Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポートミラーリングとアナライザーの設定

ポート ミラーリング アナライザの理解

ポート ミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストしないルーターとスイッチのトラフィック分析に使用できます。ポート ミラーリングは、すべてのパケットまたはポリシー ベースのサンプル パケットのコピーをデータを監視および分析できるローカルまたはリモート アナライザに送信します。

ポート ミラーリング アナライザの文脈では、スイッチング デバイスという用語を使用します。この用語は、デバイス(ルーターを含む)がスイッチング機能を実行していることを示します。

パケット レベルでアナライザを使用して、以下の活動をサポートできます。

  • ネットワーク トラフィックの監視

  • ネットワーク使用ポリシーの適用

  • ファイル共有ポリシーの適用

  • 問題の原因の特定

  • 帯域幅使用が重いまたは異常なステーションまたはアプリケーションの特定

ミラーリングするポート ミラーリングを設定できます。

  • ブリッジングされたパケット(レイヤー 2 パケット)

  • ルーティングされたパケット(レイヤー 3 パケット)

ミラーリングされたパケットは、ローカル監視の場合はローカル インターフェイスに、リモート監視の場合は VLANブリッジ ドメインにコピーできます。

以下のパケットをコピーできます。

  • Packets entering or exiting a port—最大 256 ポートでポートに入るまたは出るパケットを任意の組み合わせでミラーリングできます。例えば、一部のポートに入るパケットと、他のポートから出るパケットのコピーを同じローカル アナライザ ポートまたはアナライザ VLAN に送信できます。

  • Packets entering or exiting a VLAN or bridge domain—VLAN またはブリッジ ドメインに出入りするパケットをローカル アナライザ ポートあるいはアナライザ VLAN またはブリッジ ドメインにミラーリングできます。VLAN 範囲や PVLAN(プライベート VLAN)などのアナライザへのイングレス入力として複数の VLAN (最大 256 個)またはブリッジ ドメインを設定できます。

  • Policy-based sample packets—ポート、VLAN、またはブリッジ ドメインに入るパケットのポリシー ベースのサンプルをミラーリングできます。ポリシーでファイアウォール フィルターを設定して、ミラーリングされるパケットを選択します。ポートミラーリング インスタンスあるいはアナライザ VLAN またはブリッジ ドメインにサンプルを送信できます。

アナライザの概要

アナライザを設定して、同じアナライザ設定で入力トラフィックと出力トラフィックの両方を定義できます。分析される入力トラフィックは、インターフェイスまたは VLAN を出入りするトラフィックです。アナライザ設定によって、このトラフィックを出力インターフェイス、インスタンス、ネクストホップ グループ、VLAN、またはブリッジ ドメインに送信できます。階[edit forwarding-options analyzer]層レベルでアナライザを設定できます。

統計アナライザの概要

ルーターまたはスイッチ上の物理ポートに明示的にバインドできる、ミラーリング レートやトラフィックの最大パケット長などのミラーリング プロパティのセットを定義できます。このミラーリング プロパティのセットは、統計アナライザ(非デフォルト アナライザとも呼ばれる)を構成します。このレベルでは、特定の FPC に関連付けられた物理ポートに名前付きインスタンスをバインドできます。

デフォルト アナライザの概要

ミラーリング プロパティ(ミラーリング レートやパケット長など)を設定せずにアナライザを設定できます。デフォルトでは、ミラーリング レートは 1 に設定され、最大パケット長はパケットの完全な長さに設定されます。これらのプロパティはグローバル レベルで適用され、特定の FPC にバインドされる必要はありません。

複数の統計アナライザにバインドされたポートのグループでのポート ミラーリング

スイッチング デバイス上の同じポート グループに最大 2 つの統計アナライザを適用できます。2 つの異なる統計アナライザ インスタンスを同じ FPC またはパケット転送エンジンに適用することで、2 つの異なるレイヤー 2 ミラーリング仕様を単一ポート グループにバインドできます。FPC にバインドされたプロパティのミラーリング プロパティは、スイッチング デバイス上でグローバル レベルでアナライザ(デフォルト アナライザ)プロパティを上書きします。デフォルト アナライザ プロパティは、同じポート グループに 2 つ目のアナライザ インスタンスをバインドすることで上書きされます。

ポート ミラーリング アナライザの用語

表 1 は、ポート ミラーリング アナライザの用語とその説明を示します。

表 1: アナライザの用語
用語 説明

アナライザ

ミラーリング設定では、アナライザには以下が含まれます。

  • アナライザの名前

  • 送信元(入力)ポート、VLAN、またはブリッジ ドメイン

  • ミラーリングされたパケット(ローカル ポート、VLAN、またはブリッジ ドメイン)の宛先

アナライザ出力インターフェイス

(モニター ポートとも呼ばれます)

ミラーリングされたトラフィックが送信され、プロトコル アナライザが接続されているインターフェイス

アナライザへの出力として使用されるインターフェイスは、 階forwarding-options層レベルで設定する必要があります。

アナライザ出力インターフェイスには、以下の制限があります。

  • 送信元ポートでもありません。

  • スパニング ツリー プロトコル(STP)などのレイヤー 2 プロトコルには参加しません。

  • アナライザ出力インターフェイスの帯域幅が送信元ポートのトラフィックを処理するには不十分な場合、オーバーフロー パケットが破棄されます。

アナライザ VLAN またはブリッジ ドメイン

(モニター VLAN またはブリッジ ドメインとも呼ばれます)

プロトコル アナライザが送信され、ミラーリングされたトラフィックに使用される VLAN またはブリッジ ドメイン。モニター VLAN またはブリッジ ドメインのメンバー インターフェイスは、ネットワーク内のスイッチング デバイスに広がります。

ブリッジドメインベースのアナライザ

入力、出力、または両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。

デフォルト アナライザ

デフォルトのミラーリング パラメーターがあるアナライザ。デフォルトでは、ミラーリング レートは 1 であり、最大パケット長は完全なパケットの長さです。

入力 インターフェイス

(ミラーリングされたポートまたは監視対象インターフェイスとも呼ばれます)

このインターフェイスに出入りするトラフィックがミラーリングされるスイッチング デバイス上のインターフェイス。

LAG ベースのアナライザ

アナライザ設定の入力(イングレス)として指定された LAG(リンク アグリゲーション グループ)を持つアナライザ。

ローカル ミラーリング

ローカル アナライザ ポートにパケットがミラーリングされるアナライザ設定。

監視ステーション

プロトコル アナライザを実行するコンピューター。

ネクストホップ グループをベースにしたアナライザ

アナライザへの出力としてネクストホップ グループを使用するアナライザ設定。

ポートベースのアナライザ

入力および出力のインターフェイスを定義するアナライザ設定。

プロトコル アナライザ アプリケーション

ネットワーク セグメントで送信されるパケットを調べるのに使用されるアプリケーション。ネットワーク アナライザ、パケット スニッファー、またはプローブとも呼ばれます。

リモート ミラーリング

ローカル ミラーリングと同じように機能します。ただし、ミラーリングされたトラフィックはローカル アナライザ ポートにはコピーされず、ミラーリングされたトラフィックの受信のために作成したアナライザ VLAN またはブリッジ ドメインにフラッディングされます。ミラーリングされたパケットには、アナライザ VLAN またはブリッジ ドメインの追加外部タグが含まれます。

統計アナライザ

(非デフォルト アナライザとも呼ばれます)

スイッチ上の物理ポートに明示的にバインドできるミラーリング プロパティのセット。このアナライザ プロパティのセットは、統計アナライザと呼ばれます。

VLAN ベースのアナライザ

VLAN を使用してミラーリングされたトラフィックをアナライザに提供するアナライザ設定。

ポート ミラーリング アナライザの設定ガイドライン

ポート ミラーリング アナライザを設定する場合、最大限のメリットが得られるようにこれらのガイドラインに従うことを推奨します。使用していない場合、ミラーリングを無効にし、すべてのインターフェイスでミラーリングを可能にする キーワーallド オプションを使用するのではなく、特定のインターフェイスをアナライザへの入力として選択することを推奨します。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。

