Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ポートミラーリングとアナライザ

このセクションでは、ポート ミラーリングがネットワーク トラフィックをアナライザ アプリケーションに送信する方法について説明します。

ポートミラーリングとアナライザについて

ポートミラーリング とアナライザは、アナライザアプリケーションを実行するデバイスにネットワークトラフィックを送信します。ポートミラーは、レイヤー3のIPトラフィックをインターフェイスにコピーします。アナライザは、ブリッジ(レイヤー2)パケットをインターフェイスにコピーします。ミラーリングされたトラフィックは、単一または複数のインターフェイスから送信できます。アナライザアプリケーションを実行するミラー出力インターフェイスに接続されたデバイスを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、ネットワークパフォーマンスの監視、イベントの関連付け、およびその他のネットワーク上の問題などのタスクを実行できます。

インターネットプロセッサーII特定用途向け集積回路(ASIC)またはT Seriesインターネットプロセッサーを搭載したルーターでは、ポートミラーリングは、ポートに出入りするユニキャストパケットやVLANに入るユニキャストパケットをコピーし、そのコピーをローカル監視のためにローカルインターフェイスに、またはリモート監視のためにVLANに送信します。ミラーリングされたトラフィックは、そのトラフィックの分析に役立つアプリケーションによって受信されます。

ポートミラーリングは、トラフィックサンプリングとは異なります。トラフィックサンプリングでは、IPv4ヘッダーに基づくサンプリング鍵がルーティングエンジンに送信され、鍵はファイルまたはcflowdに置かれます。その鍵に基づくパケットがcflowdサーバーに送信されます。ポートミラーリングでは、パケット全体がコピーされて、指定されたインターフェイスを介して送信されます。そこでパケットをキャプチャして詳細に分析できます。

ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するデバイスにトラフィックを送信します。スイッチは通常、宛先デバイスが接続されているポートにのみパケットを送信するため、トラフィックを分析する場合はポートミラーリングが必要となります。転送前の元パケットを分析用に送信するのは、遅延の原因となるため避けたいはずです。そのため、一般的な代替案は、ポートミラーリングを設定して、ユニキャストトラフィックのコピーを別のインターフェイスに送信し、そのインターフェイスに接続されたデバイスでアナライザアプリケーションを実行することです。.

ポートミラーリングを設定するには、ポートミラーリングインスタンスを設定します。ただし、入力は指定しないでください。代わりに、必要なトラフィックを指定するファイアウォールフィルターを作成して、インスタンスに誘導します。このためには、フィルターのthen条件でport-mirrorアクションを使用します。ファイアウォールフィルターはfamily inetとして設定する必要があります。

ポートミラーリングを設定する際は、パフォーマンスに留意してください。必要なパケットのみをミラーリングするようにファイアウォールフィルターを設定することで、パフォーマンスに影響を与える可能性が軽減されます。

同じアナライザ設定で入力トラフィックと出力トラフィックの両方を定義するアナライザステートメントを設定できます。分析するトラフィックは、インターフェイスに出入りするトラフィックでも、VLANに入るトラフィックでもかまいません。アナライザ設定により、このトラフィックを出力インターフェイス、インスタンス、またはVLANに送信できます。 [edit forwarding-options analyzer] 階層でアナライザを設定できます。

注:

EXシリーズスイッチでは、リモートポートミラーリングVLAN内のインターフェイスを無効にした場合、ポートミラーリングを再開するには、無効にしたインターフェイスを再度有効にし、アナライザセッションを再設定する必要があります。

ポートミラーリングを使用して以下をコピーできます。

  • 任意の組み合わせのインターフェイスに出入りするすべてのパケット。あるインターフェイスに入るパケットと他のインタフェースから出るパケットのコピーは、同じローカルインターフェイスまたはVLANに送信できます。ポートミラーリングを設定してインターフェイスから出るパケットをコピーする場合、そのスイッチまたはノードデバイス(QFabricシステムの場合)から 発信 されたトラフィックは、egress時にコピーされません。 スイッチされた トラフィックのみegressにコピーされます。(egressミラーリングの制限については下記を参照してください)。

  • VLANに入るパケットの一部またはすべて。ポートミラーリングを使用してVLANから出るパケットをコピーすることはできません。

  • ポートまたはVLANに入るパケットのうち、ファイアウォールフィルタリングされたサンプル。

  • ファイアウォールフィルターはegressポートではサポートされていません。つまり、インターフェイスから出るパケットのポリシーベースのサンプリングを指定することはできません

  • VXLAN環境では、ファイアウォールフィルターベースのポートミラーリングは、コアまたはスパイン向けインターフェイスではサポートされません。

トラフィックサンプリングとポートミラーリングの両方を設定し、ポートミラーリングされたパケットに独立したサンプリングレートとランレングスを設定できます。ただし、トラフィックサンプリングとポートミラーリングの両方にパケットが選択された場合、ポートミラーリングが優先されるため、ポートミラーリングのみが実行されます。つまり、インターフェイスに入力されるすべてのパケットをトラフィックサンプリングするようにインターフェイスを設定し、ポートミラーリングでもそのパケットを選択、コピーして宛先ポートに送信すると、ポートミラーリングプロセスのみが実行されます。ポートミラーリング用に選択されなかったトラフィックサンプリングパケットは、引き続きサンプリングされ、cflowdサーバに転送されます。

