Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

端口镜像和分析器

SUMMARY 本节介绍端口镜像如何将网络流量发送到分析器应用程序。

了解端口镜像和分析器

端口镜像 和分析器将网络流量发送到运行分析器应用程序的设备。端口镜像将第 3 层 IP 流量复制到接口。分析器将桥接(第 2 层)数据包复制到接口。镜像流量可以来自单个或多个接口。您可以使用连接到运行分析器应用程序的镜像输出接口的设备来执行诸如监控合规性、实施策略、检测入侵、监控网络性能、关联事件和网络上的其他问题等任务。

在包含互联网处理器 II 应用专用集成电路 (ASIC) 或 T 系列互联网处理器的路由器上,端口镜像会复制进出端口或进入 VLAN 的单播数据包,并将这些副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。镜像流量由帮助您分析该流量的应用程序接收。

端口镜像不同于流量采样。在流量采样中,基于 IPv4 标头的采样密钥将发送到路由引擎,其中密钥放置在文件或 cflowd 中。基于该密钥的数据包将发送到 cflowd 服务器。在端口镜像中,整个数据包被复制并通过指定的接口发送出去,在那里可以对其进行详细捕获和分析。

使用端口镜像将流量发送到分析流量的设备,以便监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。当您要执行流量分析时,需要端口镜像,因为交换机通常只将数据包发送到目标设备连接到的端口。您可能不希望在转发原始数据包之前将其发送进行分析,因为这会导致延迟,因此常见的替代方法是配置端口镜像以将单播流量的副本发送到另一个接口,并在连接到该接口的设备上运行分析器应用程序。

要配置端口镜像,请配置端口镜像实例。但不为其指定输入。相反,请创建一个防火墙过滤器来指定所需的流量,并将其定向到实例。port-mirror为此,请在筛选器的术语then中使用该操作。防火墙过滤器必须配置为 family inet

配置端口镜像时请记住性能。将防火墙过滤器配置为仅镜像必要的数据包可降低影响性能的可能性。

您可以配置分析器语句以在同一分析器配置中定义输入流量和输出流量。要分析的流量可以是进入或退出接口的流量,也可以是进入 VLAN 的流量。分析器配置允许您将此流量发送到输出接口、实例或 VLAN。您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注:

在 EX 系列交换机上,禁用远程端口镜像 VLAN 中的任何接口时,需要重新启用已禁用的接口并重新配置分析器会话才能恢复端口镜像。

您可以使用端口镜像来复制:

  • 以任意组合进入或退出接口的所有数据包。进入某些接口的数据包副本和退出其他接口的数据包的副本可以发送到同一本地接口或 VLAN。如果将端口镜像配置为复制退出接口的数据包,则源自该交换机或节点设备(在 QFabric 系统中 )的流量 在出口时不会被复制。在出口上仅复制 交换 流量。(请参阅下面的出口镜像限制。

  • 进入 VLAN 的任何或所有数据包。您不能使用端口镜像来复制退出 VLAN 的数据包。

  • 通过防火墙过滤的进入端口或 VLAN 的数据包示例。

  • 出口端口不支持防火墙过滤器;也就是说,您无法对退出接口的数据包指定基于策略的采样

  • 在 VXLAN 环境中,面向核心或主干的接口不支持基于防火墙过滤器的端口镜像。

您可以配置流量采样和端口镜像,为端口镜像数据包设置独立的采样率和运行长度。但是,如果为流量采样和端口镜像选择了数据包,则只会执行端口镜像,因为它优先。换言之,如果将接口配置为对输入到该接口的每个数据包进行流量采样,并且端口镜像还会选择要复制并发送到目标端口的数据包,则仅执行端口镜像过程。未选择用于端口镜像的流量采样数据包将继续被采样并转发到 cflowd 服务器。

端口镜像和分析器术语和定义

下表提供了端口镜像和分析器文档的术语和定义。

表 1: 术语
术语 定义

分析器

对于 EX2300、EX3400 或 EX4300 交换机,在分析器上的镜像配置(分析器)中,分析器包括:

  • 分析器的名称
  • 源(输入)端口或 VLAN(可选)

分析器实例

端口镜像配置,包括名称、源接口或源 VLAN,以及镜像数据包的目标(本地接口或 VLAN)。

分析器输出接口(也称为监控端口)

镜像流量发送到的接口以及协议分析器应用程序连接到的接口。

对于 EX2300、EX3400 和 EX4300 交换机,用作分析仪输出的接口必须配置为系列以太网交换。此外,分析器输出接口存在以下限制:

  • 不能也是源端口。
  • 不能用于切换。
  • 当端口镜像配置的一部分时,不要参与第 2 层协议,例如生成树协议 (STP)。
  • 如果分析器输出接口的带宽不足以处理来自源端口的流量,则会丢弃溢出数据包。

分析器 VLAN(也称为监控 VLAN)

镜像流量发送到的 VLAN。协议分析器应用程序可以使用镜像流量。监控 VLAN 中的成员接口分布在网络中的交换机上。
基于桥域的分析器 配置为将桥接域用于输入和/或输出的分析器会话。
默认分析器 具有默认镜像参数的分析器。默认情况下,镜像速率为 1,最大数据包长度为完整数据包的长度。
全局端口镜像 没有实例名称的端口镜像配置。防火墙过滤器操作端口镜像将是防火墙过滤器配置的操作。

输入接口(也称为镜像或监控接口)

将流量复制到镜像接口的接口。此流量可以进入或退出(入口或出口)接口。

镜像输入接口不能用作分析仪设备的输出接口。

基于 LAG 的分析器 在分析器配置中将链路聚合组 (LAG) 指定为输入(入口)接口的分析器。

本地端口镜像

一种端口镜像配置,其中镜像的数据包被复制到同一交换机上的接口。

监测站 运行协议分析器应用程序的计算机。
基于下一跃点的分析器 使用下一跃点组作为分析器的输出的分析器配置。
本机分析器会话 在其分析器配置中同时具有输入和输出定义的分析器会话。
基于策略的镜像

