ポートミラーリングとアナライザーの設定
ポート ミラーリング アナライザについて
ポートミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストしないルーターやスイッチのトラフィック分析に使用できます。ポートミラーリングは、すべてのパケットまたはポリシーベースのサンプルパケットのコピーをデータを監視および分析できるローカルまたはリモートのアナライザに送信します。
ポート ミラーリング アナライザの文脈では、 スイッチング デバイスという用語を使用します。この用語は、デバイス(ルーターを含む)がスイッチング機能を実行していることを示します。
パケットレベルでアナライザを使用して、以下のことを行うことができます。
-
ネットワークトラフィックの監視
-
ネットワーク使用ポリシーの適用
-
ファイル共有ポリシーの適用
-
問題の原因の特定
-
帯域幅使用が重いまたは異常なステーションまたはアプリケーションの特定
ポートミラーリングをミラーリングするように設定できます。
-
ブリッジングされたパケット(レイヤー2パケット)
-
ルーティングされたパケット(レイヤー 3 パケット)
ミラーリングされたパケットは、ローカル監視の場合はローカル インターフェイスに、リモート監視の場合は VLANまたはブリッジ ドメインにコピーできます。
以下のパケットをコピーできます。
-
ポートに出入りするパケット—ポートに出入りするパケットを任意の組み合わせで、最大256ポートでミラーリングできます。例えば、一部のポートに入るパケットと、他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。
-
VLANまたはブリッジドメインに出入りするパケット—VLANまたはブリッジドメインに出入りするパケットをローカルアナライザポートあるいはアナライザVLANまたはブリッジドメインにミラーリングできます。VLAN 範囲やプライベート VLAN(PVLAN)などのアナライザへのイングレス入力として複数の VLAN(最大 256 個)またはブリッジ ドメインを設定できます。
-
ポリシーベースのサンプルパケット—ポート、VLAN、またはブリッジドメインに入るパケットのポリシーベースのサンプルをミラーリングできます。ポリシーでファイアウォールフィルターを設定して、ミラーリングされるパケットを選択します。ポートミラーリングインスタンスあるいはアナライザVLANまたはブリッジドメインにサンプルを送信できます。
- アナライザの概要
- 統計アナライザの概要
- デフォルト アナライザの概要
- 複数の統計アナライザにバインドされたポートのグループでのポート ミラーリング
- ポート ミラーリング アナライザの用語
- ポート ミラーリング アナライザの設定ガイドライン
アナライザの概要
同じアナライザ設定で、入力トラフィックと出力トラフィックの両方を定義するようにアナライザを設定できます。分析される入力トラフィックは、インターフェイスまたは VLAN を出入りするトラフィックです。アナライザ設定により、このトラフィックを出力インターフェイス、インスタンス、ネクストホップグループ、VLAN、またはブリッジドメインに送信できます。 [edit forwarding-options analyzer] 階層レベルでアナライザを設定できます。
統計アナライザの概要
ミラーリング レートやトラフィックの最大パケット長など、ルーターまたはスイッチ上の物理ポートに明示的にバインドできるミラーリング プロパティのセットを定義できます。このミラーリングプロパティのセットは、統計アナライザ(非デフォルトアナライザとも呼ばれる)を構成します。このレベルでは、特定のFPCに関連付けられた物理ポートに名前付きインスタンスをバインドできます。
デフォルト アナライザの概要
ミラーリングプロパティ(ミラーリングレートやパケット長など)を設定せずにアナライザを設定できます。デフォルトでは、ミラーリング レートは 1 に設定され、最大パケット長はパケットの完全な長さに設定されます。これらのプロパティはグローバル レベルで適用され、特定の FPC にバインドする必要はありません。
複数の統計アナライザにバインドされたポートのグループでのポート ミラーリング
スイッチング デバイス上の同じポート グループに最大 2 つの統計アナライザを適用できます。2 つの異なる統計アナライザ インスタンスを同じ FPC またはパケット転送エンジンに適用することで、2 つの異なるレイヤー 2 ミラーリング仕様を単一のポート グループにバインドできます。FPCにバインドされたミラーリングプロパティは、スイッチングデバイス上でグローバルレベルでアナライザ(デフォルトアナライザ)プロパティを上書きします。デフォルト アナライザ プロパティは、同じポート グループに 2 つ目のアナライザ インスタンスをバインドすることで上書きされます。
ポート ミラーリング アナライザの用語
表1に 、ポートミラーリングアナライザの用語とその説明を示します。
| 用語 | 説明 |
|---|---|
アナライザ |
ミラーリング設定では、アナライザには以下が含まれます。
|
アナライザ出力インターフェイス (モニター ポートとも呼ばれます) |
ミラーリングされたトラフィックが送信され、プロトコル アナライザが接続されているインターフェイス。 アナライザへの出力として使用するインターフェイスは、 アナライザ出力インターフェイスには、以下の制限があります。
|
アナライザ VLAN またはブリッジ ドメイン (モニター VLAN またはブリッジ ドメインとも呼ばれます) |
プロトコル アナライザが送信されるミラーリングされたトラフィックの VLAN またはブリッジ ドメイン。モニター VLAN またはブリッジ ドメインのメンバー インターフェイスは、ネットワーク内のスイッチング デバイスに広がります。 |
ブリッジドメインベースのアナライザ |
入力、出力、または両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。 |
デフォルトアナライザ |
デフォルトのミラーリングパラメーターを持つアナライザ。デフォルトでは、ミラーリング レートは 1 であり、最大パケット長は完全なパケットの長さです。 |
入力インターフェイス (ミラーリングされたポートまたは監視対象インターフェイスとも呼ばれます) |
このインターフェイスに出入りするトラフィックがミラーリングされるスイッチングデバイス上のインターフェイス。 |
LAG ベースのアナライザ |
アナライザ設定の入力(イングレス)インターフェイスとして指定された LAG(リンク アグリゲーション グループ)を持つアナライザ。 |
ローカルミラーリング |
パケットがローカル アナライザ ポートにミラーリングされるアナライザ設定。 |
監視ステーション |
プロトコル アナライザを実行するコンピューター。 |
ネクストホップ グループに基づくアナライザ |
アナライザへの出力としてネクストホップグループを使用するアナライザ設定。 |
ポートベースのアナライザ |
入力および出力のインターフェイスを定義するアナライザ設定。 |
プロトコル アナライザ アプリケーション |
ネットワークセグメントで送信されるパケットを調べるために使用するアプリケーション。ネットワーク アナライザ、パケット スニッファー、またはプローブとも呼ばれます。 |
リモートミラーリング |
ローカルミラーリングと同じように機能しますが、ミラーリングされたトラフィックはローカルアナライザポートにはコピーされず、ミラーリングされたトラフィックの受信のために作成したアナライザVLANまたはブリッジドメインにフラッディングされます。ミラーリングされたパケットには、アナライザ VLAN またはブリッジ ドメインの追加外部タグが含まれます。 |
統計アナライザ (非デフォルト アナライザとも呼ばれます) |
スイッチ上の物理ポートに明示的にバインドできるミラーリングプロパティのセット。このアナライザ プロパティのセットは、統計アナライザと呼ばれます。 |
VLAN ベースのアナライザ |
VLAN を使用してミラーリングされたトラフィックをアナライザに配信するアナライザ設定。 |
ポート ミラーリング アナライザの設定ガイドライン
ポート ミラーリング アナライザを設定する場合。最大限のメリットが得られるように、これらのガイドラインに従うことを推奨します。使用していない場合はミラーリングを無効にし、すべてのインターフェイスでミラーリングを可能にする all キーワード オプションを使用するのではなく、特定のインターフェイスをアナライザへの入力として選択することをお勧めします。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。
ミラーリングされるトラフィックの量を制限することもできます。
-
統計サンプリングの使用
-
ファイアウォールフィルターの使用
-
統計サンプルを選択する比率の設定
ローカルミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットは破棄されます。ミラーリングされるトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。
表2は 、アナライザの設定ガイドラインをまとめたものです。
| ガイドライン |
価値またはサポート情報 |
コメント |
|---|---|---|
| 同時に有効にできるアナライザの数。 |
64 個のデフォルト アナライザ FPC–統計アナライザあたり 2 個 |
統計アナライザは、その FPC に属するポート上のトラフィックをミラーリングするために FPC にバインドされる必要があります。
注:
デフォルト アナライザ プロパティは、システム内のすべての FPC の最後の(または最後から 2 番目の)インスタンスで暗黙的にバインドされます。そのため、FPC 上の 2 つ目の統計アナライザを明示的にバインドすると、デフォルト アナライザ プロパティが上書きされます。 |
| アナライザへのイングレス入力として使用できるインターフェイス、VLAN、またはブリッジ ドメインの数。 |
256 |
– |
| トラフィックをミラーリングできないポートのタイプ。 |
|
|
| アナライザに含めることができるプロトコルファミリー。 |
|
アナライザは、ブリッジされたトラフィックのみをミラーリングします。ルーティングされたトラフィックをミラーリングするには、 |
| 物理層エラーがあるパケットは、ローカルまたはリモート アナライザに送信されません。 |
適用可能 |
これらのエラーがあるパケットは除外され、アナライザに送信されません。 |
| アナライザは、回線速度トラフィックをサポートしていません。 |
適用可能 |
回線速度トラフィックのミラーリングは、ベストエフォートベースで行われます。 |
