Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Espelhamento e análise de portas

SUMMARY Esta seção descreve como o espelhamento de porta envia tráfego de rede para aplicativos de analisador.

Entendendo os espelhamentos e análises de porta

Espelhamento de portas e analisadores enviam tráfego de rede para dispositivos em execução de aplicativos de analisador. Um espelho de porta copia o tráfego IP de Camada 3 para uma interface. Um analisador faz a ponte entre pacotes (Camada 2) e uma interface. O tráfego espelhado pode ser originado de interfaces simples ou múltiplas. Você pode usar um dispositivo conectado a uma interface de saída espelhada que executa um aplicativo de analisador para executar tarefas como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar o desempenho da rede, correlacionar eventos e outros problemas na rede.

Em roteadores que contenham um processador de Internet II de circuito integrado específico para aplicativos (ASIC) ou processador de Internet da Série T, a porta espelhando cópias de pacotes Unicast entrando ou saindo de uma porta ou entrando em uma VLAN e envia essas cópias para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. O tráfego espelhado é recebido por aplicativos que ajudam você a analisar esse tráfego.

O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento, onde uma chave é colocada em um arquivo ou cflowd. Os pacotes baseados nessa chave são enviados para um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado pela interface especificada onde ele pode ser capturado e analisado em detalhes.

Use o espelhamento de portas para enviar tráfego a dispositivos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. O espelhamento de porta é necessário quando você deseja realizar a análise de tráfego, pois normalmente um switch envia pacotes apenas para a porta à qual o dispositivo de destino está conectado. Você provavelmente não deseja enviar os pacotes originais para análise antes que eles sejam encaminhados devido ao atraso que isso causaria, então a alternativa comum é configurar o espelhamento de portas para enviar cópias de tráfego unicast para outra interface e executar um aplicativo de analisador em um dispositivo conectado a essa interface.

Para configurar o espelhamento de portas, configure uma instância de espelhamento de porta. mas não especifique uma entrada para isso. Em vez disso, crie um filtro de firewall que especifica o tráfego necessário e o direciona para a instância. Use a ação port-mirror em um then termo do filtro para isso. O filtro de firewall deve ser configurado como family inet.

Tenha em mente o desempenho ao configurar o espelhamento de portas. Configurar o filtro de firewall para espelhar apenas os pacotes necessários reduz a possibilidade de impacto no desempenho.

Você pode configurar uma declaração de analisador para definir o tráfego de entrada e o tráfego de saída na mesma configuração do analisador. O tráfego a ser analisado pode ser o tráfego que entra ou sai de uma interface, ou tráfego que entra em uma VLAN. A configuração do analisador permite que você envie esse tráfego para uma interface de saída, instância ou VLAN. Você pode configurar um analisador na [edit forwarding-options analyzer] hierarquia.

Nota:

Nos switches da Série EX, quando você desativar qualquer interface em uma porta remota espelhando vLAN, você precisará reativar a interface desativada e reconfigurar a sessão do analisador para retomar o espelhamento de portas.

Você pode usar o espelhamento de porta para copiar:

  • Todos os pacotes que entram ou saem de uma interface em qualquer combinação. Cópias de pacotes que entram em algumas interfaces e pacotes que saem de outras interfaces podem ser enviadas para a mesma interface local ou VLAN. Se você configurar o espelhamento de porta para copiar pacotes que saem de uma interface, o tráfego originado nesse switch ou dispositivo de nó (em um sistema QFabric) não será copiado quando ele se egresso. Apenas o tráfego comutada é copiado na saída. (Veja a limitação do espelhamento de saída abaixo.)

  • Qualquer ou todos os pacotes que entram em uma VLAN. Você não pode usar espelhamento de porta para copiar pacotes que saem de uma VLAN.

  • Uma amostra filtrada por firewall de pacotes entrando em uma porta ou VLAN.

  • Os filtros de firewall não são suportados em portas de saída; ou seja, você não pode especificar a amostragem baseada em política de pacotes que saem de uma interface

  • Em ambientes VXLAN, o espelhamento de porta baseado em filtro de firewall não é suportado em interfaces voltadas para o núcleo ou spine.

Você pode configurar tanto a amostragem de tráfego quanto o espelhamento de portas, configurando uma taxa de amostragem independente e o comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem de tráfego e espelhamento de porta, apenas o espelhamento de porta é executado, conforme ele prevalece. Em outras palavras, se você configurar uma interface para experimentar cada entrada de pacote na interface e espelhamento de porta também selecionar esse pacote a ser copiado e enviado para a porta de destino, somente o processo de espelhamento de portas é executado. Os pacotes amostrados de tráfego que não são selecionados para espelhamento de portas continuam a ser amostrados e encaminhados ao servidor cflowd.

Termos e definições de espelhamento de portas e analisador

As tabelas a seguir fornecem termos e definições para a documentação do espelhamento e do analisador de portas.

Tabela 1: Terminologia
Prazo Definição

Analisador

Para switches EX2300, EX3400 ou EX4300, em uma configuração de espelhamento (analisador) em um analisador inclui:

  • O nome do analisador
  • Portas de origem (entrada) ou VLAN (opcional)

Instância do analisador

Configuração de espelhamento de porta que inclui um nome, interfaces de origem ou VLAN de origem, e um destino para pacotes espelhados (seja uma interface local ou uma VLAN).

Interface de saída de analisador (também conhecida como porta de monitor)

Interface à qual o tráfego espelhado é enviado e ao qual um aplicativo de analisador de protocolo está conectado.

Para switches EX2300, EX3400 e EX4300, as interfaces usadas como saída para um analisador devem ser configuradas como comutação de ethernet da família. Além disso, as seguintes limitações para interfaces de saída de analisador aplicam-se:

  • Também não pode ser uma porta de origem.
  • Não pode ser usado para comutação.
  • Não participe de protocolos de Camada 2, como o Spanning Tree Protocol (STP), quando parte de uma configuração de espelhamento de porta.
  • Se a largura de banda da interface de saída do analisador não for suficiente para lidar com o tráfego a partir das portas de origem, os pacotes de transbordamento serão descartados.

VLAN analisador (também conhecido como monitor VLAN)

VLAN para a qual o tráfego espelhado é enviado. O tráfego espelhado pode ser usado por um aplicativo de analisador de protocolo. As interfaces de membro no monitor VLAN estão espalhadas pelos switches de sua rede.
Analisador baseado em domínio de ponte Uma sessão de analisador configurada para usar domínios de ponte para entrada, saída ou ambos.
Analisador padrão Um analisador com parâmetros de espelhamento padrão. Por padrão, a taxa de espelhamento é de 1 e o comprimento máximo do pacote é o comprimento do pacote completo.
Espelho de porta global Uma configuração de espelhamento de porta que não tem um nome de instância. O espelho de ação do filtro de firewall será a ação para a configuração do filtro de firewall.

Interface de entrada (também conhecida como interface espelhada ou monitorada)

Uma interface que copia o tráfego para a interface do espelho. Esse tráfego pode estar entrando ou saindo (entrada ou saída) da interface.

Uma interface de entrada espelhada não pode ser usada como uma interface de saída para o dispositivo analisador.

Analisador baseado em LAG Um analisador que tem um grupo de agregação de enlaces (LAG) especificado como a interface de entrada (entrada) na configuração do analisador.

Espelhamento de porta local

Uma configuração de espelhamento de porta onde os pacotes espelhados são copiados para uma interface no mesmo switch.

