Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

포트 미러링 구성

포트 미러링 은 분석을 위해 IPv4 또는 IPv6 패킷의 복사본을 외부 호스트 주소 또는 패킷 분석기로 전송하는 라우터 기능입니다.

포트 미러링을 지원하는 지원되는 플랫폼 및 Junos 릴리스의 최신 목록은 기능 탐색기를 참조하십시오.

이 주제 포트 미러링 구성은 MX 시리즈 및 PTX 시리즈 라우터와 EX9200 스위치의 포트 미러링에 대해 언급합니다. 구체적인 구성 차이에 대해서는 이러한 개별 플랫폼의 포트 미러링과 관련된 예를 참조하십시오(예: PTX 라우터에서 원격 포트 미러링 구성 예: M, MX 및 T 시리즈 라우터에서 다음 홉 그룹으로 다중 포트 미러링 구성하기).

포트 미러링은 트래픽 샘플링과는 다릅니다. 트래픽 샘플링에서, 패킷 헤더를 기반으로 하는 샘플링 키가 라우팅 엔진으로 전송됩니다. 여기에서 키를 파일에 배치하거나 키를 기반으로 하는 cflowd 패킷을 cflowd 서버로 보낼 수 있습니다. 포트 미러링에서는 전체 패킷이 복사되어 다음 홉 인터페이스를 통해 전송됩니다.

이 문서에서는 샘플링된 패킷이 아닌 미러링된 패킷이라는 용어를 사용합니다. 포트 미러링은 샘플링의 한 유형입니다.

포트 미러링을 위한 한 애플리케이션은 중복 패킷을 가상 터널로 보냅니다. 그런 다음 다음 홉 그룹을 구성하여 이 중복 패킷의 복사본을 여러 인터페이스로 전달할 수 있습니다. 다음 홉 그룹에 대한 자세한 내용은 포트 미러링에 사용되는 패킷을 포워딩하기 위해 여러 인터페이스를 사용하도록 다음 홉 그룹 구성을 참조하십시오.

모든 MX 시리즈 5G 유니버설 라우팅 플랫폼은 IPv4 또는 IPv6에 대한 포트 미러링을 지원합니다.

VPLS 트래픽에 대한 포트 미러링은 MX 시리즈 라우터에서 지원됩니다.

포트 미러링은 MX 시리즈 라우터의 레이어 2 트래픽에 지원됩니다. 레이어 2 트래픽에 대한 포트 미러링을 구성하는 방법에 대한 자세한 내용은 네트워크 관리 및 모니터링 가이드를 참조하십시오.

MX 시리즈 라우터의 MPC에서 GRE 및 MPLS 헤더 정보는 IP-GRE 터널을 통해 전송되는 MPLS 패킷에 해당하는 포트 미러링 트래픽에 포함되지 않습니다.

1세대 라인 카드(LC1101, LC1102, LC1104 및 LC1105)가 있는 PTX1K, PTX10002, PTX5K, PTX3K 및 PTX10K 플랫폼은 송신 포트 미러링을 지원하지 않습니다.

포트 미러링 구성 지침

포트 미러링을 구성할 때 다음과 같은 제한 사항이 적용됩니다.

  • 전송 데이터만 지원됩니다.

  • 포트 미러링 출력 인터페이스 최대 전송 단위(MTU) 값은 미러링된 패킷을 수용할 수 있을 만큼 커야 합니다.

  • 독립형 트렁크 포트는 MX 시리즈 라우터 및 EX9200 스위치의 포트 미러 출력 인터페이스로 지원되지 않습니다. 트렁크 포트를 미러 출력 포트로 사용하려면 브리지 도메인(MX) 또는 VLAN(EX)을 포트 미러 출력으로 사용하고 해당 브리지 도메인 또는 VLAN에 출력 포트로 연결해야 합니다.

  • MX 시리즈 라우터에서 IPv4 및 IPv6에 대한 포트 미러링을 동시에 구성할 수 있습니다.

  • 수신 및 송신 방향의 포트 미러링은 링크 서비스 IQ(lsq-) 인터페이스에 지원되지 않습니다.

