Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポートミラーリングとアナライザー

SUMMARY このセクションでは、ポート ミラーリングがネットワーク トラフィックをアナライザ アプリケーションに送信する方法について説明します。

ポート ミラーリングとアナライザについて

ポート ミラーリングとアナライザ によって、アナライザ アプリケーションが実行されているデバイスにネットワーク トラフィックが送信されます。ポート ミラーは、レイヤー 3 IP トラフィックをインターフェイスにコピーします。アナライザは、ブリッジド(レイヤー 2)パケットをインターフェイスにコピーします。ミラーリング トラフィックは、1 つのインターフェイスまたは複数のインターフェイスから取得できます。アナライザ アプリケーションを実行しているミラー出力インターフェイスに接続されたデバイスを使用して、監視コンプライアンス、ポリシーの適用、侵入検知、ネットワーク パフォーマンスの監視、イベントの関連付けなどのネットワーク問題などのタスクを実行できます。

ASIC(インターネット プロセッサー II アプリケーション固有集積回路)または T Series インターネット プロセッサーを含むルーター上で、ポートに入る、またはポートを出る、または VLAN に入るユニキャスト パケットをコピーして、これらのコピーをローカル 監視用に、または VLAN に送信してリモート監視を行います。ミラーリングされたトラフィックは、そのトラフィックの分析に役立つアプリケーションによって受信されます。

ポートミラーリングはトラフィックサンプリングとは異なります。トラフィックのサンプリングでは、IPv4 ヘッダーに基づいたサンプリング キーが ルーティング エンジン に送信され、鍵がファイルまたは cflowd に配置されます。その鍵に基づいたパケットが、cflowd サーバーに送信されます。ポート ミラーリングでは、パケット全体がコピーされ、指定されたインターフェイスを介して送信されます。このインターフェースでは、パケットがキャプチャして詳細に分析できます。

ポートミラーリングを使用してトラフィックを分析し、トラフィックの監視、ポリシーの適用、侵入検知、トラフィックパターンの監視と予測、イベントの関連付けなどを目的として、通信デバイスに送信します。ポートミラーリングが必要なのは、トラフィック分析を実行する場合です。通常、スイッチは宛先デバイスが接続されているポートにのみパケットを送信します。通常、元のパケットを転送する前に分析用に送信したくない場合があるため、一般的には、ポートミラーリングを構成してユニキャストトラフィックのコピーを別のインターフェイスに送信し、analyzer アプリケーションが、そのインターフェイスに接続されたデバイス上で実行します。.

ポートミラーリングを構成するには、ポートミラーリングインスタンスを構成します。このインスタンスの入力を指定する必要はありません。その代わりに、必要なトラフィックを指定するファイアウォールフィルターを作成し、フィルターのport-mirrorthen条件としてアクションを含めることで、それをインスタンスに指示します。ファイアウォールフィルタはとfamily inetして設定する必要があります。

ポートミラーリングを構成する際には、パフォーマンスを維持してください。ファイアウォールフィルターを構成して、必要なパケットのみをミラーリングすることで、パフォーマンスへの影響が軽減されます。

同じアナライザ設定で入力トラフィックと出力トラフィックの両方を定義するアナライザ ステートメントを設定できます。分析するトラフィックには、インターフェイスに対して入退出するトラフィックや、VLAN に入るトラフィックがあります。Analyzer 設定では、このトラフィックを出力インターフェイス、インスタンス、または VLAN に送信できます。[edit forwarding-options analyzer]階層構造でアナライザーを設定できます。

注:

EX4400-24T プラットフォームでは、リモート ポート ミラーリング VLAN 内の任意のインターフェイスを無効にした場合、無効化されたインターフェイスを再び有効にし、アナライザ セッションを再設定してポート ミラーリングを再開する必要があります。

ポート ミラーリングは、次の場合にコピーできます。

  • インターフェイスに組み合わせてインターフェイスに入り込む、または終了する全パケット。一部のインターフェイスに入るパケットと他のインターフェイスから出たパケットのコピーを、同じローカル インターフェイスまたは VLAN に送信できます。インターフェイスから出たパケットをコピーするためにポート ミラーリングを設定した場合、そのスイッチまたはノード デバイス(QFabric システム内)で発生したトラフィックは、エグレス時にコピーされません。エ グレスに コピーされるのはスイッチされたトラフィックのみです。(以下の出力ミラーリングでの制限を参照してください)。

  • VLANに入るパケットの一部またはすべて。ポート ミラーリングを使用して、VLAN から出たパケットをコピーすることはできません。

  • ポートまたは VLAN に入るパケットのファイアウォールでフィルタリングされたサンプル。

    注:

    ファイアウォール フィルターは、エグレス ポートではサポートされていません。インターフェイスから送信されたパケットのポリシーベースのサンプリングは指定できません。

トラフィックのサンプリングとポート ミラーリングの両方を設定し、ポート ミラーリング パケットに対して個別のサンプリング レートとラン長を設定できます。ただし、トラフィックのサンプリングとポート ミラーリングの両方にパケットが選択された場合は、優先されるポート ミラーリングだけが実行されます。言い換えると、インターフェースを設定して、インターフェースへの各パケット入力のトラフィックをサンプリングし、ポート ミラーリングによって、そのパケットをコピーして宛先ポートに送信する選択も行う場合、ポート ミラーリング プロセスだけが実行されます。ポート ミラーリングに対して選択されていないトラフィック サンプル パケットは引き続きサンプリングされ、cflowd サーバーに転送されます。

このトピックで使用される用語の詳細については、 を参照 ポート ミラーリングとアナライザの条件と定義 してください。

インスタンス タイプ

ポート ミラーリングを設定するには、以下のいずれかのタイプのインスタンスを設定します。

  • アナライザ インスタンス — インスタンスの入力と出力を指定します。このインスタンス タイプは、インターフェイスを通過する、または VLAN に入るすべてのトラフィックがミラーリングされ、アナライザに送信されるのに役立ちます。

  • ポート ミラーリング インスタンス — 必要なトラフィックを識別するファイアウォール フィルタを作成し、それをミラー ポートにコピーします。このインスタンスタイプには入力を指定しません。このインスタンス タイプは、ミラーリングされるトラフィックのタイプを制御する場合に便利です。トラフィックは以下の方法で送信できます。

    • 複数のポート ミラーリング インスタンスが定義されている場合にアクションを使用して、ファイアウォール フィルター内のポート ミラーリング インスタンスの名前 port-mirror-instance instance-name を指定します。

    • ポート ミラーリング インスタンスが 1 つしか定義されていない場合にアクションを使用して、インスタンスで定義された出力インターフェイスにミラーリング パケット port-mirror を送信します。

