Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Duplicación de puertos y analizadores

SUMMARY En esta sección se describe cómo la creación de reflejo de puertos envía tráfico de red a las aplicaciones del analizador.

Descripción de la duplicación de puertos y los analizadores

La duplicación de puertos y los analizadores envían tráfico de red a dispositivos que ejecutan aplicaciones de análisis. Una réplica de puerto copia el tráfico IP de capa 3 en una interfaz. Un analizador copia paquetes en puente (capa 2) en una interfaz. El tráfico reflejado puede obtenerse de una o varias interfaces. Puede utilizar un dispositivo conectado a una interfaz de salida reflejada que ejecute una aplicación de analizador para realizar tareas como supervisar el cumplimiento, aplicar directivas, detectar intrusiones, supervisar el rendimiento de la red, correlacionar eventos y otros problemas de la red.

En enrutadores que contienen un circuito integrado específico de la aplicación (ASIC) o un procesador de Internet de la serie T, la duplicación de puertos copia paquetes de unidifusión que entran o salen de un puerto o que ingresan una VLAN y envía esas copias a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. El tráfico reflejado es recibido por aplicaciones que le ayudan a analizar ese tráfico.

La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía una clave de muestreo basada en el encabezado IPv4 al motor de enrutamiento, donde se coloca una clave en un archivo o se cflowd. Los paquetes basados en esa clave se envían a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de la interfaz especificada, donde se puede capturar y analizar en detalle.

Use la duplicación de puertos para enviar tráfico a dispositivos que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La creación de reflejo de puertos es necesaria cuando se desea realizar un análisis de tráfico, ya que un conmutador normalmente envía paquetes únicamente al puerto al que está conectado el dispositivo de destino. Probablemente no desee enviar los paquetes originales para su análisis antes de que se reenvíen debido a la demora que esto causaría, por lo que la alternativa común es configurar la duplicación de puertos para enviar copias del tráfico de unidifusión a otra interfaz y ejecutar una aplicación de analizador en un dispositivo conectado a esa interfaz. .

Para configurar la creación de reflejo de puertos, configure una instancia de creación de reflejo de puertos. pero no especifique una entrada para ella. En su lugar, cree un filtro de firewall que especifique el tráfico necesario y lo dirija a la instancia. Utilice la port-mirror acción en un then término del filtro para esto. El filtro del firewall debe configurarse como family inet.

Tenga en cuenta el rendimiento al configurar la duplicación de puertos. La configuración del filtro de firewall para reflejar solo los paquetes necesarios reduce la posibilidad de un impacto en el rendimiento.

Puede configurar una instrucción del analizador para definir tanto el tráfico de entrada como el tráfico de salida en la misma configuración del analizador. El tráfico que se va a analizar puede ser el tráfico que entra o sale de una interfaz, o el tráfico que entra en una VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia o VLAN. Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

En los conmutadores de la serie EX, cuando deshabilite cualquier interfaz en una VLAN de duplicación de puerto remoto, deberá volver a habilitar la interfaz deshabilitada y volver a configurar la sesión del analizador para reanudar la duplicación de puertos.

Puede utilizar la creación de reflejo de puertos para copiar:

  • Todos los paquetes que entran o salen de una interfaz en cualquier combinación. Las copias de los paquetes que entran en algunas interfaces y de los paquetes que salen de otras interfaces se pueden enviar a la misma interfaz local o VLAN. Si configura la creación de reflejo de puertos para copiar paquetes que salen de una interfaz, el tráfico que se origina en ese conmutador o dispositivo de nodo (en un sistema QFabric) no se copia cuando sale. Solo el tráfico conmutado se copia al salir. (Consulte la limitación de la duplicación de salida a continuación).

  • Todos o cualquiera de los paquetes que ingresan a una VLAN. No puede utilizar la creación de reflejo de puertos para copiar paquetes que salen de una VLAN.

  • Una muestra filtrada por firewall de paquetes que ingresan a un puerto o VLAN.

  • Los filtros de firewall no son compatibles con los puertos de salida; Es decir, no puede especificar un muestreo basado en políticas de paquetes que salgan de una interfaz

  • En entornos VXLAN, la duplicación de puertos basada en filtros de firewall no se admite en interfaces orientadas al núcleo o al spine.

Puede configurar tanto el muestreo de tráfico como la duplicación de puertos, estableciendo una frecuencia de muestreo independiente y una longitud de ejecución para los paquetes reflejados en puertos. Sin embargo, si se selecciona un paquete tanto para el muestreo de tráfico como para la creación de reflejo de puertos, solo se ejecuta la creación de reflejo de puerto, ya que tiene prioridad. En otras palabras, si configura una interfaz para muestrear el tráfico de cada entrada de paquete a la interfaz y la creación de reflejo del puerto también selecciona ese paquete para copiarlo y enviarlo al puerto de destino, solo se ejecutará el proceso de creación de reflejo del puerto. Los paquetes muestreados de tráfico que no están seleccionados para la creación de reflejo de puertos se siguen muestreando y reenviando al servidor cflowd.

Términos y definiciones del analizador y la creación de reflejo de puertos

En las tablas siguientes se proporcionan términos y definiciones para la documentación del analizador y la creación de reflejo de puertos.

Tabla 1: Terminología
Término Definición

Analizador

Para los conmutadores EX2300, EX3400 o EX4300, en una configuración de duplicación (analizador) en un analizador incluye:

  • El nombre del analizador
  • Puertos de origen (entrada) o VLAN (opcional)

Instancia del analizador

Configuración de duplicación de puertos que incluye un nombre, interfaces de origen o VLAN de origen, y un destino para paquetes reflejados (ya sea una interfaz local o una VLAN).

Interfaz de salida del analizador (también conocida como puerto de monitor)

Interfaz a la que se envía el tráfico reflejado y a la que está conectada una aplicación de analizador de protocolos.

Para los conmutadores EX2300, EX3400 y EX4300, las interfaces utilizadas como salida para un analizador deben configurarse como conmutación Ethernet de familia. Además, se aplican las siguientes limitaciones para las interfaces de salida del analizador:

  • No puede ser también un puerto de origen.
  • No se puede utilizar para cambiar.
  • No participe en protocolos de capa 2, como el protocolo de árbol de expansión (STP), cuando forme parte de una configuración de creación de reflejo de puertos.
  • Si el ancho de banda de la interfaz de salida del analizador no es suficiente para manejar el tráfico de los puertos de origen, se descartarán los paquetes de desbordamiento.

VLAN del analizador (también conocida como VLAN de monitor)

VLAN a la que se envía el tráfico reflejado. El tráfico reflejado puede ser utilizado por una aplicación de analizador de protocolos. Las interfaces miembro de la VLAN de monitor se distribuyen por los conmutadores de la red.
Analizador basado en dominios de puente Una sesión de analizador configurada para usar dominios de puente para entrada, salida o ambos.
Analizador predeterminado Un analizador con parámetros de duplicación predeterminados. De forma predeterminada, la velocidad de creación de reflejo es 1 y la longitud máxima del paquete es la longitud del paquete completo.
Espejo de puerto global Una configuración de creación de reflejo de puerto que no tiene un nombre de instancia. La acción del filtro del firewall port-mirror será la acción para la configuración del filtro del firewall.