  • 멀티캐스트 패킷의 수신 필터링은 MX 시리즈 라우터의 모든 DPC(Dense Port Concentrator)에서 지원됩니다. 멀티캐스트 패킷의 송신 필터링은 MX 시리즈 라우터의 MPC 인터페이스에 대해 지원됩니다. 목적지 주소를 기반으로 한 멀티캐스트 패킷 필터링은 MX 시리즈 라우터의 I-칩 ASIC 기반 DPC의 인터페이스에 대해 지원되지 않습니다.

    레이어 3 포트 미러링(family inetfamily inet6)의 경우, 미러링되는 트래픽이 멀티캐스트인 경우(즉, 패킷의 대상 IP 주소가 멀티캐스트 주소인 경우), 미러링된 복사본의 대상 MAC 주소는 구성에 [edit forwarding-options port-mirroring family (inet | inet6) output] 지정된 유니캐스트 MAC 주소가 아닌 이 멀티캐스트 대상 IP 주소에 해당합니다.

  • 기본적으로 방화벽 필터는 포트 미러링 대상 인터페이스에 적용할 수 없습니다. 포트 미러링 대상 인터페이스가 방화벽 필터를 지원하도록 활성화하려면 문을 사용하여 no-filter-check 인터페이스에 대한 필터 검사를 비활성화합니다. 다음 계층 수준에서 문을 포함 no-filter-check 할 수 있습니다.

    • [edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output]

    • [edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]

  • 인바운드 인터페이스에서 작업 및 port-mirror 작업 수정자를 모두 accept 포함하는 방화벽 필터를 포함해야 합니다.

  • 포트 미러링을 위해 구성하는 인터페이스는 어떤 종류의 라우팅 활동에도 참여해서는 안 됩니다.

  • 지정하는 대상 주소에는 최종 트래픽 대상에 대한 경로가 없어야 합니다. 예를 들어, 미러링된 IPv4 패킷의 대상 주소가 이고 192.68.9.10 포트 미러링된 트래픽이 분석을 위해 전송되는 192.68.20.15 경우, 후자의 주소와 연결된 디바이스는 에 대한 경로를 알지 못해야 합니다. 192.68.9.10 또한 미러링된 패킷을 소스 주소로 다시 전송해서는 안 됩니다.

  • MX 시리즈 라우터는 라우터당 하나 이상의 포트 미러링 인터페이스를 지원합니다.

  • MX 시리즈 라우터에서 여러 포트 미러링 인스턴스를 구성할 수 있습니다.

  • 동일한 구성에서 호스트(cflowd) 샘플링 및 포트 미러링을 모두 지정할 수 있습니다. 라우팅 엔진 샘플링 및 포트 미러링 작업을 동시에 수행할 수 있습니다. 그러나 PIC 샘플링 및 포트 미러링 작업을 동시에 수행할 수는 없습니다.

  • 일반적인 애플리케이션에서는 미러링된 패킷을 분석을 위해 다른 라우터가 아닌 분석기 또는 워크스테이션으로 보냅니다. 네트워크를 통해 이 트래픽을 보내야 하는 경우 터널을 사용해야 합니다.

  • 포트 미러링을 지원하는 PTX 시리즈 라우터에서는 패킷 길이가 구성된 최대 패킷 길이를 초과하면 IPv4 패킷이 삭제됩니다.

참고:

OR 작업으로 port-mirror-instance 구성된 방화벽 필터에서 작업도 구성된 경우 l2-mirror 포트 미러링 인스턴스 패밀리는 여야 합니다any.port-mirror 작업이 없는 l2-mirror 경우, 포트 미러링 인스턴스 패밀리는 방화벽 필터 패밀리여야 합니다.

다음 예 port-mirroring instance pm1 에서는 방화벽 필터 제품군인 is 이며 inet, 작업이 존재하지 않기 때문입니다 l2-mirror .

다음 예에서는 작업도 작업 port-mirroring instance pm1 family 과 함께 존재하므로 l2-mirror 입니다.port-mirror-instance any

포트 미러링 구성

포트 미러링을 구성하려면 계층 수준에서 다음 문을 포함 port-mirroring 합니다 [edit forwarding-options] .

