Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Duplicación y análisis de puertos

SUMMARY En esta sección se describe cómo la simetría de puertos envía tráfico de red a aplicaciones de analizador.

Descripción de los analizadores y la sipeso de puertos

Los analizadores y la duplicación de puertos envían tráfico de red a dispositivos que ejecutan aplicaciones de analizador. Un duplicado de puerto copia el tráfico IP de capa 3 en una interfaz. Un analizador copia paquetes unidos por puente (capa 2) a una interfaz. El tráfico reflejado puede obtenerse de una o varias interfaces. Puede usar un dispositivo conectado a una interfaz de salida reflejada que ejecuta una aplicación de analizador para llevar a cabo tareas como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar el rendimiento de la red, correlacionar eventos y otros problemas en la red.

En enrutadores que contienen un circuito integrado (ASIC) específico de una aplicación (ASIC serie T) o un procesador de Internet de un procesador de Internet del procesador II de Internet, el puerto que refleja copia paquetes de unidifusión que entran o salen de un puerto o que ingresan a una VLAN y las envía a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. El tráfico reflejado lo reciben las aplicaciones que lo ayudan a analizar ese tráfico.

La duplicación de puertos es diferente del muestreo de tráfico. En el caso del toma de muestras de tráfico, se envía una clave de toma de muestras basada en el encabezado IPv4 al motor de enrutamiento, donde se coloca una clave en un archivo o cflowd. Los paquetes basados en esa clave se envían a un servidor cflowd. En la creación de reflejo de puertos, todo el paquete se copia y envía a través de la interfaz especificada, donde se puede capturar y analizar en detalle.

Utilice la creación de reflejos de puertos para enviar tráfico a dispositivos que analicen el tráfico con el fin de supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir los patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos es necesaria cuando se desea llevar a cabo análisis de tráfico, ya que normalmente sólo se envían paquetes al puerto al que está conectado el dispositivo de destino. Es probable que no desee enviar los paquetes originales para su análisis antes de que se reenvíen debido al retraso que esto podría provocar, por lo que la alternativa común es configurar la duplicación de puertos para enviar copias del tráfico de unidifusión a otra interfaz y ejecutar una Analizador de aplicaciones en un dispositivo conectado a dichainterfaz. .

Para configurar la creación de reflejo del puerto, configure una instancia de creación de reflejo del puerto. No se especifica una entrada para esta instancia. En su lugar, debe crear un filtro de firewall que especifique el tráfico necesario y dirigirlo a la instancia incluyendo la port-mirror acción en una then condición del filtro. El filtro del cortafuegos debe estar family inetconfigurado como.

Tenga en cuenta el rendimiento cuando configure la duplicación de puertos. La configuración del filtro de Firewall para reflejar únicamente los paquetes necesarios reduce la posibilidad de que se produzca un impacto en el rendimiento.

Puede configurar una instrucción de analizador para definir tanto el tráfico de entrada como el de salida en la misma configuración del analizador. El tráfico que se debe analizar puede ser tráfico que entra o sale de una interfaz, o tráfico que entra en una VLAN. La configuración de Analyzer le permite enviar este tráfico a una interfaz de salida, instancia o VLAN. Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

En la plataforma EX4400-24T, cuando desactive cualquier interfaz en una VLAN de creación de reflejo de puerto remoto, deberá volver a activar la interfaz deshabilitada y reconfigurar la sesión de analizador para volver a la creación de reflejo del puerto.

Puede usar la simetría de puertos para copiar:

  • Todos los paquetes que entran o salen de una interfaz en cualquier combinación. Las copias de los paquetes que entran en algunas interfaces y paquetes que salen de otras interfaces se pueden enviar a la misma interfaz o VLAN local. Si configura la creación de reflejo del puerto para copiar paquetes que salen de una interfaz, el tráfico que se origina en ese conmutador o dispositivo de nodo (en un sistema QFabric) no se copia cuando sale. Solo se copia el tráfico conmutado en la salida. (Consulte la limitación del espejado de salida que se muestra a continuación.)

  • Cualquiera o todos los paquetes que ingresan a una VLAN. No puede usar la creación de reflejo de puertos para copiar paquetes que salen de una VLAN.

  • Una muestra filtrada por firewall de paquetes que ingresan a un puerto o VLAN.

    Nota:

    No se admiten filtros de firewall en puertos de salida; no puede especificar una toma de muestras basada en políticas de paquetes que salen de una interfaz.

Puede configurar tanto el toma de muestras de tráfico como la creación de reflejo del puerto, estableciendo una velocidad de toma de muestras independiente y una longitud de ejecución para los paquetes reflejados en puertos. Sin embargo, si se selecciona un paquete tanto para el análisis de muestras de tráfico como para la creación de reflejo de puertos, solo se ejecutará la creación de reflejo del puerto, ya que tiene prioridad. En otras palabras, si configura una interfaz para que el tráfico muestree cada entrada de paquetes en la interfaz y la simetría de puertos también selecciona ese paquete que se va a copiar y enviar al puerto de destino, solo se ejecuta el proceso de creación de reflejo del puerto. Los paquetes de prueba de tráfico que no se seleccionan para la creación de reflejo de puertos se siguen muestreando y reenviendo al servidor cflowd.

Para obtener más información sobre los términos utilizados en este tema, consulte Términos y definiciones de la creación de reflejos y analizadores de puertos .

Tipos de instancia

Para configurar la creación de reflejo de puertos, configure una instancia de uno de los siguientes tipos:

  • Instancia del analizador: especifique la entrada y la salida de la instancia. Este tipo de instancia es útil para asegurarse de que todo el tráfico que transita por una interfaz o que entra en una VLAN se refleja y se envía al analizador.

  • Instancia de duplicación de puertos: puede crear un filtro de firewall que identifique el tráfico deseado y lo copie en el puerto reflejado. No se especifica una entrada para este tipo de instancia. Este tipo de instancia es útil para controlar los tipos de tráfico que se reflejan. Puede dirigir el tráfico a él de las siguientes maneras:

    • Especifique el nombre de la instancia de duplicación de puertos en el filtro de firewall mediante la acción cuando haya varias instancias de creación de reflejo port-mirror-instance instance-name de puertos definidas.

    • Envíe los paquetes reflejados a la interfaz de salida definida en la instancia mediante la acción cuando solo hay una instancia de creación de reflejo port-mirror de puertos definida.