| LAG インターフェイス上のアナライザ出力。 |
対応 |
|
| アナライザ出力インターフェイス モードをトランクモードとして使用します。 |
対応 |
|
| ホスト生成された制御パケットのエグレス ミラーリング。 |
未対応 |
|
| アナライザの |
未対応 |
|
| 同じ VLAN または VLAN 自体のメンバーを含むアナライザの入力および出力スタンザは避ける必要があります。 |
適用可能 |
|
| 異なるアナライザ セッションでの VLAN とそのメンバー インターフェイスのサポート |
未対応 |
ミラーリングが設定されている場合、アナライザのいずれかがアクティブになります。 |
| 集合型イーサネット(ae)インターフェイスと、異なるアナライザに設定されたその子論理インターフェイスのエグレス ミラーリング。 |
未対応 |
|
トラフィックを分析するための EX9200 スイッチのミラーリングの設定(CLI 手順)
EX9200スイッチではミラーリングを設定して、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、以下のパケットをコピーできます。
ポートを出入りするパケット
VLANを出入りするパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は設定したアナライザーを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計サンプリングを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
既存のアナライザを削除せずに追加のアナライザを作成したい場合は、コマンドラインインターフェイス(CLI)またはミラーリングのJ-Web設定ページから disable analyzer analyzer-name ステートメントを使用して、既存のアナライザを無効にします。
アナライザへの出力として使用されるインターフェイスは、 ethernet-switching familyで設定する必要があり、VLANに関連付ける必要があります。
- ローカルトラフィック分析用のアナライザの設定
- リモートトラフィック分析用のアナライザーの設定
- ローカルトラフィック分析に統計アナライザーを設定する
- リモートトラフィック分析に統計アナライザーを設定する
- FPC レベルでグループ化されたポートへの統計アナライザーのバインディング
- ネクストホップグループを使用して複数の宛先を持つアナライザーの設定
- レイヤー2ミラーリングのネクストホップグループの定義
ローカルトラフィック分析用のアナライザの設定
アナライザーを使用して、スイッチ上のネットワークトラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。
リモートトラフィック分析用のアナライザーの設定
スイッチ上のインターフェイスまたは VLAN を通過するトラフィックを、離れた場所からの分析に使用する VLAN にミラーリングするには:
ローカルトラフィック分析に統計アナライザーを設定する
統計アナライザーを使用して、スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。
リモートトラフィック分析に統計アナライザーを設定する
統計アナライザーを使用して離れた場所から分析するため、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには、以下を行います。
FPC レベルでグループ化されたポートへの統計アナライザーのバインディング
統計アナライザーをスイッチ内の特定のFPCにバインドできます。つまり、スイッチのFPCレベルで統計アナライザーインスタンスをバインドできます。統計アナライザーで指定されるミラーリングプロパティは、指定されたFPC上のすべてのパケット転送エンジンに関連付けられたすべての物理ポートに適用されます。
レイヤー2アナライザーの名前付きインスタンスをFPCにバインドするには:
スイッチ シャーシのプロパティの設定を有効にします。
[edit] user@switch# edit chassis
FPC(およびそのインストールされたPIC)の設定を有効にします。
[edit chassis] user@switch# edit fpc slot-number
統計アナライザーインスタンスをFPCにバインドします。
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(オプション)レイヤー2ミラーリングの2つ目の統計アナライザーインスタンスを同じFPCにバインドするには、ステップ3を繰り返し、別の統計アナライザー名を指定します。
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
バインディングの最小設定を検証します。
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
2つ目のインスタンス(この例ではstats_analyzer-2 )をバインディング時に、このセッションのミラーリングプロパティが設定されている場合、デフォルトアナライザーが上書きされます。
ネクストホップグループを使用して複数の宛先を持つアナライザーの設定
アナライザー出力としてネクストホップグループを設定することで、複数の宛先にトラフィックをミラーリングできます。複数の宛先へのパケットのミラーリングは、マルチパケットポートミラーリングとも呼ばれます。
スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。
レイヤー2ミラーリングのネクストホップグループの定義
[edit forwarding-options]設定レベルでのネクストホップグループ設定では、ネクストホップグループ名、ネクストホップグループで使用するアドレスのタイプ、およびトラフィックをミラーリングできる複数の宛先を形成する論理インターフェイスを定義できます。デフォルトでは、ネクストホップグループは、[edit forwarding-options next-hop-group next-hop-group-name group-type inet]ステートメントを使用したレイヤー3アドレスを使用して指定されます。代わりにレイヤー2アドレスを使用してネクストホップグループを指定するには、[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]ステートメントを含めます。
レイヤー2ミラーリングのネクストホップグループを定義するには:
トラフィックを分析するための EX4300 スイッチのミラーリングの設定(CLI 手順)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチで Junos OS を使用します。
EX4300スイッチではミラーリングを設定し、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANに入るパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング設定を無効にします。
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
ファイアウォールフィルターを使用してミラーリングされるトラフィックの量を制限します。
既存のアナライザを削除せずに追加のアナライザを作成したい場合は、コマンドラインインターフェイスまたはミラーリングのJ-Web設定ページから disable analyzer analyzer-name ステートメントを使用して、既存のアナライザを無効にします。
アナライザの出力として使用するインターフェイスは、 ethernet-switching ファミリーで設定する必要があります。
ローカルトラフィック分析用のアナライザの設定
スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。
リモートトラフィック分析用のアナライザーの設定
離れた場所から分析するため(アナライザを使用して)、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには:
ポートミラーリングの設定
ポートミラーリングインスタンスにミラーリングされるパケットをフィルタリングするには、インスタンスを作成し、それをファイアウォールフィルターのアクションとして使用します。ローカルとリモートの両方のミラーリング設定でファイアウォールフィルターを使用できます。
同じポートミラーリングインスタンスを複数のフィルターまたは条件で使用する場合、パケットはアナライザの出力ポートまたはアナライザVLANに1回のみコピーされます。
ミラーリングされたトラフィックをフィルターするには、 [edit forwarding-options] 階層レベルでポートミラーリングインスタンスを作成し、次にファイアウォールフィルターを作成します。フィルターは使用可能な一致条件のいずれかを使用でき、アクションとして port-mirror-instance instance-name を持っている必要があります。ファイアウォールフィルター設定でのこのアクションは、ポートミラーリングインスタンスへの入力を提供します。
ファイアウォールフィルターでポートミラーリングインスタンスを設定するには:
トラフィックを分析するためのポートミラーリングの設定(CLI手順)
この構成タスクでは、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルをサポートしない EXシリーズ スイッチで Junos OS を使用します。
EXシリーズスイッチでは、ポートミラーリングを設定して、パケットのコピーをローカル監視用のローカルインターフェイスまたはリモート監視用のVLANに送信できます。ポートミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
EX2200、EX3200、EX3300、EX4200、EX4500、または EX6200 スイッチの VLAN に入るパケット
EX8200スイッチ上のVLANから出るパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのポート ミラーリング アナライザを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計サンプリングを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
ポート ミラーリングの設定を開始する前に、アナライザ出力インターフェイスに関する以下の制限事項に留意してください。
送信元ポートとしても使用することはできません。