ポートミラーリングとアナライザの用語と定義

以下の表に、ポートミラーリングとアナライザのドキュメントに関する用語と定義を示します。

表1:用語
用語 定義

アナライザ

EX2300、EX3400、または EX4300 スイッチの場合、アナライザのミラーリング設定(アナライザ)には以下が含まれます。

  • アナライザの名前
  • 送信元(入力)ポートまたはVLAN(オプション)

アナライザインスタンス

名前、送信元インターフェイスまたは送信元 VLAN、ミラーリングされたパケット(ローカル インターフェイスまたは VLAN)の宛先を含むポートミラーリング設定。

アナライザ出力インターフェイス(モニター ポートとも呼ばれます)

ミラーリングされたトラフィックが送信され、プロトコル アナライザ アプリケーションが接続されているインターフェイス。

EX2300、EX3400、EX4300スイッチの場合、アナライザの出力として使用するインターフェイスは、ファミリーイーサネットスイッチングとして設定する必要があります。また、アナライザ出力インターフェイスには以下の制限があります。

  • 送信元ポートとしても使用することはできません。
  • スイッチングには使用できません。
  • ポートミラーリング設定の一部である場合は、STP(スパニングツリープロトコル)などのレイヤー2プロトコルには参加しないでください。
  • アナライザ出力インターフェイスの帯域幅が送信元ポートからのトラフィックを処理するのに十分でない場合、オーバーフローパケットは破棄されます。

アナライザ VLAN(モニター VLAN とも呼ばれます)

 ミラーリングされたトラフィックが送信されるVLAN。ミラーリングされたトラフィックは、プロトコル アナライザ アプリケーションで使用できます。モニター VLAN のメンバー インターフェイスは、ネットワーク内のスイッチ全体に広がっています。
ブリッジドメインベースのアナライザ 入力、出力、または両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。
デフォルトアナライザ デフォルトのミラーリングパラメーターを持つアナライザ。デフォルトでは、ミラーリング レートは 1 であり、最大パケット長は完全なパケットの長さです。
グローバルポートミラー インスタンス名を持たないポートミラーリング設定。ファイアウォールフィルターアクションport-mirrorは、ファイアウォールフィルター設定に対するアクションになります。

入力インターフェイス(ミラーリングまたは監視対象インターフェイスとも呼ばれます)

ミラーインターフェイスにトラフィックをコピーするインターフェイス。このトラフィックは、インターフェイスに出入り(ingressまたはegress)できます。

ミラーリングされた入力インターフェイスは、アナライザデバイスへの出力インターフェイスとして使用できません。

LAG ベースのアナライザ アナライザ設定の入力(イングレス)インターフェイスとして指定された LAG(リンク アグリゲーション グループ)を持つアナライザ。

ローカルポートミラーリング

ミラーリングされたパケットが、同じスイッチ上のインターフェイスにコピーされるポートミラーリング設定。
監視ステーション プロトコル アナライザ アプリケーションを実行するコンピューター。
ネクストホップベースのアナライザ アナライザへの出力としてネクストホップグループを使用するアナライザ設定。
ネイティブアナライザセッション アナライザ設定に入力定義と出力定義の両方を持つアナライザセッション。
ポリシーベースのミラーリング

ファイアウォールフィルター条件に一致するパケットのミラーリング。アクション analyzer analyzer-name は、ファイアウォールフィルターで使用され、指定されたパケットをアナライザに送信します。

ポートベースのアナライザ 設定が入力と出力の両方のインターフェイスを定義するアナライザセッション。

ポートミラーリングインスタンス

入力ソースを指定しないポートミラーリング設定。出力先のみを指定します。ファイアウォールフィルター設定は、入力ソースに対して定義する必要があります。ファイアウォールフィルターの条件で定義された一致条件に一致するパケットをミラーリングするように、ファイアウォールフィルター設定を定義する必要があります。ファイアウォールフィルター設定のアクションアイテムport-mirror-instance instance-nameは、アナライザにパケットを送信するために使用され、これらのパケットは入力ソースを形成します。

ファイアウォールフィルター設定で port-mirror-instance instance-name アクションを使用して、ポートミラーにパケットを送信します。

注:ポートミラーリングインスタンスは、NFX150デバイスではサポートされていません。
プロトコル アナライザ アプリケーション ネットワークセグメントで送信されるパケットを調べるために使用するアプリケーション。一般に、ネットワーク アナライザ、パケット スニッファー、またはプローブとも呼ばれます。

出力インターフェイス(モニター インターフェイスとも呼ばれます)