Espejeado de puertos e STP

El comportamiento de STP en una configuración de duplicación de Puerto depende de la versión de Junos OS que utilice:

  • Junos OS 13.2 X50, Junos OS 13.2 X51-D25 o anterior, Junos OS 13.2 X52: Cuando el STP está habilitado, es posible que la creación de reflejo del puerto no tenga éxito porque STP puede bloquear los paquetes reflejados.

  • Junos OS 13.2 X51-D30, Junos OS 14,1 X53: STP está deshabilitado para el tráfico reflejado. Debe asegurarse de que su topología evita los bucles de este tráfico.

Restricciones y limitaciones

Se aplican las siguientes restricciones y limitaciones a la creación de reflejo de puertos:

Si solo se reflejan los paquetes necesarios para el análisis, se reduce la posibilidad de reducir el rendimiento general. Si refleja el tráfico desde varios puertos, el tráfico reflejado podría superar la capacidad de la interfaz de salida. Se descartan los paquetes de desborde. Recomendamos que limite la cantidad de tráfico reflejado seleccionando interfaces específicas y evite usar la palabra all clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall para enviar tráfico específico a la instancia de creación de reflejo del puerto.

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • Cada grupo de nodos de un sistema QFabric está sujeto a las siguientes restricciones:

    • Hasta cuatro de las configuraciones se pueden utilizar para la creación de reflejo de puertos locales.

    • Hasta tres de las configuraciones se pueden utilizar para la creación de reflejo de puertos remotos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto, esto cuenta como una configuración de creación de reflejo de entrada para el conmutador o el grupo de nodos a los que se aplica el filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no existe un límite para todo el sistema en el número total de sesiones espejadas.

  • Solo puede configurar un tipo de salida en una configuración de duplicación de puertos para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la creación de reflejo en un analizador set forwarding-options analyzer (con) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la creación de reflejo en varias interfaces lógicas configuradas en una interfaz física, solo se configuró correctamente la primera interfaz lógica; el resto de interfaces lógicas devuelven errores de configuración.

  • Si refleja paquetes de salida, no configure más de 2000 VLAN en un conmutador independiente o en un sistema QFabric. Si lo hace, es posible que algunos paquetes VLAN contengan identificadores de VLAN incorrectos. Esto se aplica a cualquier paquete VLAN, no solo a las copias reflejadas.

  • No ratio se loss-priority admiten las opciones y.

  • Los paquetes con errores de capa física no se envían al puerto de salida o VLAN.

  • Si utiliza la supervisión de sFlow para tomar muestras de tráfico, no muestra las copias reflejadas cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de Virtual Chassis dedicadas

    • Interfaces de administración (me0 o vme0)

    • canal de fibra interfaces

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVIs)

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían fuera de una interfaz de salida, no se modifican para ningún cambio que se pueda aplicar a los paquetes originales en la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada de una sola configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por la CPU (como, por ejemplo, los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en salidas.

  • No se admite la creación de reflejos basados en VLAN para el tráfico STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos de nodo diferentes, las copias reflejadas tendrán identificadores de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador de QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo de nodo. En este caso, las copias reflejadas tendrán los identificadores de VLAN correctos (siempre y cuando no configure más de 2000 VLAN en el sistema QFabric).

  • La verdadera creación de reflejo de salida se define como si se refleja el número exacto de copias y las modificaciones exactas del paquete que salió del puerto de salida. Dado que los procesadores de QFX5xxx (incluidos los conmutadores QFX5100, QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementan la duplicación de salida en el canal de entrada, esos conmutadores no proporcionan modificaciones precisas de paquetes de salida, por lo que el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas en el tráfico original.

  • Si configura una instancia de duplicación de puertos para reflejar el tráfico que sale de una interfaz que realiza encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejos en interfaces de miembro de un retraso.

  • No se admite el reflejo de VLAN de salida.

Las siguientes delimitaciones y limitaciones se aplican a la creación de reflejos de puertos remotos:

  • Si configura una dirección IP de salida, esa dirección no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

  • Si crea instancias de enrutamiento virtual y crea una configuración de analizador que incluye una dirección IP de salida, la dirección IP de salida pertenece a la instancia predeterminada de enrutamiento virtual (tabla de enrutamiento inet.0).

  • Una VLAN de salida no puede ser una VLAN o intervalo VLAN privados.

  • Una VLAN de salida no se puede compartir analyzer con varias instrucciones.

  • Una interfaz VLAN de salida no puede ser miembro de ninguna otra VLAN.

  • Una interfaz VLAN de salida no puede ser una interfaz Ethernet agregada.

  • Si la VLAN de salida tiene más de una interfaz de miembro, el tráfico se espeja únicamente al primer miembro de la VLAN y los demás miembros de la misma VLAN no tienen tráfico espejeado.

  • Si intenta configurar más de una sesión de Analyzer para el reflejo de Puerto remoto en una dirección IP (encapsulación GRE) y se puede tener acceso a las direcciones IP de los analizadores a través de la misma interfaz, solo se configurará una sesión de Analyzer.

  • La cantidad de interfaces de salida posibles en la simetría de puertos remotos varía entre los conmutadores de la línea QFX5K:

    • QFX5110, QFX5120, QFX5210: admite un máximo de 4 interfaces de salida

    • QFX5100 y QFX5200: admite un máximo de 3 interfaces de salida.

  • Siempre que se quite cualquier miembro de una VLAN de sipejea de puerto remoto de esa VLAN, vuelva a configurar la sesión del analizador para esa VLAN.

Restricciones y limitaciones para conmutadores QFX5100 y QFX5200 de red

Se aplican las siguientes consideraciones a la creación de reflejo de puertos en conmutadores QFX5100 QFX5200 configuración:

  • Al configurar la creación de reflejo con salida a dirección IP, se debe tener acceso a la dirección IP de destino y se debe resolver el ARP.
  • El equilibrio de carga de ECMP (Ruta de varios costos iguales) no se admite para destinos reflejados.

  • La cantidad de interfaces de salida en la creación de reflejo de puertos remotos (RSPAN) varía. Para QFX5110, QFX5120 y QFX5210, los conmutadores el máximo es de cuatro interfaces de salida. Para QFX5100 y QFX5200, el máximo es tres.

  • Cuando se especifica un grupo de agregación de vínculos (LAG) como interfaz de salida de creación de reflejo, se duplica un máximo de ocho interfaces.

