Configuração do espelhamento de porta
Espelhamento de porta é a capacidade de um roteador enviar uma cópia de um pacote IPv4 ou IPv6 para um endereço de host externo ou um analisador de pacotes para análise. O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho do pacote é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados a um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por uma interface de próximo salto.
Um aplicativo para espelhamento de portas envia um pacote duplicado para um túnel virtual. Um grupo de próximo salto pode então ser configurado para encaminhar cópias deste pacote duplicado para várias interfaces. Para obter mais informações sobre grupos de próximo salto, veja a configuração de grupos de next-hop para usar várias interfaces para encaminhar pacotes usados no espelhamento de portas.
Todos os roteadores de borda multisserviço da Série M, roteadores de núcleo da Série T e plataformas de roteamento universal 5G da Série MX oferecem suporte a espelhamento de portas para IPv4 ou IPv6. Os roteadores M120, M320 e Série MX oferecem suporte a espelhamento de portas para IPv4 e IPv6 simultaneamente.
O espelhamento de portas para tráfego VPLS é suportado em roteadores M7i e M10i configurados com um CFEB aprimorado (CFEB-E), em roteadores M120, em roteadores M320 configurados com um Concentrador PIC Flexível (FPCs) aprimorados e roteadores da Série MX.
No Junos OS Release 9.3 e posterior, o espelhamento de portas é suportado para tráfego de Camada 2 em roteadores da Série MX. Para obter informações sobre como configurar o espelhamento de portas para o tráfego de Camada 2, consulte a Biblioteca de comutação e ponte do Junos OS Layer 2 para dispositivos de roteamento.
No Junos OS Release 9.6 e posterior, o espelhamento de portas é suportado para tráfego VPN de Camada 2 em roteadores M120 e roteadores M320 configurados com um FPC Enhanced III. Você também pode definir o comprimento máximo do pacote espelhado. Quando definido, o pacote espelhado é truncado até o comprimento especificado.
Nos MPCs da Série M e dos roteadores da Série MX, as informações de cabeçalho GRE e MPLS não estão contidas no tráfego espelhado por porta correspondente aos pacotes MPLS transmitidos por túneis IP-GRE.
As plataformas PTX1K, PTX10002, PTX5K, PTX3K e PTX10K com placas de linha de primeira geração (LC1101, LC1102, LC1104 e LC1105) não suportam espelhamento de porta de saída.
Veja o Feature Explorer para obter a lista mais recente de plataformas suportadas e versões Junos que oferecem suporte a espelhamento de portas.
Diretrizes de configuração de espelhamento de porta
Ao configurar o espelhamento de porta, as seguintes restrições aplicam-se:
Apenas os dados de trânsito são suportados.
Você pode configurar o espelhamento de portas IPv4 ou IPv6, mas não ambos nos roteadores da Série M, exceto para os roteadores M120 e M320, que oferecem suporte a espelhamento de portas para IPv4 e IPv6 simultaneamente.
Você pode configurar o espelhamento de portas para IPv4 e IPv6 simultaneamente nos roteadores M120 e M320 e nos roteadores da Série MX.
O espelhamento de portas na direção de entrada e saída não é suportado para interfaces IQ (lsq-) de serviços de enlace.
A filtragem de entrada de pacotes multicast é suportada em todos os Concentradores de portas densas (DPCs) em roteadores da Série MX. A filtragem de saída de pacotes multicast é suportada para interfaces em MPCs apenas em roteadores da Série MX. A filtragem de pacotes multicast com base em endereço de destino não é suportada em roteadores da Série M ou roteadores da Série T e não é suportada para interfaces em DPCs baseados em ASIC de I-chip em roteadores da Série MX.
Para espelhamento de portas de Camada 3 (
family inet
efamily inet6
), se o tráfego que está sendo espelhado for multicast (em outras palavras, se o endereço IP de destino do pacote for um endereço multicast), o endereço MAC de destino na cópia espelhada corresponde a este endereço IP de destino multicast e não ao endereço MAC unicast especificado na[edit forwarding-options port-mirroring family (inet | inet6) output]
configuração.Por padrão, os filtros de firewall não podem ser aplicados a interfaces de destino com espelhamento de porta. Para permitir que interfaces de destino com espelhamento de porta ofereçam suporte a filtros de firewall, use a
no-filter-check
declaração para desativar a verificação de filtros nas interfaces. Você pode incluir ano-filter-check
declaração nos seguintes níveis de hierarquia:[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output]
[edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
Você deve incluir um filtro de firewall com a ação de aceitação e o modificador de ação do espelho de porta na interface de entrada.
A interface configurada para espelhamento de portas não deve participar em nenhum tipo de atividade de roteamento.
O endereço de destino que você especifica não deve ter uma rota para o destino de tráfego final. Por exemplo, se os pacotes IPv4 amostrados tiverem um endereço de destino de 192.68.9.10 e o tráfego espelhado por porta for enviado para 192.68.20.15 para análise, o dispositivo associado ao último endereço não deve saber uma rota para 192.68.9.10. Além disso, ele não deve enviar os pacotes amostrados de volta para o endereço de origem.
Em todos os roteadores, exceto no roteador da Série MX, você pode configurar apenas uma interface de espelhamento de porta por roteador. Se você incluir mais de uma interface na
port-mirroring
declaração, a anterior será sobreescrita. Os roteadores da Série MX oferecem suporte a mais de uma interface de espelhamento de porta por roteador.Você pode configurar várias instâncias de espelhamento de porta nos roteadores M120, M320 e Série MX.
Você pode especificar a amostragem do host (cflowd) e o espelhamento de porta na mesma configuração. Você pode realizar ações de amostragem de RE e espelhamento de porta simultaneamente. No entanto, você não pode realizar ações de amostragem pic e espelhamento de porta simultaneamente.
