Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポート ミラーリングとアナライザの設定

ポートミラーリングアナライザーについて

ポートミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストするのではなく、ルーターやスイッチのトラフィック分析に使用できます。ポートミラーリングでは、すべてのパケットまたはポリシーベースのサンプルパケットのコピーがローカルまたはリモートのアナライザーに送信され、データの監視と分析を行うことができます。

ポートミラーリングアナライザーのコンテキストでは、「スイッチングデバイス」という用語を使用します。この条件は、デバイス (ルーターを含む) がスイッチング機能を実行していることを示しています。

アナライザーをパケットレベルで使用して、以下のことを実現できます。

  • ネットワークトラフィックの監視

  • ネットワーク使用ポリシーを強制する

  • ファイル共有ポリシーを適用する

  • 問題の原因の特定

  • 帯域幅の使用率が高い、または異常な状態にあるステーションやアプリケーションを識別します。

ポート ミラーリングは、以下の方法で設定できます。

  • ブリッジドパケット (レイヤー2パケット)

  • ルートパケット (レイヤー3パケット)

ミラー化されたパケットは、ローカルな監視用のローカルインターフェイスにコピーするか、またはリモート監視用の VLAN またはブリッジドメインとして転送できます。

以下のパケットをコピーできます。

  • Packets entering or exiting a port:パケットを任意の組み合わせで、最大 256 個のポートにミラーリングできます。たとえば、ポートに接続するパケットのコピーと、他のポートから接続されているパケットを同じローカルアナライザポートまたは analyzer VLAN に送信することができます。

  • Packets entering or exiting a VLAN or bridge domain:VLAN またはブリッジ ドメインとの間でパケットをミラーリングして、ローカル アナライザ ポートまたはアナライザ VLAN またはブリッジ ドメインにミラーリングできます。複数の Vlan (最大 256 Vlan) またはブリッジドメインは、VLAN の範囲やプライベート Vlan (PVLANs) などのアナライザーへの受信入力として設定できます。

  • Policy-based sample packets:ポート、VLAN、またはブリッジ ドメインに入るパケットのポリシーベースのサンプルをミラーリングできます。ファイアウォールフィルターにポリシーを設定して、ミラー化するパケットを選択します。このサンプルは、ポートミラーリングインスタンスまたはアナライザ VLAN またはブリッジドメインに送信できます。

アナライザの概要

同じアナライザ構成で入力トラフィックと出力トラフィックの両方を定義するようにアナライザーを設定できます。解析対象の入力トラフィックは、入力するトラフィックか、インターフェイスまたは VLAN から出てくるトラフィックのどちらでもかまいません。アナライザ構成によって、このトラフィックを出力インターフェイス、インスタンス、ネクストホップグループ、VLAN、またはブリッジドメインに送信できます。階層レベルでアナライザを [edit forwarding-options analyzer] 設定できます。

統計分析の概要

ルーターまたはスイッチの物理ポートに明示的にバインドできるように、ミラーリングレートやトラフィック用の最大パケット長など、ミラーリングのプロパティセットを定義できます。このミラーリング プロパティのセットは、統計アナライザ(非デフォルト アナライザとも呼ばれる)を構成します。このレベルでは、特定の FPC に関連付けられた物理ポートに名前付きインスタンスをバインドできます。

デフォルトアナライザーの概要

ミラーリングのプロパティ (ミラーリングレートや最大パケット長など) を設定せずに、analyzer を設定できます。デフォルトでは、ミラーリングレートは1に設定され、最大パケット長はパケットの完全な長さに設定されています。これらのプロパティはグローバルレベルで適用されるため、特定の FPC にバインドする必要はありません。

複数の統計アナライザーにバインドされたポートのグループでのポートミラーリング

スイッチデバイスでは、最大2つの統計アナライザーを同一のポートグループに適用できます。2つの異なる統計アナライザインスタンスを同一の FPC またはパケット転送エンジンに適用することで、2つのレイヤー2ミラーリング仕様を1つのポートグループにバインドできます。FPC にバインドされているミラーリングのプロパティは、スイッチングデバイスのグローバルレベルでバインドした analyzer (デフォルトアナライザー) プロパティを上書きします。デフォルトアナライザーのプロパティは、同じポートグループに対して2つ目の analyzer インスタンスをバインドすることで上書きされます。

ポートミラーリングアナライザーの用語

表 1は、ポートミラーリングアナライザーの条件とその説明を示しています。

表 1: アナライザの用語
条件 説明

解析

ミラーリング構成では、次のような機能を備えています。

  • アナライザーの名前

  • 送信元 (入力) ポート、Vlan、またはブリッジドメイン

  • ミラーリングされたパケットの宛先(ローカル ポート、VLAN、またはブリッジ ドメイン)

アナライザ出力インターフェイス

(モニタポートとも呼ばれます)

ミラーリング トラフィックが送信され、プロトコル アナライザが接続されたインターフェイス。

アナライザへの出力として使用されるインターフェイスは、階層レベルで forwarding-options 設定する必要があります。

Analyzer の出力インターフェイスには、以下のような制約があります。

  • 送信元ポートにすることもできません。

  • スパニング ツリー プロトコル(STP)などのレイヤー 2 プロトコルには参加していない。

  • Analyzer 出力インターフェイスの帯域幅が、送信元ポートからのトラフィックを処理するには不十分な場合、オーバーフローパケットは破棄されます。

アナライザ VLAN またはブリッジドメイン

(モニター VLAN またはブリッジドメインとしても知られています)

プロトコル アナライザがミラーリングしたトラフィックを使用するために送信される VLAN またはブリッジ ドメイン。モニター VLAN またはブリッジドメイン内のメンバーインターフェイスは、ネットワーク内のスイッチングデバイスに分散しています。

ブリッジドメインベースのアナライザ

入力、出力、あるいはその両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。

デフォルトアナライザー

デフォルトミラーリングパラメーターを使用したアナライザーデフォルトでは、ミラーリングレートは1で、最大パケット長は完全なパケットの長さです。

入力インターフェイス

(「ミラーポート」または「モニタリングインターフェイス」とも呼ばれます)

このインターフェイスでトラフィックが入り込む、または出たスイッチング デバイス上のインターフェイスがミラーリングされています。

LAG ベースの分析

アナライザ構成で入力 (受信) インターフェイスとして指定されたリンクアグリゲーショングループ (LAG) を持つアナライザーです。

ローカルミラーリング

パケットがローカル・アナライザ・ポートにミラーリングされるアナライザ構成。

監視ステーション

プロトコル アナライザを実行しているコンピューター。

次ホップグループに基づくアナライザー

アナライザへの出力としてネクストホップ グループを使用するアナライザ設定。

ポートベースのアナライザ

入出力のインターフェイスを定義するアナライザ設定。

プロトコル・アナライザ・アプリケーション

ネットワークセグメントを介して送信されるパケットを検査するアプリケーション。ネットワーク アナライザ、パケット スニファ、プローブとも呼ばれる。

リモートミラーリング

ローカルミラーリングと同様の機能ですが、ミラー化されたトラフィックはローカルのアナライザポートにコピーされず、ミラー化されたトラフィックを受信するために特別に作成したアナライザ VLAN またはブリッジドメインにあふれています。ミラー化されたパケットには、アナライザ VLAN またはブリッジドメインの外側のタグが追加してあります。

統計分析

(非デフォルト アナライザとも呼ばれる)

スイッチ上の物理ポートに明示的にバインドできるミラーリング プロパティのセット。このアナライザプロパティセットは、統計分析として知られています。

VLAN ベースのアナライザ

VLAN を使用してミラーリング トラフィックをアナライザに配信するアナライザ設定。

ポートミラーリングアナライザーの構成ガイドライン

ポートミラーリングアナライザーを構成する場合。これらのガイドラインに従って、最適なメリットを確保することをお勧めします。使用していない場合はミラーリングを無効にすることをお勧めします。また、[ allキーワード] オプションを使用するのではなく、すべてのインターフェイス上でミラーリングを可能にするため、特定のインターフェイスをアナライザーへの入力として選択する必要があります。必要なパケットだけをミラーリングすると、パフォーマンスへの潜在的な影響が抑えられます。

また、ミラー化されたトラフィックの量を制限するには、以下のような方法があります。

  • 統計的サンプリングの使用

  • ファイアウォールフィルターの使用

  • 比率を設定して統計的サンプルを選択する

ローカルミラーリングでは、複数のポートからのトラフィックが analyzer 出力インターフェイスに複製されます。Analyzer の出力インターフェースが容量の限界に達すると、パケットはドロップされます。ミラー化されているトラフィックがアナライザ出力インターフェイスの容量を超えていないかどうかを検討する必要があります。

