에서 허용되는 방화벽 필터 기반 분석기 수를 제외하고 이 표의 다음 행 EX4500 EX4550 참조합니다.

  • 스위치에서 EX4550 Virtual Chassis 및 출력 정의의 포트가 하나의 스위치에 있는 경우 하나의 분석기만 구성할 Virtual Chassis. 여러 분석기를 구성하려면 단일 스위치의 동일한 스위치에서 전체 분석기 세션을 Virtual Chassis.

스위치 및 스위치에서 구성할 수 있는 방화벽 필터 기반 EX4500 EX4550 수 있습니다.

  • 1—EX4500 스위치 및 EX4550 스위치

여러 분석기를 구성하는 경우 방화벽 필터에 분석기를 연결할 수 없습니다.

트래픽을 미러링할 수 없는 포트 유형

  • Virtual Chassis 포트(VCP)

  • 관리 이더넷 포트(me0 또는 vme0)

  • 라우팅 VLAN 인터페이스(RIS)

  • VLAN 태그 레이어 3 인터페이스

 

포트 미러링을 통해 EX8200 10기가비트 이더넷 포트에서 나가는 패킷을 미러링하도록 구성되면 미러링된 패킷이 10기가비트 이더넷 포트 트래픽의 60%를 초과하는 경우 네트워크 및 미러링된 트래픽에서 패킷이 드롭됩니다.

  • EX8200 스위치

 

비율을 지정할 수 있는 트래픽 방향

  • Ingress 전용—EX8200 스위치

  • Ingress and egress—기타 모든 스위치

 

방화벽 필터 기반 원격 분석기를 포함할 수 있는 프로토콜 패밀리

  • 모든 제외 및 inetinet6 —EX8200 스위치

  • 모든—다른 모든 스위치

로컬 inetinet6 분석기에서 스위치를 EX8200 사용할 수 있습니다.

방화벽 필터 기반 구성의 포트에서 미러링을 구성할 수 있는 트래픽 방향

  • Ingress 전용—모든 스위치

 

태그가 지정된 인터페이스의 미러링된 패킷에 올바르지 않은 VLAN ID 또는 Ethertype가 포함될 수 있습니다.

  • VLAN ID 및 Ethertype—EX2200 스위치

  • VLAN ID 전용—EX3200 및 EX4200 스위치

  • Ethertype 전용—EX4500 스위치 및 EX4550 스위치

  • 적용되지 않습니다—EX8200 스위치

 

인터페이스를 나가는 미러링된 패킷은 CoS(Class-of-Service) DSCP 또는 802.1p 비트를 재구성하지 않습니다.

  • 모든 스위치

 

분석기는 라우팅된 트래픽의 미러링된 패킷에 부정확한 802.1Q () 헤더를 추가하거나 dot1q RVI(Routed VLAN)에 속하는 egress VLAN이 해당 분석기를 위한 입력으로 구성될 때 라우팅된 트래픽의 패킷을 미러링하지 않습니다.

  • EX8200 스위치

  • 적용되지 않습니다-다른 모든 스위치

해결 방법을 통해 VLAN의 각 포트(구성원 인터페이스)를 egress 입력으로 사용하는 분석기를 구성합니다.

물리적 레이어 오류가 있는 패킷은 로컬 또는 원격 분석기로 전송되지 않습니다.

  • 모든 스위치

이러한 오류가 있는 패킷은 필터링되어 분석기로 전송되지 않습니다.

VLAN으로 구성된 출력이 구성된 Layer 3 인터페이스의 포트 미러링 구성은 스위치에서 사용할 EX8200 없습니다.

  • EX8200 스위치

  • 적용되지 않습니다-다른 모든 스위치

 

포트 미러링은 유선 속도 트래픽을 지원하지 않습니다.

  • 모든 스위치

유선 속도 트래픽에 대한 포트 미러링은 best-effort 기반으로 수행됩니다.

