Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、ポートミラーリングのサポート

MACフィルタリング、ストーム制御、ポートミラーリングをサポートし、イーサネットVPN-仮想拡張LAN(EVPN-VXLAN)オーバーレイネットワークで分析します。

インターフェイス設定にエンタープライズ スタイルを使用して、これらの各機能をサポートします。

インターフェイス設定にサービスプロバイダ(SP)スタイルを使用して、これらの機能もサポートしていますが、いくつかの制限があります。

  • SPスタイルのインターフェイス設定を使用した入力方向のファイアウォールフィルターを使用したポートミラーリングはサポートしますが、出力方向ではサポートしていません。

  • ストーム制御は、SPスタイルの物理インターフェイス構成の単一の論理インターフェイスでのみサポートされています。SPスタイル設定の複数の論理インターフェイスにストーム制御を設定することはできません。

    • ハードウェアの制限により、論理インターフェイスに適用されるストーム制御は、基盤となる物理インターフェイスにも適用されます。

    • ストーム制御が設定された論理インターフェイスはストームをログに記録しますが、物理インターフェイス上の任意の論理インターフェイスがストーム制御をトリガーできます。

これらの機能は、EVPN-VXLANエッジルーテッドブリッジング(ERB)オーバーレイ(コラプストIPファブリックを使用したEVPN-VXLANトポロジーとも呼ばれます)でのみサポートされています。このオーバーレイネットワークには、以下のコンポーネントが含まれています。

  • QFX10002、QFX5120、QFX5110 スイッチなど、それぞれがレイヤー 3 スパインデバイスとレイヤー 2 リーフ デバイスの両方として機能する、ジュニパーネットワークス スイッチの単一レイヤー。

  • スパイン/リーフデバイスに対するアクティブ/アクティブモードのシングルホームまたはマルチホームであるカスタマーエッジ(CE)デバイス。

手記:

一部のプラットフォームでは、EVPN-VXLANによるローカルとリモート両方のポートミラーリングをサポートしています。

  • local—パケットは同じデバイス上の宛先にミラーリングされます。

  • remote—パケットはリモートデバイス上の宛先にミラーリングされます。

EVPN-VXLAN でリモート ポート ミラーリングを使用する場合は、 VXLAN カプセル化によるリモート ポート ミラーリング の機能エクスプローラー ページを参照して、サポートされているプラットフォームとリリースを確認してください。

EVPN-VXLANを使用したローカルまたはリモートポートミラーリングの詳細については 、ポートミラーリングとアナライザ を参照してください。

このトピックでは、次の情報を提供します。

EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、およびポートミラーリングサポートのメリット

  • MAC フィルタリングにより、イングレス CE に面したインターフェイスからのパケットをフィルタリングして受け入れることができるため、イーサネット スイッチング テーブル内の関連する MAC アドレスの量と VXLAN のトラフィックが削減されます。

  • ストーム制御により、EVPN-VXLANインターフェイスのトラフィックレベルを監視し、指定されたトラフィックレベルを超えた場合にブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)パケットをドロップし、一部のジュニパーネットワークスのスイッチでは、指定された時間、インターフェイスを無効にすることができます。この機能により、過剰なトラフィックによるネットワークの劣化を防ぐことができます。

  • ポートミラーリングとアナライザーを使用することで、EVPN-VXLAN環境でパケットレベルまでトラフィックを分析できます。この機能を使用して、ネットワーク使用とファイル共有に関連するポリシーを適用し、特定のステーションまたはアプリケーションによる異常なまたは重い帯域幅使用を特定して、問題の原因を特定できます。

MAC フィルタリング

MAC フィルタリングを使用すると、MAC アドレスをフィルタリングしてトラフィックを受け入れることができます。この機能は、VXLAN カプセル化が通常有効になっていないイングレス CE 向けインターフェイスでのみサポートされます。この機能を使用するには、次の操作を行う必要があります。

  • 表 1表 2 でサポートされている一致条件を 1 つ以上指定するファイアウォール フィルターを作成します。

  • [edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]階層に設定されたレイヤー2インターフェイスにファイアウォールフィルターを適用します。

表1:QFX5100およびQFX5110スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元MACアドレス

X

X

宛先MACアドレス

X

X

ユーザー VLAN ID

X

X

送信元ポート

X

宛先ポート

X

エーテル型

X

IPプロトコル

X

IP 優先度

X

ICMP コード

X

TCP フラグ

X

IP アドレス

X

手記:

Junos OS リリース 18.4R1では、QFX5100およびQFX5110スイッチは、インターフェイス上でのみMACフィルタリングをサポートします。また、Junos OS リリース 18.4R2 以降のリリースでは、QFX5100、QFX5110、QFX5120-48Y、EX4650-48Y スイッチも、VXLAN マッピング VLAN での MAC フィルタリングをサポートしています。Junos OS リリース 22.2 では、QFX10002、QFX10008、QFX10016 デバイスでピュア IPv6 アンダーレイ向けの Mac フィルタリングとトランジット VNI マッチングがサポートされます。
表2:QFX10000スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元MACアドレス

X

宛先MACアドレス

X

ユーザー VLAN ID

送信元ポート

X

X

宛先ポート

X

X

エーテル型

X

X

IPプロトコル

X

IP 優先度

X

X

ICMP コード

X

X

TCP フラグ

X

X

IP アドレス

X

X
手記:

QFX10000スイッチでMACフィルターを設定する場合は、次の点に注意してください。

  • フィルターはインターフェイスにのみ適用できます。VXLAN にマッピングされた VLAN にフィルターを適用することはできません。

  • 同じファイアウォールフィルターにレイヤー2の一致条件とレイヤー3/レイヤー4の一致条件を混在させることはできません。例えば、QFX10002スイッチ上の同じファイアウォールフィルターに送信元MACアドレスと送信元ポートの一致条件を含めると、ファイアウォールフィルターは機能しません。

  • ユーザー VLAN ID 一致条件はサポートされていません。そのため、それぞれが特定の VLAN にマッピングされている論理インターフェイスをフィルタリングする必要がある場合は、物理インターフェイスおよび関連する論理インターフェイスを設定する際に、サービス プロバイダ スタイルの設定を使用する必要があります。ファイアウォールフィルターを作成した後、そのフィルターを各論理インターフェイスに適用して、ユーザーVLAN ID一致条件の効果を得る必要があります。

  • Junos OS リリース 22.2では、QFX10002、QFX10008、およびQFX10016デバイス向けのレイヤー3インターフェイス上のトランジットトラフィックの送信元/宛先IP外部ヘッダーでのVNI(VxLANネットワークID)マッチングに対するサポートも実装されています。VNI の一致は、外部ヘッダーとイングレス トラフィックでのみ行われます。トンネル パケットをルーティングするトランジット デバイスでは、MAC フィルタリングは、一致条件として外部ヘッダーの送信元および宛先 IPv6 アドレスとともに、外部ヘッダーの VNI の一致をサポートする必要があります。<vxlan [vni <vni-id>]> コマンドからのset firewall family inet6 filter条件に対して、vxlan 一致 CLI オプションの下にある VNI 一致フィルターを使用します。統計情報を表示するには、show firewall filter コマンドを使用します。

ファイアウォール フィルターを通じて、特定のインターフェイスで許可される VXLAN に関連する MAC アドレスを指定します。

手記:

ファイアウォールフィルターをレイヤー2インターフェイスに適用すると、インターフェイスはデフォルトスイッチインスタンスの下に存在します。

QFX5110スイッチ上の以下の設定例では、レイヤー 2 論理インターフェイス xe-0/0/6.0 で複数の一致条件(送信元 MAC アドレス、送信先 MAC アドレス、宛先ポート、VLAN ID)を満たす受信トラフィックを受け入れてカウントする DHCP-Discover-In という名前のファイアウォール フィルターを作成します。

ストーム制御

デフォルトでは、ストーム制御は、VXLAN に関連付けられたレイヤー 2 インターフェイスの QFX および EX スイッチで有効になっています。ストーム制御レベルは、結合された BUM トラフィック ストリームの 80% に設定されます。

手記:

EVPN-VXLANストーム制御は、ACXシリーズのプラットフォームでは少し動作が異なります。詳細については、 ACXシリーズルーターのストーム制御の概要を参照してください。

EVPN-VXLAN 環境では、ストーム制御は、次の違いを除き、非 EVPN-VXLAN 環境と同じように、VXLAN に関連付けられたレイヤー 2 インターフェイスに実装および設定されます。

  • EVPN-VXLAN 環境では、ストーム制御が監視するトラフィック タイプは次のとおりです。

    • VXLAN で発信され、同じ VXLAN 内のインターフェイスに転送されるレイヤー 2 BUM トラフィック。

    • VXLAN 内の IRB(統合型ルーティングおよびブリッジング)インターフェイスによって受信され、別の VXLAN 内のインターフェイスに転送されるレイヤー 3 マルチキャスト トラフィック。