表 2アナライザーの構成に関するその他のガイドラインをまとめたものです。

表 2: ポートミラーリングアナライザーの構成ガイドライン

参考

価値またはサポート情報

コメント

同時に有効にできるアナライザーの数。

64 デフォルト アナライザ

FPC-Statistical Analyzer 当たり 2

統計的なアナライザーは、その FPC に属するポートのミラーリングトラフィックのために、FPC にバインドする必要があります。

注:

デフォルトアナライザーのプロパティは、システム内のすべての FPCs 上で最後のインスタンス (または最後のもの) に暗黙的にバインドされます。そのため、2つ目の統計分析を FPC に明示的にバインドすると、デフォルトのアナライザープロパティがオーバーライドされます。

アナライザーへの受信入力として使用できるインターフェイス、Vlan、またはブリッジドメイン数。

256

トラフィックをミラーリングできないポートのタイプ。

  • バーチャルシャーシポート (vcps)

  • 管理イーサネットポート (me0 または vme0)

  • 統合型ルーティングおよびブリッジング (IRB) インターフェイス

  • VLAN タグレイヤー3インターフェイス

 

アナライザーに組み込むことができるプロトコルファミリー。

ethernet-switchingEX シリーズスイッチおよびbridge MX シリーズルーター用です。

ブリッジによるトラフィックのみがミラーリングを行います。ルーティングされたトラフィックをミラーリングするには、 または で ポート ミラーリング設定 familyinet 使用 inet6 します。

物理レイヤーのエラーが発生したパケットは、ローカルまたはリモートの analyzer に送信されません。

このようなエラーが発生したパケットは除外されるため、analyzer に送信されません。

Analyzer はラインレートトラフィックをサポートしていません。

ラインレートトラフィックのミラーリングは、ベストエフォート単位で行われます。

タイムラグインターフェイスでのアナライザーの出力。

 

Analyzer 出力インターフェイスモードをトランクモードとして実行します。

  • トランク インターフェイスは、アナライザの入力設定に関連しているすべての VLAN またはブリッジ ドメインのメンバーである必要があります。

  • 入力が VLAN またmirror-onceはブリッジドメインとして設定され、出力がトランクインターフェイスである場合は、このオプションを使用する必要があります。

    注:

    mirror-once オプションでは、アナライザの入力がイングレス ミラーリングとエグレス ミラーリングの両方からの場合、イングレス トラフィックだけがミラーリングされます。受信と送信の両方のミラーリングが必要な場合は、出力インターフェイスをトランクにすることはできません。そのような場合は、インターフェイスをアクセスインターフェイスとして構成します。

ホストから生成されたコントロールパケットの送信ミラーリング。

対応していない

 

Analyzer のinputスタンザでレイヤー3論理インタフェースを構成します。

対応していない

 

同じ VLAN または VLAN 自体のメンバーを含む analyzer の入力と出力使いを回避する必要があります。

 

さまざまなアナライザセッションでの VLAN とそのメンバーインターフェイスのサポート

対応していない

ミラーリングが設定されている場合、いずれかのアナライザーがアクティブになります。

集約型イーサネット (ae) インターフェイスの送信ミラーリングと、さまざまなアナライザー用に構成された子論理インターフェイス

対応していない

 

EX9200 スイッチでのミラーリングを構成してトラフィックを分析します (CLI 手順)

EX9200 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、以下のパケットをコピーできます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力または終了

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 使用していない場合に設定したアナライザーを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

注:

既存のアナライザを削除せずに追加のアナライザを作成する場合は、コマンド ライン インターフェイス(CLI)または J-Web 設定ページのミラーリングで ステートメントを使用して、既存のアナライザを無効にします。 disable analyzer analyzer-name

注:

アナライザへの出力として使用されるインターフェイスは、 、 の下で設定する必要があります。VLAN ethernet-switching family に関連付けられている必要があります。

ローカルトラフィック解析のためのアナライザーの設定

アナライザを使用してスイッチ上のネットワーク トラフィックまたは VLAN トラフィックをスイッチ上のインターフェイスにミラーリングするには、次の方法に示します。

  1. アナライザーの名前を選択し、以下のように入力します。

    たとえば、インターフェイス employee-monitor ge-0/0/0.0 および ge-0/0/1.0 に入るパケットを監視するために呼び出されるアナライザを作成します。

  2. ミラー化されたパケットの宛先インターフェイスを構成します。

    たとえば、次のようにアナライザの宛先インターフェイスとしてge-0/0/10.0を設定 employee-monitor します。

リモートトラフィック解析のためのアナライザーの設定

スイッチ上の VLAN を通過するインターフェイスまたは VLAN を、リモートからの分析に使用する VLAN にミラーリングするには、次の方法に示します。

  1. ミラー化されたトラフィックを伝送するように VLAN を設定します。

    たとえば、次に呼び出されるアナライザ VLAN を定義し remote-analyzer 、VLAN ID を割り当てします 999

  2. ディストリビューション スイッチに接続されたインターフェイスをアクセス モードに設定し、それをアナライザ VLAN に関連付にします。

    たとえば、インターフェイス ge-0/1/1 をアクセス モードに設定し、それをアナライザ VLAN ID に関連付ける: 999

  3. アナライザーの設定:
    1. アナライザーを定義し、ミラー化するトラフィックを指定します。

      たとえば、ミラーリングするトラフィックを制御するアナライザを定義します。インターフェース employee-monitor ge-0/0/0.0 と ge-0/0/1.0 に入るパケットを構成します。

    2. Analyzer の出力として、analyzer VLAN を指定します。

      たとえば、アナライザの remote-analyzer 出力アナライザとしてVLANを指定 employee-monitor します。

ローカルトラフィック解析のための統計アナライザの設定

統計アナライザを使用して、スイッチ上のインターフェイス トラフィックまたは VLAN トラフィックをスイッチ上のインターフェイスにミラーリングするには、次の方法に示します。

  1. アナライザーの名前を選択し、入力インターフェイスを指定します。

    たとえば、呼び出されるアナライザを指定し、入力インターフェイス employee-monitor ge-0/0/0 および ge-0/0/1 を指定します。

  2. ミラー化されたパケットの宛先インターフェイスを構成します。

    たとえば、ミラーリングされたパケットの宛先インターフェイスとして、0/0/10.0 を設定します。

  3. ミラーリングのプロパティを指定します。
    1. ミラーリング レート(1秒当たりミラーリングするパケット数)を指定します。

      有効範囲は 1 ~ 65535 です。

    2. ミラーリングされたパケットが切り捨てられる長さを指定します。

    有効範囲は 0 ~ 9216 です。デフォルト値は0で、ミラーリングされたパケットが切り捨てられることを示します。

リモートトラフィック解析のための統計アナライザの構成

統計アナライザを使用してリモートから分析するために、スイッチ上の VLAN またはスイッチ上の VLAN を通過するトラフィックをミラーリングするには、以下の方法に当たって操作します。

  1. ミラー化されたトラフィックを伝送するように VLAN を設定します。

    たとえば、VLAN ID を持つ VLAN を remote-analyzer 設定します 999

  2. ディストリビューション スイッチに接続されたインターフェイスをアクセス モードに設定し、VLAN に関連付にします。

    たとえば、ディストリビューション スイッチに接続されているインターフェイス ge-0/1/1.0 をアクセス モードに設定して、VLAN に関連付 remote-analyzer けを行います。

  3. 統計分析を構成します。
    1. ミラー化するトラフィックを指定します。

      たとえば、次のようなポートを使用して、ミラー化の対象となるパケット (0/0/0.0 および ge-0/0/1.0) を指定します。

    2. Analyzer の出力を指定するには、以下のようにします。

      たとえば、アナライザの remote-analyzer 出力としてVLANを指定します。

  4. ミラーリングのプロパティを指定します。

    1. ミラーリング レート(1秒当たりミラーリングするパケット数)を指定します。

      有効範囲は 1 ~ 65535 です。

    2. ミラー化されたパケットを切り捨てる長さを指定します。

    有効範囲は 0 ~ 9216 です。デフォルト値は0で、これはミラー化されたパケットが切り捨てられていないことを意味します。

統計的なアナライザーを FPC レベルでグループ化されたポートにバインドする

スイッチ内の特定の FPC に統計アナライザをバインドすることもできます。つまり、スイッチの FPC レベルで統計アナライザインスタンスをバインドできます。統計分析で指定されたミラーリングプロパティは、指定された FPC のすべてのパケット転送エンジンに関連付けられたすべての物理ポートに適用されます。

