Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX4300 スイッチでの従業員リソースの使用をリモートで監視するためのミラーリングの構成

 

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。お使いのスイッチが、ELS をサポートしていExample: Configuring Mirroring for Remote Monitoring of Employee Resource Use on EX4300 Switchesでの従業員リソースの使用をリモートで監視するためのミラーリングの構成ELS の詳細については、以下を参照してください。強化されたレイヤー2ソフトウェアの概要をご紹介します。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • EX4300 のスイッチで VLAN に入っているパケット

ミラー化トラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。

このトピックでは、スイッチ上のポートに入ってくるトラフィックをミラー化する方法に関する2つの例について説明します。 リモート-アナライザリモート監視ステーションから解析を実行できるようにするための VLAN。第1の例では、従業員のコンピューターに接続されたポートへのすべてのトラフィックをミラーリングする方法を示しています。2つ目の例では、同じシナリオを示していますが、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

ベスト プラクティス

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

この例では、リモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 13.2 X50-D10 または EX シリーズスイッチ用

  • 別の EX4300 スイッチに接続された EX4300 スイッチ

図は、EX4300 宛先スイッチに接続された EX4300 バーチャルシャーシ示しています。

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

このトピックでは、ミラー化を構成する方法に関する2つの例について説明します。 リモート-アナライザリモート監視ステーションから解析を実行できるようにするための VLAN。1つ目の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2つ目の例は同じシナリオを示していますが、設定には、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

図 1は、この2つの例の両方のネットワークトポロジを示しています。

図 1: リモートミラーリングネットワークトポロジーの例
リモートミラーリングネットワークトポロジーの例

この例では以下のようになります。

  1. インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー3インターフェイス (ソーススイッチ上のインターフェイス) です。

  2. インターフェイス ge-0/0/10 は、ソーススイッチを宛先スイッチに接続するレイヤー2インターフェースです。

  3. インターフェイス ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー2インターフェースです。

  4. VLAN remote-analyzerは、ミラーリングされたトラフィックを伝送するためにトポロジー内のすべてのスイッチ上で構成されています。

すべての従業員トラフィックをミラーリングしてリモート分析を行う

すべての着信および発信の従業員トラフィックに対して、リモートトラフィック分析のためのアナライザーを構成するには、以下のタスクを実行します。

CLI 簡単構成

受信および発信の従業員トラフィックに対するリモートトラフィック分析のためのアナライザーを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソーススイッチ端末ウィンドウに貼り付けます。

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
    set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor output vlan remote-analyzer
  • 宛先スイッチのターミナルウィンドウに以下のコマンドをコピーして貼り付けます。

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
    set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
    set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
    set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0

ステップごとの手順

基本的なリモートポートミラーリングを構成するには、次のようにします。

  1. ソーススイッチで:
    • の VLAN ID を構成します。 リモート-アナライザVLAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999
    • トランクモード用の宛先スイッチに接続されたネットワークポート上のインターフェイスを構成し、それを リモート-アナライザVLAN

      [edit interfaces]

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    • 構成して、 従業員の監視解析

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

      user@switch# set instance employee-monitor input egress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0

      user@switch# set analyzer employee-monitor output vlan remote-analyzer



  2. 宛先スイッチの場合:
    • の VLAN ID を構成します。 リモート-アナライザVLAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999
    • トランクモードの宛先スイッチのインターフェイスを構成して、それを リモート-アナライザVLAN

      [edit interfaces]

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    • トランクモードの宛先スイッチに接続されたインターフェイスを構成します。

      [edit interfaces]

      user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
    • 構成して、 従業員の監視解析

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer

      user@switch# set analyzer employee-monitor output interface ge-0/0/5.0

結果

ソーススイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

従業員から Web へのトラフィックをミラーリングしてリモート分析を行う

従業員対 Web トラフィックのリモートトラフィック分析用のポートミラーリングを構成するには、以下のタスクを実行します。

CLI 簡単構成

従業員のトラフィックを外部 Web にミラーリングするようにポートミラーリングを迅速に構成するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソーススイッチ端末ウィンドウに貼り付けます。

  • 宛先スイッチのターミナルウィンドウに以下のコマンドをコピーして貼り付けます。

ステップごとの手順

従業員のコンピューターに接続されている2つのポートからremote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを構成し、リモート監視ステーションから使用するには、以下のようにします。

  1. ソーススイッチで:
    • ポートミラーリングemployee-web-monitorインスタンスを構成します。

    • Vlan のremote-analyzer vlan ID を設定します。

    • remote-analyzer VLAN に関連付けるためのインターフェイスを設定します。

    • watch-employee次のようなファイアウォールフィルターを構成します。

    • 従業員インターフェイスにファイアウォールフィルターを適用します。

  2. 宛先スイッチの場合:
    • Vlan のremote-analyzer vlan ID を設定します。

    • トランクモードの宛先スイッチのインターフェイスを構成し、それをremote-analyzer VLAN に関連付けます。

    • トランクモードの宛先スイッチに接続されたインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

結果

ソーススイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

という名前のアナライザーが 従業員の監視または 従業員-web モニターは、適切な入力インターフェースと適切な出力インターフェースを備えたスイッチ上に作成されています。

アクション

show forwarding-options analyzerコマンドを使用して、analyzer が期待どおりに設定されていることを確認できます。以前に作成したアナライザーが無効になっていることを確認するには、J-Web インターフェイスにアクセスします。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。この設定例では、以下の出力が表示されます。

user@switch> show forwarding-options analyzer

意味

この出力は、 従業員の監視インスタンスの比率は 1 (すべてのパケットをミラーリングする、デフォルト)、ミラー化された元のパケットの最大サイズ (0 はパケット全体を示す)、構成の状態 (適切な状態を示し、analyzer がプログラムされていることを示す)、0/0/0 および ge-0/0/1 を入力してトラフィックをミラーリングし、ミラー化されたトラフィックを VLAN に送信します。 リモート-アナライザ)。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが構成されていない場合、state の値はダウンし、analyzer はミラーリングにはプログラムされません。