Estação de monitoramento Um computador executando um aplicativo de analisador de protocolo.
Analisador baseado em próximo salto Uma configuração de analisador que usa o grupo de next-hop como saída para um analisador.
Sessão de analisador nativo Uma sessão de analisador que tem definições de entrada e saída em sua configuração de analisador.
Espelhamento baseado em políticas

Espelhamento de pacotes que combinam com um termo de filtro de firewall. A ação analyzer analyzer-name é usada no filtro de firewall para enviar pacotes especificados ao analisador.

Analisador baseado em porta Uma sessão de analisador cuja configuração define interfaces para entrada e saída.

Instância de espelhamento de porta

Uma configuração de espelhamento de porta que não especifica uma fonte de entrada; especifica apenas um destino de saída. Uma configuração de filtro de firewall deve ser definida para a fonte de entrada. Uma configuração de filtro de firewall deve ser definida para espelhar pacotes que correspondam às condições de correspondência definidas no termo do filtro de firewall. O nome da instância de porta espelho de ação na configuração do filtro de firewall é usado para enviar pacotes ao analisador e esses pacotes formam a fonte de entrada.

Use a ação port-mirror-instance instance-name na configuração do filtro de firewall para enviar pacotes ao espelho da porta.

Nota: A instância de espelhamento de porta não é suportada em dispositivos NFX150.
Aplicativo de analisador de protocolo Um aplicativo usado para examinar pacotes transmitidos por um segmento de rede. Também comumente chamado de analisador de rede, sniffer de pacotes ou sondagem.

Interface de saída (também conhecida como interface de monitor)

A interface para onde as cópias dos pacotes são enviadas e para a qual um dispositivo em execução de um analisador está conectado.

As seguintes limitações se aplicam a uma interface de saída (a interface do espelho alvo):

  • Também não pode ser uma porta de origem.

  • Não pode ser usado para comutação.

  • Não pode ser uma interface Ethernet agregada (LAG).

  • Não é possível participar de protocolos de Camada 2, como o Spanning Tree Protocol (STP).

  • As associações VLAN existentes são perdidas quando o espelhamento de porta é aplicado à interface.

  • Os pacotes são descartados se a capacidade da interface de saída for insuficiente para lidar com o tráfego a partir das portas de origem espelhadas.

Endereço IP de saída

Endereço IP do dispositivo em execução de um aplicativo de analisador. O dispositivo pode estar em uma rede remota.

Quando você usa este recurso:

  • Os pacotes espelhados são encapsulados por GRE. O aplicativo do analisador deve ser capaz de des encapsular pacotes encapsulados por GRE ou os pacotes encapsulados por GRE devem ser des encapsulados antes de chegar ao aplicativo do analisador. (Você pode usar um sniffer de rede para des encapsular os pacotes.)

  • O endereço IP de saída não pode estar na mesma sub-rede que qualquer uma das interfaces de gerenciamento de switches.

  • Se você criar instâncias de roteamento virtual e uma configuração de analisador que inclua um endereço IP de saída, o endereço IP de saída pertence à instância de roteamento virtual padrão (tabela de roteamento inet.0).

VLAN de saída (também conhecido como monitor ou analisador VLAN)

VLAN para onde as cópias dos pacotes são enviadas e para onde um dispositivo em execução de um analisador está conectado. O VLAN analisador pode abranger vários switches.

As seguintes limitações se aplicam a uma VLAN de saída:

  • Não pode ser uma gama VLAN ou VLAN privada.

  • Não pode ser compartilhado por várias analyzer declarações.

  • Não pode ser membro de nenhuma outra VLAN.

  • Não pode ser uma interface Ethernet agregada (LAG).

  • Em alguns switches, apenas uma interface pode ser um membro do VLAN analisador. Essa limitação não se aplica ao switch QFX10000. Quando o tráfego de entrada é espelhado, várias interfaces de QFX10000 podem pertencer à VLAN de saída e o tráfego é espelhado de todas essas interfaces. Se o tráfego de saída for espelhado em um switch de QFX10000, apenas uma interface pode ser um membro do VLAN analisador.

Espelhamento remoto de porta

Funciona da mesma forma que o espelhamento de porta local, exceto que o tráfego espelhado não é copiado para uma porta de analisador local, mas é inundado para um VLAN analisador que você cria especificamente com a finalidade de receber tráfego espelhado.

Você não pode enviar pacotes espelhados para um endereço IP remoto em um sistema QFabric.

Analisador baseado em VLAN Uma sessão de analisador cuja configuração usa VLANs para entrada e saída ou para entrada ou saída.

Tipos de instância

Para configurar o espelhamento de portas, configure uma instância de um dos seguintes tipos:

  • Instância do analisador — Especifique a entrada e a saída para a instância. Esse tipo de instância é útil para garantir que todo tráfego que transite por uma interface ou entre em uma VLAN seja espelhado e enviado ao analisador.

  • Instância de espelhamento de portas — você cria um filtro de firewall que identifica o tráfego desejado e o copia para a porta do espelho. Você não especifica uma entrada para este tipo de instância. Esse tipo de instância é útil para controlar os tipos de tráfego espelhados. Você pode direcionar o tráfego para ele das seguintes maneiras:

    • Especifique o nome da instância de espelhamento de porta no filtro de firewall usando a ação port-mirror-instance instance-name quando houver várias instâncias de espelhamento de porta definidas.

    • Envie os pacotes espelhados para a interface de saída definida na instância usando a ação port-mirror quando houver apenas uma instância de espelhamento de porta definida.

Para switches QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 e EX4650, as seguintes diretrizes de espelhamento de porta aplicam-se:

  • No máximo quatro instâncias de espelhamento de portas, ou quatro sessões de analisador, podem ser configuradas ao mesmo tempo. Em outras palavras, você não pode configurar quatro instâncias de espelhamento de portas e quatro sessões de analisador juntas.
  • Se não houver instâncias de espelhamento de porta( ou seja, apenas sessões de analisador estiverem configuradas), então você pode habilitar até três sessões de analisador para espelhamento de entrada e saída. A sessão restante do analisador deve ser usada apenas para espelhamento de entrada.
  • Se você tiver apenas uma instância de espelhamento de porta configurada, em seguida, das instâncias restantes, você pode configurar até três analisadores para espelhamento de entrada e dois analisadores para espelhamento de saída.
  • Se você tiver duas instâncias de espelhamento de porta configuradas, em seguida, das instâncias restantes, você pode configurar até dois analisadores para espelhamento de entrada e um analisador para espelhamento de saída.
  • Se você tiver três instâncias de espelhamento de porta configuradas, a instância restante só pode ser configurada como um analisador (para espelhamento de entrada ou saída),

Espelhamento de portas e STP

O comportamento do STP em uma configuração de espelhamento de porta depende da versão do Junos OS que você está usando:

  • Junos OS 13.2X50, Junos OS 13.2X51-D25 ou anterior, Junos OS 13.2X52: Quando o STP está habilitado, o espelhamento de portas pode não ter sucesso porque o STP pode bloquear os pacotes espelhados.

  • Junos OS 13.2X51-D30, Junos OS 14.1X53: O STP está desativado para tráfego espelhado. Você deve garantir que sua topologia previne loops desse tráfego.

Restrições e limitações

As seguintes restrições e limitações se aplicam ao espelhamento de portas:

Espelhar apenas os pacotes necessários para análise reduz a possibilidade de reduzir o desempenho geral. Se você espelhar o tráfego de várias portas, o tráfego espelhado pode exceder a capacidade da interface de saída. Os pacotes de transbordamento são descartados. Recomendamos que você limite a quantidade de tráfego espelhado selecionando interfaces específicas e evite usar a all palavra-chave. Você também pode limitar a quantidade de tráfego espelhado usando um filtro de firewall para enviar tráfego específico para a instância de espelhamento de portas.

  • Você pode criar um total de quatro configurações de espelhamento de portas.