네트워크 EX8200 Virtual Chassis 트래픽을 미러링하려면 Virtual Chassis 출력 포트는 LAG가 되어야 합니다.

  • EX8200 Virtual Chassis

  • 적용되지 않습니다-다른 모든 스위치

한 EX8200 Virtual Chassis:

  • 네이티브 분석기를 위한 모니터링 포트로 LAG를 구성할 수 있습니다.

  • 방화벽 필터를 기반으로 하는 분석기를 위한 모니터 포트로 LAG를 구성할 수 없습니다.

  • 분석기 구성에 모니터 포트로 LAG가 포함되어 있는 경우 분석기의 입력 정의에서 VLAN을 구성할 수 없습니다.

독립형 EX8200 스위치에서 출력 정의에서 LAG를 구성할 수 있습니다.

  • EX8200 스위치

  • 적용되지 않습니다-다른 모든 스위치

주니 EX8200 스위치의 경우:

  • 네이티브 및 방화벽 기반 분석기 모두에서 LAG를 모니터 포트로 구성할 수 있습니다.

  • 구성에 모니터 포트로 LAG가 포함되어 있는 경우 분석기 입력 정의에서 VLAN을 구성할 수 없습니다.

SRX 디바이스의 포트 미러링

포트 미러링은 포트에 들어오거나 나가는 패킷을 복사하고 모니터링을 위해 로컬 인터페이스로 복사본을 전송합니다. 포트 미러링은 규제 준수 모니터링, 정책 적용, 침입 감지, 모니터링 및 예측, 이벤트 상관 관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송하는 데 사용됩니다. </para><para>Port 미러링은 모든 패킷의 복사본을 전송하거나 포트에서 볼 수 있는 샘플링된 패킷만 네트워크 모니터링 연결로 전송하는 데 사용됩니다. 수신 포트(ingress 포트 미러링) 또는 전송 포트(egress 포트 미러링)에서 패킷을 미러링할 수 있습니다.

포트 미러링은 다음과 같은 I/O 카드가 있는 SRX 장비에서만 지원됩니다.

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

SRX 장치에서는 포트를 통과하는 모든 패킷을 복사하여 지정된 mirrored 포트로 mirror-to 전송합니다. 이들 포트는 I/O 카드에 있는 동일한 Broadcom 칩셋상에 있어야 합니다.

SRX 디바이스에서 포트 미러링은 물리적 인터페이스에서만 작동합니다.

Layer 2 포트 미러링 이해

인터넷 프로세서 II ASIC을 포함하는 라우팅 플랫폼 및 스위치에서 라우팅 플랫폼에서 수신 패킷의 복사본을 전송하거나 분석을 위해 외부 호스트 주소 또는 패킷 분석기로 전송할 수 있습니다. 이를 포트 미러링(port mirroring)으로 합니다.

Junos OS Release 9.3 이상에서, 레이어 2 주니퍼 네트웍스 MX 시리즈 5G 유니버설 라우팅 플랫폼 레이어 2 브리지잉 트래픽 및 VPLS(Virtual Private LAN Service) 트래픽에 대한 포트 미러링을 지원한다.

Junos OS Release 9.4 이상에서, Layer 2 환경의 MX 시리즈 라우터는 동일한 유형의 논리적 인터페이스를 투명하게 연결하는 CCC(Circuit Cross-Connect)를 통해 Layer 2 VPN 트래픽에 대한 포트 미러링을 지원하며,

주니 Junos OS 릴리스 12.3R2 EX 주니퍼 네트웍스 레이어 2 브리그 트래픽을 위한 포트 미러링을 제공합니다.

레이어 포트 미러링을 통해 특정 포트의 수신 및 전송 패킷이 모니터링되는 방식과 선택한 패킷의 복사본이 다른 대상으로 전달되는 방법을 지정할 수 있습니다. 여기서 패킷을 분석할 수 있습니다.

MX 시리즈 라우터와 EX 시리즈 스위치는 개념과 유사하지만, 특히 다른 라우팅 플랫폼 및 스위치와는 다른 CoS(Class-of-Service) 아키텍처를 사용하여 플로우 모니터링 기능을 수행하여 Layer 2 포트 미러링을 지원합니다.