ポートミラーリングと STP

ポートミラーリング構成での STP の動作は、使用している Junos OS のバージョンによって異なります。

  • Junos OS 13.2 X50、Junos OS 13.2 X51-D25 またはそれ以前、Junos OS 13.2 X52: STP が有効になっている場合、STP がミラーリングパケットをブロックする可能性があるため、ポート ミラーリングが成功しない可能性があります。

  • Junos OS 13.2 X51-D30、Junos OS 14.1 X53: ミラートラフィックでは、STP は無効になっています。トポロジでこのトラフィックのループが防止されている必要があります。

制約および制限

ポート ミラーリングには、以下の制約と制限が適用されます。

分析に必要なパケットのみをミラーリングすると、全体的なパフォーマンスが低下する可能性が低下します。複数のポートからのトラフィックをミラーリングする場合、ミラーリングしたトラフィックは出力インターフェイスの容量を超える可能性があります。オーバーフローパケットが破棄されます。ミラーリングしたトラフィックの量は、特定のインターフェイスを選択して制限し、キーワードを使用しないようにすることをお勧 all めします。また、ファイアウォール フィルタを使用して特定のトラフィックをポートミラーリング インスタンスに送信することで、ミラーリングしたトラフィックの量を制限することができます。

  • 最大4つのポートミラーリング構成を作成できます。

  • QFabric システムの各 Node グループには、以下の制約が適用されます。

    • 最大 4 つの設定をローカル ポート ミラーリングに使用できます。

    • 最大 3 つの設定をリモート ポート ミラーリングに使用できます。

  • スタンドアロン スイッチまたはノード グループを設定する場合は、以下を実行します。

    • 受信トラフィックをミラーリングする設定は2つ以下でなければなりません。ミラーリング トラフィックをポートに送信するファイアウォール フィルタを設定した場合、これはフィルタが適用されたスイッチまたはノード グループのイングレス ミラーリング設定 としてカウントされます。

    • 送信トラフィックをミラーリングする設定は2つ以下でなければなりません。

    • QFabric システムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • 次のステートメントを完了するには、1 つのポート ミラーリング設定で設定できる出力のタイプは 1 set analyzer name output つのみです。

    • interface

    • ip-address

    • vlan

  • 同じ物理インターフェイスに対して、1 つの論理インターフェイスでのみ( set forwarding-options analyzer とともに)、ミラーリングを設定します。物理インターフェイス上に設定された複数の論理インターフェイスでミラーリングを設定すると、最初の論理インターフェイスだけが正常に設定されます。残りの論理インターフェイスは設定エラーを返します。

  • エグレス パケットをミラーリングする場合、スタンドアロン スイッチまたは QFabric システムに 2,000 を超える VLAN を設定しません。指定した場合、一部の VLAN パケットに正しくない VLAN IP が含まれている場合があります。これは、ミラーリングされたコピーではなく、すべての VLAN パケットに適用されます。

  • ratioおよびloss-priorityオプションはサポートされていません。

  • 物理レイヤー エラーが発生したパケットは、出力ポートまたは VLAN に送信されません。

  • sFlow 監視を使用してトラフィックをサンプリングする場合、ミラー コピーが出力インターフェイスを出してもサンプリングされません。

  • 終了するか、以下のポートを入力してパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス (me0 または vme0)

    • ファイバーチャネルインターフェイス

    • IRB(統合型ルーティングおよびブリッジング)インターフェイス(ルーテッド VLAN インターフェイスまたは RVI とも呼ばれる)

  • 入力が VLAN の場合、またはトラフィックがファイアウォール フィルターを使用してアナライザに送信された場合、アグリゲート イーサネット インターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、送信上の元のパケットに適用される可能性がある変更(書き換えや書き換えなど)について、CoSされません。

  • インターフェイスは、1つのミラーリング構成に対してのみ、入力インターフェイスとして使用できます。複数のミラーリング構成の入力インターフェイスと同じインターフェイスを使用しないでください。

  • CPU で生成されたパケット (ARP、ICMP、BPDU、LACP パケットなど) は、送信時にミラーリングできません。

  • VLAN ベースミラーリングは、STP トラフィックに対してはサポートされていません。

  • (QFabric システムのみ)QFabric アナライザを設定してエグレス トラフィックをミラーリングし、入出力インターフェイスが異なるノード デバイス上にある場合、ミラーリングされたコピーには間違った VLAN IP があります。

    この制限は、送信トラフィックをミラーリングするように QFabric アナライザを構成していて、入力および出力インターフェイスが同じノードデバイス上にある場合には適用されません。この場合、ミラーリングされたコピーには正しいVLAN IPが含まれる(QFabricシステムで2,000を超えるVLANを設定していない限り)。

  • 真のエグレス ミラーリングは、正確なコピー数と、エグレス ポートに送信されたパケットの修正をミラーリングすると定義されています。QFX5xxx のプロセッサー(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210 を含む)および EX4600(EX4600 と EX4650 を含む)の各スイッチは、イングレス パイプラインにエグレス ミラーリングを実装します。そのため、エグレス ミラーリング トラフィックは正確なエグレス パケット変更を提供しないので、エグレス ミラーリング トラフィックは元のトラフィック内のタグとは異なる不正な VLAN タグを伝送できます。

  • VLAN カプセル化を実行するインターフェイスから出たトラフィックをミラーリングするポート ミラーリング インスタンスを設定した場合、ミラーリングしたパケットの送信元と宛先の MAC アドレスは、元のパケットのアドレスと同じではありません。

  • LAG のメンバーインターフェイスでのミラーリングはサポートされていません。

  • 送信 VLAN ミラーリングはサポートされていません。

リモートポートミラーリングには、以下の制約と制限が適用されます。

  • 出力 IP アドレスを設定した場合、そのアドレスをスイッチ管理インターフェイスと同じサブネットワークに含めすることはできません。

  • 仮想ルーティング インスタンスを作成し、出力 IP アドレスを含むアナライザ設定を作成した場合、出力 IP アドレスはデフォルトの仮想ルーティング インスタンス(inet.0 ルーティング テーブル)に属します。

  • 出力 VLAN をプライベート VLAN または VLAN 範囲にすることはできません。

  • 出力 VLAN を複数analyzerのステートメントで共有することはできません。

  • 出力用 VLAN インターフェイスは、他の VLAN のメンバーになることはできません。

  • 出力 VLAN インターフェイスは、アグリゲート型イーサネットインターフェイスであってはなりません。

  • 出力 VLAN に複数のメンバーインターフェイスがある場合、トラフィックは VLAN の最初のメンバーにのみミラーリングされ、同じ VLAN の他のメンバーはミラー化されたトラフィックを保持しません。

  • リモートポートミラーリング用に複数のアナライザーセッションを IP アドレス (GRE カプセル化) に設定しようとしていて、アナライザーの IP アドレスが同じインターフェイスを介して到達可能な場合は、1つのアナライザセッションのみが設定されます。

