配置端口镜像实例
第 2 层端口镜像全局实例
在 MX 系列路由器和 EX 系列交换机上,您可以配置一组端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中的所有端口上接收的数据包。这组端口镜像属性是路由器或交换机第 2 层端口镜像的全局实例。
在全局实例配置中,您可以为第 2 层端口镜像支持的每个数据包地址系列指定一组镜像目标属性。
有关第 2 层端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。有关 MX 系列路由器和 EX 系列交换机上可用的第 2 层端口镜像类型的比较,请参阅 第 2 层端口镜像类型的应用。
配置第 2 层端口镜像的全局实例
在 MX 系列路由器和 EX 系列交换机上,您可以配置一组第 2 层端口镜像属性,这些属性隐式应用于在路由器(或交换机)机箱中的所有端口上接收的数据包。
要在 MX 系列路由器和 EX 系列交换机上配置第 2 层端口镜像的全局实例,请执行以下操作:
第 2 层端口镜像命名实例
本主题介绍以下信息:
第 2 层端口镜像命名实例概述
在 MX 系列路由器和 EX 系列交换机上,您可以定义一组端口镜像属性,您可以将这些属性显式绑定到路由器或交换机上的物理端口。这组 端口镜像 属性称为第 2 层端口镜像的 命名实例 。
您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱不同级别的与 MX 系列路由器或 EX 系列交换机的数据包转发引擎组件关联的物理端口:
在 FPC 级别 — 可以将命名实例绑定到与特定密集端口集中器 (DPC) 关联的物理端口或与特定灵活端口集中器 (FPC) 关联的物理端口。
在 PIC 级别 — 您可以将端口镜像的命名实例绑定到特定数据包转发引擎(在特定 DPC 上)或特定 PIC。
MX 系列路由器支持 DPC 以及 FPC 和 PIC。与 FPC 不同,DPC 不支持 PIC。但是,在 Junos OS CLI 中,您可以使用 FPC 和 PIC 语法来配置或显示有关 DPC 和 DPC 上的数据包转发引擎的信息。
以下几点总结了基于命名实例的第 2 层端口镜像的行为:
数据包选择的范围由绑定目标决定 — 在绑定到第 2 层端口镜像的命名实例的端口(或端口)上,路由器或交换机根据命名实例中的数据包选择属性选择输入数据包。
所选数据包的目标由数据包地址族决定 — 在所选数据包中,路由器或交换机仅镜像属于某个地址族的数据包,第 2 层端口镜像的命名实例为其指定了一组镜像目标属性。在第 2 层环境中,MX 系列路由器和 EX 系列交换机支持使用
family ccc
VPLS(family ethernet-switching
或family vpls
)流量和第 2 层 VPN 流量的端口镜像。
有关第 2 层端口镜像属性的一般说明,请参阅 了解第 2 层端口镜像属性。有关 MX 系列路由器和 EX 系列交换机上可用的第 2 层端口镜像类型的比较,请参阅 第 2 层端口镜像类型的应用。
在 FPC 级别分组的端口上进行镜像
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中安装的特定 DPC 或 FPC。实例中的端口镜像属性将应用于指定 DPC 上的所有数据包转发引擎(及其关联端口)或指定 FPC 中安装的所有 PIC(及其关联端口)。绑定到 DPC 或 FPC 的端口镜像属性将覆盖在全局级别或 MX 系列路由器(或交换机)机箱绑定的任何端口镜像属性。
在 PIC 级别分组的端口上进行镜像
在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到特定的数据包转发引擎或 PIC。该实例中的端口镜像属性将应用于与指定的数据包转发引擎或 PIC 关联的所有端口。绑定到数据包转发引擎或 PIC 的端口镜像属性将覆盖在包含这些属性的 DPC 或 FPC 上绑定的任何端口镜像属性。
对于 MX960 路由器,数据包转发引擎与以太网端口之间存在一对一映射。因此,只能在 MX960 路由器上配置端口镜像实例的特定于端口的绑定。
在绑定到多个命名实例的一组端口上进行镜像
在 MX 系列路由器和 EX 系列交换机上,您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个 DPC、FPC、数据包转发引擎或 PIC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。
您只能在 MX 系列路由器和 EX 系列交换机上配置一个第 2 层端口镜像的全局实例。
通过配置内联端口镜像,可以为每个 FPC 配置两个以上的端口镜像实例。有关内联端口镜像的信息,请参阅 配置内联端口镜像。
定义第 2 层端口镜像的命名实例
在 MX 系列路由器和 EX 系列交换机上,您可以定义一组第 2 层端口镜像属性,您可以将这些属性绑定到特定数据包转发引擎(在路由器或交换机机箱的 PIC 级别)或一组数据包转发引擎(在机箱的 DPC 或 FPC 级别)。
要在 MX 系列路由器或 EX 系列交换机上定义第 2 层端口镜像的命名实例,请执行以下操作:
禁用第 2 层端口镜像实例
您可以禁用第 2 层端口镜像的全局实例、特定命名实例或端口镜像的所有实例:
要禁用第 2 层端口镜像的全局实例,请在层次结构级别包含
disable
以下语句[edit forwarding-options port-mirroring]
:[edit] forwarding-options { port-mirroring { disable; Disables the global instance of Layer 2 port mirroring. ...global-instance-of-layer-2-port-mirroring-configuration... } }
要禁用第 2 层端口镜像的特定命名实例的定义,请在层次结构级别包含
disable
以下语句[edit forwarding-options port-mirroring instance instance-name]
:[edit] forwarding-options { port-mirroring { ...optional-configuration-of-the-global-instance-of-layer-2-port-mirroring... instance { port-mirroring-instance-name { disable; Disables this named instance of Layer 2 port mirroring. ...definition-of-a-named-instance-of-layer-2-port-mirroring... } } } }
要禁用第 2 层端口镜像的全局实例和所有命名实例,请在层次结构级别包含
disable-all-instances
以下语句[edit forwarding-options port-mirroring]
:[edit] forwarding-options { port-mirroring { disable-all-instances; Disables all instances of Layer 2 port mirroring. ...optional-configuration-of-the-global-instance-of-layer-2-port-mirroring... instance { port-mirroring-instance-name { ...definition-of-a-named-instance-of-layer-2-port-mirroring... } } } }
配置内联端口镜像
内联端口镜像使您能够在防火墙过滤器 then port-mirror-instance
操作中指定未绑定到灵活 PIC 集中器 (FPC) 的实例。这样,您就不限于每个 FPC 只能有两个端口镜像实例。内联端口镜像将端口镜像目标与输入参数(如 rate
)分离。虽然输入参数在交换机接口板中编程,但镜像数据包的下一跳目标在数据包本身中可用。内联端口镜像仅在基于 Trio 的模块化端口集中器 (MPC) 上受支持。
使用内联端口镜像,端口镜像实例可以选择从指定它的另一个实例继承输入参数,如以下 CLI 配置示例所示:
instance pm2 { + input-parameters-instance pm1; family inet { output { interface ge-1/2/3.0 { next-hop 192.0.2.10; } } } }
不允许多级继承。一个实例可以由多个实例引用。一个实例可以引用在其之前定义的另一个实例。不允许前向引用,实例不能引用自身,这样做会导致配置解析过程中出错。
用户可以在防火墙过滤器中指定未绑定到 FPC 的实例。指定的筛选器应继承已绑定到 FPC 的两个实例之一。否则,不会将数据包标记为端口镜像。如果是这样,则将使用引用实例指定的输入参数对数据包进行采样,但副本将发送到其自己的目标。