パケットのコピーが送信され、アナライザを実行しているデバイスが接続されているインターフェイス。

出力インターフェイス(ターゲット ミラー インターフェイス)には、以下の制限が適用されます。

  • 送信元ポートとしても使用することはできません。

  • スイッチングには使用できません。

  • 集合型イーサネットインターフェイス(LAG)にすることはできません。

  • STP(スパニングツリープロトコル)などのレイヤー2プロトコルには参加できません。

  • ポートミラーリングがインターフェイスに適用されると、既存のVLAN関連付けが失われます。

  • 出力インターフェイスの容量がミラーリングされた送信元ポートからのトラフィックを処理するのに不十分な場合、パケットは破棄されます。

出力IPアドレス

アナライザアプリケーションを実行しているデバイスのIPアドレス。デバイスはリモートネットワーク上にあります。

この機能を使用する場合:

  • ミラーリングされたパケットはGREカプセル化されます。アナライザアプリケーションは、アナライザアプリケーションに到達する前に、GREカプセル化パケットのカプセル化を解除できるか、GREカプセル化パケットのカプセル化を解除する必要があります。(ネットワークスニッファーを使用してパケットのカプセル化を解除できます。)

  • 出力IPアドレスを、スイッチ管理インターフェイスと同じサブネットワーク内に含めることはできません。

  • 仮想ルーティングインスタンスを作成し、出力IPアドレスを含むアナライザ設定を作成した場合、出力IPアドレスはデフォルトの仮想ルーティングインスタンス(inet.0ルーティングテーブル)に属します。

出力VLAN(モニターVLANまたはアナライザVLANとも呼ばれます)

パケットのコピーが送信される場所と、アナライザを実行しているデバイスが接続されている場所であるVLAN。アナライザVLANは、複数のスイッチにまたがることができます。

出力VLANには、以下の制限が適用されます。

  • プライベートVLANまたはVLAN範囲にすることはできません。

  • 複数の analyzer ステートメントで共有することはできません。

  • 他のVLANのメンバーになることはできません。

  • 集合型イーサネットインターフェイス(LAG)にすることはできません。

  • 一部のスイッチでは、1つのインターフェイスのみがアナライザVLANのメンバーになることができます。この制限は、QFX10000スイッチには適用されません。 イングレス トラフィックがミラーリングされると、複数のQFX10000インターフェイスが出力VLANに属することができ、トラフィックはそれらのすべてのインターフェイスからミラーリングされます。 エグレス トラフィックがQFX10000スイッチ上でミラーリングされている場合、アナライザVLANのメンバーになることができるインターフェイスは1つだけです。

リモートポートミラーリング

ローカルポートミラーリングと同じように機能しますが、ミラーリングされたトラフィックはローカルアナライザポートにはコピーされず、ミラーリングされたトラフィックの受信のために特別に作成したアナライザVLANにフラッディングされます。

ミラーリングされたパケットをQFabricシステムのリモートIPアドレスに送信することはできません。
VLAN ベースのアナライザ 設定が入力と出力の両方、または入力または出力のいずれかに VLAN を使用するアナライザ セッション。

関連項目

インスタンスタイプ

ポートミラーリングを設定するには、以下のいずれかのタイプのインスタンスを設定します。

  • アナライザインスタンス—インスタンスの入力と出力を指定します。このインスタンスタイプは、インターフェイスを通過する、またはVLANに入るすべてのトラフィックがミラーリングされ、アナライザに送信されることを保証するのに役立ちます。

  • ポートミラーリングインスタンス—目的のトラフィックを特定し、ミラーポートにコピーするファイアウォールフィルターを作成します。このインスタンスタイプには入力を指定しません。このインスタンスタイプは、ミラーリングされるトラフィックのタイプを制御するのに役立ちます。以下の方法でトラフィックを誘導できます。

    • 複数のポートミラーインスタンスが定義されている場合、 port-mirror-instance instance-name アクションを使用して、ファイアウォールフィルター内のポートミラーインスタンスの名前を指定します。

    • ポートミラーインスタンスが1つしか定義されていない場合、 port-mirror アクションを使用して、インスタンスに定義された出力インターフェイスにミラーリングされたパケットを送信します。

QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、EX4650スイッチには、以下のポートミラーリングのガイドラインが適用されます。

  • 最大4つのポートミラーリングインスタンス、または4つのアナライザセッションを同時に設定できます。つまり、4つのポートミラーリングインスタンス 4つのアナライザセッションを一緒に設定することはできません。
  • ポートミラーリングインスタンスがない場合(つまり、アナライザセッションのみが設定されている場合)、ingressおよびegressミラーリングで最大3つのアナライザセッションを有効にできます。残りのアナライザセッションは、ingressミラーリングにのみ使用する必要があります。
  • ポートミラーリングインスタンスを1つだけ設定している場合、残りのインスタンスのうち、ingressミラーリングに最大3つのアナライザが設定でき、egressミラーリングには2つのアナライザが設定できます。
  • 2つのポートミラーリングインスタンスを設定した場合、残りのインスタンスのうち、ingressミラーリングに最大2つのアナライザが設定でき、egressミラーリングには1つのアナライザが設定できます。
  • 3つのポートミラーリングインスタンスを設定した場合、残りのインスタンスはアナライザ(ingressまたはegressミラーリングのいずれか)としてのみ設定できます。

