Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ポートミラーリングアナライザーについて

 

ポートミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストするのではなく、ルーターやスイッチのトラフィック分析に使用できます。ポートミラーリングでは、すべてのパケットまたはポリシーベースのサンプルパケットのコピーがローカルまたはリモートのアナライザーに送信され、データの監視と分析を行うことができます。

ポートミラーリングアナライザーのコンテキストでは、「スイッチングデバイス」という用語を使用します。この条件は、デバイス (ルーターを含む) がスイッチング機能を実行していることを示しています。

アナライザーをパケットレベルで使用して、以下のことを実現できます。

  • ネットワークトラフィックの監視

  • ネットワーク使用ポリシーを強制する

  • ファイル共有ポリシーを適用する

  • 問題の原因の特定

  • 帯域幅の使用率が高い、または異常な状態にあるステーションやアプリケーションを識別します。

次のように、ミラー化するためのアナライザーを設定できます。

  • ブリッジドパケット (レイヤー2パケット)

  • ルートパケット (レイヤー3パケット)

ミラー化されたパケットは、ローカルな監視用のローカルインターフェイスにコピーするか、またはリモート監視用の VLAN またはブリッジドメインとして転送できます。

以下のパケットをコピーできます。

  • Packets entering or exiting a port—ポートを出入りするパケットを任意の組み合わせで、最大256個のポートにミラーリングできます。たとえば、ポートに接続するパケットのコピーと、他のポートから接続されているパケットを同じローカルアナライザポートまたは analyzer VLAN に送信することができます。

  • Packets entering or exiting a VLAN or bridge domain—VLAN またはブリッジドメインへのパケットのミラーリングは、ローカル・アナライザ・ポートまたは analyzer VLAN/ブリッジ・ドメインに対して行うことができます。複数の Vlan (最大 256 Vlan) またはブリッジドメインは、VLAN の範囲やプライベート Vlan (PVLANs) などのアナライザーへの受信入力として設定できます。

  • Policy-based sample packets—ポート、VLAN、またはブリッジドメインに入る、ポリシーベースのパケットのサンプルをミラーリングできます。ファイアウォールフィルターにポリシーを設定して、ミラー化するパケットを選択します。このサンプルは、ポートミラーリングインスタンスまたはアナライザ VLAN またはブリッジドメインに送信できます。

このトピックでは、以下を説明します。

アナライザの概要

同じアナライザ構成で入力トラフィックと出力トラフィックの両方を定義するようにアナライザーを設定できます。解析対象の入力トラフィックは、入力するトラフィックか、インターフェイスまたは VLAN から出てくるトラフィックのどちらでもかまいません。アナライザ構成によって、このトラフィックを出力インターフェイス、インスタンス、ネクストホップグループ、VLAN、またはブリッジドメインに送信できます。分析を構成するには、 [edit forwarding-options analyzer]階層レベル。

統計分析の概要

ルーターまたはスイッチの物理ポートに明示的にバインドできるように、ミラーリングレートやトラフィック用の最大パケット長など、ミラーリングのプロパティセットを定義できます。このミラー化のプロパティセットは、統計アナライザ (デフォルトではないアナライザーとも呼ばれる) を構成します。このレベルでは、特定の FPC に関連付けられた物理ポートに名前付きインスタンスをバインドできます。

デフォルトアナライザーの概要

ミラーリングのプロパティ (ミラーリングレートや最大パケット長など) を設定せずに、analyzer を設定できます。デフォルトでは、ミラーリングレートは1に設定され、最大パケット長はパケットの完全な長さに設定されています。これらのプロパティはグローバルレベルで適用されるため、特定の FPC にバインドする必要はありません。

複数の統計アナライザーにバインドされたポートのグループでのポートミラーリング

スイッチデバイスでは、最大2つの統計アナライザーを同一のポートグループに適用できます。2つの異なる統計アナライザインスタンスを同一の FPC またはパケット転送エンジンに適用することで、2つのレイヤー2ミラーリング仕様を1つのポートグループにバインドできます。FPC にバインドされているミラーリングのプロパティは、スイッチングデバイスのグローバルレベルでバインドした analyzer (デフォルトアナライザー) プロパティを上書きします。デフォルトアナライザーのプロパティは、同じポートグループに対して2つ目の analyzer インスタンスをバインドすることで上書きされます。