포트 미러링 주소 패밀리 및 인터페이스 구성

포트 미러링을 구성하려면 문을 포함합니다.port-mirroring 미러링할 트래픽의 주소 패밀리 유형을 구성하려면 문을 포함합니다.family 샘플링 속도, 샘플링 길이 및 미러링된 패킷의 최대 크기를 구성하려면 문을 포함합니다.input 중복 패킷을 보낼 인터페이스와 패킷을 보낼 다음 홉 주소를 지정하려면 문을 포함합니다.output 지정된 인터페이스에 필터가 있는지 확인하려면 문을 포함합니다.no-filter-check

and 명령문에 대한 rate 정보는 트래픽 샘플링 구성을 참조하십시오.run-length

트래픽을 한 번만 미러링하도록 MX 시리즈 라우터 구성

MX 시리즈 라우터에서는 포트 미러링을 구성하여 라우터가 트래픽을 한 번만 미러링하도록 할 수 있습니다. 수신 및 송신 인터페이스 모두에 포트 미러링을 구성하는 경우, 동일한 패킷을 두 번 미러링할 수 있습니다. 패킷을 한 번만 미러링하고 라우터가 동일한 미러링 대상으로 중복 미러링된 패킷을 전송하는 것을 방지하려면 계층 수준에서 다음 문을 포함 mirror-once 합니다.[edit forwarding-options port-mirroring]

참고:

mirror-once 문은 글로벌 포트 미러링 인스턴스에서만 지원됩니다.

포트 미러링 인스턴스 구성

인스턴스를 사용하면 동일한 PFE에서 다른 대상으로 패킷을 미러링하고 각 인스턴스에 대해 다른 샘플링 매개 변수를 사용할 수 있습니다.

MX 시리즈 라우터에서 여러 포트 미러링 인스턴스를 구성할 수 있습니다. 다중 포트 미러링 인스턴스 구성에 대한 자세한 내용은 네트워크 관리 및 모니터링 가이드를 참조하십시오.

포트 미러링 인스턴스를 구성하려면 계층 수준에서 문을 포함 instance port-mirroring-instance 합니다.[edit forwarding-options port-mirroring]

포트 미러링 인스턴스를 MX 시리즈 라우터의 FPC 또는 PIC와 연결

포트 미러링 인스턴스를 FPC 또는 PIC와 연결해야 합니다. 포트 미러링 인스턴스를 특정 FPC 또는 MX 시리즈 라우터의 특정 PIC와 연결할 수 있습니다. 포트 미러링 인스턴스를 FPC 또는 PIC에 "연결"하는 것을 인스턴스를 FPC 또는 PIC에 "바인딩"이라고도 합니다.

PIC 수준 인스턴스는 FPC 수준 인스턴스를 재정의하고 FPC 수준 인스턴스는 글로벌 인스턴스를 재정의합니다.

지원되는 인스턴스 수는 다음과 같습니다.

  • MX DPC에서 최대 2개의 인스턴스를 PIC에 바인딩(연결)할 수 있습니다. FPC당 4개의 PIC를 가질 수 있기 때문에 각 FPC는 8개의 인스턴스를 지원합니다.
  • MX MPC에서는 최대 2개의 인스턴스가 지원되며 구성 계층 아래의 [edit chassis] FPC 수준에서만 바인딩될 수 있습니다.

포트 미러링 인스턴스와 FPC의 연관성을 확인하려면 configuration-mode 명령을 show chassis fpc fpc-number 실행합니다.

포트 미러링 인스턴스를 MX 시리즈 라우터의 FPC 또는 PIC와 연결하려면 계층 수준에서 [edit chassis fpc slot-number] 문을 포함 port-mirror-instance port-mirroring-instance-name 해야 합니다(PIC에서 바인딩을 구성하려면 로 pic 대체fpc).

참고:

글로벌 포트 미러링 구성에 이 [edit chassis] 구성을 포함할 필요는 없습니다.

의 경우 slot-number포트 미러링 인스턴스와 연결하려는 FPC 또는 PIC의 슬롯 번호를 지정합니다. 의 경우port-mirroring-instance-name, 계층 수준에서 구성한 포트 미러링 인스턴스의 이름을 지정합니다.[edit forwarding-options port-mirroring]

플랫폼별 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.

플랫폼

차이

PTX 시리즈 라우터

no-filter-check 인터페이스에서 필터 검사를 비활성화하는 문은 지원되지 않습니다.