スイッチングには使用できません。
ポートミラーリング設定の一部である場合は、レイヤー2プロトコル(RSTPなど)には参加しないでください。
アナライザ出力インターフェイスとして設定される前に保持していたVLAN関連付けは保持しません。
既存のアナライザを削除せずに追加のアナライザを作成する場合は、まず disable analyzer analyzer-name コマンドまたはポートミラーリングのJ-Web設定ページを使用して既存のアナライザを無効にします。
アナライザの出力として使用するインターフェイスは、ファミリー ethernet-switchingとして設定する必要があります。
ローカルトラフィック分析用のポートミラーリングの設定
スイッチ上のインターフェイストラフィックまたはVLANトラフィックを、スイッチ上の別のインターフェイスにミラーリングするには:
リモートトラフィック分析用のポートミラーリングの設定
スイッチ上のインターフェイスまたはVLANを通過するトラフィックを、離れた場所からの分析用VLANにミラーリングするには:
アナライザに入るトラフィックをフィルタリングする
アナライザにミラーリングされるパケットをフィルタリングするには、アナライザを作成し、それをファイアウォール フィルターのアクションとして使用します。ローカルとリモートの両方のポートミラーリング設定でファイアウォールフィルターを使用できます。
同じアナライザを複数のフィルターや条件で使用する場合、パケットは一度だけアナライザ出力ポートまたはアナライザ VLAN にコピーされます。
ミラーリングされたトラフィックをフィルタリングするには、アナライザを作成してからファイアウォール フィルターを作成します。フィルターは、使用可能な一致条件のいずれかを使用でき、アクションが analyzerである必要があります。ファイアウォール フィルターのアクションにより、アナライザに入力が提供されます。
フィルターを使用してポートミラーリングを設定するには:
EXシリーズスイッチ上のポートミラーリングアナライザの入力と出力の検証
目的
この検証作業では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしない EXシリーズ スイッチに Junos OS を使用します。
アナライザがスイッチ上で作成され、適切なミラー入力インターフェイスと適切なアナライザ出力インターフェイスを備えていることを確認します。
アクション
ポートミラーアナライザが show analyzer コマンドを使用して、想定どおりに設定されていることを確認できます。
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
設定モードで show ethernet-switching-options コマンドを使用すると、無効になっているものも含め、スイッチ上で設定されているすべてのポートミラーアナライザを表示できます。
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
意味
この出力は、従業員監視アナライザの比率が1(すべてのパケットをミラーリング、デフォルト)、損失優先度 high (アナライザの出力がVLANにある場合は常にこのオプションを high に設定)がge-0/0/0およびge-0/0/1に入るトラフィックをミラーリングし、ミラーリングされたトラフィックをリモートアナライザと呼ばれるアナライザに送信していることを示しています。
例:従業員のリソース使用をローカル監視するためのポート ミラーリング アナライザの設定
ジュニパーネットワークスのデバイスでは、ポートミラーリングを設定して、ローカル監視の場合はローカルインターフェイス、リモート監視についてはVLANまたはブリッジドメインにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANまたはブリッジドメインを出入りするパケット
その後、プロトコルアナライザを使用して、ローカルまたはリモートでミラーリングされたトラフィックを分析できます。ローカルの宛先インターフェイスにアナライザをインストールできます。ミラーリングされたトラフィックをアナライザVLANまたはブリッジドメインに送信する場合、リモート監視ステーションでアナライザを使用できます。
このトピックでは、スイッチングデバイス上でローカルミラーリングを設定する方法について説明します。このトピックの例では、従業員のコンピューターに接続されたインターフェイスに入るトラフィックを、同じデバイス上のアナライザ出力インターフェイスにミラーリングするようにスイッチングデバイスを設定する方法を説明します。
要件
以下のハードウェアおよびソフトウェアコンポーネントのいずれか1つを使用します。
Junos OSリリース13.2以降を搭載したEX9200スイッチ1台
Junos OSリリース14.1以降を搭載したMXシリーズルーター1台
ポートミラーリングを設定する前に、ミラーリングの概念を必ず理解しておいてください。アナライザについては、 ポート ミラーリング アナライザについてを参照してください。ポートミラーリングについては、 レイヤー2ポートミラーリングについてを参照してください。
概要とトポロジー
このトピックでは、スイッチング デバイス上のポートに入るすべてのトラフィックを、同じデバイス上の宛先インターフェイスにミラーリングする(ローカル ミラーリング)方法について説明します。この場合、トラフィックは従業員のコンピューターに接続されたポートに入ります。
すべてのトラフィックをミラーリングするにはかなりの帯域幅が必要となります。調査進行中のみに実行してください。
インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続として機能します。
インターフェイスge-0/0/10は、ミラーリングされたトラフィックの分析用に予約されています。
プロトコルアナライザを実行しているPCをアナライザ出力インターフェイスに接続します。
1つのインターフェイスに複数のポートがミラーリングされるとバッファオーバーフローが発生し、その結果、ミラーリングされたパケットが出力インターフェイスでドロップする可能性があります。
図1 は、この例のネットワークトポロジーを示しています。
ローカル分析のための全従業員のトラフィックのミラーリング
手順
CLIクイックコンフィグレーション
従業員のコンピューターに接続された2つのポートで送信されたイングレストラフィックに対してローカルミラーリングを迅速に構成するには、EXシリーズスイッチまたはMXシリーズルーターに対して、以下のコマンドのいずれかをコピーして、スイッチングデバイスの端末ウィンドウにペーストします。
EXシリーズ
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MXシリーズ
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
ステップバイステップの手順
employee-monitorと呼ばれるアナライザを設定し、入力(ソース)インターフェイスとアナライザ出力インターフェイスの両方を指定するには:
アナライザ設定で使用される各インターフェイスを設定します。プラットフォームに適正なファミリプロトコルを使用します。
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
インターフェイス上で
family bridgeを設定するには、interface-mode accessまたはinterface-mode trunkも設定する必要があります。また、vlan-idの設定も必要です。MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
従業員のコンピューターに接続された各インターフェイスを、出力アナライザインターフェイス
employee-monitorとして設定します。[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
employee-monitorアナライザの出力アナライザインターフェイスを設定します。これがミラーリングされたパケットの宛先インターフェイスとなります。
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
結果
設定の結果を確認します。
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
検証
アナライザが正しく作成済みであることの確認
目的
アナライザ employee-monitor が、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチングデバイス上で作成されていることを確認します。
アクション
show forwarding-options analyzer操作コマンドを使用して、アナライザが想定通りに設定されていることを確認します。
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
意味
出力は、 employee-monitor アナライザの比率が 1(つまり、すべてのパケットをミラーリングする、デフォルト設定)、ミラーリングされた元のパケットの最大サイズは 0(パケット全体がミラーリングされていることを示す)、設定の状態は up、アナライザは ge-0/0/0 インターフェイスに入るトラフィックをミラーリングし、ミラーリングされたトラフィックを ge-0/0/10 インターフェイスに送信していることを示しています。
出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、 State の値は down となり、アナライザはミラーリングされたトラフィックを受信しないことを示します。
例:従業員リソース使用のリモート監視のためのポートミラーリングの設定
ジュニパーネットワークスのデバイスでは、ポートミラーリングを設定して、ローカル監視についてはローカルインターフェイスに、リモート監視についてはVLANまたはブリッジドメインにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
VLANを出入りするパケット
-
ブリッジドメインを出入りするパケット
ミラーリングされたトラフィックをアナライザ VLAN またはブリッジ ドメインに送信する場合、リモート監視ステーションで実行されているプロトコル アナライザを使用してミラーリングされたトラフィックを分析できます。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
-
使用していない時は、設定済みのミラーリング セッションを無効にします。
-
