Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Analizadores y espejados de puertos

SUMMARY En esta sección se describe cómo la duplicación de puertos envía tráfico de red a las aplicaciones de analizador.

Descripción de la duplicación y los analizadores de puertos

Los analizadores y la duplicación de puertos envían tráfico de red a dispositivos que ejecutan aplicaciones de analizador. Un espejo de puerto copia el tráfico de IP de capa 3 a una interfaz. Un analizador copia paquetes puenteados (capa 2) a una interfaz. El tráfico reflejado se puede obtener de una o varias interfaces. Puede usar un dispositivo conectado a una interfaz de salida espejo que ejecuta una aplicación de analizador para realizar tareas como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, monitorear el rendimiento de la red, correlacionar eventos y otros problemas en la red.

En los enrutadores que contienen un circuito integrado específico de aplicación (ASIC) o un procesador de Internet serie T, la duplicación de puertos copia los paquetes de unidifusión que entran o salen de un puerto o ingresan en una VLAN y envían esas copias a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. El tráfico reflejado es recibido por aplicaciones que le ayudan a analizar ese tráfico.

El espejo de puerto es diferente del muestreo de tráfico. En el muestreo de tráfico, una clave de muestreo basada en el encabezado IPv4 se envía al motor de enrutamiento, donde una clave se coloca en un archivo o cflowd. Los paquetes basados en esa clave se envían a un servidor cflowd. En la duplicación de puertos, el paquete completo se copia y se envía a través de la interfaz especificada, donde se puede capturar y analizar en detalle.

Utilice la duplicación de puertos para enviar tráfico a dispositivos que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, monitorear y predecir patrones de tráfico, correlacionar eventos, etc. Cuando se desea realizar análisis de tráfico, se necesita una duplicación de puertos, ya que un conmutador normalmente envía paquetes solo al puerto al que está conectado el dispositivo de destino. Es probable que no desee enviar los paquetes originales para análisis antes de que se reenvíen debido al retraso que esto causaría, por lo que la alternativa común es configurar la duplicación de puertos para enviar copias del tráfico de unidifusión a otra interfaz y ejecutar una aplicación de analizador en un dispositivo conectado a esa interfaz. .

Para configurar la duplicación de puertos, configure una instancia de duplicación de puerto. pero no especifique una entrada para ello. En su lugar, cree un filtro de firewall que especifique el tráfico necesario y lo dirija a la instancia. Utilice la port-mirror acción en un then término del filtro para esto. El filtro de firewall debe configurarse como family inet.

Tenga en cuenta el rendimiento al configurar la duplicación de puertos. Configurar el filtro de firewall para reflejar solo los paquetes necesarios reduce la posibilidad de un impacto en el rendimiento.

Puede configurar una instrucción de analizador para definir tanto el tráfico de entrada como el de salida en la misma configuración del analizador. El tráfico que se va a analizar puede ser tráfico que entra o sale de una interfaz, o tráfico que entra en una VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia o VLAN. Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

En la plataforma EX4400-24T, cuando desactive cualquier interfaz en un puerto remoto que refleje la VLAN, deberá volver a habilitar la interfaz deshabilitada y reconfigurar la sesión del analizador para reanudar la duplicación de puertos.

Puede usar la duplicación de puertos para copiar:

  • Todos los paquetes que entran o salen de una interfaz en cualquier combinación. Se pueden enviar copias de paquetes que ingresan a algunas interfaces y paquetes que salen de otras interfaces a la misma interfaz local o VLAN. Si configura la duplicación de puertos para copiar paquetes que salen de una interfaz, el tráfico que se origina en ese conmutador o dispositivo nodo (en un sistema QFabric) no se copia cuando sale. Solo se copia el tráfico conmutado en la salida. (Vea la limitación de la duplicación de salida a continuación.)

  • Todos o todos los paquetes que entran en una VLAN. No puede usar la duplicación de puertos para copiar paquetes que salen de una VLAN.

  • Una muestra filtrada por firewall de paquetes que entran en un puerto o una VLAN.

  • Los filtros de firewall no se admiten en los puertos de salida; es decir, no puede especificar un muestreo basado en políticas de los paquetes que salen de una interfaz

  • En entornos VXLAN, no se admite la duplicación de puerto basada en filtros de firewall en interfaces de núcleo o spine.

Puede configurar tanto la toma de muestras de tráfico como la duplicación de puertos, estableciendo una velocidad de toma de muestras independientes y una longitud de ejecución para paquetes reflejados por puerto. Sin embargo, si se selecciona un paquete tanto para la toma de muestras de tráfico como para la duplicación de puertos, solo se ejecuta la duplicación de puerto, ya que tiene prioridad. En otras palabras, si configura una interfaz para que el tráfico muestree cada entrada de paquete a la interfaz y la duplicación de puerto también selecciona ese paquete que se va a copiar y enviar al puerto de destino, solo se ejecuta el proceso de duplicación de puerto. El tráfico de paquetes muestreados que no están seleccionados para la duplicación de puertos se siguen muestreando y reenviando al servidor cflowd.

Para obtener más información acerca de los términos utilizados en este tema, consulte Términos y definiciones de duplicación de puertos y analizadores.

Tipos de instancia

Para configurar la duplicación de puertos, configure una instancia de uno de los tipos siguientes:

  • Instancia del analizador: especifique la entrada y la salida de la instancia. Este tipo de instancia es útil para garantizar que todo el tráfico que transita una interfaz o que entra en una VLAN se refleje y se envíe al analizador.

  • Instancia de duplicación de puerto: se crea un filtro de firewall que identifica el tráfico deseado y lo copia en el puerto espejo. No especifica una entrada para este tipo de instancia. Este tipo de instancia es útil para controlar los tipos de tráfico reflejados. Puede dirigir el tráfico de las siguientes maneras:

    • Especifique el nombre de la instancia de duplicación de puerto en el filtro de firewall mediante la port-mirror-instance instance-name acción cuando haya varias instancias de duplicación de puerto definidas.

    • Envíe los paquetes reflejados a la interfaz de salida definida en la instancia mediante la port-mirror acción cuando solo haya una instancia de duplicación de puerto definida.

