Configuración de la creación de reflejo de puertos
La duplicación de puertos es la capacidad de un enrutador para enviar una copia de un paquete IPv4 o IPv6 a una dirección de host externa o a un analizador de paquetes para su análisis. La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía al motor de enrutamiento una clave de muestreo basada en el encabezado del paquete. Allí, la clave se puede colocar en un archivo, o los paquetes cflowd basados en la clave se pueden enviar a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de una interfaz de salto siguiente.
Una aplicación para la duplicación de puertos envía un paquete duplicado a un túnel virtual. A continuación, se puede configurar un grupo de salto siguiente para reenviar copias de este paquete duplicado a varias interfaces. Para obtener más información acerca de los grupos del próximo salto, consulte Configuración de grupos del salto siguiente para que utilicen varias interfaces para reenviar paquetes utilizados en la creación de reflejo de puertos.
Todos los enrutadores perimetrales multiservicio serie M, los enrutadores de núcleo serie T y las plataformas de enrutamiento universal 5G serie MX admiten la duplicación de puertos para IPv4 o IPv6. Los enrutadores de las series M120, M320 y MX admiten la duplicación de puertos para IPv4 e IPv6 simultáneamente.
La duplicación de puertos para el tráfico VPLS se admite en enrutadores M7i y M10i configurados con un CFEB-E mejorado, en enrutadores M120, en enrutadores M320 configurados con concentradores PIC flexibles (FPC) III mejorados y enrutadores serie MX.
En Junos OS versión 9.3 y posteriores, la duplicación de puertos se admite para el tráfico de capa 2 en los enrutadores de la serie MX. Para obtener información acerca de cómo configurar la creación de reflejo de puertos para el tráfico de capa 2, consulte la biblioteca de conmutación y puente de capa 2 de Junos OS para dispositivos de enrutamiento.
En Junos OS versión 9.6 y posteriores, la creación de reflejo de puertos se admite para el tráfico VPN de capa 2 en enrutadores M120 y enrutadores M320 configurados con un FPC III mejorado. También puede establecer la longitud máxima del paquete reflejado. Cuando se establece, el paquete reflejado se trunca a la longitud especificada.
En las MPC de los enrutadores serie M y MX, la información de encabezado GRE y MPLS no está contenida en el tráfico reflejado por el puerto correspondiente a los paquetes MPLS transmitidos a través de túneles IP-GRE.
Las plataformas PTX1K, PTX10002, PTX5K, PTX3K y PTX10K con tarjetas de línea de primera generación (LC1101, LC1102, LC1104 y LC1105) no admiten la duplicación de puertos de salida.
Consulte Explorador de características para obtener la lista más reciente de plataformas compatibles y versiones de Junos que admiten la duplicación de puertos.
Directrices de configuración de creación de reflejo de puertos
Al configurar la creación de reflejo de puertos, se aplican las siguientes restricciones:
Solo se admiten datos de tránsito.
Puede configurar la duplicación de puertos IPv4 o IPv6, pero no ambas en los enrutadores de la serie M, excepto en los enrutadores M120 y M320, que admiten la duplicación de puertos para IPv4 e IPv6 simultáneamente.
Puede configurar la duplicación de puertos para IPv4 e IPv6 simultáneamente en los enrutadores M120 y M320 y en los enrutadores de la serie MX.
La duplicación de puertos en la dirección de entrada y salida no se admite para las interfaces IQ (lsq-) de servicios de vínculo.
El filtrado de entrada de paquetes de multidifusión es compatible con todos los concentradores de puerto denso (DPC) de los enrutadores de la serie MX. El filtrado de salida de paquetes de multidifusión solo se admite para interfaces en MPC en enrutadores de la serie MX. El filtrado de paquetes de multidifusión según la dirección de destino no se admite en los enrutadores serie M ni en los enrutadores serie T, y no se admite para interfaces en CPD basados en ASIC de I-chip en enrutadores serie MX.