ミラーリングされたトラフィックの量を制限することもできます。

  • 統計サンプリングの使用

  • ファイアウォール フィルターの使用

  • 統計サンプルを選択する比率の設定

ローカル ミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットが破棄されます。ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。

表 2 は、アナライザの設定ガイドラインをまとめています。

表 2: ポート ミラーリング アナライザの設定ガイドライン

ガイドライン

価値またはサポート情報

コメント

同時に有効にできるアナライザの数。

64 個のデフォルト アナライザ

FPC–統計アナライザあたり 2 個

統計アナライザは、その FPC に属すポート上のトラフィックをミラーリングするため FPC にバインドされる必要があります。

注:

デフォルト アナライザ プロパティは、システム内のすべての FPC の最後の(または最後から 2 番目の)インスタンスで暗示的にバインドされます。そのため、FPC 上の 2 つ目の統計アナライザを明示的にバインドすると、デフォルト アナライザ プロパティが上書きされます。

アナライザへのイングレス入力として使用できるインターフェイス、VLAN、またはブリッジ ドメインの数。

256

トラフィックをミラーリングできないポートのタイプ。

  • VCP(バーチャル シャーシ ポート)

  • 管理イーサネット ポート(me0 または vme0)

  • IRB(統合型ルーティングおよびブリッジング)インターフェイス

  • VLAN タグ付きレイヤー 3 インターフェイス

 

アナライザに含めることができるプロトコル ファミリー。

ethernet-switchingbridgeEX シリーズ スイッチの には、MX シリーズ ルーターには 。

アナライザは、ブリッジングされたトラフィックのみをミラーリングします。ルルーティングされたトラフィックをミラーリングするには、 があるポート ミラーリング設定を inetまたは familyとして使用しますinet6

物理層エラーがあるパケットは、ローカルまたはリモート アナライザに送信されません。

適用可能

これらのエラーがあるパケットは除外され、アナライザに送信されません。

アナライザは、回線速度トラフィックをサポートしません。

適用可能

回線速度トラフィックのミラーリングは、ベストエフォートベースで行われます。

LAG インターフェイス上のアナライザ出力。

対応

 

トランク モードとしてのアナライザ出力インターフェイス モード。

対応

  • トランク インターフェイスは、アナライザの入力設定に関連するすべての VLAN またはブリッジ ドメインのメンバーである必要があります。

  • 入力が VLAN またはブリッジ ドメインとして設定され、出力がトランク インターフェイスである場合、 オmirror-onceプションを使用する必要があります。

    注:

    ミラーワンス オプションにより、アナライザの入力がイングレス ミラーリングとエグレス ミラーリングの両方からである場合、イングレス トラフィックのみがミラーリングされます。イングレス ミラーリングとエグレス ミラーリングの両方が必要な場合、出力インターフェイスはトランクになることはできません。この場合、アクセス インターフェイスとしてインターフェイスを設定します。

ホスト生成された制御パケットのエグレス ミラーリング。

未対応

 

アナライザの input スタンザにおけるレイヤー 3 論理インターフェイスの設定。

未対応

 

同じ VLAN または VLAN 自体のメンバーを含むアナライザの入力およち出力スタンザを回避する必要があります。

適用可能

 

異なるアナライザ セッションの VLAN とそのメンバー インターフェイスのサポート

未対応

ミラーリングが設定されている場合、アナライザのいずれかがアクティブになります。

集合型イーサネット(ae)インターフェイスのエグレス ミラーリングと、異なるアナライザに設定されたその子論理インターフェイス。

未対応

 

EX9200スイッチのミラーリングを設定しトラフィックを分析(CLI手順)

EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して以下のパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLANを出入りするパケット

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は設定したアナライザーを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

注:

既存のアナライザーを削除せずに追加アナライザーを作成したい場合は、CLI(コマンドラインインターフェイス)またはミラーリングのJ-Web設定ページからdisable analyzer analyzer-nameのステートメントを使用して、既存のアナイザーを無効にします。

注:

アナライザーへの出力として使用されるインターフェイスは、ethernet-switching familyで設定する必要があり、VLANに関連付ける必要があります。

ローカルトラフィック分析にアナライザーの設定

アナライザーを使用して、スイッチ上のネットワークトラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。

  1. アナライザーの名称を選択し、入力を指定します。

    例えば、employee-monitorと呼ばれるアナライザーを作成し、インターフェイスge-0/0/0.0およびge-0/0/1.0に入るパケットを監視します。

  2. ミラーリングするパケットの宛先インターフェイスを設定します。

    例えば、employee-monitorアナライザーの宛先インターフェイスとしてge-0/0/10.0を設定します。

リモートトラフィック分析を行うためアナライザーの設定

離れた場所から分析するために使用するVLANに、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをミラーリングするには、以下を行います。

  1. ミラーリングされたトラフィックを伝送するようVLANを設定します。

    例えば、remote-analyzerと呼ばれるアナライザーVLANを定義し、VLAN ID999を割り当てます。

  2. ディストリビューションスイッチに接続されたインターフェイスをアクセスモードに設定し、アナライザーVLANに関連付けます。

    例えば、インターフェイスge-0/1/1をアクセスモードに設定し、アナライザーVLAN ID999に関連付けます。

  3. アナライザを設定します。
    1. アナライザーを定義し、ミラーリングするトラフィックを指定します。

      例えば、ミラーリングするトラフィックのemployee-monitorアナライザーを定義します。このトラフィックは、インターフェイスge-0/0/0.0およびge-0/0/1.0に入るパケットで構成されています。

    2. アナライザーの出力としてアナライザーVLANを指定します。

      例えば、employee-monitorアナライザーの出力アナライザーとして、remote-analyzerVLANを指定します。

ローカルトラフィック分析に統計アナライザーを設定

統計アナライザーを使用して、スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。

  1. アナライザーの名称を選択し、入力インターフェイスを指定します。

    例えば、employee-monitorと呼ばれるアナライザーを指定し、入力インターフェイスge-0/0/0およびge-0/0/1を指定します。

  2. ミラーリングするパケットの宛先インターフェイスを設定します。

    例えば、ミラーリングされたパケットの宛先インターフェイスとしてge-0/0/10.0を設定します。

  3. ミラーリングのプロパティを指定します。
    1. ミラーリングレート、つまり、1秒ごとにミラーリングするパケット数を指定します。

      有効範囲は、1~65,535です。

    2. ミラーリングされたパケットの切り捨てる長さを指定します。

    有効範囲は、0~9216です。デフォルト値は0で、ミラーリングされたパケットを切り捨てないことを示しています。

リモートトラフィック分析に統計アナライザーの設定

統計アナライザーを使用して離れた場所から分析するため、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには、以下を行います。

  1. ミラーリングされたトラフィックを伝送するようVLANを設定します。

    例えば、VLAN ID999remote-analyzerと呼ばれるVLANを設定します。

  2. ディストリビューションスイッチに接続されたインターフェイスをアクセスモードに設定し、VLANに関連付けます。

    例えば、ディストリビューションスイッチに接続されたインターフェイスge-0/1/1.0をアクセスモードに設定し、remote-analyzerVLANに関連付けます。