镜像与防火墙过滤器术语匹配的数据包。该操作 analyzer analyzer-name 在防火墙过滤器中用于将指定的数据包发送到分析器。

基于端口的分析器 分析器会话,其配置定义输入和输出的接口。

端口镜像实例

不指定输入源的端口镜像配置;它仅指定输出目标。必须为输入源定义防火墙过滤器配置。必须定义防火墙过滤器配置以镜像与防火墙过滤器术语中定义的匹配条件匹配的数据包。防火墙过滤器配置中的措施项端口镜像实例名称用于将数据包发送到分析器,这些数据包构成输入源。

port-mirror-instance instance-name使用防火墙过滤器配置中的操作将数据包发送到端口镜像。

注: NFX150 设备不支持端口镜像实例。
协议分析仪应用 用于检查通过网段传输的数据包的应用程序。通常也称为网络分析器、数据包嗅探器或探测。

输出接口(也称为监视器接口)

数据包副本的发送位置以及运行分析器的设备所连接的接口。

以下限制适用于输出接口(目标镜像接口):

  • 不能也是源端口。

  • 不能用于切换。

  • 不能是聚合以太网接口 (LAG)。

  • 不能参与生成树协议 (STP) 等第 2 层协议。

  • 将端口镜像应用于接口时,现有 VLAN 关联将丢失。

  • 如果输出接口的容量不足以处理来自镜像源端口的流量,则会丢弃数据包。

输出 IP 地址

运行分析器应用程序的设备的 IP 地址。设备可以位于远程网络上。

使用此功能时:

  • 镜像数据包经过 GRE 封装。分析器应用程序必须能够解封装 GRE 封装的数据包,或者 GRE 封装的数据包必须在到达分析器应用程序之前解封装。(您可以使用网络嗅探器对数据包进行解封装。)

  • 输出 IP 地址不能与任何交换机管理接口位于同一子网中。

  • 如果创建虚拟路由实例和包含输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

输出 VLAN(也称为监控或分析器 VLAN)

VLAN 发送到发送数据包副本的位置以及运行分析器的设备的连接位置。分析器 VLAN 可以跨越多台交换机。

以下限制适用于输出 VLAN:

  • 不能是专用 VLAN 或 VLAN 范围。

  • 不能由多个 analyzer 语句共享。

  • 不能是任何其他 VLAN 的成员。

  • 不能是聚合以太网接口 (LAG)。

  • 在某些交换机上,只有一个接口可以是分析器 VLAN 的成员。此限制不适用于 QFX10000 交换机。镜像 入口 流量时,多个 QFX10000 接口可以属于输出 VLAN,并且流量将从所有这些接口镜像。如果 出口 流量在 QFX10000 交换机上镜像,则只有一个接口可以成为分析器 VLAN 的成员。

远程端口镜像

功能与本地端口镜像相同,不同之处在于镜像流量不会复制到本地分析器端口,而是泛洪到您专门为接收镜像流量而创建的分析器 VLAN。

您无法将镜像数据包发送到 QFabric 系统上的远程 IP 地址。

基于 VLAN 的分析器 一种分析器会话,其配置将 VLAN 用于输入和输出,或者用于输入或输出。

实例类型

要配置端口镜像,请配置以下类型之一的实例:

  • 分析器实例 - 指定实例的输入和输出。此实例类型可用于确保镜像通过接口或进入 VLAN 的所有流量并将其发送到分析器。

  • 端口镜像实例 — 您可以创建一个防火墙过滤器,用于识别所需流量并将其复制到镜像端口。您不为此实例类型指定输入。此实例类型可用于控制镜像的流量类型。您可以通过以下方式将流量定向到它:

    • 在防火墙过滤器中指定端口镜像实例的名称,方法是在 port-mirror-instance instance-name 定义了多个端口镜像实例时使用操作。

    • 当只定义了一个端口镜像实例时, port-mirror 使用操作将镜像数据包发送到实例中定义的输出接口。

对于 QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600 和 EX4650 交换机,以下端口镜像准则适用:

  • 最多可以同时配置四个端口镜像实例或四个分析器会话。换句话说,您不能同时配置四个端口镜像实例 四个分析器会话。
  • 如果没有端口镜像实例(即仅配置了分析器会话),则最多可以为入口和出口镜像启用三个分析器会话。剩余的分析器会话只能用于入口镜像。
  • 如果只配置了一个端口镜像实例,则在其余实例中,您最多可以为入口镜像配置三个分析器,为出口镜像配置两个分析器。
  • 如果配置了两个端口镜像实例,则在其余实例中,最多可以配置两个分析器用于入口镜像,一个分析器用于出口镜像。
  • 如果配置了三个端口镜像实例,则其余实例只能配置为分析器(用于入口或出口镜像),

端口镜像和 STP

端口镜像配置中 STP 的行为取决于您使用的 Junos OS 版本:

  • Junos OS 13.2X50、Junos OS 13.2X51-D25 或更低版本、Junos OS 13.2X52:启用 STP 后,端口镜像可能不会成功,因为 STP 可能会阻止镜像的数据包。

  • Junos OS 13.2X51-D30、Junos OS 14.1X53:对镜像流量禁用 STP。必须确保拓扑可防止此流量的环路。

约束和局限

以下约束和限制适用于端口镜像:

仅镜像分析所需的数据包可降低降低整体性能的可能性。如果镜像来自多个端口的流量,则镜像的流量可能会超出输出接口的容量。溢出数据包将被丢弃。我们建议您通过选择特定接口来限制镜像流量,并避免使用 all 关键字。您还可以通过使用 防火墙过滤器 将特定流量发送到端口镜像实例来限制镜像流量的数量。