  • ストーム制御プロファイルを作成した後、 [edit interfaces interface-name unit logical-unit-number family ethernet-switching] 階層のイングレスレイヤー2インターフェイスにバインドする必要があります。

    手記:

    プロファイルをレイヤー2インターフェイスにバインドすると、インターフェイスはデフォルトスイッチインスタンス内に常駐します。

  • インターフェイス上のトラフィックストリームが指定されたストーム制御レベルを超えると、ジュニパーネットワークスのスイッチは超過したパケットをドロップします。これはレート制限と呼ばれます。さらに、EVPN-VXLAN 環境内の QFX10000 スイッチは、[edit forwarding-options storm-control-profiles] 階層レベルで action-shutdown 設定ステートメントと [edit interfaces interface-name unit logical-unit-number family ethernet-switching] 階層レベルで recovery-timeout 設定ステートメントを使用して、指定された期間のインターフェイスの無効化をサポートします。

    手記:

    EVPN-VXLAN環境内のQFX5100およびQFX5110スイッチは、指定された時間インターフェイスの無効化をサポートしていません。

    手記:

    QFX5110 スイッチで、インターフェイスに拡張ストーム制御とネイティブ アナライザを設定し、ネイティブ アナライザに入力として VxLAN VLAN がある場合、シャットダウン アクションはそのインターフェイス上の VLAN に対して機能しません。レート制限は期待どおりに機能します。

次の設定では、scp という名前のプロファイルを作成します。これは、レイヤー 2 論理インターフェイス et-0/0/23.0 で、結合された BUM トラフィック ストリームで使用される帯域幅が 5% を超えた場合に、インターフェイスが超過した BUM トラフィックをドロップすることを指定します。

次の設定では、scp という名前のプロファイルを作成します。このプロファイルは、レイヤー 2 論理インターフェイス et-0/0/23.0 でマルチキャスト トラフィック ストリーム(ブロードキャストおよび不明なユニキャスト トラフィック ストリームは除外)で使用される帯域幅が 5% を超えた場合に、インターフェイスが超過したマルチキャスト トラフィックをドロップすることを指定します。

QFX10000 スイッチの以下の設定では、前の設定と同じプロファイルが作成されます。しかし、以下の設定では、トラフィックストリームが 5% を超えた場合にマルチキャストトラフィックを暗示的にドロップするのではなく、インターフェイスを明示的に 120 秒間無効にしてから、インターフェイスを元に戻します。

ポートミラーリングとアナライザー

EVPN-VXLAN 環境でトラフィックを分析するために、ジュニパーは次のポート ミラーリングとアナライザ機能をサポートしています。

  • ローカル ミラーリング

    • インターフェイス上

    • VXLAN の場合

  • リモート ミラーリング

    • インターフェイス上

    • VXLAN の場合

以下のセクションでは、サポートされている機能の詳細と設定例を紹介します。

ローカルミラーリング

手記:

ローカルミラーリングは、SPAN(Switched Port Analyzer)に相当します。
表3:ローカルミラーリングサポート

ローカル ミラーリングが適用されているエンティティ

トラフィック方向

フィルターベースのサポート

アナライザベースのサポート

CEフェーシングインターフェイス

イングレス

サポート。

「ユースケース 1: サンプル構成」を参照してください。

サポート。

「ユースケース 2: サンプル構成」を参照してください。

CEフェーシングインターフェイス

出口

サポートされていません。

サポート;ただし、エグレス ミラーリングされたトラフィックは、元のトラフィックのタグと異なる誤った VLAN タグを伝送する可能性があります。

「ユースケース 3: サンプル構成」を参照してください。

IPファブリックに面したインターフェイス

イングレス

サポート。

サポート。

「ユースケース 4: サンプル構成」を参照してください。

IPファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定は入力時に行われるため、レイヤー2ヘッダーは、スイッチドパケットまたはルーティングされたパケットと同じにはなりません。ミラーリングされた VXLAN カプセル化パケットには、VXLAN ヘッダーは含まれません。

「ユースケース 5: サンプル構成」を参照してください。

VXLAN にマッピングされた VLAN

イングレス

サポート。

CEに面したインターフェイスを介して入るトラフィックでのみサポートされます。

「ユースケース 6: サンプル構成」を参照してください。

ローカル ミラーリングの設定

Use Case 1: Firewall filter-based

この設定では、pm1という名前のポートミラーリングインスタンスとファイアウォールフィルターを使用することで、論理インターフェイスxe-0/0/8.0を介してVXLAN100に入るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされ、次にポートミラーリングインスタンスpm1にミラーリングされることを指定します。

