Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

配置端口镜像

 

您可以使用端口镜像复制数据包,并将副本发送到运行应用程序(如网络分析器或入侵检测应用程序)的设备,以便在不延迟它的情况下分析信息流。您可以镜像进入或退出端口或进入 VLAN 的流量,也可通过中继接口将这些副本发送至本地接入接口或 VLAN。

建议您在不使用端口镜像时将其禁用。为避免在启用端口镜像时产生性能问题,建议您选择特定输入接口,而不要使用all关键字。您也可通过使用防火墙过滤器来限制镜像流量的数量。

注意

此任务使用增强型第2层软件(ELS)配置样式。如果交换机运行不支持 ELS 的软件,请参阅配置端口镜像。有关 ELS 详细信息,请参阅Using the Enhanced Layer 2 Software CLI

注意

如果要在不删除现有分析器的情况下创建其他分析程序,请先使用 disable analyzer analyzer-name命令时,此文件将变成活动配置。

注意

您必须将端口镜像输出接口配置为 family ethernet-switching.

配置端口镜像以进行本地分析

要将接口信息流镜像到交换机上的本地接口:

  1. 如果要镜像 ingressing 或 egressing 特定接口的信息流,请选择端口镜像配置的名称,并通过指定接口和流量方向来配置应镜像的信息流:
    [edit forwarding-options]

    user@switch# set 程序 analyzer-name (ingress | egress) interface interface-name

    注意

    如果将 Junos OS 配置为镜像出口数据包,则不要配置超过2000个 Vlan。如果这样做,某些 VLAN 数据包可能会包含错误的 VLAN Id。

    注意

    如果为出口接入接口的数据包配置镜像,则原始数据包在退出接入接口时将丢失任何 VLAN 标记,但是镜像(复制)的数据包在发送至 analyzer 系统时将保留 VLAN 标记。

  2. 如果您想要指定应镜像进入 VLAN 的所有流量,请为端口镜像配置选择名称并指定 VLAN:
    [edit forwarding-options]

    user@switch# set 程序 analyzer-name ingress vlan vlan-name

    注意

    您不能将端口镜像配置为复制 egresses VLAN 的信息流。

  3. 为镜像数据包配置目标接口:
    [edit forwarding-options]

    user@switch# set analyzer analyzer-name 输入 interface interface-name

配置端口镜像以进行远程分析

要将信息流镜像到 VLAN 以在远程位置进行分析:

  1. 配置 VLAN 以传输镜像流量:
    [edit]

    user@switch# set vlan vlan-name vlan-id number
  2. 将连接到另一台交换机(上行链路接口)的接口配置为干线模式,并将其与相应的 VLAN 相关联:
    [edit]

    user@switch# set interfaces interface-name unit 0 family ethernet-switching 端口模式 trunk vlan 人员 (vlan-name | vlan-id)

  3. 配置分析器:
    1. 选择分析器的名称:
      [edit forwarding-options]

      user@switch# set 程序 analyzer-name
    2. 指定要镜像的接口,以及是否应在入口或出口上镜像信息流:
      [edit forwarding-options]

      user@switch# set 程序 analyzer-name (ingress | egress) interface interface-name
    3. 指定相应的 IP 地址或 VLAN 作为输出(在此示例中指定了 VLAN:
      [edit forwarding-options]

      user@switch# set analyzer analyzer-name 输入 vlan (vlan-name | vlan-id)

      如果将 IP 地址指定为输出,请注意以下限制:

      • 该地址不能与交换机’的任何管理接口处于同一子网中。

      • 如果您创建虚拟路由实例,并且还创建包含输出 IP 地址的 analyzer 配置,则输出地址将属于默认虚拟路由实例(inet.0路由表)。

      • 分析器设备必须能够消除 GRE 封装的数据包,否则 GRE 封装的数据包必须在到达 analyzer 设备之前解除封装。(您可以使用网络嗅探器来反封装数据包。)

过滤进入分析器的信息流

注意

NFX150 设备上不支持此功能。

除了通过配置分析器指定要镜像的信息流之外,您还可以使用防火墙过滤器来对要复制的数据包进行更多控制。例如,您可以使用过滤器来指定仅对来自特定应用程序的信息流进行镜像。过滤器可使用任何可用的匹配条件,并且必须具有修饰符的port-mirror-instance instance-name.操作如果您在多个过滤器或术语中使用相同的 analyzer,则输出数据包只复制一次。

使用防火墙过滤器作为端口镜像实例的输入时,您可以将复制的信息流发送到本地接口或 VLAN,就像在不涉及防火墙时一样。

要使用过滤器配置端口镜像:

  1. 配置用于本地或远程分析的端口镜像实例。仅配置输出。例如,对于本地分析,请输入:
    [edit forwarding-options]

    user@switch# set port-mirroring-instance instance-name 输入 interface interface-name
    注意

    您不能将输入配置到此实例。

  2. 使用任何可用的匹配条件创建防火墙过滤器。在then术语中,指定包含 action 修饰符port-mirror-instance instance-name
  3. 将防火墙过滤器应用于应为分析器提供输入的接口或 VLAN:
    [edit]

    user@switch# set interfaces interface-name unit 0 family ethernet-switching filter input filter-name

    [edit]

    user@switch# set vlan (vlan-name | vlan-id) filter input filter-name