  • 您总共可以创建四种端口镜像配置。

  • 在 EX9200 交换机上,EX9200-15C 线卡不支持端口镜像。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多四种配置可用于本地端口镜像。

    • 多达三种配置可用于远程端口镜像。

  • 无论是配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果将防火墙过滤器配置为将镜像流量发送到端口, 则这算作应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,镜像会话总数没有系统范围的限制。

  • 您只能在一个端口镜像配置中配置一种类型的输出来完成语句 set analyzer name output

    • interface

    • ip-address

    • vlan

  • 在分析器中配置镜像 (使用 set forwarding-options analyzer),只能在同一物理接口的一个逻辑接口上配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置第一个逻辑接口;其余逻辑接口返回配置错误。

  • 如果镜像出口数据包,请勿在独立交换机或 QFabric 系统上配置超过 2000 个 VLAN。否则,某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于任何 VLAN 数据包,而不仅仅是镜像副本。

  • 不支持和ratioloss-priority选项。

  • 具有物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 您无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 在端口镜像实例中,不能将 inet 或 inet6 接口配置为输出接口。以下交换机不支持该 set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> 配置:

    表 2: 交换机不支持系列 inet/inet6 作为输出接口
    EX 交换机 QFX 交换机

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210

     

    QFX5220

     

    QFX5700

  • 如果输入是 VLAN 或者流量是使用防火墙过滤器发送到分析器,则聚合以太网接口不能是输出接口。

  • 当镜像数据包从输出接口发出时,不会针对出口时可能应用于原始数据包的任何更改(例如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,不要使用与输入接口相同的接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口上镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像副本将具有不正确的 VLAN ID。

    如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 数不超过 2000 个)。

  • 真正的出口镜像定义为镜像出出口端口的确切副本数和确切数据包修改。由于 QFX5100 和 EX4600 交换机上的处理器在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可能会携带与原始流量中的标记不同的不正确 VLAN 标记。

  • 如果将端口镜像实例配置为镜像退出执行 VLAN 封装的接口的流量,则镜像数据包的源和目标 MAC 地址与原始数据包的源和目标 MAC 地址不同。

  • 不支持在 LAG 的成员接口上进行镜像。

  • 不支持出口 VLAN 镜像。

以下约束和限制适用于远程端口镜像:

  • 如果配置输出 IP 地址,则该地址不能与任何交换机管理接口位于同一子网中。

  • 如果创建虚拟路由实例并创建包含输出 IP 地址的分析器配置,则输出 IP 地址属于默认虚拟路由实例(inet.0 路由表)。

  • 输出 VLAN 不能是专用 VLAN 或 VLAN 范围。

  • 输出 VLAN 不能由多个分析器会话或端口镜像实例共享。

  • 输出 VLAN 接口不能是任何其他 VLAN 的成员。

  • 输出 VLAN 接口不能是聚合以太网接口。

  • 如果输出 VLAN 具有多个成员接口,则流量仅镜像到 VLAN 的第一个成员,同一 VLAN 的其他成员不携带任何镜像流量。

  • 对于远程端口镜像到 IP 地址(GRE 封装),如果配置了多个分析器会话或端口镜像实例,并且可通过同一接口访问分析器或端口镜像实例的 IP 地址,则只会配置一个分析器会话或端口镜像实例。

  • 远程端口镜像中可能的输出接口数量因 QFX5K 系列中的交换机而异:

    • QFX5110、QFX5120、QFX5210 — 最多支持 4 个输出接口

    • QFX5100 和 QFX5200 — 最多支持 3 个输出接口。

  • 每当从该 VLAN 中移除镜像 VLAN 的远程端口中的任何成员时,请为该 VLAN 重新配置分析器会话。

QFX5100和QFX5200交换机的约束和限制

以下注意事项适用于 QFX5100 交换机和 QFX5200 交换机上的端口镜像:

  • 使用输出到 IP 地址配置镜像时,目标 IP 地址应该是可访问的,并且必须解析 ARP。
  • 镜像目标不支持 ECMP(等价多路径)负载平衡。

  • 远程端口镜像 (RSPAN) 中的输出接口数量各不相同。对于 QFX5110、QFX5120 和 QFX5210 交换机,最多四个输出接口。对于 QFX5100 和 QFX5200 交换机,最多为 3 台。

  • 将链路聚合组 (LAG) 指定为镜像输出接口时,最多镜像八个接口。

  • 镜像输入可以是 LAG、与任何单元(如 ae0.101 或 xe-0/0/0.100)的物理接口或子接口。在任何情况下,LAG 或物理接口上的所有流量都会被镜像。

  • 您无法在 LAG 的成员接口上设置独立的镜像实例。

  • 一个镜像实例中包含的输出接口也不能在另一个镜像实例中使用。

  • 在端口镜像实例中,转发路径出口管道中丢弃的数据包永远不会镜像到目标。这是因为镜像操作发生在入口管道上,在丢弃操作之前。

  • 在端口镜像实例中,只能指定一个镜像输出目标。

  • 跨多个端口镜像或分析器实例配置的输出镜像目标必须全部唯一。

  • 对于 ERSPAN IPv6 地址,当分析器/端口镜像的输出是远程 IPv6 地址时,不支持出口镜像。不支持出口镜像。

  • 对于本地镜像,输出接口必须是家族以太网交换接口,带或不带 VLAN(即,不是第 3 层接口)。

  • 在服务提供商环境中配置端口镜像或分析器实例时,请使用 VLAN 名称而不是 VLAN ID。

QFX10000 系列交换机上的端口镜像

以下列表描述了专门适用于 QFX10000 系列交换机的约束和限制。有关交换机上的端口镜像的一般信息,请参阅本 端口镜像和分析器 文档中前面的部分,这些部分未在部分标题中明确指出其他平台名称。

  • 仅支持入口全局端口镜像。您可以使用输入参数(如 raterun-lengthmaximum-packet-length)配置全局端口镜像。不支持出口全局端口镜像。

