Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía de administración y monitoreo de red Imitación de puerto Duplicación de puertos y analizadores

Guía de administración y monitoreo de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía de administración y monitoreo de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Configurar la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

date_range 18-Jan-25
arrow_backward
arrow_forward

Los filtros selectivos de duplicación de paquetes pueden servir como un mecanismo de solución de problemas altamente efectivo y también se pueden usar para fines de monitoreo del rendimiento.

Descripción de la creación de reflejo de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

Este documento se centra en la capacidad de seleccionar tráfico mediante una amplia variedad de condiciones de coincidencia de filtros IPv4 o IPv6 y de reflejar paquetes enteros con su información original de encabezado de capa 2.

La información del encabezado de capa 2 puede ser esencial para identificar a un cliente específico en una implementación de enrutador perimetral o a un par de Internet específico en un caso de emparejamiento público.

Características de la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3

En pocas palabras, puede reflejar el encabezado original del paquete de capa 2 cuando la l2-mirror acción está configurada en un family inet filtro o family inet6 . Los paquetes se pueden duplicar local o remotamente mediante túneles GRE.

Si especifica la interfaz de salida en la configuración de creación de reflejo como una interfaz de túnel GRE, los paquetes se encapsulan en GRE antes de la transmisión. Una instancia de duplicación de puertos se puede configurar con varias familias de protocolos de salida.

Limitaciones para la configuración de creación de reflejo a nivel de paquete

  • La nueva acción, l2-mirror, sólo se admite para family inet y family inet6filtra.

  • La duplicación de capa 2 no es compatible con interfaces gr-*/*/**.

Configurar un filtro con una instancia de creación de reflejo de puerto o con creación de reflejo de puerto global

Puede configurarse l2-mirror en firewall family (inet | inet6) filter filter-name term then port-mirror (creación de reflejo de puerto global) o firewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name (instancias de duplicación de puertos, o "instancias de PM").

Haber l2-mirror configurado para un término indica que para los paquetes que coinciden con este término, el paquete de capa 2 se refleja. El software realiza comprobaciones de confirmación en busca de configuraciones no válidas, como cuando l2-mirror está configurado pero no se configura ninguna interfaz de salida de duplicación de puerto en family any la configuración de duplicación de puertos a nivel global o de instancia. Si desactiva l2-mirror, el comportamiento de creación de reflejo vuelve a la creación de reflejo de capa 3.

Los dos ejemplos siguientes muestran la configuración de un filtro (el nombre del filtro en los ejemplos es f1) con una instancia de creación de reflejo de puertos y con una creación de reflejo de puerto global. En ambos ejemplos, el tráfico se refleja en el destino remoto a través de un túnel GRE.

Nota:

Las configuraciones de duplicación de puertos, que se encuentran en forwarding-options, se configuran con family any, pero las condiciones de coincidencia en la configuración del filtro se realizan en family inet. El uso family any permite la creación de reflejo de paquetes de capa 2.

  1. Para configurar el filtro con una instancia de duplicación de puertos:
    Nota:

    Puede especificar una interfaz gr- como destino espejo. Consulte Configuración de tunelización de encapsulación de enrutamiento genérico en la serie ACX para obtener información sobre la configuración de interfaces gr- (el documento se refiere específicamente a los enrutadores de la serie ACX; la misma información se aplica a otros enrutadores, incluidos MX10003).

    content_copy zoom_out_map
    forwarding-options {
  port-mirroring {
    instance {
      mirror-instance-1 {
        input {
          rate 2;
        }
        family any {
          output {
            interface gr-0/0/0.0;
          }
        }
      }
    }
  }
}
firewall {
  family inet {
    filter f1 {
      term tcp-flags {
        from {
          protocol tcp;
          tcp-flags "(syn & fin & rst)";
        }
        then {
          port-mirror-instance mirror-instance-1;
          l2-mirror;
        }
      }
    }
  }
}
interfaces {
    gr-0/0/0 {
        unit 0 {
            tunnel {
                source 10.1.1.2/32;
                destination 10.1.1.1/32;
            }
            family bridge {
                interface-mode access;
                vlan-id 100;
            }
        }
    }
}
routing-instances {
    i1 {
        instance-type virtual-switch;
        interface gr-0/0/0.0;
        bridge-domains {
            bd100 {
                vlan-id 100;
            }
        }
    }
}
  2. Para configurar el filtro con la creación de reflejo global de puertos:
    content_copy zoom_out_map
    forwarding-options {
  port-mirroring {
    input {
      rate 2;
    } 
    family any {
      output {
        interface gr-0/0/0.0;
      }
    }
  }
}
firewall {
  family inet {
    filter f1 {
      term tcp-flags {
        from {
          protocol tcp;
          tcp-flags "(syn & fin & rst)";
        }
        then {
          port-mirror;
          l2-mirror;
        }
      }
    }
  }
}
interfaces {
    gr-0/0/0 {
        unit 0 {
            tunnel {
                source 10.1.1.2/32;
                destination 10.1.1.1/32;
            }
            family bridge {
                interface-mode access;
                vlan-id 100;
            }
        }
    }
}
routing-instances {
    i1 {
        instance-type virtual-switch;
        interface gr-0/0/0.0;
        bridge-domains {
            bd100 {
                vlan-id 100;
            }
        }
    }
}

Configurar la creación de reflejo para túneles FTI

Cuando la ruta de datos atraviesa un túnel de interfaz de túnel flexible (FTI), el paquete de salida se envía con encapsulación de túnel. Puede configurar una configuración que refleje el paquete original, así como el paquete con todas las encapsulaciones a medida que sale.