Para los conmutadores QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 y EX4650, se aplican las siguientes pautas de duplicación de puertos:

  • Se pueden configurar al mismo tiempo un máximo de cuatro instancias de duplicación de puertos o cuatro sesiones de analizador. En otras palabras, no puede configurar cuatro instancias de duplicación de puertos y cuatro sesiones de analizador juntas.
  • Si no hay instancias de duplicación de puertos (es decir, solo se configuran las sesiones del analizador), puede habilitar hasta tres sesiones de analizador para la duplicación de entrada y salida. El resto de la sesión del analizador se debe utilizar solo para la duplicación de entrada.
  • Si solo tiene configurada una instancia de duplicación de puerto, de las instancias restantes, puede configurar hasta tres analizadores para la duplicación de entrada y dos analizadores para la duplicación de salida.
  • Si tiene configuradas dos instancias de duplicación de puertos, de las instancias restantes, puede configurar hasta dos analizadores para la duplicación de entrada y un analizador para la duplicación de salida.
  • Si tiene configuradas tres instancias de duplicación de puertos, la instancia restante solo se puede configurar como analizador (para la duplicación de entrada o salida),

Duplicación de puertos y STP

El comportamiento de STP en una configuración de duplicación de puerto depende de la versión de Junos OS que esté utilizando:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 o anterior, Junos OS 13.2X52: Cuando STP está habilitado, es posible que la duplicación de puertos no se produzca correctamente, ya que STP podría bloquear los paquetes reflejados.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: El STP está deshabilitado para el tráfico reflejado. Debe asegurarse de que la topología previene los bucles de este tráfico.

Limitaciones y limitaciones

Se aplican las siguientes restricciones y limitaciones al reflejo de puertos:

Duplicar solo los paquetes necesarios para el análisis reduce la posibilidad de reducir el rendimiento general. Si replica tráfico desde varios puertos, el tráfico reflejado puede superar la capacidad de la interfaz de salida. Los paquetes de desbordamiento se pierden. Recomendamos que limite la cantidad de tráfico reflejado seleccionando interfaces específicas y evite usar la all palabra clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall para enviar tráfico específico a la instancia de duplicación de puerto.

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • En conmutadores EX9200, la duplicación de puertos no se admite en tarjetas de línea EX9200-15C.

  • Cada grupo de nodos en un sistema QFabric está sujeto a las siguientes restricciones:

    • Se pueden usar hasta cuatro de las configuraciones para la duplicación de puertos locales.

    • Hasta tres de las configuraciones se pueden usar para la duplicación de puertos remotos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto, esto cuenta como una configuración de espejo de entrada para el grupo de conmutadores o nodos al que se aplica el filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no hay límite en todo el sistema en la cantidad total de sesiones espejo.

  • Solo puede configurar un tipo de salida en una configuración de duplicación de puerto para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la duplicación en un analizador (con set forwarding-options analyzer) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la duplicación en varias interfaces lógicas configuradas en una interfaz física, solo la primera interfaz lógica se configura correctamente; las interfaces lógicas restantes devuelven errores de configuración.

  • Si refleja paquetes de salida, no configure más de 2000 VLAN en un conmutador independiente o en un sistema QFabric. Si lo hace, es posible que algunos paquetes VLAN contengan identificadores de VLAN incorrectos. Esto se aplica a cualquier paquete de VLAN, no solo a las copias duplicadas.

  • No ratio se admiten las opciones ni loss-priority .

  • Los paquetes con errores de capa física no se envían al puerto de salida ni a la VLAN.

  • Si usa la supervisión de sFlow para muestras de tráfico, no muestra las copias espejo cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o ingresan en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVI)

  • En una instancia de duplicación de puerto, no puede configurar una interfaz inet o inet6 como interfaz de salida. Los siguientes conmutadores no admiten la set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> configuración:

    Tabla 1: Conmutadores no compatibles con la familia inet/inet6 como interfaz de salida
    Conmutadores EX Conmutadores QFX

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían fuera de una interfaz de salida, no se modifican para ningún cambio que se pueda aplicar a los paquetes originales en la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para solo una configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por LA CPU (como ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La duplicación basada en VLAN no es compatible con el tráfico de STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos nodo diferentes, las copias reflejadas tendrán identificadores de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo Nodo. En este caso, las copias duplicadas tendrán los identificadores de VLAN correctos (siempre que no configure más de 2000 VLAN en el sistema QFabric).

  • La verdadera duplicación de salida se define como la duplicación del número exacto de copias y las modificaciones exactas del paquete que salieron del puerto de salida. Porque los procesadores en QFX5xxx (incluido QFX5100, Los conmutadores QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementan espejo de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas del paquete de salida, por lo que el tráfico espejado de salida puede transportar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original.

  • Si configura una instancia de duplicación de puerto para reflejar el tráfico que sale de una interfaz que realiza la encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejos en interfaces miembros de un LAG.

  • No se admite la duplicación de VLAN de salida.

Las siguientes restricciones y limitaciones se aplican a la duplicación de puertos remotos:

  • Si configura una dirección IP de salida, esa dirección no puede estar en la misma subred que cualquiera de las interfaces de administración de conmutadores.

  • Si crea instancias de enrutamiento virtual y crea una configuración de analizador que incluye una dirección IP de salida, la dirección IP de salida pertenece a la instancia de enrutamiento virtual predeterminada (tabla de enrutamiento inet.0).

  • Una VLAN de salida no puede ser una VLAN privada o un rango de VLAN.

  • Varias sesiones de analizador o instancias de espejo de puerto no pueden compartir una VLAN de salida.

  • Una interfaz VLAN de salida no puede ser miembro de ninguna otra VLAN.

  • Una interfaz VLAN de salida no puede ser una interfaz Ethernet agregada.

  • Si la VLAN de salida tiene más de una interfaz miembro, el tráfico se replica solo en el primer miembro de la VLAN, y otros miembros de la misma VLAN no llevan tráfico reflejado.

  • En el caso de la duplicación de puerto remoto en una dirección IP (encapsulación GRE), si configura más de una sesión de analizador o instancia de espejo de puerto, y se puede acceder a las direcciones IP de los analizadores o de la instancia de espejo de puerto a través de la misma interfaz, solo se configurará una sesión del analizador o una instancia de espejo de puerto.