  • 端口镜像实例仅支持远程端口镜像。本地镜像支持端口镜像 全局 实例。

  • 本地端口镜像仅在以下防火墙过滤器系列上受支持:inetinet6

  • 防火墙过滤器系列 anyccc不支持本地端口镜像。

QFabric 上的端口镜像

以下约束和限制适用于本地和远程端口镜像:

  • 您总共可以创建四种端口镜像配置。

  • QFabric 系统中的每个节点组都受以下约束:

    • 最多四种配置可用于本地端口镜像。

    • 多达三种配置可用于远程端口镜像。

  • 无论是配置独立交换机还是节点组:

    • 镜像入口流量的配置不能超过两个。如果将防火墙过滤器配置为将镜像流量发送到端口(即在 analyzer 过滤器术语中使用操作修饰符),则计为应用过滤器的交换机或节点组的入口镜像配置。

    • 镜像出口流量的配置不能超过两个。

    • 在 QFabric 系统上,镜像会话总数没有系统范围的限制。

  • 您只能在一个端口镜像配置中配置一种类型的输出来完成语句 set analyzer name output

    • interface

    • ip-address

    • vlan

  • 在分析器中配置镜像 (使用 set forwarding-options analyzer),只能在同一物理接口的一个逻辑接口上配置镜像。如果尝试在物理接口上配置的多个逻辑接口上配置镜像,则仅成功配置第一个逻辑接口;其余逻辑接口返回配置错误。

  • 如果镜像出口数据包,请勿在 QFX 系列交换机上配置 2000 个以上的 VLAN。否则,某些 VLAN 数据包可能包含不正确的 VLAN ID。这适用于任何 VLAN 数据包,而不仅仅是镜像副本。

  • 不支持和ratioloss-priority选项。

  • 具有物理层错误的数据包不会发送到输出端口或 VLAN。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 您无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 集成路由和桥接 (IRB) 接口(也称为路由 VLAN 接口或 RVI)

  • 如果输入是 VLAN 或者流量是使用防火墙过滤器发送到分析器,则聚合以太网接口不能是输出接口。

  • 当镜像数据包从输出接口发出时,不会针对出口时可能应用于原始数据包的任何更改(例如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,不要使用与输入接口相同的接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口上镜像。

  • STP 流量不支持基于 VLAN 的镜像。

  • (仅限 QFabric 系统)如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于不同的节点设备上,则镜像副本将具有不正确的 VLAN ID。

    如果将 QFabric 分析器配置为镜像出口流量,并且输入和输出接口位于同一节点设备上,则此限制不适用。在这种情况下,镜像副本将具有正确的 VLAN ID(只要您在 QFabric 系统上配置的 VLAN 数不超过 2000 个)。

  • 真正的出口镜像定义为镜像出出口端口的确切副本数和确切数据包修改。由于 QFX5xxx(包括 QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210)和 EX4600(包括 EX4600 和 EX4650)交换机上的处理器在入口管道中实施出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可能会携带与原始流量中的标记不同的不正确 VLAN 标记。

  • 如果将端口镜像实例配置为镜像退出执行 VLAN 封装的接口的流量,则镜像数据包的源和目标 MAC 地址与原始数据包的源和目标 MAC 地址不同。

  • 不支持在 LAG 的成员接口上进行镜像。

  • 不支持出口 VLAN 镜像。

OCX 系列交换机上的端口镜像

以下约束和限制适用于 OCX 系列交换机上的端口镜像:

  • 您总共可以创建四种端口镜像配置。镜像入口或出口流量的配置不能超过两个。

  • 如果使用 sFlow 监控对流量进行采样,则不会在镜像副本退出输出接口时对其进行采样。

  • 只能创建一个端口镜像会话。

  • 您无法镜像退出或进入以下端口的数据包:

    • 专用虚拟机箱接口

    • 管理接口(me0 或 vme0)

    • 光纤通道接口

    • 路由 VLAN 接口或 IRB 接口

  • 聚合以太网接口不能是输出接口。

  • 请勿在端口镜像配置中包含单元号不是 0 的 802.1Q 子接口。如果子接口的单元号不为 0,则端口镜像不适用于子接口。(您可以使用语句 vlan-tagging 配置 802.1Q 子接口。

  • 当数据包副本从输出接口发出时,不会针对通常在出口上应用的任何更改(例如 CoS 重写)对其进行修改。

  • 一个接口只能是一个镜像配置的输入接口。对于多个镜像配置,不要使用与输入接口相同的接口。

  • CPU 生成的数据包(如 ARP、ICMP、BPDU 和 LACP 数据包)无法在出口上镜像。

  • STP 流量不支持基于 VLAN 的镜像。

EX2300、EX3400 和 EX4300 交换机上的端口镜像

交换机上的流量分析可能需要镜像,因为交换机与集线器不同,不会将数据包广播到目标设备上的每个端口。交换机仅将数据包发送到目标设备连接的端口。

概述

在 EX2300、EX3400 和 EX4300 系列交换机上运行的 Junos OS 支持增强型第 2 层软件 (ELS) 配置,有助于在数据包级别分析这些交换机上的流量。

您可以使用端口镜像将数据包复制到本地接口进行本地监控,或复制到 VLAN 进行远程监控。可以使用分析器强制实施有关网络使用和文件共享的策略,并通过定位特定工作站或应用程序的异常或大量带宽使用情况来确定网络上的问题来源。

端口镜像在层次结构级别配置 [edit forwarding-options port-mirroring] 。要镜像路由(第 3 层)数据包,可以使用端口镜像配置,其中 family 语句设置为 inetinet6

您可以使用端口镜像来复制以下数据包:

  • Packets entering or exiting a port— 您可以将数据包镜像到最多 256 个端口的进入或退出端口的任意数据包组合中。

    换句话说,您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN— 您可以将进入 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您最多可以将 256 个 VLAN(包括一个 VLAN 范围和 PVLAN)配置为分析器的入口输入。

