- play_arrow Descripción general
- play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- Introducción a la administración de errores de conectividad (CFM) de OAM
- Configurar la administración de errores de conectividad (CFM)
- Perfil de acción de CFM
- Interfaz de administración local Ethernet
- Soporte CFM para paquetes encapsulados CCC
- Configurar ISSU unificada para 802.1ag CFM
- Monitoreo CFM entre dispositivos CE y PE
- Configurar mensajes de comprobación de continuidad
- Ejemplo: Configurar Ethernet CFM en interfaces físicas
- Ejemplo: Configurar Ethernet CFM en conexiones de puente
- Ejemplo: Configurar Ethernet CFM a través de VPLS
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- Mediciones de retardo de trama Ethernet en conmutadores
- Configurar interfaces MEP en conmutadores para que admitan mediciones de retardo de trama Ethernet (procedimiento de CLI)
- Configuración de mediciones de retardo de trama Ethernet unidireccional en conmutadores (procedimiento de CLI)
- Configurar un perfil de iterador en un conmutador (procedimiento de CLI)
- Activar una sesión de medición de retardo de trama Ethernet en un conmutador
- Configuración de mediciones de retardo de trama Ethernet bidireccional en conmutadores (procedimiento de CLI)
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
- Visión general de OAM del servicio Ethernet ITU-T Y.1731
- Configurar sesiones de medición de retardo de trama Ethernet
- Configuración de interfaces MEP para admitir mediciones de retardo de trama Ethernet
- Configurar la medición de pérdida de tramas Ethernet
- Configurar un perfil de iterador
- Configurar mediciones de pérdida sintética Ethernet
- Indicación de alarma Ethernet
- Modo de transmisión en línea
-
- play_arrow Supervisión de red mediante SNMP
- Descripción general de la arquitectura SNMP y las MIB SNMP
- Descripción de la implementación de SNMP en Junos OS
- Configurar SNMP en Junos OS
- Configurar opciones en dispositivos administrados para un mejor tiempo de respuesta SNMP
- MIB de utilidad específica para empresas para mejorar la cobertura SNMP
- Optimice la configuración del sistema de administración de red para obtener los mejores resultados
- Interfaces para aceptar solicitudes SNMP
- Configurar SNMP para instancias de enrutamiento
- Configurar operaciones remotas SNMP
- Capturas SNMP
- Capturas SNMP compatibles con Junos OS
- Rastrear actividad SNMP
- Privilegios de acceso para un grupo SNMP
- Configurar ID de motor local en SNMPv3
- Configurar SNMPv3
- Configurar el tipo de autenticación SNMPv3 y el tipo de cifrado
- Capturas SNMPv3
- SNMPv3 informa
- Comunidades SNMP
- Vistas MIB
- MIB SNMP compatibles con Junos OS y Junos OS Evolved
- Preguntas frecuentes sobre SNMP de Junos OS
- play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
- play_arrow Opciones de contabilidad
- play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
-
- play_arrow Supervisión de características de seguridad comunes
- play_arrow Gestión del rendimiento
- play_arrow Mensajes de registro del sistema
- Información general sobre el registro del sistema
- Registro del sistema en un sistema de chasis único
- Dirija los mensajes de registro del sistema a un destino remoto
- Comprobar los comandos que introducen los usuarios
- Mostrar archivos de registro del sistema
- Configurar el registro del sistema para dispositivos de seguridad
- Configurar Syslog a través de TLS
- Supervisar mensajes de registro
- play_arrow Administración de red y solución de problemas
- Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
- Monitoreo y solución de problemas
- Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
- Configuración de las opciones de depuración y rastreo de rutas de datos
- Uso de MPLS para diagnosticar LSP, VPN y circuitos de capa 2
- Uso de la captura de paquetes para analizar el tráfico de red
- Descripción general de On-Box Packet Sniffer
- Solución de problemas de dispositivos de seguridad
- play_arrow Instrucciones de configuración y comandos operativos
Configuración de la duplicación de puertos para varios destinos
Descripción de la creación de reflejo de puertos de capa 2 a múltiples destinos mediante grupos de salto siguiente
En un enrutador de la serie MX y en un conmutador de la serie EX, puede reflejar el tráfico a varios destinos mediante la configuración de grupos de salto siguiente en filtros de firewall de duplicación de puertos de capa 2 aplicados a interfaces de túnel. La duplicación de paquetes a múltiples destinos también se conoce como duplicación de puertos multipaquete,
Junos OS versión 9.5 introdujo compatibilidad con la duplicación de puertos de capa 2 mediante grupos de salto siguiente en enrutadores de la serie MX, pero requirió la instalación de una PIC de túnel. A partir de la versión 9.6 de Junos OS, la creación de reflejo de puertos de capa 2 mediante grupos de salto siguiente en enrutadores de la serie MX no requiere PIC de túnel.