  • La cantidad de interfaces de salida posibles en la duplicación de puertos remotos varía entre los conmutadores de la línea QFX5K:

    • QFX5110, QFX5120, QFX5210: Admite un máximo de 4 interfaces de salida

    • QFX5100 y QFX5200: admiten un máximo de 3 interfaces de salida.

  • Siempre que se quite un miembro en un puerto remoto que refleje la VLAN de esa VLAN, vuelva a configurar la sesión del analizador para esa VLAN.

Restricciones y limitaciones para conmutadores QFX5100 y QFX5200

Las siguientes consideraciones se aplican al reflejo de puerto en conmutadores QFX5100 y QFX5200:

  • Al configurar la duplicación con la salida a la dirección IP, se debe llegar a la dirección IP de destino y se debe resolver el ARP.

  • El equilibrio de carga de ECMP (ruta múltiple de costo igual) no se admite para destinos reflejados.

  • El número de interfaces de salida en la duplicación de puerto remoto (RSPAN) varía. Para QFX5110, QFX5120 y QFX5210, los conmutadores, el máximo es de cuatro interfaces de salida. Para los conmutadores QFX5100 y QFX5200, el máximo es tres.

  • Cuando se especifica un grupo de agregación de vínculos (LAG) como interfaz de salida de espejo, se duplican un máximo de ocho interfaces.

  • La entrada de duplicación puede ser un LAG, una interfaz física con cualquier unidad (como ae0.101 o xe-0/0/0.100) o una sub-interfaz. En cualquier caso, todo el tráfico en el LAG o la interfaz física se refleja.

  • No puede configurar una instancia de duplicación independiente en una interfaz miembro de un LAG.

  • Una interfaz de salida que se incluye en una instancia de duplicación tampoco se puede usar en otra instancia de creación de reflejo.

  • En una instancia de duplicación de puerto, los paquetes caídos en la canalización de salida de la ruta de reenvío nunca se replican menos al destino. Esto se debe a que la acción de duplicación se produce en la canalización de entrada, antes de la acción de caída.

  • En una instancia de duplicación de puerto, solo se puede especificar un destino de salida de espejo.

  • Los destinos de espejo de salida configurados en varias instancias de analizador o duplicación de puertos deben ser únicos.

  • En el caso de las direcciones IPv6 de ERSPAN, no se admite la duplicación de salida cuando la salida al analizador o al espejado de puerto es una dirección IPv6 remota. No se admite el espejo de salida.

  • Para la duplicación local, la interfaz de salida debe ser conmutación Ethernet de familia, con o sin VLAN (es decir, no una interfaz de capa 3).

  • Al configurar una instancia de duplicación de puerto o analizador en un entorno de proveedor de servicios, utilice el nombre de VLAN en lugar del ID de VLAN.

Duplicación de puertos en QFabric

Las siguientes restricciones y limitaciones se aplican al espejado de puertos local y remoto:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • Cada grupo de nodos en un sistema QFabric está sujeto a las siguientes restricciones:

    • Se pueden usar hasta cuatro de las configuraciones para la duplicación de puertos locales.

    • Hasta tres de las configuraciones se pueden usar para la duplicación de puertos remotos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto, es decir, utiliza el modificador de acción analyzer en un término de filtro, esto cuenta como una configuración de espejo de entrada para el conmutador o grupo de nodos al que se aplica el filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no hay límite en todo el sistema en la cantidad total de sesiones espejo.

  • Solo puede configurar un tipo de salida en una configuración de duplicación de puerto para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la duplicación en un analizador (con set forwarding-options analyzer) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la duplicación en varias interfaces lógicas configuradas en una interfaz física, solo la primera interfaz lógica se configura correctamente; las interfaces lógicas restantes devuelven errores de configuración.

  • Si refleja paquetes de salida, no configure más de 2000 VLAN en una plataforma de la serie QFX. Si lo hace, es posible que algunos paquetes VLAN contengan identificadores de VLAN incorrectos. Esto se aplica a cualquier paquete de VLAN, no solo a las copias duplicadas.

  • No ratio se admiten las opciones ni loss-priority .

  • Los paquetes con errores de capa física no se envían al puerto de salida ni a la VLAN.

  • Si usa la supervisión de sFlow para muestras de tráfico, no muestra las copias espejo cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o ingresan en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVI)

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían fuera de una interfaz de salida, no se modifican para ningún cambio que se pueda aplicar a los paquetes originales en la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para solo una configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por LA CPU (como ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La duplicación basada en VLAN no es compatible con el tráfico de STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos nodo diferentes, las copias reflejadas tendrán identificadores de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo Nodo. En este caso, las copias duplicadas tendrán los identificadores de VLAN correctos (siempre que no configure más de 2000 VLAN en el sistema QFabric).

  • La verdadera duplicación de salida se define como la duplicación del número exacto de copias y las modificaciones exactas del paquete que salieron del puerto de salida. Porque los procesadores en QFX5xxx (incluido QFX5100, Los conmutadores QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementan espejo de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas del paquete de salida, por lo que el tráfico espejado de salida puede transportar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original.

  • Si configura una instancia de duplicación de puerto para reflejar el tráfico que sale de una interfaz que realiza la encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejos en interfaces miembros de un LAG.

  • No se admite la duplicación de VLAN de salida.

Duplicación de puertos en conmutadores de la serie OCX

Las siguientes restricciones y limitaciones se aplican al reflejo de puertos en conmutadores de la serie OCX:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos. No puede haber más de dos configuraciones que reflejen el tráfico de entrada o salida.

  • Si usa la supervisión de sFlow para muestras de tráfico, no muestra las copias espejo cuando salen de la interfaz de salida.

  • Solo puede crear una sesión de duplicación de puerto.

  • No puede reflejar paquetes que salen o ingresan en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces VLAN enrutadas o interfaces IRB

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida.