Interfaz de entrada (también conocida como interfaz reflejada o monitoreada)

Una interfaz que copia el tráfico en la interfaz reflejada. Este tráfico puede entrar o salir (entrada o salida) de la interfaz.

Una interfaz de entrada reflejada no se puede utilizar como interfaz de salida para el dispositivo analizador.

Analizador basado en LAG Un analizador que tiene un grupo de agregación de vínculos (LAG) especificado como interfaz de entrada (entrada) en la configuración del analizador.

Duplicación de puerto local

Configuración de creación de reflejo de puertos en la que los paquetes reflejados se copian en una interfaz del mismo conmutador.

Estación de monitoreo Equipo que ejecuta una aplicación de analizador de protocolos.
Analizador basado en el siguiente salto Una configuración de analizador que utiliza el grupo del salto siguiente como salida a un analizador.
Sesión de analizador nativo Una sesión de analizador que tiene definiciones de entrada y salida en su configuración de analizador.
Espejado basado en políticas

Duplicación de paquetes que coinciden con un término de filtro de firewall. La acción analyzer analyzer-name se utiliza en el filtro del firewall para enviar paquetes especificados al analizador.

Analizador basado en puertos Una sesión de analizador cuya configuración define interfaces tanto para la entrada como para la salida.

Instancia de creación de reflejo de puerto

Una configuración de duplicación de puertos que no especifica un origen de entrada; Solo especifica un destino de salida. Se debe definir una configuración de filtro de firewall para el origen de entrada. Se debe definir una configuración de filtro de firewall para reflejar paquetes que coincidan con las condiciones de coincidencia definidas en el término de filtro de firewall. El elemento de acción port-mirror-instance instance-name en la configuración del filtro de firewall se utiliza para enviar paquetes al analizador y estos paquetes forman el origen de entrada.

Utilice la port-mirror-instance instance-name acción de la configuración del filtro del firewall para enviar paquetes al espejo de puerto.

Nota: La instancia de duplicación de puertos no es compatible con dispositivos NFX150.
Aplicación del analizador de protocolos Una aplicación utilizada para examinar paquetes transmitidos a través de un segmento de red. También se suele llamar analizador de red, rastreador de paquetes o sonda.

Interfaz de salida (también conocida como interfaz de monitor)

Interfaz a la que se envían las copias de paquetes y a la que está conectado un dispositivo que ejecuta un analizador.

Las siguientes limitaciones se aplican a una interfaz de salida (la interfaz espejo de destino):

  • No puede ser también un puerto de origen.

  • No se puede utilizar para cambiar.

  • No puede ser una interfaz Ethernet agregada (LAG).

  • No se puede participar en protocolos de capa 2, como el protocolo de árbol de expansión (STP).

  • Las asociaciones de VLAN existentes se pierden cuando se aplica la duplicación de puertos a la interfaz.

  • Los paquetes se descartan si la capacidad de la interfaz de salida es insuficiente para manejar el tráfico de los puertos de origen reflejados.

Dirección IP de salida

Dirección IP del dispositivo que ejecuta una aplicación de análisis. El dispositivo puede estar en una red remota.

Cuando utilice esta función:

  • Los paquetes duplicados están encapsulados en Gre. La aplicación del analizador debe ser capaz de desencapsular paquetes encapsulados en GRE o los paquetes encapsulados en GRE deben desencapsularse antes de llegar a la aplicación del analizador. (Puede usar un rastreador de red para desencapsular los paquetes).

  • La dirección IP de salida no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

  • Si crea instancias de enrutamiento virtual y una configuración de analizador que incluye una dirección IP de salida, la dirección IP de salida pertenece a la instancia de enrutamiento virtual predeterminada (tabla de enrutamiento inet.0).

VLAN de salida (también conocida como VLAN de monitor o analizador)

VLAN a donde se envían copias de los paquetes y a donde está conectado un dispositivo que ejecuta un analizador. La VLAN del analizador puede abarcar varios conmutadores.

Se aplican las siguientes limitaciones a una VLAN de salida:

  • No puede ser una VLAN privada ni un rango de VLAN.

  • No se puede compartir mediante varias analyzer instrucciones.

  • No puede ser miembro de ninguna otra VLAN.

  • No puede ser una interfaz Ethernet agregada (LAG).

  • En algunos conmutadores, solo una interfaz puede ser miembro de la VLAN del analizador. Esta limitación no se aplica en el conmutador QFX10000. Cuando se refleja el tráfico de entrada , varias interfaces de QFX10000 pueden pertenecer a la VLAN de salida y el tráfico se refleja desde todas esas interfaces. Si el tráfico de salida se refleja en un conmutador QFX10000, solo una interfaz puede ser miembro de la VLAN del analizador.

Duplicación remota de puertos

Funciona igual que la creación de reflejo del puerto local, excepto que el tráfico reflejado no se copia en un puerto del analizador local, sino que se inunda en una VLAN del analizador que se crea específicamente para recibir tráfico reflejado.

No puede enviar paquetes reflejados a una dirección IP remota en un sistema QFabric.

Analizador basado en VLAN Una sesión de analizador cuya configuración utiliza VLAN tanto para la entrada como para la salida, o para la entrada o la salida.

Tipos de instancias

Para configurar la creación de reflejo de puertos, configure una instancia de uno de los siguientes tipos:

  • Instancia del analizador: especifique la entrada y la salida de la instancia. Este tipo de instancia es útil para garantizar que todo el tráfico que transita por una interfaz o entra en una VLAN se refleje y se envíe al analizador.

  • Instancia de duplicación de puertos: se crea un filtro de firewall que identifica el tráfico deseado y lo copia en el puerto reflejado. No especifique una entrada para este tipo de instancia. Este tipo de instancia es útil para controlar los tipos de tráfico que se reflejan. Puede dirigir el tráfico a él de las siguientes maneras:

    • Especifique el nombre de la instancia de duplicación de puertos en el filtro de firewall mediante la port-mirror-instance instance-name acción cuando haya varias instancias de creación de reflejo de puerto definidas.

    • Envíe los paquetes reflejados a la interfaz de salida definida en la instancia mediante la port-mirror acción cuando solo haya una instancia de creación de reflejo de puerto definida.

Para los conmutadores QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 y EX4650, se aplican las siguientes pautas de duplicación de puertos:

  • Se puede configurar un máximo de cuatro instancias de creación de reflejo de puertos, o cuatro sesiones de analizador, al mismo tiempo. En otras palabras, no puede configurar cuatro instancias de creación de reflejo de puertos y cuatro sesiones de analizador juntas.
  • Si no hay instancias de creación de reflejo de puertos (es decir, solo se configuran sesiones de analizador), puede habilitar hasta tres sesiones de analizador para la creación de reflejo de entrada y salida. La sesión restante del analizador debe utilizarse únicamente para la creación de reflejo de entrada.
  • Si solo tiene configurada una instancia de creación de reflejo de puerto, de las instancias restantes, puede configurar hasta tres analizadores para la creación de reflejo de entrada y dos analizadores para la creación de reflejo de salida.
  • Si tiene configurada una instancia de duplicación de dos puertos, de las instancias restantes, puede configurar hasta dos analizadores para la creación de reflejo de entrada y un analizador para la creación de reflejo de salida.
  • Si tiene configurada una instancia de creación de reflejo de tres puertos, la instancia restante solo se puede configurar como analizador (para la duplicación de entrada o salida),

Duplicación de puertos y STP

El comportamiento de STP en una configuración de creación de reflejo de puertos depende de la versión de Junos OS que esté utilizando:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 o anterior, Junos OS 13.2X52: Cuando STP está habilitado, es posible que la creación de reflejo de puertos no se realice correctamente porque STP podría bloquear los paquetes reflejados.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: STP está deshabilitado para el tráfico reflejado. Debe asegurarse de que la topología evita bucles de este tráfico.