Use Case 2: Analyzer-based

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 に入るレイヤー 2 トラフィックが、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 3: Analyzer-based

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 から出るレイヤー 2 トラフィックが、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 4: Analyzer-based

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 に入るレイヤー 2 トラフィックが、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 5: Analyzer-based

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 から出るレイヤー 2 トラフィックが、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 6: Analyzer-based

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、VXLAN100という名前の VLAN に入り、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされるレイヤー 2 トラフィックを指定します。

リモート ミラーリング

リモートポートミラーリングは、出力先が送信元と同じスイッチ上にない場合に使用されます。リモート ミラーリングは、ミラーリングされたトラフィックを 1 つ以上のリモート宛先ホストに配信します。データセンター環境でトラブルシューティングや監視のためによく使用されます。

EVPN-VXLAN 環境では、送信元スイッチでのミラーリングされたトラフィック フローがカプセル化され、アンダーレイ IP ファブリックを介して宛先ホストの IP アドレスまでトンネリングされます。私たちは、以下のタイプのカプセル化をサポートしています。

  • 一般的なルーティングのカプセル化(GRE)は、ルーティングドメインによって分離されたスイッチ間のトラフィックをカプセル化するために、リモートミラーリングで使用されます。EVPN-VXLANオーバーレイでは、GREカプセル化により、IPファブリックを介したリーフデバイス間のミラーリングが可能になります。GRE によるリモート ミラーリングは、ミラーリング宛先ホストが送信元スイッチと同じファブリックの一部であるスイッチに接続されている場合に使用します。GREカプセル化によるリモートミラーリングは、ERSPAN(Encapsulated Remote SPAN)に相当します。

    手記:

    ACX7100-32CおよびACX7100-48Lプラットフォームでは、ERSPANの同等バージョンはERSPANバージョン2(ERSPAN v2)です。

  • VXLANカプセル化は、送信元と出力先が別々のVNIドメインにある場合に、EVPN-VXLANのリモートミラーリングをサポートします。出力宛先インターフェイスのトラフィックをミラーリングし、VNI にマッピングされた特定の VXLAN を設定する必要があります。VXLANカプセル化によるリモートミラーリングは、リモートSPAN(RSPAN)に相当します。

表4:リモートミラーリングのサポート

リモート ミラーリングが適用されるエンティティ

トラフィック方向

フィルターベースのサポート

アナライザベースのサポート

CEフェーシングインターフェイス

イングレス

サポート。

ACX7100ではサポートされていません。

サポート。「ユースケース 1: サンプル構成」を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれます。

CEフェーシングインターフェイス

出口

サポートされていません。

サポート。「ユースケース 2: サンプル構成」を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれます。

IPファブリックに面したインターフェイス

イングレス

サポート。

ACX7100ではサポートされていません。

サポート。「ユースケース 3: サンプル構成」を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされた VXLAN カプセル化パケットには、VXLAN ヘッダーと GRE ヘッダーが含まれます。

IPファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定はイングレスで行われるため、レイヤー2ヘッダーはスイッチドパケットまたはルーテッドパケットと同じにはなりません。「ユースケース 4: サンプル構成」を参照してください。

手記:

ミラーリングされたトラフィックのネイティブMACフレームに、偽のVLAN IDタグ4094が含まれている場合があります。

ACX7100でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれますが、VXLAN ヘッダーは含まれません。

VXLAN にマッピングされた VLAN

イングレス

サポート。

ACX7100ではサポートされていません。

CEに面したインターフェイスに入るトラフィックのみでサポートされます。「ユースケース 5: サンプル構成」を参照してください。

ACX7100ではサポートされていません。

GRE カプセル化によるリモート ミラーリングの設定

以下の構成例は、GRE カプセル化を使用したアナライザベースのリモート ミラーリングを対象としています。

手記:

ACX7100でGREカプセル化を使用してリモートアナライザを設定する例については、 例:ESI-LAGインターフェイスでリモートアナライザインスタンスを有効にするを参照してください。

Use Case 1

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 に入るレイヤー 2 トラフィックが、IP アドレス 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 2

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 から出るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 3

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 に入るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 4

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 から出るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 5

この設定では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 にマッピングされた VXLAN100 に入るレイヤー 2 トラフィックが、IP アドレス 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