  • Policy-based sample packets— 您可以镜像进入端口或 VLAN 的基于策略的数据包样本。您可以配置 防火墙过滤器 以建立策略以选择要镜像的数据包,并将样本发送到端口镜像实例或分析器 VLAN。

您可以在交换机上配置端口镜像,以将单播流量的副本发送到输出目标,例如接口、路由实例或 VLAN。然后,您可以使用协议分析器应用程序分析镜像流量。协议分析仪应用程序可以在连接到分析仪输出接口的计算机或远程监控站上运行。对于输入流量,您可以配置防火墙过滤器术语,以指定是否必须将端口镜像应用于应用防火墙过滤器的接口上的所有数据包。您可以将配置了操作 port-mirrorport-mirror-instance name 防火墙过滤器或输入或输出逻辑接口(包括聚合以太网逻辑接口)、转发或泛洪到 VLAN 的流量,或者转发或泛洪到 VPLS 路由实例的流量。EX2300、EX3400 和 EX4300 交换机支持在第 2 层环境中对 VPLS(family ethernet-switchingfamily vpls)流量和 VPN 流量 family ccc 进行端口镜像。

在防火墙过滤器术语中,可以通过以下方式在语句下 then 指定端口镜像属性:

  • 隐式引用对端口有效的端口镜像属性。

  • 显式引用端口镜像的特定命名实例。

EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置指南

配置端口镜像时,我们建议您遵循某些准则,以确保从镜像中获得最佳好处。此外,我们建议您在不使用镜像时禁用镜像,并选择必须镜像数据包的特定接口(即,选择特定接口作为分析器的输入),而不是使用 all 关键字选项,因为关键字选项可在所有接口上启用镜像并可能影响整体性能。仅镜像必要的数据包可减少任何潜在的性能影响。

通过本地镜像,来自多个端口的流量将复制到分析器输出接口。如果分析器的输出接口达到容量,则会丢弃数据包。因此,在配置分析器时,必须考虑要镜像的流量是否超过分析器输出接口的容量。

您可以在层次结构中 [edit forwarding-options analyzer] 配置分析器。

注:

真正的出口镜像定义为镜像出换端口的确切副本数和确切数据包修改。由于 EX2300 和 EX3400 交换机上的处理器在入口管道中实现了出口镜像,因此这些交换机不提供准确的出口数据包修改,因此出口镜像流量可以携带与原始流量中的标记不同的 VLAN 标记。

表 3 汇总了 EX2300、EX3400 和 EX4300 交换机上镜像的其他配置准则。

表 3: EX2300、EX3400 和 EX4300 交换机上的端口镜像和分析器配置指南

指引

价值或支持信息

评论

可用作分析器入口输入的 VLAN 数。

256

 

可以同时启用的端口镜像会话和分析器的数量。

4

您总共可以配置四个会话,并且在任何时间点只能启用以下其中一个:

  • 最多四个端口镜像会话(包括全局端口镜像会话)。

  • 最多四个分析器会话。

  • 端口镜像和分析器会话的组合,此组合的总数必须为 4 个。

您可以在交换机上配置超过指定数量的端口镜像实例或分析器,但只能为会话启用指定数量的端口镜像实例或分析器。

无法镜像流量的端口类型。

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 集成路由和桥接 (IRB) 接口;也称为路由 VLAN 接口 (RVI)。

  • VLAN 标记的第 3 层接口

 

可包含在远程流量的端口镜像配置中的协议家族。

any

 

在基于防火墙过滤器的配置中,您可以配置用于在端口上进行镜像的流量方向。

入口和出口

 

退出接口的镜像数据包,反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

适用

 

具有物理层错误的数据包。

适用

具有这些错误的数据包将被过滤掉,因此不会发送到分析器。

端口镜像不支持线速流量。

适用

线速流量的端口镜像将尽力而为。

镜像流出 VLAN 的数据包。

不支持

 

LAG 接口上的端口镜像或分析器输出。

支持

 

端口镜像或分析器输出 LAG 接口上的最大子成员数。

8

 

远程端口镜像或分析器 VLAN 中的最大接口数。

1

 

主机生成的控制数据包的出口镜像。

不支持

 

在分析器的节中 input 配置第 3 层逻辑接口。

不支持

此功能可以通过配置端口镜像来实现。

必须避免使用包含同一 VLAN 成员或 VLAN 本身的分析器输入和输出节。

适用

 

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机上的端口镜像

在 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 或 EX8200 系列交换机上运行的瞻博网络 Junos 操作系统 (Junos OS) 不支持增强型第 2 层软件 (ELS) 配置。因此,Junos OS 不包括在其他 Junos OS 软件包的层次结构中找到的 port-mirroring 语句 edit forwarding-options ,也不 port-mirror 包括防火墙过滤器术语中的操作。

您可以使用 端口镜像 在数据包级别分析瞻博网络 EX 系列以太网交换机上的流量。您可以将端口镜像用作监控交换机流量的一部分,例如实施有关网络使用和文件共享的策略,以及通过定位特定工作站或应用程序的异常或大量带宽使用情况来识别网络上的问题来源。

您可以使用端口镜像将这些数据包复制到本地接口或 VLAN:

  • 进入或退出端口的数据包

  • 您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • 在 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上进入 VLAN 的数据包

  • 在 EX8200 交换机上退出 VLAN 的数据包

概述

端口镜像用于交换机上的流量分析,因为交换机与集线器不同,不会将数据包广播到目标设备上的每个端口。交换机仅将数据包发送到目标设备连接的端口。

您可以在交换机上配置端口镜像,以将单播流量的副本发送到本地分析器端口或分析器 VLAN。然后,您可以使用协议分析器分析镜像流量。协议分析仪可以在连接到分析仪输出接口的计算机上运行,也可以在远程监控站上运行。