Restricciones y limitaciones

Las siguientes restricciones y limitaciones se aplican a la creación de reflejo de puertos:

La duplicación de sólo los paquetes necesarios para el análisis reduce la posibilidad de reducir el rendimiento general. Si refleja el tráfico de varios puertos, el tráfico reflejado podría superar la capacidad de la interfaz de salida. Los paquetes de desbordamiento se descartan. Le recomendamos que limite la cantidad de tráfico reflejado seleccionando interfaces específicas y evite usar la all palabra clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall para enviar tráfico específico a la instancia de creación de reflejo del puerto.

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • En los conmutadores EX9200, la duplicación de puertos no se admite en las tarjetas de línea EX9200-15C.

  • Cada grupo de nodos en un sistema QFabric está sujeto a las siguientes restricciones:

    • Se pueden usar hasta cuatro de las configuraciones para la creación de reflejo de puertos locales.

    • Se pueden utilizar hasta tres de las configuraciones para la duplicación remota de puertos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto, esto cuenta como una configuración de duplicación de entrada para el conmutador o grupo de nodos al que se aplica el filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no hay límite para todo el sistema en el número total de sesiones de espejo.

  • Solo puede configurar un tipo de salida en una configuración de creación de reflejo de puerto para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la creación de reflejo en un analizador (con set forwarding-options analyzer) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la creación de reflejo en varias interfaces lógicas configuradas en una interfaz física, solo se configura correctamente la primera interfaz lógica; Las interfaces lógicas restantes devuelven errores de configuración.

  • Si refleja los paquetes de salida, no configure más de 2000 VLAN en un conmutador independiente o sistema QFabric. Si lo hace, es posible que algunos paquetes de VLAN contengan ID de VLAN incorrectos. Esto se aplica a cualquier paquete de VLAN, no solo a las copias reflejadas.

  • Las ratio opciones y loss-priority no son compatibles.

  • Los paquetes con errores de capa física no se envían al puerto de salida ni a la VLAN.

  • Si utiliza la supervisión de sFlow para muestrear el tráfico, no muestrea las copias reflejadas cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVI)

  • En una instancia de creación de reflejo de puertos, no se puede configurar una interfaz inet o inet6 como interfaz de salida. Los siguientes conmutadores no admiten la set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> configuración:

    Tabla 2: Conmutadores que no admiten la familia inet/inet6 como interfaz de salida
    Conmutadores EX Conmutadores QFX

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210

     

    QFX5220

     

    QFX5700

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían desde una interfaz de salida, no se modifican para ningún cambio que pueda aplicarse a los paquetes originales al salir, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para una sola configuración de creación de reflejo. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de creación de reflejo.

  • Los paquetes generados por la CPU (como los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La creación de reflejo basada en VLAN no es compatible con el tráfico STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos de nodo diferentes, las copias duplicadas tendrán ID de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo de nodo. En este caso, las copias duplicadas tendrán los ID de VLAN correctos (siempre y cuando no configure más de 2000 VLAN en el sistema QFabric).

  • La duplicación de salida verdadera se define como la duplicación del número exacto de copias y las modificaciones exactas de paquetes que salieron del puerto de salida. Debido a que los procesadores de los conmutadores QFX5100 y EX4600 implementan la duplicación de salida en la canalización de entrada, dichos conmutadores no proporcionan modificaciones precisas de los paquetes de salida, por lo que el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original.

  • Si configura una instancia de duplicación de puertos para reflejar el tráfico que sale de una interfaz que realiza la encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejo en interfaces miembro de un LAG.

  • No se admite la duplicación de VLAN de salida.

Las siguientes restricciones y limitaciones se aplican a la creación de reflejo de puerto remoto:

  • Si configura una dirección IP de salida, esa dirección no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

  • Si crea instancias de enrutamiento virtual y crea una configuración de analizador que incluya una dirección IP de salida, la dirección IP de salida pertenece a la instancia de enrutamiento virtual predeterminada (tabla de enrutamiento inet.0).

  • Una VLAN de salida no puede ser una VLAN privada ni un rango de VLAN.

  • Una VLAN de salida no puede ser compartida por varias sesiones del analizador o instancias de espejo de puerto.

  • Una interfaz VLAN de salida no puede ser miembro de ninguna otra VLAN.

  • Una interfaz VLAN de salida no puede ser una interfaz Ethernet agregada.

  • Si la VLAN de salida tiene más de una interfaz miembro, el tráfico se refleja solo en el primer miembro de la VLAN y otros miembros de la misma VLAN no llevan ningún tráfico reflejado.

  • Para la creación remota de reflejo de puerto a una dirección IP (encapsulación GRE), si configura más de una sesión de analizador o instancia de espejo de puerto, y se puede acceder a las direcciones IP de los analizadores o de la instancia de espejo de puerto a través de la misma interfaz, solo se configurará una sesión de analizador o una instancia de espejo de puerto.

  • El número de interfaces de salida posibles en la duplicación de puerto remoto varía entre los conmutadores de la línea QFX5K:

    • QFX5110, QFX5120 QFX5210: admite un máximo de 4 interfaces de salida

    • QFX5100 y QFX5200: admite un máximo de 3 interfaces de salida.

  • Siempre que se elimine de esa VLAN de espejado de puerto remoto, vuelva a configurar la sesión del analizador para esa VLAN.

Restricciones y limitaciones para conmutadores QFX5100 y QFX5200

Las siguientes consideraciones se aplican a la duplicación de puertos en conmutadores QFX5100 y QFX5200:

  • Al configurar la duplicación con salida a la dirección IP, la dirección IP de destino debe ser accesible y ARP debe estar resuelto.
  • El equilibrio de carga ECMP (ruta múltiple de igual costo) no se admite para destinos reflejados.

  • El número de interfaces de salida en la creación de reflejo de puerto remoto (RSPAN) varía. Para los conmutadores QFX5110, QFX5120 y QFX5210, el máximo es de cuatro interfaces de salida. Para los conmutadores QFX5100 y QFX5200, el máximo es tres.

  • Cuando se especifica un grupo de agregación de vínculos (LAG) como interfaz de salida de reflejo, se reflejan un máximo de ocho interfaces.

  • La entrada de duplicación puede ser un LAG, una interfaz física con cualquier unidad (como ae0.101 o xe-0/0/0.100) o una subinterfaz. En cualquier caso, todo el tráfico del LAG o de la interfaz física se refleja.

  • No puede configurar una instancia de creación de reflejo independiente en una interfaz miembro de un LAG.

  • Una interfaz de salida que se incluye en una instancia de creación de reflejo no se puede utilizar también en otra instancia de creación de reflejo.

  • En una instancia de duplicación de puertos, los paquetes perdidos en la canalización de salida de la ruta de reenvío no dejan de ser reflejados en el destino. Esto se debe a que la acción de creación de reflejo se produce en la canalización de entrada, antes de la acción de eliminación.

