Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de la duplicación de puertos

La duplicación de puertos es la capacidad de un enrutador de enviar una copia de un paquete IPv4 o IPv6 a una dirección de host externa o a un analizador de paquetes para su análisis.

Consulte el Explorador de características para obtener la lista más reciente de plataformas compatibles y versiones de Junos que admiten la duplicación de puertos.

Este tema, Configuración de la duplicación de puertos, se refiere a la duplicación de puertos en enrutadores serie MX y serie PTX y conmutadores EX9200. Para conocer diferencias de configuración específicas, consulte ejemplos relacionados con la duplicación de puertos en estas plataformas individuales, por ejemplo : Configuración de la duplicación de puertos remotos en enrutadores PTX y Ejemplo: Configuración de la duplicación de puertos múltiples con grupos de salto siguiente en enrutadores M, MX y serie T.

La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía al motor de enrutamiento una clave de muestreo basada en el encabezado del paquete. Allí, la clave se puede colocar en un archivo, o se pueden enviar paquetes cflowd basados en la clave a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de una interfaz de salto siguiente.

En este documento, usamos el término paquete reflejado en lugar de paquete muestreado . La duplicación de puertos es un tipo de muestreo.

Una aplicación para la duplicación de puertos envía un paquete duplicado a un túnel virtual. A continuación, se puede configurar un grupo de salto siguiente para reenviar copias de este paquete duplicado a varias interfaces. Para obtener más información acerca de los grupos de salto siguiente, consulte Configuración de grupos de salto siguiente para utilizar varias interfaces para reenviar paquetes utilizados en la duplicación de puertos.

Todas las plataformas de enrutamiento universal 5G de la serie MX admiten la duplicación de puertos para IPv4 o IPv6.

La duplicación de puertos para el tráfico VPLS se admite en enrutadores de la serie MX.

La duplicación de puertos se admite para el tráfico de capa 2 en enrutadores de la serie MX. Para obtener información acerca de cómo configurar la duplicación de puertos para el tráfico de capa 2, consulte la Guía de administración y supervisión de red.

En las MPC de los enrutadores de la serie MX, la información de encabezado GRE y MPLS no está contenida en el tráfico de puerto reflejado correspondiente a los paquetes MPLS transmitidos a través de túneles IP-GRE.

Las plataformas PTX1K, PTX10002, PTX5K, PTX3K y PTX10K con tarjetas de línea de primera generación (LC1101, LC1102, LC1104 y LC1105) no admiten la duplicación de puertos de salida.

Directrices de configuración de imitación de puerto

Al configurar la duplicación de puertos, se aplican las siguientes restricciones:

  • Solo se admiten datos de tránsito.

  • El valor de UMT de la interfaz de salida de puerto reflejado debe ser lo suficientemente grande como para dar cabida a los paquetes reflejados.

  • No se admite un puerto de troncalización independiente como interfaz de salida de espejo de puerto para enrutadores de la serie MX y conmutadores EX9200. Si desea utilizar un puerto de troncalización como puerto de salida espejo, debe utilizar un dominio de puente (MX) o una VLAN (EX) como salida de espejo de puerto y, a continuación, conectar el puerto de troncalización al dominio de puente o VLAN correspondiente como puerto de salida.

  • Puede configurar la duplicación de puertos para IPv4 e IPv6 simultáneamente en los enrutadores de la serie MX.

  • La duplicación de puertos en la dirección de entrada y salida no se admite para las interfaces IQ de servicios de vínculo (lsq-).

  • El filtrado de entrada de paquetes de multidifusión es compatible con todos los concentradores de puerto denso (DPC) en enrutadores de la serie MX. El filtrado de salida de paquetes de multidifusión se admite para interfaces en MPC en enrutadores de la serie MX. El filtrado de paquetes de multidifusión basado en dirección de destino no se admite para interfaces en DPC basados en ASIC de chip de aislamiento en enrutadores de la serie MX.

    Para la duplicación de puerto de capa 3 (family inet y family inet6), si el tráfico que se refleja es de multidifusión (en otras palabras, si la dirección IP de destino del paquete es una dirección de multidifusión), la dirección MAC de destino en la copia reflejada corresponde a esta dirección IP de destino de multidifusión y no a la dirección MAC de unidifusión especificada en la [edit forwarding-options port-mirroring family (inet | inet6) output] configuración.

  • De forma predeterminada, los filtros de firewall no se pueden aplicar a interfaces de destino que reflejan el puerto. Para permitir que las interfaces de destino de duplicación de puertos admitan filtros de firewall, utilice la instrucción para deshabilitar la no-filter-check comprobación de filtros en las interfaces. Puede incluir la no-filter-check instrucción en los siguientes niveles de jerarquía:

    • [edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output]

    • [edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]

  • Debe incluir un filtro de firewall con la acción y el accept modificador de port-mirror acción en la interfaz de entrada.

  • La interfaz que configure para la duplicación de puertos no debe participar en ningún tipo de actividad de enrutamiento.

  • La dirección de destino que especifique no debe tener una ruta al destino final del tráfico. Por ejemplo, si los paquetes IPv4 duplicados tienen una dirección de destino de 192.68.9.10 y el tráfico reflejado en el puerto se envía para 192.68.20.15 su análisis, el dispositivo asociado con esta última dirección no debería conocer una ruta a 192.68.9.10. Además, no debe enviar los paquetes duplicados a la dirección de origen.

  • Los enrutadores de la serie MX admiten más de una interfaz de duplicación de puerto por enrutador.