  • リモート ポート ミラーリングで可能な出力インターフェイス数は、QFX5K シリーズのスイッチによって異なります。

    • QFX5110、QFX5120、QFX5210—最大 4 つの出力インターフェイスをサポート

    • QFX5100とQFX5200—最大3つの出力インターフェイスをサポートします。

  • リモート ポート ミラーリング VLAN のメンバーがその VLAN から削除されるたびに、その VLAN のアナライザ セッションを再構成します。

制限および制限(QFX5100およびQFX5200 スイッチ

以下の考慮事項は、ポート ミラーリングの設定にQFX5100しQFX5200 スイッチ。

  • 出力を IP アドレスにミラーリングして設定する場合、宛先 IP アドレスに到達可能で、ARP を解決する必要があります。
  • ECMP(等コスト複数パス)ロード バランシングは、ミラーリングされた宛先ではサポートされていません。

  • RSPAN(リモート ポート ミラーリング)の出力インターフェイス数は異なります。最大QFX5110、QFX5120、QFX5210の最大出力インターフェイスは 4 個です。ネットワーク スイッチQFX5100とQFX5200最大 3 です。

  • リンク アグリゲーション グループ(LAG)をミラーリング出力インターフェイスとして指定すると、最大 8 個のインターフェイスがミラーリングされます。

  • ミラーリング入力には、LAG、任意のユニット(ae0.101、xe-0/0/0.100など)を持つ物理インターフェイス、またはサブインターフェイスを使用できます。いずれにしても、LAGまたは物理インターフェイス上のすべてのトラフィックがミラーリングされます。

  • LAG のメンバー インターフェイス上に独立ミラーリング インスタンスを設定することはできません。

  • 1 つのミラーリング インスタンスに含まれる出力インターフェイスは、別のミラーリング インスタンスでも使用できません。

  • ローカル ミラーリングの場合、出力インターフェイスは VLAN の使用/なし(つまり、レイヤー 3 インターフェイスではない)のファミリー イーサネット スイッチングである必要があります。

  • ERSPAN IPv6 アドレスの場合、アナライザ/ポート ミラーリングへの出力がリモート IPv6 アドレスの場合、エグレス ミラーリングはサポートされていません。エグレス ミラーはサポートされていません。

QFabric のポート ミラーリング

ローカルおよびリモートポートミラーリングには、以下の制約と制限が適用されます。

  • 最大4つのポートミラーリング構成を作成できます。

  • QFabric システムの各 Node グループには、以下の制約が適用されます。

    • 最大 4 つの設定をローカル ポート ミラーリングに使用できます。

    • 最大 3 つの設定をリモート ポート ミラーリングに使用できます。

  • スタンドアロン スイッチまたはノード グループを設定する場合は、以下を実行します。

    • 受信トラフィックをミラーリングする設定は2つ以下でなければなりません。ミラーリング トラフィックをポートに送信するファイアウォール フィルターを設定した場合(つまり、フィルタ条件で大小節が適用されるアクションを使用します)、これは、フィルタが適用されるスイッチまたはノード グループのイングレス ミラーリング設定としてカウントされます。 analyzer

    • 送信トラフィックをミラーリングする設定は2つ以下でなければなりません。

    • QFabric システムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • 次のステートメントを完了するには、1 つのポート ミラーリング設定で設定できる出力のタイプは 1 set analyzer name output つのみです。

    • interface

    • ip-address

    • vlan

  • 同じ物理インターフェイスに対して、1 つの論理インターフェイスでのみ( set forwarding-options analyzer とともに)、ミラーリングを設定します。物理インターフェイス上に設定された複数の論理インターフェイスでミラーリングを設定すると、最初の論理インターフェイスだけが正常に設定されます。残りの論理インターフェイスは設定エラーを返します。

  • エグレス パケットをミラーリングする場合、スタンドアロン スイッチまたは QFabric システムに 2,000 を超える VLAN を設定しません。指定した場合、一部の VLAN パケットに正しくない VLAN IP が含まれている場合があります。これは、ミラーリングされたコピーではなく、すべての VLAN パケットに適用されます。

  • ratioおよびloss-priorityオプションはサポートされていません。

  • 物理レイヤー エラーが発生したパケットは、出力ポートまたは VLAN に送信されません。

  • sFlow 監視を使用してトラフィックをサンプリングする場合、ミラー コピーが出力インターフェイスを出してもサンプリングされません。

  • 終了するか、以下のポートを入力してパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス (me0 または vme0)

    • ファイバーチャネルインターフェイス

    • IRB(統合型ルーティングおよびブリッジング)インターフェイス(ルーテッド VLAN インターフェイスまたは RVI とも呼ばれる)

  • 入力が VLAN の場合、またはトラフィックがファイアウォール フィルターを使用してアナライザに送信された場合、アグリゲート イーサネット インターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、送信上の元のパケットに適用される可能性がある変更(書き換えや書き換えなど)について、CoSされません。

  • インターフェイスは、1つのミラーリング構成に対してのみ、入力インターフェイスとして使用できます。複数のミラーリング構成の入力インターフェイスと同じインターフェイスを使用しないでください。

  • CPU で生成されたパケット (ARP、ICMP、BPDU、LACP パケットなど) は、送信時にミラーリングできません。

  • VLAN ベースミラーリングは、STP トラフィックに対してはサポートされていません。

  • (QFabric システムのみ)QFabric アナライザを設定してエグレス トラフィックをミラーリングし、入出力インターフェイスが異なるノード デバイス上にある場合、ミラーリングされたコピーには間違った VLAN IP があります。

    この制限は、送信トラフィックをミラーリングするように QFabric アナライザを構成していて、入力および出力インターフェイスが同じノードデバイス上にある場合には適用されません。この場合、ミラーリングされたコピーには正しいVLAN IPが含まれる(QFabricシステムで2,000を超えるVLANを設定していない限り)。

  • 真のエグレス ミラーリングは、正確なコピー数と、エグレス ポートに送信されたパケットの修正をミラーリングすると定義されています。QFX5xxx のプロセッサー(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210 を含む)および EX4600(EX4600 と EX4650 を含む)の各スイッチは、イングレス パイプラインにエグレス ミラーリングを実装します。そのため、エグレス ミラーリング トラフィックは正確なエグレス パケット変更を提供しないので、エグレス ミラーリング トラフィックは元のトラフィック内のタグとは異なる不正な VLAN タグを伝送できます。

  • VLAN カプセル化を実行するインターフェイスから出たトラフィックをミラーリングするポート ミラーリング インスタンスを設定した場合、ミラーリングしたパケットの送信元と宛先の MAC アドレスは、元のパケットのアドレスと同じではありません。