En los enrutadores de la serie MX y en los conmutadores de la serie EX, puede definir un filtro de firewall para duplicar paquetes a un grupo del salto siguiente. El grupo del salto siguiente puede contener miembros de capa 2, miembros de capa 3 y subgrupos que sean de lista de unidades (duplicación de paquetes en cada interfaz) o de carga equilibrada (creación de reflejo de paquetes en una de varias interfaces). El enrutador de la serie MX y el conmutador de la serie EX admiten hasta 30 grupos de salto siguiente. Cada grupo de salto siguiente admite hasta 16 direcciones de salto siguiente. Cada grupo del salto siguiente debe especificar al menos dos direcciones.
Para habilitar la creación de reflejo de puertos a los miembros de un grupo de salto siguiente, especifique el grupo de salto siguiente como la acción de filtro de un filtro de firewall y, a continuación, aplique el filtro de firewall a interfaces de túnel lógico (lt-) o interfaces de túnel virtual (vt-) en el enrutador de la serie MX o en el conmutador de la serie EX.
No se admite el uso de subgrupos para equilibrar la carga del tráfico reflejado.
Definición de un grupo de salto siguiente en enrutadores de la serie MX para la duplicación de puertos
A partir de la versión 14.2, en enrutadores que contengan un circuito integrado específico de la aplicación (ASIC) de procesador de Internet II o un procesador de Internet de la serie T, puede enviar una copia de un paquete IP versión 4 (IPv4) o IP versión 6 (IPv6) desde el enrutador a una dirección de host externa o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de puertos.
La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía al motor de enrutamiento una clave de muestreo basada en el encabezado IPv4. Allí, la clave se puede colocar en un archivo, o los paquetes cflowd basados en la clave se pueden enviar a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de una interfaz de salto siguiente.
Puede configurar el uso simultáneo del muestreo y la creación de reflejo de puertos, y establecer una frecuencia de muestreo y una longitud de ejecución independientes para los paquetes reflejados en puertos. Sin embargo, si se selecciona un paquete tanto para el muestreo como para la creación de reflejo de puertos, sólo se puede realizar una acción y la creación de reflejo de puertos tiene prioridad. Por ejemplo, si configura una interfaz para muestrear cada entrada de paquete a la interfaz y un filtro también selecciona el paquete para que se refleje en otra interfaz, solo surtirá efecto la creación de reflejo de puertos. Todos los demás paquetes que no coinciden con los criterios explícitos de duplicación de puertos de filtro siguen siendo muestreados cuando se reenvían a su destino final.
Los grupos de salto siguiente le permiten incluir la duplicación de puertos en varias interfaces.
En los enrutadores de la serie MX, puede reflejar el tráfico de entrada de la interfaz de túnel a varios destinos. Para esta forma de duplicación de puertos multipaquete, especifique dos o más destinos en un grupo de salto siguiente, defina un filtro de firewall que haga referencia al grupo de salto siguiente como acción de filtrado y, a continuación, aplique el filtro a una interfaz lt-de túnel lógico ) o interfaces de túnel virtual (vt- en el enrutador de la serie MX.
Para definir un grupo de salto siguiente para una acción de filtro de firewall de duplicación de puertos de capa 2:
Ejemplo: Configuración de duplicación de múltiples puertos con grupos de salto en enrutadores serie M, MX y T
Cuando necesite analizar tráfico que contenga más de un tipo de paquete, o desee realizar varios tipos de análisis en un único tipo de tráfico, puede implementar varios grupos de creación de reflejo de puertos y del próximo salto. Puede hacer hasta 16 copias de tráfico por grupo y enviar el tráfico a los miembros del grupo del próximo salto. Se puede configurar un máximo de 30 grupos en un enrutador en un momento dado. El tráfico duplicado de puerto se puede enviar a cualquier interfaz, excepto a SONET/SDH agregada, Ethernet agregada, interfaz de circuito cerrado (lo0) o administrativa (fxp0). Para enviar tráfico duplicado de puerto a varios servidores de flujo o analizadores de paquetes, puede utilizar la next-hop-group instrucción en el nivel de [edit forwarding-options] jerarquía.