ポートミラーリングアナライザーの用語

表 1は、ポートミラーリングアナライザーの条件とその説明を示しています。

表 1: アナライザの用語

条件説明

解析

ミラーリング構成では、次のような機能を備えています。

  • アナライザーの名前

  • 送信元 (入力) ポート、Vlan、またはブリッジドメイン

  • ミラー化されたパケット (モニターポート、VLAN、ブリッジドメインのいずれか) の宛先

アナライザ出力インターフェイス

(モニタポートとも呼ばれます)

ミラー化されたトラフィックを送信し、プロトコルアナライザアプリケーションを接続するインターフェイス。

注: Analyzer の出力として使用されるインターフェースは、 forwarding-options階層レベルで設定する必要があります。

Analyzer の出力インターフェイスには、以下のような制約があります。

  • 送信元ポートにすることもできません。

  • ポートミラーリング構成の一部になっている場合、スパニングツリープロトコル (STP) などのレイヤー2プロトコルには参加しません。

  • Analyzer 出力インターフェイスの帯域幅が、送信元ポートからのトラフィックを処理するには不十分な場合、オーバーフローパケットは破棄されます。

アナライザ VLAN またはブリッジドメイン

(モニター VLAN またはブリッジドメインとしても知られています)

ミラー化されたトラフィックの送信先となる VLAN またはブリッジドメイン。このミラー化されたトラフィックは、プロトコルアナライザアプリケーションで使用できます。モニター VLAN またはブリッジドメイン内のメンバーインターフェイスは、ネットワーク内のスイッチングデバイスに分散しています。

ブリッジドメインベースのアナライザ

このアナライザーセッションは、入力と出力の両方に、ブリッジドメインを使用するよう構成されています。

デフォルトアナライザー

デフォルトミラーリングパラメーターを使用したアナライザーデフォルトでは、ミラーリングレートは1で、最大パケット長は完全なパケットの長さです。

入力インターフェイス

(「ミラーポート」または「モニタリングインターフェイス」とも呼ばれます)

ミラーリングされているスイッチングデバイス上のインターフェイス。このインターフェイスを通過または終了するトラフィックはミラーリングされています。

LAG ベースの分析

アナライザ構成で入力 (受信) インターフェイスとして指定されたリンクアグリゲーショングループ (LAG) を持つアナライザーです。

ローカルミラーリング

パケットがローカル・アナライザ・ポートにミラーリングされるアナライザ構成。

監視ステーション

プロトコル・アナライザ・アプリケーションを実行しているコンピューター。

次ホップグループに基づくアナライザー

次ホップグループをアナライザーの出力として使用するアナライザセッションの構成。

ポートベースのアナライザ

入力と出力の両方のためのインターフェイスを定義するアナライザセッション構成。

プロトコル・アナライザ・アプリケーション

ネットワークセグメントを介して送信されるパケットを検査するアプリケーション。ネットワークアナライザー、パケットスニファー、またはプローブと呼ばれることもよくあります。

リモートミラーリング

ローカルミラーリングと同様の機能ですが、ミラー化されたトラフィックはローカルのアナライザポートにコピーされず、ミラー化されたトラフィックを受信するために特別に作成したアナライザ VLAN またはブリッジドメインにあふれています。ミラー化されたパケットには、アナライザ VLAN またはブリッジドメインの外側のタグが追加してあります。

統計分析

(デフォルト・アナライザとも呼ばれる)

スイッチの物理ポートに明示的にバインドできるミラー化プロパティのセットを定義できます。このアナライザプロパティセットは、統計分析として知られています。

VLAN ベースのアナライザ

このアナライザーセッションでは、入力と出力の両方に Vlan を使用し、入力または出力のいずれかを行います。

ポートミラーリングアナライザーの構成ガイドライン

ポートミラーリングアナライザーを構成する場合。これらのガイドラインに従って、最適なメリットを確保することをお勧めします。使用していない場合はミラーリングを無効にすることをお勧めします。また、[ allキーワード] オプションを使用するのではなく、すべてのインターフェイス上でミラーリングを可能にするため、特定のインターフェイスをアナライザーへの入力として選択する必要があります。必要なパケットだけをミラーリングすると、パフォーマンスへの潜在的な影響が抑えられます。