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
-
以下を行ってミラーリングするトラフィックの量を制限します。
-
統計サンプリングを使用します。
-
統計サンプルを選択する比率を設定します。
-
ファイアウォールフィルターを使用します。
-
このトピックの例では、従業員のリソースの使用を分析するリモートポートミラーリングを設定する方法を説明します。
要件
この例では、ハードウェアおよびソフトウェア コンポーネント以下のペアのいずれかを使用します。
-
別の EX9200 スイッチに接続された 1 台の EX9200 スイッチ(どちらも Junos OS リリース 13.2 以降を実行)
-
別のMXシリーズルーターに接続された1台のMXシリーズルーター(どちらもJunos OSリリース14.1以降を実行)
リモートミラーリングを設定する前に、必ず以下のようにしてください。
-
ミラーリングの概念を理解できました。アナライザについては、 ポート ミラーリング アナライザについてを参照してください。ポートミラーリングについては、 レイヤー2ポートミラーリングについてを参照してください。
-
アナライザが入力インターフェイスとして使用するインターフェイスは、すでにスイッチング デバイスで設定されています。
概要とトポロジー
このトピックでは、リモート監視ステーションから分析できるように、リモート アナライザ VLAN またはブリッジ ドメインへのポート ミラーリングを設定する方法について説明します。
図2は、EXシリーズの例とMXシリーズの例の両方のシナリオのネットワークトポロジーを示しています。
トポロジー
のためのネットワークトポロジー
この例では:
-
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(どちらも送信元デバイス上のインターフェイス)です。
-
インターフェイス ge-0/0/10 は、送信元スイッチング デバイスと宛先スイッチング デバイスを接続するレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/5 は、宛先スイッチングデバイスをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
-
アナライザ
remote-analyzerは、ミラーリングされたトラフィックを伝送するように、トポロジー内のすべてのスイッチングデバイス上で設定されています。このトポロジーでは、VLAN またはブリッジ ドメインのいずれかを使用できます。
統計アナライザを使用したリモート分析のための従業員トラフィックのミラーリング
すべての受信および送信トラフィックのリモート トラフィック分析用の統計アナライザを設定するには、以下の例のいずれかを選択します。
EXシリーズスイッチのリモート分析のための従業員トラフィックのミラーリング
CLIクイックコンフィグレーション
受信および送信従業員トラフィックのリモート トラフィック分析用の統計アナライザを迅速に設定するには、EXシリーズ スイッチに以下のコマンドをコピーして、正しいスイッチング デバイス端末ウィンドウに貼り付けます。
-
送信元スイッチングのデバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
EXシリーズ
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
-
宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
EXシリーズ
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップの手順
基本的なリモートミラーリングを設定するには:
-
送信元スイッチング デバイスで、以下のことを行います。
-
remote-analyzerVLANのVLAN IDを設定します。[edit] user@device# set vlans remote-analyzer vlan-id 999
-
アクセス モードで宛先スイッチング デバイスに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
統計アナライザ
employee-monitorを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
-
統計アナライザを、入力インターフェイスを含むFPCにバインドします。
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
-
宛先ネットワークデバイスで、以下のことを行います。
-
remote-analyzerVLAN の VLAN ID を設定します。[edit] user@device# set vlans remote-analyzer vlan-id 999
-
アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
アクセスモード向けに宛先スイッチングデバイスに接続されたインターフェイスを設定します。
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
-
employee-monitorアナライザを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
-
employee-monitorアナライザのレートや最大パケット長などのミラーリングパラメーターを指定します。[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
-
入力ポートを含むFPCに
employee-monitorアナライザをバインドします。[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
結果
送信元スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
宛先スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
MXシリーズルーターのリモート分析のための従業員トラフィックのミラーリング
CLIクイックコンフィグレーション
受信および送信トラフィックのリモート トラフィック分析用の統計アナライザを迅速に設定するには、MXシリーズルーターに以下のコマンドをコピーして、正しいスイッチング デバイス端末ウィンドウに貼り付けます。
-
送信元スイッチングのデバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
MXシリーズ
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
-
宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
MXシリーズ
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップの手順
MXシリーズルーターを使用して基本的なリモートミラーリングを設定するには:
-
送信元スイッチング デバイスで、以下のことを行います。
-
remote-analyzerブリッジドメインのVLAN IDを設定します。[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
-
アクセス モードで宛先スイッチング デバイスに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerブリッジ ドメインに関連付けます。[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
-
統計アナライザ
employee-monitorを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
-
統計アナライザを、入力インターフェイスを含むFPCにバインドします。
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
-
宛先スイッチング デバイスで、以下のことを行います。
-
remote-analyzerブリッジドメインのVLAN IDを設定します。[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
-
アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、
remote-analyzerブリッジ ドメインに関連付けます。[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
-
アクセスモード向けに宛先スイッチングデバイスに接続されたインターフェイスを設定します。
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
-
employee-monitorアナライザを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
従業員監視アナライザのレートや最大パケット長などのミラーリングパラメーターを指定します。
[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
-
入力ポートを含むFPCに
employee-monitorアナライザをバインドします。[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
結果
送信元スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
rate 2;
maximum-packet-length 128;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
宛先スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
検証
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つデバイス上で作成されていることを確認します。
アクション
送信元スイッチング デバイス上のすべての従業員トラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチング デバイスで show forwarding-options analyzer コマンドを実行します。この設定の例では、以下の出力が表示されます。
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
意味