  • La entrada de creación de reflejo puede ser un LAG, una interfaz física con cualquier unidad (como ae0.101 o xe-0/0/0.100), o una sub interface. En cualquier caso, todo el tráfico en la LAG o interfaz física se refleja.

  • No puede configurar una instancia de creación de reflejo independiente en una interfaz miembro de un LAG.

  • No se puede utilizar una interfaz de salida que se incluye en una instancia de creación de reflejo en otra instancia de creación de reflejo.

  • Para la creación de reflejo local, la interfaz de salida debe ser conmutación Ethernet de familia, con o sin VLAN (es decir, no una interfaz de capa 3).

  • En el caso de las direcciones IPv6 de ERSPAN, no se admite la creación de reflejo de salida cuando el resultado en el analizador o la creación de reflejo de puertos es una dirección IPv6 remota. No se admite el reflejo de salida.

Duplicación de puertos en QFabric

Las siguientes delimitaciones y limitaciones se aplican a la creación de reflejos de puertos locales y remotos:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos.

  • Cada grupo de nodos de un sistema QFabric está sujeto a las siguientes restricciones:

    • Hasta cuatro de las configuraciones se pueden utilizar para la creación de reflejo de puertos locales.

    • Hasta tres de las configuraciones se pueden utilizar para la creación de reflejo de puertos remotos.

  • Independientemente de si está configurando un conmutador independiente o un grupo de nodos:

    • No puede haber más de dos configuraciones que reflejen el tráfico de entrada. Si configura un filtro de firewall para enviar tráfico reflejado a un puerto (es decir, utiliza el modificador de acción en un término de filtro), este se cuenta como una configuración de creación de reflejo de entrada para el conmutador o grupo de nodos al que se aplica el analyzer filtro.

    • No puede haber más de dos configuraciones que reflejen el tráfico de salida.

    • En los sistemas QFabric, no existe un límite para todo el sistema en el número total de sesiones espejadas.

  • Solo puede configurar un tipo de salida en una configuración de duplicación de puertos para completar una set analyzer name output instrucción:

    • interface

    • ip-address

    • vlan

  • Configure la creación de reflejo en un analizador set forwarding-options analyzer (con) en una sola interfaz lógica para la misma interfaz física. Si intenta configurar la creación de reflejo en varias interfaces lógicas configuradas en una interfaz física, solo se configuró correctamente la primera interfaz lógica; el resto de interfaces lógicas devuelven errores de configuración.

  • Si refleja paquetes de salida, no configure más de 2000 VLAN en un conmutador independiente o en un sistema QFabric. Si lo hace, es posible que algunos paquetes VLAN contengan identificadores de VLAN incorrectos. Esto se aplica a cualquier paquete VLAN, no solo a las copias reflejadas.

  • No ratio se loss-priority admiten las opciones y.

  • Los paquetes con errores de capa física no se envían al puerto de salida o VLAN.

  • Si utiliza la supervisión de sFlow para tomar muestras de tráfico, no muestra las copias reflejadas cuando salen de la interfaz de salida.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de Virtual Chassis dedicadas

    • Interfaces de administración (me0 o vme0)

    • canal de fibra interfaces

    • Interfaces de enrutamiento y puente integrados (IRB) (también conocidas como interfaces VLAN enrutadas o RVIs)

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida si la entrada es una VLAN o si el tráfico se envía al analizador mediante un filtro de firewall.

  • Cuando los paquetes reflejados se envían fuera de una interfaz de salida, no se modifican para ningún cambio que se pueda aplicar a los paquetes originales en la salida, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada de una sola configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por la CPU (como, por ejemplo, los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en salidas.

  • No se admite la creación de reflejos basados en VLAN para el tráfico STP.

  • (Solo sistemas QFabric) Si configura un analizador QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en dispositivos de nodo diferentes, las copias reflejadas tendrán identificadores de VLAN incorrectos.

    Esta limitación no se aplica si configura un analizador de QFabric para reflejar el tráfico de salida y las interfaces de entrada y salida se encuentran en el mismo dispositivo de nodo. En este caso, las copias reflejadas tendrán los identificadores de VLAN correctos (siempre y cuando no configure más de 2000 VLAN en el sistema QFabric).

  • La verdadera creación de reflejo de salida se define como si se refleja el número exacto de copias y las modificaciones exactas del paquete que salió del puerto de salida. Dado que los procesadores de QFX5xxx (incluidos los conmutadores QFX5100, QFX5110, QFX5120, QFX5200 y QFX5210) y EX4600 (incluidos EX4600 y EX4650) implementan la duplicación de salida en el canal de entrada, esos conmutadores no proporcionan modificaciones precisas de paquetes de salida, por lo que el tráfico reflejado de salida puede llevar etiquetas VLAN incorrectas que difieren de las etiquetas en el tráfico original.

  • Si configura una instancia de duplicación de puertos para reflejar el tráfico que sale de una interfaz que realiza encapsulación de VLAN, las direcciones MAC de origen y destino de los paquetes reflejados no son las mismas que las de los paquetes originales.

  • No se admite la creación de reflejos en interfaces de miembro de un retraso.

  • No se admite el reflejo de VLAN de salida.

Duplicación de puertos en conmutadores de la serie OCX

Las siguientes delimitaciones y limitaciones se aplican al espejeado de puertos en conmutadores de la serie OCX:

  • Puede crear un total de cuatro configuraciones de duplicación de puertos. No puede haber más de dos configuraciones que reflejan el tráfico de entrada o salida.

  • Si utiliza la supervisión de sFlow para tomar muestras de tráfico, no muestra las copias reflejadas cuando salen de la interfaz de salida.

  • Sólo puede crear una sesión de duplicación de puertos.

  • No puede reflejar paquetes que salen o entran en los siguientes puertos:

    • Interfaces de Virtual Chassis dedicadas

    • Interfaces de administración (me0 o vme0)

    • canal de fibra interfaces

    • Interfaces VLAN enrutadas o interfaces IRB

  • Una interfaz Ethernet agregada no puede ser una interfaz de salida.

  • No incluya una subinterfaz de 802.1 Q que tenga un número de unidad distinto de 0 en una configuración de duplicación de puerto. La simetría de puertos no funciona con subinterfaces si su número de unidad no es 0. (Puede configurar las subinterfaces 802.1Q mediante la vlan-tagging instrucción.)

  • Cuando las copias de paquetes se envían a través de la interfaz de salida, no se modifican para ningún cambio que se aplique normalmente a las salidas, como la reescritura de CoS.