  • No incluya una subinterface 802.1Q que tenga un número de unidad distinto de 0 en una configuración de duplicación de puertos. La duplicación de puertos no funciona con subinterfaces si su número de unidad no es 0. (Puede configurar las subinterfaces 802.1Q mediante la vlan-tagging instrucción.)

  • Cuando se envían copias de paquetes fuera de la interfaz de salida, no se modifican para ningún cambio que se aplica normalmente en la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para solo una configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por LA CPU (como ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La duplicación basada en VLAN no es compatible con el tráfico de STP.

Duplicación de puertos en conmutadores EX2300, EX3400 y EX4300

Es posible que se necesite una duplicación para el análisis de tráfico en un conmutador, ya que un conmutador, a diferencia de un concentrador, no transmite paquetes a todos los puertos del dispositivo de destino. El conmutador envía paquetes solo al puerto al que está conectado el dispositivo de destino.

Descripción general

Junos OS que se ejecuta en conmutadores serie EX2300, EX3400 y EX4300 admite configuraciones del Enhanced Layer 2 Software (ELS) que facilitan el análisis del tráfico en estos conmutadores a nivel de paquete.

Utilice la duplicación de puertos para copiar paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar analizadores para aplicar políticas relativas al uso de la red y el uso compartido de archivos, e identificar fuentes de problemas en su red mediante la localización de un uso anormal o pesado de ancho de banda en estaciones o aplicaciones específicas.

La duplicación de puertos se configura en el [edit forwarding-options port-mirroring] nivel de jerarquía. Para reflejar paquetes enrutados (capa 3), puede usar la configuración de duplicación de puertos en la que se establece inet la family instrucción en o inet6.

Puede usar la duplicación de puertos para copiar estos paquetes:

  • Packets entering or exiting a port— Puede reflejar los paquetes en cualquier combinación de paquetes que entren o salgan de puertos de hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o de la VLAN del analizador.

  • Packets entering a VLAN— Puede reflejar los paquetes que entran en una VLAN en un puerto de analizador local o en una VLAN de analizador. Puede configurar hasta 256 VLAN, incluyendo un intervalo de VLAN y PVLAN, como entrada de entrada a un analizador.

  • Policy-based sample packets— Puede reflejar una muestra basada en políticas de paquetes que entran en un puerto o una VLAN. Configure un filtro de firewall para establecer una política para seleccionar los paquetes que se van a reflejar y enviar el ejemplo a una instancia de duplicación de puerto o a una VLAN del analizador.

Puede configurar la duplicación de puertos en el conmutador para enviar copias del tráfico de Unicast a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN. Luego, puede analizar el tráfico reflejado mediante el uso de una aplicación de analizador de protocolos. La aplicación del analizador de protocolo puede ejecutarse en una computadora conectada a la interfaz de salida del analizador o en una estación de monitoreo remota. Para el tráfico de entrada, puede configurar un término de filtro de firewall para especificar si se debe aplicar la duplicación de puertos a todos los paquetes en la interfaz a los que se aplica el filtro de firewall. Puede aplicar un filtro de firewall configurado con la acción port-mirror o port-mirror-instance name a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas de Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Los conmutadores EX2300, EX3400 y EX4300 admiten la duplicación de puertos del tráfico VPLS (family ethernet-switching o family vpls) y el tráfico de VPN en un entorno de family ccc capa 2.

Dentro de un término de filtro de firewall, puede especificar las propiedades de duplicación de puerto en la then instrucción de las siguientes maneras:

  • Referencia implícitamente a las propiedades de duplicación de puerto en efecto en el puerto.

  • Hacer referencia explícita a una instancia determinada de duplicación de puerto.

Pautas de configuración para espejo de puertos y analizadores en conmutadores EX2300, EX3400 y EX4300

Cuando configure la duplicación de puertos, le recomendamos que siga ciertas pautas para asegurarse de que obtenga un beneficio óptimo de la duplicación. Además, recomendamos que deshabilite la duplicación cuando no la esté utilizando y que seleccione interfaces específicas para las que se deben reflejar los paquetes (es decir, seleccione interfaces específicas como entrada al analizador) en preferencia a usar la all opción de palabra clave que permite la duplicación en todas las interfaces y puede afectar el rendimiento general. Duplicar solo los paquetes necesarios reduce cualquier posible impacto en el rendimiento.

Con la duplicación local, el tráfico desde varios puertos se replica a la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza la capacidad, los paquetes se pierden. Por lo tanto, al configurar un analizador, debe considerar si el tráfico que se replica supera la capacidad de la interfaz de salida del analizador.

Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

La verdadera duplicación de salida se define como la duplicación del número exacto de copias y las modificaciones exactas del paquete que salió del puerto conmutado de salida. Dado que el procesador de los conmutadores EX2300 y EX3400 implementa la duplicación de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas del paquete de salida, por lo que el tráfico espejado de salida puede transportar etiquetas VLAN que difieren de las etiquetas del tráfico original.

Tabla 2 resume las pautas de configuración adicionales para la duplicación en conmutadores EX2300, EX3400 y EX4300.

Tabla 2: Pautas de configuración para espejo de puertos y analizadores en conmutadores EX2300, EX3400 y EX4300

Pauta

Información de valor o soporte

Comentario

Número de VLAN que puede usar como entrada de entrada a un analizador.

256

 

Número de sesiones de duplicación de puertos y analizadores que puede habilitar al mismo tiempo.

4

Puede configurar un total de cuatro sesiones y solo puede habilitar una de las siguientes en cualquier momento:

  • Un máximo de cuatro sesiones de duplicación de puertos (incluida la sesión global de duplicación de puertos).

  • Un máximo de cuatro sesiones de analizador.

  • Una combinación de sesiones de duplicación de puerto y analizador, y el total de esta combinación debe ser de cuatro.

Puede configurar más que el número especificado de instancias o analizadores de duplicación de puertos en el conmutador, pero solo puede habilitar el número especificado para una sesión.

Tipos de puertos en los que no puede reflejar el tráfico.

  • Puertos virtuales de chasis (VCP)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces de enrutamiento y puentes integrados (IRB); también conocidas como interfaces VLAN enrutadas (RVI).