ポートミラーリングとSTP

ポートミラーリング設定におけるSTPの動作は、使用しているJunos OSのバージョンによって異なります。

  • Junos OS 13.2X50、Junos OS 13.2X51-D25以前、Junos OS 13.2X52: STPが有効な場合、STPがミラーリングされたパケットをブロックする可能性があるため、ポートミラーリングが成功しないことがあります。

  • Junos OS 13.2X51-D30、Junos OS 14.1X53: ミラーリングされたトラフィックに対してSTPは無効です。トポロジーがこのトラフィックのループを防止していることを確認する必要があります。

制約と制限

ポートミラーリングには、以下の制約と制限が適用されます。

分析に必要なパケットのみをミラーリングすれば、全体のパフォーマンスを低下させる可能性が低減します。複数のポートからトラフィックをミラーリングする場合、ミラーリングされたトラフィックが出力インターフェイスの容量を超える可能性があります。オーバーフローパケットは破棄されます。特定のインターフェイスを選択してミラーリングされるトラフィックの量を制限し、 all キーワードの使用を避けることをお勧めします。 また、ファイアウォールフィルター を使用して特定のトラフィックをポートミラーリングインスタンスに送信することで、ミラーリングされるトラフィックの量を制限することもできます。

  • ポートミラーリングの設定は合計4つ作成できます。

  • EX9200スイッチでは、ポートミラーリングはEX9200-15Cラインカードでサポート されていません

  • QFabricシステムの各ノードグループには、以下の制約があります。

    • ローカルポートミラーリングで使用できる設定は最大4つです。

    • リモートポートミラーリングで使用できる設定は最大3つです。

  • スタンドアロンスイッチまたはノードグループのいずれを設定するかにかかわらず、以下の制約が適用されます。

    • ingressトラフィックをミラーリングする設定は最大2つです。ミラーリングされたトラフィックをポートに送信するようにファイアウォールフィルターを設定した場合、これはフィルターが適用されているスイッチまたはノードグループのingressミラーリング設定としてカウントされます。

    • egressトラフィックをミラーリングする設定は最大2つです。

    • QFabricシステムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • set analyzer name outputステートメントを完成させるには、1つのポートミラーリング設定で1タイプの出力のみを設定します。

    • interface

    • ip-address

    • vlan

  • アナライザ( set forwarding-options analyzerを使用)で、同じ物理インターフェイスに対して1つの論理インターフェイスにのみミラーリングを設定します。物理インターフェイスに設定された複数の論理インターフェイスでミラーリングを設定しようとすると、最初の論理インターフェイスだけが正常に設定されます。残りの論理インターフェイスは、設定エラーを返します。

  • egressパケットをミラーリングする場合、スタンドアロンスイッチまたはQFabricシステムで2,000を超えるVLANを設定しないでください。もし設定すると、一部のVLANパケットに不正なVLAN IDが含まれる可能性があります。これは、ミラーリングされたコピーだけでなく、すべてのVLANパケットに適用されます。

  • ratioオプションとloss-priorityオプションはサポートされていません。

  • 物理層エラーがあるパケットは、出力ポートやVLANに送信されません。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスから出るときにはサンプリングしません。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • IRB(統合型ルーティングおよびブリッジング)インターフェイス(ルーテッドVLANインターフェイスまたはRVIとも呼ばれます)

  • ポートミラーリングインスタンスでは、出力インターフェイスとして inet または inet6 インターフェイスを設定することはできません。次のスイッチは set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> 設定をサポートしていません。

    表2:family inet/inet6 AS出力インターフェイスをサポートしていないスイッチ
    EXスイッチ QFXスイッチ

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • 入力がVLANの場合、またはトラフィックがファイアウォールフィルターを使用してアナライザに送信される場合、集合型イーサネットインターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、CoS書き換えなど、egressで元のパケットに適用される可能性のある変更については修正されません。

  • 1つのインターフェイスを入力インターフェイスとして使えるのは、1つのミラーリング設定に対してのみです。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、egressではミラーリングできません。

  • STPトラフィックでは、VLANベースのミラーリングはサポートされていません。

  • (QFabricシステムのみ)QFabricアナライザでegressトラフィックをミラーリングするように設定しており、入出力インターフェイスが異なるノードデバイス上にある場合、ミラーリングされたコピーのVLAN IDは正しくなくなります。

    egressトラフィックをミラーリングするようにQFabricアナライザを設定しており、入出力インターフェイスが同じノードデバイス上にある場合は、この制限は適用されません。この場合、ミラーリングされたコピーには正しいVLAN IDが設定されます(QFabricシステムで2,000を超えるVLANを設定しない限り)。