この出力は、 employee-monitor インスタンスの比率が 2 であり、ミラーリングされた元のパケットの最大サイズが 128 であり、設定の状態が up であり(これは適切な状態であり、アナライザがプログラムされていることを示し)、アナライザが ge-0/0/0.0 および ge-0/0/1.0 に入るトラフィックをミラーリングし、ミラーリングされたトラフィックを remote-analyzer と呼ばれる VLAN に送信していることを示しています。
出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、 State の値はダウンし、アナライザはトラフィックを監視できません。
例:複数のインターフェイスへのミラーリングを構成して、EX9200 スイッチ上の従業員のリソース使用をリモート監視する
EX9200スイッチではミラーリングを設定し、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
VLANを出入りするパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
-
構成したミラーリング アナライザを使用しない場合は、無効にしてください。
-
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
-
以下を行ってミラーリングするトラフィックの量を制限します。
-
統計サンプリングを使用します。
-
統計サンプルを選択する比率を設定します。
-
ファイアウォールフィルターを使用します。
-
この例では、アナライザVLAN上の複数のインターフェイスへのリモートミラーリングを設定する方法を説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
3 台の EX9200 スイッチ
-
EXシリーズスイッチのJunos OSリリース13.2以降
リモートミラーリングを設定する前に、必ず以下のようにしてください。
-
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例では、スイッチ上のポートに入るトラフィックをリモート アナライザ VLAN にミラーリングして、リモート監視ステーションから分析を実行できるようにする方法を説明します。この例のリモートアナライザVLANには、複数のメンバーインターフェイスが含まれています。そのため、リモートアナライザVLANのすべてのメンバーインターフェイスに同じトラフィックがミラーリングされ、ミラーリングされたパケットを異なるリモート監視ステーションに送信できます。Sniffer や侵入検知システムなどのアプリケーションをリモート監視ステーションにインストールすることで、これらのミラーリングされたパケットを分析し、有用な統計データを取得できます。例えば、2つのリモート監視ステーションがある場合、一方のリモート監視ステーションにスニッファーを、もう一方のステーションに侵入検知システムをインストールできます。ファイアウォールフィルターアナライザ設定を使用して、特定のタイプのトラフィックをリモート監視ステーションに転送できます。
この例では、ネクストホップ グループの複数のインターフェイスにトラフィックをミラーリングし、トラフィックを異なる監視ステーションに送信して分析するようにアナライザを構成する方法を説明します。
図3は、この例のネットワークトポロジーを示しています。
で複数のVLANメンバーインターフェイスを使用したリモートミラーリングのネットワークトポロジー例
トポロジー
この例では:
-
インターフェイス ge-0/0/0 と ge-0/0/1 は、従業員コンピューターの接続として機能するレイヤー 2 インターフェイス(いずれも送信元スイッチのインターフェイス)です。
-
インターフェイスge-0/0/10とge-0/0/11は、異なる宛先スイッチに接続されたレイヤー2インターフェイスです。
-
インターフェイス ge-0/0/12 は、宛先 1 スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/13 は、宛先 2 スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
-
VLAN
remote-analyzerは、ミラーリングされたトラフィックを伝送するようにトポロジー内のすべてのスイッチで設定されています。
従業員の全トラフィックを複数の VLAN メンバー インターフェイスにミラーリングしてリモート分析を行う
複数のVLANメンバーインターフェイスへのミラーリングを構成し、従業員のすべての送受信トラフィックをリモートで分析するには、以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
ミラーリングを素早く構成して、従業員の送受信トラフィックをリモートで分析するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
-
ソース スイッチの端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
-
宛先 1 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
-
宛先 2 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
ステップバイステップの手順
2つのVLANメンバーインターフェイスに基本的なリモートミラーリングを設定するには:
-
送信元スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999 -
宛先スイッチに接続されているネットワークポート上のインターフェイスをアクセス モードで構成し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
このアナライザ構成では、インターフェイスge-0/0/0.0およびge-0/0/1.0に出入りするトラフィックは、
remote-analyzer-nhgという名前のネクストホップグループで定義された出力先に送信されます。 -
remote-analyzer-nhbネクストホップグループを設定します。[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
-
-
宛先 1 スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
宛先 1 スイッチの ge-0/0/10 インターフェイスをアクセス モードで構成します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
-
アクセス モードのリモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
-
-
宛先 2 スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
宛先 2 スイッチの ge-0/0/11 インターフェイスをアクセス モードで構成します。
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
-
アクセス モードのリモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
-
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
宛先 1 スイッチ上の設定の結果を確認します。
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
宛先 2 スイッチ上の設定の結果を確認します。
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show forwarding-options analyzerコマンドを使用して、アナライザが想定どおりに設定されていることを確認できます。
送信元スイッチ上のすべての従業員のトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上で show forwarding-options analyzer コマンドを実行します。この設定例では、ソース スイッチに以下の出力が表示されます。
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
意味
この出力は、 employee-monitor アナライザの比率が 1(すべてのパケットをミラーリングする、デフォルトの動作)、設定の状態が up (適切な状態であること、アナライザがプログラムされていることを示す) であり、インターフェイス Ge-0/0/0 と Ge-0/0/1 を出入りするトラフィックをミラーリングし、ネクストホップグループ remote-analyzer-nhgを介して複数のインターフェイス Ge-0/0/10.0 と Ge-0/0/11.0 にミラーリングされたトラフィックを送信することを示しています。出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。
例:EX9200 スイッチ上のトランジット スイッチを介して従業員リソース使用のリモート監視のためのミラーリングスイッチの設定
EX9200スイッチではミラーリングを設定して、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
VLANを出入りするパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してリモート アナライザ VLAN にミラーリングする方法を説明する例を紹介します。これにより、リモート監視ステーションから分析を実行できます。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
-
使用していない時は、設定済みのミラーリング セッションを無効にします。
-
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
-
以下を行ってミラーリングするトラフィックの量を制限します。
-
統計サンプリングを使用します。
-
統計サンプルを選択する比率を設定します。
-
ファイアウォールフィルターを使用します。
-
この例では、トランジット スイッチを介してリモート ミラーリングを設定する方法について説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
3 つめの EX9200 スイッチを介して他の EX9200 スイッチに接続された EX9200 スイッチ
-
EXシリーズスイッチのJunos OSリリース13.2以降