  • Interfaces de capa 3 etiquetadas por VLAN

 

Familias de protocolos que puede incluir en una configuración de duplicación de puerto para tráfico remoto.

any

 

Direcciones de tráfico que puede configurar para la duplicación en puertos en configuraciones basadas en filtros de firewall.

Entrada y salida

 

Paquetes reflejados que salen de una interfaz que reflejan DSCP de clase de servicio (CoS) reescrita o bits de 802.1p.

Aplicable

 

Paquetes con errores de capa física.

Aplicable

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La duplicación de puertos no admite tráfico de velocidad de línea.

Aplicable

La duplicación de puertos para el tráfico de velocidad de línea se realiza sobre la base del mejor esfuerzo.

Replicación de paquetes que salida de una VLAN.

No compatible

 

Salida de espejado de puerto o analizador en una interfaz LAG.

Apoyado

 

Número máximo de miembros hijos en una interfaz LAG de salida de espejado de puerto o analizador.

8

 

Número máximo de interfaces en una VLAN de duplicación o analizador de puerto remoto.

1

 

Duplicación de salida de paquetes de control generados por host.

No compatible

 

Configuración de interfaces lógicas de capa 3 en la input estrofa de un analizador.

No compatible

Esta funcionalidad se puede lograr configurando la duplicación de puertos.

Se deben evitar las estrofas de entrada y salida del analizador que contienen miembros de la misma VLAN o de la misma VLAN.

Aplicable

 

Espejo de puertos en conmutadores serie ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200

El sistema operativo Junos (Junos OS) de Juniper Networks que se ejecuta en conmutadores serie ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 o EX8200 no admite configuraciones de Enhanced Layer 2 Software (ELS). Como tal, Junos OS no incluye la port-mirroring instrucción que se encuentra en el edit forwarding-options nivel de la jerarquía de otros paquetes de Junos OS ni la acción en términos de port-mirror filtro de firewall.

Puede usar la duplicación de puertos para facilitar el análisis del tráfico en su conmutador Ethernet de la serie EX de Juniper Networks a nivel de paquete. Puede usar la duplicación de puertos como parte de la supervisión del tráfico de conmutadores con fines tales como aplicar políticas relativas al uso de la red y el uso compartido de archivos, y para identificar fuentes de problemas en su red mediante la localización de un uso anormal o pesado de ancho de banda por parte de determinadas estaciones o aplicaciones.

Puede usar la duplicación de puertos para copiar estos paquetes a una interfaz local o a una VLAN:

  • Paquetes que entran o salen de un puerto

  • Puede enviar copias de los paquetes que ingresan en algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o a la misma VLAN del analizador local.

  • Paquetes que ingresan a una VLAN en conmutadores ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 o EX6200

  • Paquetes que salen de una VLAN en conmutadores EX8200

Descripción general

La duplicación de puertos se utiliza para el análisis de tráfico en un conmutador, ya que un conmutador, a diferencia de un concentrador, no transmite paquetes a todos los puertos del dispositivo de destino. El conmutador envía paquetes solo al puerto al que está conectado el dispositivo de destino.

Puede configurar la duplicación de puertos en el conmutador para enviar copias del tráfico de Unicast a un puerto de analizador local o a una VLAN de analizador. Luego, puede analizar el tráfico reflejado mediante un analizador de protocolos. El analizador de protocolos puede ejecutarse en una computadora conectada a la interfaz de salida del analizador o en una estación de monitoreo remota.

Puede usar la duplicación de puertos para reflejar cualquiera de los siguientes elementos:

  • Packets entering or exiting a port— Puede reflejar los paquetes en cualquier combinación de paquetes que entren o salgan de puertos de hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o de la VLAN del analizador.

  • Packets entering a VLAN on an ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— Puede reflejar los paquetes que ingresan a una VLAN en una VLAN del analizador. En conmutadores EX3200, EX4200, EX4500 y EX4550, puede configurar varias VLAN (hasta 256 VLAN), incluyendo un rango de VLAN y PVLAN, como entrada de entrada de entrada a un analizador.

  • Packets exiting a VLAN on an EX8200 switch— Puede reflejar los paquetes que salen de una VLAN en un conmutador EX8200 a un puerto de analizador local o a una VLAN de analizador. Puede configurar varias VLAN (hasta 256 VLAN), incluyendo un rango de VLAN y PVLAN, como entrada de salida a un analizador.

  • Statistical samples—Puede reflejar una muestra estadística de paquetes que son:

    • Entrada o salida de un puerto

    • Ingresar una VLAN en un conmutador ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 o EX6200

    • Salir de una VLAN en un conmutador EX8200

    Para especificar el número de muestra de paquetes, establezca la proporción. Puede enviar el ejemplo a un puerto de analizador local o a una VLAN de analizador.

  • Policy-based sample— Puede reflejar una muestra basada en políticas de paquetes que entran en un puerto o una VLAN. Configure un filtro de firewall para establecer una política para seleccionar los paquetes que se van a reflejar. Puede enviar el ejemplo a un puerto de analizador local o a una VLAN de analizador.

Pautas de configuración para los conmutadores serie ACX7024, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200

Cuando configure la duplicación de puertos, le recomendamos que siga ciertas pautas para asegurarse de que obtenga un beneficio óptimo de la función de duplicación de puertos. Además, recomendamos que deshabilite la duplicación de puertos cuando no lo esté utilizando y que seleccione interfaces específicas para las que se deben duplicar paquetes (es decir, seleccione interfaces específicas como entrada al analizador) en lugar de usar la palabra clave que permite la all duplicación de puertos en todas las interfaces y puede afectar el rendimiento general. También puede limitar la cantidad de tráfico reflejado mediante el muestreo estadístico, la configuración de una proporción para seleccionar una muestra estadística o el uso de un filtro de firewall. Duplicar solo los paquetes necesarios reduce cualquier posible impacto en el rendimiento.

Con la duplicación de puerto local, el tráfico desde varios puertos se replica a la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza la capacidad, los paquetes se pierden. Por lo tanto, al configurar un analizador, debe considerar si el tráfico que se replica supera la capacidad de la interfaz de salida del analizador.

