Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

了解端口镜像

 

端口镜像概述

端口镜像可复制数据包进入或退出端口或进入 vlan,并将副本发送至本地接口以进行本地监控或用于远程监控的 VLAN。使用端口镜像向分析流量的应用程序发送流量,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。

交换机上的流量分析需要端口镜像,因为交换机通常只会将数据包发送至目标设备所连接的端口。您可以在交换机上配置端口镜像,以便将单播信息流的副本发送至本地接口或 VLAN,并在连接到接口或 VLAN 的设备上运行 analyzer 应用程序。您可以使用analyzer语句来配置端口镜像。

配置端口镜像时,请记住性能。例如,如果您从多个端口中镜像流量,则镜像流量可能会超过输出接口的容量。建议通过选择特定接口而不是使用all关键字来限制复制流量的数量。您还可以通过使用防火墙过滤器将特定流量发送至端口镜像实例来限制镜像流量的数量。仅镜像必要的数据包可降低性能影响的可能性。

您可以使用端口镜像复制以下任何内容:

  • 所有数据包进入或退出接口(以任意组合)—例如,您可以将输入某些接口的数据包的副本和将其他接口发送到相同本地接口或 VLAN 的数据包。如果将端口镜像配置为将数据包复制到接口,则在该交换机或节点设备(在 QFabric 系统中)上产生的信息流在其 egresses 时不会被复制。传出时仅复制已切换的信息流。(请参阅以下有关出口镜像的限制。)

  • 进入 VLAN—的所有数据包都不能使用端口镜像复制正在退出 VLAN 的数据包。

  • 防火墙过滤的数据包—示例示例,用于输入端口或 VLAN。配置防火墙过滤器以选择特定的镜像数据包。

    注意

    出口端口上不支持防火墙过滤器;因此,您不能指定基于策略的数据包采样来退出接口。

端口镜像实例类型

要配置端口镜像,请配置以下某个类型的实例:

  • 分析器实例:您必须为实例指定输入和输出。此实例类型可用于确保接口或 VLAN 经过的所有信息流都已镜像并发送至 analyzer 设备。

  • 端口镜像实例:您无需为此实例类型指定输入。相反,您可以创建一个指定所需信息流的防火墙过滤器,并将其定向到镜像。此实例类型有助于控制应镜像哪些类型的信息流。使用端口镜像实例时,可通过以下方式将信息流定向到其中:

    • 使用该port-mirror-instance instance-name操作在防火墙过滤器中指定端口镜像实例的名称。如果定义了多个端口镜像实例,则应使用此方法。

    • 配置过滤器以使用该port-mirror操作将镜像数据包发送至实例中定义的输出接口。如果仅定义了一个端口镜像实例,则可使用此方法。

端口镜像术语

表 1列出了有关端口镜像的文档中使用的术语,并提供了定义。

表 1: 端口镜像术语和定义

术语Description

分析器实例

端口镜像配置,包括名称、源接口或源 VLAN,以及镜像数据包(本地接入接口或 VLAN)的目标。

端口镜像实例

注意: NFX150 设备上不支持端口镜像实例功能。

未指定输入的端口镜像配置。。防火墙过滤器必须用于向端口镜像发送信息流。使用防火墙过滤器port-mirror-instance instance-name配置中的操作将数据包发送至端口镜像。

输出接口(又称为监控接口)

数据包副本发送到的访问接口,以及运行 analyzer 应用程序的设备连接到的。

输出接口适用以下限制:

  • 也不能是源端口。

  • 不能用于交换。

  • 不能为聚合以太网接口(LAG)。

  • 不参与第2层协议,例如生成树协议(STP)。

  • 将其配置为 analyzer 输出接口时,将丢失任何现有 VLAN 关联。

如果输出接口的容量不足以处理来自源端口的信息流,将丢弃溢出数据包。

输出 IP 地址

运行 analyzer 应用程序的设备的 IP 地址。设备可以位于远程网络上。使用此功能时,镜像数据包将由 GRE 封装。分析器设备必须能够消除 GRE 封装的数据包,否则 GRE 封装的数据包必须在到达 analyzer 设备之前解除封装。(您可以使用网络嗅探器来反封装数据包。)

  • 输出 IP 地址与交换机’的任何管理接口都不能处于同一个子网中。

  • 如果您创建虚拟路由实例,并且还创建包含输出 IP 地址的 analyzer 配置,则输出地址将属于默认虚拟路由实例(inet 路由表)。

输出 VLAN (也称为监视器或分析器 VLAN)

向其发送拷贝的 VLAN,以及运行 analyzer 应用程序的设备连接到的 VLAN。分析器 VLAN 可跨越多台交换机。

输出 VLAN 适用以下限制:

  • 不能为专用 VLAN 或 VLAN 范围。

  • 不能由多个analyzer语句共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口(LAG)。

  • 在某些交换机上,只有一个接口可以是 analyzer VLAN 的成员。如果信息流在入口上镜像,则此限制不适用于 QFX10000 交换机。在这种情况下,多个 QFX10000 接口可以属于输出 VLAN,而流量将镜像到所有这些接口。如果信息流在 QFX10000 交换机上的出口上镜像,则只有一个接口可以是 analyzer VLAN 的成员。

输入接口(又称为镜像或监控接口)

提供要镜像的信息流的接口。此信息流可以进入或退出接口。(入口或出口流量可进行镜像。)输入接口不能也是分析器的输出接口。

监控站

运行分析器应用程序的计算机。

本地端口镜像

将镜像数据包发送至同一交换机上的接口的端口镜像配置。

远程端口镜像

将镜像数据包扩散至您创建的输出(分析器) VLAN,用于接收镜像流量或将镜像数据包发送至远程 IP 地址。(您不能将镜像数据包发送到 QFabric 系统上的远程 IP 地址。)