M120 Multiservice Edge Router 및 M320 Multiservice Edge Router와 마찬가지로, MX 시리즈 라우터와 EX 시리즈 스위치는 IPv4, IPv6 및 VPLS 패킷의 미러링을 동시에 지원합니다.

레이어 3 환경에서 MX 시리즈 라우터와 EX 시리즈 스위치는 IPv4 () 및 IPv6 () 트래픽의 미러링을 family inetfamily inet6 지원합니다. 레이어 3 포트 미러링에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 정책 사용자 가이드 를 참조하십시오.

레이어 2 포트 미러링 속성

포트 미러링은 다음과 같은 속성 유형을 지정합니다.

패킷 선택

Layer 2 포트 미러링의 패킷 선택 속성은 샘플링된 패킷을 미러링하는 방법을 지정합니다.

  • 각 샘플에 있는 패킷 수입니다.

  • 각 샘플에서 미러링할 패킷 수입니다.

  • 미러링된 패킷의 길이를 Truncated합니다.

패킷 주소 패밀리

패킷 주소 패밀리 유형은 미러링할 트래픽 유형을 지정합니다. Layer 2 환경에서 MX 시리즈 라우터와 EX 시리즈 스위치는 다음과 같은 패킷 주소 패밀리를 위한 포트 미러링을 제공합니다.

  • 패밀리 유형 —물리적 인터페이스가 캡슐화 유형으로 구성되면 VPLS 트래픽 미러링을 ethernet-switching 위해 ethernet-bridge

  • 패밀리 유형 ccc —레이어 2 VPN 트래픽 미러링용.

  • 패밀리 유형 vpls —VPLS 트래픽 미러링용.

주:

일반적인 애플리케이션에서는 미러링된 패킷을 다른 라우터나 스위치가 아닌 분석기로 직접 전송합니다. 네트워크를 통해 미러링된 패킷을 전송해야 하는 경우 터널을 사용해야 합니다. Layer 2 VPN 구현의 경우 Layer 2 VPN 라우팅 인스턴스 유형을 사용하여 패킷을 원격 대상에 l2vpn 터널링할 수 있습니다.

레이어 2 VPN의 라우팅 인스턴스 구성에 대한 자세한 내용은 라우팅 디바이스를 위한 Junos OS VPN 라이브러리를 참조하십시오. 자세한 Layer 2 VPN 예제 구성은 를 Junos OS. 터널 인터페이스에 대한 자세한 내용은 라우팅 디바이스를 위한 Junos OS 네트워크 인터페이스 라이브러리 를 참조하십시오.

미러 대상 속성

주어진 패킷 주소 패밀리의 경우, Layer 2 포트 미러링 인스턴스의 미러링 대상 속성은 선택한 패킷이 특정 물리적 인터페이스에 전송되는 방법을 지정합니다.

  • 선택한 패킷을 전송하는 물리적 인터페이스

  • 미러링 대상 인터페이스에 대해 필터 검사를 비활성화할 것인지 여부 기본적으로 모든 인터페이스에서 필터 검사가 활성화됩니다.

    주:

    Layer 2 포트 미러링 대상인 인터페이스에 필터를 적용하는 경우 해당 미러링 대상 인터페이스를 위한 필터 검사를 비활성화하지 않은 경우 커밋 장애가 발생합니다.

미러-원 옵션

ingress 및 egress 인터페이스에서 포트 미러링이 활성화된 경우 MX 시리즈 라우터와 EX 시리즈 스위치가 복제 패킷을 동일한 목적지로 전송하는 것을 방지할 수 있습니다(이로 인해 미러링된 트래픽의 분석이 복잡해집니다).

주:

미러-한 번 포트 미러링 옵션은 글로벌 설정입니다. 이 옵션은 패킷 선택 속성 및 패킷 패밀리 유형별 미러 대상 속성과 독립적입니다.