また、ミラー化されたトラフィックの量を制限するには、以下のような方法があります。

  • 統計的サンプリングの使用

  • ファイアウォールフィルターの使用

  • 比率を設定して統計的サンプルを選択する

ローカルミラーリングでは、複数のポートからのトラフィックが analyzer 出力インターフェイスに複製されます。Analyzer の出力インターフェースが容量の限界に達すると、パケットはドロップされます。ミラー化されているトラフィックがアナライザ出力インターフェイスの容量を超えていないかどうかを検討する必要があります。

表 2アナライザーの構成に関するその他のガイドラインをまとめたものです。

表 2: ポートミラーリングアナライザーの構成ガイドライン

参考

価値またはサポート情報

コメント

同時に有効にできるアナライザーの数。

64–デフォルトアナライザー

1個の–FPC 統計分析

  • 統計的なアナライザーは、その FPC に属するポートのミラーリングトラフィックのために、FPC にバインドする必要があります。

    注: デフォルトアナライザーのプロパティは、システム内のすべての FPCs 上で最後のインスタンス (または最後のもの) に暗黙的にバインドされます。そのため、2つ目の統計分析を FPC に明示的にバインドすると、デフォルトのアナライザープロパティがオーバーライドされます。

アナライザーへの受信入力として使用できるインターフェイス、Vlan、またはブリッジドメイン数。

256

トラフィックをミラーリングできないポートのタイプ。

  • バーチャルシャーシポート (vcps)

  • 管理イーサネットポート (me0 または vme0)

  • 統合型ルーティングおよびブリッジング (IRB) インターフェイス

  • VLAN タグレイヤー3インターフェイス

 

アナライザーに組み込むことができるプロトコルファミリー。

ethernet-switchingEX シリーズスイッチおよびbridge MX シリーズルーター用です。

ブリッジによるトラフィックのみがミラーリングを行います。ルーティングされたトラフィックをミラーリングするには、 family as inetまたinet6はというポートミラーリング構成を使用します。

物理レイヤーのエラーが発生したパケットは、ローカルまたはリモートの analyzer に送信されません。

このようなエラーが発生したパケットは除外されるため、analyzer に送信されません。

Analyzer はラインレートトラフィックをサポートしていません。

ラインレートトラフィックのミラーリングは、ベストエフォート単位で行われます。

タイムラグインターフェイスでのアナライザーの出力。

 

Analyzer 出力インターフェイスモードをトランクモードとして実行します。

  • トランクインターフェイスは、analyzer の入力構成に関連するすべての Vlan またはブリッジドメインのメンバーである必要があります。

  • 入力が VLAN またmirror-onceはブリッジドメインとして設定され、出力がトランクインターフェイスである場合は、このオプションを使用する必要があります。

    注: [Mirror-once] オプションを使用すると、入力が受信/送信ミラーリング用の場合、受信したトラフィックのみがミラーリングされます。受信と送信の両方のミラーリングが必要な場合は、出力インターフェイスをトランクにすることはできません。そのような場合は、インターフェイスをアクセスインターフェイスとして構成します。

ホストから生成されたコントロールパケットの送信ミラーリング。

対応していない

 

Analyzer のinputスタンザでレイヤー3論理インタフェースを構成します。

対応していない

 

同じ VLAN または VLAN 自体のメンバーを含む analyzer の入力と出力使いを回避する必要があります。

 

さまざまなアナライザセッションでの VLAN とそのメンバーインターフェイスのサポート

対応していない

ミラーリングが設定されている場合、いずれかのアナライザーがアクティブになります。

集約型イーサネット (ae) インターフェイスの送信ミラーリングと、さまざまなアナライザー用に構成された子論理インターフェイス

対応していない