Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX4300 スイッチ上での移行スイッチによる従業員リソースの使用をリモートで監視するためのミラーリングの構成

 

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • EX4300 のスイッチで VLAN に入っているパケット

ミラー化トラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。

このトピックでは、スイッチ上のポートに入ってくるトラフィックをミラー化する方法について説明します。 リモート-アナライザ通過スイッチを介して VLAN を使用することで、リモート監視ステーションから解析を実行できるようになります。

ベスト プラクティス

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

この例では、転送スイッチを介してリモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3つ目の EX4300 スイッチを介して別の EX4300 スイッチに接続された EX4300 スイッチ

  • Junos OS リリース 13.2 X50-D10 または EX シリーズスイッチ用

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

この例では、スイッチ上のポートに入ってくるトラフィックをミラー化する方法について説明します。 リモート-アナライザリモート監視ステーションから解析を実行できるように、通過スイッチを介して VLAN を使用します。この例では、従業員のコンピューターからリモートアナライザーへのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。

この構成では、analyzer セッションを宛先スイッチに適用することにより、analyzer VLAN からの受信トラフィックをリモート監視ステーションの接続先の送信インターフェースにミラーリングする必要があります。転送スイッチでの MAC 学習を無効にする必要があります。 リモート-アナライザのすべてのメンバーインターフェイスで MAC ラーニングを無効にするための VLAN リモート-アナライザ転送スイッチ上の VLAN

図 1は、この例のネットワークトポロジを示しています。

図 1: 転送スイッチネットワーク–によるリモートミラーリングのサンプル・トポロジー
転送スイッチネットワーク–によるリモートミラーリングのサンプル・トポロジー

この例では以下のようになります。

  • インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー3インターフェイス (ソーススイッチ上のインターフェイス) です。

  • インターフェイス ge-0/0/10 は、通過スイッチに接続するレイヤー2インターフェースです。

  • インターフェイス ge-0/0/11 は、伝送スイッチ上のレイヤー2インターフェースです。

  • インターフェイス ge-0/0/12 は、伝送スイッチ上のレイヤー2インターフェースで、宛先スイッチに接続されます。

  • インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー2インターフェースです。

  • インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー2インターフェースで、リモート監視ステーションに接続します。

  • VLAN リモート-アナライザは、ミラーリングされたトラフィックを伝送するためにトポロジー内のすべてのスイッチ上で構成されています。

通過するスイッチを経由したリモート分析のために、すべての従業員トラフィックをミラーリングします。

通過スイッチを介してリモートトラフィック分析用のミラーリングを設定するには、着信および発信のすべての従業員トラフィックについて、以下のタスクを実行します。

CLI 簡単構成

通過スイッチを介してリモートトラフィック分析用のミラーリングを迅速に構成するには、受信および送信する従業員のトラフィックについて、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

  • ソーススイッチ (監視対象スイッチ) の端末ウィンドウで、以下のコマンドをコピーして貼り付けます。

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
    set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor output vlan remote-analyzer
  • 転送スイッチウィンドウで、以下のコマンドをコピーして貼り付けます。

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
    set vlans remote-analyzer interface ge-0/0/11
    set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk
    set vlans remote-analyzer interface ge-0/0/12
    set vlans remote-analyzer no-mac-learning
  • 宛先スイッチに以下のコマンドをコピーして貼り付けます。

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk
    set vlans remote-analyzer interface ge-0/0/13 ingress
    set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
    set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
    set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0

ステップごとの手順

通過スイッチを介してリモートミラーリングを構成するには、次の手順に従います。

  1. ソーススイッチで:
    • の VLAN ID を構成します。 リモート-アナライザVLAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999
    • トランクモード用の転送スイッチに接続されたネットワークポートのインタフェースを構成し、それを リモート-アナライザVLAN

      [edit interfaces]

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

    • 構成して、 従業員の監視解析

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

      user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0

      user@switch# set analyzer employee-monitor output vlan remote-analyzer

  2. 通過スイッチの場合:
    • の VLAN ID を構成します。 リモート-アナライザVLAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999
    • トランクモード用の ge 0/0/11 インターフェイスを構成して、それを リモート-アナライザVLAN

      [edit interfaces]

      user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk

    • 構成して、 ge-0/0/12トランクモード用のインターフェースにより、 リモート-アナライザVLAN を使用し、送信トラフィックのみのインターフェイスを設定します。

      [edit interfaces]

      user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set vlans remote-analyzer interface ge-0/0/12
    • 構成して、 mac 学習なしのオプション リモート-アナライザのメンバーであるすべてのインターフェイスで MAC 学習を無効にするための VLAN リモート-アナライザVLAN

      [edit interfaces]

      user@switch# set vlans remote-analyzer no-mac-learning
  3. 宛先スイッチの場合:
    • の VLAN ID を構成します。 リモート-アナライザVLAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999
    • トランクモード用の ge 0/0/13 インターフェイスを構成し、それを リモート-アナライザVLAN を使用し、受信トラフィックのみのインターフェイスを設定します。

      [edit interfaces]

      user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
    • トランクモードのリモートモニタリングステーションに接続されたインターフェイスを構成します。

      [edit interfaces]

      user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
    • 構成して、 従業員の監視解析

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer

      user@switch# set analyzer employee-monitor output interface ge-0/0/14.0

結果

ソーススイッチの設定結果を確認します。

次のように、伝送スイッチの構成結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

という名前のアナライザーが 従業員の監視適切な入力インターフェースと適切な出力インターフェースを備えたスイッチ上で作成されています。

アクション

このshow analyzerコマンドを使用して、analyzer が期待どおりに設定されているかどうかを確認できます。以前に作成したアナライザーが無効になっていることを確認するには、J-Web インターフェイスにアクセスします。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。この設定例では、以下の出力が表示されます。

user@switch> show forwarding-options analyzer

意味

この出力は、 従業員の監視analyzer は 1 (すべてのパケットをミラーリングする、デフォルト) という比率を持つので、100/0/0/100/0/1 を入力したトラフィックをミラーリングし、ミラー化されたトラフィックをアナライザーに送信します。 リモート-アナライザ