リモートミラーリングを設定する前に、必ず以下のようにしてください。
-
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例では、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して remote-analyzer VLAN にミラーリングする方法を説明します。これにより、従業員のコンピューターからのすべてのトラフィックを分析できます。
この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されているエグレス インターフェイスにミラーリングするために、宛先スイッチにアナライザ セッションが必要です。
図4は、この例のネットワークトポロジーを示しています。
トポロジー
を通したリモートミラーリングのネットワーク監視
この例では:
-
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
-
インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/11 は、トランジット スイッチ上のレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、宛先スイッチに接続します。
-
インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。
-
VLAN
remote-analyzerは、ミラーリングされたトラフィックを伝送するようにトポロジー内のスイッチすべてで設定されています。
トランジット スイッチを介してリモート分析用の全従業員のトラフィックのミラーリング
トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
-
送信元スイッチ(監視対象スイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
-
宛先スイッチウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
ステップバイステップの手順
トランジット スイッチを介してリモート ミラーリングを設定するには:
-
送信元スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
アクセス モードでトランジット スイッチに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
トランジット スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
アクセス モードの ge-0/0/11 インターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
-
アクセス モードの ge-0/0/12 インターフェイスを設定し、
remote-analyzerVLAN に関連付け、エグレス トラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
-
-
宛先スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
アクセス モードの ge-0/0/13 インターフェイスを設定し、
remote-analyzerVLAN に関連付け、イングレス トラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
-
アクセス モードのリモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
-
remote-analyzerアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
-
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
トランジット スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show forwarding-options analyzerコマンドを使用して、アナライザが想定どおりに設定されていることを確認できます。
送信元スイッチ上のすべての従業員のトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上で show forwarding-options analyzer コマンドを実行します。この設定例では、以下の出力が表示されます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
意味
この出力は、 employee-monitor アナライザのミラーリング比率が 1(すべてのパケットをミラーリングする、デフォルト)であり、設定の状態が up であり(これは適切な状態であり、アナライザがプログラムされており、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングしており、ミラーリングされたトラフィックを remote-analyzer と呼ばれるアナライザに送信していることを示しています)。出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。
例:EX4300 スイッチで従業員のリソース使用をローカル監視するためのミラーリングの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。スイッチがELSをサポートしていないソフトウェアを実行している場合は、 例:EXシリーズスイッチで従業員のリソース使用をローカル監視するためのポートミラーリングの設定を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアのスタートガイドを参照してください。
EX4300スイッチではミラーリングを設定し、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
VLANに入るパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合は、ローカルの宛先インターフェイスに接続されたシステムまたはリモート監視ステーションにインストールされたプロトコル アナライザを使用して、ミラーリングされたトラフィックを分析できます。
この例では、EX4300スイッチでローカルミラーリングを構成する方法について説明します。この例では、従業員のコンピューターに接続されたインターフェイスに入るトラフィックを、同じスイッチ上のアナライザ出力インターフェイスにミラーリングするようにスイッチを構成する方法を説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
EX4300スイッチ1台
-
EXシリーズスイッチのJunos OSリリース13.2X50-D10以降
概要とトポロジー
このトピックでは、スイッチのポートに入るトラフィックを、同じスイッチ上の宛先インターフェイスにミラーリングする方法(ローカルミラーリング)を 2 つの例として説明します。最初の例は、従業員のコンピューターに接続されたポートに入るすべてのトラフィックをミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックのみをミラーリングするフィルターが含まれています。
インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続として機能します。インターフェイス ge0/0/10 は、ミラーリングされたトラフィックの分析用に予約されています。プロトコル アナライザ アプリケーションが動作する PC をアナライザ出力インターフェイスに接続し、ミラーリングされたトラフィックを分析します。
1つのインターフェイスに複数のポートをミラーリングすると、バッファオーバーフローやパケットのドロップが発生する可能性があります。
どちらの例も、 図5に示すネットワークトポロジーを使用しています。
ローカル分析のための全従業員のトラフィックのミラーリング
ローカル分析のためにすべての従業員トラフィックのミラーリングを構成するには、以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
従業員のコンピューターに接続された 2 つのポートへのイングレス トラフィックにローカル ミラーリングを迅速に構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
ステップバイステップの手順
employee-monitorと呼ばれるアナライザを設定し、入力(ソース)インターフェイスとアナライザ出力インターフェイスを指定するには:
-
従業員のコンピューターに接続されている各インターフェイスを、アナライザ
employee-monitorの入力インターフェイスとして構成します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
-
アナライザの出力インターフェイスを VLAN の一部として構成します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
-
アナライザ
employee-monitorに出力アナライザインターフェイスを設定します。これがミラーリングされたパケットの宛先インターフェイスとなります。[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
結果
設定の結果を確認します。
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
ローカル分析のための従業員からWebへのトラフィックのミラーリング
従業員から Web へのトラフィックのミラーリングを構成するには、以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
従業員のコンピューターに接続された 2 つのポートからのトラフィックのローカル ミラーリングを迅速に構成し、外部 Web へのトラフィックのみがミラーリングされるようにフィルタリングを行うには、次のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
ステップバイステップの手順
従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ミラーリングを構成するには:
-
ローカルアナライザインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
-