VXLAN カプセル化によるリモート ミラーリングの設定

どのプラットフォームがどのリリースでこの機能をサポートしているかを確認するには、 VXLAN カプセル化によるリモート ポート ミラーリングの機能エクスプローラー ページを参照してください。

アナライザベースの設定

次の設定例は、VXLANカプセル化を使用したアナライザベースのリモートミラーリングを対象としています。VLAN100に入るレイヤー2トラフィックは、リモート出力宛先VLAN3555にミラーリングされ、VNI 1555にマッピングされます。

この設定では、宛先 VLAN のループバック インターフェイスを使用して、ミラーリングされたパケットをカプセル化します。

  • 宛先インターフェイス xe-0/0/2 は、ループバック インターフェイス xe-0/0/3 に外部接続されています。

  • 論理インターフェイスxe-0/0/2.0とxe-0/0/3.0は、宛先VLAN3555のメンバーです。
  • インターフェイスxe-0/0/2.0はVNIマッピングなしのエンタープライズスタイルで設定されます。一方、インターフェイスxe-0/0/3.0はサービスプロバイダスタイルで同じVLAN IDとVNIマッピングを使用して設定されます。これは、これらのポート間のフラッディングやループを防ぐためです。
  • Macラーニングはxe-0/0/2.0で無効にする必要があります。
手記:

イングレスインターフェイスはトランクモードに設定する必要があるため、カプセル化されたパケットにはタグが付けられます。タグ付きパケットをカプセル化解除するには、カプセル化解除ノードで set protocols l2-learning decapsulate-accept-inner-vlan コマンドを設定します。

外部接続を使用する代わりに、論理ループバックインターフェイスを設定するには、次のコマンドを使用します。

set interfaces interface-name ether-options loopback

以下の設定例では、インターフェイス xe-0/0/2 で論理ループバックを使用しています。

ファイアウォールフィルターベースの設定

以下の設定では、ファイアウォールフィルター filter1をインターフェイスxe-0/0/34のイングレストラフィックに適用します。このインターフェイスで入力されるトラフィックは、宛先 VLAN3555にミラーリングされます。宛先VLANは、 pm1という名前のポートミラーリングインスタンスを使用して定義されます。

VNI一致条件を使用したリモートポートミラーリング

QFX10002、QFX10008、およびQFX10016シリーズスイッチでは、リモートポートミラーリングのトラフィックをフィルタリングする際の一致条件としてVXLANネットワーク識別子(VNI)値を使用できます。この機能は、ネットワーク計画や、ディープパケットインスペクション(DPI)などの分析によく使用されます。

リモートポートミラーリング機能は、ターゲットとなるイングレスパケットのコピーを作成し、外側のIPv4 GREヘッダーにカプセル化され、指定されたリモート宛先に転送します。VNI一致条件のサポートは、VNIに基づいてミラーリングするパケットを選択し、それらのフローのみがリモートミラーポートに送信されるようにできることを意味します。また、差別化されたサービスコードポイント(DSCP)値を設定して、高優先度やベストエフォート配信など、フローに優先順位を付けることもできます。IRB(統合型ルーティングおよびブリッジング)インターフェイスは、宛先ミラー ポートとしてはサポートされていません。

大まかに言うと、VNI に基づくリモートポートミラーリングの手順は、リモートポートミラーリングインスタンスを作成し、VNI を処理するためにファイアウォールフィルターファミリーの VNI を昇格させ、必要なフィルタールールとアクションを作成してから、ファイアウォールポリシーをイングレスインターフェイスに適用することです。また、ミラーリングされたパケットの送信に使用されるインターフェイスにもGREトンネリングが設定されている必要があります。

Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration

以下のコード例は、VNIに従ってパケットをミラーリングするために必要な主要なJunos デバイスのcliを示しています。

  1. リモートポートミラーリングを有効にし、ミラーリングされたパケットを送信するトラフィックソースと宛先を設定します。
  2. ファイアウォール フィルター(ここでは bf_vni_st)を作成し、このフィルターの VNI をパケット転送モジュールに昇格させます(つまり、このコマンドはフィルター全体を VNI 一致条件を最適化するように設定します)。
  3. VNI 一致条件(このサンプルでは 6030)とアクション(このサンプルでは count)を指定するイングレス ファイアウォール フィルター(bf_vni_st)を作成します。
  4. ミラーリングするインターフェイスのイングレストラフィックにフィルターを適用します。

関連資料