  • Nos switches EX9200, o espelhamento de porta não é suportado nas placas de linha EX9200-15C.

  • Cada grupo de nós em um sistema QFabric está sujeito às seguintes restrições:

    • Até quatro das configurações podem ser usadas para espelhamento de porta local.

    • Até três das configurações podem ser usadas para espelhamento remoto de portas.

  • Independentemente de você estar configurando um switch autônomo ou um grupo de nós:

    • Não pode haver mais do que duas configurações que espelham o tráfego de entrada. Se você configurar um filtro de firewall para enviar tráfego espelhado a uma porta, isso conta como uma configuração de espelhamento de entrada para o grupo de switches ou nós ao qual o filtro é aplicado.

    • Não pode haver mais do que duas configurações que espelham o tráfego de saída.

    • Nos sistemas QFabric, não há limite em todo o sistema no número total de sessões espelhadas.

  • Você pode configurar apenas um tipo de saída em uma configuração de espelhamento de porta para concluir uma set analyzer name output declaração:

    • interface

    • ip-address

    • vlan

  • Configure o espelhamento em um analisador (com set forwarding-options analyzer) em apenas uma interface lógica para a mesma interface física. Se você tentar configurar o espelhamento em várias interfaces lógicas configuradas em uma interface física, apenas a primeira interface lógica será configurada com sucesso; as interfaces lógicas restantes retornam erros de configuração.

  • Se você espelhar pacotes de saída, não configure mais de 2000 VLANs em um switch autônomo ou sistema QFabric. Se você fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos. Isso se aplica a quaisquer pacotes VLAN, não apenas às cópias espelhadas.

  • As ratio opções e loss-priority as opções não são suportadas.

  • Pacotes com erros físicos de camada não são enviados para a porta de saída ou VLAN.

  • Se você usar o monitoramento do sFlow para provar o tráfego, ele não amostra as cópias do espelho quando elas saem da interface de saída.

  • Você não pode espelhar os pacotes que saem ou entram nas seguintes portas:

    • Interfaces dedicadas do Virtual Chassis

    • Interfaces de gerenciamento (me0 ou vme0)

    • Interfaces fibre channel

    • Interfaces de roteamento e ponte integradas (IRB) (também conhecidas como interfaces VLAN roteadas ou RVIs)

  • Em uma instância de espelhamento de porta, você não pode configurar uma interface de inet ou inet6 como a interface de saída. Os switches a seguir não suportam a set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> configuração:

    Tabela 2: Switches que não suportam a inet/inet6 da família como interface de saída
    Switches EX Switches QFX

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210

     

    QFX5220

     

    QFX5700

  • Uma interface Ethernet agregada não pode ser uma interface de saída se a entrada é uma VLAN ou se o tráfego é enviado ao analisador usando um filtro de firewall.

  • Quando os pacotes espelhados são enviados de uma interface de saída, eles não são modificados para quaisquer alterações que possam ser aplicadas aos pacotes originais na saída, como a reescrita cos.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e pacotes LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego STP.

  • (Somente sistemas QFabric) Se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estiverem em diferentes dispositivos de nós, as cópias espelhadas terão IDs VLAN incorretos.

    Essa limitação não se aplica se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estiverem no mesmo dispositivo de nós. Neste caso, as cópias espelhadas terão os IDs VLAN corretos (desde que você não configure mais de 2000 VLANs no sistema QFabric).

  • O espelhamento de saída verdadeiro é definido como espelhamento do número exato de cópias e das modificações exatas dos pacotes que saíram pela porta de saída. Como os processadores dos switches QFX5100 e EX4600 implementam espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, de modo que o tráfego espelhado de saída pode transportar etiquetas VLAN incorretas que diferem das tags no tráfego original.

  • Se você configurar uma instância de espelhamento de porta para espelhar o tráfego saindo de uma interface que executa o encapsulamento de VLAN, os endereços MAC de origem e destino dos pacotes espelhados não são os mesmos dos pacotes originais.

  • O espelhamento em interfaces de membros de um LAG não é suportado.

  • O espelhamento VLAN de saída não é suportado.

As seguintes restrições e limitações se aplicam ao espelhamento remoto de portas:

  • Se você configurar um endereço IP de saída, esse endereço não pode estar na mesma sub-rede que qualquer uma das interfaces de gerenciamento de switches.

  • Se você criar instâncias de roteamento virtual e criar uma configuração de analisador que inclua um endereço IP de saída, o endereço IP de saída pertence à instância de roteamento virtual padrão (tabela de roteamento inet.0).

  • Uma VLAN de saída não pode ser um intervalo VLAN ou VLAN privado.

  • Uma VLAN de saída não pode ser compartilhada por várias sessões de analisador ou instâncias de espelho de porta.

  • Uma interface VLAN de saída não pode ser membro de nenhuma outra VLAN.

  • Uma interface VLAN de saída não pode ser uma interface Ethernet agregada.

  • Se o VLAN de saída tiver mais de uma interface de membro, o tráfego será espelhado apenas para o primeiro membro da VLAN, e outros membros da mesma VLAN não carregarão tráfego espelhado.

  • Para espelhamento remoto de portas em um endereço IP (encapsulamento GRE), se você configurar mais de uma sessão de analisador ou instância espelhada de porta, e os endereços IP dos analisadores ou instâncias de espelho de porta forem acessíveis pela mesma interface, apenas uma sessão de analisador ou instância espelhada de porta será configurada.

  • O número de interfaces de saída possíveis no espelhamento remoto de porta varia entre os switches da linha QFX5K:

    • QFX5110, QFX5120 QFX5210 — suporte a no máximo 4 interfaces de saída

    • QFX5100 e QFX5200 — suportam no máximo 3 interfaces de saída.

  • Sempre que qualquer membro em uma porta remota espelhando o VLAN for removido dessa VLAN, reconfigure a sessão do analisador para essa VLAN.

Restrições e limitações para switches de QFX5100 e QFX5200

As considerações a seguir aplicam-se ao espelhamento de portas em switches de QFX5100 e QFX5200:

  • Ao configurar o espelhamento com saída para endereço IP, o endereço IP de destino deve ser acessável e o ARP deve ser resolvido.
  • O balanceamento de carga de ECMP (Equal Cost Multiple Path) não é compatível com destinos espelhados.

  • O número de interfaces de saída em espelhamento remoto de portas (RSPAN) varia. Para QFX5110, QFX5120 e QFX5210, o máximo de switches são quatro interfaces de saída. Para switches de QFX5100 e QFX5200, o máximo é de três.

  • Ao especificar um grupo de agregação de enlaces (LAG) como a interface de saída de espelhamento, um máximo de oito interfaces são espelhadas.

  • A entrada de espelhamento pode ser um LAG, uma interface física com qualquer unidade (como ae0.101 ou xe-0/0/0,100) ou uma sub-interface. De qualquer forma, todo o tráfego no LAG ou interface física é espelhado.

  • Você não pode configurar uma instância de espelhamento independente em uma interface de membro de um LAG.

  • Uma interface de saída que está incluída em uma instância de espelhamento também não pode ser usada em outra instância de espelhamento.

  • Em uma instância de espelhamento de porta, os pacotes perdidos no pipeline de saída do caminho de encaminhamento são nunca menos espelhados para o destino. Isso ocorre porque a ação de espelhamento ocorre no pipeline de entrada, antes da ação de queda.

  • Em uma instância de espelhamento de porta, apenas um destino de saída de espelho pode ser especificado.

  • Os destinos de espelho de saída que estão configurados em várias instâncias de espelhamento de porta ou analisador devem ser todos únicos.