レイヤー2アナライザの名前付きインスタンスを FPC にバインドするには、以下のようにします。

  1. スイッチシャーシプロパティの設定を有効にします。

  2. FPC (およびそのインストール済みの PICs) の設定を有効にするには、次のようになります。

  3. 統計アナライザインスタンスを FPC にバインドします。

  4. ナレイヤー2ミラーリングの第2統計アナライザーインスタンスを同じ FPC にバインドするには、手順3を繰り返し、別の統計アナライザ名を指定します。

  5. バインドの最小構成を確認します。

注:

2 つ目のインスタンス(この例)のバインド時に、このセッションのミラーリング プロパティが設定されている場合、すべてのデフォルト stats_analyzer-2 アナライザが上書きされます。

次ホップグループを使用して複数の宛先を使用した分析を構成する

ネクスト ホップ グループをアナライザ出力として設定すると、トラフィックを複数の宛先にミラーリングできます。パケットを複数の宛先にミラーリングすることは、マルチパケットポートミラーリングとも呼ばれます。

インターフェイストラフィックまたはスイッチ上の VLAN トラフィックをスイッチ上のインターフェイス (アナライザーを使用) にミラーリングするには、次のようにします。

  1. アナライザーの名前を選択し、以下のように入力します。

    たとえば、入力トラフィックがインターフェース employee-monitor ge-0/0/0.0 および ge-0/0/1.0 から入るパケットで構成される、呼び出されたアナライザを作成します。

  2. ミラー化されたパケットの宛先インターフェイスを構成します。

    たとえば、次ホップグループnhgemployee-monitorアナライザーの宛先として設定します。

レイヤー2ミラーリング用の次ホップグループの定義

設定レベルのネクストホップ グループ設定では、ネクストホップ グループ名、ネクストホップ グループで使用するアドレスのタイプ、トラフィックのミラーリングが可能な複数の宛先を形成する論理インターフェイスを定義できます。 [edit forwarding-options] デフォルトでは、次ホップグループは、 [edit forwarding-options next-hop-group next-hop-group-name group-type inet]ステートメントを使用したレイヤー3アドレスを使用して指定されます。レイヤー2アドレスを使用して次ホップグループを指定するには[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] 、ステートメントを含めます。

レイヤー2ミラーリングのネクストホップグループを定義するには、次のようにします。

  1. レイヤー2ミラーリング用の次ホップグループの構成を有効にします。

    たとえば、名前を指定 next-hop-group して設定します nhg

  2. 次ホップグループの構成で使用するアドレスの種類を指定してください:

    たとえば、アナライザ next-hop-group type の出力 layer-2 は次だけのため、として設定 layer-2 します。

  3. 次ホップグループの論理インターフェイスを指定します。

    たとえば、次ホップグループnhgの論理インターフェイスとして、0/0/10.0 と、ge-0/0/11.0 を指定するには、以下のようにします。

EX4300 スイッチでのミラーリングを構成してトラフィックを分析します (CLI 手順)

注:

このタスクでは、EX シリーズスイッチに Junos OS を使用して、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートしています。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成済みのミラーリング構成は、使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

注:

既存のアナライザーを削除せずに追加のアナライザーを作成する場合は、ミラーリング用のコマンドdisable analyzer analyzer-nameラインインターフェイスまたは J-Web 構成ページのステートメントを使用して、既存のアナライザーを無効にします。

注:

Analyzer の出力として使用されるインターフェースは、 ethernet-switchingファミリーの下で設定する必要があります。

ローカルトラフィック解析のためのアナライザーの設定

インターフェイストラフィックまたはスイッチ上の VLAN トラフィックをスイッチ上のインターフェイス (アナライザーを使用) にミラーリングするには、次のようにします。

  1. アナライザーの名前を選択し、以下のように入力します。

    たとえば、入力トラフィックがインターフェース employee-monitor ge-0/0/0.0 および ge-0/0/1.0 に入るパケットの呼び出しを受け取るアナライザを作成します。

  2. ミラー化されたパケットの宛先インターフェイスを構成します。

    たとえば、次のようにアナライザの宛先インターフェイスとしてge-0/0/10.0を設定 employee-monitor します。

リモートトラフィック解析のためのアナライザーの設定

インターフェイスを通過しているトラフィックをミラーリングするには、または、アナライザーを使用してリモートロケーションから分析するためにスイッチ上の VLAN を VLAN に指定します。

  1. ミラー化されたトラフィックを伝送するように VLAN を設定します。

    たとえば、次の名前のアナライザ VLAN を定義し、 remote-analyzer 次の VLAN ID を割り当てします 999

  2. ディストリビューションスイッチに接続されているアップリンクモジュールインターフェイスをトランクモードに設定し、それをアナライザ VLAN に関連付けます。

    たとえば、インターフェイス ge-0/1/1 をインターフェイスに設定してトランク モード VLAN ID に関連付ける必要があります 999

  3. アナライザーの設定:
    1. アナライザーを定義し、ミラー化するトラフィックを指定します。

      たとえば、ミラーリングするトラフィックがインターフェース employee-monitor ge-0/0/0.0 および ge-0/0/1.0 から入るパケットであるアナライザを定義します。

    2. Analyzer の出力として、analyzer VLAN を指定します。

      たとえば、アナライザの remote-analyzer 出力アナライザとしてVLANを指定 employee-monitor します。

ポートミラーリングの構成

ポートミラーリングインスタンスにミラーリングするパケットをフィルタリングするには、インスタンスを作成してから、ファイアウォールフィルタのアクションとして使用します。ファイアウォールフィルタは、ローカルおよびリモートのミラーリング構成で使用できます。

同一のポートミラーリングインスタンスが複数のフィルタまたは条件で使用されている場合、パケットは analyzer 出力ポートまたはアナライザ VLAN に1回だけコピーされます。

ミラー化されたトラフィックをフィルターするには、 [edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成してから、ファイアウォールフィルターを作成します。このフィルターでは、利用可能な match 条件を使用しport-mirror-instance instance-name 、アクションとして設定する必要があります。ファイアウォールフィルタ構成のこのアクションによって、ポートミラーリングインスタンスに入力が提供されます。

ファイアウォールフィルターを使用してポートミラーリングインスタンスを設定するには、次のようにします。

  1. ポートミラーリングのインスタンス名 (ここでemployee-monitorは) と出力を設定するには、以下のようにします。
    1. ローカル分析では、出力をローカル インターフェイスに設定し、プロトコル アナライザを実行しているコンピューターに接続します。
    2. リモート分析については、出力をremote-analyzer VLAN に設定します。
  2. 利用可能な match 条件のいずれかを使用してファイアウォールemployee-monitorフィルターをport-mirror-instance作成し、アクションに割り当てます。

    このステップでは、次example-filterの2つの条件no-analyzer ( to-analyzerおよび) を使用したファイアウォールフィルターを示します。

    1. ポートミラーリングインスタンス employee-monitorに通過してはならないトラフィックを定義する最初の条件を作成します。
    2. 第2項を作成して、ポートミラーリングインスタンスemployee-monitorに通過するトラフィックを定義します。
  3. ポートミラーリングインスタンスに入力を提供するインターフェイスまたは VLAN に、ファイアウォールフィルタを適用します。

ポートミラーリングを構成してトラフィックを解析する (CLI 手順)

この設定タスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートしていない EX シリーズスイッチに Junos OS を使用しています。

EX シリーズスイッチを使用すると、ポートミラーリングを構成して、パケットのコピーをローカルインターフェイスに送信したり、リモートモニタリング用の VLAN に転送したりできます。ポートミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • パケットが EX2200、EX3200、EX3300、EX4200、EX4500、または EX6200 スイッチ上で VLAN に入る

  • EX8200 スイッチ上で VLAN を終了するパケット

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成済みのポートミラーリングアナライザーを使用していない場合は、無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

ポートミラーリングの構成を開始する前に、analyzer の出力インターフェイスに関して以下の制限事項を確認してください。

  • 送信元ポートにすることはできません。

  • スイッチングには使用できません。

  • ポートミラーリング構成の一部として、RSTP などのレイヤー2プロトコルに参加しないでください。

  • Analyzer 出力インターフェイスとして設定される前に、保持していた VLAN 関連付けを保持しないでください。

注:

既存のアナライザーを削除せずに追加のアナライザーを作成するには、まず、ポートdisable analyzer analyzer-nameミラーリング用のコマンドまたは J-Web 構成ページを使用して既存のアナライザーを無効にします。

注:

アナライザの出力として使用されるインターフェイスは、ファミリーとして設定する必要があります ethernet-switching

ローカルトラフィック分析用のポートミラーリングの構成

スイッチ上のインターフェイス トラフィックまたは VLAN トラフィックをスイッチ上の別のインターフェイスにミラーリングするには、次の方法に示します。

  1. この場合はアナライザの名前を選択し、入力を指定します。この場合、パケットは次を employee-monitor 入力 ge-0/0/0 します ge-0/0/1
  2. 必要に応じて、パケットの統計的なサンプリングを指定するには、次のように比率を設定します。

    比率が200に設定されている場合は、200パケットごとに1個が、analyzer にミラーリングされます。大量のミラー化されたトラフィックがスイッチのパフォーマンスに影響を与える可能性があるため、統計的サンプリングを使用して、ミラー化トラフィックの量を削減することができます。EX8200 スイッチでは、受信パケットに対してのみ比率を設定できます。

  3. ミラー化されたパケットの宛先インターフェイスを構成します。

リモートトラフィック解析のためのポートミラーリングの構成

インターフェイスを通過するトラフィックをミラーリングするには、またはスイッチ上の VLAN を VLAN に移動して、遠隔地から分析するには、以下のようにします。

  1. ミラー化されたトラフィックを伝送するように VLAN を設定します。この VLAN は、次のマニュアルで表記 remote-analyzer して、999 と呼ばれる ID に設定されています。
  2. ディストリビューション スイッチに接続されているアップリンク モジュール インターフェイスを設定してトランク モードVLANに関連付 remote-analyzer けます。
  3. アナライザーの設定:
    1. 名前を選択し、損失の優先度を「高」に設定します。リモートポートミラーリングの設定では、損失の優先度は常に高く設定する必要があります。
    2. ミラーリングするトラフィックを指定します(この例では、ポートに入るパケットと、 ge-0/0/0ge-0/0/1
    3. アナライザの remote-analyzer 出力としてVLANを指定します。
  4. 必要に応じて、パケットの統計的なサンプリングを指定するには、次のように比率を設定します。

    比率が200に設定されている場合は、200パケットごとに1つを分析にミラーリングします。この方法を使用して、ミラー化されたトラフィックの量を削減することができます。このため、非常に高い音量のトラフィックによって、スイッチのパフォーマンスが大幅に低下する可能性があります。

アナライザに移行するトラフィックのフィルタリング

どのパケットが analyzer にミラーリングされるかをフィルターするには、analyzer を作成してから、ファイアウォールフィルタのアクションとして使用します。ファイアウォールフィルターは、ローカルおよびリモートの両方のポートミラーリング構成で使用できます。

複数のフィルタまたは条件で同じ analyzer が使用されている場合、パケットは analyzer 出力ポートまたはアナライザ VLAN に1回だけコピーされる。

ミラー化されたトラフィックをフィルターするには、アナライザーを作成してから、ファイアウォールフィルターを作成します。フィルターは、利用可能な一致条件を任意に使用できます。アクションが必要です analyzer 。このファイアウォールフィルターのアクションによって、アナライザーへの入力が提供されます。

フィルターでポートミラーリングを構成するには、次のようにします。

  1. アナライザ名(こちら)と employee-monitor 出力を設定します。
    1. ローカル解析の場合、プロトコルアナライザアプリケーションを実行しているコンピューターを接続するローカルインターフェイスに出力を設定します。
    2. リモート分析では、損失の優先度を高に設定し、出力を VLAN に設定 remote-analyzer します。
  2. 使用可能な一致条件を使用してファイアウォール フィルタを作成し、以下のようにアクションを指定します analyzer

    このステップでは、 と呼ばれるファイアウォール フィルタ example-filter を、次の 2 つの用語で示します。

    1. 最初の条件を作成して、analyzer を通過してはならないトラフィックを定義します。
    2. 2つ目の用語を作成して、アナライザーに渡されるトラフィックを定義します。
  3. Analyzer に入力するインターフェイスまたは VLAN にファイアウォールフィルタを適用します。

EX シリーズスイッチでのポートミラーリングアナライザーの入力と出力の確認

目的

この検証タスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートしていない EX シリーズスイッチに Junos OS を使用しています。

スイッチにアナライザが作成され、適切なミラー入力インターフェイスと適切なアナライザ出力インターフェイスが備わっています。

アクション

コマンドを使用して、ポート ミラー アナライザが想定通りに設定されていることを確認 show analyzer できます。

設定モードで コマンドを使用すると、スイッチ上に設定されたポート ミラー アナライザ(無効化されたポート ミラー アナライザも含む) show ethernet-switching-options を表示できます。

この出力は、従業員の監視アナライザーが 1 (すべてのパケット、デフォルト)、損失のhigh優先度 (analyzer の出力が VLAN に対して、 highこのオプションをいつでも選択できます)、ミラー化されたトラフィックのミラーリングが、remote-analyzer というアナライザーに送信されていることを示しています。

例:従業員リソースの使用状況をローカルで監視するためのポートミラーリングアナライザーの構成

ジュニパーネットワークスを使用して、ポート ミラーリングを設定して、ローカル 監視用のローカル インターフェイス、VLAN、またはブリッジ ドメインにパケットのコピーを送信してリモート監視を行えます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN またはブリッジドメインを開始または終了するパケット

そして、プロトコル アナライザを使用して、ミラーリングしたトラフィックをローカルまたはリモートで分析できます。ローカルの宛先インターフェイスにアナライザをインストールできます。ミラーリング トラフィックをアナライザ VLAN またはブリッジ ドメインに送信する場合、リモート監視ステーションでアナライザを使用できます。

このトピックでは、スイッチングデバイスのローカルミラーリングを構成する方法について説明します。このトピックの例では、管理デバイスを構成して、従業員のコンピューターに接続されたインターフェイスに、同じデバイス上のアナライザ出力インターフェイスに移行するように設定する方法について説明します。

要件

次のいずれかのハードウェアおよびソフトウェアコンポーネントを使用します。

  • 1つの EX9200 スイッチと Junos OS リリース13.2 以降

  • Junos OS リリース14.1 以降を使用した1つの MX シリーズルーター

ポートミラーリングを構成する前に、ミラー化の概念を理解していることを確認してください。アナライザーの詳細については、「ポートミラーリングアナライザーについて」を参照してください。ポートミラーリングの詳細については、レイヤー2ポートミラーリングについてを参照してください。

概要とトポロジー

このトピックでは、スイッチングデバイス上のポートに入ってくるすべてのトラフィックを、同じデバイス上の宛先インターフェイス (ローカルミラーリング) にミラーリングする方法について説明します。この場合、トラフィックは従業員のコンピューターに接続されたポートを入力しています。

注:

すべてのトラフィックをミラーリングするには、広い帯域幅が必要であり、アクティブな調査時にのみ実行する必要があります。

インターフェイス ge、0/0/0、および ge-0/0/1 は従業員のコンピューターへの接続として機能します。

インターフェイス ge-0/0/10 は、ミラーリングされたトラフィックの分析用に予約されています。

プロトコル アナライザを実行している PC をアナライザの出力インターフェイスに接続します。

注:

1 つのインターフェイスにミラーリングされた複数のポートによってバッファー オーバーフローが発生し、その結果、ミラーリングされたパケットが出力インターフェースで破棄される可能性があります。

図 1は、この例のネットワークトポロジを示しています。

図 1: ローカルポートミラーリングのネットワークトポロジーの例ローカルポートミラーリングのネットワークトポロジーの例

ローカル分析用にすべての従業員トラフィックをミラーリング

手順

CLI クイック構成

従業員コンピューターに接続された 2 つのポートで送信されるイングレス トラフィックに対してローカル ミラーリングを迅速に設定するには、EX シリーズ スイッチまたは MX シリーズ ルーターに対して以下のいずれかのコマンドをコピーして、スイッチング デバイスの端末ウィンドウに貼り付けます。

EX シリーズ

MX シリーズ

順を追った手順

アナライザーを設定employee-monitorし、入力 (送信元) インタフェースとアナライザ出力インタフェースの両方を指定するには、次のようにします。

  1. アナライザ設定で使用する各インターフェイスを設定します。お使いのプラットフォームに適したファミリープロトコルを使用してください。

    インターフェイスで family bridge 設定するには、設定するか、設定 interface-mode access する interface-mode trunk 必要があります。構成vlan-idする必要もあります。

