Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

レイヤー 2 ポートミラーリングファイアウォールフィルターの定義

 

仮想プライベート LAN サービス (VPLS) トラフィック用 (ファミリー ・イーサネット・スイッチングまたは ファミリー vpls) とレイヤー 2 Vpn で ファミリー cccMX シリーズルーターおよび EX シリーズスイッチのみでは、ファイアウォールフィルタ条件で構成された 条件にパケットが一致した場合に実行されるアクションとして、レイヤー2ポートミラーリングを指定するファイアウォールフィルターを定義できます。

レイヤー 2 ポートミラーリングファイアウォールフィルターを使用するには、以下の方法があります。

  • 論理インタフェースで受信または送信されたパケットをミラーリングします。

  • VLAN に転送またはあふれしたパケットをミラーリングすること。

  • VPLS ルーティングインスタンスに転送またはあふれているパケットをミラーリングすることです。

  • トンネルインターフェイス入力パケットを複数の宛先にのみミラーリングすること。

MX シリーズルーターおよび EX シリーズスイッチ上で構成できるレイヤー2ポートミラーリングの3つのタイプの概要については、「レイヤー2ポートミラーリングタイプのアプリケーション」を参照してください。

レイヤー2のポートミラーリングアクションを使用してファイアウォールフィルタを定義するには、次のようにします。

  1. VLAN、レイヤー 2 スイッチングクロスコネクト 、または仮想プライベート LAN サービス (VPLS) の一部であるレイヤー2パケットに対して、ファイアウォールフィルターの設定を有効にするには、以下の手順に従います。

    の価値は 家族オプションは イーサネットスイッチングccc、または vpls
  2. ファイアウォールフィルターの構成を有効にする pm-フィルター名:

  3. ファイアウォールフィルタ条件の設定を有効にする pm-フィルター-条件-名前:

  4. ナサンプリングしたパケットのサブセットをミラーリングする場合にのみ  、ルートソースアドレスに基づいて、ファイアウォールフィルタマッチング条件を指定します。

    すべてのサンプルパケットを一致させ、 thenステートメントで指定されたアクションに合わせる場合は、このfromステートメント全体を省略します。

  5. の構成を有効にする 対応および アクション修飾子一致するパケットに適用するには

  6. 一致するパケットに対して実行するアクションを指定してください:

    の推奨値 対応いる 同意。アクションが指定されていない場合、またはthenステートメントを完全に省略 した場合は、 fromステートメント内の条件に一致するすべてのパケットが受け付けられます。
  7. レイヤー 2 ポートミラーリングまたは次ホップグループを指定します。 アクション修飾子:

    • 基盤となる物理 インタフェースに関するパケット転送エンジンまたは PIC に現在適用されているレイヤー2ポートミラーリングのプロパティをport-mirror参照するには、以下の文を使用します。

    • 特定の名前付き インスタンスで構成されているレイヤー2ポートミラーリングのプロパティを参照するには、 ポートミラーインスタンス pm-インスタンス名アクション修飾子:

      基礎となる物理インタフェースが、レイヤー 2 ポートミラーリングの名前付きインスタンスにバインドされず、代わりに、レイヤー 2 ポートミラーリングのグローバルインスタンスに暗黙的にバインドされている場合、論理インタフェースのトラフィックは、の名前付きインスタンスで指定されたプロパティ ポートミラーインスタンスアクション修飾子。

    • 次ホップアドレスを指定する次ホップグループ (analyzer にパケットの追加コピーを送信するために必要なもの) を参照するには、 next-hop グループ pm-next-hop-グループ名アクション修飾子:

      次ホップグループの構成情報については、Defining a Next-Hop Group for Layer 2 Port Mirroringを参照してください。レイヤー 2 ポートミラーリング用のネクストホップグループを指定した場合、ファイアウォールフィルタ条件はトンネルインターフェイス入力のみに適用されます。

  8. レイヤー 2 ポートミラーリングファイアウォールフィルターの最小構成を確認します。

    ファイアウォールフィルタ条件thenステートメントでは、 アクション修飾子することができ ポートミラーポートミラーインスタンス pm-インスタンス名、または next-hop グループ pm-next-hop-グループ名