您可以使用端口镜像来镜像以下任一内容:

  • Packets entering or exiting a port— 您可以将数据包镜像到最多 256 个端口的进入或退出端口的任意数据包组合中。

    换句话说,您可以将进入某些端口的数据包和退出其他端口的数据包的副本发送到同一本地分析器端口或分析器 VLAN。

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch— 您可以在分析器 VLAN 上镜像进入 VLAN 的数据包。在 EX3200、EX4200、EX4500 和 EX4550 交换机上,您可以将多个 VLAN(最多 256 个 VLAN),包括一个 VLAN 范围和 PVLAN,配置为分析器的入口输入。

  • Packets exiting a VLAN on an EX8200 switch— 您可以将退出 EX8200 交换机上 VLAN 的数据包镜像到本地分析器端口或分析器 VLAN。您可以将多个 VLAN(最多 256 个 VLAN),包括一个 VLAN 范围和 PVLAN,作为分析器的出口输入。

  • Statistical samples— 您可以镜像符合以下条件的数据包的统计样本:

    • 进入或退出端口

    • 在 ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550 或 EX6200 交换机上输入 VLAN

    • 退出 EX8200 交换机上的 VLAN

    您可以通过设置比率来指定数据包的样本数。您可以将样本发送到本地分析器端口或分析器 VLAN。

  • Policy-based sample— 您可以镜像进入端口或 VLAN 的基于策略的数据包样本。您可以配置 防火墙过滤器 以建立策略以选择要镜像的数据包。您可以将样本发送到本地分析器端口或分析器 VLAN。

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200 和 EX8200 系列交换机配置准则

配置端口镜像时,建议您遵循某些准则,以确保从端口镜像功能中获得最大收益。此外,我们建议您在不使用端口镜像时将其禁用,并选择必须镜像数据包的特定接口(即,选择特定接口作为分析器的输入),而不是使用 all 在所有接口上启用端口镜像并可能影响整体性能的关键字。您还可以通过使用统计抽样、设置选择统计样本的比率或使用防火墙过滤器来限制镜像流量。仅镜像必要的数据包可减少任何潜在的性能影响。

使用本地端口镜像,来自多个端口的流量将复制到分析器输出接口。如果分析器的输出接口达到容量,则会丢弃数据包。因此,在配置分析器时,必须考虑要镜像的流量是否超过分析器输出接口的容量。

注:

在 ACX5448 路由器的 [edit forwarding-options analyzer an input egress] 层次结构级别下,只能在入口和出口接口的 .0 逻辑接口上配置分析器输入。如果配置 .0 以外的逻辑接口,则在提交期间会显示错误。以下是配置分析器输入 .100 逻辑接口时显示的示例提交错误:

注: 描述中的“所有其他交换机”或“所有交换机”适用于所有支持端口镜像的交换机平台。有关平台支持的详细信息,请参阅 功能资源管理器
表 4: 配置准则

指引

Description

评论

可用作分析器入口输入的 VLAN 数量

  • 16 个入口或 8 个入口和 8 个出口 — ACX7024设备

    1—EX2200 交换机

  • 256 — EX3200、EX4200、EX4500、EX4550 和 EX6200 交换机

  • 不适用 — EX8200 交换机

 

可同时启用的分析器数量(适用于独立交换机和虚拟机箱)

  • 1—EX2200、EX3200、EX4200、EX3300 和 EX6200 交换机

  • 7 个基于端口或 1 个全局端口 — EX4500 和 EX4550 交换机

  • 总共 7 个,其中一个基于 VLAN、防火墙过滤器或 LAG,其余 6 个基于防火墙过滤器 — EX8200 交换机

    注:

    使用防火墙过滤器配置的分析器不支持镜像作为出口端口的数据包。

  • 您可以在交换机上 配置 超过指定数量的分析器,但只能为会话 启用 指定数量的分析器。用于 disable ethernet-switching-options analyzer name 禁用分析器。

  • 有关 EX4500 和 EX4550 交换机上允许的基于防火墙过滤器的分析器数量的例外情况,请参阅此表中的下一行条目。

  • 在 EX4550 虚拟机箱上,如果输入和输出定义中的端口位于虚拟机箱中的不同交换机上,则只能配置一个分析器。要配置多个分析器,必须在虚拟机箱的同一交换机上配置整个分析器会话。

可在 EX4500 和 EX4550 交换机上配置的基于防火墙过滤器的分析器数量

  • 1—EX4500 和 EX4550 交换机

如果配置多个分析器,则无法将其中任何一个连接到防火墙过滤器。

无法镜像流量的端口类型

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 路由 VLAN 接口 (RVI)

  • VLAN 标记的第 3 层接口

 

如果在 EX8200 交换机上将端口镜像配置为镜像退出 10 千兆以太网端口的数据包,则当镜像数据包超过 10 千兆以太网端口流量的 60% 时,网络和镜像流量中的数据包将被丢弃。

  • EX8200 交换机

 

可为其指定比率的交通方向

  • 仅入口 — EX8200 交换机

  • 入口和出口 — 所有其他交换机

 

可包含在基于防火墙过滤器的远程分析器中的协议族

  • 除和 inet6—EX8200 交换机外inet的任何端口

  • 任意 — 所有其他交换机

您可以在inetinet6本地分析器中使用 EX8200 交换机。

在基于防火墙过滤器的配置中,您可以配置为在端口上进行镜像的流量方向

  • 仅入口 — 所有交换机

 

标记接口上的镜像数据包可能包含不正确的 VLAN ID 或以太网类型。

  • VLAN ID 和以太网类型 — EX2200 交换机

  • 仅 VLAN ID — EX3200 和 EX4200 交换机

  • 仅以太网类型 — EX4500 和 EX4550 交换机

  • 不适用 — EX8200 交换机

 

退出接口的镜像数据包不会反映重写的服务等级 (CoS) DSCP 或 802.1p 位。

  • 所有交换机

 