  • Para os endereços IPv6 do ERSPAN, o espelhamento de saída não é suportado quando a saída para o analisador/espelhamento de porta é um endereço IPv6 remoto. O espelho de saída não é suportado.

  • Para espelhamento local, a interface de saída deve ser a comutação de ethernet da família, com ou sem VLAN (ou seja, não uma interface de Camada 3).

  • Ao configurar uma instância de espelhamento de porta ou analisador em um ambiente de provedor de serviços, use o nome VLAN em vez do ID VLAN.

Espelhamento de portas em switches da Série QFX10000

A lista a seguir descreve restrições e limitações aplicáveis especificamente aos switches da Série QFX10000. Para obter informações gerais sobre espelhamento de porta em switches, veja seções anteriores neste documento de espelhamento de portas e analisadores que não chamam especificamente outros nomes de plataforma no título da seção.

  • Apenas o espelhamento global de porta de entrada é suportado. Você pode configurar o espelhamento global de portas com parâmetros de entrada, como rate , run-lengthe maximum-packet-length. O espelhamento global de portas de saída não é suportado.

  • As instâncias de espelhamento de porta são suportadas apenas para espelhamento remoto de portas. As instâncias globais de espelhamento de portas são suportadas para espelhamento local.

  • O espelhamento de porta local é suportado apenas nessas famílias de filtro de firewall: inet e inet6...

  • O espelhamento de porta local não é suportado em famílias de filtros any de firewall ou ccc.

Espelhamento de porta no QFabric

As seguintes restrições e limitações se aplicam ao espelhamento de porta local e remoto:

  • Você pode criar um total de quatro configurações de espelhamento de portas.

  • Cada grupo de nós em um sistema QFabric está sujeito às seguintes restrições:

    • Até quatro das configurações podem ser usadas para espelhamento de porta local.

    • Até três das configurações podem ser usadas para espelhamento remoto de portas.

  • Independentemente de você estar configurando um switch autônomo ou um grupo de nós:

    • Não pode haver mais do que duas configurações que espelham o tráfego de entrada. Se você configurar um filtro de firewall para enviar tráfego espelhado a uma porta — ou seja, você usa o modificador de ação analyzer em um termo de filtro — isso conta como uma configuração de espelhamento de entrada para o grupo de switches ou nós ao qual o filtro é aplicado.

    • Não pode haver mais do que duas configurações que espelham o tráfego de saída.

    • Nos sistemas QFabric, não há limite em todo o sistema no número total de sessões espelhadas.

  • Você pode configurar apenas um tipo de saída em uma configuração de espelhamento de porta para concluir uma set analyzer name output declaração:

    • interface

    • ip-address

    • vlan

  • Configure o espelhamento em um analisador (com set forwarding-options analyzer) em apenas uma interface lógica para a mesma interface física. Se você tentar configurar o espelhamento em várias interfaces lógicas configuradas em uma interface física, apenas a primeira interface lógica será configurada com sucesso; as interfaces lógicas restantes retornam erros de configuração.

  • Se você espelhar pacotes de saída, não configure mais de 2000 VLANs em um switch da Série QFX. Se você fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos. Isso se aplica a quaisquer pacotes VLAN, não apenas às cópias espelhadas.

  • As ratio opções e loss-priority as opções não são suportadas.

  • Pacotes com erros físicos de camada não são enviados para a porta de saída ou VLAN.

  • Se você usar o monitoramento do sFlow para provar o tráfego, ele não amostra as cópias do espelho quando elas saem da interface de saída.

  • Você não pode espelhar os pacotes que saem ou entram nas seguintes portas:

    • Interfaces dedicadas do Virtual Chassis

    • Interfaces de gerenciamento (me0 ou vme0)

    • Interfaces fibre channel

    • Interfaces de roteamento e ponte integradas (IRB) (também conhecidas como interfaces VLAN roteadas ou RVIs)

  • Uma interface Ethernet agregada não pode ser uma interface de saída se a entrada é uma VLAN ou se o tráfego é enviado ao analisador usando um filtro de firewall.

  • Quando os pacotes espelhados são enviados de uma interface de saída, eles não são modificados para quaisquer alterações que possam ser aplicadas aos pacotes originais na saída, como a reescrita cos.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e pacotes LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego STP.

  • (Somente sistemas QFabric) Se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estiverem em diferentes dispositivos de nós, as cópias espelhadas terão IDs VLAN incorretos.

    Essa limitação não se aplica se você configurar um analisador QFabric para espelhar o tráfego de saída e as interfaces de entrada e saída estiverem no mesmo dispositivo de nós. Neste caso, as cópias espelhadas terão os IDs VLAN corretos (desde que você não configure mais de 2000 VLANs no sistema QFabric).

  • O espelhamento de saída verdadeiro é definido como espelhamento do número exato de cópias e das modificações exatas dos pacotes que saíram pela porta de saída. Porque os processadores no QFX5xx (incluindo QFX5100, QFX5110, QFX5120, QFX5200 e QFX5210) e EX4600 (incluindo switches EX4600 e EX4650) implementam espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, para que o tráfego espelhado de saída possa transportar etiquetas VLAN incorretas que diferem das tags no tráfego original.

  • Se você configurar uma instância de espelhamento de porta para espelhar o tráfego saindo de uma interface que executa o encapsulamento de VLAN, os endereços MAC de origem e destino dos pacotes espelhados não são os mesmos dos pacotes originais.

  • O espelhamento em interfaces de membros de um LAG não é suportado.

  • O espelhamento VLAN de saída não é suportado.

Espelhamento de portas nos switches da Série OCX

As seguintes restrições e limitações se aplicam ao espelhamento de portas em switches da Série OCX:

  • Você pode criar um total de quatro configurações de espelhamento de portas. Não pode haver mais do que duas configurações que espelham o tráfego de entrada ou saída.

  • Se você usar o monitoramento do sFlow para provar o tráfego, ele não amostra as cópias do espelho quando elas saem da interface de saída.

  • Você pode criar apenas uma sessão de espelhamento de porta.

  • Você não pode espelhar os pacotes que saem ou entram nas seguintes portas:

    • Interfaces dedicadas do Virtual Chassis

    • Interfaces de gerenciamento (me0 ou vme0)

    • Interfaces fibre channel

    • Interfaces de VLAN roteadas ou interfaces IRB

  • Uma interface Ethernet agregada não pode ser uma interface de saída.

  • Não inclua um subinterface 802.1Q que tenha um número de unidade diferente de 0 em uma configuração de espelhamento de porta. O espelhamento de porta não funciona com subinterfaces se o número da unidade não for 0. (Você configura subinterfaces 802.1Q usando a vlan-tagging declaração.)

  • Quando as cópias de pacotes são enviadas pela interface de saída, elas não são modificadas para quaisquer alterações que normalmente são aplicadas na saída, como a reescrita da CoS.

  • Uma interface pode ser a interface de entrada para apenas uma configuração de espelhamento. Não use a mesma interface da interface de entrada para várias configurações de espelhamento.

  • Os pacotes gerados por CPU (como ARP, ICMP, BPDU e pacotes LACP) não podem ser espelhados na saída.

  • O espelhamento baseado em VLAN não é suportado para tráfego STP.

Espelhamento de porta em switches EX2300, EX3400 e EX4300

O espelhamento pode ser necessário para análise de tráfego em um switch porque um switch, ao contrário de um hub, não transmite pacotes para todas as portas do dispositivo de destino. O switch envia pacotes apenas para a porta à qual o dispositivo de destino está conectado.

Visão geral

O Junos OS em execução nos switches ex2300, EX3400 e EX4300 oferece suporte às configurações aprimoradas de software de camada 2 (ELS) que facilitam a análise do tráfego nesses switches no nível de pacote.