  • LAG のメンバーインターフェイスでのミラーリングはサポートされていません。

  • 送信 VLAN ミラーリングはサポートされていません。

OCX シリーズ サーバー上のポート ミラーリングスイッチ

OCX シリーズスイッチのポートミラーリングには、以下の制約と制限が適用されます。

  • 最大4つのポートミラーリング構成を作成できます。イングレス トラフィックまたはエグレス トラフィックをミラーリングする設定は、3 つ以下にできます。

  • sFlow 監視を使用してトラフィックをサンプリングする場合、ミラー コピーが出力インターフェイスを出してもサンプリングされません。

  • 1つのポートミラーリングセッションのみを作成できます。

  • 終了するか、以下のポートを入力してパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス (me0 または vme0)

    • ファイバーチャネルインターフェイス

    • ルーティングされた VLAN インターフェイスまたは IRB インターフェイス

  • 集合イーサネットインターフェイスは、出力インターフェイスであってはなりません。

  • ポートミラーリング構成に0以外のユニット番号を持つ 802.1 Q サブインターフェイスを含めないでください。ポート ミラーリングは、ユニット番号が 0 ではない場合、サブインターフェイスでは機能しません。(ステートメントを使用して、802.1Q サブインターフェイスを vlan-tagging 設定します)。

  • パケットコピーが出力インターフェイスから送信された場合、通常、CoS リライトなど、出口に適用される変更に対しては変更されません。

  • インターフェイスは、1つのミラーリング構成に対してのみ、入力インターフェイスとして使用できます。複数のミラーリング構成の入力インターフェイスと同じインターフェイスを使用しないでください。

  • CPU で生成されたパケット (ARP、ICMP、BPDU、LACP パケットなど) は、送信時にミラーリングできません。

  • VLAN ベースミラーリングは、STP トラフィックに対してはサポートされていません。

ポート ミラーリング(EX2300、EX3400、EX4300 スイッチ

スイッチのトラフィック分析には、ハブとは異なり、スイッチが宛先デバイス上のすべてのポートにパケットをブロードキャストすることはないため、ミラーリングが必要になる場合があります。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

概要

Junos OS EX2300、EX3400、EX4300 シリーズ スイッチで実行される拡張レイヤー 2 ソフトウェア(ELS)設定をサポートし、これらのスイッチ上のトラフィックをパケット レベルで容易に分析できます。

ポート ミラーリングを使用すると、ローカル監視のためにパケットをローカル インターフェイスにコピーし、リモート監視用に VLAN にパケットをコピーします。分析機能を使用して、ネットワークの使用状況とファイル共有に関するポリシーを適用し、特定のステーションやアプリケーションによる異常な帯域幅や重い帯域幅の使用状況を特定することで、ネットワーク上の問題の原因を特定できます。

ポート ミラーリングは階層レベルで [edit forwarding-options port-mirroring] 設定されています。ルーティングされた(レイヤー 3)パケットをミラーリングするには、ステートメントが または に設定されているポート ミラーリング設定 family を使用 inet できます inet6

ポートミラーリングを使用して、これらのパケットをコピーできます。

  • Packets entering or exiting a port:最大 256 ポートのポートで受信または終了するパケットを任意に組み合わせて、パケットをミラーリングできます。

    つまり、一部のポートに入るパケットと、他のポートから出たパケットを同じローカル アナライザ ポートまたはアナライザ VLAN に送信できます。

  • Packets entering a VLAN:VLAN に入るパケットを、ローカル アナライザ ポートまたはアナライザ VLAN にミラーリングできます。アナライザへのイングレス入力として、VLAN 範囲と PVLAN を含む最大 256 の VLAN を設定できます。

  • Policy-based sample packets:ポートまたは VLAN に入るパケットのポリシーベースのサンプルをミラーリングできます。ファイアウォール フィルタ を設定 して、ミラーリングするパケットを選択し、サンプルをポート ミラーリング インスタンスまたはアナライザ VLAN に送信するポリシーを確立します。

インターフェイス、ルーティング インスタンス、VLAN などの出力宛先にユニキャスト トラフィックのコピーを送信するには、スイッチ上でポート ミラーリングを設定できます。その後、プロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。プロトコル・アナライザ・アプリケーションは、analyzer 出力インターフェースに接続されたコンピューターまたはリモート監視ステーションのいずれかで実行できます。入力トラフィックについては、ファイアウォールフィルタ条件を構成して、ファイアウォールフィルタが適用されるインターフェイスで、ポートミラーリングをすべてのパケットに適用するかどうかを指定できます。アクションport-mirrorによって構成されたファイアウォールフィルタport-mirror-instance name 、または (集合イーサネット論理インタフェースを含む) 入出力論理インタフェース、VLAN へ転送またはあふれするトラフィック、VPLS への転送またはあふれたトラフィックを適用できます。ルーティングインスタンスEX2300、EX3400、EX4300 スイッチは、レイヤー 2 環境での VPLS( または )トラフィックのポート ミラーリングと VPN トラフィック family ethernet-switchingfamily vplsfamily ccc をサポートします。

ファイアウォール フィルタ条件では、次の方法で ステートメントの下でポート ミラーリング プロパティ then を指定できます。

  • ポートで有効なポートミラーリングプロパティを暗黙的に参照します。

  • ポートミラーリングの特定の名前付きインスタンスを明示的に参照します。

ポートミラーリングとアナライザーの EX2300、EX3400、EX4300 スイッチの構成に関するガイドライン

ポート ミラーリングを設定する場合、特定のガイドラインに従って、ミラーリングから最適なメリットを得することをお勧めします。さらに、すべてのインターフェイスでミラーリングを有効にし、全体的なパフォーマンスに影響を与える可能性があるキーワード オプションを使用する場合に、ミラーリングを使用していない場合は、ミラーリングを無効にし、パケットをミラーリングする必要がある特定のインターフェイス(つまり、アナライザへの入力として特定のインターフェイスを選択する)を選択することをお勧めします。 all 必要なパケットだけをミラーリングすると、パフォーマンスへの潜在的な影響が抑えられます。

ローカルミラーリングでは、複数のポートからのトラフィックが analyzer 出力インターフェイスに複製されます。Analyzer の出力インターフェースが容量の限界に達すると、パケットはドロップされます。そのため、analyzer を設定するときは、ミラーリングされるトラフィックがアナライザ出力インターフェイスの容量を超えていないかどうかを検討する必要があります。

[edit forwarding-options analyzer]階層構造でアナライザーを設定できます。

注:

実際の出力ミラーリングとは、コピーの正確な数と、送信スイッチポートを発生させるパケットの変更そのものをミラーリングしたものです。EX2300 および EX3400 スイッチのプロセッサはイングレス パイプラインでエグレス ミラーリングを実装します。そのため、これらのスイッチは正確なエグレス パケット変更を提供しないので、エグレス ミラーリング トラフィックは元のトラフィック内のタグとは異なる VLAN タグを伝送できます。