Nota: "Todos los demás conmutadores" o "Todos los conmutadores" en la descripción se aplican a todas las plataformas de conmutadores que admiten la duplicación de puertos. Para obtener más información sobre la compatibilidad con la plataforma, consulte El Explorador de funciones.
Tabla 3: Pautas de configuración

Pauta

Descripción

Comentario

Número de VLAN que puede usar como entrada de entrada a un analizador
  • 16 de entrada o 8 de entrada y 8 de salida: dispositivos ACX7024

    1: Conmutadores EX2200

  • 256: conmutadores EX3200, EX4200, EX4500, EX4550 y EX6200

  • No se aplica: conmutadores EX8200

  

Número de analizadores que puede habilitar al mismo tiempo (se aplica tanto a conmutadores independientes como a Virtual Chassis)

  • 1: Conmutadores EX2200, EX3200, EX4200, EX3300 y EX6200

  • 7 conmutadores basados en puertos o 1 global: EX4500 y EX4550

  • 7 en total, con uno basado en una VLAN, filtro de firewall o LAG y con los 6 restantes basados en filtros de firewall: conmutadores EX8200

    Nota:

    Un analizador configurado con un filtro de firewall no admite la duplicación de paquetes que están en puertos de salida.

  • Puede configurar más que el número especificado de analizadores en el conmutador, pero solo puede habilitar el número especificado para una sesión. Usar disable ethernet-switching-options analyzer name para deshabilitar un analizador.

  • Consulte la siguiente entrada de fila de esta tabla para ver la excepción al número de analizadores basados en filtros de firewall permitidos en conmutadores EX4500 y EX4550.

  • En un Virtual Chassis EX4550, solo puede configurar un analizador si los puertos de las definiciones de entrada y salida se encuentran en conmutadores diferentes en un Virtual Chassis. Para configurar varios analizadores, debe configurarse una sesión completa del analizador en el mismo conmutador de un Virtual Chassis.

Número de analizadores basados en filtros de firewall que puede configurar en conmutadores EX4500 y EX4550

  • 1— Conmutadores EX4500 y EX4550

Si configura varios analizadores, no puede adjuntar ninguno de ellos a un filtro de firewall.

Tipos de puertos en los que no se puede reflejar el tráfico

  • Puertos virtuales de chasis (VCP)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces VLAN enrutadas (RVI)

  • Interfaces de capa 3 etiquetadas por VLAN

  

Si la duplicación de puertos está configurada para reflejar paquetes que salen de los puertos de 10 Gigabit Ethernet en conmutadores EX8200, los paquetes se pierden tanto en la red como en el tráfico reflejado cuando los paquetes reflejados superan el 60 % del tráfico de puerto de 10 Gigabit Ethernet.

  • Conmutadores EX8200

  

Direcciones de tráfico para las que puede especificar una proporción

  • Solo entrada: conmutadores EX8200

  • Entrada y salida: todos los demás conmutadores

  

Familias de protocolos que puede incluir en un analizador remoto basado en filtros de firewall

  • Todos, excepto inet y inet6—EX8200

  • Cualquiera: todos los demás conmutadores

Puede usar inet conmutadores inet6 EX8200 en un analizador local.

Direcciones de tráfico que puede configurar para la duplicación en puertos en configuraciones basadas en filtros de firewall

  • Solo entrada: todos los conmutadores

  

Los paquetes reflejados en interfaces etiquetadas pueden contener un ID de VLAN o Ethertype incorrectos.

  • Conmutadores VLAN ID y Ethertype—EX2200

  • Solo ID de VLAN: conmutadores EX3200 y EX4200

  • Solo Ethertype: conmutadores EX4500 y EX4550

  • No se aplica: conmutadores EX8200

  

Los paquetes reflejados que salen de una interfaz no reflejan la clase de servicio reescrita (CoS) DSCP ni los bits de 802.1p.

  • Todos los conmutadores

  

El analizador anexa un encabezado 802.1Q (dot1q) incorrecto a los paquetes reflejados en el tráfico enrutado o no refleja ningún paquete en el tráfico enrutado cuando una VLAN de salida que pertenece a una interfaz de VLAN enrutada (RVI) está configurada como la entrada para ese analizador.

  • Conmutadores EX8200

  • No se aplica: el resto de conmutadores

Como solución alternativa, configure un analizador que use cada puerto (interfaz miembro) de la VLAN como entrada de salida.

Los paquetes con errores de capa física no se envían al analizador local o remoto.

  • Todos los conmutadores

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La configuración de duplicación de puertos en una interfaz de capa 3 con la salida configurada en una VLAN no está disponible en conmutadores EX8200.

  • Conmutadores EX8200

  • No se aplica: el resto de conmutadores

  

La duplicación de puertos no admite tráfico de velocidad de línea.

  • Todos los conmutadores

La duplicación de puertos para el tráfico de velocidad de línea se realiza sobre la base del mejor esfuerzo.

En un Virtual Chassis EX8200, para reflejar el tráfico en el Virtual Chassis, el puerto de salida debe ser un LAG.

  • EX8200 Virtual Chassis

  • No se aplica: el resto de conmutadores

En un Virtual Chassis EX8200:

  • Puede configurar LAG como un puerto de monitoreo solo para analizadores nativos.

  • No puede configurar LAG como un puerto de monitoreo para analizadores basados en filtros de firewall.

  • Si una configuración de analizador contiene LAG como puerto de monitoreo, no puede configurar VLAN en la definición de entrada de un analizador.

En conmutadores EX8200 independientes, puede configurar LAG en la definición de salida.

  • Conmutadores independientes EX8200

  • No se aplica: el resto de conmutadores

En conmutadores independientes EX8200:

  • Puede configurar un LAG como un puerto de monitoreo en analizadores nativos y basados en firewall.

  • Si una configuración contiene LAG como puerto de monitoreo, no puede configurar VLAN en la definición de entrada de un analizador.

Duplicación de puertos en dispositivos SRX

La duplicación de puertos copia los paquetes que entran o salen de un puerto y envía las copias a una interfaz local para su supervisión. La duplicación de puertos se utiliza para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, monitorear y predecir patrones de tráfico, correlacionar eventos, etc. la duplicación de </para><para>Port se utiliza para enviar una copia de todos los paquetes o solo los paquetes de muestra vistos en un puerto a una conexión de monitoreo de red. Puede reflejar los paquetes en el puerto de entrada (duplicación de puerto de entrada) o en el puerto de salida (duplicación de puerto de salida).