  • Una interfaz puede ser la interfaz de entrada de una sola configuración de duplicación. No utilice la misma interfaz que la interfaz de entrada para varias configuraciones de duplicación.

  • Los paquetes generados por la CPU (como, por ejemplo, los paquetes ARP, ICMP, BPDU y LACP) no se pueden reflejar en salidas.

  • No se admite la creación de reflejos basados en VLAN para el tráfico STP.

Duplicación de puertos en EX2300, EX3400 y EX4300 puertos

La creación de reflejos puede ser necesaria para el análisis de tráfico en un conmutador, ya que un conmutador, al contrario que un concentrador, no transmite los paquetes a todos los puertos del dispositivo de destino. El conmutador sólo envía paquetes al puerto al que está conectado el dispositivo de destino.

Descripción general

Junos OS en conmutadores serie EX2300, EX3400 y EX4300 admiten las configuraciones del Enhanced Layer 2 Software (ELS) que facilitan el análisis del tráfico de estos conmutadores en el nivel del paquete.

Puede usar la simetría de puertos para copiar paquetes a una interfaz local para el monitoreo local o a una VLAN para la supervisión remota. Puede usar analizadores para aplicar políticas relacionadas con el uso de la red y el uso compartido de archivos, e identificar las fuentes de problemas en su red mediante la localización de un uso anormal o pesado de ancho de banda por estaciones o aplicaciones específicas.

La creación de reflejo de puertos está configurada en [edit forwarding-options port-mirroring] el nivel jerárquico. Para duplicar paquetes enrutados (capa 3), puede utilizar la configuración de creación de reflejo del puerto en la que la family instrucción está establecida en o inetinet6 .

Puede usar la creación de reflejo de puerto para copiar estos paquetes:

  • Packets entering or exiting a port: puede reflejar los paquetes en cualquier combinación de paquetes que ingresen o salgan de los puertos hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o VLAN del analizador.

  • Packets entering a VLAN: puede reflejar los paquetes que ingresan a una VLAN en un puerto de analizador local o en una VLAN del analizador. Puede configurar hasta 256 VLAN, incluido un rango de VLAN y PVLAN, como entrada de entrada a un analizador.

  • Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que ingresan a un puerto o una VLAN. Puede configurar un filtro de firewall para establecer una política con el fin de seleccionar los paquetes que se reflejarán y enviar el ejemplo a una instancia de creación de reflejo de puertos o a una VLAN del analizador.

Puede configurar la simétrico del puerto en el conmutador para enviar copias del tráfico de unidifusión a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN. A continuación, puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos. La aplicación de analizador de protocolos puede ejecutarse en un equipo conectado a la interfaz de salida del analizador o en una estación de supervisión remota. Para el tráfico de entrada, puede configurar un término de filtro de cortafuegos para especificar si se debe aplicar la duplicación de puertos en todos los paquetes en la interfaz a la que se aplica el filtro de Firewall. Puede aplicar un filtro de firewall configurado con la acción port-mirror o port-mirror-instance name en las interfaces lógicas de entrada o salida (incluidas interfaces lógicas Ethernet agregadas), al tráfico reenviado o inundado a una VLAN, o a tráfico reenviado o INUNDAdo a un VPLS instancia de enrutamiento. EX2300, EX3400 y EX4300 admiten la creación de reflejo de puertos del tráfico VPLS ( o ) y el tráfico VPN en un entorno de family ethernet-switchingfamily vpls capa family ccc 2.

Dentro de un término de filtro de firewall, puede especificar las propiedades de sipeso de puerto en la then instrucción de las siguientes maneras:

  • Hacer referencia implícita a las propiedades de reflejo de puerto en vigor en el puerto.

  • Hacer referencia de forma explícita a una instancia con nombre específica de duplicación de puertos.

Directrices de configuración para la duplicación y los analizadores de puertos en conmutadores EX2300, EX3400 y EX4300

Cuando configure la creación de reflejo de puertos, recomendamos que siga ciertas directrices para garantizar que obtenga un beneficio óptimo de la creación de reflejo. Además, recomendamos que desactive la creación de reflejo cuando no la esté utilizando y que seleccione interfaces específicas para las cuales se deben duplicar paquetes (es decir, seleccione interfaces específicas como entrada al analizador) en preferencia que utilice la opción de palabra clave que permite la creación de reflejo en todas las interfaces y puede afectar al rendimiento all general. El reflejo de los paquetes necesarios reduce cualquier impacto potencial sobre el rendimiento.

Con la creación de reflejo local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador llega a su capacidad, los paquetes desaparecen. Por lo tanto, al configurar un analizador, debe tener en cuenta si el tráfico que se va a reflejar supera la capacidad de la interfaz de salida del analizador.

Puede configurar un analizador en la [edit forwarding-options analyzer] jerarquía.

Nota:

La duplicación de salida auténtica se define como un reflejo del número exacto de copias y de las modificaciones exactas del paquete que se desconectó del puerto de salida del conmutador. Dado que el procesador de los conmutadores EX2300 y EX3400 implementa la espejado de salida en el canal de entrada, esos conmutadores no proporcionan modificaciones precisas de paquetes de salida, por lo que el tráfico de salida reflejado puede transportar etiquetas VLAN que difieren de las etiquetas en el tráfico original.

Tabla 1 resume directrices de configuración adicionales para la creación de reflejo en conmutadores EX2300, EX3400 y EX4300 configuración.

Tabla 1: Directrices de configuración para la duplicación y los analizadores de puertos en conmutadores EX2300, EX3400 y EX4300

Directrices

Información de valor o de soporte

Coment

Número de redes VLAN que se pueden usar como entradas de entrada para un analizador.

256

 

Número de sesiones y analizadores de creación de reflejos de puerto que puede activar de forma concurrente.

4

Puede configurar un total de cuatro sesiones y puede activar sólo una de las siguientes en cualquier momento:

  • Un máximo de cuatro sesiones de creación de reflejos de puertos (incluida la sesión global de reflejo de puertos).

  • Un máximo de cuatro sesiones de Analyzer.

  • Una combinación de sesiones de creación de reflejos de puerto y analizador, y el total de esta combinación debe ser cuatro.

Puede configurar más de la cantidad especificada de instancias de creación de reflejo de puerto o analizadores en el conmutador, pero solo puede habilitar el número especificado para una sesión.

Tipos de puertos en los que no se puede reflejar el tráfico.