  • 真のエグレス ミラーリングは、コピーの正確な数と、エグレス ポートから出力された正確なパケット修正のミラーリングと定義されます。QFX5100およびEX4600スイッチのプロセッサは、イングレスパイプラインにエグレスミラーリングを実装するため、これらのスイッチは正確なエグレスパケット変更を提供しません。このため、エグレスミラーリングトラフィックは、元のトラフィックのタグとは異なる誤ったVLANタグを運ぶ可能性があります。

  • VLANカプセル化を実行するインターフェイスから出たトラフィックをミラーリングするようにポートミラーリングインスタンスを設定した場合、ミラーリングされたパケットの送信元と宛先のMACアドレスは、元のパケットのアドレスと同じではありません。

  • LAGのメンバーインターフェイスに対するミラーリングはサポートされていません。

  • Egress VLANミラーリングはサポートされていません。

リモートポートミラーリングには、以下の制約と制限が適用されます。

  • 出力IPアドレスを設定する場合、そのアドレスをスイッチ管理インターフェイスと同じサブネットワーク上に含めることはできません。

  • 仮想ルーティングインスタンスを作成し、出力IPアドレスを含むアナライザ設定を作成した場合、出力IPアドレスはデフォルトの仮想ルーティングインスタンス(inet.0ルーティングテーブル)に属します。

  • 出力VLANをプライベートVLANまたはVLAN範囲にすることはできません。

  • 出力VLANを複数のアナライザセッションまたはポートミラーインスタンスと共有することはできません。

  • 出力VLANインターフェイスを他のVLANのメンバーにすることはできません。

  • 出力VLANインターフェイスを集合型イーサネットインターフェイスにすることはできません。

  • 出力VLANに複数のメンバーインターフェイスがある場合、トラフィックはVLANの最初のメンバーにのみミラーリングされ、同じVLANの他のメンバーはミラーリングされたトラフィックを伝送しません。

  • IPアドレスへのリモートポートミラーリング(GREカプセル化)の場合、複数のアナライザセッションまたはポートミラーインスタンスを設定し、アナライザまたはポートミラーインスタンスのIPアドレスが同じインターフェイスを介して到達可能な場合、アナライザセッションまたはポートミラーインスタンスは1つだけ設定されます。

  • リモートポートミラーリングで出力可能なインターフェイスの数は、QFX5Kシリーズのスイッチによって異なります。

    • QFX5110、QFX5120、QFX5210—最大4つの出力インターフェイスをサポート

    • QFX5100およびQFX5200:最大3つの出力インターフェイスをサポートします。

  • リモートポートミラーリングVLANのメンバーがVLANから削除されるたびに、そのVLANのアナライザセッションを再設定します。

QFX5100およびQFX5200スイッチの制約と制限

QFX5100およびQFX5200スイッチのポートミラーリングには、以下の注意事項があります。

  • IPアドレスへの出力でミラーリングを設定する場合、宛先IPアドレスに到達可能で、ARPを解決する必要があります。

  • ECMP(等コストマルチパス)ロードバランシングは、ミラーリングされた宛先ではサポートされていません。

  • リモートポートミラーリング(RSPAN)の出力インターフェイス数は変動します。QFX5110、QFX5120、QFX5210スイッチの出力インターフェイスは最大4つです。QFX5100およびQFX5200スイッチでは最大3つです。

  • ミラーリング出力インターフェイスにリンクアグリゲーショングループ(LAG)を指定すると、最大8つのインターフェイスがミラーリングされます。

  • ミラーリングの入力には、LAG、任意のユニットの物理インターフェイス(ae0.101やxe-0/0/0.100など)、またはサブインターフェイスを設定することができます。いずれの場合でも、LAGまたは物理インターフェイス上のすべてのトラフィックがミラーリングされます。

  • LAGのメンバーインターフェイス上に独立したミラーリングインスタンスを設定することはできません。

  • あるミラーリングインスタンスに含まれた出力インターフェイスは、別のミラーリングインスタンスでは使用できません。

  • ポートミラーリングインスタンスの場合、転送パスのエグレスパイプラインで破棄されたパケットも宛先にミラーリングされます。これは、ミラーリングアクションが、破棄アクションの前にingressパイプラインで発生するためです。

  • ポートミラーリングインスタンスでは、ミラー出力先を1つだけ指定できます。

  • 複数のポートミラーリングまたはアナライザインスタンスにまたがって設定される出力ミラーの宛先は、すべて一意である必要があります。

  • ERSPAN IPv6アドレスでは、アナライザ/ポートミラーリングへの出力がリモートIPv6アドレスである場合、egressミラーリングはサポートされていません。Egressミラーはサポートされていません。

  • ローカルミラーリングの場合、出力インターフェイスは、VLANの有無にかかわらず、 family ethernet-switchingである必要があります(つまり、レイヤ3インターフェイスではありません)。

  • サービスプロバイダ環境でポートミラーリングまたはアナライザインスタンスを設定する場合は、VLAN IDではなくVLAN名を使用します。

QFX5230-64CDおよびQFX5240スイッチのポートミラーリング

ドキュメントのこのセクションでは、QFX5230-64CDおよびQFX5240スイッチに固有のポートミラーリング設定の詳細について説明します。スイッチのポートミラーリングに関する一般的な情報については、この 『ポートミラーリングとアナライザー 』ドキュメントの前のセクションを参照してください。