Layer 2 포트 미러링 유형 애플리케이션

MX Series 또는 EX Series 루트의 서로 다른 수신 또는 발신 지점에서 다양한 Layer 2 포트 미러링 속성을 VPLS 패킷에 적용할 수 있습니다.

표 3 MX 시리즈 라우터와 EX 시리즈 스위치에서 구성할 수 있는 레이어 2 포트 미러링의 세 가지 유형을 설명합니다. 글로벌 인스턴스, 명명 인스턴스 및 방화벽 필터를 사용합니다.

표 3: Layer 2 포트 미러링 유형 애플리케이션

레이어 2 포트 미러링 정의 유형

애플리케이션 지점

미러링 범위

설명

구성 세부 사항

레이어 2 포트 미러링의 글로벌 인스턴스

MX 시리즈 라우터(또는 스위치) 섀시의 모든 포트.

MX 시리즈 라우터(또는 스위치) 섀시의 모든 포트에서 수신된 VPLS 패킷

구성된 경우, 글로벌 포트 미러링 속성은 라우터(또는 스위치) 섀시의 모든 포트에서 수신되는 모든 VPLS 패킷에 암시적으로 적용됩니다.

레이어 2 포트 미러링의 글로벌 인스턴스 구성 보기

Layer 2 포트 미러링의 지명 인스턴스

FPC 수준에서 그룹화된 포트

FPC 수준에서 그룹화된 포트에 Layer 2 포트 미러링 바인딩(Binding Layer 2 Port Mirroring)을 참조합니다.

특정 패킷 또는 FPC 및 해당 패킷 전달 엔진과 DPS(Dense Port Concentrator) 포트에서 수신된 VPLS 패킷

글로벌 포트 미러링 인스턴스에 의해 구성된 모든 포트 미러링 속성을 까다로워 합니다.

Layer 2 포트 미러링의 명명된 인스턴스 정의를 참조합니다.

MX 시리즈 라우터와 EX 시리즈 스위치에서 지원되는 포트 미러링 대상의 수는 라우터 또는 스위치 섀시에 설치된 D PC 또는FPC에 포함된 패킷 전달 엔진의 수로 제한됩니다.

PIC 수준에서 그룹화된 포트

PIC 수준에서 그룹화된 포트에 Layer 2 포트 미러링 바인딩(Binding Layer 2 Port Mirroring)을 참조합니다.

특정 패킷과 연관된 포트에서 수신된 VPLS 패킷 전달 엔진.

FPC 수준 또는 글로벌 포트 미러링 인스턴스에서 구성된 포트 미러링 속성의 적용을 까다로워 합니다.

레이어 2 포트 미러링 방화벽 필터

논리적 인터페이스(통합 이더넷 인터페이스 포함)

Layer 2 포트 미러링을 논리적 인터페이스에 적용하는 방법을 참조합니다.

논리적 인터페이스에서 수신 또는 전송되는 VPLS 패킷입니다.

방화벽 필터 구성에서미러링을 위해 선택한 패킷에 적용할 조치 및 조치 수정기 용어를 포함합니다.

  • 권장되는 accept 조치입니다.

  • 이 수정자는 현재 기본 물리적 인터페이스에 속하는 포트 미러링 속성을 port-mirror 암시적으로 참조합니다.

  • 수정자는 명시적으로 포트 미러링의 port-mirror-instance pm-instance-name 지명 인스턴스를 참조합니다.

  • (선택 사항) 터널 인터페이스 입력 패킷의 경우 패킷을 추가 대상에 미러링하기 위해 수정자를 next-hop-group next-hop-group-name 포함합니다. 이 수정자는 다음 홉 주소를 지정하는 다음 홉 그룹을 참조합니다(분석기로 패킷의 추가 복사본을 전송).

레이어 2 포트 미러링 방화벽 필터 정의를 참조합니다.

주:

레이어 2 포트 미러링 방화벽 필터는 논리적 시스템에 지원되지 않습니다.