基于策略的镜像

匹配与防火墙过滤器术语匹配的数据包的镜像。该操作analyzer analyzer-name用于防火墙过滤器中,用于将数据包发送至分析器。

端口镜像和 STP

端口镜像配置中的 STP 行为取决于您使用的 Junos OS 版本:

  • Junos OS 13.2 X50,Junos OS 13.2 X51-D25 或更低版本,Junos OS 13.2 X52:如果启用 STP,端口镜像可能无法工作,因为 STP 可能会阻止镜像数据包。

  • Junos OS 13.2 X51-D30,Junos OS 14.1 X53:为镜像流量禁用 STP。您必须确保拓扑结构阻止了此信息流的环路。

端口镜像约束和限制

本地和远程端口镜像

以下约束和限制适用于本地和远程端口镜像:

  • 您可以创建总共四个端口镜像配置。

  • 您可以在 QFabric 系统的每个节点组上创建总共四个端口镜像配置,但要遵守以下约束:

    • 多达四个配置可用于本地端口镜像。

    • 多达三个配置可用于远程端口镜像。

  • 无论您是配置独立交换机还是节点组,都将应用以下限制:

    • 镜像入口流量的配置不能超过两个。(如果您将防火墙过滤器配置为向端口镜像—发送流量,则在过滤器术语analyzer—中使用该操作修饰符,将其作为用于应用过滤器的交换机或节点组的入口镜像配置。)

    • 不能有两个以上的配置可用于镜像出口流量。

注意

在 QFabric 系统上,对镜像会话总数无系统范围限制。

  • 在一个端口镜像配置中,您最多可以配置一种类型的输出。也就是说,您不能使用以下任何一项来完成set analyzer name output语句:

    • interface

    • ip-address

    • vlan

  • 如果将 Junos OS 配置为镜像出口数据包,请不要在独立交换机或 QFabric 系统上配置超过2000个 Vlan。如果这样做,某些 VLAN 数据包可能会包含错误的 VLAN Id。这不仅适用于镜像副本—以外的任何 VLAN 数据包。

  • ratioloss-priority选项不受支持。

  • 具有物理层错误的数据包将被过滤掉,不会发送到输出端口或 VLAN。

  • 如果您使用 sFlow 监控来采样信息流,则从输出接口退出时,不会对镜像副本取样。

  • 不能镜像正在退出或输入以下端口的数据包:

    • 专用集群交换接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接(IRB)接口(也称为路由 VLAN 接口或 Rvi)

  • 如果输入是 VLAN 或通过防火墙过滤器将信息流发送至分析器,则聚合以太网接口不能是输出接口。

  • 将数据包副本发送出输出接口时,不会针对在出口上正常应用的任何变化(如 CoS 重写)修改它们。

  • 接口只能是一个镜像配置的输入接口。不要将相同的接口用作多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能在出口上进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果将 QFabric analyzer 配置为镜像传出流量,并且输入和输出接口位于不同节点设备上,则镜像副本具有错误的 VLAN Id。如果将 QFabric analyzer 配置为镜像传出流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像副本具有正确的 VLAN Id (只要您在 QFabric 系统上配置的 Vlan 不超过2000个)。

  • 真正的出口镜像定义为镜像从传出交换端口中取出的确切副本数和确切数据包修改。由于 QFX5xxx 上的处理器(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600 (包括 EX4600 和 EX4650)交换机在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可能携带与原始信息流中的标记不同的错误 VLAN 标记。

  • 如果将端口镜像实例配置为镜像从执行 VXLAN 封装的接口中退出的流量,则镜像数据包的源和目标 MAC 地址将不会与原始流量相同。

  • LAG 成员接口上的镜像不受支持。

  • 不支持出口 VLAN 镜像。

仅远程端口镜像

以下约束和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,则地址不能与交换机’的任何管理接口处于同一子网中。

  • 如果您创建虚拟路由实例,并且还创建包含输出 IP 地址的 analyzer 配置,则输出地址将属于默认虚拟路由实例(inet 路由表)。

  • 输出 VLAN 不能为专用 VLAN 或 VLAN 范围。

  • 输出 VLAN 不能由多个analyzer语句共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 有多个成员接口,则信息流仅镜像到 VLAN 的第一个成员,而同一 VLAN 的其他成员则不会传输任何镜像流量。

  • 如果尝试将多个用于远程端口镜像的分析器会话配置为 IP 地址(GRE 封装),并且可以通过同一个接口到达分析器的 IP 地址,则只配置一个 analyzer 会话。

OCX 系列交换机上的端口镜像约束

以下约束和限制适用于 OCX 系列交换机上的端口镜像:

  • 您可以创建总共四个端口镜像配置。以下约束也适用:

    • 镜像入口流量的配置不能超过两个。

    • 不能有两个以上的配置可用于镜像出口流量。

  • 如果您使用 sFlow 监控来采样信息流,则从输出接口退出时,不会对镜像副本取样。

  • 只能创建一个端口镜像会话。

  • 不能镜像正在退出或输入以下端口的数据包:

    • 专用集群交换接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 路由 VLAN 接口或 IRB 接口

  • 聚合以太网接口不能是输出接口。

  • 不要在端口镜像配置中包含 802.1 Q 子接口,其设备号不是0。如果端口镜像的单位号不为0,则不能与子一起使用。(使用vlan-tagging语句配置 802.1 q 子。)

  • 将数据包副本发送出输出接口时,不会针对在出口上正常应用的任何变化(如 CoS 重写)修改它们。

  • 接口只能是一个镜像配置的输入接口。不要将相同的接口用作多个镜像配置的输入接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)不能在出口上进行镜像。

  • STP 流量不支持基于 VLAN 的镜像。