employee-web-monitor出力インスタンスを設定します(インスタンスへの入力はフィルターのアクションから)。[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
-
watch-employeeと呼ばれるファイアウォールフィルターを設定して、従業員のWebへのリクエストのミラーコピーをemployee-web-monitorインスタンスに送信します。企業サブネット(宛先または送信元アドレスが192.0.2.16/24)との間のすべてのトラフィックを受け付けます。インターネット宛(宛先ポート 80)のすべてのパケットのミラー コピーをemployee-web-monitorインスタンスに送信します。[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
-
watch-employeeフィルターを適切なポートに適用します。[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
結果
設定の結果を確認します。
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
検証
設定が正しいことを確認するために、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
アナライザ employee-monitor または employee-web-monitor が、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show forwarding-options analyzerコマンドを使用して、アナライザが正しく設定されていることを確認できます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
意味
この出力は、アナライザ employee-monitor の比率が1(すべてのパケットをミラーリング、デフォルト設定)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、設定の状態(is up は、アナライザが ge-0/0/0、ge-0/0/1 インターフェイスに入るトラフィックをミラーリングし、ミラーリングされたトラフィックを ge-0/0/10 インターフェイスに送信していることを示す)を示します。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合、状態の値は down され、アナライザにミラーリングのプログラムは行われません。
ポートミラーリングインスタンスが正しく設定されていることを確認する
目的
ポートミラーリングインスタンス employee-web-monitor が、適切な入力インターフェイスでスイッチ上で正しく設定されていることを確認します。
アクション
show forwarding-options port-mirroringコマンドを使用することで、ポートミラーリングインスタンスが正しく設定されていることを確認できます。
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
意味
この出力は、 employee-web-monitor インスタンスの比率が1(すべてのパケットをミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、設定の状態がアップでポートミラーリングがプログラムされていること、ファイアウォールフィルターアクションからのミラーリングされたトラフィックがインターフェイスge-0/0/10.0で送信されていることを示しています。出力インターフェイスの状態がダウンしている場合、またはインターフェイスが設定されていない場合、状態の値はダウンとなり、ポートミラーリングはミラーリング用にプログラムされません。
例:EX4300 スイッチでの従業員リソース使用のリモート監視のためのミラーリングの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例:EX4300 スイッチで従業員リソース使用のリモート監視のためのミラーリングの設定を参照してください。ELS の詳細については、 拡張レイヤー 2 ソフトウェアのスタートガイドを参照してください。
EX4300スイッチではミラーリングを設定し、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
EX4300スイッチ上のVLANに入るパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、関連する 2 つの例として、リモート監視ステーションから分析を実行できるように、スイッチ上のポートに入るトラフィックを remote-analyzer VLAN にミラーリングする方法について説明します。最初の例は、従業員のコンピューターに接続されたポートに入るすべてのトラフィックをミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックのみをミラーリングするフィルターが含まれています。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
-
使用していない時は、設定済みのミラーリング セッションを無効にします。
-
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
-
ファイアウォールフィルターを使用してミラーリングされるトラフィックの量を制限します。
この例では、リモート ミラーリングの設定方法を説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
EXシリーズスイッチのJunos OSリリース13.2X50-D10以降
-
他の EX4300 スイッチに接続された EX4300 スイッチ
この図は、EX4300 宛先スイッチに接続された EX4300 バーチャルシャーシを示しています。
リモートミラーリングを設定する前に、必ず以下のようにしてください。
-
ミラーリングの概念を理解できました。
-
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
このトピックでは、関連する 2 つの例として、リモート監視ステーションから分析を実行できるように remote-analyzer VLAN へのミラーリングを設定する方法について説明します。最初の例は、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
図6は、これら両方の例のシナリオのネットワークトポロジーを示しています。
トポロジー
この例では:
-
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
-
インターフェイス ge-0/0/10 は、送信元スイッチと宛先スイッチを接続するレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
-
VLAN
remote-analyzerは、ミラーリングされたトラフィックを伝送するようにトポロジー内のスイッチすべてで設定されています。
すべての従業員のトラフィックをミラーリングしてリモート分析
従業員のすべての送受信トラフィックを対象としたリモートトラフィック分析用のアナライザを設定するには、次のタスクを実行します。
手順
CLIクイックコンフィグレーション
従業員の送受信トラフィックをリモートで分析するアナライザをすばやく設定するには、以下のコマンドをコピーしてスイッチのターミナルウィンドウに貼り付けます。
-
送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップの手順
基本的なリモートポートミラーリングを設定するには:
-
送信元スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999 -
宛先スイッチに接続されているネットワークポート上のインターフェイスをトランクモード用に構成し、
remote-analyzerVLANに関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
宛先スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
宛先スイッチ上のインターフェイスを トランクモード に構成し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
トランクモード用に宛先スイッチに接続されているインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
-
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
従業員から Web サイトへのトラフィックをミラーリングしてリモート分析
従業員から Web サイトへのリモートトラフィック分析のためにポートミラーリングを設定するには、以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
従業員のトラフィックを外部の Web にミラーリングするポートミラーリングを素早く設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
-
送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
-
宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
ステップバイステップの手順
リモート監視ステーションから使用するために、従業員のコンピューターに接続された 2 つのポートから remote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを設定するには:
-
送信元スイッチ上:
-
employee-web-monitorポートミラーリングインスタンスを設定します。[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
remote-analyzerVLAN に関連付けるようにインターフェイスを設定します。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
watch-employeeと呼ばれるファイアウォールフィルターを設定します。[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
-