Para la creación de reflejo de puertos de capa 3 (
family inetyfamily inet6), si el tráfico que se refleja es de multidifusión (en otras palabras, si la dirección IP de destino del paquete es una dirección de multidifusión), la dirección MAC de destino en la copia reflejada corresponde a esta dirección IP de destino de multidifusión y no a la dirección MAC de unidifusión especificada en la[edit forwarding-options port-mirroring family (inet | inet6) output]configuración.De forma predeterminada, los filtros de firewall no se pueden aplicar a las interfaces de destino de duplicación de puertos. Para permitir que las interfaces de destino de duplicación de puertos admitan filtros de firewall, utilice la instrucción para deshabilitar la comprobación de
no-filter-checkfiltros en las interfaces. Puede incluir lano-filter-checkinstrucción en los siguientes niveles jerárquicos:[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
Debe incluir un filtro de firewall con la acción de aceptación y el modificador de acción de espejo de puerto en la interfaz de entrada.
La interfaz que configure para la creación de reflejo de puertos no debe participar en ningún tipo de actividad de enrutamiento.
La dirección de destino que especifique no debe tener una ruta hacia el destino final del tráfico. Por ejemplo, si los paquetes IPv4 de ejemplo tienen una dirección de destino de 192.68.9.10 y el tráfico reflejado en el puerto se envía a 192.68.20.15 para su análisis, el dispositivo asociado con esta última dirección no debería conocer una ruta a 192.68.9.10. Además, no debe enviar los paquetes muestreados de vuelta a la dirección de origen.
En todos los enrutadores, excepto en el enrutador de la serie MX, solo puede configurar una interfaz de duplicación de puertos por enrutador. Si incluye más de una interfaz en la
port-mirroringinstrucción, se sobrescribe la anterior. Los enrutadores de la serie MX admiten más de una interfaz de duplicación de puertos por enrutador.Puede configurar varias instancias de duplicación de puertos en los enrutadores de las series M120, M320 y MX.
Puede especificar tanto el muestreo de host (cflowd) como la creación de reflejo de puertos en la misma configuración. Puede realizar acciones de remuestreo y creación de reflejo de puertos simultáneamente. Sin embargo, no puede realizar acciones de muestreo de PIC y creación de reflejo de puertos simultáneamente.
En aplicaciones típicas, los paquetes de muestra se envían a un analizador o estación de trabajo para su análisis, no a otro enrutador. Si debe enviar este tráfico a través de una red, debe utilizar túneles.
Configuración de la creación de reflejo de puertos
Para configurar la creación de reflejo de puertos, incluya la port-mirroring instrucción en el nivel de [edit forwarding-options] jerarquía:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
Configuración de la familia de direcciones y la interfaz de creación de reflejo de puertos
Para configurar la creación de reflejo de puertos, incluya la port-mirroring instrucción. Para configurar el tipo de tráfico de familia de direcciones que se va a muestrear, incluya la family instrucción. Para configurar la velocidad de muestreo, la duración del muestreo y el tamaño máximo del paquete reflejado, incluya la input instrucción. Para especificar en qué interfaz enviar paquetes duplicados y la dirección del próximo salto para enviar paquetes, incluya la output instrucción. Para determinar si hay filtros en la interfaz especificada, incluya la no-filter-check instrucción.
Para obtener información acerca de la tasa y run-length las instrucciones, consulte Configuración del muestreo de tráfico .
Configuración de varias instancias de duplicación de puertos
En Junos OS versión 9.5 y posteriores, puede configurar varias instancias de duplicación de puertos en los enrutadores de las series M120, M320 y MX. En el enrutador M120, puede asociar cada instancia con una placa de motor de reenvío (FEB) específica. No puede asociar una instancia de creación de reflejo de puerto con un FEB configurado como FEB de reserva. En el enrutador M320, puede asociar cada instancia con un concentrador de PIC flexible (FPC) específico. La asociación de una instancia de duplicación de puertos con una FPC o FEB le permite reflejar paquetes a diferentes destinos. Los enrutadores de la serie MX también admiten múltiples instancias de duplicación de puertos. Para obtener información acerca de cómo configurar varias instancias de duplicación de puertos en enrutadores de la serie MX, consulte la Biblioteca de conmutación y puente de capa 2 de Junos OS para dispositivos de enrutamiento.