Você usa espelhamento de porta para copiar pacotes em uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar analisadores para aplicar políticas relativas ao uso de rede e compartilhamento de arquivos, e identificar fontes de problemas em sua rede localizando o uso anormal ou pesado de largura de banda por estações ou aplicativos específicos.

O espelhamento de portas está configurado no nível de [edit forwarding-options port-mirroring] hierarquia. Para espelhar pacotes roteados (Camada 3), você pode usar a configuração de espelhamento de porta em que a family declaração está definida inet ou inet6.

Você pode usar o espelhamento de porta para copiar esses pacotes:

  • Packets entering or exiting a port— Você pode espelhar os pacotes em qualquer combinação de pacotes que ingressem ou saiam de portas de até 256 portas.

    Em outras palavras, você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas para a mesma porta de analisador local ou analisador VLAN.

  • Packets entering a VLAN— Você pode espelhar os pacotes que entram em uma VLAN em uma porta de analisador local ou em um VLAN analisador. Você pode configurar até 256 VLANs, incluindo uma gama VLAN e PVLANs, conforme a entrada de entrada para um analisador.

  • Policy-based sample packets— Você pode espelhar uma amostra baseada em política de pacotes que estão entrando em uma porta ou uma VLAN. Você configura um filtro de firewall para estabelecer uma política para selecionar os pacotes a serem espelhados e enviar a amostra para uma instância de espelhamento de porta ou para um VLAN analisador.

Você pode configurar o espelhamento de porta no switch para enviar cópias do tráfego Unicast para um destino de saída, como uma interface, uma instância de roteamento ou uma VLAN. Em seguida, você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo. O aplicativo de analisador de protocolo pode ser executado em um computador conectado à interface de saída do analisador ou em uma estação de monitoramento remota. Para o tráfego de entrada, você pode configurar um termo de filtro de firewall para especificar se o espelhamento de porta deve ser aplicado a todos os pacotes na interface à qual o filtro de firewall é aplicado. Você pode aplicar um filtro de firewall configurado com a ação port-mirror ou port-mirror-instance name para as interfaces lógicas de entrada ou saída (incluindo interfaces lógicas agregadas da Ethernet), para o tráfego encaminhado ou inundado para uma VLAN, ou tráfego encaminhado ou inundado para uma instância de roteamento VPLS. Os switches EX2300, EX3400 e EX4300 oferecem suporte a espelhamento de portas de tráfego VPLS (family ethernet-switching ou family vpls) de tráfego VPN com family ccc um ambiente de Camada 2.

Dentro de um termo de filtro de firewall, você pode especificar as propriedades de espelhamento de porta sob a declaração das then seguintes maneiras:

  • Consulte implicitamente as propriedades de espelhamento de porta vigentes na porta.

  • Consulte explicitamente uma instância nomeada em particular de espelhamento de porta.

Diretrizes de configuração para espelhamento e análise de portas nos switches EX2300, EX3400 e EX4300

Ao configurar o espelhamento de porta, recomendamos que você siga determinadas diretrizes para garantir que você obtenha o melhor benefício do espelhamento. Além disso, recomendamos que você desabile o espelhamento quando não estiver usando e que selecione interfaces específicas para as quais os pacotes devem ser espelhados (ou seja, selecione interfaces específicas como entrada para o analisador) em preferência para usar a opção all de palavra-chave que permite espelhamento em todas as interfaces e pode afetar o desempenho geral. Espelhar apenas os pacotes necessários reduz qualquer impacto potencial de desempenho.

Com o espelhamento local, o tráfego de várias portas é replicado na interface de saída do analisador. Se a interface de saída de um analisador atingir a capacidade, os pacotes serão descartados. Assim, ao configurar um analisador, você deve considerar se o tráfego que está sendo espelhado excede a capacidade da interface de saída do analisador.

Você pode configurar um analisador na [edit forwarding-options analyzer] hierarquia.

Nota:

O espelhamento de saída verdadeiro é definido como espelhamento do número exato de cópias e as modificações exatas dos pacotes que saíram pela porta comutada de saída. Como o processador nos switches EX2300 e EX3400 implementa espelhamento de saída no pipeline de entrada, esses switches não fornecem modificações precisas de pacotes de saída, de modo que o tráfego espelhado de saída pode transportar etiquetas VLAN que diferem das tags no tráfego original.

Tabela 3 resume diretrizes de configuração adicionais para espelhamento nos switches EX2300, EX3400 e EX4300.

Tabela 3: Diretrizes de configuração para espelhamento e análise de portas nos switches EX2300, EX3400 e EX4300

Regra

Informações de valor ou suporte

Comentário

Número de VLANs que você pode usar como entrada de entrada para um analisador.

256

 

Número de sessões de espelhamento de porta e analisadores que você pode habilitar simultaneamente.

4

Você pode configurar um total de quatro sessões e habilitar apenas uma das seguintes em qualquer momento:

  • No máximo quatro sessões de espelhamento de porta (incluindo a sessão global de espelhamento de portas).

  • No máximo quatro sessões de analisador.

  • Uma combinação de sessões de espelhamento de porta e analisador, e o total dessa combinação deve ser de quatro.

Você pode configurar mais do que o número especificado de instâncias de espelhamento de portas ou analisadores no switch, mas você pode habilitar apenas o número especificado para uma sessão.

Tipos de portas em que você não consegue espelhar o tráfego.

  • Portas Virtual Chassis (VCPs)

  • Portas Ethernet de gerenciamento (me0 ou vme0)

  • Interfaces de roteamento e ponte integradas (IRB); também conhecidas como interfaces VLAN roteadas (RVIs).

  • Interfaces de Camada 3 marcadas por VLAN

 

Famílias de protocolo que você pode incluir em uma configuração de espelhamento de porta para tráfego remoto.

any

 

Direções de tráfego que você pode configurar para espelhamento em portas em configurações baseadas em filtro de firewall.

Entrada e saída

 

Pacotes espelhados saindo de uma interface que refletem DSCP de classe de serviço (CoS) reescrito ou bits 802.1p.

Aplicável

 

Pacotes com erros físicos de camada.

Aplicável

Os pacotes com esses erros são filtrados e, portanto, não são enviados ao analisador.

O espelhamento de portas não oferece suporte ao tráfego de taxa de linha.

Aplicável

O espelhamento de portas para tráfego de taxa de linha é feito com a melhor base de esforço.

Espelhamento de pacotes de saída de uma VLAN.

Não suportado

 

Espelhamento de porta ou saída de analisador em uma interface LAG.

Possibilitada

 

Número máximo de membros infantis em uma interface LAG de saída de saída ou espelhamento de porta.

8

 

Número máximo de interfaces em um VLAN de espelhamento de porta ou analisador remoto.

1

 

Espelhamento de saída de pacotes de controle gerados por host.

Não suportado

 

Configuração de interfaces lógicas de Camada 3 na input estrofe de um analisador.

Não suportado

Essa funcionalidade pode ser alcançada configurando o espelhamento de portas.

As estrofes de entrada e saída do analisador que contêm membros da mesma VLAN ou da própria VLAN devem ser evitadas.

Aplicável

 

Espelhamento de portas em ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 e switches da Série EX8200

O sistema operacional Junos (Junos OS) da Juniper Networks em execução em ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 ou ex8200 não oferece suporte a configurações aprimoradas de software de camada 2 (ELS). Como tal, o Junos OS não inclui a port-mirroring declaração encontrada no edit forwarding-options nível da hierarquia de outros pacotes junos OS, ou a ação port-mirror em termos de filtro de firewall.