  • En una instancia de duplicación de puertos, solo se puede especificar un destino de salida reflejada.

  • Los destinos de espejo de salida que se configuran en varias instancias de analizador o duplicación de puertos deben ser únicos.

  • Para las direcciones IPv6 de ERSPAN, la duplicación de salida no se admite cuando el resultado del analizador/reflejo de puerto es una dirección IPv6 remota. No se admite el espejo de salida.

  • Para la creación de reflejo local, la interfaz de salida debe ser de conmutación Ethernet familiar, con o sin VLAN (es decir, no una interfaz de capa 3).

  • Cuando configure una instancia de analizador o duplicación de puertos en un entorno de proveedor de servicios, utilice el nombre de VLAN en lugar del ID de VLAN.

Duplicación de puertos en conmutadores de la serie QFX10000

En la siguiente lista se describen las restricciones y limitaciones que se aplican específicamente a los conmutadores de la serie QFX10000. Para obtener información general acerca de la duplicación de puertos en conmutadores, consulte las secciones anteriores de este documento Analizadores y creación de duplicación de puertos que no mencionan específicamente otros nombres de plataforma en el título de la sección.

  • Solo se admite la duplicación de puerto global de entrada. Puede configurar la creación de reflejo global de puertos con parámetros de entrada como rate , run-length, y maximum-packet-length. No se admite la creación de reflejo de puerto global de salida.

  • Las instancias de creación de reflejo de puerto solo se admiten para la creación de reflejo de puertos remotos. Las instancias globales de creación de reflejo de puertos son compatibles con la creación de reflejo local.

  • La creación de reflejo de puerto local solo se admite en estas familias de filtros de firewall: inet y inet6.

  • La creación de reflejo de puerto local no se admite en las familias de filtros de firewall ni cccen .any

Duplicación de puertos en QFabric

Las siguientes restricciones y limitaciones se aplican a la creación de reflejo de puertos locales y remotos:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • Cada grupo de nodos en un sistema QFabric está sujeto a las siguientes restricciones:

    • Se pueden usar hasta cuatro de las configuraciones para la creación de reflejo de puertos locales.

    • Se pueden utilizar hasta tres de las configuraciones para la duplicación remota de puertos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto, es decir, utiliza el analyzer modificador de acción en un término de filtro, esto cuenta como una configuración de creación de reflejo de entrada para el conmutador o grupo de nodos al que se aplica el filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no hay límite para todo el sistema en el número total de sesiones de espejo.

  • Solo puede configurar un tipo de salida en una configuración de creación de reflejo de puerto para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la creación de reflejo en un analizador (con set forwarding-options analyzer) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la creación de reflejo en varias interfaces lógicas configuradas en una interfaz física, solo se configura correctamente la primera interfaz lógica; Las interfaces lógicas restantes devuelven errores de configuración.

  • Si refleja los paquetes de salida, no configure más de 2000 VLAN en un conmutador serie QFX. Si lo hace, es posible que algunos paquetes de VLAN contengan ID de VLAN incorrectos. Esto se aplica a cualquier paquete de VLAN, no solo a las copias reflejadas.

  • Las ratio opciones y loss-priority no son compatibles.

  • Los paquetes con errores de capa física no se envían al puerto de salida ni a la VLAN.

  • Si utiliza la supervisión de sFlow para muestrear el tráfico, no muestrea las copias reflejadas cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVI)

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían desde una interfaz de salida, no se modifican para ningún cambio que pueda aplicarse a los paquetes originales al salir, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para una sola configuración de creación de reflejo. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de creación de reflejo.

  • Los paquetes generados por la CPU (como los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La creación de reflejo basada en VLAN no es compatible con el tráfico STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos de nodo diferentes, las copias duplicadas tendrán ID de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo de nodo. En este caso, las copias duplicadas tendrán los ID de VLAN correctos (siempre y cuando no configure más de 2000 VLAN en el sistema QFabric).

  • La duplicación de salida verdadera se define como la duplicación del número exacto de copias y las modificaciones exactas de paquetes que salieron del puerto de salida. Debido a que los procesadores de los conmutadores QFX5xxx (incluidos QFX5100, QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementan la duplicación de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas de los paquetes de salida, por lo que el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas del tráfico original.

  • Si configura una instancia de duplicación de puertos para reflejar el tráfico que sale de una interfaz que realiza la encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejo en interfaces miembro de un LAG.

  • No se admite la duplicación de VLAN de salida.

Duplicación de puertos en conmutadores de la serie OCX

Las siguientes restricciones y limitaciones se aplican a la duplicación de puertos en los conmutadores de la serie OCX:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos. No puede haber más de dos configuraciones que reflejen el tráfico de entrada o salida.

  • Si utiliza la supervisión de sFlow para muestrear el tráfico, no muestrea las copias reflejadas cuando salen de la interfaz de salida.

  • Solo puede crear una sesión de creación de reflejo de puertos.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de chasis virtual dedicadas

    • Interfaces de administración (me0 o vme0)

    • Interfaces de canal de fibra

    • Interfaces VLAN enrutadas o interfaces IRB

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida.

  • No incluya una subinterfaz 802.1Q que tenga un número de unidad distinto de 0 en una configuración de creación de reflejo de puerto. La duplicación de puertos no funciona con subinterfaces si su número de unidad no es 0. (Las subinterfaces 802.1Q se configuran mediante la vlan-tagging instrucción.)

  • Cuando se envían copias de paquetes a la interfaz de salida, no se modifican para ningún cambio que normalmente se aplica a la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada para una sola configuración de creación de reflejo. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de creación de reflejo.

  • Los paquetes generados por la CPU (como los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en la salida.

  • La creación de reflejo basada en VLAN no es compatible con el tráfico STP.

Duplicación de puertos en conmutadores EX2300, EX3400 y EX4300

La creación de reflejo puede ser necesaria para el análisis del tráfico en un conmutador, ya que a diferencia de un concentrador, un conmutador no difunde paquetes a todos los puertos del dispositivo de destino. El conmutador envía paquetes solo al puerto al que está conectado el dispositivo de destino.

Descripción general

Junos OS que se ejecuta en conmutadores serie EX2300, EX3400 y EX4300 admite las configuraciones de software de capa 2 mejorada (ELS) que facilitan el análisis del tráfico en estos conmutadores a nivel de paquete.

La creación de reflejo de puertos se utiliza para copiar paquetes en una interfaz local para la supervisión local o en una VLAN para la supervisión remota. Puede utilizar analizadores para aplicar políticas relativas al uso de la red y el uso compartido de archivos, y para identificar los orígenes de problemas en la red mediante la localización de un uso de ancho de banda anormal o intenso por estaciones o aplicaciones específicas.

La duplicación de puertos se configura en el nivel jerárquico [edit forwarding-options port-mirroring] . Para reflejar paquetes enrutados (capa 3), puede utilizar la configuración de creación de reflejo de puerto en la que la family instrucción está establecida en inet o inet6.

Puede utilizar la creación de reflejo de puertos para copiar estos paquetes:

  • Packets entering or exiting a port: puede reflejar los paquetes en cualquier combinación de paquetes que entren o salgan de puertos de hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto del analizador local o VLAN del analizador.

