Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:ローカル分析用のポートミラーリングの構成

 

ポートミラーリングを使用してトラフィックを分析し、トラフィックの監視、ポリシーの適用、侵入検知、トラフィックパターンの監視と予測、イベントの関連付けなどを目的とした、アプリケーションへの送信を可能にします。ポートミラーリングでは、インターフェイスを出入りするパケットをコピーするか、または VLAN に入力し、ローカルの監視用にコピーをローカルインターフェイスに送信します。

この例では、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートしていない Junos OS のリリースを使用しています。お使いのスイッチが、ELS をサポートするExamples: Configuring Port Mirroring for Local Analysis用のポートミラーリングを構成します。ELS の詳細については、「Using the Enhanced Layer 2 Software CLI」を参照してください。

この例では、ポートミラーリングを構成して、従業員のコンピューターからのトラフィックを同じスイッチ上のアクセスインターフェイスのスイッチにコピーする方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース11.1

  • 、スイッチ

概要とトポロジー

このトピックでは、スイッチ上のインターフェイスに入力したトラフィックを同じスイッチ上のアクセスインターフェイスにミラー化する方法について、2つの例を挙げて説明します。最初の例では、従業員のコンピューターからスイッチに送信されるすべてのトラフィックをミラー化する方法を示しています。2つ目の例には、Web に送信する従業員のトラフィックのみをミラーリングするフィルターが含まれています。

この例ではxe-0/0/0xe-0/0/6従業員のコンピューターへの接続として機能しています。Analyzer xe-0/0/47アプリケーションを実行しているデバイスにインターフェイスが接続されています。

複数のポートが1つのインターフェイスにミラーリングされると、バッファオーバーフローやパケットのドロップが発生する可能性があります。

図 1は、この例のネットワークトポロジを示しています。

図 1: ローカルポートミラーリングのネットワークトポロジーの例
ローカルポートミラーリングのネットワークトポロジーの例

ローカル分析用にすべての従業員トラフィックをミラーリング

従業員のコンピューターがローカル分析のために送信するすべてのトラフィックに対してポートミラーリングを設定するには、このセクションで説明されているタスクを実行します。

CLI 簡単構成

従業員のコンピューターに接続された2つのポートに受信トラフィック用のローカルポートミラーリングを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching
set interfaces xe-0/0/6 unit 0 family ethernet-switching
set interfaces xe-0/0/47 unit 0 family ethernet-switching
set ethernet-switching-options analyzer employee-monitor input ingress interface xe-0/0/0.0
set ethernet-switching-options analyzer employee-monitor input ingress interface xe-0/0/6.0
set ethernet-switching-options analyzer employee-monitor output interface xe-0/0/47.0

ステップごとの手順

Analyzer を設定employee-monitorして、入力 (送信元) インターフェイスと出力インターフェイスを指定するには、以下のようにします。

  1. 従業員のコンピューターに接続されているインターフェイスをポートミラーアナライザー employee-monitorの入力インターフェイスとして設定します。
    [edit ethernet-switching-options]

    user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0

    user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0

  2. employee-monitor Analyzer の出力アナライザインターフェイスを構成します。これは、ミラー化されたパケットの宛先インターフェイスになります。
    [edit ethernet-switching-options]

    user@switch# set analyzer employee-monitor output interface xe-0/0/47.0

結果

構成の結果を確認します。

従業員から Web へのトラフィックをローカル分析用にミラーリングする

従業員が送信したトラフィックのみを Web にミラーリングしてローカル分析を行うには、このセクションで説明されているタスクを実行します。

CLI 簡単構成

Web を宛先とする従業員のコンピューターからトラフィックのローカルポートミラーリングを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]
set ethernet-switching-options analyzer employee–web–monitor output interface xe-0/0/47.0
set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28
set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter watch-employee term employee-to-web then analyzer employee-web-monitor
set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee
set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee

ステップごとの手順

従業員のコンピューターに接続されている2つのポートから従業員間のトラフィックのローカルポートミラーリングを構成するには、次のようにします。

  1. 出力インターフェイスを構成します。
    [edit interfaces]

    user@switch# set xe-0/0/47 unit 0 family ethernet-switching
  2. アナライザーのemployee-web-monitor出力を設定します。(フィルターからの入力—のみを設定します)。
    [edit ethernet-switching-options]

    user@switch# set analyzer employee-web-monitor output interface xe-0/0/47.0


  3. Web に送信するトラフィックwatch-employeeを照合するための条件を含むファイアウォールフィルターを構成し、それをemployee-web-monitorアナライザーに送信します。企業のサブネット (宛先または送信元の192.0.2.16/28アドレス) からのトラフィックをコピーする必要はありません。そのためには、Web トラフィックをアナライザーに送信する条件に到達する前に、そのトラフィックを受け入れるもう1つの用語を作成します。
    [edit firewall family ethernet-switching]

    user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28

    user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28

    user@switch# set filter watch-employee term employee-to-corp then accept

    user@switch# set filter watch-employee term employee-to-web from destination-port 80

    user@switch# set filter watch-employee term employee-to-web then analyzer employee-web-monitor
  4. 受信フィルターとしての適切なインターフェイスにファイアウォールフィルターを適用します (出力フィルターでは、アナライザーが許可されません)。
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee

    user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee

結果

構成の結果を確認します。

検証

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェイスとemployee-monitor適切employee-web-monitorな出力インターフェイスを備えたスイッチに、またはという名前のアナライザーが作成されていることを確認します。

アクション

show analyzerコマンドを使用して、ポートミラーアナライザーが期待どおりに設定されていることを確認できます。

user@switch> show analyzer

意味

この出力は、 employee-monitorアナライザーが次のようになっていることを示します。

  • 1 (すべてのパケットをミラーリングする、デフォルト設定) の比率を持ちます。

  • 損失の優先度は低です (このオプションは、analyzer が VLAN に出力する場合にのみ [高] に設定します)

  • xe-0/0/0 And xe-0/0/6インターフェイスを通過するトラフィックをミラーリングする

  • ミラー化されたトラフィックをxe-0/0/47インターフェイスに送信しています