  2. 従業員コンピューターに接続された各インターフェイスを出力アナライザ インターフェイスとして設定します employee-monitor

  3. employee-monitor Analyzer の出力アナライザインターフェイスを構成します。

    これは、ミラー化されたパケットの宛先インターフェイスになります。

結果

構成の結果を確認してください。

検証

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェースemployee-monitorと適切な出力インターフェースを備えたスイッチングデバイス上に analyzer が作成されていることを確認します。

アクション

動作コマンド show forwarding-options analyzer を使用して、アナライザが期待通りに設定されていることを確認します。

出力では、アナライザの比率が 1(つまり、すべてのパケットのミラーリング、デフォルト設定)、ミラーリングされた元のパケットの最大サイズは 0(パケット全体がミラーリングされたことを示す)、設定の状態、アナライザが ge-0/0/0 インターフェイスに入るトラフィックのミラーリング、ミラーリングしたトラフィックの employee-monitorup ge-0/0/10 インターフェイスへの送信を示しています。

出力インターフェイスの状態が または 出力インターフェイスが設定されていない場合は、 の値はアナライザがミラーリング トラフィックを受信していないことを downStatedown 示します。

例:従業員リソースの使用をリモートで監視するためのポートミラーリングの構成

ジュニパーネットワークスデバイスでは、ポートミラーリングを構成して、ローカルの監視用にローカルインターフェイスにパケットのコピーを送信するか、リモートモニタリング用に VLAN またはブリッジドメインのいずれかへの複製を送付することができます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力または終了

  • ブリッジドメインに出入りするパケット

ミラーリング トラフィックをアナライザ VLAN またはブリッジ ドメインに送信する場合、リモート監視ステーションで実行されているプロトコル アナライザを使用してミラーリング トラフィックを分析できます。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次の作業を実行することをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

このトピックの例では、リモートポートミラーリングを構成して従業員リソースの使用状況を分析する方法について説明します。

要件

この例では、次のハードウェアとソフトウェアコンポーネントのペアを使用しています。

  • 別の EX9200 スイッチに接続されている1台の EX9200 スイッチ Junos OS リリース13.2 以降を実行しています。

  • 1つの MX シリーズルーターを別の MX シリーズルーターに接続します (Junos OS リリース14.1 以降を実行している場合)。

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。アナライザーの詳細については、「ポートミラーリングアナライザーについて」を参照してください。ポートミラーリングの詳細については、レイヤー2ポートミラーリングについてを参照してください。

  • このアナライザーが入力インターフェースとして使用するインターフェースは、すでにスイッチングデバイスに設定されています。

概要とトポロジー

このトピックでは、リモート 監視ステーションから分析を実行できるよう、リモート アナライザ VLAN またはブリッジ ドメインへのポート ミラーリングを設定する方法について説明します。

図 2EX シリーズの例と MX シリーズの事例の両方のネットワークトポロジを示します。

Topology

図 2: リモートポートのミラー化と分析のためのネットワークトポロジリモートポートのミラー化と分析のためのネットワークトポロジ

この例では以下のようになります。

  • インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスで、インターフェイス ge-0/0/1 は、従業員のコンピューターの接続として機能するレイヤー 3 インターフェイス(どちらもソース デバイス上のインターフェイス)です。

  • Interface ge-0/0/10 は、ソーススイッチングデバイスを宛先スイッチングデバイスに接続するレイヤー2インターフェースです。

  • インターフェイス ge-0/0/5 は、宛先スイッチングデバイスをリモート監視ステーションに接続するレイヤー2インターフェースです。

  • このアナライザー remote-analyzerは、ミラーリングされたトラフィックを伝送するために、トポロジー内のすべてのスイッチングデバイス上で設定します。このトポロジでは、VLAN またはブリッジ ドメインのいずれかを使用できます。

統計分析を使用したリモート分析への従業員トラフィックのミラーリング

すべての受信および発信の従業員トラフィックに対して、リモートトラフィック分析のための統計アナライザを構成するには、以下の例のいずれかを選択します。

EX シリーズスイッチのリモート分析用に従業員トラフィックをミラーリングする

CLI クイック構成

受信/送信する従業員トラフィックのリモート トラフィック分析用に統計分析を迅速に設定するには、EX シリーズ スイッチに対して以下のコマンドをコピーして、正しいスイッチング デバイスの端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソース スイッチング デバイスの 端末ウィンドウに貼り付けます。

    EX シリーズ

  • 宛先スイッチング デバイスの端末ウィンドウに 、以下 のコマンドをコピーして貼り付けます。

    EX シリーズ

順を追った手順

基本的なリモートミラーリングを構成するには

  1. ソーススイッチングデバイス上で、以下を実行します。

    • Vlan のremote-analyzer vlan ID を設定します。

    • アクセスモード用に宛先スイッチングデバイスに接続されたネットワークポート上のインターフェイスを構成し、 remote-analyzerそれを VLAN に関連付けます。

    • 統計分析employee-monitorを構成します。

    • 入力インターフェイスを含む FPC に統計分析をバインドします。

  2. 宛先ネットワークデバイスで、以下を実行します。

    • Vlan のremote-analyzer vlan ID を設定します。

    • 宛先スイッチングデバイスのインターフェイスをアクセスモード用に設定し、それをremote-analyzer VLAN に関連付けます。

    • アクセスモード用にターゲットスイッチングデバイスに接続されたインターフェイスを構成します。

    • アナライザーをemployee-monitor構成します。

    • employee-monitor Analyzer のレートや最大パケット長など、ミラーリングのパラメーターを指定します。

    • 入力ポートemployee-monitorを含む FPC に analyzer をバインドします。

結果

ソーススイッチングデバイスの設定結果を確認します。

宛先スイッチングデバイスの設定結果を確認します。

MX シリーズルーターのリモート分析のための従業員トラフィックのミラーリング

CLI クイック構成

受信/送信従業員トラフィックのリモート トラフィック分析用に統計分析を迅速に設定するには、MX シリーズ ルーターに対して以下のコマンドをコピーして、正しいスイッチング デバイスの端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソース スイッチング デバイスの 端末ウィンドウに貼り付けます。

    MX シリーズ

  • 宛先スイッチング デバイスの端末ウィンドウに 、以下 のコマンドをコピーして貼り付けます。

    MX シリーズ

順を追った手順

MX シリーズルーターを使用した基本的なリモートミラーリングを構成するには、次のとおりです。

  1. ソーススイッチングデバイス上で、以下を実行します。

    • remote-analyzerブリッジドメインの VLAN ID を設定します。

    • アクセスモード用に宛先スイッチングデバイスに接続されたネットワークポート上のインターフェイスを構成し、 remote-analyzerブリッジドメインに関連付けます。

    • 統計分析employee-monitorを構成します。

    • 入力インターフェイスを含む FPC に統計分析をバインドします。

  2. 宛先スイッチングデバイス上で、以下を実行します。

    • remote-analyzerブリッジドメインの VLAN ID を設定します。

    • 宛先スイッチングデバイス上でアクセスモード用のインターフェイスを構成し、 remote-analyzerブリッジドメインに関連付けます。

    • アクセスモード用にターゲットスイッチングデバイスに接続されたインターフェイスを構成します。

    • アナライザーをemployee-monitor構成します。

    • employee-monitor Analyzer のレートや最大パケット長など、ミラーリングのパラメーターを指定します。

    • 入力ポートemployee-monitorを含む FPC に analyzer をバインドします。

結果

ソーススイッチングデバイスの設定結果を確認します。

宛先スイッチングデバイスの設定結果を確認します。

検証

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェイスと適切な出力インターフェイスを備え、デバイスに名前の付いたアナライザが作成 employee-monitor されたと検証します。

アクション

Analyzer が正常に設定されていることを確認するには、ソーススイッチングデバイス上のすべてshow forwarding-options analyzerの従業員のトラフィックを監視するために、ソーススイッチングデバイス上でコマンドを実行します。この設定例では、次の出力が表示されます。

この出力は、インスタンスemployee-monitorの割合が2であること、ミラー化された元のパケットの最大サイズが128、構成upの状態、正常な状態、アナライザーがプログラムされていること、analyzer が「0/0/0.0」と「x 0/0/1.0」を入力したトラフィックをミラーリングし、ミラー化されたトラフィックを remote-analyzer という VLAN に送信しています。

出力インターフェイスの状態が、または出力インターフェイスが設定されていない場合は、 の値がダウンし、アナライザがトラフィックを監視 downState できない場合。

例:EX9200 スイッチでの従業員リソースの使用をリモートで監視するための複数のインターフェイスへのミラーリングの構成

EX9200は、ローカル監視用のローカル インターフェイスに、またはリモート監視用の VLAN にパケットのコピーを送信するミラーリングを設定できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN を出入りするパケット

