Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

在物理接口上配置端口镜像

物理接口上多级第 2 层端口镜像的优先级

您可以在 MX 系列路由器或 EX 系列交换机机箱的各个级别(机箱级别、FPC 级别或 PIC 级别)绑定不同的第 2 层端口镜像 属性集(全局实例和一个或多个命名实例)。因此,一组物理接口可以绑定到多个第 2 层端口镜像定义。

如果一组端口(或者在 MX960 路由器中的 PIC 级别绑定的情况下,为单个端口)绑定到多个第 2 层端口镜像定义,路由器(或交换机)将第 2 层端口镜像属性应用于这些端口,如下所示:

  1. 机箱级端口镜像属性隐式应用于机箱中的所有端口。如果 MX 系列路由器或 EX 系列交换机配置了全局端口镜像实例,则这些端口镜像属性将应用于所有端口。请参阅 配置第 2 层端口镜像的全局实例

  2. FPC 级别的端口镜像属性将覆盖机箱级别的属性。如果 DPC 或 FPC 绑定到端口镜像的命名实例,则这些端口镜像属性将应用于与该 DPC 或 FPC 关联的所有端口,并覆盖在机箱级别绑定的任何端口镜像属性。请参阅 将第 2 层端口镜像绑定到 FPC 级别分组的端口

  3. PIC 级端口镜像属性将覆盖 FPC 级属性。如果数据包转发引擎或 PIC 绑定到端口镜像的命名实例,则这些端口镜像属性将应用于与数据包转发引擎或 PIC 关联的所有端口,覆盖在 FPC 级别绑定到这些端口的任何端口镜像属性。请参阅 将第 2 层端口镜像绑定到 PIC 级别分组的端口

将第 2 层端口镜像绑定到 FPC 级别分组的端口

在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中的特定 DPC 或特定 FPC。这称为在路由器(或交换机)机箱的 FPC 级别绑定 第 2 层端口镜像的命名实例。命名实例中指定的端口镜像属性将应用于与指定 DPC 或 FPC 上的所有数据包转发引擎关联的所有物理端口。

注:

您还可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中 DPC 或 FPC 上的特定数据包转发引擎。

适用于第 2 层端口镜像支持的任何数据包类型系列

  • 绑定到特定 DPC 或 FPC 的端口镜像属性将覆盖在全局级别配置的任何端口镜像属性。

  • 绑定到特定数据包转发引擎的端口镜像属性将覆盖在 DPC 或 FPC 级别配置的任何端口镜像属性。

您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个 DPC 或 FPC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。

在开始之前,请完成以下任务:

  • 定义第 2 层端口镜像的命名实例。请参阅 定义第 2 层端口镜像的命名实例

  • 显示有关 MX 系列路由器和 EX 系列交换机中的 DPC 或 FPC 的数量和类型、每个交换机上的数据包转发引擎的数量以及每个数据包转发引擎的端口数量和类型的信息。

要将第 2 层端口镜像的命名实例绑定到 DPC 或 FPC 及其数据包转发引擎:

  1. 启用路由器(或交换机)机箱属性的配置:
  2. 启用 DPC(及其相应的数据包转发引擎)或 FPC(及其已安装的 PIC)的配置:
  3. 将第 2 层端口镜像 (pm-instance-name) 的命名实例绑定到 DPC 或 FPC:
  4. (可选)要将第 2 层端口镜像的第二个命名实例绑定到同一 DPC 或 FPC,请重复上一步(步骤 3)并指定第 2 层端口镜像的不同命名实例。
  5. 验证绑定的最低配置:

将第 2 层端口镜像绑定到 PIC 级别分组的端口

在 MX 系列路由器和 EX 系列交换机上,您可以将第 2 层端口镜像的命名实例绑定到与特定数据包转发引擎关联的端口(在 DPC 上)或与特定 PIC 关联的端口(安装在 FPC 中)。这称为在路由器(或交换机)机箱的 PIC 级别绑定 第 2 层端口镜像的命名实例。命名实例中指定的端口镜像属性将应用于与指定数据包转发引擎关联的所有物理端口。

注:

您还可以将第 2 层端口镜像的命名实例绑定到路由器(或交换机)机箱中的特定 DPC 或 FPC。

对于第 2 层端口镜像支持的任何数据包类型系列:

  • 绑定到特定数据包转发引擎的端口镜像属性将覆盖在 DPC 或 FPC 级别配置的任何端口镜像属性。

  • 绑定到特定 DPC 或 FPC 的端口镜像属性将覆盖在全局级别配置的任何端口镜像属性。

您最多可以将两个第 2 层端口镜像的命名实例应用于路由器(或交换机)机箱内的同一组端口。通过将两个不同的端口镜像实例应用于同一个数据包转发引擎或 PIC,您可以将两个不同的第 2 层端口镜像规范绑定到一组端口。

对于 MX960 路由器,数据包转发引擎与以太网端口之间存在一对一映射。因此,只有在 MX960 路由器上,通过将第 2 层端口镜像的命名实例绑定到与该端口关联的数据包转发引擎,可以将该实例绑定到 特定端口

在开始之前,请完成以下任务:

  • 定义第 2 层端口镜像的命名实例。请参阅 定义第 2 层端口镜像的命名实例

  • 显示有关 MX 系列路由器或 EX 系列交换机中的 DPC 数量和类型、每个 DPC 上的数据包转发引擎数量以及每个数据包转发引擎的端口数量和类型的信息。

要将第 2 层端口镜像的命名实例绑定到数据包转发引擎:

  1. 启用路由器(或交换机)机箱属性的配置:
  2. 启用数据包转发引擎或 PIC 的配置:
  3. 将第 2 层端口镜像 (pm-instance-name) 的命名实例绑定到数据包转发引擎或 PIC:
  4. (可选)要将第 2 层端口镜像的第二个命名实例绑定到同一数据包转发引擎或 PIC,请重复上一步(步骤 3)并指定第 2 层端口镜像的不同命名实例。
  5. 验证绑定的最低配置:

示例:机箱多个级别的第 2 层端口镜像

在 MX 系列路由器或 EX 系列交换机上,您可以在机箱的 FPC 或 DPC 级别或机箱的 PIC 级别应用第 2 层端口镜像的命名实例。但是,您只能配置(和隐式应用)一个第 2 层端口镜像的全局实例到整个机箱。

FPC 级别的第 2 层端口镜像

在此 MX 系列路由器或 EX 系列交换机机箱的配置示例中,第 2 层端口镜像 (pm1) 的命名实例绑定到在 FPC 级别分组的物理端口:

这不是一个完整的配置。必须在层次结构级别配置 [edit interfaces] 与插槽 2 中的 FPC 或 DPC 关联的物理接口。必须在层次结构级别配置[edit forwarding-options port-mirroring instance]第 2 层端口镜像命名实例pm1

PIC 级别的第 2 层端口镜像

在此 MX 系列路由器或 EX 系列交换机机箱的配置示例中,第 2 层端口镜像 (pm2) 的命名实例绑定到在 PIC 级别分组的物理端口:

这不是一个完整的配置。必须在层次结构级别配置 [edit interfaces] 与插槽 2 中的 FPC 或 DPC 关联的物理接口。必须在层次结构级别配置[edit forwarding-options port-mirroring instance]第 2 层端口镜像命名实例pm2

FPC 和 PIC 级别的第 2 层端口镜像

在此 MX 系列路由器机箱或 EX 系列交换机的配置示例中,在路由器(或交换机)机箱的 FPC 级别应用了第 2 层端口镜像 (pm1) 的一个命名实例。第二个命名实例 (pm2) 应用于 PIC 级别:

这不是一个完整的配置。与插槽 2 中的 FPC 或 DPC 关联的物理接口(包括与 关联的 pic 0物理接口)必须在层次结构级别进行 [edit interfaces] 配置。第 2 层端口镜像命名实例 pm1pm2 必须在层次结构级别进行 [edit forwarding-options port-mirroring instance] 配置。

通过 GRE 接口配置第 2 层端口镜像

端口镜像是路由器将数据包副本发送到外部主机地址或数据包分析器进行分析的能力。一个用于端口镜像的应用程序将重复的数据包发送到虚拟隧道。然后,可以将下一跃点组配置为将此重复数据包的副本转发到多个接口。Junos OS 支持通过 GRE 接口将第 2 层端口镜像到远程收集器。

要通过 GRE 接口配置第 2 层端口镜像,请执行以下操作:

  1. 使用源地址和目标地址配置 GRE 接口。
  2. 在 GRE 接口上配置家族网桥参数。
  3. 配置输入数据包的镜像速率。
  4. 为 GRE 接口配置系列 VPLS 的输出接口。
  5. 配置家庭网桥的防火墙过滤器术语,以计算到达接口的数据包。
  6. 为家庭网桥配置防火墙过滤器术语以镜像数据包。

另请参阅

示例:通过 GRE 接口配置第 2 层端口镜像

此示例说明如何通过 GRE 接口配置第 2 层端口镜像以进行分析。

要求

此示例使用以下硬件和软件组件:

  • 一台 MX 系列路由器

  • 在所有设备上运行的 Junos OS 16.1 或更高版本

概述

端口镜像是路由器将数据包副本发送到外部主机地址或数据包分析器进行分析的能力。一个用于端口镜像的应用程序将重复的数据包发送到虚拟隧道。然后,可以将下一跃点组配置为将此重复数据包的副本转发到多个接口。从 Junos OS 16.1 版开始,支持通过 GRE 接口将第 2 层端口镜像到远程收集器。

拓扑学

图 1 显示了通过 GRE 接口配置的端口镜像。接口 gr-4/0/0 配置为家庭网桥。防火墙家族网桥过滤器 f1 配置为端口镜像。镜像目标配置为 gr-4/0/0。防火墙家族网桥过滤器 f1 应用于 xe-3/2/5.0 接口的入口和出口,该接口将数据包镜像到镜像目标 gr-4/0/0。

图 1: 通过 GRE 接口进行第 2 层端口镜像的示例通过 GRE 接口进行第 2 层端口镜像的示例

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

R0

配置 R0

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 Junos OS CLI 用户指南 中的“Using the CLI Editor in Configuration Mode”。

要配置设备 R0:

  1. 配置机箱的灵活 PIC 集中器参数。

  2. 配置机箱的增强型 IP 网络服务。

  3. 配置接口。

  4. 配置要采样的输入数据包的速率。

  5. 配置要镜像的数据包的 VPLS 地址族的输出接口。

  6. 为防火墙过滤器配置协议家族 BRIDGE。

  7. 配置网桥域的 VLAN ID。

  8. 配置桥接域的接口。

结果

在配置模式下,输入 show bridge-domainsshow chassisshow firewallshow forwarding-optionsshow interfaces命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

验证

确认配置工作正常。

验证流量的端口镜像

目的

显示流量信息的端口镜像。

操作

在设备 R0 上,在操作模式下,运行 show forwarding-options port-mirroring 命令以显示流量信息的端口镜像。

意义

输出显示流量信息的端口镜像。