La duplicación de puertos solo se admite en los dispositivos SRX con las siguientes tarjetas de E/S:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • E/S flexible de SRX5K-FPC-IOC

En los dispositivos SRX, todos los paquetes que pasan por el mirrored puerto se copian y se envían al puerto especificado mirror-to . Estos puertos deben estar en el mismo chipset de Broadcom en las tarjetas de E/S.

En dispositivos SRX, la duplicación de puertos solo funciona en interfaces físicas.

Descripción de la duplicación de puertos de capa 2

En las plataformas de enrutamiento y conmutadores que contienen un ASIC de procesador de Internet II, puede enviar una copia de cualquier paquete entrante desde la plataforma de enrutamiento o cambiar a una dirección de host externa o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de puertos.

En la versión 9.3 y posteriores de Junos OS, las plataformas de enrutamiento universal 5G serie MX de Juniper Networks en un entorno de capa 2 admiten la duplicación de puertos para el tráfico de puente de capa 2 y el tráfico del servicio lan privada virtual (VPLS).

En la versión 9.4 y posteriores de Junos OS, los enrutadores de la serie MX en un entorno de capa 2 admiten la duplicación de puertos para el tráfico VPN de capa 2 mediante una conexión cruzada de circuito (CCC) que conecta de manera transparente interfaces lógicas del mismo tipo.

En la versión 12.3R2 de Junos OS, los conmutadores de la serie EX de Juniper Networks admiten la duplicación de puertos para el tráfico de puente de capa 2.

La duplicación de puertos de capa le permite especificar la forma en que se supervisan los paquetes entrantes y salientes en puertos especificados y la forma en que se reenvían las copias de los paquetes seleccionados a otro destino, donde los paquetes se pueden analizar.

Los enrutadores de la serie MX y los conmutadores de la serie EX admiten la duplicación de puertos de capa 2 mediante la realización de funciones de monitoreo de flujo mediante el uso de una arquitectura de clase de servicio (CoS) que está en concepto similar a, pero en particular diferente a la de otras plataformas de enrutamiento y conmutadores.

Al igual que el enrutador de borde multiservicio M120 y el enrutador de borde multiservicio M320, los enrutadores serie MX y los conmutadores de la serie EX admiten la duplicación de paquetes IPv4, IPv6 y VPLS simultáneamente.

En un entorno de capa 3, los enrutadores de la serie MX y los conmutadores de la serie EX admiten la duplicación del tráfico IPv4 (family inet) e IPv6 (family inet6). Para obtener más información acerca de la duplicación de puertos de capa 3, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.

Propiedades de duplicación de puerto de capa 2

La duplicación de puertos especifica los siguientes tipos de propiedades:

Selección de paquetes

Las propiedades de selección de paquetes de la duplicación de puertos de capa 2 especifican cómo se seleccionarán los paquetes de muestra para la duplicación:

  • Número de paquetes de cada muestra.

  • Número de paquetes que se reflejarán de cada muestra.

  • La longitud a la que se van a truncar los paquetes reflejados.

Familia de direcciones de paquete

El tipo de familia de direcciones de paquete especifica el tipo de tráfico que se va a duplicar. En un entorno de capa 2, los enrutadores de la serie MX y los conmutadores de la serie EX admiten la duplicación de puertos para las siguientes familias de direcciones de paquetes:

  • Tipo de ethernet-switchingfamilia: para reflejar tráfico VPLS cuando la interfaz física está configurada con el tipo ethernet-bridgede encapsulación.

  • Tipo de cccfamilia: para reflejar tráfico VPN de capa 2.

  • Tipo de vplsfamilia: para reflejar tráfico VPLS.

Nota:

En aplicaciones típicas, envía paquetes reflejados directamente a un analizador, no a otro enrutador o conmutador. Si debe enviar paquetes reflejados a través de una red, debe usar túneles. Para las implementaciones de VPN de capa 2, puede usar el tipo l2vpn de instancia de enrutamiento DE VPN de capa 2 para tunelización de los paquetes a un destino remoto.

Para obtener más información acerca de cómo configurar una instancia de enrutamiento para VPN de capa 2, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento. Para obtener una configuración de ejemplo detallada de VPN de capa 2, consulte Junos OS. Para obtener más información acerca de las interfaces de túnel, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.

Propiedades de destino de espejo

Para una familia de direcciones de paquete determinada, las propiedades de destino espejo de una instancia de duplicación de puerto de capa 2 especifican cómo se enviarán los paquetes seleccionados en una interfaz física determinada:

  • Interfaz física en la que se enviarán los paquetes seleccionados.

  • Si la comprobación de filtros se va a deshabilitar para la interfaz de destino espejo. De forma predeterminada, la comprobación de filtros está habilitada en todas las interfaces.

    Nota:

    Si aplica un filtro a una interfaz que también es un destino de duplicación de puerto de capa 2, se produce un error de confirmación, a menos que haya deshabilitado la comprobación de filtro para esa interfaz de espejo de destino.

Opción de espejo de una vez

Si se habilita la duplicación de puertos en las interfaces de entrada y salida, puede evitar que el enrutador de la serie MX y un conmutador de la serie EX envíen paquetes duplicados al mismo destino (lo que complicaría el análisis del tráfico reflejado).

Nota:

La opción de espejo de puerto de una vez es una configuración global. La opción es independiente de las propiedades de selección de paquetes y de las propiedades de destino de espejo específicas de la familia de paquetes.

Aplicación de tipos de duplicación de puertos de capa 2

Puede aplicar diferentes conjuntos de propiedades de duplicación de puerto de capa 2 a los paquetes VPLS en diferentes puntos de entrada o salida de una serie MX o de una ruta de la serie EX.

Tabla 4 describe los tres tipos de duplicación de puerto de capa 2 que puede configurar en enrutadores serie MX y conmutadores serie EX, los: instancia global, instancias con nombre y filtros de firewall.