当属于路由 VLAN 接口 (RVI) 的出口 VLAN 配置为该分析器的输入时,分析器会将不正确的 802.1Q (dot1q) 报头追加到路由流量上的镜像数据包,或者不会镜像路由流量上的任何数据包。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

解决方法是配置一个分析器,将 VLAN 的每个端口(成员接口)用作出口输入。

具有物理层错误的数据包不会发送到本地或远程分析器。

  • 所有交换机

具有这些错误的数据包将被过滤掉,因此不会发送到分析器。

EX8200 交换机上不支持将输出配置为 VLAN 的第 3 层接口上的端口镜像配置。

  • EX8200 交换机

  • 不适用 — 所有其他交换机

 

端口镜像不支持线速流量。

  • 所有交换机

线速流量的端口镜像将尽力而为。

在 EX8200 虚拟机箱中,要通过虚拟机箱镜像流量,输出端口必须是 LAG。

  • EX8200 虚拟机箱

  • 不适用 — 所有其他交换机

在 EX8200 虚拟机箱中:

  • 您可以将 LAG 配置为仅本机分析器的监控端口。

  • 不能将 LAG 配置为基于防火墙过滤器的分析器的监控端口。

  • 如果分析器配置包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

在独立 EX8200 交换机中,您可以在输出定义中配置 LAG。

  • EX8200 独立交换机

  • 不适用 — 所有其他交换机

在 EX8200 独立交换机中:

  • 您可以将 LAG 配置为本机和基于防火墙的分析器上的监控端口。

  • 如果配置包含 LAG 作为监控端口,则无法在分析器的输入定义中配置 VLAN。

SRX 系列防火墙上的 端口镜像

端口镜像复制进入或退出端口的数据包,并将副本发送到本地接口进行监控。端口镜像用于将流量发送到分析流量的应用程序,以便监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。</para><para>端口镜像用于将端口上看到的所有数据包的副本或仅发送采样数据包的副本到网络监视连接。您可以在传入端口(入口端口镜像)或传出端口(出口端口镜像)上镜像数据包。

端口镜像仅在具有以下 I/O 卡的 SRX 系列防火墙上受支持:

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC Flex I/O

在 SRX 系列防火墙上,将通过端口传输mirrored的所有数据包都将被复制并发送到指定mirror-to端口。这些端口必须位于 I/O 卡中的 同一 Broadcom 芯片组上。

在 SRX 系列防火墙上,端口镜像仅适用于物理接口。

了解第 2 层端口镜像

在包含互联网处理器 II ASIC 的路由平台和交换机上,您可以将来自路由平台或交换机的任何传入数据包的副本发送到外部主机地址或数据包分析器进行分析。这称为 端口镜像

在 Junos OS 9.3 及更高版本中,第 2 层环境中的瞻博网络 MX 系列 5G 通用路由平台支持第 2 层桥接流量和虚拟专用 LAN 服务 (VPLS) 流量的 端口镜像

在 Junos OS 9.4 及更高版本中,第 2 层环境中的 MX 系列路由器支持通过透明连接相同类型逻辑接口的电路交叉连接 (CCC) 对第 2 层 VPN 流量进行端口镜像。

在 Junos OS 12.3R2 版中,瞻博网络 EX 系列交换机支持第 2 层桥接流量的端口镜像。

通过层端口镜像,您可以指定监视指定端口的传入和传出数据包的方式,以及将所选数据包的副本转发到可以分析数据包的另一个目标的方式。

MX 系列路由器和 EX 系列交换机通过使用服务等级 (CoS) 架构执行流监控功能,从而支持第 2 层端口镜像,该架构在概念上与其他路由平台和交换机相似,但尤其不同。

与 M120 多服务边缘路由器和 M320 多服务边缘路由器一样,MX 系列路由器和 EX 系列交换机同时支持 IPv4、IPv6 和 VPLS 数据包的镜像。

在第 3 层环境中,MX 系列路由器和 EX 系列交换机支持 IPv4 (family inet) 和 IPv6 (family inet6) 流量的镜像。有关第 3 层端口镜像的信息,请参阅 《路由策略》、《防火墙过滤器和流量监管器用户指南》。

第 2 层端口镜像属性

端口镜像 指定以下类型的属性:

数据包选择

第 2 层端口镜像的数据包选择属性指定如何选择采样数据包进行镜像:

  • 每个样本中的数据包数。

  • 要从每个样本镜像的数据包数。

  • 镜像数据包将被截断到的长度。

数据包地址族

数据包地址族类型指定要镜像的流量类型。在第 2 层环境中,MX 系列路由器和 EX 系列交换机支持以下数据包地址系列的端口镜像:

  • 系列类型 ethernet-switching— 用于在物理接口配置封装类型 ethernet-bridge时镜像 VPLS 流量。

  • 系列类型 ccc— 用于镜像第 2 层 VPN 流量。

  • 系列类型 vpls— 用于镜像 VPLS 流量。

注:

在典型应用中,您将镜像数据包直接发送到分析器,而不是其他路由器或交换机。如果必须通过网络发送镜像数据包,则应使用隧道。对于第 2 层 VPN 实施,您可以使用第 2 层 VPN 路由实例类型 l2vpn 将数据包通过隧道传输到远程目标。

有关为第 2 层 VPN 配置路由实例的信息,请参阅 路由设备的 Junos OS VPN 库。有关详细的第 2 层 VPN 示例配置,请参阅 Junos OS。有关隧道接口的信息,请参阅 路由设备的 Junos OS 网络接口库

镜像目标属性

对于给定的数据包地址族,第 2 层端口镜像实例的镜像目标属性指定如何在特定物理接口上 发送所选数据包:

  • 用于发送选定数据包的物理接口。

  • 是否要对镜像目标接口禁用过滤器检查。默认情况下,在所有接口上启用过滤器检查。

    注:

    如果将过滤器应用于也是第 2 层端口镜像目标的接口,则除非您已禁用对该镜像目标接口的过滤器检查,否则会发生提交失败。

镜像一次选项

如果在入口和出口接口上都启用了端口镜像,则可以阻止 MX 系列路由器和 EX 系列交换机将重复数据包发送到同一目标(这将使镜像流量的分析复杂化)。

注:

一次镜像端口镜像选项是全局设置。该选项独立于数据包选择属性和特定于数据包系列类型的镜像目标属性。

第 2 层端口镜像类型的应用

您可以将不同的第 2 层端口镜像属性集应用于 MX 系列或 EX 系列路由的不同入口或出口点的 VPLS 数据包。

表 5 介绍了可在 MX 系列路由器和 EX 系列交换机上配置的三种类型的第 2 层端口镜像 ,即:全局实例、命名实例和防火墙筛选器。

表 5: 第 2 层端口镜像类型的应用

第 2 层端口镜像定义的类型

应用点

镜像的范围

Description

配置详细信息

第 2 层端口镜像的全局实例

MX 系列路由器(或交换机)机箱中的所有端口。

MX 系列路由器(或交换机)机箱中所有端口上接收的 VPLS 数据包。

如果配置了,则全局端口镜像属性将隐式应用于在路由器(或交换机)机箱中的所有端口上接收的所有 VPLS 数据包。

请参阅 配置第 2 层端口镜像的全局实例

第 2 层端口镜像的命名实例

在 FPC 级别分组的端口

请参阅 将第 2 层端口镜像绑定到 FPC 级别分组的端口

在与特定 DPC 或 FPC 及其数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖全局端口镜像实例配置的任何端口镜像属性。

请参阅 定义第 2 层端口镜像的命名实例

MX 系列路由器和 EX 系列交换机支持的端口镜像目标数量限制为路由器或交换机机箱中安装的 DPC 或 FPC 中包含的数据包转发引擎数量。

在 PIC 级别分组的端口

请参阅 将第 2 层端口镜像绑定到 PIC 级别分组的端口

在与特定数据包转发引擎关联的端口上接收的 VPLS 数据包。

覆盖在 FPC 级别或全局端口镜像实例中配置的任何端口镜像属性。

第 2 层端口镜像防火墙过滤器

逻辑接口 (包括聚合以太网接口)

请参阅 将第 2 层端口镜像应用于逻辑接口

在逻辑接口上接收或发送的 VPLS 数据包。

防火墙过滤器 配置中,包含 actionaction-modifier 要应用于选定用于镜像的数据包的条款:

  • 建议执行该 accept操作。

  • 修饰 port-mirror 符隐式引用当前绑定到底层物理接口的端口镜像属性。

  • 修饰 port-mirror-instance pm-instance-name 符显式引用端口镜像的命名实例。

  • (可选)仅对于隧道接口输入数据包,要将数据包镜像到其他目标,请包含 next-hop-group next-hop-group-name 修饰符。此修饰符引用指定下一跃点地址的下一跃点组(用于向分析器发送数据包的其他副本)。

请参阅 定义第 2 层端口镜像防火墙过滤器

注:

逻辑系统不支持第 2 层端口镜像防火墙过滤器。

要将隧道接口输入数据包镜像到多个目标,另请参阅 为第 2 层端口镜像定义下一跃点组

VLAN 转发表或泛洪表

请参阅 将第 2 层端口镜像应用于转发或泛洪到网桥域的流量

第 2 层流量转发或泛洪到 VLAN

VPLS 路由实例转发表或泛洪表

请参阅 将第 2 层端口镜像应用于转发或泛洪到 VPLS 路由实例的流量

转发或泛洪到 VPLS 路由实例的第 2 层流量

第 2 层端口镜像的限制

以下限制适用于第 2 层 端口镜像

  • 只能镜像第 2 层传输数据(在从源转发到目标时包含通过路由平台或交换机传输的数据块的数据包)。不会镜像第 2 层本地数据(包含路由引擎发送或发送的数据块的数据包,例如第 2 层控制数据包)。

  • 如果将端口镜像过滤器应用于 逻辑接口的输出,则只会镜像单播数据包。要镜像广播数据包、组播数据包、目标介质访问控制 (MAC) 地址未知的单播数据包或目标 MAC (DMAC) 路由表中具有 MAC 条目的数据包,请将过滤器应用于 VLAN 或虚拟专用 LAN 服务 (VPLS) 路由实例的泛洪表的输入。

  • 镜像目标设备应位于专用 VLAN 上,并且不应参与任何桥接活动;镜像目标设备不应具有到最终流量目标的网桥,并且镜像目标设备不应将镜像数据包发送回源地址。

  • 对于全局端口镜像实例或命名端口镜像实例,您只能为每个端口镜像实例和数据包地址族配置一个镜像输出接口。如果在语句下family (ethernet-switching | ccc | vpls) output包含多个interface语句,则会覆盖前面interface的语句。

  • 逻辑系统不支持第 2 层端口镜像防火墙过滤。

    在第 2 层端口镜像 防火墙过滤器 定义中, action-modifier 过滤器(port-mirrorport-mirror-instance pm-instance-name) 依赖于在层次结构下 [edit forwarding-options port-mirroring] 配置的第 2 层端口镜像的全局实例或命名实例中定义的端口镜像属性。因此, term 过滤器不能支持逻辑系统的第 2 层端口镜像。

  • 对于通过包含 port-mirror 语句隐式引用第 2 层端口镜像属性的第 2 层端口镜像防火墙过滤器,如果第 2 层端口镜像的多个命名实例绑定到底层物理接口,则逻辑接口仅使用节中的第一个绑定(或唯一的绑定)。这样做是为了向后兼容。

  • 第 2 层端口镜像防火墙过滤器不支持使用下一跃点子组对镜像流量进行负载平衡。