Para reflejar el paquete original, configure la duplicación de entrada en la interfaz WAN de entrada.

Para reflejar el paquete con todas las encapsulaciones, habilite la creación de reflejo de salida en la interfaz WAN de salida.

Para habilitar la creación de reflejo basada en un filtro instalado en la interfaz FTI, utilice un proceso de dos pasos:

  1. Los paquetes se marcan para la creación de reflejo mediante la acción de política en la interfaz fti-. La acción de política se utiliza normalmente para seleccionar la regla de reescritura de salida, pero en este caso, la acción de política se utiliza para marcar paquetes interesantes con un atributo de política interna, sin ninguna regla de reescritura especial configurada.
  2. Tiene los paquetes de intercepción de software que coinciden con la política específica en el lado de la WAN de salida e inicia la l2-mirror acción. Los paquetes se notifican con información del encabezado de capa 2, incluida la encapsulación del túnel.
Nota:

En el siguiente ejemplo se muestra la creación de reflejo de puertos de capa 3. Para obtener la duplicación de puertos de capa 2, simplemente configure la l2-mirror acción como se muestra en los ejemplos anteriores de este documento.

  1. Defina policy-map policy-map-namebajo la class-of-service estrofa:
    content_copy zoom_out_map
    class-of-service {
  policy-map {
    pm1; 
  } 
}
  2. Aplique un filtro de salida en la FTI con la acción policy-map pm1:
    content_copy zoom_out_map
    family inet {
  filter mirror-all {
    term mirror {
      from {
        policy-map pm1;
      }
      then {
        count all;
        port-mirror-instance mirror-to-gre;
        accept;
      }
    }
     term default {
       then accept;
     }
   }
  filter f1 {
    term t1 {
      from {
        source-address {
          10.1.1.2/32;
        }
      }
      then {
        policy-map pm1;  
        count c1;
      }
    }
    term t2 {
      from {
        source-address {
          10.36.100.1/32;
        }
      }
      then accept;
     }
   }
}
  3. El siguiente resultado de configuración muestra la configuración de FTI en la interfaz fti0.1001. (Para obtener más detalles sobre la configuración de un túnel FTI, consulte Descripción general de interfaces de túnel flexibles.)
    content_copy zoom_out_map
    interfaces {
  fti0 {
    unit 1001 { 
     tunnel {  
       encapsulation vxlan-gpe {
         source {
           address 198.51.100.1;
         }
         destination {
           address 198.51.100.2;
         }
         tunnel-endpoint vxlan;
         destination-udp-port 4789;
         vni 22701;
       }
     }
     family inet {
       filter {
         output f1;
       }
       address 10.18.1.1/27;
     }
     family inet6 {
       address 2001:db8::1:1/126;
     }
   }
  } 
}
  4. Agregue un filtro (aquí denominado mirror-all) en la interfaz WAN de salida con coincidencia de policy-map pm1 then port-mirror:
    content_copy zoom_out_map
    family inet { 
    filter mirror-all { 
        term mirror { 
            from { 
                policy-map policy-map-name; 
            } 
            then { 
                count all; 
                port-mirror-instance mirror-to-gre; 
                accept; 
            } 
        } 
        term default { 
            then accept; 
    }
  }
}
    content_copy zoom_out_map
    interfaces {
 ge-0/0/1 { 
  unit 0 {
    family inet {
      filter {
        output mirror-all;
      }
      address 10.200.0.1/24; 
    }
    family iso;
  } 
 }
}

Puntos de fijación para filtros

Punto de conexión del filtro Tipo de interfaz Encabezado de capa 2 de paquete duplicado
Entrada Cualquier Ethernet excepto gr- y fti- Se informa del encabezado de capa 2 del paquete entrante
Salida Cualquier Ethernet excepto gr- y fti- Se informa del encabezado de capa 2 del paquete entrante
Entrada o salida Interfaz GR- No compatible
Entrada Interfaz FTI Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Salida Interfaz FTI Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Entrada Interfaz IRB Encabezado entrante de capa 2 del paquete original (como se vio en el puerto WAN)
Salida Interfaz IRB No compatible

Sugerencias para mejorar la configuración del filtrado de paquetes

Tenga en cuenta lo siguiente como práctica adicional para mejorar la configuración de la telemetría de red de filtros:

Puede utilizar filtros de cadena de entrada y de cadena de salida para separar la configuración de filtros utilizada para la creación de reflejo de los filtros existentes, lo que le ayudará a evitar errores de configuración inadvertidos durante la solución de problemas. Para obtener más información sobre esta característica, consulte Ejemplo: Uso de cadenas de filtro de firewall.

arrow_backward PREVIOUS Supervisión de la duplicación de puertos
NEXT arrow_forward Solución de problemas de duplicación de puertos
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top