従業員のインターフェイスにファイアウォールフィルターを適用します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
-
-
宛先スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
宛先スイッチ上のインターフェイスを トランクモード に構成し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
トランクモード用に宛先スイッチに接続されているインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
-
employee-monitorアナライザーを設定します。[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
-
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitor または employee-web-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show forwarding-options analyzerコマンドを使用して、アナライザが想定どおりに設定されていることを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。
送信元スイッチ上のすべての従業員のトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチで show analyzer コマンドを実行します。この設定の例では、以下の出力が表示されます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
意味
この出力は、 employee-monitor インスタンスの比率が1(すべてのパケットをミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(0はパケット全体を示す)、設定の状態がup(適切な状態であり、アナライザーがプログラムされており、ge-0/0/0およびge-0/0/1に入るトラフィックをミラーリングし、ミラーリングされたトラフィックを remote-analyzerというVLANに送信していることを示しています).出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合、状態の値はダウンとなり、アナライザにミラーリングのプログラムは行われません。
例:EX4300 スイッチ上のトランジット スイッチを介して従業員のリソース使用をリモート監視するためのミラーリングスイッチの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。
EX4300スイッチではミラーリングを設定し、ローカル監視用にローカルインターフェイスに、リモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
-
ポートを出入りするパケット
-
EX4300スイッチ上のVLANに入るパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して remote-analyzer VLAN にミラーリングする方法を説明する例を紹介します。これによって、リモート監視ステーションから分析を実行できるようになります。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
-
使用していない時は、設定済みのミラーリング セッションを無効にします。
-
すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。
-
ファイアウォールフィルターを使用してミラーリングされるトラフィックの量を制限します。
この例では、トランジット スイッチを介してリモート ミラーリングを設定する方法について説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
-
3 つめの EX4300 スイッチを介して他の EX4300 スイッチに接続された EX4300 スイッチ
-
EXシリーズスイッチのJunos OSリリース13.2X50-D10以降
リモートミラーリングを設定する前に、必ず以下のようにしてください。
-
ミラーリングの概念を理解できました。
-
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例では、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して remote-analyzer VLAN にミラーリングする方法を説明します。これにより、リモート監視ステーションから分析を実行できます。この例では、従業員のコンピューターからリモート アナライザにすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。
この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されているエグレス インターフェイスにミラーリングするために、宛先スイッチにアナライザ セッションが必要です。トランジット スイッチ上の remote-analyzer VLAN のすべてのメンバー インターフェイスに対して MAC 学習を無効にするように、トランジット スイッチ上の remote-analyzer VLAN の MAC 学習を無効にする必要があります。
図7は、この例のネットワークトポロジーを示しています。
トポロジー
この例では:
-
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
-
インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/11 は、トランジット スイッチ上のレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、宛先スイッチに接続します。
-
インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。
-
インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。
-
VLAN
remote-analyzerは、ミラーリングされたトラフィックを伝送するようにトポロジー内のスイッチすべてで設定されています。
トランジット スイッチを介してリモート分析用の全従業員のトラフィックのミラーリング
トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。
手順
CLIクイックコンフィグレーション
トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
-
送信元スイッチ(監視対象スイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
-
宛先スイッチウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
ステップバイステップの手順
トランジット スイッチを介してリモート ミラーリングを設定するには:
-
送信元スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
トランジット スイッチに接続されたネットワーク ポート上のインターフェイスを トランクモード に構成し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
トランジット スイッチ上:
-
remote-analyzerVLANのVLAN IDを設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
トランクモードのge-0/0/11インターフェイスを設定し、
remote-analyzerVLANに関連付けます。[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
-
トランクモードの
ge-0/0/12インターフェイスを設定し、remote-analyzerVLANに関連付け、エグレストラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
-
remote-analyzerVLAN のno-mac-learningオプションを設定して、remote-analyzerVLAN のメンバーであるすべてのインターフェイスで MAC 学習を無効にします。[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
-
-
宛先スイッチ上:
-
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
トランクモードのge-0/0/13インターフェイスを設定し、
remote-analyzerVLANに関連付け、イングレストラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
-
トランクモードのリモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
-
employee-monitorアナライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
-
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
トランジット スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show analyzerコマンドを使用して、アナライザが想定どおりに設定されているかどうかを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。
送信元スイッチ上のすべての従業員のトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上で show analyzer コマンドを実行します。この設定例では、以下の出力が表示されます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
意味
この出力は、 employee-monitor アナライザの比率が 1(すべてのパケットをミラーリング、デフォルト)であり、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングし、ミラーリングされたトラフィックをアナライザ remote-analyzerに送信していることを示しています。