  • Packets entering a VLAN: puede reflejar los paquetes que ingresan en una VLAN a un puerto del analizador local o a una VLAN del analizador. Puede configurar hasta 256 VLAN, incluido un rango de VLAN y PVLAN, como entrada de entrada a un analizador.

  • Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que entran en un puerto o una VLAN. Configure un filtro de firewall para establecer una directiva para seleccionar los paquetes que se reflejarán y enviar el ejemplo a una instancia de duplicación de puertos o a una VLAN de analizador.

Puede configurar la duplicación de puertos en el conmutador para enviar copias del tráfico de unidifusión a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN. A continuación, puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos. La aplicación del analizador de protocolos puede ejecutarse en un equipo conectado a la interfaz de salida del analizador o en una estación de supervisión remota. Para el tráfico de entrada, puede configurar un término de filtro de firewall para especificar si la creación de reflejo de puerto debe aplicarse a todos los paquetes de la interfaz a la que se aplica el filtro de firewall. Puede aplicar un filtro de firewall configurado con la acción port-mirror o port-mirror-instance name a las interfaces lógicas de entrada o salida (incluidas las interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o al tráfico reenviado o inundado a una instancia de enrutamiento VPLS. Los conmutadores EX2300, EX3400 y EX4300 admiten la duplicación de puertos del tráfico VPLS (family ethernet-switching o family vpls) y el tráfico VPN en family ccc un entorno de capa 2.

Dentro de un término de filtro de firewall, puede especificar las propiedades de duplicación de puertos en la then instrucción de las siguientes maneras:

  • Haga referencia implícita a las propiedades de duplicación de puertos vigentes en el puerto.

  • Haga referencia explícita a una instancia con nombre concreta de creación de reflejo de puertos.

Directrices de configuración para analizadores y duplicación de puertos en conmutadores EX2300, EX3400 y EX4300

Cuando configure la duplicación de puertos, le recomendamos que siga ciertas directrices para asegurarse de obtener un beneficio óptimo de la creación de reflejos. Además, se recomienda deshabilitar la creación de reflejo cuando no la esté utilizando y seleccionar interfaces específicas para las que se deben reflejar los paquetes (es decir, seleccionar interfaces específicas como entrada para el analizador) en lugar de usar la opción de palabra clave que habilita la all creación de reflejo en todas las interfaces y puede afectar al rendimiento general. Duplicar solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.

Con la creación de reflejo local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza su capacidad, los paquetes se descartan. Por lo tanto, al configurar un analizador, debe considerar si el tráfico que se refleja supera la capacidad de la interfaz de salida del analizador.

Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

La verdadera duplicación de salida se define como la duplicación del número exacto de copias y las modificaciones exactas de los paquetes que salieron del puerto conmutado de salida. Debido a que el procesador de los conmutadores EX2300 y EX3400 implementa la duplicación de salida en la canalización de entrada, esos conmutadores no proporcionan modificaciones precisas de los paquetes de salida, por lo que el tráfico reflejado de salida puede transportar etiquetas VLAN que difieren de las etiquetas del tráfico original.

Tabla 3 resume las pautas de configuración adicionales para la creación de reflejo en conmutadores EX2300, EX3400 y EX4300.

Tabla 3: Directrices de configuración para analizadores y duplicación de puertos en conmutadores EX2300, EX3400 y EX4300

Directriz

Información de valor o soporte

Comentario

Número de VLAN que puede utilizar como entrada de entrada a un analizador.

256

 

Número de sesiones de creación de reflejo de puertos y analizadores que puede habilitar simultáneamente.

4

Puede configurar un total de cuatro sesiones y solo puede habilitar una de las siguientes opciones en cualquier momento:

  • Un máximo de cuatro sesiones de creación de reflejo de puertos (incluida la sesión global de creación de reflejo de puertos).

  • Un máximo de cuatro sesiones de analizador.

  • Una combinación de sesiones de analizador y duplicación de puertos, y el total de esta combinación debe ser cuatro.

Puede configurar más de la cantidad especificada de instancias o analizadores de duplicación de puertos en el conmutador, pero solo puede habilitar el número especificado para una sesión.

Tipos de puertos en los que no se puede reflejar el tráfico.

  • Puertos de chasis virtual (VCP)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces integradas de enrutamiento y puente (IRB); también conocidas como interfaces VLAN enrutadas (RVI).

  • Interfaces de capa 3 etiquetadas por VLAN

 

Familias de protocolos que puede incluir en una configuración de creación de reflejo de puertos para tráfico remoto.

any

 

Instrucciones de tráfico que puede configurar para la creación de reflejo en puertos en configuraciones basadas en filtros de firewall.

Entrada y salida

 

Paquetes duplicados que salen de una interfaz que reflejan DSCP de clase de servicio (CoS) reescritos o bits de 802.1p.

Aplicable

 

Paquetes con errores de capa física.

Aplicable

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La duplicación de puertos no admite tráfico de velocidad de línea.

Aplicable

La duplicación de puertos para el tráfico de velocidad de línea se realiza con el mejor esfuerzo.

Duplicación de paquetes que salen de una VLAN.

No compatible

 

Salida del analizador o duplicación de puertos en una interfaz LAG.

Compatible

 

Número máximo de miembros secundarios en una interfaz LAG de salida de analizador o duplicación de puertos.

8

 

Número máximo de interfaces en una VLAN de analizador o duplicación de puerto remota.

1

 

Reflejo de salida de paquetes de control generados por el host.

No compatible

 

Configuración de interfaces lógicas de capa 3 en la input estrofa de un analizador.

No compatible

Esta funcionalidad se puede lograr configurando la duplicación de puertos.

Se deben evitar las estrofas de entrada y salida del analizador que contengan miembros de la misma VLAN o de la propia VLAN.

Aplicable

 

Duplicación de puertos en conmutadores ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200

El sistema operativo Junos de Juniper Networks (Junos OS) que se ejecuta en conmutadores ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 o EX8200 no admite configuraciones de software de capa 2 mejorada (ELS). Como tal, Junos OS no incluye la port-mirroring instrucción que se encuentra en el edit forwarding-options nivel de la jerarquía de otros paquetes de Junos OS ni la acción en términos port-mirror de filtro de firewall.

Puede usar la duplicación de puertos para facilitar el análisis del tráfico en su conmutador Ethernet de la serie EX de Juniper Networks a nivel de paquete. Puede utilizar la duplicación de puertos como parte de la supervisión del tráfico del conmutador con fines tales como aplicar políticas relativas al uso de la red y el uso compartido de archivos, y para identificar fuentes de problemas en la red mediante la localización de un uso de ancho de banda anormal o intensivo por estaciones o aplicaciones particulares.

Puede utilizar la creación de reflejo de puertos para copiar estos paquetes en una interfaz local o en una VLAN:

  • Paquetes que entran o salen de un puerto

  • Puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto del analizador local o VLAN del analizador.

  • Paquetes que ingresan a una VLAN en conmutadores ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 o EX6200

  • Paquetes que salen de una VLAN en conmutadores EX8200

Descripción general

La duplicación de puertos se utiliza para el análisis del tráfico en un conmutador porque a diferencia de un concentrador, no difunde paquetes a todos los puertos del dispositivo de destino. El conmutador envía paquetes solo al puerto al que está conectado el dispositivo de destino.