表 1 は、サーバー、スイッチ、スイッチのミラーリングに関するEX2300のEX3400ガイドラインEX4300まとめです。

表 1: ポートミラーリングとアナライザーの EX2300、EX3400、EX4300 スイッチの構成に関するガイドライン

参考

価値またはサポート情報

コメント

アナライザーへの受信入力として使用できる Vlan の数。

256

 

同時に有効にできるポートミラーリングセッションおよびアナライザーの数。

4

合計4つのセッションを構成でき、いつでも以下のいずれか1つを有効にすることができます。

  • 最大4個のポートミラーリングセッション (グローバルポートミラーリングセッションを含む)。

  • 最大4つのアナライザセッション。

  • ポートミラーリングとアナライザセッションの組み合わせでは、この組み合わせの合計は4個でなければなりません。

スイッチには、指定した数を超えるポートミラーリングインスタンスまたはアナライザーを構成できますが、セッションに対しては指定された数のみを有効にすることができます。

トラフィックをミラーリングできないポートのタイプ。

  • バーチャルシャーシポート (vcps)

  • 管理イーサネットポート (me0 または vme0)

  • 統合型ルーティングおよびブリッジング (IRB) インターフェイスを備えています。「ルーティング VLAN インターフェイス」 (Rvi) としても知られています。

  • VLAN タグレイヤー3インターフェイス

 

リモートトラフィック用のポートミラーリング構成に含めることができるプロトコルファミリー。

any

 

ファイアウォール フィルターベースの設定でポート ミラーリング用に設定できるトラフィックの方向。

受信/送信

 

書き換えたサービス クラス(CoS)DSCP または 802.1p ビットを反映したインターフェイスから出るミラーリング パケット。

 

物理層エラーが発生したパケット。

このようなエラーが発生したパケットは除外されるため、analyzer に送信されません。

ポートミラーリングはラインレートトラフィックをサポートしていません。

ラインレートトラフィックに対するポートミラーリングは、ベストエフォート単位で行われます。

パケットのミラー化が VLAN に egressing れます。

対応していない

 

LAG インターフェイスでのポートミラーリングまたはアナライザ出力。

 

ポートミラーリングまたはアナライザの出力 LAG インターフェイスでの子メンバーの最大数。

8

 

リモートポートミラーリングまたはアナライザ VLAN での最大インターフェイス数。

1

 

ホストから生成されたコントロールパケットの送信ミラーリング。

対応していない

 

Analyzer のinputスタンザでレイヤー3論理インタフェースを構成します。

対応していない

この機能を実現するには、ポートミラーリングを構成します。

同じ VLAN または VLAN 自体のメンバーを含む analyzer の入力と出力使いを回避する必要があります。

 

EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、EX8200 スイッチ シリーズ EX8200 ミラーリング

EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、EX8200シリーズのスイッチで実行されるジュニパーネットワークス Junos オペレーティング システム(Junos OS)は、ELS(拡張レイヤー2ソフトウェア)設定をサポートしています。そのため、Junos OS 他の Junos OS パッケージの階層レベルで見つかったステートメントや、ファイアウォール フィルタ条件でのアクションは port-mirroringedit forwarding-optionsport-mirror 含されません。

ポートミラーリングを使用すると、ジュニパーネットワークス EX シリーズイーサネットスイッチ上のトラフィックをパケットレベルで簡単に分析できます。ポートミラーリングは、ネットワークの使用とファイル共有に関するポリシーの適用など、スイッチトラフィックの監視の一部として使用することができます。また、特定の場所で異常または帯域幅の使用状況を特定することで、ネットワーク上の問題の発生源を特定するには、ステーションまたはアプリケーションです。

ポート ミラーリングを使用して、これらのパケットをローカル インターフェイスまたは VLAN にコピーできます。

  • ポートを出入りするパケット

  • 一部のポートに入るパケットのコピーと、他のポートから出たパケットを同じローカル アナライザ ポートまたはアナライザ VLAN に送信できます。

  • パケットが EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、または EX6200 スイッチ上で VLAN に入る

  • EX8200 スイッチ上で VLAN を終了するパケット

概要

スイッチのトラフィック分析にはポート ミラーリングが使用されます。なぜなら、スイッチはハブとは異なり、宛先デバイスの各ポートにパケットをブロードキャストしないからです。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

ユニキャスト トラフィックのコピーをローカル アナライザ ポートまたはアナライザ VLAN に送信するには、スイッチ上でポート ミラーリングを設定します。次に、プロトコル アナライザを使用して、ミラーリングされたトラフィックを分析できます。プロトコル アナライザは、アナライザ出力インターフェイスに接続されたコンピューター上で実行するか、リモート監視ステーションで実行できます。

ポート ミラーリングは、以下のミラーに使用できます。

  • Packets entering or exiting a port:最大 256 ポートのポートで受信または終了するパケットを任意に組み合わせて、パケットをミラーリングできます。

    つまり、一部のポートに入るパケットと、他のポートから出たパケットを同じローカル アナライザ ポートまたはアナライザ VLAN に送信できます。

  • Packets entering a VLAN on an EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—アナライザ VLAN の VLAN に入るパケットをミラーリングできます。EX3200、EX4200、EX4500、EX4550 の各スイッチでは、VLAN 範囲と PVLANs を含む複数の Vlan (最大 256 Vlan) を、アナライザーへの受信入力として設定できます。

  • Packets exiting a VLAN on an EX8200 switch:スイッチ上の VLAN から出たパケットをEX8200アナライザ ポートまたはアナライザ VLAN にミラーリングできます。VLAN 範囲と PVLANs を含む複数の Vlan (最大 256 Vlan) を、analyzer への送信入力として設定できます。

  • Statistical samples—次のパケットの統計サンプルをミラーリングできます。

    • ポートの入力または終了

    • EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、または EX6200 スイッチへの VLAN の入力

    • EX8200 スイッチでの VLAN の終了

    比率を設定して、パケットのサンプル数を指定します。このサンプルは、ローカルアナライザポートまたはアナライザ VLAN に送信できます。

  • Policy-based sample:ポートまたは VLAN に入るパケットのポリシーベースのサンプルをミラーリングできます。ファイアウォールフィルターを構成して、ミラー化するパケットを選択するポリシーを設定します。このサンプルは、ローカルのアナライザポートまたは analyzer VLAN に送信できます。

EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、EX8200 シリーズのスイッチ

ポートミラーリングを構成する場合、特定のガイドラインに従って、ポートミラーリング機能によって最適なメリットが得られるようにすることをお勧めします。さらに、ポート ミラーリングを使用していない場合は、ポート ミラーリングを無効にし、すべてのインターフェイスでポート ミラーリングを有効にし、全体的なパフォーマンスに影響を与えるキーワードを使用する場合に対して、パケットをミラーリングする必要がある特定のインターフェイス(つまり、アナライザへの入力として特定のインターフェイスを選択する)を選択することをお勧めします。 all また、統計的サンプリングを使用して、統計的なサンプルを選択するための比率を設定したり、ファイアウォールフィルターを使用したりして、ミラー化トラフィックの量を制限することもできます。必要なパケットだけをミラーリングすると、パフォーマンスへの潜在的な影響が抑えられます。

ローカルポートミラーリングを使用すると、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。Analyzer の出力インターフェースが容量の限界に達すると、パケットはドロップされます。そのため、analyzer を設定するときは、ミラーリングされるトラフィックがアナライザ出力インターフェイスの容量を超えていないかどうかを検討する必要があります。

注: 説明の「その他すべてのスイッチ」または「すべてのスイッチ」は、ポート ミラーリングをサポートするすべてのスイッチ プラットフォームに適用されます。プラットフォームのサポートの詳細については、機能エクスプローラーを参照してください。
表 2: 構成ガイドライン

参考

説明

コメント

アナライザーへの受信入力として使用できる Vlan 数

  • 1—EX2200 スイッチ

  • 256—EX3200、EX4200、EX4500、EX4550、EX6200 スイッチ

  • 適用されない— EX8200 スイッチ

 

同時に有効にできるアナライザーの数 (スタンドアロンスイッチとバーチャルシャーシの両方に適用)

  • 1 —EX2200、EX3200、EX4200、EX3300、EX6200 スイッチ

  • ポートベースまたはグローバル 1 ポート 7 ポートEX4500 EX4550スイッチ

  • 合計 7、VLAN、ファイアウォール フィルター、LAG に基づいた 1 つ、残りの 6 ベースのファイアウォール フィルター - EX8200 スイッチ

    注:

    ファイアウォールフィルターを使用して設定されたアナライザーは、egressing ポートのパケットのミラーリングをサポートしていません。

  • スイッチには、指定した数以上のアナライザーを設定できますが、セッションに対しては指定した数のみ有効にすることができます。アナライザ disable ethernet-switching-options analyzer name を無効にする場合に使用します。

  • この表の次の行のエントリーを参照してください。これは、ファイアウォール とファイアウォールのスイッチで許可されるファイアウォール フィルターベースのEX4500のEX4550です。

  • EX4550 バーチャルシャーシでは、入力および出力の定義内のポートがバーチャルシャーシ内の異なるスイッチにある場合、1つのアナライザーのみを構成できます。複数のアナライザーを設定するには、analyzer セッション全体をバーチャルシャーシの同じスイッチ上で設定する必要があります。

すべてのスイッチで設定できるファイアウォール フィルター ベースEX4500 EX4550数

  • 1—EX4500スイッチEX4550スイッチ

複数のアナライザーを構成した場合、そのいずれかをファイアウォールフィルターにアタッチすることはできません。

トラフィックをミラーリングできないポートのタイプ

  • バーチャルシャーシポート (vcps)

  • 管理イーサネットポート (me0 または vme0)

  • ルーティングされた VLAN インターフェイス (Rvi)

  • VLAN タグレイヤー3インターフェイス

 

ポートミラーリングが EX8200 スイッチの10ギガビットイーサネットポートを抜けているパケットをミラーリングするように設定されている場合、ミラー化パケットは、10ギガビットイーサネットポートトラフィックの 60% を超えたときに、ネットワークとミラートラフィックの両方でパケットがドロップされます。

  • EX8200 スイッチ

 

比率を指定できるトラフィックの方向

  • 受信のみ — EX8200 スイッチ

  • 受信/送信 — その他すべてのスイッチ

 

ファイアウォールフィルターベースのリモートアナライザーに組み込むことができるプロトコルファミリー

  • スイッチ以外 inetinet6 EX8200

  • 任意 — その他すべてのスイッチ

ローカル アナライザ inetinet6 スイッチをEX8200スイッチ上で使用およびオンにできます。

ファイアウォール フィルターベースの設定でポート ミラーリング用に設定できるトラフィックの方向

  • イングレスのみ — すべてのスイッチ

 

タグ付きインターフェイス上のミラー化パケットには、不適切な VLAN ID または Ethertype が含まれている場合があります。

  • VLAN ID と Ethertype の両方 — EX2200 スイッチ

  • VLAN ID のみ — EX3200 スイッチEX4200スイッチ

  • イーサタイプのみ—EX4500およびEX4550スイッチ

  • 適用されない— EX8200 スイッチ

 

インターフェースを抜けるミラーパケットは、書き換えられたサービスクラス (CoS) DSCP または 802.1 p ビットを反映しません。

  • すべてのスイッチ

 

アナライザが dot1q 、RVI(Routed VLAN Interface)に属するエグレス VLAN がアナライザの入力として設定されている場合、不正な 802.1Q( )ヘッダーを、ルート トラフィック上のミラーリング されたパケットに追加するか、ルート トラフィック上のパケットをミラーリングしません。

  • EX8200 スイッチ

  • 適用されない — その他すべてのスイッチ

回避策として、VLAN の各ポート (メンバーインターフェイス) を送信入力として使用するアナライザーを設定します。

物理レイヤーのエラーが発生したパケットは、ローカルまたはリモートの analyzer に送信されません。

  • すべてのスイッチ

このようなエラーが発生したパケットは除外されるため、analyzer に送信されません。

レイヤー3インターフェイス上のポートミラーリング構成は、VLAN への出力が構成されている場合、EX8200 スイッチでは利用できません。

  • EX8200 スイッチ

  • 適用されない — その他すべてのスイッチ

 

ポートミラーリングはラインレートトラフィックをサポートしていません。

  • すべてのスイッチ

ラインレートトラフィックに対するポートミラーリングは、ベストエフォート単位で行われます。

デバイス間EX8200 バーチャル シャーシミラーリングするには、出力ポートバーチャル シャーシ LAG である必要があります。

  • EX8200 バーチャルシャーシ

  • 適用されない — その他すべてのスイッチ

EX8200 バーチャルシャーシ:

  • LAG はネイティブアナライザー用にのみ、モニターポートとして設定できます。

  • ファイアウォールフィルターに基づいたアナライザーのために、LAG をモニターポートとして設定することはできません。

  • Analyzer の構成で、LAG がモニタ・ポートとして設定されている場合、analyzer の入力定義で VLAN を設定することはできません。

スタンドアロンの EX8200 スイッチでは、出力定義で LAG を設定できます。

  • EX8200 スタンドアロンスイッチ

  • 適用されない — その他すべてのスイッチ

EX8200 スタンドアロンスイッチ:

  • LAG は、ネイティブおよびファイアウォールベースのアナライザーの両方で、モニタポートとして設定できます。

  • LAG にモニタポートとしての設定が含まれている場合、analyzer の入力定義で VLAN を設定することはできません。

SRX デバイスのポート ミラーリング

ポート ミラーリングは、ポートの受信または終了するパケットをコピーし、監視のためにそのコピーをローカル インターフェイスに送信します。ポート ミラーリングは、監視のコンプライアンス、ポリシーの適用、侵入の検知、トラフィック パターンの監視と予測、イベントの関連付けなど、トラフィックを分析するアプリケーションにトラフィックを送信するために使用します。</para><para>Portミラーリングは、すべてのパケットのコピー、またはポートで見られるサンプルパケットのみをネットワーク監視接続に送信するために使用されます。受信ポート(イングレス ポート ミラーリング)または送信ポート(エグレス ポート ミラーリング)でパケットをミラーリングできます。

ポート ミラーリングは、次の I/O カードを持つ SRX デバイスでのみサポートされています。

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOC フレックス I/O

SRX デバイスでは、ポートを通過するパケットすべてが mirrored コピーされ、指定されたポートに送信 mirror-to されます。これらのポートは、I/O カード内の同じ Broadcom チップセット 上にある必要があります。

SRX デバイスでは、ポート ミラーリングは物理インターフェイスでのみ機能します。

レイヤー2ポートミラーリングについて

インターネットプロセッサ II ASIC を含むルーティングプラットフォームとスイッチでは、任意の受信パケットのコピーをルーティングプラットフォームから送信するか、または分析用に外部のホストアドレスまたはパケットアナライザーに切り替えることができます。これはポートミラーリングと呼ばれています。

Junos OS リリース 9.3 以降では、レイヤー 2 環境の ジュニパーネットワークス MX シリーズ 5G ユニバーサル ルーティング プラットフォーム は、レイヤー 2 ブリッジング トラフィックおよび VPLS(仮想プライベート LAN サービス)トラフィック用のポート ミラーリングをサポートします。

Junos OS リリース 9.4 以降では、レイヤー 2 環境の MX シリーズ ルーターは、同タイプの論理インターフェイスを透過的に接続する回線クロスコネクト(CCC)を通してレイヤー 2 VPN トラフィック用のポート ミラーリングをサポートします。

Junos OS Release 12.3 R2 では、ジュニパーネットワークス EX シリーズスイッチはレイヤー2ブリッジングトラフィックのポートミラーリングをサポートしています。

レイヤー ポート ミラーリングを使用すると、指定されたポートでの受信/送信パケットを監視する方法と、選択したパケットのコピーを別の宛先に転送する方法を指定し、パケットを分析できます。

MX シリーズ ルーターと EX シリーズ スイッチは、概念的には同じような(特に他のルーティング プラットフォームやスイッチとは異なる)サービス クラス(CoS)アーキテクチャを使用して、フロー監視機能を実行することで、レイヤー 2 ポート ミラーリングをサポートします。

M120 マルチサービス エッジ ルーターや M320 マルチサービス エッジ ルーターと同様に、MX シリーズ ルーターと EX シリーズ スイッチは、IPv4、IPv6、VPLS パケットのミラーリングを同時にサポートします。

レイヤー 3 環境では、ネットワーク ルーター MX シリーズスイッチEX シリーズ IPv4( )および IPv6( )トラフィックのミラーリングが family inetfamily inet6 サポートされます。レイヤー 3 ポート ミラーリングの詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」 を参照してください

レイヤー 2 ポート ミラーリングのプロパティ

ポートミラーリングでは、以下のタイプのプロパティを指定します。

パケット選択

レイヤー 2 ポート ミラーリングのパケット選択プロパティでは、サンプリングされたパケットをミラーリングに選択する方法を指定します。

  • 各サンプル内のパケット数

  • 各サンプルからミラーリングするパケット数

  • ミラー化されたパケットが切り捨てられる長さです。

パケットアドレスファミリー

パケットアドレスファミリのタイプによって、ミラー化するトラフィックのタイプが指定されます。レイヤー 2 環境では、パケット ルーター MX シリーズスイッチEX シリーズ、次のパケット アドレス ファミリーのポート ミラーリングをサポートします。

  • ファミリー タイプ — 物理インターフェイスがカプセル化タイプで設定されている場合に ethernet-switching VPLS トラフィックをミラーリングする場合 ethernet-bridge

  • ファミリー タイプ ccc — レイヤー 2 VPN トラフィックのミラーリング用。

  • ファミリー タイプ vpls — VPLS トラフィックのミラーリング用。

注:

一般的なアプリケーションでは、ミラーリングしたパケットを別のルーターやスイッチではなく、アナライザに直接送信します。ネットワーク経由でミラー化されたパケットを送信する必要がある場合は、トンネルを使用する必要があります。レイヤー 2 VPN の実装では、レイヤー 2 VPN ルーティング インスタンス タイプを使用して、パケットをリモートの l2vpn 宛先にトンネリングできます。

レイヤー 2 VPN のルーティング インスタンスの設定について、詳しくは ルーティング デバイス用のJunos OS VPN ライブラリ を参照してください。レイヤー 2 VPN の設定の例の詳細については、「 Junos OS 」 を 参照してください。トンネル インターフェイスの詳細については、 ルーティング デバイス用Junos OS インターフェイス ライブラリ を参照してください

ミラーリング先のプロパティ

特定のパケット アドレス ファミリーでは、レイヤー 2 ポート ミラーリング インスタンスのミラー宛先プロパティで、選択したパケットを特定の物理インターフェイスで送信する方法 を指定します。

  • 選択されたパケットを送信するための物理インターフェイスです。

  • ミラー宛先インターフェイスに対してフィルターチェックを無効にするかどうかを示します。デフォルトでは、すべてのインターフェイスでフィルターチェックが有効になっています。

    注:

    レイヤー 2 ポート ミラーリング宛先も含むインターフェイスにフィルタを適用すると、ミラーの宛先インターフェイスに対するフィルタ チェックを無効にしない限り、コミット エラーが発生します

ミラーリングオプション

ポートミラーリングが受信/送信インターフェイスの両方で有効になっている場合は、MX シリーズルーターと EX シリーズスイッチが重複したパケットを同じ宛先に送信しないようにすることができます (これにより、ミラー化トラフィックの分析が複雑になります)。

注:

ミラー化の1回限りのポートミラーリングオプションは、グローバルに設定されています。このオプションは、パケット選択プロパティとパケットファミリタイプ固有のミラー宛先プロパティに依存しません。

レイヤー 2 ポート ミラーリング タイプの適用

レイヤー 2 のポート ミラーリング プロパティは、MX シリーズ またはプロトコル ルートの異なるイングレスまたはエグレス ポイントで VPLS パケットにEX シリーズできます。