  3. 統計アナライザーを設定します。
    1. ミラーリングするトラフィックを指定します。

      例えば、ミラーリングするポートge-0/0/0.0およびge-0/0/1.0に入るパケットを指定します。

    2. アナライザーの出力を指定します。

      例えば、アナライザーの出力としてremote-analyzerVLANを指定します。

  4. ミラーリングのプロパティを指定します。

    1. ミラーリングレート、つまり、1秒ごとにミラーリングするパケット数を指定します。

      有効範囲は、1~65,535です。

    2. ミラーリングしたパケットの切り捨てる長さを指定します。

    有効範囲は、0~9216です。デフォルト値は0で、ミラーリングしたパケット切り捨てないということです。

FPCレベルでグループ化されたポートへの統計アナライザーのバインディング

統計アナライザーをスイッチ内の特定のFPCにバインドすることができます。つまり、スイッチのFPCレベルで統計アナライザーインスタンスをバインドできます。統計アナライザーで指定されるミラーリングプロパティは、指定されたFPCのパケット転送エンジンに関連するすべての物理ポートに適用されます。

レイヤー2アナライザーの名前付きインスタンスをFPCにバインドするには、以下を行います。

  1. スイッチシャーシのプロパティの設定を有効にします。

  2. FPC(とそのインストールされたPIC)の設定を有効にします。

  3. 統計アナライザーインスタンスをFPCにバインドします。

  4. (オプション)レイヤー2ミラーリングの2つ目の統計アナライザーインスタンスを同じFPCにバインドするには、ステップ3を繰り返し、別の統計アナライザー名を指定します。

  5. バインディングの最小設定を検証します。

注:

2つ目のインスタンス(この例ではstats_analyzer-2)をバインディング時に、このセッションのミラーリングプロパティが設定されている場合、デフォルトアナライザーが上書きされます。

ネクストホップグループを使用して複数の宛先を持つアナライザーの設定

アナライザー出力としてネクストホップグループを設定することで、複数の宛先にトラフィックをミラーリングすることができます。複数の宛先へパケットをミラーリングすることは、マルチパケットポートのミラーリングとも呼ばれます。

スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。

  1. アナライザーの名称を選択し、入力を指定します。

    例えば、入力トラフィックがインターフェイスge-0/0/0.0およびge-0/0/1.0に入るパケットで構成されているemployee-monitorと呼ばれるアナライザーを作成します。

  2. ミラーリングするパケットの宛先インターフェイスを設定します。

    例えば、employee-monitorアナライザーの宛先としてネクストホップグループnhgを設定します。

レイヤー2ミラーリングのネクストホップグループの定義

[edit forwarding-options]設定レベルのネクストホップグループ設定では、ネクストホップグループ名、ネクストホップグループで使用するアドレストの種類、およびトラフィックをミラーリングできる複数の宛先を形成する倫理インターフェイスを定義できます。ネクストホップグループは、デフォルトで[edit forwarding-options next-hop-group next-hop-group-name group-type inet]のステートメントを使用したレイヤー3アドレスを使って指定されます。その代わりにレイヤー2のアドレスを使用してネクストホップグループを指定するには、[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]ステートメントを含めます。

レイヤー2ミラーリングのネクストホップグループを定義するには、以下を行います。

  1. レイヤー2ミラーリングのネクストホップグループの設定を有効にします。

    例えば、名称nhgnext-hop-groupを設定します。

  2. ネクストホップグループの設定で使用するアドレスのタイプを指定します。

    例えば、アナライザーの出力のみlayer-2である必要があるため、next-hop-group typelayer-2として設定します。

  3. ネクストホップグループの論理インターフェイスを指定します。

    例えば、ネクストホップグループnhgの論理インターフェイスとしてge-0/0/10.0およびge-0/0/11.0を指定するには、以下を行います。

EX4300スイッチのミラーリングを設定してトラフィックを分析(CLI手順)

注:

このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。

EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANに入るパケット

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング設定を無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。

注:

既存のアナライザを削除せずに追加のアナライザを作成したい場合は、CLI(コマンドラインインターフェイス)またはミラーリングのJ-Web設定ページからのdisable analyzer analyzer-nameステートメントを使用して、既存のアナライザを無効にします。

注:

アナライザの出力として使用されるインターフェイスは、ethernet-switchingファミリーで設定する必要があります。

ローカルトラフィック分析にアナライザーの設定

スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。

  1. アナライザーの名称を選択し、入力を指定します。

    例えば、入力トラフィックがインターフェイスge-0/0/0.0およびge-0/0/1.0に入るパケットであるemployee-monitorと呼ばれるアナライザを作成します。

  2. ミラーリングするパケットの宛先インターフェイスを設定します。

    例えば、employee-monitorアナライザーの宛先インターフェイスとしてge-0/0/10.0を設定します。

リモートトラフィック分析を行うためアナライザーの設定

離れた場所から分析するため(アナライザを使用して)、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには以下を行います。

  1. ミラーリングされたトラフィックを伝送するようVLANを設定します。

    例えば、remote-analyzerと呼ばれるアナライザVLANを定義し、999のVLAN IDを割り当てます。

  2. 分散型スイッチに接続されたアップリンクモジュールのインターフェイスをトランクモードに設定し、アナライザVLANに関連付けます。

    例えば、インターフェイスge-0/1/1をトランクモードに設定し、アナライザVLAN ID999に関連付けます。

  3. アナライザを設定します。
    1. アナライザーを定義し、ミラーリングするトラフィックを指定します。

      例えば、ミラーリングされるトラフィックがインターフェイスge-0/0/0.0およびge-0/0/1.0に入るパケットであるemployee-monitorアナライザを定義します。

    2. アナライザーの出力としてアナライザーVLANを指定します。

      例えば、employee-monitorアナライザーの出力アナライザーとして、remote-analyzerVLANを指定します。

ポートミラーリングの設定

ポートミラーリングインスタンスにミラーリングされるパケットをフィルターするには、インスタンスを作成し、次にファイアウォールフィルターのアクションとして使用します。ローカルとリモート両方のミラーリング設定で、ファイアウォールフィルターを使用できます。

複数のフィルターまたは条件で同じポートミラーリングインスタンスを使用する場合、パケットはアナライザの出力ポートまたはアナライザVLANに1回のみコピーされます。

ミラーリングされたトラフィックをフィルターするには、[edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成し、次にファイアウォールフィルターを作成します。フィルターは使用可能な一致条件のいずれかを使用でき、port-mirror-instance instance-nameをアクションとして持つ必要があります。ファイアウォールフィルター設定でのこのアクションは、ポートミラーリングインスタンスへの入力を提供します。

ファイアウォールフィルターでポートミラーリングインスタンスを設定するには、以下を行います。

  1. ポートミラーリングインスタンス名(こちらから、employee-monitor)と出力を設定します。
    1. ローカル分析には、プロトコルアナライザを実行しているコンピューターを接続するローカルインターフェイスに出力を設定します。
    2. リモート分析には、remote-analyzerVLANに出力を設定します。
  2. 使用可能な一致条件のいずれかを使用し、port-mirror-instanceアクションにemployee-monitorを割り当てることで、ファイアウォールフィルターを作成します。

    このステップでは、2つの条件(no-analyzerおよびto-analyzer)で、ファイアウォールフィルターexample-filterを示しています。

    1. ポートミラーリングインスタンス employee-monitorに通過してはならないトラフィックを定義する最初の条件を作成します。
    2. ポートミラーリングインスタンスemployee-monitorに通過してはならないトラフィックを定義する2つ目の条件を作成します。
  3. ポートミラーリングインスタンスに入力を提供するインターフェイスまたはVLANに、ファイアウォールフィルターを適用します。

トラフィックを分析するポート ミラーリングの構成(CLI 手順)

この構成タスクでは、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルをサポートしない、EX シリーズ スイッチで Junos OS を使用します。

EX シリーズでは、ポート ミラーリングを構成することで、パケットのコピーをローカル監視用のローカル インターフェイスまたはリモート監視用の VLAN に送信できます。ポートミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • EX2200、EX3200、EX3300、EX4200、EX4500、または EX6200 スイッチの VLAN に入るパケット