Configure la creación de reflejo de puertos en el conmutador para enviar copias del tráfico de unidifusión a un puerto del analizador local o a una VLAN del analizador. A continuación, puede analizar el tráfico reflejado mediante un analizador de protocolos. El analizador de protocolo puede ejecutarse en un ordenador conectado a la interfaz de salida del analizador o en una estación de supervisión remota.

Puede utilizar la creación de reflejo de puertos para reflejar cualquiera de las siguientes opciones:

  • Packets entering or exiting a port: puede reflejar los paquetes en cualquier combinación de paquetes que entren o salgan de puertos de hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto del analizador local o VLAN del analizador.

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch: puede duplicar los paquetes que ingresan a una VLAN en una VLAN de analizador. En los conmutadores EX3200, EX4200, EX4500 y EX4550, puede configurar varias VLAN (hasta 256 VLAN), incluido un rango de VLAN y PVLAN, como entrada de entrada a un analizador.

  • Packets exiting a VLAN on an EX8200 switch: puede reflejar los paquetes que salen de una VLAN en un conmutador EX8200 en un puerto del analizador local o en una VLAN del analizador. Puede configurar varias VLAN (hasta 256 VLAN), incluido un rango de VLAN y PVLAN, como entrada de salida a un analizador.

  • Statistical samples: puede reflejar una muestra estadística de paquetes que sean:

    • Entrar o salir de un puerto

    • Introducción de una VLAN en un conmutador ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 o EX6200

    • Salir de una VLAN en un conmutador EX8200

    El número de paquetes de muestra se especifica estableciendo la proporción. Puede enviar la muestra a un puerto del analizador local o a una VLAN del analizador.

  • Policy-based sample: puede reflejar una muestra basada en políticas de paquetes que entran en un puerto o una VLAN. Configure un filtro de firewall para establecer una directiva para seleccionar los paquetes que se van a reflejar. Puede enviar la muestra a un puerto del analizador local o a una VLAN del analizador.

Pautas de configuración para conmutadores de las series ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200

Cuando configure la creación de reflejo de puertos, le recomendamos que siga ciertas directrices para asegurarse de obtener un beneficio óptimo de la función de creación de reflejo de puertos. Además, se recomienda deshabilitar la creación de reflejo de puertos cuando no la esté utilizando y que seleccione interfaces específicas para las que se deben reflejar los paquetes (es decir, seleccionar interfaces específicas como entrada para el analizador) en lugar de utilizar la palabra clave que habilita la all creación de reflejo de puertos en todas las interfaces y puede afectar al rendimiento general. También puede limitar la cantidad de tráfico reflejado mediante el muestreo estadístico, estableciendo una proporción para seleccionar una muestra estadística o utilizando un filtro de firewall. Duplicar solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.

Con la creación de reflejo de puerto local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza su capacidad, los paquetes se descartan. Por lo tanto, al configurar un analizador, debe considerar si el tráfico que se refleja supera la capacidad de la interfaz de salida del analizador.

Nota:

En enrutadores ACX5448, en el nivel de jerarquía [edit forwarding-options analyzer an input egress], la entrada del analizador debe configurarse únicamente en interfaces lógicas .0 para las interfaces de entrada y salida. Si configura interfaces lógicas distintas de .0, se mostrará un error durante la confirmación. A continuación se muestra un ejemplo de error de confirmación que se muestra cuando la entrada del analizador está configurada como interfaz lógica .100:

Nota: "Todos los demás conmutadores" o "Todos los conmutadores" en la descripción se aplican a todas las plataformas de conmutadores que admiten la duplicación de puertos. Para obtener más información sobre la compatibilidad con plataformas, consulte el Explorador de características.
Tabla 4: Directrices de configuración

Directriz

Description

Comentario

Número de VLAN que puede utilizar como entrada de entrada a un analizador

  • 16 Dispositivos de entrada u 8 de entrada y 8 de salida: ACX7024

    1—Conmutadores EX2200

  • Conmutadores EX3200, EX4200, EX4500, EX4550 y EX6200

  • No aplica: conmutadores EX8200

 

Número de analizadores que puede habilitar simultáneamente (se aplica tanto a conmutadores independientes como a Virtual Chassis)

  • 1: Conmutadores EX2200, EX3200, EX4200, EX3300 y EX6200

  • Conmutadores EX4500 y EX4550 basados en 7 puertos o 1 global: EX4500 y EX4550

  • 7 en total, con uno basado en una VLAN, filtro de firewall o LAG y los 6 restantes basados en filtros de firewall: conmutadores EX8200

    Nota:

    Un analizador configurado mediante un filtro de firewall no admite la creación de reflejo de paquetes que están saliendo de puertos.

  • Puede configurar más del número especificado de analizadores en el conmutador, pero solo puede habilitar el número especificado para una sesión. Se utiliza disable ethernet-switching-options analyzer name para desactivar un analizador.

  • Consulte la entrada de la siguiente fila de esta tabla para ver la excepción al número de analizadores basados en filtros de firewall permitidos en los conmutadores EX4500 y EX4550.

  • En un Virtual Chassis EX4550, sólo puede configurar un analizador si los puertos de las definiciones de entrada y salida se encuentran en distintos conmutadores de un Virtual Chassis. Para configurar varios analizadores, se debe configurar una sesión completa del analizador en el mismo conmutador de un Virtual Chassis.

Número de analizadores basados en filtros de firewall que puede configurar en conmutadores EX4500 y EX4550

  • 1—Conmutadores EX4500 y EX4550

Si configura varios analizadores, no podrá adjuntar ninguno de ellos a un filtro de firewall.

Tipos de puertos en los que no se puede reflejar el tráfico

  • Puertos de chasis virtual (VCP)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces VLAN enrutadas (RVI)

  • Interfaces de capa 3 etiquetadas por VLAN

 

Si la duplicación de puertos está configurada para reflejar paquetes que salen de puertos 10 Gigabit Ethernet en conmutadores EX8200, los paquetes se eliminan tanto en el tráfico de red como en el reflejado cuando los paquetes reflejados superan el 60 por ciento del tráfico de puertos 10 Gigabit Ethernet.

  • EX8200

 

Direcciones de tráfico para las que puede especificar una proporción

  • Solo entrada: conmutadores EX8200

  • Entrada y salida: todos los demás conmutadores

 

Familias de protocolos que puede incluir en un analizador remoto basado en filtros de firewall

  • Cualquier conmutador excepto inet y inet6—EX8200

  • Cualquiera: todos los demás conmutadores

Puede usar inet y inet6 en conmutadores EX8200 en un analizador local.

Instrucciones de tráfico que puede configurar para la creación de reflejo en puertos en configuraciones basadas en filtros de firewall

  • Solo entrada: todos los conmutadores

 

Los paquetes reflejados en interfaces etiquetadas pueden contener un ID de VLAN o un Ethernet incorrectos.

  • ID de VLAN y Ethertype: conmutadores EX2200

  • Solo ID de VLAN: conmutadores EX3200 y EX4200

  • Solo Ethertype: conmutadores EX4500 y EX4550

  • No aplica: conmutadores EX8200

 

Los paquetes reflejados que salen de una interfaz no reflejan el DSCP de clase de servicio (CoS) reescrito ni los bits 802.1p.

  • Todos los conmutadores

 

El analizador anexa un encabezado 802.1Q (dot1q) incorrecto a los paquetes reflejados en el tráfico enrutado o no refleja ningún paquete en el tráfico enrutado cuando una VLAN de salida que pertenece a una interfaz VLAN enrutada (RVI) está configurada como entrada para ese analizador.