以下のリストに示す値を使用して、QFX5230-64CDおよびQFX5240スイッチのミラーリングセッション数を設定します。これらは、3つのタイプのミラーリングセッション(イングレスミラー、エグレスミラー、ポートミラーリングインスタンス)の最大設定値を示しています。この値は、利用可能なミラーリングセッションの合計数を最大限に活用できるように調整されています。

  • QFX5230-64CDに収録:

    • 使用可能なミラーセッションの合計数:8

    • 最大イングレスミラー数:5

    • 最大egressミラー数:3

    • 最大ポートミラー数:3

    例えば、3つのポートミラーリングインスタンスを設定した場合、最大5つのセッションをingressミラーとegressミラーに分割できます。

  • QFX5240について:

    • 使用可能なミラーセッションの合計数:7

    • 最大イングレスミラー数:4

    • 最大egressミラー数:3

    • 最大ポートミラー数:3

    例えば、1つのポートミラーリングインスタンスを設定した場合、最大6つのセッションをingressミラーとegressミラーに分割できます。

QFX10000シリーズスイッチのポートミラーリング

以下のリストでは、QFX10000シリーズスイッチに適用される制約と制限について説明しています。スイッチのポートミラーリングに関する一般的な情報については、本書『 ポートミラーリングとアナライザ 』ドキュメントの前半セクションの、セクションタイトルに他のプラットフォーム名が記載されていない部分を参照してください。

  • ingressグローバルポートミラーリングのみがサポートされます。グローバルポートミラーリングは、 raterun-lengthmaximum-packet-lengthなどの入力パラメータで設定できます。Egressグローバルポートミラーリングはサポートされていません。

  • ポートミラーリングインスタンスは、リモートポートミラーリングでのみサポートされます。ポートミラーリング のグローバル インスタンスは、ローカルミラーリングでサポートされます。

  • ローカルポートミラーリングは、ファイアウォールフィルターファミリ( inetinet6)でのみサポートされます。

  • ローカルポートミラーリングは、ファイアウォールフィルターファミリ any または cccではサポートされていません。

QFabricによるポートミラーリング

ローカルおよびリモートポートミラーリングには、以下の制約と制限が適用されます。

  • ポートミラーリングの設定は合計4つ作成できます。

  • QFabricシステムの各ノードグループには、以下の制約があります。

    • ローカルポートミラーリングで使用できる設定は最大4つです。

    • リモートポートミラーリングで使用できる設定は最大3つです。

  • スタンドアロンスイッチまたはノードグループのいずれを設定するかにかかわらず、以下の制約が適用されます。

    • ingressトラフィックをミラーリングする設定は最大2つです。ミラーリングされたトラフィックをポートに送信するようにファイアウォールフィルターを設定する場合(つまり、フィルター条件で analyzer アクション修飾子を使用する場合)、これはフィルターが適用されるスイッチまたはノードグループのingressミラーリング設定としてカウントされます。

    • egressトラフィックをミラーリングする設定は最大2つです。

    • QFabricシステムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • set analyzer name outputステートメントを完成させるには、1つのポートミラーリング設定で1タイプの出力のみを設定します。

    • interface

    • ip-address

    • vlan

  • アナライザ( set forwarding-options analyzerを使用)で、同じ物理インターフェイスに対して1つの論理インターフェイスにのみミラーリングを設定します。物理インターフェイスに設定された複数の論理インターフェイスでミラーリングを設定しようとすると、最初の論理インターフェイスだけが正常に設定されます。残りの論理インターフェイスは、設定エラーを返します。

  • エグレスパケットをミラーリングする場合、QFXシリーズスイッチで2,000を超えるVLANを設定しないでください。もし設定すると、一部のVLANパケットに不正なVLAN IDが含まれる可能性があります。これは、ミラーリングされたコピーだけでなく、すべてのVLANパケットに適用されます。

  • ratioオプションとloss-priorityオプションはサポートされていません。

  • 物理層エラーがあるパケットは、出力ポートやVLANに送信されません。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスから出るときにはサンプリングしません。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • IRB(統合型ルーティングおよびブリッジング)インターフェイス(ルーテッドVLANインターフェイスまたはRVIとも呼ばれます)

  • 入力がVLANの場合、またはトラフィックがファイアウォールフィルターを使用してアナライザに送信される場合、集合型イーサネットインターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、CoS書き換えなど、egressで元のパケットに適用される可能性のある変更については修正されません。

  • 1つのインターフェイスを入力インターフェイスとして使えるのは、1つのミラーリング設定に対してのみです。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、egressではミラーリングできません。