Em aplicativos típicos, você envia os pacotes amostrados para um analisador ou uma estação de trabalho para análise, não para outro roteador. Se você deve enviar esse tráfego por uma rede, você deve usar túneis.
Configuração do espelhamento de porta
Para configurar o espelhamento de portas, inclua a port-mirroring
declaração no nível de [edit forwarding-options]
hierarquia:
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
Configuração da família e interface de endereço de espelhamento de porta
Para configurar o espelhamento de porta, inclua a port-mirroring
declaração. Para configurar o tipo de tráfego da família de endereços para amostra, inclua a family
declaração. Para configurar a taxa de amostragem, o comprimento da amostragem e o tamanho máximo para o pacote espelhado, inclua a input
declaração. Para especificar em qual interface enviar pacotes duplicados e o endereço de próximo salto para enviar pacotes, inclua a output
declaração. Para determinar se há algum filtro na interface especificada, inclua a no-filter-check
declaração.
Para obter informações sobre a taxa e run-length
as declarações, consulte Configurando a amostragem de tráfego .
Configuração de várias instâncias de espelhamento de porta
No Junos OS Release 9.5 e posterior, você pode configurar várias instâncias de espelhamento de portas nos roteadores M120, M320 e Série MX. No roteador M120, você pode associar cada instância a uma placa de mecanismo de encaminhamento específica (FEB). Você não pode associar uma instância de espelhamento de porta a um FEB configurado como um FEB de backup. No roteador M320, você pode associar cada instância a um concentrador PIC flexível específico (FPC). Associar uma instância de espelhamento de porta com um FPC ou feb permite que você espelhar pacotes em diferentes destinos. Várias instâncias de espelhamento de porta também são suportadas em roteadores da Série MX. Para obter informações sobre a configuração de várias instâncias de espelhamento de portas em roteadores da Série MX, consulte a Biblioteca de comutação e ponte junos OS de camada 2 para dispositivos de roteamento.
Nos roteadores MX80 e MX104, as instâncias de espelhamento de porta devem estar sempre associadas ao FPC 0, pois associar instâncias de espelhamento de porta ao FPC 1 ou FPC 2 pode resultar em comportamento inconsistente devido à arquitetura subjacente.
Para configurar uma instância de espelhamento de porta, inclua a instance port-mirroring-instance
declaração no nível de [edit forwarding-options port-mirroring]
hierarquia:
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- Configuração de instâncias de espelhamento de porta
- Associação de uma instância de espelhamento de porta em roteadores M320
- Associação de uma instância de espelhamento de porta em roteadores M120
- Configuração das plataformas de roteamento universal 5G da Série MX e roteadores M120 para espelhar o tráfego apenas uma vez
Configuração de instâncias de espelhamento de porta
Você pode configurar várias instâncias de espelhamento de porta. Especifique uma única port-mirroring-instance-name para cada instância que você configura.
Associação de uma instância de espelhamento de porta em roteadores M320
Você pode associar uma instância de espelhamento de porta a um FPC específico em um roteador M320 ou com um FEB específico em um roteador M120. Você pode associar apenas uma instância de espelhamento de porta a cada FPC em um roteador M320 ou com cada FEB em um roteador M120. Em um roteador M120, você não pode associar uma instância de espelhamento de porta a um FEB configurado como um FEB de backup.
Para associar uma instância de espelhamento de porta a um FPC em um roteador M320, inclua a port-mirror-instance port-mirroring-instance-name
declaração no [edit chassis fpc slot-number]
nível de hierarquia:
[edit chassis] fpc slot-number { port-mirror-instance port-mirroring-instance-name; }
Para slot-number, especifique o número de slot do FPC que você deseja associar à instância de espelhamento de portas. Para port-mirroring-instance-name, especifique o nome de uma instância de espelhamento de porta que você configurou no nível de [edit forwarding-options port-mirroring]
hierarquia. Para obter mais informações sobre a configuração de um FPC em um roteador M320, consulte a Biblioteca de administração do Junos OS para dispositivos de roteamento.
Associação de uma instância de espelhamento de porta em roteadores M120
Para associar uma instância de espelhamento de porta a um FEB em um roteador M120, inclua a port-mirror-instance port-mirroring-instance-name
declaração no [edit chassis feb slot-number]
nível de hierarquia:
[edit chassis] feb slot-number { port-mirror-instance port-mirroring-instance-name; }
Para slot-number, especifique o número de slot da FEB que você deseja associar à instância de espelhamento de porta. Para port-mirroring-instance-name, especifique o nome de uma instância de espelhamento de porta que você configurou no nível de [edit forwarding-options port-mirroring]
hierarquia. Para obter informações sobre a configuração da redundância FEB em um roteador M120, consulte o Guia de usuário de alta disponibilidade do Junos OS. Para obter informações sobre a configuração da conectividade FPC-to-FEB em um roteador M120, consulte a Biblioteca de Administração do Junos OS para dispositivos de roteamento.
Configuração das plataformas de roteamento universal 5G da Série MX e roteadores M120 para espelhar o tráfego apenas uma vez
Apenas nos roteadores MX e M120, você pode configurar o espelhamento de portas para que o roteador espelha o tráfego apenas uma vez. Se você configurar o espelhamento de porta em interfaces de entrada e saída, o mesmo pacote pode ser espelhado duas vezes. Para espelhar pacotes apenas uma vez e impedir que o roteador envie pacotes amostrados duplicados para o mesmo destino de espelhamento, inclua a mirror-once
declaração no nível de [edit forwarding-options port-mirroring]
hierarquia:
[edit forwarding-options port-mirroring] mirror-once;
A mirror-once
declaração é apoiada apenas na instância global de espelhamento de portas.