  • EX8200

  • No se aplica: todos los demás conmutadores

Como solución alternativa, configure un analizador que utilice cada puerto (interfaz miembro) de la VLAN como entrada de salida.

Los paquetes con errores de capa física no se envían al analizador local o remoto.

  • Todos los conmutadores

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La configuración de duplicación de puertos en una interfaz de capa 3 con la salida configurada en una VLAN no está disponible en los conmutadores EX8200.

  • EX8200

  • No se aplica: todos los demás conmutadores

 

La duplicación de puertos no admite tráfico de velocidad de línea.

  • Todos los conmutadores

La duplicación de puertos para el tráfico de velocidad de línea se realiza con el mejor esfuerzo.

En un Virtual Chassis EX8200, para reflejar el tráfico a través del Virtual Chassis, el puerto de salida debe ser un LAG.

  • Chasis virtual EX8200

  • No se aplica: todos los demás conmutadores

En un chasis virtual EX8200:

  • Puede configurar LAG como puerto de monitor solo para analizadores nativos.

  • No puede configurar LAG como puerto de supervisión para analizadores basados en filtros de firewall.

  • Si una configuración de analizador contiene LAG como puerto de monitor, no puede configurar VLAN en la definición de entrada de un analizador.

En los conmutadores EX8200 independientes, puede configurar LAG en la definición de salida.

  • Conmutadores independientes EX8200

  • No se aplica: todos los demás conmutadores

En los conmutadores independientes EX8200:

  • Puede configurar un LAG como puerto de supervisión en analizadores nativos y basados en firewall.

  • Si una configuración contiene LAG como puerto de monitor, no puede configurar VLAN en la definición de entrada de un analizador.

Duplicación de puertos en firewalls de la serie SRX

La duplicación de puertos copia los paquetes que entran o salen de un puerto y envía las copias a una interfaz local para su supervisión. La duplicación de puertos se usa para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. </para><para>La duplicación de puertos se utiliza para enviar una copia de todos los paquetes o solo los paquetes muestreados que se ven en un puerto a una conexión de monitoreo de red. Puede reflejar los paquetes en el puerto entrante (duplicación del puerto de entrada) o en el puerto de salida (creación de reflejo del puerto de salida).

La duplicación de puertos solo se admite en los firewalls de la serie SRX con las siguientes tarjetas de E/S:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • E/S flexibles SRX5K-FPC-IOC

En los firewalls de la serie SRX, todos los paquetes que pasan por el mirrored puerto se copian y se envían al puerto especificado mirror-to . Estos puertos deben estar en el mismo chipset Broadcom en las tarjetas de E/S.

En los firewalls de la serie SRX, la duplicación de puertos solo funciona en interfaces físicas.

Descripción de la creación de reflejo de puertos de capa 2

En plataformas de enrutamiento y conmutadores que contienen un ASIC de procesador de Internet II, puede enviar una copia de cualquier paquete entrante desde la plataforma de enrutamiento o conmutador a una dirección de host externa o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de puertos.

En Junos OS versión 9.3 y posteriores, las plataformas de enrutamiento universal 5G serie MX de Juniper Networks en un entorno de capa 2 admiten la duplicación de puertos para el tráfico de puente de capa 2 y el tráfico del servicio de LAN privada virtual (VPLS).

En Junos OS versión 9.4 y posteriores, los enrutadores serie MX en un entorno de capa 2 admiten la creación de reflejo de puertos para el tráfico VPN de capa 2 a través de una conexión cruzada de circuito (CCC) que conecta de forma transparente interfaces lógicas del mismo tipo.

En Junos OS versión 12.3R2, los conmutadores de la serie EX de Juniper Networks admiten la duplicación de puertos para el tráfico de puente de capa 2.

La duplicación de puertos de capa permite especificar la manera en que se supervisan los paquetes entrantes y salientes en los puertos especificados y la manera en que las copias de los paquetes seleccionados se reenvían a otro destino, donde se pueden analizar los paquetes.

Los enrutadores serie MX y los conmutadores serie EX admiten la duplicación de puertos de capa 2 mediante la realización de funciones de monitoreo de flujo mediante el uso de una arquitectura de clase de servicio (CoS) que, en concepto, es similar a, pero en particular diferente de, otras plataformas de enrutamiento y conmutadores.

Al igual que el enrutador perimetral multiservicio M120 y el enrutador perimetral multiservicio M320, los enrutadores serie MX y los conmutadores serie EX admiten la duplicación de paquetes IPv4, IPv6 y VPLS simultáneamente.

En un entorno de capa 3, los enrutadores serie MX y los conmutadores serie EX admiten la duplicación del tráfico IPv4 (family inet) e IPv6 (family inet6). Para obtener información acerca de la creación de reflejo de puertos de capa 3, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico.

Propiedades de duplicación de puertos de capa 2

La creación de reflejo de puertos especifica los siguientes tipos de propiedades:

Selección de paquetes

Las propiedades de selección de paquetes de la duplicación de puertos de capa 2 especifican cómo se seleccionarán los paquetes muestreados para la creación de reflejo:

  • Número de paquetes de cada muestra.

  • Número de paquetes que se van a reflejar de cada muestra.

  • Longitud a la que se van a truncar los paquetes reflejados.

Familia de direcciones de paquetes

El tipo de familia de direcciones de paquete especifica el tipo de tráfico que se va a reflejar. En un entorno de capa 2, los enrutadores serie MX y los conmutadores serie EX admiten la duplicación de puertos para las siguientes familias de direcciones de paquetes:

  • Tipo ethernet-switchingde familia: para duplicar el tráfico VPLS cuando la interfaz física está configurada con el tipo ethernet-bridgede encapsulación.

  • Tipo cccde familia: para duplicar el tráfico VPN de capa 2.

  • Tipo vplsde familia: para duplicar el tráfico de VPLS.

Nota:

En aplicaciones típicas, los paquetes duplicados se envían directamente a un analizador, no a otro enrutador o conmutador. Si debe enviar paquetes duplicados a través de una red, debe usar túneles. Para las implementaciones de VPN de capa 2, puede utilizar el tipo l2vpn de instancia de enrutamiento VPN de capa 2 para tunelizar los paquetes a un destino remoto.

Para obtener información acerca de cómo configurar una instancia de enrutamiento para VPN de capa 2, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento. Para obtener un ejemplo detallado de configuración de VPN de capa 2, consulte Junos OS. Para obtener información acerca de las interfaces de túnel, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.

Propiedades de destino de réplica

Para una familia de direcciones de paquete dada, las propiedades de destino reflejado de una instancia de duplicación de puertos de capa 2 especifican cómo se enviarán los paquetes seleccionados en una interfaz física determinada:

  • Interfaz física por la que se envían los paquetes seleccionados.

  • Si se va a deshabilitar la comprobación de filtros para la interfaz de destino reflejada. De forma predeterminada, la comprobación de filtros está habilitada en todas las interfaces.

    Nota:

    Si aplica un filtro a una interfaz que también es un destino de creación de reflejo de puerto de capa 2, se produce un error de confirmación, a menos que haya deshabilitado la comprobación de filtros para esa interfaz de destino reflejada.