  • Puertos de Virtual Chassis (VCPS)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces de enrutamiento y puentes integrados (IRB); también se conocen como interfaces VLAN enrutadas (RVIs).

  • Interfaces VLAN con etiqueta de capa 3

 

Familias de protocolos que puede incluir en una configuración de duplicación de puerto para el tráfico remoto.

any

 

Las direcciones de tráfico que puede configurar para la creación de reflejo en puertos en configuraciones basadas en filtros de firewall.

Entrada y salida

 

Paquetes reflejados que salen de una interfaz que reflejan bits DSCP o 802.1p reescritos de clase de servicio (CoS).

Válida

 

Paquetes con errores de capa física.

Válida

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La duplicación de puertos no admite el tráfico de la velocidad de línea.

Válida

La duplicación de puertos para el tráfico de la velocidad de línea se realiza de la mejor manera posible.

Espejado de paquetes de salida de una VLAN.

No compatible

 

El reflejo de puerto o la salida del analizador en una interfaz de posposición.

Posible

 

Número máximo de miembros secundarios en una interfaz de reflejo de puerto o de salida del analizador.

8

 

Número máximo de interfaces en una VLAN de Remote Port mirroring o Analyzer.

1

 

Salida del reflejo de paquetes de control generados por el host.

No compatible

 

Configuración de interfaces lógicas de capa input 3 en el Stanza de un analizador.

No compatible

Esta funcionalidad puede lograrse mediante la configuración del reflejo de puerto.

Debe evitarse la entrada y salida del analizador stanzas que contenga miembros de la misma VLAN o la propia VLAN.

Válida

 

Duplicación de puertos en conmutadores EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200 serie EX8200

Juniper Networks Sistema operativo de Junos (Junos OS) que se ejecuta en conmutadores serie EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 o EX8200 no admite configuraciones de Enhanced Layer 2 Software (ELS). Como tal, Junos OS incluye la instrucción que se encuentra en el nivel de la jerarquía de otros paquetes de Junos OS ni la acción en términos de filtro port-mirroringedit forwarding-options de port-mirror firewall.

Puede utilizar la duplicación de puertos para facilitar el análisis de tráfico en el conmutador Ethernet de Juniper Networks ex series en un nivel de paquete. Puede utilizar la creación de duplicación de puertos como parte del tráfico de conmutación de supervisión para tales fines, como la aplicación de políticas relativas al uso de la red y el uso compartido de archivos e identificar los orígenes de los problemas en su red, localizando un uso anormal o pesado del ancho de banda en particular estaciones o aplicaciones.

Puede usar la simetría de puertos para copiar estos paquetes a una interfaz local o a una VLAN:

  • Paquetes que entran o salen de un puerto

  • Puede enviar copias de los paquetes que ingresan a algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o VLAN del analizador.

  • Paquetes que entran en una VLAN en conmutadores EX2200, ex3200, EX3300, EX4200, EX4500, EX4550 o EX6200

  • Paquetes que salen de una VLAN en conmutadores de EX8200

Descripción general

La duplicación de puertos se utiliza para el análisis del tráfico en un conmutador, ya que un conmutador, a diferencia de un concentrador, no difunde paquetes a todos los puertos del dispositivo de destino. El conmutador sólo envía paquetes al puerto al que está conectado el dispositivo de destino.

La creación de reflejo de puertos en el conmutador se configura para enviar copias del tráfico de unidifusión a un puerto de analizador local o a una VLAN del analizador. Luego, puede analizar el tráfico reflejado mediante un analizador de protocolo. El analizador de protocolo puede ejecutarse en una computadora conectada a la interfaz de salida del analizador o en una estación de monitoreo remoto.

Puede usar la creación de reflejo de puertos para reflejar cualquiera de los siguientes elementos:

  • Packets entering or exiting a port: puede reflejar los paquetes en cualquier combinación de paquetes que ingresen o salgan de los puertos hasta 256 puertos.

    En otras palabras, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto de analizador local o VLAN del analizador.

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch: puede reflejar los paquetes que ingresan a una VLAN en una VLAN del analizador. En conmutadores ex3200, EX4200, EX4500 y EX4550, puede configurar varias VLAN (hasta 256 VLAN), incluido el rango de VLAN y PVLANs, a medida que entra en el analizador.

  • Packets exiting a VLAN on an EX8200 switch: puede reflejar los paquetes que salen de una VLAN en un conmutador EX8200 a un puerto de analizador local o a una VLAN de analizador. Puede configurar varias redes VLAN (hasta 256 VLAN), incluido un rango y PVLANs de VLAN, como entrada de salida a un analizador.

  • Statistical samples: puede reflejar una muestra estadística de paquetes que son:

    • Entrada o salida de un puerto

    • Entrada de una VLAN en un conmutador EX2200, ex3200, EX3300, EX4200, EX4500, EX4550 o EX6200

    • Salida de una VLAN en un conmutador EX8200

    Para especificar el número de paquetes de muestra, establezca la relación. Puede enviar la muestra ya sea a un puerto analizador local o a una VLAN de analizador.

  • Policy-based sample: puede reflejar una muestra basada en políticas de paquetes que ingresan a un puerto o una VLAN. Puede configurar un filtro de Firewall para establecer una directiva que seleccione los paquetes que se van a reflejar. Puede enviar la muestra a un puerto de analizador local o a una VLAN de analizador.

Directrices de configuración para EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 y EX8200 serie

Cuando configure la duplicación de puertos, le recomendamos que siga ciertas pautas para garantizar que obtenga el mejor beneficio de la función de duplicación de puertos. Además, recomendamos que desactive la creación de reflejo de puertos cuando no la esté utilizando y que seleccione interfaces específicas para las cuales se deben duplicar paquetes (es decir, seleccione interfaces específicas como entrada al analizador) en lugar de usar la palabra clave que permite la creación de reflejo de puertos en todas las interfaces y puede afectar el rendimiento all general. También puede limitar la cantidad de tráfico simétrico mediante muestreo estadístico, definir una relación para seleccionar una muestra estadística o usar un filtro de Firewall. El reflejo de los paquetes necesarios reduce cualquier impacto potencial sobre el rendimiento.

Con la duplicación de puertos local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador llega a su capacidad, los paquetes desaparecen. Por lo tanto, al configurar un analizador, debe tener en cuenta si el tráfico que se va a reflejar supera la capacidad de la interfaz de salida del analizador.