ミラー化されたトラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化トラフィックを分析できます。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 使用していない場合は、構成済みのミラーリングアナライザーを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

この例では、analyzer VLAN 上の複数のインターフェイスに対してリモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3台の EX9200 スイッチ

  • EX シリーズスイッチの Junos OS リリース13.2 以降

リモートミラーリングを構成する前に、以下のことを確認してください。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

この例では、リモート 監視ステーションからの分析を実行できるよう、スイッチ上のポートに入るトラフィックをリモート アナライザ VLAN にミラーリングする方法について説明します。この例のリモートアナライザVLANには、複数のメンバー インターフェイスが含されています。そのため、ミラー化されたパケットをさまざまなリモート監視ステーションに送信できるようにするために、同じトラフィックをリモートのアナライザ VLAN のすべてのメンバーインターフェイスにミラーリングしています。スニファーや侵入検知システムなどのアプリケーションをリモートモニタリングステーションにインストールして、これらのミラー化されたパケットを分析し、有用な統計データを取得することができます。たとえば、2つのリモート監視ステーションがある場合、1台のリモート監視ステーションにスニファーをインストールし、もう一方のステーションに侵入検知システムを導入することができます。ファイアウォールフィルタアナライザ構成を使用して、特定のタイプのトラフィックをリモートモニタリングステーションに転送できます。

この例では、次ホップグループの複数のインターフェイスにトラフィックをミラーリングするようにアナライザーを構成し、トラフィックが分析用にさまざまな監視ステーションに送信されるように設定する方法について説明します。

図 3は、この例のネットワークトポロジを示しています。

図 3: リモートミラーリングの例次ホップグループで複数の VLAN メンバーインターフェイスを使用したネットワークトポロジリモートミラーリングの例次ホップグループで複数の VLAN メンバーインターフェイスを使用したネットワークトポロジ

Topology

この例では以下のようになります。

  • インターフェイス ge、0/0/0、および ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー2インターフェイス (ソーススイッチ上のインターフェイス) です。

  • インターフェイス、0/0/10、および ge-0/0/11 は、異なる宛先スイッチに接続されているレイヤー2インターフェイスです。

  • インターフェイス ge-0/0/12 は、宛先1スイッチをリモート監視ステーションに接続するレイヤー2インターフェースです。

  • インターフェイス ge-0/0/13 は、宛先2スイッチをリモート監視ステーションに接続するレイヤー2インターフェースです。

  • VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

すべての従業員トラフィックを複数の VLAN メンバーインターフェイスにミラーリングしてリモート分析を行う

複数の VLAN メンバーインターフェイスにミラーリングを設定して、受信および発信のすべての従業員トラフィックの分析を行うには、以下のタスクを実行します。

手順

CLI クイック構成

受信/送信する従業員トラフィックのリモート トラフィック分析用にミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • ソース スイッチ端末ウィンドウで、次のコマンドをコピー アンド ペーストします。

  • [Destination 1 switch terminal window]に、次のコマンドをコピー アンド ペーストします。

  • [Destination 2 switch terminal window]ウィンドウに、次のコマンドをコピー アンド ペーストします。

順を追った手順

基本的なリモートミラーリングを2つの VLAN メンバーインターフェイスに構成するには、次のようにします。

  1. ソーススイッチで:

    • Vlan のremote-analyzer vlan ID を設定します。

    • 宛先スイッチに接続されたネットワーク ポートのインターフェイスをアクセス モードに設定し、VLAN に関連付 remote-analyzer ける:

    • アナライザーのemployee-monitor設定:

      このアナライザ設定では、インターフェイス ge-0/0/0.0 および ge-0/0/1.0 と入出力するトラフィックは、 という名前のネクストホップ グループによって定義された出力宛先に送信されます。 remote-analyzer-nhg

    • ネクスト ホップ remote-analyzer-nhb グループを設定します。

  2. 宛先1スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • アクセスモードの場合は、宛先1スイッチに ge-0/0/10 インターフェイスを設定します。

    • アクセスモード用にリモートモニタリングステーションに接続するインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

  3. 宛先2スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • アクセスモードの場合は、宛先2スイッチに ge-0/0/11 インターフェイスを設定します。

    • アクセスモード用にリモートモニタリングステーションに接続するインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

結果

ソーススイッチの設定結果を確認します。

宛先1スイッチの設定結果を確認します。

宛先2スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェイスと適切な出力インターフェイスを使用して、スイッチに名前の付いたアナライザが作成 employee-monitor されたと検証します。

アクション

show forwarding-options analyzerコマンドを使用して、analyzer が期待どおりに設定されていることを確認できます。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show forwarding-options analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。以下の出力が、ソーススイッチでのこの例の構成で表示されます。

この出力では、アナライザの比率が1である(すべてのパケットをミラーリングし、 これはデフォルトの動作)で、設定の状態は適切な状態を示し、アナライザがプログラムされ、インターフェイス employee-monitorup ge-0/0/0 および ge-0/0/1 から出るトラフィックをミラーリングし、ミラーリングしたトラフィックを複数のインターフェイス ge-0/0/10.0 および ge-0/0/11.0 からネクスト ホップ グループから送信します。 remote-analyzer-nhg 出力インターフェイスの状態がdownある場合、または出力インターフェイスが構成されていない場合は、state の値はダウンし、analyzer はトラフィックをミラーリングできません。

例:EX9200 スイッチ上での移行スイッチによる従業員リソースの使用をリモートで監視するためのミラーリングの構成

EX9200 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力または終了

ミラー化されたトラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化トラフィックを分析できます。

このトピックでは、リモート監視ステーションから分析を実行できるよう、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してリモート アナライザ VLAN にミラーリングする方法について説明する例を示します。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

この例では、転送スイッチを介してリモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3つ目の EX9200 スイッチを介して別の EX9200 スイッチに接続された EX9200 スイッチ

  • EX シリーズスイッチの Junos OS リリース13.2 以降

リモートミラーリングを構成する前に、以下のことを確認してください。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

この例では、従業員のコンピューターからのすべてのトラフィックを分析するために、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して VLAN にミラーリングする方法 remote-analyzer について説明します。

この構成では、analyzer セッションを宛先スイッチに適用することにより、analyzer VLAN からの受信トラフィックをリモート監視ステーションの接続先の送信インターフェースにミラーリングする必要があります。

図 4は、この例のネットワークトポロジを示しています。

Topology

図 4: 伝送スイッチ経由でのリモートミラーリングのためのネットワーク監視伝送スイッチ経由でのリモートミラーリングのためのネットワーク監視

この例では以下のようになります。

  1. インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー3インターフェイス (ソーススイッチ上のインターフェイス) です。

  2. インターフェイス ge-0/0/10 は、通過スイッチに接続するレイヤー2インターフェースです。

  3. インターフェイス ge-0/0/11 は、伝送スイッチ上のレイヤー2インターフェースです。

  4. インターフェイス ge-0/0/12 は、伝送スイッチ上のレイヤー2インターフェースで、宛先スイッチに接続されます。

  5. インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー2インターフェースです。

  6. インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー2インターフェースで、リモート監視ステーションに接続します。

  7. VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

通過するスイッチを経由したリモート分析のために、すべての従業員トラフィックをミラーリングします。

通過スイッチを介してリモートトラフィック分析用のミラーリングを設定するには、着信および発信のすべての従業員トラフィックについて、以下のタスクを実行します。

手順

CLI クイック構成

通過スイッチを介してリモートトラフィック分析用のミラーリングを迅速に構成するには、受信および送信する従業員のトラフィックについて、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

  • ソーススイッチ (監視対象スイッチ) の端末ウィンドウで、以下のコマンドをコピーして貼り付けます。

  • 転送スイッチウィンドウで、以下のコマンドをコピーして貼り付けます。

  • 宛先スイッチに以下のコマンドをコピーして貼り付けます。

順を追った手順

通過スイッチを介してリモートミラーリングを構成するには、次の手順に従います。

  1. ソーススイッチで:

    • Vlan のremote-analyzer vlan ID を設定します。

    • トランジット スイッチに接続されたネットワーク ポートのインターフェイスをアクセス モードに設定し、VLAN に関連付 remote-analyzer ける:

    • アナライザーのemployee-monitor設定:

  2. 通過スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • ge-0/0/11 インターフェイスをアクセス モードに設定し、VLAN に関連付 remote-analyzer ける:

    • アクセス モード用に ge-0/0/12 インターフェイスを設定し、VLAN に関連付け、エグレス トラフィック用のインターフェイス remote-analyzer のみを設定します。