表 3 では、リモート ルーターおよびスイッチで設定できる 3 種類のレイヤー 2 MX シリーズ ミラーリングEX シリーズについて説明します。グローバル インスタンス、名前付きインスタンス、ファイアウォール フィルターなどです。

表 3: レイヤー 2 ポート ミラーリング タイプの適用

レイヤー 2 ポート ミラーリングの定義のタイプ

アプリケーションのポイント

ミラーリングの範囲

説明

構成の詳細

レイヤー 2 ポート ミラーリングのグローバル インスタンス

イーサネット ルーター(またはMX シリーズ)シャーシ内のすべてのポート。

アクセス ルーター(またはスイッチ)シャーシ内のすべてのポートMX シリーズ VPLS パケットを受信した。

設定されている場合、グローバル ポート ミラーリング のプロパティは、ルーター(またはスイッチ)シャーシ内のすべてのポートで受信した VPLS パケットすべてに暗黙的に適用されます。

レイヤー2ポートミラーリングのグローバルインスタンスの設定を参照してください。

レイヤー 2 ポート ミラーリングの名前付きインスタンス

FPC レベルでグループ化されたポート

FPC レベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインドを参照してください。

特定の DPC または FPC とそのパケット転送エンジンに関連づけられたポートで受信された VPLS パケット。

グローバルポートミラーリングインスタンスによって構成されたポートミラーリングプロパティを上書きします。

レイヤー2ポートミラーリングの名前付きインスタンスの定義を参照してください。

MX シリーズルーターおよびEX シリーズスイッチでサポートされるポート ミラーリング宛先の数は、ルーターまたはスイッチ シャーシにインストールされているDPCまたはFPCに含まれるパケット転送エンジンの数に制限されます。

PIC レベルでグループ化されたポート

PIC レベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインドを参照してください。

特定のパケット転送エンジンに関連付けられたポートで受信した VPLS パケット。

FPC レベルまたはグローバルポートミラーリングインスタンスで構成されているポートミラーリングのプロパティを上書きします。

レイヤー 2 ポート ミラーリング ファイアウォール フィルター

論理インタフェース(集合イーサネットインターフェイスを含む)

論理インタフェースへのレイヤー2ポートミラーリングの適用を参照してください。

論理インタフェースで受信または送信された VPLS パケット。

ファイアウォール フィルタの設定にはミラーリング用に選択されたパケットに適用するアクションとアクションの変更を指定する条件を指定します。

  • アクション accept を推奨します。

  • この大体の明示的な参照は、現在、基礎となる物理インターフェイスにバインドされているポート ミラーリング プロパティ port-mirror を参照しています。

  • この port-mirror-instance pm-instance-name 大形式では、ポート ミラーリングの名前付きインスタンスを明示的に参照しています。

  • (オプション)トンネル インターフェイスの入力パケットの場合のみ、パケットを追加の宛先にミラーリングするには、大分を含 next-hop-group next-hop-group-name める必要があります。この修飾子は、次ホップアドレスを指定する次ホップグループを参照します (これにより、アナライザーにパケットの追加コピーを送信するために使用されます)。

レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。

注:

レイヤー 2 ポート ミラーリング ファイアウォール フィルターは、論理システムではサポートされていません。

複数の宛先への、トンネルインターフェイス入力パケットのミラーリングについては、レイヤー2ポートミラーリング用のネクストホップグループの定義も参照してください。

VLAN 転送テーブルまたはフラッドテーブル

ブリッジドメインに転送またはあふれするトラフィックにレイヤー2ポートミラーリングを適用するを参照してください。

VLAN へのレイヤー2トラフィックの転送またはあふれ

VPLS ルーティングインスタンス転送テーブルまたはフラッドテーブル

VPLS ルーティングインスタンスに転送またはあふれするトラフィックにレイヤー2ポートミラーリングを適用するを参照してください。

レイヤー2トラフィックを VPLS ルーティングインスタンスに転送またはあふれさせる

レイヤー 2 ポート ミラーリングの制限

レイヤー 2 ポート ミラーリングには、以下の 制限が適用されます

  • ミラーリングできるのは、レイヤー 2 トランジット データ(ルーティング プラットフォームまたはスイッチを転送するデータのチャンクを含むパケット)のみ、送信元から宛先に転送できます。レイヤー 2 ローカル データ(レイヤー 2 制御パケットなど、ルーティング エンジン によって送信されるデータのチャンクを含むパケット)はミラーリングされません。

  • 論理インターフェイスの出力にポート ミラーリング フィルタを適用した場合、ユニキャスト パケットだけがミラーリングされます。ブロードキャスト パケット、マルチキャスト パケット、不明な宛先 メディア アクセス制御(MAC)アドレスを持つユニキャスト パケット、または宛先 MAC(DMAC)ルーティング テーブル 内の MAC エントリーを持つパケットは、VLAN または VPLS(仮想プライベート LAN サービス)ルーティング インスタンスのフラッド テーブルにフィルターを適用します。

  • ミラー宛先デバイスは専用VLAN上にある必要があります。ブリッジング アクティビティに参加すべきではありません。ミラー宛先デバイスに究極のトラフィック宛先へのブリッジを持つ必要はずではなく、ミラー宛先デバイスはミラーリングされたパケットを送信元アドレスに戻す必要があります。

  • グローバルポートミラーリングインスタンスまたは名前付きポートミラーリングインスタンスのどちらの場合も、ポートミラーリングインスタンスおよびパケットアドレスファミリごとに1つのミラー出力インターフェイスのみを構成できます。ステートメントのinterfacefamily (ethernet-switching | ccc | vpls) output下に複数のステートメントを指定した場合はinterface 、前のステートメントがオーバーライドされます。

  • レイヤー 2 ポート ミラーリング ファイアウォール フィルタリングは、論理システムではサポートされていません。

    レイヤー 2 ポート ミラーリングファイアウォール フィルタの定義では、フィルタ( または )は、グローバル インスタンスで定義されたポート ミラーリング プロパティまたは階層の下で設定されたレイヤー action-modifierport-mirrorport-mirror-instance pm-instance-name 2 [edit forwarding-options port-mirroring] ポート ミラーリングの名前付きインスタンスに依存します。そのため、この term フィルタは論理システムのレイヤー 2 ポート ミラーリングをサポートできません。

  • レイヤー 2 ポート ミラーリング ファイアウォール フィルタでは、ステートメントを含めてレイヤー 2 ポート ミラーリング プロパティを暗黙的に参照します。レイヤー 2 ポート ミラーリングの複数の名前付きインスタンスが基礎となる物理インターフェイスにバインドされている場合、論理インターフェイスではスタンザの最初のバインディング(または唯一のバインディング)だけが使用されます。 port-mirror これは下位互換性のために行われます。

  • レイヤー 2 ポート ミラーリング ファイアウォール フィルターは、ロード バランシング ミラーリング トラフィックにネクストホップ サブグループを使用しません。