Você pode usar espelhamento de porta para facilitar a análise do tráfego em seu switch de ethernet série EX da Juniper Networks em um nível de pacote. Você pode usar o espelhamento de portas como parte do monitoramento do tráfego de switches para fins como a aplicação de políticas relativas ao uso de rede e compartilhamento de arquivos e para identificar fontes de problemas em sua rede, localizando o uso anormal ou pesado de largura de banda por estações ou aplicativos específicos.

Você pode usar o espelhamento de porta para copiar esses pacotes em uma interface local ou para uma VLAN:

  • Pacotes entrando ou saindo de uma porta

  • Você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas para a mesma porta de analisador local ou VLAN analisador.

  • Pacotes entrando em uma VLAN em ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou EX6200

  • Pacotes saindo de uma VLAN em switches EX8200

Visão geral

O espelhamento de porta é usado para análise de tráfego em um switch porque um switch, ao contrário de um hub, não transmite pacotes para todas as portas do dispositivo de destino. O switch envia pacotes apenas para a porta à qual o dispositivo de destino está conectado.

Você configura o espelhamento de porta no switch para enviar cópias do tráfego Unicast para uma porta de analisador local ou para um VLAN analisador. Em seguida, você pode analisar o tráfego espelhado usando um analisador de protocolo. O analisador de protocolo pode ser executado em um computador conectado à interface de saída do analisador ou em uma estação de monitoramento remota.

Você pode usar o espelhamento de porta para espelhar qualquer um dos seguintes:

  • Packets entering or exiting a port— Você pode espelhar os pacotes em qualquer combinação de pacotes que ingressem ou saiam de portas de até 256 portas.

    Em outras palavras, você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas para a mesma porta de analisador local ou analisador VLAN.

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— Você pode espelhar os pacotes que inscrevem uma VLAN em um VLAN analisador. Nos switches EX3200, EX4200, EX4500 e EX4550, você pode configurar várias VLANs (até 256 VLANs), incluindo uma gama VLAN e PVLANs, como entrada de entrada para um analisador.

  • Packets exiting a VLAN on an EX8200 switch— Você pode espelhar os pacotes que saem de uma VLAN em um switch EX8200 para uma porta de analisador local ou para um VLAN analisador. Você pode configurar várias VLANs (até 256 VLANs), incluindo uma gama VLAN e PVLANs, como entrada de saída para um analisador.

  • Statistical samples— Você pode espelhar uma amostra estatística de pacotes que são:

    • Entrando ou saindo de uma porta

    • Insira uma VLAN em um ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 ou switch EX6200

    • Saindo de uma VLAN em um switch EX8200

    Você especifica o número de amostra de pacotes configurando a razão. Você pode enviar a amostra para uma porta de analisador local ou para um VLAN analisador.

  • Policy-based sample— Você pode espelhar uma amostra baseada em política de pacotes que estão entrando em uma porta ou uma VLAN. Você configura um filtro de firewall para estabelecer uma política para selecionar os pacotes a serem espelhados. Você pode enviar a amostra para uma porta de analisador local ou para um VLAN analisador.

Diretrizes de configuração para ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 e switches da Série EX8200

Ao configurar o espelhamento de portas, recomendamos que você siga determinadas diretrizes para garantir que obtenha o melhor benefício do recurso de espelhamento de portas. Além disso, recomendamos que você desabile o espelhamento de porta quando não estiver usando e que selecione interfaces específicas para as quais os pacotes devem ser espelhados (ou seja, selecione interfaces específicas como entrada para o analisador) em vez de usar a all palavra-chave que permite espelhamento de portas em todas as interfaces e pode afetar o desempenho geral. Você também pode limitar a quantidade de tráfego espelhado usando amostragem estatística, configurando uma razão para selecionar uma amostra estatística ou usando um filtro de firewall. Espelhar apenas os pacotes necessários reduz qualquer impacto potencial de desempenho.

Com espelhamento de porta local, o tráfego de várias portas é replicado para a interface de saída do analisador. Se a interface de saída de um analisador atingir a capacidade, os pacotes serão descartados. Assim, ao configurar um analisador, você deve considerar se o tráfego que está sendo espelhado excede a capacidade da interface de saída do analisador.

Nota:

Em ACX5448 roteadores, sob o [edit forwarding-options analyzer an input egress] nível de hierarquia, a entrada do analisador deve ser configurada apenas em interfaces lógicas .0 para interfaces de entrada e saída. Se você configurar interfaces lógicas que não sejam .0, então um erro é mostrado durante o commit. O seguinte é um erro de confirmação de amostra mostrado quando a entrada do analisador é configurada.100 interface lógica:

Nota: "Todos os outros switches" ou "Todos os switches" na descrição aplicam-se a todas as plataformas de switches que oferecem suporte a espelhamento de portas. Para obter mais informações sobre o suporte da plataforma, veja Feature Explorer.
Tabela 4: Diretrizes de configuração

Regra

Descrição

Comentário

Número de VLANs que você pode usar como entrada de entrada para um analisador

  • 16 entradas ou 8 entradas e 8 saídas — ACX7024 dispositivos

    1 — switches EX2200

  • 256 — switches EX3200, EX4200, EX4500, EX4550 e EX6200

  • Não se aplica — switches EX8200

 

Número de analisadores que você pode habilitar simultaneamente (se aplica tanto a switches autônomos quanto ao Virtual Chassis)

  • 1 — switches EX2200, EX3200, EX4200, EX3300 e EX6200

  • 7 switches baseados em porta ou 1 global — EX4500 e EX4550

  • 7 no total, com um baseado em VLAN, filtro de firewall ou LAG e com os 6 restantes baseados em filtros de firewall — switches EX8200

    Nota:

    Um analisador configurado usando um filtro de firewall não oferece suporte a espelhamento de pacotes que são portas de saída.

  • Você pode configurar mais do que o número especificado de analisadores no switch, mas você pode habilitar apenas o número especificado para uma sessão. Use disable ethernet-switching-options analyzer name para desabilitar um analisador.

  • Veja a próxima entrada da linha nesta tabela, com exceção do número de analisadores baseados em filtro de firewall permitidos nos switches EX4500 e EX4550.

  • Em um Virtual Chassis EX4550, você pode configurar apenas um analisador se as portas nas definições de entrada e saída estiverem em diferentes switches em um Virtual Chassis. Para configurar vários analisadores, toda a sessão do analisador deve ser configurada no mesmo switch de um Virtual Chassis.

Número de analisadores baseados em filtro de firewall que você pode configurar em switches EX4500 e EX4550

  • 1 — switches EX4500 e EX4550

Se você configurar vários analisadores, não poderá anexar nenhum deles a um filtro de firewall.

Tipos de portas em que você não consegue espelhar o tráfego

  • Portas Virtual Chassis (VCPs)

  • Portas Ethernet de gerenciamento (me0 ou vme0)

  • Interfaces VLAN roteadas (RVIs)

  • Interfaces de Camada 3 marcadas por VLAN

 

Se o espelhamento de porta estiver configurado para espelhar pacotes que saem de portas Ethernet de 10 Gigabit em switches EX8200, os pacotes serão descartados tanto na rede quanto no tráfego espelhado quando os pacotes espelhados excedem 60% do tráfego de portas Ethernet de 10 Gigabits.

  • Switches EX8200

 

Direções de tráfego para as quais você pode especificar uma relação

  • Apenas entrada — switches EX8200

  • Entrada e saída — todos os outros switches

 

Famílias de protocolo que você pode incluir em um analisador remoto baseado em filtro de firewall

  • Qualquer outro, exceto inetinet6switches EX8200

  • Qualquer um — todos os outros switches

Você pode usar inet e inet6 em switches EX8200 em um analisador local.