  • STPトラフィックでは、VLANベースのミラーリングはサポートされていません。

  • (QFabricシステムのみ)QFabricアナライザでegressトラフィックをミラーリングするように設定しており、入出力インターフェイスが異なるノードデバイス上にある場合、ミラーリングされたコピーのVLAN IDは正しくなくなります。

    egressトラフィックをミラーリングするようにQFabricアナライザを設定しており、入出力インターフェイスが同じノードデバイス上にある場合は、この制限は適用されません。この場合、ミラーリングされたコピーには正しいVLAN IDが設定されます(QFabricシステムで2,000を超えるVLANを設定しない限り)。

  • 真のエグレス ミラーリングは、コピーの正確な数と、エグレス ポートから出力された正確なパケット修正のミラーリングと定義されます。QFX5xxx(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210を含む)およびEX4600(EX4600およびEX4650を含む)スイッチ上のプロセッサは、イングレスパイプラインにエグレスミラーリングを実装するため、これらのスイッチは正確なエグレスパケットの変更を提供しません。そのため、エグレスミラーリングされたトラフィックは、元のトラフィックのタグとは異なる誤ったVLANタグを運ぶ可能性があります。

  • VLANカプセル化を実行するインターフェイスから出たトラフィックをミラーリングするようにポートミラーリングインスタンスを設定した場合、ミラーリングされたパケットの送信元と宛先のMACアドレスは、元のパケットのアドレスと同じではありません。

  • LAGのメンバーインターフェイスに対するミラーリングはサポートされていません。

  • Egress VLANミラーリングはサポートされていません。

OCXシリーズスイッチでのポートミラーリング

OCXシリーズスイッチのポートミラーリングには、以下の制約と制限が適用されます。

  • ポートミラーリングの設定は合計4つ作成できます。ingressまたはegressトラフィックをミラーリングする設定は最大で2つまでです。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスから出るときにはサンプリングしません。

  • 作成できるポートミラーリングセッションは1つだけです。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用のバーチャルシャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • ルーテッドVLANインターフェイスまたはIRBインターフェイス

  • 集合型イーサネットインターフェイスを出力インターフェイスにすることはできません。

  • ポートミラーリング設定には、0以外のユニット番号を持つ802.1Qサブインターフェイスを含めないでください。ポートミラーリングは、サブインターフェイスのユニット番号が0でない場合は機能しません。(802.1Qサブインターフェイスは、 vlan-tagging ステートメントを使用して設定します。)

  • パケットコピーが出力インターフェイスから送信された場合、CoS書き換えなど、通常エグレスで適用される変更については修正されません。

  • 1つのインターフェイスを入力インターフェイスとして使えるのは、1つのミラーリング設定に対してのみです。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、egressではミラーリングできません。

  • STPトラフィックでは、VLANベースのミラーリングはサポートされていません。

EX2300、EX3400、EX4300 スイッチのポート ミラーリング

ハブとは異なり、スイッチは宛先デバイス上のすべてのポートにパケットをブロードキャストするわけではないため、スイッチ上のトラフィック分析にミラーリングが必要になる場合があります。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

概要

EX2300、EX3400、および EX4300 シリーズスイッチで実行されている Junos OS は、パケットレベルでこれらのスイッチのトラフィック分析を容易にする拡張レイヤー 2 ソフトウェア(ELS)設定をサポートしています。

ポートミラーリングを使用して、ローカル監視の場合はローカルインターフェイス、リモート監視についてはVLANにパケットをコピーします。アナライザを使用して、ネットワーク使用とファイル共有に関するポリシーを適用し、特定のステーションまたはアプリケーションによる異常なまたは重い帯域幅使用を特定して、ネットワーク上の問題の原因を特定できます。

ポートミラーリングは、 [edit forwarding-options port-mirroring] 階層レベルで設定されます。ルーティングされた(レイヤー 3)パケットをミラーリングするには、 family ステートメントが inet または inet6 に設定されているポート ミラーリング設定を使用できます。

ポートミラーリングを使用して、これらのパケットをコピーできます。

  • Packets entering or exiting a port—最大256ポートのポートに出入りするパケットの組み合わせでパケットをミラーリングできます。

    つまり、一部のポートに入るパケットと他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • Packets entering a VLAN—VLANに入るパケットをローカルアナライザポートまたはアナライザVLANのいずれかにミラーリングできます。VLAN 範囲と PVLAN など、最大 256 個の VLAN をアナライザへのイングレス入力として設定できます。

  • Policy-based sample packets—ポートまたはVLANに入るパケットのポリシーベースのサンプルをミラーリングできます。 ファイアウォールフィルター を設定して、ミラーリングするパケットを選択するポリシーを確立し、ポートミラーリングインスタンスまたはアナライザVLANにサンプルを送信します。