Nota: "Todos los demás conmutadores" o "Todos los conmutadores" en la descripción se aplican a todas las plataformas de conmutadores que admiten la creación de reflejo del puerto. Para obtener más detalles sobre la compatibilidad de la plataforma, vea Explorador de características.
Tabla 2: Directrices de configuración

Directrices

Descriptiva

Coment

Número de redes VLAN que se pueden usar como entradas de entrada para un analizador

  • 1: EX2200 de acceso

  • 256: conmutadores EX3200, EX4200, EX4500, EX4550 y EX6200 estándar

  • No se aplica: EX8200 conmutadores

 

Número de analizadores que puede activar de forma concurrente (se aplica tanto a los conmutadores autónomos como a Virtual Chassis)

  • 1: EX2200, EX3200, EX4200, EX3300 y EX6200 estándar

  • 7 puertos o 1 global: EX4500 y EX4550 puertos

  • 7 en total, con uno basado en una VLAN, un filtro de firewall o LAG y los 6 restantes basados en filtros de firewall: EX8200 de seguridad

    Nota:

    Un analizador configurado con un filtro de Firewall no admite la creación de reflejos de paquetes que son puertos de salida.

  • Puede configurar más de la cantidad especificada de analizadores en el conmutador, pero sólo puede Habilitar el número especificado para una sesión. disable ethernet-switching-options analyzer nameUtilíctese para deshabilitar un analizador.

  • Consulte la siguiente entrada de fila de esta tabla para ver la excepción de la cantidad de analizadores basados en filtros de firewall permitidos en EX4500 y EX4550 automáticos.

  • En un Virtual Chassis EX4550, solo puede configurar un analizador si los puertos de las definiciones de entrada y salida se encuentran en distintos conmutadores en un Virtual Chassis. Para configurar varios analizadores, debe configurarse una sesión completa del analizador en el mismo conmutador de una Virtual Chassis.

Número de analizadores basados en filtros de firewall que puede configurar en conmutadores EX4500 y EX4550 firewall

  • 1: EX4500 y EX4550 estándar

Si configura varios analizadores, no puede conectar ninguno de ellos a un filtro de Firewall.

Tipos de puertos en los que no se puede reflejar el tráfico

  • Puertos de Virtual Chassis (VCPS)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces VLAN enrutadas (RVIs)

  • Interfaces VLAN con etiqueta de capa 3

 

Si se configura el espejado de puertos para espejar paquetes que salen de puertos de 10 Gigabit Ethernet en conmutadores de EX8200, los paquetes se pierden en el tráfico de red y en el de réplica cuando los paquetes reflejados superan el 60% del tráfico del puerto de 10 Gigabit Ethernet.

  • Conmutadores EX8200

 

Direcciones de tráfico para las que se puede especificar una proporción

  • Solo entrada: EX8200 de acceso

  • Entrada y salida: el resto de conmutadores

 

Familias de protocolos que puede incluir en un analizador remoto basado en filtros Firewall

  • Con inet excepción inet6 de los conmutadores EX8200,

  • Cualquiera: el resto de los conmutadores

Puede usar inet y en inet6 conmutadores EX8200 en un analizador local.

Direcciones de tráfico que puede configurar para la creación de reflejo en puertos en configuraciones basadas en filtros de firewall

  • Solo entrada: todos los conmutadores

 

Los paquetes reflejados en interfaces etiquetadas pueden contener un ID. de VLAN o Ethertype incorrecto.

  • Id. de VLAN y Ethertype: EX2200 conmutadores

  • Solo ID de VLAN: conmutadores EX3200 EX4200 estándar

  • Solo Ethertype: EX4500 y EX4550 únicos

  • No se aplica: EX8200 conmutadores

 

Los paquetes reflejados que salen de una interfaz no reflejan bits reescribitivos de clase de servicio (CoS) o 802.1 p.

  • Todos los conmutadores

 

El analizador anexa un encabezado 802.1Q ( ) incorrecto a los paquetes reflejados en el tráfico enrutado o no refleja ningún paquete en el tráfico enrutado cuando una VLAN de salida que pertenece a una interfaz de VLAN enrutada (RVI) está configurada como la entrada para dot1q ese analizador.

  • Conmutadores EX8200

  • No se aplica: el resto de conmutadores

Como solución, configure un analizador que utilice cada puerto (interfaz de miembro) de la VLAN como entrada de salida.

Los paquetes con errores de capa física no se envían al analizador local o remoto.

  • Todos los conmutadores

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

La configuración de duplicación de puertos en una interfaz de capa 3 con la salida configurada en una VLAN no está disponible en conmutadores de EX8200.

  • Conmutadores EX8200

  • No se aplica: el resto de conmutadores

 

La duplicación de puertos no admite el tráfico de la velocidad de línea.

  • Todos los conmutadores

La duplicación de puertos para el tráfico de la velocidad de línea se realiza de la mejor manera posible.

En un EX8200 Virtual Chassis, para reflejar el tráfico en Virtual Chassis, el puerto de salida debe ser una LAG.

  • EX8200 Virtual Chassis

  • No se aplica: el resto de conmutadores

En un Virtual Chassis EX8200:

  • Puede configurar la posposición como puerto de monitor solo para los analizadores nativos.

  • No se puede configurar la demora como puerto de monitor para los analizadores en función de filtros de Firewall.

  • Si una configuración de Analyzer contiene un retraso como puerto de monitor, no puede configurar una VLAN en la definición de entrada de un analizador.

En conmutadores EX8200 independientes, puede configurar la demora en la definición de salida.

  • EX8200 conmutadores independientes

  • No se aplica: el resto de conmutadores

En EX8200 conmutadores independientes:

  • Puede configurar una posposición como puerto de monitor en los analizadores nativos y basados en firewall.

  • Si una configuración se retrasa como puerto del monitor, no puede configurar una VLAN en la definición de entrada de un analizador.

Duplicación de puertos en dispositivos SRX

La creación de reflejo del puerto copia los paquetes que entran o salen de un puerto y envía las copias a una interfaz local para su supervisión. La creación de reflejo de puertos se usa para enviar tráfico a aplicaciones que analizan el tráfico para fines como monitoreo del cumplimiento, aplicación de políticas, detección de intrusiones, monitoreo y previsión de patrones de tráfico, correlacionación de eventos, entre otros. </para><para>Port se utiliza para enviar una copia de todos los paquetes o solo los paquetes de muestra observados en un puerto a una conexión de monitoreo de red. Puede reflejar los paquetes ya sea en el puerto de entrada (duplicación de puerto de entrada) o en el puerto de salida (creación de reflejo del puerto de salida).