Figura 1 muestra un ejemplo de cómo configurar la creación de reflejo de varios puertos con grupos del próximo salto. Todo el tráfico ingresa al enrutador de monitoreo en la interfaz ge-1/0/0. Un filtro de firewall cuenta y refleja el puerto de todos los paquetes entrantes a una PIC de servicios de túnel. Se aplica un segundo filtro a la interfaz del túnel y divide el tráfico en tres categorías: tráfico HTTP, tráfico FTP y el resto del tráfico. Los tres tipos de tráfico se asignan a tres grupos independientes del próximo salto. Cada grupo del salto siguiente contiene un par único de interfaces de salida que conducen a diferentes grupos de analizadores de paquetes y servidores de flujo.
Las instancias habilitadas para reflejar paquetes a diferentes destinos desde el mismo PFE también utilizan diferentes parámetros de muestreo para cada instancia. Cuando configuramos la duplicación de puertos de capa 2 tanto con la duplicación de puertos global como con la duplicación de puertos basada en instancias, las instancias de nivel PIC anularán el nivel de FPC y el nivel de FPC anulará la instancia global.
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
Ejemplo: Duplicación de puertos de capa 2 a múltiples destinos
En los enrutadores de la serie MX, puede reflejar el tráfico a varios destinos mediante la configuración de grupos de salto siguiente en filtros de firewall de duplicación de puertos de capa 2 aplicados a interfaces de túnel.
Configure el chasis para admitir servicios de túnel en PIC 0 en FPC 2. Esta configuración incluye dos interfaces de túnel lógico en FPC 2, PIC 0, puerto 10.
content_copy zoom_out_map[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }Configure las interfaces físicas y lógicas para tres dominios de puente y una CCC VPN de capa 2:
El dominio bd de puente abarcará las interfaces ge-2/0/1.0 lógicas y ge-2/0/1.1.
El dominio bd_next_hop_group de puente abarcará las interfaces ge-2/2/9.0 lógicas y ge-2/0/2.0.
El dominio bd_port_mirror de puente utilizará la interfaz lt-2/0/10.2de túnel lógico.
La CCC if_switch VPN de capa 2 conectará interfaces ge-2/0/1.2 lógicas y lt-2/0/10.1.
content_copy zoom_out_map[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }Configure los tres dominios de puente y el CCC de conmutación VPN de capa 2:
El dominio bd de puente abarca las interfaces ge-2/0/1.0 lógicas y ge-2/0/1.1.
El dominio bd_next_hop_group de puente abarca las interfaces ge-2/2/9.0 lógicas y ge-2/0/2.0.
El dominio bd_port_mirror de puente utiliza la interfaz lt-2/0/10.2de túnel lógico.
El CCC if_switch VPN de capa 2 conecta las interfaces ge-2/0/1.2 y lt-2/0/10.1.
content_copy zoom_out_map[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }Para obtener información detallada acerca de la configuración de la conexión CCC para conexiones cruzadas de conmutación de capa 2, consulte la Guía del usuario de aplicaciones MPLS.
Configure las opciones de reenvío:
Configure las propiedades globales de creación de reflejo de puertos para reflejar family vpls el tráfico a una interfaz en el dominio del puente bd_port_mirror.
Configure el grupo nhg_mirror_to_bd del próximo salto para reenviar el tráfico de capa 2 al dominio del puente bd_next_hop_group.
El filtro de firewall de duplicación de puertos hará referencia a ambas opciones de reenvío:
content_copy zoom_out_map[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }Configure dos filtros de firewall de duplicación de puertos de capa 2 para family bridge el tráfico:
filter_pm_bridge: envía todo family bridge el tráfico al destino global de creación de reflejo del puerto.
filter_redirect_to_nhg: envía todo family bridge el tráfico al grupo final del próximo salto nhg_mirror_to_bd.
Los filtros de firewall de espejado de puerto de capa 2 para el tráfico se family bridge aplican al tráfico en una interfaz física configurada con encapsulación ethernet-bridge.
content_copy zoom_out_map[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