Opción Mirror-Once

Si la duplicación de puertos está habilitada en las interfaces de entrada y salida, puede impedir que el enrutador de la serie MX y un conmutador de la serie EX envíen paquetes duplicados al mismo destino (lo que complicaría el análisis del tráfico reflejado).

Nota:

La opción de duplicación de puerto único es una configuración global. La opción es independiente de las propiedades de selección de paquetes y de las propiedades de destino de reflejo específicas de la familia de paquetes.

Aplicación de tipos de duplicación de puertos de capa 2

Puede aplicar distintos conjuntos de propiedades de duplicación de puertos de capa 2 a los paquetes VPLS en distintos puntos de entrada o salida de una ruta de la serie MX o de una serie EX.

Tabla 5 describe los tres tipos de duplicación de puertos de capa 2 que puede configurar en enrutadores serie MX y conmutadores serie EX: instancia global, instancias con nombre y filtros de firewall.

Tabla 5: Aplicación de tipos de duplicación de puertos de capa 2

Tipo de definición de duplicación de puertos de capa 2

Punto de aplicación

Alcance de la creación de reflejo

Description

Detalles de configuración

Instancia global de creación de reflejo de puertos de capa 2

Todos los puertos del chasis del enrutador (o conmutador) serie MX.

Paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador) serie MX.

Si se configura, las propiedades globales de duplicación de puertos se aplican implícitamente a todos los paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador).

Consulte Configuración de la instancia global de creación de reflejo de puertos de capa 2

Instancia con nombre de duplicación de puertos de capa 2

Puertos agrupados a nivel de FPC

Consulte Vinculación de la creación de reflejo de puertos de capa 2 a puertos agrupados a nivel de FPC.

Paquetes VPLS recibidos en puertos asociados con un DPC o FPC específico y sus motores de reenvío de paquetes.

Anula todas las propiedades de creación de reflejo de puertos configuradas por la instancia global de creación de reflejo de puertos.

Consulte Definición de una instancia con nombre de creación de reflejo de puertos de capa 2.

La cantidad de destinos de duplicación de puertos admitidos para un enrutador serie MX y para un conmutador serie EX está limitada a la cantidad de motores de reenvío de paquetes contenidos en los DPC o FPC instalados en el chasis del enrutador o conmutador.

Puertos agrupados a nivel de PIC

Consulte Vinculación de la creación de reflejo de puertos de capa 2 a puertos agrupados a nivel de PIC.

Paquetes VPLS recibidos en puertos asociados con un motor de reenvío de paquetes específico.

Anula cualquier propiedad de creación de reflejo de puertos configurada en el nivel de FPC o en la instancia global de creación de reflejo de puertos.

Filtro de firewall de duplicación de puerto de capa 2

Interfaz lógica (incluida una interfaz Ethernet agregada)

Consulte Aplicación de la creación de reflejo de puertos de capa 2 a una interfaz lógica.

Paquetes VPLS recibidos o enviados en una interfaz lógica.

En la configuración del filtro del firewall , incluya action y action-modifier términos para aplicar a los paquetes seleccionados para la creación de reflejo:

  • Se recomienda la acceptacción.

  • El port-mirror modificador hace referencia implícitamente a las propiedades de duplicación de puertos actualmente enlazadas a las interfaces físicas subyacentes.

  • El port-mirror-instance pm-instance-name modificador hace referencia explícitamente a una instancia con nombre de creación de reflejo de puertos.

  • (Opcional) Solo para paquetes de entrada de interfaz de túnel, para reflejar los paquetes en destinos adicionales, incluya el next-hop-group next-hop-group-name modificador. Este modificador hace referencia a un grupo de salto siguiente que especifica las direcciones del salto siguiente (para enviar copias adicionales de paquetes a un analizador).

Consulte Definición de un filtro de firewall de duplicación de puertos de capa 2.

Nota:

Los filtros de firewall de duplicación de puertos de capa 2 no son compatibles con los sistemas lógicos.

Para reflejar paquetes de entrada de interfaz de túnel a varios destinos, consulte también Definición de un grupo de salto siguiente para la creación de reflejo de puertos de capa 2.

Tabla de reenvío de VLAN o tabla de inundación

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente.

Tráfico de capa 2 reenviado o inundado a una VLAN

Tabla de reenvío de instancias de enrutamiento VPLS o tabla de inundación

Consulte Aplicación de la creación de reflejo de puertos de capa 2 al tráfico reenviado o inundado a una instancia de enrutamiento VPLS.

Tráfico de capa 2 reenviado o inundado a una instancia de enrutamiento VPLS

Restricciones en la duplicación de puertos de capa 2

Las siguientes restricciones se aplican a la duplicación de puertos de capa 2:

  • Solo se pueden reflejar los datos de tránsito de capa 2 (paquetes que contienen fragmentos de datos que transitan por la plataforma de enrutamiento o el conmutador a medida que se reenvían desde un origen a un destino). Los datos locales de capa 2 (paquetes que contienen fragmentos de datos destinados o enviados por el motor de enrutamiento, como los paquetes de control de capa 2) no se reflejan.

  • Si aplica un filtro de duplicación de puertos a la salida de una interfaz lógica, sólo se reflejan los paquetes de unidifusión. Para reflejar paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con una dirección MAC (Media Access Control) de destino desconocido o paquetes con una entrada MAC en la tabla de enrutamiento MAC de destino (DMAC), aplique un filtro a la entrada a la tabla de inundación de una instancia de enrutamiento de VLAN o de servicio LAN privada virtual (VPLS).

  • El dispositivo de destino espejo debe estar en una VLAN dedicada y no debe participar en ninguna actividad de puente; El dispositivo de destino reflejado no debe tener un puente hacia el destino de tráfico final y el dispositivo de destino reflejado no debe enviar los paquetes reflejados de vuelta a la dirección de origen.

  • Para la instancia global de creación de reflejo de puertos o una instancia de creación de reflejo de puerto con nombre, sólo puede configurar una interfaz de salida de reflejo por instancia de creación de reflejo de puerto y familia de direcciones de paquetes. Si incluye más de una interface instrucción en la family (ethernet-switching | ccc | vpls) output instrucción, la instrucción anterior interface se invalida.

  • El filtrado de firewall de espejado de puertos de capa 2 no es compatible con los sistemas lógicos.

    En una definición de filtro de firewall de duplicación de puertos de capa 2, el action-modifier filtro (port-mirror o port-mirror-instance pm-instance-name) se basa en las propiedades de duplicación de puertos definidas en la instancia global o en instancias con nombre de creación de reflejo de puertos de capa 2, que se configuran en la [edit forwarding-options port-mirroring] jerarquía. Por lo tanto, el filtro no puede admitir la term creación de reflejo de puertos de capa 2 para sistemas lógicos.

  • Para un filtro de firewall de creación de reflejo de puerto de capa 2 en el que se hace referencia implícitamente a las propiedades de creación de reflejo de puerto de capa 2 mediante la inclusión de la port-mirror instrucción, si varias instancias con nombre de creación de reflejo de puerto de capa 2 están enlazadas a la interfaz física subyacente, solo se utiliza el primer enlace de la estrofa (o el único enlace) en la interfaz lógica. Esto se hace para la compatibilidad con versiones anteriores.

  • Los filtros de firewall de duplicación de puertos de capa 2 no admiten el uso de subgrupos del próximo salto para equilibrar la carga del tráfico reflejado.