La simetría de puertos solo se admite en los dispositivos SRX con las siguientes tarjetas de E/S:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • E/S flexibles SRX5K-FPC-IOC

En los dispositivos SRX, todos los paquetes que pasan por el puerto se mirrored copian y se envían al puerto mirror-to especificado. Estos puertos deben estar en el mismo chipset de Broadcom en las tarjetas de E/S.

En dispositivos SRX, la simetría de puertos solo funciona en interfaces físicas.

Descripción del espejado de puertos de capa 2

En las plataformas de enrutamiento y los conmutadores que contienen un ASIC de procesador de Internet, puede enviar una copia de cualquier paquete entrante desde la plataforma de enrutamiento o cambiar a una dirección de host externo o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de Puerto.

En Junos OS versión 9.3 y posteriores, el Plataformas de enrutamiento universal de 5G serie MX de Juniper Networks en un entorno de capa 2 admite la creación de reflejo de puertos para el tráfico de puente de capa 2 y el tráfico del servicio laN privada virtual (VPLS).

En la versión 9.4 y posteriores de Junos OS, los enrutadores serie MX de un entorno de capa 2 admiten la creación de reflejo de puertos para el tráfico VPN de capa 2 a través de una conexión cruzada de circuito (CCC) que conecta de forma transparente interfaces lógicas del mismo tipo.

En Junos OS versión 12.3 R2, los conmutadores Juniper Networks EX Series admiten el espejeado de puertos para el tráfico de puente de capa 2.

La creación de reflejo del puerto de capa le permite especificar la forma en que se monitorean los paquetes entrantes y salientes en puertos especificados y la forma en que las copias de los paquetes seleccionados se reenvía a otro destino, donde se pueden analizar los paquetes.

Los enrutadores de la serie MX y los conmutadores de la serie EX admiten el duplicación de puertos de capa 2 mediante la realización de funciones de monitoreo de flujo mediante una arquitectura de clase de servicio (CoS) que es en un concepto similar a, pero en particular diferente a otras plataformas de enrutamiento y conmutadores.

Al igual que el enrutador de borde multiservicio M120 y el enrutador de borde multiservicio de M320, los enrutadores serie MX y ex series admiten la creación de reflejo de paquetes IPv4, IPv6 y VPLS al mismo tiempo.

En un entorno de capa 3, los enrutadores de la serie MX y los conmutadores de la serie EX admiten la creación de reflejos del tráfico IPv4 ( ) e family inet IPv6 ( family inet6 ). Para obtener más información acerca de la creación de reflejo de puertos de capa 3, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.

Propiedades de sipeso de puerto de capa 2

Duplicación de puertos especifica los siguientes tipos de propiedades:

Selección de paquetes

Las propiedades de selección de paquetes de la duplicación de puertos de capa 2 especifican cómo se seleccionarán los paquetes sampleados para la creación de reflejo:

  • El número de paquetes de cada muestra.

  • Número de paquetes que se van a reflejar de cada muestra.

  • Longitud a la que se van a truncar los paquetes reflejados.

Familia de direcciones de paquetes

El tipo de familia de direcciones de paquetes especifica el tipo de tráfico que se va a reflejar. En un entorno de capa 2, los enrutadores de la serie MX y los conmutadores de la serie EX admiten la creación de reflejo de puertos para las siguientes familias de direcciones de paquetes:

  • Tipo de ethernet-switching familia: para reflejar el tráfico VPLS cuando la interfaz física está configurada con un tipo de ethernet-bridge encapsulación.

  • Tipo de ccc familia: para replicar tráfico VPN de capa 2.

  • Tipo de vpls familia: para duplicar el tráfico VPLS.

Nota:

En las aplicaciones típicas, se envían paquetes reflejados directamente a un analizador, no a otro enrutador o conmutador. Si debe enviar paquetes reflejados a través de una red, debe usar túneles. Para implementaciones de VPN de capa 2, puede usar el tipo de instancia de enrutamiento VPN de capa 2 para tunelar los paquetes l2vpn a un destino remoto.

Para obtener más información acerca de cómo configurar una instancia de enrutamiento para VPN de capa 2, consulte la biblioteca Junos OS VPN para dispositivos de enrutamiento. Para obtener una configuración detallada de ejemplo de VPN de capa 2, consulte Junos OS. Para obtener más información acerca de las interfaces de túnel, consulte Junos OS biblioteca de interfaces de red para dispositivos de enrutamiento.

Propiedades de destino reflejado

Para una familia de direcciones de paquete dada, las propiedades de destino reflejadas de una instancia de duplicación de puertos de capa 2 especifican cómo se deben enviar los paquetes seleccionados a una interfaz física determinada:

  • Interfaz física a la que se envían los paquetes seleccionados.

  • Si se va a deshabilitar o no la comprobación de filtros para la interfaz de destino reflejada. De forma predeterminada, la comprobación de filtros está habilitada en todas las interfaces.

    Nota:

    Si aplica un filtro a una interfaz que también es un destino de duplicación de puertos de capa 2, se produce una falla de confirmación, a menos que haya desactivado la comprobación del filtro para esa interfaz de destino reflejada.

Opción reflejar-una vez

Si la duplicación de puertos está habilitada en las interfaces de entrada y salida, puede evitar que el enrutador de la serie MX y un conmutador de serie EX envíen paquetes duplicados al mismo destino (lo que complicaría el análisis del tráfico reflejado).

Nota:

La opción de espejado de puerto de una sola vez es una configuración global. Esta opción es independiente de las propiedades de selección de paquetes y de las propiedades de destino espejadas específicas del tipo de familia de paquetes.

Aplicación de tipos de duplicación de puertos de capa 2

Puede aplicar distintos conjuntos de propiedades de duplicación de puertos de capa 2 a los paquetes VPLS en distintos puntos de entrada o salida de una serie MX o de una ruta de la serie EX.

Tabla 3 describe los tres tipos de duplicación de puertos de capa 2 que puede configurar en enrutadores de la serie MX y conmutadores de la serie EX, los siguientes: instancia global, instancias denominadas y filtros de firewall.

Tabla 3: Aplicación de tipos de duplicación de puertos de capa 2

Tipo de definición de duplicación de puertos de capa 2

Punto de aplicación

Alcance de la creación de reflejos

Descriptiva

Detalles de configuración

Instancia global de duplicación de puertos de capa 2

Todos los puertos del chasis del enrutador (o conmutador) serie MX.

Paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador) serie MX.

Si está configurado, las propiedades de duplicación de puertos globales se aplican implícitamente a todos los paquetes VPLS recibidos en todos los puertos del chasis del enrutador (o conmutador).

Consulte configuración de la instancia global de la creación de reflejo del puerto de capa 2

Instancia nombrada de duplicación de puertos de capa 2

Puertos agrupados en el nivel FPC

Consulte duplicación del puerto de capa de enlace 2 en puertos agrupados en el nivel FPC.

VPLS paquetes recibidos en puertos asociados con un DPC o FPC específico y sus motores de reenvío de paquetes.

Suplanta cualquier propiedad de duplicación de Puerto configurada por la instancia de creación de reflejo de Puerto global.

Consulte definición de una instancia con nombre de duplicación de puertos de capa 2.

La cantidad de destinos de duplicación de puertos compatibles con un enrutador de la serie MX y con un conmutador de la serie EX se limita a la cantidad de motores de reenvío de paquetes contenidos en las DPC o FPC instaladas en el chasis del enrutador o conmutador.

Puertos agrupados en el nivel de PIC

Consulte duplicación del puerto de capa de enlace 2 en puertos agrupados en el nivel de PIC.

VPLS paquetes recibidos en puertos asociados con una motor de reenvío de paquetes específica.

Invalida cualquier propiedad de duplicación de Puerto configurada en el nivel FPC o en la instancia de reflejo de Puerto global.

Filtro de firewall de duplicación de puertos de capa 2

Interfaz lógica (incluida una interfaz Ethernet agregada)

Consulte aplicación de la duplicación de puertos de capa 2 a una interfaz lógica.

VPLS paquetes recibidos o enviados en una interfaz lógica.

En la configuración del filtro de firewall,incluya términos de acción y modificadores de acción para aplicarlos a los paquetes seleccionados para la creación de reflejo:

  • Se accept recomienda realizar esta acción.

  • El port-mirror modificador hace referencia implícitamente a las propiedades de duplicación de puertos enlazadas actualmente a las interfaces físicas subyacentes.

  • El port-mirror-instance pm-instance-name modificador hace referencia explícitamente a una instancia denominada de creación de reflejo de puertos.

  • (Opcional) Solo para paquetes de entrada de interfaz de túnel, para reflejar los paquetes en destinos adicionales, incluya el next-hop-group next-hop-group-name modificador. Este modificador hace referencia a un grupo de salto siguiente que especifica las direcciones de próximo salto (para enviar copias adicionales de paquetes a un analizador).

Consulte definir un puerto de capa 2-creación de reflejo del filtro Firewall.

Nota:

Los filtros de firewall de duplicación de puertos de capa 2 no son compatibles con sistemas lógicos.

Para reflejar los paquetes de entrada de interfaz de túnel en varios destinos, consulte también la definición de un grupo de salto siguiente para la duplicación de puertos de capa 2.

Tabla de enrutamiento o flujo de VLAN

Consulte aplicación de duplicación de puertos de capa 2 al tráfico reenviado o inundado a un dominio de puente.

Tráfico de capa 2 reenviado o inundado en una VLAN

Tabla de reenvío de instancia de enrutamiento VPLS o de inundación

Consulte aplicación de duplicación de puertos de capa 2 al tráfico reenviado o inundado en una instancia de enrutamiento VPLS.

Tráfico de capa 2 reenviado o inundado en una instancia de enrutamiento VPLS

Restricciones en la creación de reflejo de puertos de capa 2

Se aplican las siguientes restricciones a la sipeso de puertos decapa 2:

  • Solo se pueden reflejar los datos de tránsito de capa 2 (paquetes que contienen fragmentos de datos que transitan por la plataforma o conmutador de enrutamiento a medida que se reenvía de un origen a un destino). Los datos locales de capa 2 (paquetes que contienen fragmentos de datos destinados o enviados por el motor de enrutamiento, como paquetes de control de capa 2) no se reflejan.

  • Si aplica un filtro de duplicación de puertos al resultado de una interfaz lógica,solo se reflejan los paquetes de unidifusión. Para reflejar paquetes de difusión, paquetes de multidifusión, paquetes de unidifusión con dirección dirección MAC de destino desconocido (MAC) o paquetes con una entrada MAC en la tabla de enrutamiento MAC de destino (DMAC), aplique un filtro a la tabla de entrada a la tabla de inundación de una instancia de enrutamiento de VLAN o del servicio LAN privada virtual (VPLS).

  • El dispositivo de destino reflejado debe estar en una VLAN dedicada y no debe participar en ninguna actividad de conexión por puente; el dispositivo de destino reflejado no debe tener un puente con el destino final del tráfico, y el dispositivo de destino reflejado no debe devolver los paquetes reflejados a la dirección de origen.

  • En el caso de la instancia de creación de reflejo de Puerto global o de una instancia de creación de reflejo de puerto con nombre, sólo se puede configurar una interfaz de salida de reflejo por instancia de creación de reflejo de puerto y familia de direcciones de paquetes. Si se incluye más de una interface sentencia en el family (ethernet-switching | ccc | vpls) output extracto, la sentencia interface anterior quedará invalidada.

  • El filtrado de firewall de duplicación de puertos de capa 2 no es compatible con sistemas lógicos.

    En una definición de filtro de firewall de duplicación de puertos de capa 2, el filtro ( o ) depende de las propiedades de espejado de puerto definidas en la instancia global o instancias denominadas de sipeste de puerto de capa action-modifierport-mirrorport-mirror-instance pm-instance-name 2, las cuales se configuran bajo la [edit forwarding-options port-mirroring] jerarquía. Por lo tanto, el filtro no puede admitir la creación de reflejo term de puertos de capa 2 para sistemas lógicos.

  • Para un filtro de firewall de duplicación de puertos de capa 2 en el que se hace referencia implícitamente a las propiedades de espejadura de puerto de capa 2 mediante la inclusión de la instrucción, si varias instancias con nombre de la creación de reflejo de puertos de capa 2 están enlazadas a la interfaz física subyacente, entonces solo se utilizará el primer enlace en la estrofa (o el único enlace) en la interfaz port-mirror lógica. Esto se hace por compatibilidad con versiones anteriores.

  • Los filtros de firewall de duplicación de puertos de capa 2 no admiten el uso de subgrupos de salto siguiente para equilibrar la carga de tráfico reflejado.