  3. 宛先スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • アクセス モード用に ge-0/0/13 インターフェイスを設定し、VLAN に関連付け、イングレス トラフィック用の remote-analyzer インターフェイスのみを設定します。

    • アクセスモード用にリモートモニタリングステーションに接続するインターフェイスを構成します。

    • アナライザーのremote-analyzer設定:

結果

ソーススイッチの設定結果を確認します。

次のように、伝送スイッチの構成結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

指定されたアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを備えてスイッチ上 employee-monitor に作成されている必要があります。

アクション

show forwarding-options analyzerコマンドを使用して、analyzer が期待どおりに設定されていることを確認できます。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show forwarding-options analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。この設定例では、以下の出力が表示されます。

この出力は、アナライザのミラーリング率が 1(すべてのパケットのミラーリング、デフォルト)、設定の状態(適切な状態を示す)、アナライザがプログラムされている、トラフィックが employee-monitorup ge-0/0/0 および ge-0/0/1 に入ってミラーリングし、ミラーリングしたトラフィックを「0/0/1」という名前のアナライザに送信している状態を示しています。 remote-analyzer 出力インターフェイスの状態がdownある場合、または出力インターフェイスが構成されていない場合は、state の値はダウンし、analyzer はトラフィックをミラーリングできません。

例:EX4300 スイッチでの従業員リソースの使用をローカルで監視するためのミラーリングの構成

注:

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、次の例を参照してください。EX シリーズスイッチの従業員リソースの使用状況をローカルで監視するためのポートミラーリングの構成ELS の詳細については、「拡張レイヤー2ソフトウェアの概要」を参照してください。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力

ミラーリング トラフィックをアナライザ VLAN に送信する場合は、ローカルの宛先インターフェイスに接続されたシステムにインストールされたプロトコル アナライザを使用するか、リモート監視ステーションを使用してミラーリング トラフィックを分析できます。

この例では、EX4300 スイッチ上でローカルミラーリングを設定する方法について説明します。この例では、従業員のコンピューターに接続されたインターフェイスを入力して、同じスイッチ上のアナライザ出力インターフェイスに移行するようにスイッチを設定する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの EX4300 スイッチ

  • Junos OS リリース 13.2 X50-D10 または EX シリーズスイッチ用

概要とトポロジー

このトピックでは、スイッチ上でポートを入力するトラフィックを同じスイッチ上の宛先インターフェイス (ローカルミラーリング) にミラー化する2つの例を示します。第1の例では、従業員のコンピューターに接続されたポートへのすべてのトラフィックをミラーリングする方法を示しています。2つ目の例では、同じシナリオを示していますが、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

インターフェイス ge、0/0/0、および ge-0/0/1 は従業員のコンピューターへの接続として機能します。Ge0/0/10 インターフェイスは、ミラートラフィックの分析用に予約されています。プロトコル・アナライザ・アプリケーションを実行している PC を analyzer の出力インターフェースに接続して、ミラー化されたトラフィックを分析します。

注:

複数のポートが1つのインターフェイスにミラーリングされると、バッファオーバーフローやパケットのドロップが発生する可能性があります。

どちらの例でも、で図 5示されているネットワークトポロジを使用します。

図 5: ローカルミラーリングのネットワークトポロジーの例ローカルミラーリングのネットワークトポロジーの例

ローカル分析用にすべての従業員トラフィックをミラーリング

すべての従業員トラフィックについて、ローカル分析用のミラーリングを設定するには、以下のタスクを実行します。

手順

CLI クイック構成

従業員のコンピューターに接続された2つのポートに受信トラフィック用のローカルミラーリングを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

アナライザーを設定employee-monitorし、入力 (送信元) インタフェースとアナライザ出力インタフェースを指定するには、次のようにします。

  1. アナライザー employee-monitorの入力インターフェースとして、従業員のコンピューターに接続された各インタフェースを設定します。

  2. VLAN の一部として、analyzer の出力インターフェースを設定します。

  3. Analyzer employee-monitorの出力アナライザインターフェイスを構成します。これは、ミラー化されたパケットの宛先インターフェイスになります。

結果

構成の結果を確認します。

従業員から Web へのトラフィックをローカル分析用にミラーリングする

従業員から Web トラフィックへのミラーリングを構成するには、以下のタスクを実行します。

手順

CLI クイック構成

従業員のコンピューターに接続された2つのポートから、外部 Web へのトラフィックのみがミラーリングされるようにフィルタリングすることで、トラフィックのローカルミラーリングを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末のウィンドウに貼り付けます。

順を追った手順

従業員のコンピューターに接続された2つのポートから Web トラフィックへの従業員のローカルミラーリングを設定するには、次のようにします。

  1. ローカル・アナライザ・インターフェースを設定します。

  2. employee-web-monitor出力インスタンスを設定します (インスタンスへの入力は、フィルタのアクションから取得されます)。

  3. 従業員の要求のミラー watch-employee化されたコピーを Web に送信するためのemployee-web-monitorファイアウォールフィルターを構成して、インスタンスに設定します。コーポレートサブネット (宛先または送信元のアドレスは 192.0.2.16/24) からのすべてのトラフィックを受け付けます。インターネット (宛先ポート 80) 宛てのすべてのパケットのミラーコピーをemployee-web-monitorインスタンスに送信します。

  4. 適切なwatch-employeeポートにフィルタを適用します。

結果

構成の結果を確認します。

検証

構成が正しいことを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

Analyzer employee-monitoremployee-web-monitorが、適切な入力インターフェースと適切な出力インターフェースでスイッチ上に作成されていることを確認します。

アクション

このshow forwarding-options analyzerコマンドを使用して、analyzer が適切に設定されていることを確認できます。

この出力は、アナライザの比率が 1(すべてのパケットのミラーリング、デフォルト設定)、ミラーリングされた元のパケットの最大サイズ(パケット全体を示す)、設定の状態(アップの場合)、アナライザがトラフィックを employee-monitor0 ge-0/0/0/0 に受信して、ge-0/0/1 インターフェイスをミラーリングして、ミラーリングしたトラフィックを ge-0/0/0/1 インターフェイスに送信している状態を示しています。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合は、状態の値が指定され、アナライザがミラーリングのために down プログラミングされません。

ポートミラーリングインスタンスが適切に構成されていることを確認します。

目的

適切な入力インターフェイスを使用して、スイッチ上でポート ミラーリング インスタンスが適切 employee-web-monitor に設定されていることを検証します。

アクション

show forwarding-options port-mirroringコマンドを使用して、ポートミラーリングインスタンスが適切に設定されていることを確認できます。

この出力は、インスタンスの比率が 1(すべてのパケットのミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(パケット全体を示す)、設定の状態がアップ、ポート ミラーリングがプログラムされ、ファイアウォール フィルター アクションからのミラーリング トラフィックがインターフェイス employee-web-monitor0 ge-0/0/10.0 上で送信される結果を示しています。出力インターフェイスの状態がダウンしている場合、またはインターフェイスが設定されていない場合、状態の値はダウンし、ポート ミラーリングのためにプログラミングされません。

例:EX4300 スイッチでの従業員リソースの使用をリモートで監視するためのミラーリングの構成

注:

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、次の例を参照してください。EX4300 スイッチでの従業員リソースの使用をリモートで監視するためのミラーリングの構成ELS の詳細については、以下を参照してください。強化されたレイヤー2ソフトウェアの概要をご紹介します。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • EX4300 のスイッチで VLAN に入っているパケット

ミラー化トラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。

このトピックには、リモート 監視ステーションから分析を実行するために、スイッチ上のポートに入るトラフィックをVLANにミラーリングする方法について説明する、2つの関連例 remote-analyzer が含まれています。第1の例では、従業員のコンピューターに接続されたポートへのすべてのトラフィックをミラーリングする方法を示しています。2つ目の例では、同じシナリオを示していますが、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

この例では、リモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 13.2 X50-D10 または EX シリーズスイッチ用

  • 別の EX4300 スイッチに接続された EX4300 スイッチ

図は、EX4300 宛先スイッチに接続された EX4300 バーチャルシャーシ示しています。

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

このトピックには、リモート 監視ステーションから分析を実行できるよう、VLAN へのミラーリングを設定する方法について説明する 2 つの関連 remote-analyzer 例が含まれています。1つ目の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2つ目の例は同じシナリオを示していますが、設定には、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

図 6は、この2つの例の両方のネットワークトポロジを示しています。

Topology

図 6: リモートミラーリングネットワークトポロジーの例リモートミラーリングネットワークトポロジーの例

この例では以下のようになります。

  1. インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー3インターフェイス (ソーススイッチ上のインターフェイス) です。