Direções de tráfego que você pode configurar para espelhamento em portas em configurações baseadas em filtro de firewall

  • Apenas entrada — todos os switches

 

Pacotes espelhados em interfaces com tags podem conter um ID ou Ethertype VLAN incorretos.

  • ID VLAN e Etherótipo — switches EX2200

  • ID de VLAN — switches EX3200 e EX4200

  • Somente etherótipos — switches EX4500 e EX4550

  • Não se aplica — switches EX8200

 

Os pacotes espelhados que saem de uma interface não refletem DSCP de classe de serviço (CoS) reescrito ou bits 802.1p.

  • Todos os switches

 

O analisador anexa um cabeçalho 802.1Q (dot1qincorreto) aos pacotes espelhados no tráfego roteado ou não espelha nenhum pacote no tráfego roteado quando um VLAN de saída que pertence a uma interface VLAN roteada (RVI) é configurado como a entrada para esse analisador.

  • Switches EX8200

  • Não se aplica — todos os outros switches

Como uma solução alternativa, configure um analisador que usa cada porta (interface de membro) da VLAN como entrada de saída.

Pacotes com erros físicos de camada não são enviados ao analisador local ou remoto.

  • Todos os switches

Os pacotes com esses erros são filtrados e, portanto, não são enviados ao analisador.

A configuração de espelhamento de porta em uma interface de Camada 3 com a saída configurada para um VLAN não está disponível nos switches EX8200.

  • Switches EX8200

  • Não se aplica — todos os outros switches

 

O espelhamento de portas não oferece suporte ao tráfego de taxa de linha.

  • Todos os switches

O espelhamento de portas para tráfego de taxa de linha é feito com a melhor base de esforço.

Em um Virtual Chassis EX8200, para espelhar o tráfego em todo o Virtual Chassis, a porta de saída deve ser um LAG.

  • Chassi virtual EX8200

  • Não se aplica — todos os outros switches

Em um Virtual Chassis EX8200:

  • Você pode configurar o LAG como uma porta de monitor apenas para analisadores nativos.

  • Você não pode configurar o LAG como uma porta de monitor para analisadores com base em filtros de firewall.

  • Se uma configuração de analisador contém LAG como porta de monitor, então você não pode configurar o VLAN na definição de entrada de um analisador.

Em switches EX8200 autônomos, você pode configurar o LAG na definição de saída.

  • Switches autônomos EX8200

  • Não se aplica — todos os outros switches

Em switches autônomos EX8200:

  • Você pode configurar um LAG como uma porta de monitor em analisadores nativos e baseados em firewall.

  • Se uma configuração contém LAG como uma porta de monitor, então você não pode configurar a VLAN na definição de entrada de um analisador.

Espelhamento de portas em firewalls da Série SRX

A espelhamento de portas espelha os pacotes que entram ou saem de uma porta e envia as cópias para uma interface local para monitoramento. O espelhamento de portas é usado para enviar tráfego a aplicativos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. </para><para>Para é usado para enviar uma cópia de todos os pacotes ou apenas os pacotes amostrados vistos em uma porta para uma conexão de monitoramento de rede. Você pode espelhar os pacotes na porta de entrada (espelhamento de porta de entrada) ou na porta de saída (espelhamento da porta de saída).

O espelhamento de portas é suportado apenas nos firewalls da Série SRX com as seguintes placas de E/S:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

Nos firewalls da Série SRX, todos os pacotes que passam pela mirrored porta são copiados e enviados para a porta especificada mirror-to . Essas portas devem estar no mesmo chipset Broadcom nas placas de E/S.

Em firewalls da Série SRX, o espelhamento de portas funciona apenas em interfaces físicas.

Entendendo o espelhamento de portas de Camada 2

Em plataformas de roteamento e switches que contêm um ASIC do Processador de Internet II, você pode enviar uma cópia de qualquer pacote de entrada da plataforma de roteamento ou switch para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.

No Junos OS Release 9.3 e posterior, as plataformas de roteamento universal 5G da Série MX da Juniper Networks em um ambiente de Camada 2 suportam espelhamento de porta para tráfego de ponte de Camada 2 e tráfego de LAN privada virtual (VPLS).

No Junos OS Release 9.4 e posterior, os roteadores da Série MX em um ambiente de Camada 2 suportam espelhamento de porta para tráfego VPN de Camada 2 em um circuito cross-connect (CCC) que conecta de forma transparente interfaces lógicas do mesmo tipo.

No Junos OS Release 12.3R2, os switches da Série EX da Juniper Networks oferecem suporte a espelhamento de porta para tráfego de pontes de Camada 2.

O espelhamento de portas de camada permite que você especifique a maneira como os pacotes de entrada e saída em portas especificadas são monitorados e a maneira como cópias de pacotes selecionados são encaminhadas para outro destino, onde os pacotes podem ser analisados.

Os roteadores da Série MX e os switches da Série EX oferecem suporte ao espelhamento de portas de Camada 2 realizando funções de monitoramento de fluxo usando uma arquitetura de classe de serviço (CoS) que está em conceito semelhante, mas em particular diferente de outras plataformas e switches de roteamento.

Como o roteador de borda multisserviço M120 e o roteador de borda multisserviço M320, os roteadores da Série MX e os switches da Série EX oferecem suporte ao espelhamento de pacotes IPv4, IPv6 e VPLS simultaneamente.

Em um ambiente de Camada 3, os roteadores da Série MX e os switches da Série EX oferecem suporte ao espelhamento do tráfego IPv4 (family inet) e IPv6 ().family inet6 Para obter informações sobre o espelhamento de portas de Camada 3, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.

Propriedades de espelhamento de porta de camada 2

O espelhamento de porta especifica os seguintes tipos de propriedades:

Seleção de pacotes

As propriedades de seleção de pacotes do espelhamento de porta de Camada 2 especificam como os pacotes amostrados devem ser selecionados para espelhamento:

  • O número de pacotes em cada amostra.

  • O número de pacotes a espelhar de cada amostra.

  • O comprimento para o qual os pacotes espelhados devem ser truncados.

Família de endereços de pacotes

O tipo de família de endereço de pacote especifica o tipo de tráfego a ser espelhado. Em um ambiente de Camada 2, os roteadores da Série MX e os switches da Série EX oferecem suporte a espelhamento de porta para as seguintes famílias de endereços de pacotes:

  • Tipo ethernet-switchingde família — Para espelhar o tráfego VPLS quando a interface física estiver configurada com tipo ethernet-bridgede encapsulamento.

  • Tipo cccde família — Para espelhar o tráfego VPN de Camada 2.

  • Tipo vplsde família — Para espelhar o tráfego VPLS.

Nota:

Em aplicativos típicos, você envia pacotes espelhados diretamente para um analisador, não para outro roteador ou switch. Se você deve enviar pacotes espelhados por uma rede, você deve usar túneis. Para implementações de VPN de Camada 2, você pode usar o tipo l2vpn de instância de roteamento VPN de Camada 2 para tunelar os pacotes para um destino remoto.

Para obter informações sobre a configuração de uma instância de roteamento para VPN de Camada 2, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento. Para uma configuração detalhada de exemplo de VPN de Camada 2, consulte o Junos OS. Para obter informações sobre interfaces de túnel, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.

Propriedades de destino de espelhos

Para uma determinada família de endereços de pacotes, as propriedades de destino do espelho de uma instância de espelhamento de porta de Camada 2 especificam como os pacotes selecionados devem ser enviados em uma interface física específica:

  • A interface física na qual enviar os pacotes selecionados.

  • Se a verificação do filtro deve ser desabilitada para a interface de destino do espelho. Por padrão, a verificação de filtros é habilitada em todas as interfaces.