  • EX8200スイッチ上のVLANから出るパケット

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、構成済みのポート ミラーリング アナライザを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

ポート ミラーリングの構成を始める前に、アナライザの出力インターフェイスに関する以下の制限事項に留意してください。

  • 送信元ポートとしても使用することはできません。

  • スイッチングには使用できません。

  • ポート ミラーリング構成の一部である場合は、レイヤー 2 プロトコル(RSTP など)には参加しません。

  • アナライザ出力インターフェイスとして構成される前に有していた VLAN 関連付けは保持しません。

注:

既存のアナライザを削除せずに追加のアナライザを作成する場合は、まず disable analyzer analyzer-name コマンドまたはポート ミラーリングの J-Web 構成ページで既存のアナライザを無効にします。

注:

アナライザの出力として使用するインターフェイスは、ファミリー として構成する必要がありますethernet-switching

ローカル トラフィック分析用のポート ミラーリングの構成

スイッチ上のインターフェイス トラフィックや VLAN トラフィックを、スイッチ上の別のインターフェイスにミラーリングするには:

  1. アナライザの名前を選択し(ここでは employee-monitor)、入力を指定します(ここでは ge-0/0/0ge-0/0/1 を入力するパケット)。
  2. オプションで、比率を設定してパケットの統計サンプリングを指定できます。

    比率が 200 に設定されている場合、200 パケットごとに 1 パケットがアナライザにミラーリングされます。ミラーリングされたトラフィックが大量に発生すると、スイッチがパフォーマンスを大量消費する可能性があるため、統計サンプリングを使用してミラーリングされるトラフィックの量を減らすことができます。EX8200 スイッチでは、ingress パケットに対してのみ比率を設定できます。

  3. ミラーリングするパケットの宛先インターフェイスを設定します。

ポート ミラーリングをリモート トラフィック分析用に構成する

スイッチ上のインターフェイスまたは VLAN を通過するトラフィックを、遠隔位置からの分析用 VLAN にミラーリングするには:

  1. ミラーリングされたトラフィックを伝送するように VLAN を構成します。このドキュメントでは、この VLAN は慣習的に と呼ばれremote-analyzer、ID 999 が与えられています。
  2. 分散型スイッチに接続されたアップリンク モジュール インターフェイスをトランク モードに設定し、 remote-analyzerVLAN に関連付けます。
  3. アナライザを設定します。
    1. 名前を選択し、損失の優先度を高に設定します。リモート ポート ミラーリングを構成する場合、損失の優先度を必ず高に設定してください。
    2. ミラーリングするトラフィックを指定します(この例では、ポート ge-0/0/0ge-0/0/1 に入るパケット)。
    3. remote-analyzerVLANをアナライザの出力として指定します。
  4. オプションで、比率を設定してパケットの統計サンプリングを指定できます。

    比率を200に設定すると、200パケットのうち1パケットがアナライザにミラーリングされます。ミラーリングされたトラフィックの量が非常に多いとスイッチのパフォーマンスが低下するため、これを利用してミラーリングされるトラフィックの量を減らすことができます。

アナライザに入るトラフィックをフィルタリングする

アナライザにミラーリングされるパケットをフィルタリングするには、アナライザを作成し、それをファイアウォール フィルターのアクションとして使用します。ローカルとリモート両ポートのミラーリング構成で、ファイアウォール フィルターを使用できます。

同じアナライザを複数のフィルターや条件で使用する場合、パケットは一度だけアナライザ出力ポートまたはアナライザ VLAN にコピーされます。

ミラーリングされたトラフィックをフィルタリングするには、アナライザを作成してからファイアウォール フィルターを作成します。フィルターは、利用可能な任意の照合条件を使用でき、analyzer のアクションを保持する必要があります。ファイアウォール フィルターのアクションにより、アナライザに入力が提供されます。

フィルターを使ってポート ミラーリングを構成するには:

  1. アナライザの名前(ここでは employee-monitor)と出力を構成します。
    1. ローカル分析の場合は、プロトコル アナライザ アプリケーションを実行しているコンピューターを接続するローカル インターフェイスに出力を設定します。
    2. リモート分析の場合は、損失優先度を高に設定し、出力を remote-analyzerVLAN に設定します。
  2. 利用可能な照合条件のいずれかを使用してファイアウォール フィルターを作成し、アクションを analyzer に指定します。

    このステップではexample-filter、以下の 2 つの条件を持つ という名前のファイアウォール フィルターを示します。

    1. 最初の条件を作成して、アナライザに渡さないトラフィックを定義します。
    2. 2 番目の条件を作成して、アナライザに渡すトラフィックを定義します。
  3. アナライザへの入力となるインターフェイスまたは VLAN にファイアウォール フィルターを適用します。

EXシリーズスイッチ上のポートミラーリングアナライザの入力と出力の検証

目的

この検証作業では、拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートしない、EXシリーズスイッチでJunos OSを使用します。

アナライザがスイッチ上で作成され、適切なミラー入力インターフェイスと適切なアナライザ出力インターフェイスを備えていることを確認します。

対処

ポートミラーアナライザがshow analyzerコマンドを使用して、想定どおりに設定されていることを確認できます。

設定モードでshow ethernet-switching-optionsコマンドを使用すると、無効になっているものも含め、スイッチ上で設定されているすべてのポートミラーアナライザを表示できます。

意味

この出力は、従業員監視アナライザの比率が1(すべてのパケットをミラーリング、デフォルト)であり、損失優先度high(アナライザの出力がVLANにある場合はhigh、常にこのオプションを設定)がge-0/0/0およびge-0/0/1に入るトラフィックをミラーリングし、ミラーリングされたトラフィックをリモートアナライザと呼ばれるアナライザに送信していることを示しています。

例:従業員のリソース使用をローカル監視するためのポートミラーリングアナライザの設定

ジュニパーネットワークスのデバイスで、ローカル監視についてはローカルインターフェイス、リモート監視についてはVLANまたはブリッジドメインに、ポートミラーリングがパケットのコピーを送信するように設定できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANもしくはブリッジドメインを出入りするパケット

すると、プロトコルアナライザを使用して、ローカルまたはリモートでミラーリングされたトラフィックを分析することができます。ローカルの宛先インターフェイスにアナライザをインストールできます。ミラーリングされたトラフィックを、アナライザVLAN、もしくはブリッジドメインに送信する場合、アナライザをリモートの監視ステーションに使用できます。

このトピックでは、スイッチングデバイス上でローカルミラーリングを設定する方法について説明します。このトピックの例で、従業員のコンピューターに接続されたインターフェイスに入るトラフィックを、同じデバイス上にあるアナライザ出力インターフェイスにミラーリングするために、スイッチングデバイスを設定することを説明します。

要件

以下のハードウェアおよびソフトウェアのコンポーネントのいずれか1つを使用します。

  • Junos OSリリース13.2以降を搭載したEX9200スイッチ1台

  • Junos OSリリース14.1以降を搭載したMXシリーズルーター1台

ポートミラーリングを設定する前に、ミラーリングの概念を必ず理解しておいてください。アナライザについては、ポート ミラーリング アナライザの理解を参照してください。ポートミラーリングについては、レイヤー2ポートミラーリングについてを参照してください。

概要とトポロジー

このトピックでは、スイッチデバイス上にあるポートに入るすべてのトラフィックを、同じデバイス上にある宛先インターフェイスにミラーリングする(ローカルミラーリング)方法を説明します。この事例では、従業員のコンピューターに接続されたポートにトラフィックが入ります。

注:

すべてのトラフィックをミラーリングするには大幅な帯域幅が必要となります。調査進行中のみに実行してください。

インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続部として機能します。

インターフェイスge-0/0/10は、ミラーリングされたトラフィックの分析用に予約済みです。

プロトコルアナライザを実行しているPCを、アナライザ出力インターフェイスに接続します。

注:

1つのインターフェイスに複数のポートがミラーリングされている場合、バッファオーバーフローを起こして、結果としてミラーリングされたパケットが出力インターフェイスでドロップする可能性があります。

図 1は、この例のネットワーク トポロジーを示しています。

図 1: ローカルポートミラーリングのネットワークトポロジー例ローカルポートミラーリングのネットワークトポロジー例

ローカル分析用の全従業員のトラフィックのミラーリング

手順

CLIクイック構成

従業員のコンピューターに接続された2つのポート上で、送信されたイングレストラフィックに対してローカルミラーリングを短時間で設定するには、EXシリーズスイッチもしくはMXシリーズルーターに対して、以下のコマンドのいずれかをコピーし、スイッチングデバイスの端末ウィンドウにペーストします。

EXシリーズ

MX シリーズ

ステップバイステップでの手順

employee-monitorと呼ばれるアナライザを設定し、入力(ソース)インターフェイスとアナライザ出力インターフェイスの両方を特定にするには、以下を実行します。

  1. アナライザ設定で使用される各インターフェイスを設定します。プラットフォームに適正なファミリプロトコルを使用します。

    インターフェイス上でfamily bridgeを設定するには、interface-mode accessもしくはinterface-mode trunkも設定しなければなりません。また、vlan-idも設定しなければなりません。

  2. 従業員のコンピューターに接続された各インターフェイスを、出力アナライザインターフェイスemployee-monitorとして設定します。

  3. employee-monitorアナライザに対して出力アナライザインターフェイスを設定します。

    これがミラーリングされたパケットの宛先パケットとなります。

結果

設定の結果を確認します。

検証

アナライザが適正に作成されたことの確認

目的

employee-monitorのアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチイングデバイス上で作成されていることを確認します。

対処

show forwarding-options analyzer操作コマンドを使用して、アナライザが想定通りに設定されていることを確認します。

意味

出力は、employee-monitorアナライザの比率が1(デフォルトの設定であるすべてのパケットをミラーリングを示す)、ミラーリングされた元のパケットの最大サイズは0(パケット全体がミラーリングされていることを示す)、設定の状態はup、そして、アナライザはge-0/0/0インターフェイスに入るトラフィックをミラーリングし、ミラーリングされたトラフィックをge-0/0/10インターフェイスに送信していることを表しています。

出力インターフェイスの状態がdownである場合、または出力インターフェイスが設定されていない場合、Stateの値はdownとなり、アナライザはミラーリングされたトラフィックを受信しないことを示します。

例:従業員リソース使用のリモート監視のためのポート ミラーリングの設定

ジュニパーネットワークス デバイスにより、ポート ミラーリングが、ローカル監視についてはローカル インターフェイス、リモート監視については VLANまたはブリッジ ドメインにパケットのコピーを送信するように設定できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANを出入りするパケット

  • ブリッジ ドメインを出入りするパケット

アナライザ VLAN またはブリッジ ドメインにミラーリングされたトラフィックを送信している場合、リモート監視ステーションで実行されているプロトコル アナライザを使用してミラーリングされたトラフィックを分析できます。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング セッションを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

このトピックの例では、従業員のリソースの使用を分析するリモート ポート ミラーリングを設定する方法を説明します。

要件

この例ではハードウェアおよびソフトウェア コンポーネント以下のペアのいずれかを使用します。

  • 別のEX9200スイッチに接続された1台のEX9200スイッチ(どちらもJunos OS リリース13.2 以降を実行)

  • 別のMXシリーズルーターに接続された1台のMXシリーズルーター(どちらもJunos OS リリース14.1以降を実行)

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

概要とトポロジー

このトピックでは、リモート監視ステーションから分析できるようにリモート アナライザ VLAN またはブリッジ ドメインへのポート ミラーリングを設定する方法を説明します。

図 2 は、EX シリーズの例と MX シリーズの例の両方のシナリオのネットワーク トポロジーを示しています。

トポロジー

図 2: リモート ポート ミラーリングと分析のネットワーク トポロジーリモート ポート ミラーリングと分析のネットワーク トポロジー

この例では:

  • インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元デバイス上の両方のインターフェイス)です。

  • インターフェイス ge-0/0/10 は、送信元スイッチング デバイスと宛先スイッチング デバイスを接続するレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/5 は、宛先スイッチングデバイスをリモート監視ステーションに接続するレイヤー2インターフェイスです。

  • アナライザ remote-analyzerは、ミラーリングされたトラフィックを伝送するように、トポロジー内のすべてのスイッチングデバイス上で設定されています。このトポロジーは、VLAN またはブリッジ ドメインのいずれかを使用できます。

統計アナライザを使用したリモート分析のための従業員トラフィックのミラーリング

すべての受信および送信トラフィックのリモート トラフィック分析に統計アナライザを設定するには、以下の例のいずれかを選択します。

EX シリーズ スイッチのリモート分析の従業員トラフィックのミラーリング

CLIクイック構成

受信および送信従業員トラフィックのリモート トラフィック分析に統計アナライザを迅速に設定するには、EX シリーズ スイッチに以下のコマンドをコピーして、スイッチング デバイス端末ウィンドウに貼り付けます。

  • 送信元スイッチングのデバイス端末ウィンドウに、以下のコマンドをコピーして貼り付けます。

    EXシリーズ

  • 宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。

    EXシリーズ

ステップバイステップでの手順

基本的なリモート ミラーリングを設定するには:

  1. 送信元スイッチング デバイスで、以下のことを行います。

    • remote-analyzerVLAN の VLAN ID を設定します。

    • アクセス モードで宛先スイッチング デバイスに接続されたネットワーク ポート上のインターフェイスを設定し、 remote-analyzerVLAN に関連付けます。

    • 統計アナライザ employee-monitorを設定します。

    • 統計アナライザを、入力インターフェイスを含む FPC にバインドします。

  2. 宛先ネットワーク デバイスで、以下のことを行います。

    • remote-analyzerVLAN の VLAN ID を設定します。

    • アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、 remote-analyzerVLAN に関連付けます。

    • アクセスモード向けに、宛先スイッチングデバイスに接続されたインターフェイスを設定します。

    • アナemployee-monitorライザを設定します。

    • employee-monitor アナライザのレートや最大パケット長などの、ミラーリングパラメーターを指定します。

    • employee-monitorアナライザを、入力ポートを含むFPCにバインドします。

結果

送信元スイッチング デバイス上の設定の結果を確認します。

宛先スイッチング デバイス上の設定の結果を確認します。

MXシリーズルーターのリモート分析用の従業員トラフィックのミラーリング

CLIクイック構成

受信および送信トラフィックのリモート トラフィック分析に統計アナライザを迅速に設定するには、MX シリーズ ルーターに以下のコマンドをコピーして、正しいスイッチング デバイス端末ウィンドウに貼り付けます。

  • 送信元スイッチングのデバイス端末ウィンドウに、以下のコマンドをコピーして貼り付けます。

    MX シリーズ

  • 宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。

    MX シリーズ

ステップバイステップでの手順

MXシリーズルーターを使用して基本的なリモートミラーリングを設定するには:

  1. 送信元スイッチング デバイスで、以下のことを行います。

    • remote-analyzerブリッジ ドメインのVLAN IDを設定します。

    • アクセスモード用に宛先スイッチングデバイスに接続されたネットワークポート上のインターフェイスを設定し、remote-analyzer ブリッジ ドメインに関連付けます。

    • 統計アナライザ employee-monitorを設定します。

    • 統計アナライザを、入力インターフェイスを含む FPC にバインドします。

  2. 宛先スイッチング デバイスで、以下のことを行います。

    • remote-analyzerブリッジ ドメインのVLAN IDを設定します。

    • アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、 ブリremote-analyzerッジ ドエインに関連付けます。