여러 대상에 대한 터널 인터페이스 입력 패킷 미러링의 경우 레이어 2 포트 미러링을 위한 넥스 홉 그룹 정의 를 참조하세요.

VLAN 포우링 테이블 또는 플러드 테이블

브리지 도메인으로 전달되거나 플러드된 트래픽에 Layer 2 포트 미러링 적용을 참조합니다.

VLAN으로 전달되거나 플러드된 레이어 2 트래픽

VPLS 라우팅 인스턴스 포우링 테이블 또는 플러드 테이블

VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 Layer 2 포트 미러링 적용을 참조합니다.

VPLS 라우팅 인스턴스로 전달되거나 플러드된 레이어 2 트래픽

레이어 2 포트 미러링에 대한 제한

Layer 2 포트 미러링에는 다음과 같은 제한 사항이 적용됩니다.

  • Layer 2 전송 데이터(라우팅 플랫폼 또는 스위치가 소스에서 대상으로 전송될 때 전송되는 데이터 청크가 포함된 패킷)만 미러링할 수 있습니다. Layer 2 로컬 데이터(Layer 2 제어 패킷과 같이 라우팅 엔진 또는 전송되는 데이터의 청크가 포함된 패킷)는 미러링되지 않습니다.

  • 논리적 인터페이스의 출력에 포트 미러링 필터를 적용하면 유니캐스트 패킷만 미러링됩니다. 브로드캐스트 패킷, 멀티캐스트 패킷, 알 수 없는 대상 미디어 액세스 제어(주소)(MAC) 주소가 있는 유니캐스트 패킷 또는 대상 MAC(DMAC) 라우팅 테이블 내 MAC 엔트리가 있는 패킷을 미러링하기 위해 필터를 VLAN 또는 VPLS(Virtual Private LAN Service) 라우팅 인스턴스의 플러드 테이블에 입력합니다.

  • 미러 대상 디바이스는 전용 VLAN상에 있을 수 있으며, 브리지 활동에 참여하지 말아야 합니다. 미러 대상 디바이스는 최강의 트래픽 대상에 대한 브리지가 아니어도 됩니다. 미러링된 패킷을 소스 주소로 다시 전송하면 안 됩니다.

  • 글로벌 포트 미러링 인스턴스 또는 명명된 포트 미러링 인스턴스의 경우 포트 미러링 인스턴스 및 패킷 주소 패밀리당 하나의 미러 출력 인터페이스만 구성할 수 있습니다. 명령문에 두 개 이상의 명령문을 포함하면 이전 명령문이 interfacefamily (ethernet-switching | ccc | vpls) outputinterface 보다 까다로워지기 합니다.

  • 레이어 2 포트 미러링 방화벽 필터링은 논리적 시스템에 지원되지 않습니다.

    Layer 2 포트 미러링 방화벽 필터 정의에서 필터 (또는)는 글로벌 인스턴스에 정의된 포트 미러링 속성 또는 계층 아래에 구성된 Layer 2 포트 미러링의 명명된 인스턴스에 action-modifierport-mirrorport-mirror-instance pm-instance-name[edit forwarding-options port-mirroring] 의존합니다. 따라서 term 필터는 논리적 시스템에 대한 Layer 2 포트 미러링을 지원할 수 없습니다.

  • 명령문을 포함해 Layer 2 포트 미러링 속성을 암시적으로 참조하는 Layer 2 포트 미러링 방화벽 필터의 경우, Layer 2 포트 미러링의 여러 명칭 인스턴스가 기본 물리적 인터페이스에 연계된 경우, 스탠자(또는 유일한 바인딩)만 논리적 인터페이스에서 port-mirror 사용됩니다. 역호화(backward compatibility)를 위해 수행됩니다.

  • Layer 2 포트 미러링 방화벽 필터는 미러링된 트래픽에 대한 로드 밸런싱을 위한 넥스트 홉 서브그루프 사용을 지원하지 않습니다.