    Nota:

    Se você aplicar um filtro em uma interface que também é um destino de espelhamento de porta de Camada 2, uma falha de confirmação ocorre a menos que você tenha desativado a verificação do filtro para essa interface de destino do espelho.

Opção mirror-once

Se o espelhamento de porta for habilitado em interfaces de entrada e saída, você pode impedir que o roteador da Série MX e um switch da Série EX enviem pacotes duplicados para o mesmo destino (o que complicaria a análise do tráfego espelhado).

Nota:

A opção de espelhamento de porta espelhamento de espelho é uma configuração global. A opção é independente das propriedades de seleção de pacotes e das propriedades de destino de espelho específicas da família de pacotes.

Aplicação de tipos de espelhamento de portas de camada 2

Você pode aplicar diferentes conjuntos de propriedades de espelhamento de porta de Camada 2 aos pacotes VPLS em diferentes pontos de entrada ou saída de uma Série MX ou de uma rota da Série EX.

Tabela 5 descreve os três tipos de espelhamento de porta de Camada 2 que você pode configurar em roteadores da Série MX e switches da Série EX, o: instâncias globais, instâncias nomeadas e filtros de firewall.

Tabela 5: Aplicação de tipos de espelhamento de portas de camada 2

Tipo de definição de espelhamento de porta de camada 2

Ponto de aplicação

Escopo do espelhamento

Descrição

Detalhes da configuração

Instância global de espelhamento de portas de camada 2

Todas as portas do chassi do roteador (ou switch) da Série MX.

Pacotes VPLS recebidos em todas as portas do chassi do roteador (ou switch) da Série MX.

Se configuradas, as propriedades globais de espelhamento de porta aplicam-se implicitamente a todos os pacotes VPLS recebidos em todas as portas do chassi do roteador (ou switch).

Veja configuração da instância global do espelhamento de portas de camada 2

Instância nomeada de espelhamento de portas de camada 2

Portas agrupadas no nível do FPC

Veja o espelhamento de portas de camada 2 vinculante para portas agrupadas no nível do FPC.

Pacotes VPLS recebidos em portas associadas a um DPC ou FPC específicos e seus mecanismos de encaminhamento de pacotes.

Substitui quaisquer propriedades de espelhamento de porta configuradas pela instância global de espelhamento de porta.

Veja a definição de uma instância nomeada de espelhamento de portas de camada 2.

O número de destinos de espelhamento de porta suportados para um roteador da Série MX e para um switch da Série EX estão limitados ao número de mecanismos de encaminhamento de pacotes contidos nos DPCs ou FPCs instalados no chassi do roteador ou switch.

Portas agrupadas no nível PIC

Veja o espelhamento de porta de camada 2 para portas agrupadas no nível PIC.

Pacotes VPLS recebidos em portas associadas a um mecanismo de encaminhamento de pacotes específico.

Substitui quaisquer propriedades de espelhamento de porta configuradas no nível FPC ou na instância global de espelhamento de portas.

Filtro de firewall com espelhamento de porta de Camada 2

Interface lógica (incluindo uma interface Ethernet agregada)

Veja a aplicação do espelhamento de portas de camada 2 a uma interface lógica.

Pacotes VPLS recebidos ou enviados em uma interface lógica.

Na configuração do filtro de firewall , inclua action e action-modifier os termos a serem aplicados aos pacotes selecionados para espelhamento:

  • A acceptação é recomendada.

  • O port-mirror modificador faz referência implícita às propriedades de espelhamento de porta atualmente vinculadas às interfaces físicas subjacentes.

  • O port-mirror-instance pm-instance-name modificador faz referência explícita a uma instância nomeada de espelhamento de porta.

  • (Opcional) Apenas para pacotes de entrada de interface de túnel, para espelhar os pacotes para destinos adicionais, inclua o next-hop-group next-hop-group-name modificador. Este modificador faz referência a um grupo de próximo salto que especifica os endereços de próximo salto (para enviar cópias adicionais de pacotes a um analisador).

Veja a definição de um filtro de firewall com espelhamento de portas de Camada 2.

Nota:

Os filtros de firewall com espelhamento de porta de camada 2 não são suportados para sistemas lógicos.

Para espelhar pacotes de entrada de interface de túnel para vários destinos, veja também a definição de um Grupo Next-Hop para espelhamento de portas de camada 2.

Tabela de encaminhamento de VLAN ou tabela de inundação

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para um domínio de ponte.

Tráfego de camada 2 encaminhado ou inundado para uma VLAN

Tabela de encaminhamento de instâncias de roteamento VPLS ou tabela de inundação

Veja a aplicação de espelhamento de porta de camada 2 ao tráfego encaminhado ou inundado para uma instância de roteamento VPLS.

Tráfego de camada 2 encaminhado ou inundado para uma instância de roteamento VPLS

Restrições ao espelhamento de portas de camada 2

As seguintes restrições se aplicam ao espelhamento de porta de Camada 2:

  • Apenas dados de trânsito de Camada 2 (pacotes que contêm pedaços de dados que transitam pela plataforma ou switch de roteamento conforme são encaminhados de uma fonte para um destino) podem ser espelhados. Os dados locais da camada 2 (pacotes que contêm pedaços de dados destinados ou enviados pelo Mecanismo de Roteamento, como pacotes de controle de Camada 2) não são espelhados.

  • Se você aplicar um filtro de espelhamento de porta na saída de uma interface lógica, apenas os pacotes Unicast serão espelhados. Para espelhar pacotes de Broadcast, pacotes Multicast, pacotes Unicast com um endereço desconhecido de controle de acesso de mídia de destino (MAC) ou pacotes com uma entrada MAC na tabela de roteamento MAC (DMAC) de destino, aplique um filtro na entrada na tabela de inundação de uma instância de roteamento VLAN ou serviço de LAN privada virtual (VPLS).

  • O dispositivo de destino espelhado deve estar em uma VLAN dedicada e não deve participar de nenhuma atividade de ponte; o dispositivo de destino espelhado não deve ter uma ponte para o destino de tráfego final, e o dispositivo de destino espelho não deve enviar os pacotes espelhados de volta para o endereço de origem.

  • Para a instância global de espelhamento de porta ou uma instância de espelhamento de porta nomeada, você pode configurar apenas uma interface de saída espelhada por instância de espelhamento de porta e família de endereços de pacotes. Se você incluir mais de uma interface declaração sob a family (ethernet-switching | ccc | vpls) output declaração, a declaração anterior interface será anulada.

  • A filtragem de firewall com espelhamento de porta de camada 2 não é suportada para sistemas lógicos.

    Em uma definição de filtro de firewall de espelhamento de porta de Camada 2, o action-modifier filtro (port-mirror ou port-mirror-instance pm-instance-name) conta com propriedades de espelhamento de porta definidas na instância global ou instâncias nomeadas de espelhamento de porta de Camada 2, que estão configuradas sob a [edit forwarding-options port-mirroring] hierarquia. Portanto, o term filtro não pode suportar o espelhamento de portas de Camada 2 para sistemas lógicos.

  • Para um filtro de firewall de espelhamento de porta de Camada 2 no qual você faz uma referência implícita às propriedades de espelhamento de porta de Camada 2, incluindo a port-mirror declaração, se várias instâncias nomeadas do espelhamento de porta de Camada 2 estiverem vinculadas à interface física subjacente, então apenas a primeira ligação na estrofe (ou a única ligação) é usada na interface lógica. Isso é feito para retrocompatibilidade.

  • Os filtros de firewall com espelhamento de porta de camada 2 não suportam o uso de subgrupos de próximo salto para balancear a carga do tráfego espelhado.