  • Puede configurar varias instancias de duplicación de puertos en enrutadores de la serie MX.

  • Puede especificar el muestreo de host (cflowd) y la duplicación de puertos en la misma configuración. Puede realizar acciones de muestreo del motor de enrutamiento y de duplicación de puertos simultáneamente. Sin embargo, no puede realizar acciones de muestreo de PIC y de duplicación de puertos simultáneamente.

  • En aplicaciones típicas, los paquetes duplicados se envían a un analizador o una estación de trabajo para su análisis, no a otro enrutador. Si debe enviar este tráfico a través de una red, debe usar túneles.

  • En los enrutadores de la serie PTX que admiten la duplicación de puertos, los paquetes IPv4 se descartan si la longitud del paquete excede la longitud máxima de paquete configurada.

Nota:

En un filtro de firewall configurado con una acción o, si l2-mirror también se configura actionport-mirror-instance, la familia de instancias de replicación de puerto debe ser any.port-mirror En ausencia de la acción, la l2-mirror familia de instancias de imitación de puerto debe ser la familia de filtros de firewall.

En el ejemplo siguiente, port-mirroring instance pm1 es inet, que es la familia de filtros de firewall y porque l2-mirror la acción no está presente.

En el ejemplo siguiente, debido a que l2-mirror la acción también está presente junto con port-mirror-instance la acción, port-mirroring instance pm1 family es any.

Configuración de la duplicación de puertos

Para configurar la duplicación de puertos, incluya la port-mirroring instrucción en el nivel de [edit forwarding-options] jerarquía:

Configuración de la familia de direcciones de replicación de puerto y la interfaz

Para configurar la duplicación de puertos, incluya la port-mirroring instrucción. Para configurar el tipo de tráfico de familia de direcciones que se va a reflejar, incluya la family instrucción. Para configurar la velocidad de muestreo, la longitud del muestreo y el tamaño máximo del paquete reflejado, incluya la input instrucción. Para especificar en qué interfaz enviar paquetes duplicados y la dirección de salto siguiente para enviar paquetes, incluya la output instrucción. Para determinar si hay filtros en la interfaz especificada, incluya la no-filter-check instrucción.

Para obtener información sobre las rate instrucciones y run-length , consulte Configuración del muestreo de tráfico.

Configuración de enrutadores de la serie MX para reflejar el tráfico una sola vez

En enrutadores de la serie MX, puede configurar la duplicación de puertos para que el enrutador refleje el tráfico una sola vez. Si configura la duplicación de puertos en las interfaces de entrada y salida, el mismo paquete podría duplicarse dos veces. Para reflejar paquetes una sola vez y evitar que el enrutador envíe paquetes duplicados reflejados al mismo destino de duplicación, incluya la mirror-once instrucción en el [edit forwarding-options port-mirroring] nivel de jerarquía:

Nota:

La mirror-once instrucción solo se admite en la instancia de duplicación de puerto global.

Configuración de instancias de imitación de puerto

Las instancias le permiten duplicar paquetes a diferentes destinos desde la misma PFE y también utilizar parámetros de muestreo diferentes para cada instancia.

Puede configurar varias instancias de duplicación de puertos en enrutadores de la serie MX. Para obtener información acerca de cómo configurar varias instancias de duplicación de puertos, consulte la Guía de administración y supervisión de red.

Para configurar una instancia de duplicación de puertos, incluya la instance port-mirroring-instance instrucción en el nivel de [edit forwarding-options port-mirroring] jerarquía:

Asociación de una instancia de duplicación de puerto con una FPC o una PIC en enrutadores de la serie MX

Debe asociar instancias de duplicación de puertos con FPC o PIC. Puede asociar una instancia de duplicación de puerto con una FPC específica o con una PIC específica en un enrutador de la serie MX. "Asociar" una instancia de replicación de puertos a una FPC o una PIC a veces se denomina "vincular" la instancia a la FPC o PIC.

Una instancia a nivel de PIC anula una instancia a nivel de FPC y una instancia a nivel de FPC anula una instancia global.

La cantidad de instancias admitidas es:

  • En una CPC MX, un máximo de 2 instancias pueden estar vinculadas (asociadas con) una PIC. Dado que puede tener 4 PIC por FPC, cada FPC admite 8 instancias.
  • En una MPC MX, se admiten un máximo de 2 instancias y solo se pueden enlazar al nivel de FPC en la jerarquía de [edit chassis] configuración.

Para comprobar la asociación de instancias de replicación de puertos con una FPC, ejecute el comando show chassis fpc fpc-number configuration-mode.

Para asociar una instancia de duplicación de puerto con una FPC o PIC en un enrutador de la serie MX, debe incluir la port-mirror-instance port-mirroring-instance-name instrucción en el nivel de [edit chassis fpc slot-number] jerarquía (reemplazar fpc por pic para configurar el enlace en una PIC).

Nota:

No es necesario incluir esta [edit chassis] configuración en una configuración de reflejo de puerto global .

En slot-number, especifique el número de ranura de la FPC o PIC que desea asociar con la instancia de duplicación de puertos. En port-mirroring-instance-name, especifique el nombre de una instancia de duplicación de puerto que configuró en el [edit forwarding-options port-mirroring] nivel de jerarquía.

Comportamiento específico de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Utilice las siguientes tablas para revisar el comportamiento específico de la plataforma para su plataforma:

Plataforma

Diferencia

serie PTX de enrutadores

No se admite la no-filter-check instrucción para deshabilitar la comprobación de filtros en las interfaces.