    • アクセスモード向けに、宛先スイッチングデバイスに接続されたインターフェイスを設定します。

    • アナemployee-monitorライザを設定します。

    • employee-monitor アナライザのレートや最大パケット長などの、ミラーリングパラメーターを指定します。

    • employee-monitorアナライザを、入力ポートを含むFPCにバインドします。

結果

送信元スイッチング デバイス上の設定の結果を確認します。

宛先スイッチング デバイス上の設定の結果を確認します。

検証

アナライザが正しく作成済みであることの確認

目的

employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つデバイス上で作成されていることを確認します。

対処

送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチング デバイス上でshow forwarding-options analyzerコマンドを実行します。この設定の例では、以下の出力が表示されます。

意味

この出力は、 インスタンemployee-monitorスの比率が 2 であり、ミラーリングされた元のパケットの最大サイズが 128 であり、設定の状態が であり(適切な状態であり、アナライザがプログラミングされていることをエイメします)、アナライザが ge-0/0/0.0 および ge-0/0/1.0 に入るトラフィックをミラーリングしup、リモート アナライザと呼ばれる VLAN にミラーリングされたトラフィックを送信していることを示しています。

出力インターフェイスの状態が downである場合、または出力インターフェイスが設定されていない場合、 Stateの値はダウンし、アナライザはトラフィックを監視できません。

例:複数のインターフェイスへのミラーリングを構成して、EX9200スイッチ上の従業員のリソース使用をリモート監視する

EX9200 スイッチを使ってミラーリングを構成し、ローカル監視用にローカル インターフェイスに、またはリモート監視用に VLAN に、パケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANを出入りするパケット

ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されるプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 構成したミラーリング アナライザを使用しない場合は、無効にしてください。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

この例では,アナライザVLAN上の複数のインターフェイスに対して、リモートミラーリングを構成する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX9200 スイッチ 3 台

  • EX シリーズスイッチの Junos OS リリース 13.2 以降

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

  • アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

この例ではスイッチ上のポートに入るトラフィックを、リモート アナライザ VLAN にミラーリングする方法を説明します。これにより、リモート監視ステーションから分析を実行できます。この例のリモートアナライザVLANには、複数のメンバーインターフェイスが含まれています。このため、リモートアナライザ VLAN のすべてのメンバー インターフェイスに同じトラフィックをミラーリングして、ミラーリングされたパケットを異なるリモート監視ステーションに送信できます。Sniffer や侵入検知システムなどのアプリケーションをリモート監視ステーションにインストールすることで、これらのミラーリングされたパケットを分析して、有用な統計データを取得できます。例えば、2つのリモート監視ステーションがある場合、一方のリモート監視ステーションにスニッファーを、もう一方のステーションに侵入検知システムをインストールできます。ファイアウォールフィルターアナライザ構成を使って、特定のタイプのトラフィックをリモート監視ステーションに転送できます。

この例では、ネクストホップ グループの複数のインターフェイスにトラフィックをミラーリングし、トラフィックを異なる監視ステーションに送信して分析するようにアナライザを構成する方法を説明します。

図 3は、この例のネットワーク トポロジーを示しています。

図 3: ネクストホップ グループ内で複数の VLAN メンバー インターフェイスを使用するリモート ミラーリング ネットワークトポロジーの例ネクストホップ グループ内で複数の VLAN メンバー インターフェイスを使用するリモート ミラーリング ネットワークトポロジーの例

トポロジー

この例では:

  • インターフェイス ge-0/0/0 と ge-0/0/1 は、従業員コンピューター用の接続として機能するレイヤー 2 インターフェイス(いずれも送信元スイッチのインターフェイス)です。

  • インターフェイス ge-0/0/10 と ge-0/0/11 は、異なる宛先スイッチに接続されたレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/12 は、宛先 1 のスイッチをリモート監視ステーションを接続するレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/13 は、宛先 2 スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。

  • VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定remote-analyzerされています。

従業員の全トラフィックを複数の VLAN メンバー インターフェイスにミラーリングして、リモートで分析する

複数のVLANメンバーインターフェイスにミラーリングを構成し、従業員の送受信トラフィックすべてをリモートで分析するには、以下を実行します。

手順

CLIクイック構成

ミラーリングを素早く構成して、従業員の送受信トラフィックをリモートで分析するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けします。

  • ソース スイッチの端末ウィンドウで、以下のコマンドをコピー&ペーストします。

  • 宛先 1 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。

  • 宛先 2 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。

ステップバイステップでの手順

2つのVLANメンバーインターフェイスに基本的なリモートミラーリングを構成するには:

  1. 送信元スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • 宛先スイッチに接続されているネットワーク ポート上のインターフェイスをアクセス モードで構成し、remote-analyzer VLAN に関連付けます。

    • アナemployee-monitorライザーを設定します。

      このアナライザ構成では、インターフェイス Ge-0/0/0.0 と Ge-0/0/1.0 を出入りするトラフィックは、remote-analyzer-nhg というネクストホップ グループで定義された出力先に送信されます。

    • ネクremote-analyzer-nhbストホップ グループ構成します。

  2. 宛先 1 スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • アクセスモード用に、宛先1スイッチ上のge-0/0/10インターフェイスを構成します。

    • アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。

    • アナemployee-monitorライザーを設定します。

  3. 宛先 2 スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • 宛先 2 スイッチの ge-0/0/11 インターフェイスをアクセス モードで構成します。

    • アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。

    • アナemployee-monitorライザーを設定します。

結果

送信元スイッチ上の設定の結果を確認します。

宛先 1 スイッチ上の構成の結果を確認します。

宛先 2 スイッチ上の構成の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

アナライザが正しく作成済みであることの確認

目的

employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

対処

アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。

送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow forwarding-options analyzerンドを実行します。この構成例では、ソース スイッチに以下の出力が表示されます。

意味

この出力では、employee-monitor アナライザの比率が 1(すべてのパケットをミラーリングする、デフォルトの動す)、構成の状態が up です。これは、状態が適正で、アナライザがプログラムされており、インターフェイス Ge-0/0/0 と Ge-0/0/1 を出入りするトラフィックをミラーリングし、ネクストホップ グループ remote-analyzer-nhg を介して複数のインターフェイス Ge-0/0/10.0 と Ge-0/0/11.0 にミラーリングされたトラフィックを送信することを意味します。出力インターフェイスの状態が である場合、downまたは出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。

例:トランジット スイッチまたは EX9200 スイッチにを通した従業員による使用のリモート監視のためのミラーリングの設定

EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANを出入りするパケット

ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されるプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。

このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してリモートアナライザ VLAN にミラーリングする方法を説明する例を紹介します。これによって、リモート監視ステーションから分析できるようになります。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング セッションを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

この例では、スイッチを介してリモート ミラーリングを設定する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3 つめの EX9200 スイッチを介して他の EX9200 スイッチに接続された EX9200 スイッチ

  • EX シリーズスイッチの Junos OS リリース 13.2 以降

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

  • アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

この例ではスイッチ上のポートに入るトラフィックをスイッチを、トランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明します。これによって、従業員のコンピューターからのすべてのトラフィックを分析できます。

この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されたエグレス インタフェースにミラーリングするために、宛先スイッチにアナライザ セッションが必要となります。

図 4は、この例のネットワーク トポロジーを示しています。

トポロジー

図 4: トランジット スイッチを通したリモート ミラーリングのネットワーク監視トランジット スイッチを通したリモート ミラーリングのネットワーク監視

この例では:

  1. インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。

  2. インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。

  3. インターフェイス ge-0/0/11 は、スイッチ上のレイヤー 2 インターフェイスです。

  4. インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、スイッチに接続します。

  5. インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。

  6. インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。

  7. VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定remote-analyzerされています。

トランジット スイッチを通してリモート分析のすべての従業員のトラフィックのミラーリング

トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。

手順

CLIクイック構成

トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • 送信元スイッチ(監視されたスイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。

  • トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。

  • 宛先スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。

ステップバイステップでの手順

トランジット スイッチを介してリモート ミラーリングを設定するには:

  1. 送信元スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • アクセス モードのためにトランジット スイッチに接続されたネットワーク ポート上のインターフェイスを設定し、remote-analyzerVLAN に関連付けます。

    • アナemployee-monitorライザーを設定します。

  2. トランジット スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • アクセス モードの ge-0/0/11 インターフェイスを設定し、remote-analyzerVLAN に関連付けます。

    • アクセス モードの ge-0/0/12 インターフェイスを設定し、 remote-analyzerVLAN に関連付け、エグレス トラフィックのインターフェイスのみを設定します。

  3. 宛先スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • アクセス モードの ge-0/0/13 インターフェイスを設定し、 remote-analyzerVLAN に関連付け、イングレス トラフィックのインターフェイスのみを設定します。

    • アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。

    • アナremote-analyzerライザーを設定します。

結果

送信元スイッチ上の設定の結果を確認します。

トランジット スイッチ上の設定の結果を確認します。

宛先スイッチ上の設定の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

アナライザが正しく作成済みであることの確認

目的

employee-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

対処

アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。

送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow forwarding-options analyzerンドを実行します。この設定の例では、以下の出力が表示されます。

意味

この出力は、アナemployee-monitorライザのミラーリング比率が 1(各パケットをミラーリングする、デフォルト)であり、設定の状態が であり(適切な状態)、アナライザがプログラムされておりup、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングしており、 と呼ばれるアナライザにミラーリングされたトラフィックを送信していることを示していますremote-analyzer。出力インターフェイスの状態が である場合、downまたは出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。

例:EX4300 スイッチで従業員のリソース使用をローカルに監視するためのミラーリング構成

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。ELS をサポートしていないソフトウェアがスイッチで実行されている場合は、例:EXシリーズスイッチで従業員のリソース使用をローカル監視するためのポートミラーリング構成を参照してください。ELSの詳細については、拡張レイヤー2ソフトウェアのスタートガイドを参照してください。

EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANに入るパケット

ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、ローカルの宛先インターフェイスに接続されたシステム、またはリモート監視ステーションにインストールされたプロトコル アナライザを使用して、ミラーリングされたトラフィックを解析できます。

この例では、EX4300スイッチ上にローカルミラーリングを構成する方法を説明します。この例では、従業員のコンピュータに接続されたインターフェイスに入るトラフィックを、同じスイッチ上のアナライザ出力インターフェイスにミラーリングするようにスイッチを構成する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX4300 スイッチ 1 台

  • EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降

概要とトポロジー

このトピックでは、2 つの例を通して、スイッチのポートに入るトラフィックを、同じスイッチ上の宛先インターフェイスにミラーリングする方法(ローカルミラーリング)を説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。

インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続部として機能します。インターフェイス ge0/0/10 は、ミラーリングされたトラフィックの分析用に予約済みです。プロトコル アナライザ アプリケーションが動作する PC をアナライザ出力インターフェイスに接続し、ミラーリングされたトラフィックを分析します。

注:

1 つのインターフェイスに複数のポートをミラーリングすると、バッファー オーバーフローやパケットのドロップが発生する可能性があります。

どちらの例も、図 5 に示すネットワーク トポロジーを使用しています。

図 5: ローカル ミラーリングのネットワーク トポロジーの例ローカル ミラーリングのネットワーク トポロジーの例

ローカル分析用の全従業員のトラフィックのミラーリング

ローカル分析のために、すべての従業員トラフィックのミラーリングを構成するには、以下のタスクを実行します。

手順

CLIクイック構成

従業員のコンピューターに接続された 2 つのポートへのイングレス トラフィックにローカル ミラーリングを迅速に構成するには、次のコマンドをコピーして、スイッチの端末ウィンドウにペーストします。

ステップバイステップでの手順

employee-monitor という名前のアナライザを構成し、入力(ソース)インターフェイスとアナライザ出力インターフェイスを指定するには:

  1. 従業員のコンピューターに接続されている各インターフェイスを、アナライザー employee-monitor の入力インターフェイスとして構成します。

  2. アナライザの出力インターフェイスを VLAN の一部として構成します。

  3. アナライザ employee-monitor に対して出力アナライザインターフェイスを構成します。これがミラーリングされたパケットの宛先インターフェイスとなります。

結果

構成の結果を確認します。

ローカル分析のための従業員からWebへのトラフィックのミラーリング

従業員から Web へのトラフィックのミラーリングを構成するには:

手順

CLIクイック構成

従業員のコンピューターに接続された 2 つのポートからのトラフィックのローカル ミラーリングを迅速に構成し、外部 Web へのトラフィックのみがミラーリングされるようにフィルタリングを行うには、次のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。

ステップバイステップでの手順

従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ミラーリングを構成するには:

  1. ローカルアナライザインターフェイスを構成します。

  2. employee-web-monitor 出力インスタンスを構成します(インスタンスへの入力はフィルターのアクションから)。

  3. watch-employee というファイアウォール フィルターを構成して、従業員の Web へのリクエストのミラー コピーを employee-web-monitor インスタンスに送信します。企業サブネット(宛先または送信元アドレスが192.0.2.16/24)を行き来するすべてのトラフィックを受け付けます。インターネット宛(宛先ポート 80)のすべてのパケットのミラー コピーを employee-web-monitor インスタンスに送信します。

  4. watch-employee フィルターを適切なポートに適用します。

結果

構成の結果を確認します。

検証

構成が正しいことを確認するために、以下のタスクを実行します。

アナライザが正しく作成済みであることの確認

目的

アナライザ employee-monitor または employee-web-monitor が、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

対処

show forwarding-options analyzer コマンドを使用して、アナライザーが正しく構成されていることを確認できます。

意味

この出力は、アナライザ employee-monitor の比率が 1(すべてのパケットをミラーリング、デフォルト設定)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、構成の状態(is up は、アナライザが ge-0/0/0、ge-0/0/1 インターフェイスに入るトラフィックをミラーリングし、ミラーリングしたトラフィックを ge-0/0/10 インターフェイスに送信していることを示す)を示します。出力インターフェイスの状態が down である場合、または出力インターフェイスが構成されていない場合、状態の値は down となり、アナライザにミラーリングのプログラムは行われません。

ポートミラーリング インスタンスが正しく構成されていることを確認する

目的

ポートミラーリングインスタンス employee-web-monitor が,適切な入力インターフェイスでスイッチ上に正しく構成されていることを確認します。

対処

show forwarding-options port-mirroring コマンドを使用することで、ポートミラーリング インスタンスが正しく構成されていることを確認できます。

意味

この出力は、employee-web-monitor インスタンスの比率が 1(すべてのパケットをミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、構成の状態が up でポート ミラーリングがプログラムされていること、ファイアウォール フィルター アクションからのミラーされたトラフィックがインターフェイス ge-0/0/10.0 で送出されていることを示します。出力インタフェースの状態が down である場合、またはインターフェイスが構成されていない場合、状態の値は down となり、ポートミラーリングはミラーリング用にプログラムされません。

例:EX4300 スイッチにおける従業員リソース使用のリモート監視のためのミラーリングの設定

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。EX4300 スイッチで従業員リソース使用のリモート監視のためのミラーリングの設定。ELS の詳細についてはこちらをご覧ください。拡張レイヤー 2 ソフトウェアのスタートガイド

EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • EX4300 スイッチ上で VLAN に入るパケット

アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。

このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、スイッチ上のポートに入るトラフィックを remote-analyzer VLAN にミラーリングする方法について説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックだけをミラーリングするためのフィルターが含まれています。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング セッションを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。

この例では、リモート ミラーリングの設定方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降

  • 他の EX4300 スイッチに接続された EX4300 スイッチ

この図は、EX4300 宛先スイッチに接続された EX4300 バーチャル シャーシを示しています。

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

  • ミラーリングの概念を理解できました。

  • アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、 remote-analyzer VLAN へのミラーリングを設定する方法について説明します。最初の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。

図 6 は、これら両方の例のシナリオのネットワークトポロジーを示しています。

トポロジー

図 6: リモートミラーリングのネットワークトポロジーの例リモートミラーリングのネットワークトポロジーの例

この例では:

  1. インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。

  2. インターフェイス ge-0/0/10 は、送信元のスイッチと宛先スイッチを接続するレイヤー 2 インターフェイスです。

  3. インターフェース ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。

  4. VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定remote-analyzerされています。

すべての従業員のトラフィックをミラーリングしてリモート分析

従業員のすべての送受信トラフィックを対象としたリモートトラフィック分析用のアナライザを設定するには、次の手順に従います。

手順

CLIクイック構成

従業員の送受信トラフィックを対象としたリモートトラフィック分析用のアナライザをすばやく設定するには、次のコマンドをコピーして、スイッチのターミナルウィンドウに貼り付けます。

  • 送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

  • 宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

ステップバイステップでの手順

基本的なリモートポートミラーリングを設定するには:

  1. 送信元スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランクモードで、宛先スイッチに接続されているネットワークポート上のインターフェイスを設定し、 remote-analyzer VLAN に関連付けます。

    • アナemployee-monitorライザーを設定します。

  2. 宛先スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランクモードで、宛先スイッチ上のインターフェイスを設定し、 remote-analyzer VLAN に関連付けます。

    • トランクモードで、宛先スイッチに接続されているインターフェイスを設定します。

    • アナemployee-monitorライザーを設定します。

結果

送信元スイッチ上の設定の結果を確認します。

宛先スイッチ上の設定の結果を確認します。

従業員から Web サイトへのトラフィックをミラーリングして、リモート分析

従業員から Web サイトへのリモートトラフィック分析のために、ポートミラーリングを設定するには、以下のタスクを実行します。

手順

CLIクイック構成

従業員のトラフィックを外部の Web にミラーリングするポートミラーリングを素早く設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • 送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

  • 宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

ステップバイステップでの手順

リモート監視ステーションから使用するために、従業員のコンピューターに接続された 2 つのポートから remote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを設定するには:

  1. 送信元スイッチ上:

    • employee-web-monitor のポートミラーリングインスタンスを設定します。

    • remote-analyzer VLAN の VLAN ID を設定します。

    • remote-analyzer VLAN に関連付けるようにインターフェイスを設定します。

    • watch-employeeと呼ばれるファイアウォールフィルターを設定します。

    • 従業員のインターフェイスにファイアウォールフィルターを適用します。

  2. 宛先スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランクモードで、宛先スイッチ上のインターフェイスを設定し、 remote-analyzer VLAN に関連付けます。

    • トランクモードで、宛先スイッチに接続されているインターフェイスを設定します。

    • アナemployee-monitorライザーを設定します。

結果

送信元スイッチ上の設定の結果を確認します。

宛先スイッチ上の設定の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

アナライザが正しく作成済みであることの確認

目的

employee-monitor または employee-web-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

対処

アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。

送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow analyzerンドを実行します。この設定の例では、以下の出力が表示されます:

意味

この出力では、 employee-monitor インスタンスの比率が 1 (すべてのパケットをミラーリングする、デフォルト)、ミラーリングされた元のパケットの最大サイズ (0 はパケット全体を示す)、設定の状態が up (適切な状態であり、アナライザーがプログラムされており、ge-0/0/0 と ge-0/0/1 に入るトラフィックをミラーリングし、ミラーリングされたトラフィックを remote-analyzer という VLAN に送っていることを示す) と表示されています。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合、状態の値はダウンとなり、アナライザにミラーリングのプログラムは行われません。

例:トランジット スイッチまたは EX4300 スイッチにを通した従業員による使用のリモート監視のためのミラーリングの設定

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。

EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • EX4300 スイッチ上で VLAN に入るパケット

アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。

このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明する例を紹介します。これによって、リモート監視ステーションから分析できるようになります。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング セッションを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。

この例では、スイッチを介してリモート ミラーリングを設定する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3 つめの EX4300 スイッチを介して他の EX4300 スイッチに接続された EX4300 スイッチ

  • EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

  • ミラーリングの概念を理解できました。

  • アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

この例ではスイッチ上のポートに入るトラフィックをスイッチを、トランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明します。これによって、リモート監視ステーションから分析を実行できます。この例では、従業員のコンピューターからリモート アナライザにトラフィックをミラーリングするスイッチを設定する方法を示しています。

この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されたエグレス インタフェースにミラーリングするために、宛先スイッチにアナライザ セッションが必要となります。トランジット スイッチ上の remote-analyzerVLAN の MAC 学習を無効にするため、トランジット スイッチ上の remote-analyzerVLAN のすべてのメンバー インターフェイスに対して MAC 学習を無効にする必要があります。

図 7は、この例のネットワーク トポロジーを示しています。

トポロジー

図 7: トランジット スイッチ ネットワークサンプル トポロジーを通したリモート ミラーリングトランジット スイッチ ネットワークサンプル トポロジーを通したリモート ミラーリング

この例では:

  • インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。

  • インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/11 は、スイッチ上のレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、スイッチに接続します。

  • インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。

  • インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。

  • VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定remote-analyzerされています。

トランジット スイッチを通してリモート分析のすべての従業員のトラフィックのミラーリング

トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。

手順

CLIクイック構成

トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • 送信元スイッチ(監視されたスイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。

  • トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。

  • 宛先スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。

ステップバイステップでの手順

トランジット スイッチを介してリモート ミラーリングを設定するには:

  1. 送信元スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランク モードでトランジット スイッチに接続されたネットワーク ポート上のインターフェイスを設定し、 remote-analyzerVLAN に関連付けます。

    • アナemployee-monitorライザーを設定します。

  2. トランジット スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランク モードの ge-0/0/11 インターフェイスを設定し、remote-analyzerVLAN に関連付けます。

    • トランク モードの インターフェイスを設定して、 remote-analyzerVLAN に関連付け、エグレス トラフィックのインターフェge-0/0/12イスのみを設定します。

    • remote-analyzerVLAN の オno-mac-learningプションを設定して、 remote-analyzerVLAN のメンバーであるすべてのインターフェイスで MAC 学習を無効にします。

  3. 宛先スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • トランク モードの ge-0/0/13 インターフェイスを設定し、 remote-analyzerVLAN に関連付け、イングレス トラフィックのインターフェイスのみを設定します。

    • トランク モードのリモート監視ステーションに接続されたインターフェイスを設定します。

    • アナemployee-monitorライザーを設定します。

結果

送信元スイッチ上の設定の結果を確認します。

トランジット スイッチ上の設定の結果を確認します。

宛先スイッチ上の設定の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

アナライザが正しく作成済みであることの確認

目的

employee-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

対処

アナライザが コマshow analyzerンドを使用して、想定どおりに設定されているかどうかを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。

送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow analyzerンドを実行します。この設定の例では、以下の出力が表示されます。

意味

この出力は、 アナemployee-monitorライザは比率が 1(各パケットをミラーリング、デフォルト)であり、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングし、アナライザ にミラーリングされたトラフィックを送信することを示していますremote-analyzer