Tabla 4: Aplicación de tipos de duplicación de puertos de capa 2

Tipo de definición de duplicación de puerto de capa 2

Punto de aplicación

Alcance de la duplicación

Descripción

Detalles de configuración

Instancia global de duplicación de puertos de capa 2

Todos los puertos del chasis del enrutador (o conmutador) serie MX.

Paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador) serie MX.

Si está configurado, las propiedades de duplicación de puertos globales se aplican implícitamente a todos los paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador).

Consulte Configuración de la instancia global de la duplicación de puertos de capa 2

Instancia designada de replicación de puertos de capa 2

Puertos agrupados a nivel de FPC

Consulte Enlazar la duplicación de puertos de capa 2 a puertos agrupados en el nivel de FPC.

Paquetes VPLS recibidos en puertos asociados con un DPC o FPC específico y sus motores de reenvío de paquetes.

Reemplaza cualquier propiedad de duplicación de puerto configurada por la instancia global de duplicación de puerto.

Consulte Definición de una instancia con nombre de duplicación de puertos de capa 2.

El número de destinos de duplicación de puertos admitidos para un enrutador serie MX y para un conmutador serie EX se limita a la cantidad de motores de reenvío de paquetes contenidos en los DPC o FPC instalados en el enrutador o el chasis del conmutador.

Puertos agrupados en el nivel de PIC

Consulte Enlazar la duplicación de puertos de capa 2 a puertos agrupados en el nivel de PIC.

Paquetes VPLS recibidos en puertos asociados con un motor de reenvío de paquetes específico.

Reemplaza cualquier propiedad de duplicación de puerto configurada en el nivel de FPC o en la instancia global de duplicación de puerto.

Filtro de firewall de duplicación de puerto de capa 2

Interfaz lógica (incluida una interfaz Ethernet agregada)

Consulte Aplicación de duplicación de puerto de capa 2 a una interfaz lógica.

Paquetes VPLS recibidos o enviados en una interfaz lógica.

En la configuración del filtro de firewall , incluya action y action-modifier los términos que se aplicarán a los paquetes seleccionados para la duplicación:

  • Se acceptrecomienda la acción.

  • El port-mirror modificador hace referencia implícitamente a las propiedades de duplicación de puerto actualmente vinculadas a las interfaces físicas subyacentes.

  • El port-mirror-instance pm-instance-name modificador hace referencia explícita a una instancia designada de duplicación de puerto.

  • (Opcional) Para solo paquetes de entrada de interfaz de túnel, para reflejar los paquetes en destinos adicionales, incluya el next-hop-group next-hop-group-name modificador. Este modificador hace referencia a un grupo de salto siguiente que especifica las direcciones del siguiente salto (para enviar copias adicionales de paquetes a un analizador).

Consulte Definición de un filtro de firewall de duplicación de puerto de capa 2.

Nota:

Los filtros de firewall de duplicación de puerto de capa 2 no son compatibles con los sistemas lógicos.

Para duplicar paquetes de entrada de interfaz de túnel a varios destinos, consulte También definición de un grupo de salto siguiente para la duplicación de puertos de capa 2.

Tabla de reenvío de VLAN o tabla de inundación

Consulte Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a un dominio de puente.

Tráfico de capa 2 reenviado o inundado a una VLAN

Tabla de reenvío de instancias de enrutamiento VPLS o tabla de inundación

Consulte Aplicación de duplicación de puerto de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.

Tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS

Restricciones en la duplicación de puertos de capa 2

Se aplican las siguientes restricciones al espejado de puertos de capa 2:

  • Solo se pueden reflejar los datos de tránsito de capa 2 (paquetes que contienen fragmentos de datos que transitan por la plataforma de enrutamiento o el conmutador a medida que se reenvían desde un origen a un destino). Los datos locales de capa 2 (paquetes que contienen fragmentos de datos destinados al motor de enrutamiento o enviados por el motor de enrutamiento, como los paquetes de control de capa 2) no se reflejan.

  • Si aplica un filtro de duplicación de puerto a la salida de una interfaz lógica, solo se duplican los paquetes de Unicast. Para reflejar paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC de control de acceso de medios de destino desconocida o paquetes con una entrada MAC en la tabla de enrutamiento MAC de destino (DMAC), aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento del servicio LAN privado virtual (VPLS).

  • El dispositivo de destino espejo debe estar en una VLAN dedicada y no debe participar en ninguna actividad de puente; el dispositivo de destino espejo no debe tener un puente hacia el destino final del tráfico, y el dispositivo de destino espejo no debe enviar los paquetes reflejados de vuelta a la dirección de origen.

  • Para la instancia global de duplicación de puerto o para una instancia de duplicación de puerto denominada, puede configurar solo una interfaz de salida de espejo por instancia de duplicación de puerto y familia de direcciones de paquete. Si incluye más de una interface instrucción bajo la family (ethernet-switching | ccc | vpls) output instrucción, se anula la instrucción anterior interface .

  • El filtrado del firewall de duplicación de puerto de capa 2 no es compatible con los sistemas lógicos.

    En una definición de filtro de firewall de duplicación de puerto de capa 2, el action-modifier filtro (port-mirror o port-mirror-instance pm-instance-name) se basa en las propiedades de duplicación de puerto definidas en la instancia global o en las instancias denominadas de la duplicación de puertos de capa 2, que se configuran en la [edit forwarding-options port-mirroring] jerarquía. Por lo tanto, el filtro no puede admitir la term duplicación de puertos de capa 2 para sistemas lógicos.

  • Para un filtro de firewall de duplicación de puerto de capa 2 en el que se hace referencia implícitamente a las propiedades de duplicación de puerto de capa 2 mediante la inclusión de la port-mirror instrucción, si varias instancias con nombre de la duplicación de puerto de capa 2 están vinculadas a la interfaz física subyacente, entonces solo se usa el primer enlace en la estrofa (o el único enlace) en la interfaz lógica. Esto se hace para la compatibilidad con versiones anteriores.

  • Los filtros de firewall de duplicación de puerto de capa 2 no admiten el uso de subgrupos de próximo salto para el equilibrio de carga de tráfico reflejado.