  2. インターフェイス ge-0/0/10 は、ソーススイッチを宛先スイッチに接続するレイヤー2インターフェースです。

  3. インターフェイス ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー2インターフェースです。

  4. VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

すべての従業員トラフィックをミラーリングしてリモート分析を行う

すべての着信および発信の従業員トラフィックに対して、リモートトラフィック分析のためのアナライザーを構成するには、以下のタスクを実行します。

手順

CLI クイック構成

受信および発信の従業員トラフィックに対するリモートトラフィック分析のためのアナライザーを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソーススイッチ端末ウィンドウに貼り付けます。

  • 宛先スイッチのターミナルウィンドウに以下のコマンドをコピーして貼り付けます。

順を追った手順

基本的なリモートポートミラーリングを構成するには、次のようにします。

  1. ソーススイッチで:

    • Vlan のremote-analyzer vlan ID を設定します。

    • リンク先スイッチに接続されたネットワーク ポートのインターフェイスを設定トランク モードVLANに関連付 remote-analyzer ける:

    • アナライザーのemployee-monitor設定:

  2. 宛先スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • トランクモードの宛先スイッチのインターフェイスを構成し、それをremote-analyzer VLAN に関連付けます。

    • トランクモードの宛先スイッチに接続されたインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

結果

ソーススイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

従業員から Web へのトラフィックをミラーリングしてリモート分析を行う

従業員対 Web トラフィックのリモートトラフィック分析用のポートミラーリングを構成するには、以下のタスクを実行します。

手順

CLI クイック構成

従業員のトラフィックを外部 Web にミラーリングするようにポートミラーリングを迅速に構成するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソーススイッチ端末ウィンドウに貼り付けます。

  • 宛先スイッチのターミナルウィンドウに以下のコマンドをコピーして貼り付けます。

順を追った手順

従業員のコンピューターに接続されている2つのポートからremote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを構成し、リモート監視ステーションから使用するには、以下のようにします。

  1. ソーススイッチで:

    • ポートミラーリングemployee-web-monitorインスタンスを構成します。

    • Vlan のremote-analyzer vlan ID を設定します。

    • remote-analyzer VLAN に関連付けるためのインターフェイスを設定します。

    • watch-employee次のようなファイアウォールフィルターを構成します。

    • 従業員インターフェイスにファイアウォールフィルターを適用します。

  2. 宛先スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • トランクモードの宛先スイッチのインターフェイスを構成し、それをremote-analyzer VLAN に関連付けます。

    • トランクモードの宛先スイッチに接続されたインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

結果

ソーススイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェイスとemployee-monitor適切employee-web-monitorな出力インターフェイスを備えたスイッチに、またはという名前のアナライザーが作成されていることを確認します。

アクション

show forwarding-options analyzerコマンドを使用して、analyzer が期待どおりに設定されていることを確認できます。以前に作成したアナライザーが無効になっていることを確認するには、J-Web インターフェイスにアクセスします。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。この設定例では、以下の出力が表示されます。

この出力は、インスタンスの比率が 1 (すべてのパケットのミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、設定の状態がアップしている(アナライザが適切な状態を示し、アナライザがプログラミングされている、 employee-monitor および ge-0/0/0 に入り、ge-0/0/1 に入るトラフィックをミラーリングして、呼び出された VLAN にミラーリング トラフィックを送信している)を示しています。 remote-analyzer 出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが構成されていない場合、state の値はダウンし、analyzer はミラーリングにはプログラムされません。

例:EX4300 スイッチ上での移行スイッチによる従業員リソースの使用をリモートで監視するためのミラーリングの構成

注:

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。

EX4300 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • EX4300 のスイッチで VLAN に入っているパケット

ミラー化トラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。

このトピックでは、リモート監視ステーションから分析を実行できるよう、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してVLANにミラーリングする方法について説明する例を remote-analyzer 示します。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

この例では、転送スイッチを介してリモートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3つ目の EX4300 スイッチを介して別の EX4300 スイッチに接続された EX4300 スイッチ

  • Junos OS リリース 13.2 X50-D10 または EX シリーズスイッチ用

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。

  • スイッチに設定されている入力インターフェイスとして、analyzer が使用するインターフェイスです。

概要とトポロジー

この例では、リモート監視ステーションからの分析を実行できるよう、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してVLANにミラーリングする方法 remote-analyzer について説明します。この例では、従業員のコンピューターからリモートアナライザーへのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。

この構成では、analyzer セッションを宛先スイッチに適用することにより、analyzer VLAN からの受信トラフィックをリモート監視ステーションの接続先の送信インターフェースにミラーリングする必要があります。VLAN のトランジット スイッチで MAC 学習を無効にし、トランジット スイッチ上の VLAN のメンバー インターフェイスすべてで MAC 学習を remote-analyzerremote-analyzer 無効にする必要があります。

図 7は、この例のネットワークトポロジを示しています。

Topology

図 7: トランジット スイッチ ネットワークを介したリモート ミラーリング –サンプル トポロジトランジット スイッチ ネットワークを介したリモート ミラーリング –サンプル トポロジ

この例では以下のようになります。

  • インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー3インターフェイス (ソーススイッチ上のインターフェイス) です。

  • インターフェイス ge-0/0/10 は、通過スイッチに接続するレイヤー2インターフェースです。

  • インターフェイス ge-0/0/11 は、伝送スイッチ上のレイヤー2インターフェースです。

  • インターフェイス ge-0/0/12 は、伝送スイッチ上のレイヤー2インターフェースで、宛先スイッチに接続されます。

  • インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー2インターフェースです。

  • インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー2インターフェースで、リモート監視ステーションに接続します。

  • VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

通過するスイッチを経由したリモート分析のために、すべての従業員トラフィックをミラーリングします。

通過スイッチを介してリモートトラフィック分析用のミラーリングを設定するには、着信および発信のすべての従業員トラフィックについて、以下のタスクを実行します。

手順

CLI クイック構成

通過スイッチを介してリモートトラフィック分析用のミラーリングを迅速に構成するには、受信および送信する従業員のトラフィックについて、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

  • ソーススイッチ (監視対象スイッチ) の端末ウィンドウで、以下のコマンドをコピーして貼り付けます。

  • 転送スイッチウィンドウで、以下のコマンドをコピーして貼り付けます。

  • 宛先スイッチに以下のコマンドをコピーして貼り付けます。

順を追った手順

通過スイッチを介してリモートミラーリングを構成するには、次の手順に従います。

  1. ソーススイッチで:

    • Vlan のremote-analyzer vlan ID を設定します。

    • 転送スイッチに接続されたネットワーク ポートのインターフェイスを設定してトランク モードVLAN に関連付 remote-analyzer ける:

    • アナライザーのemployee-monitor設定:

  2. 通過スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • インターフェイスのge-0/0/11インターフェイスを設定しトランク モードVLANに関連付 remote-analyzer ける:

    • インターフェイスを ge-0/0/12 設定しトランク モードVLANに関連付け、エグレス トラフィック用の remote-analyzer インターフェイスを設定します。

    • VLAN のメンバーであるすべてのインターフェイスで MAC 学習を無効にするには no-mac-learningremote-analyzer 、VLAN のオプションを設定 remote-analyzer します。

  3. 宛先スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • ge-0/0/13 インターフェイスを トランク モード に設定し、VLAN に関連付け、イングレス トラフィック用の remote-analyzer インターフェイスのみを設定します。

    • トランクモードのリモートモニタリングステーションに接続されたインターフェイスを構成します。

    • アナライザーのemployee-monitor設定:

結果

ソーススイッチの設定結果を確認します。

次のように、伝送スイッチの構成結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Analyzer が正しく作成されていることの確認

目的

指定されたアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを備えてスイッチ上 employee-monitor に作成されている必要があります。

アクション

このshow analyzerコマンドを使用して、analyzer が期待どおりに設定されているかどうかを確認できます。以前に作成したアナライザーが無効になっていることを確認するには、J-Web インターフェイスにアクセスします。

Analyzer が正常に設定されていることを確認し、ソーススイッチ上のすべての従業員show analyzerトラフィックを監視するには、ソーススイッチでコマンドを実行します。この設定例では、以下の出力が表示されます。

この出力は、アナライザの比率が 1(すべてのパケットをミラーリング、デフォルト)で employee-monitor 、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングし、ミラーリングしたトラフィックをアナライザに送信している結果を示しています。 remote-analyzer