En los enrutadores MX80 y MX104, las instancias de duplicación de puertos siempre deben asociarse a FPC 0, ya que asociar instancias de duplicación de puertos a FPC 1 o FPC 2 puede dar lugar a un comportamiento incoherente debido a la arquitectura subyacente.
Para configurar una instancia de creación de reflejo de puertos, incluya la instance port-mirroring-instance instrucción en el nivel de [edit forwarding-options port-mirroring] jerarquía:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- Configuración de instancias de duplicación de puertos
- Asociación de una instancia de duplicación de puertos en enrutadores M320
- Asociación de una instancia de duplicación de puertos en enrutadores M120
- Configuración de plataformas de enrutamiento universal 5G serie MX y enrutadores M120 para reflejar el tráfico solo una vez
Configuración de instancias de duplicación de puertos
Puede configurar varias instancias de duplicación de puertos. Especifique un único port-mirroring-instance-name para cada instancia que configure.
Asociación de una instancia de duplicación de puertos en enrutadores M320
Puede asociar una instancia de duplicación de puertos con una FPC específica en un enrutador M320 o con un FEB específico en un enrutador M120. Solo puede asociar una instancia de duplicación de puertos con cada FPC en un enrutador M320 o con cada FEB en un enrutador M120. En un enrutador M120, no puede asociar una instancia de duplicación de puertos con un FEB configurado como FEB de respaldo.
Para asociar una instancia de duplicación de puertos con una FPC en un enrutador M320, incluya la port-mirror-instance port-mirroring-instance-name instrucción en el nivel de [edit chassis fpc slot-number] jerarquía:
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Para slot-number, especifique el número de ranura de la FPC que desea asociar a la instancia de creación de reflejo de puertos. En port-mirroring-instance-name, especifique el nombre de una instancia de creación de reflejo de puertos que haya configurado en el [edit forwarding-options port-mirroring] nivel jerárquico. Para obtener más información acerca de cómo configurar una FPC en un enrutador M320, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento.
Asociación de una instancia de duplicación de puertos en enrutadores M120
Para asociar una instancia de duplicación de puertos con un FEB en un enrutador M120, incluya la port-mirror-instance port-mirroring-instance-name instrucción en el nivel de [edit chassis feb slot-number] jerarquía:
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
Para slot-number, especifique el número de ranura del FEB que desea asociar a la instancia de creación de reflejo de puertos. En port-mirroring-instance-name, especifique el nombre de una instancia de creación de reflejo de puertos que haya configurado en el [edit forwarding-options port-mirroring] nivel jerárquico. Para obtener información sobre cómo configurar la redundancia FEB en un enrutador M120, consulte la Guía del usuario de alta disponibilidad de Junos OS. Para obtener información acerca de cómo configurar la conectividad de FPC a FEB en un enrutador M120, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento.
Configuración de plataformas de enrutamiento universal 5G serie MX y enrutadores M120 para reflejar el tráfico solo una vez
Solo en los enrutadores serie MX y M120, puede configurar la duplicación de puertos para que el enrutador refleje el tráfico una sola vez. Si configura la creación de reflejo de puertos en las interfaces de entrada y salida, el mismo paquete podría reflejarse dos veces. Para reflejar paquetes una sola vez y evitar que el enrutador envíe paquetes duplicados de muestra al mismo destino de creación de reflejo, incluya la mirror-once instrucción en el nivel de [edit forwarding-options port-mirroring] jerarquía:
[edit forwarding-options port-mirroring] mirror-once;
La mirror-once instrucción sólo se admite en la instancia global de creación de reflejo de puertos.