スイッチ上でポートミラーリングを設定して、ユニキャストトラフィックのコピーをインターフェイス、ルーティングインスタンス、VLANなどの出力先に送信できます。その後、プロトコルアナライザアプリケーションを使用してミラーリングされたトラフィックを分析できます。プロトコル アナライザ アプリケーションは、アナライザ出力インターフェイスに接続されたコンピューターまたはリモート監視ステーションで実行できます。入力トラフィックでは、ファイアウォールフィルターの条件を設定して、ファイアウォールフィルターが適用されるインターフェイスのすべてのパケットにポートミラーリングを適用する必要があるかどうかを指定できます。アクションport-mirrorまたはport-mirror-instance nameで設定されたファイアウォールフィルターを、入力または出力論理インターフェイス(集合型イーサネット論理インターフェイスを含む)に、VLANに転送またはフラッディングされたトラフィック、VPLSルーティングインスタンスにフラッディングされたトラフィックに適用できます。EX2300、EX3400、EX4300スイッチは、レイヤー2 環境のfamily cccによりVPLS(family ethernet-switchingまたはfamily vpls)トラフィックとVPNトラフィックのポートミラーリングをサポートします。

ファイアウォールフィルターの条件内では、以下の方法で then ステートメントでポートミラーリングプロパティを指定できます。

  • ポート上の効果でポートミラーリングプロパティを暗黙的に参照します。

  • ポートミラーリングの特定の名前付きインスタンスを明示的に参照します。

EX2300、EX3400、EX4300 スイッチ上のポート ミラーリングとアナライザの設定ガイドライン

ポートミラーリングを設定する場合、ミラーリングを最大限活用できるように、特定のガイドラインに従うことを推奨します。さらに、使用していない場合はミラーリングを無効にし、すべてのインターフェイスでミラーリングを可能にし、全体的なパフォーマンスに影響を与える可能性のある all キーワードオプションを使用するよりも、パケットをミラーリングする必要がある特定のインターフェイスを選択する(つまり、アナライザへの入力として特定のインターフェイスを選択する)ことを推奨します。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。

ローカルミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットは破棄されます。そのため、アナライザを設定する際には、ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。

[edit forwarding-options analyzer]階層でアナライザを設定できます。

注:

真のエグレス ミラーリングは、コピーの正確な数と、エグレス スイッチ ポートから出た正確なパケット修正のミラーリングと定義されます。EX2300およびEX3400スイッチ上のプロセッサは、イングレスパイプラインにエグレスミラーリングを実装しているため、これらのスイッチは正確なエグレスパケットの変更を提供しないため、エグレスミラーリングされたトラフィックは、元のトラフィックのタグとは異なるVLANタグを伝送する可能性があります。

表3は 、EX2300、EX3400、EX4300スイッチ上のミラーリングの追加設定ガイドラインをまとめたものです。

表3:EX2300、EX3400、EX4300スイッチのポートミラーリングとアナライザの設定ガイドライン

ガイドライン

価値またはサポート情報

コメント

アナライザへのイングレス入力として使用できる VLAN の数。

256

 

同時に有効にできるポートミラーリングセッションとアナライザの数。

4

合計4つのセッションを設定できますが、有効にできるのは以下の1つだけです。

  • 最大4つのポートミラーリングセッション(グローバルポートミラーリングセッションを含む)。

  • 最大4つのアナライザセッション。

  • ポートミラーリングとアナライザ セッションの組み合わせ、この組み合わせの合計は 4 つである必要があります。

スイッチ上のポートミラーリングインスタンスまたはアナライザの指定された数を超えて設定できますが、有効にできるのはセッションに指定された数だけです。

トラフィックをミラーリングできないポートのタイプ。

  • VCP(バーチャルシャーシ ポート)

  • 管理イーサネットポート(me0またはvme0)

  • IRB(統合型ルーティングおよびブリッジング)インターフェイス。RVI(ルーテッドVLANインターフェイス)とも呼ばれます。

  • VLAN タグ付きレイヤー 3 インターフェイス

 

リモートトラフィックのポートミラーリング設定に含めることができるプロトコルファミリー。

any

 

ファイアウォールフィルターベースの設定のポート上のミラーリングに設定できるトラフィック方向。

イングレスとエグレス

 

書き直されたサービスクラス(CoS)DSCPまたは802.1pビットを反映するインターフェイスを出るミラーリングされたパケット。

適用可能

 

物理層エラーがあるパケット。

適用可能

これらのエラーがあるパケットは除外され、アナライザに送信されません。

ポートミラーリングは、回線速度トラフィックをサポートしていません。

適用可能

回線速度トラフィックのポートミラーリングは、ベストエフォートベースで行われます。

VLANから出るパケットのミラーリング。

未対応

 

LAG インターフェイス上のポートミラーリングまたはアナライザ出力。

対応

 

ポートミラーリングまたはアナライザ出力LAGインターフェイス上の子メンバーの最大数。

8

 

リモートポートミラーリングまたはアナライザVLAN内のインターフェイスの最大数。

1

 

ホスト生成された制御パケットのエグレス ミラーリング。

未対応

 

アナライザの input スタンザにおけるレイヤー 3 論理インターフェイスの設定。

未対応

この機能は、ポートミラーリングを設定することで実現できます。

同じ VLAN または VLAN 自体のメンバーを含むアナライザの入力および出力スタンザは避ける必要があります。

適用可能

 

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、およびEX8200シリーズスイッチのポートミラーリング

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、またはEX8200シリーズスイッチで実行されているジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、拡張レイヤー2ソフトウェア(ELS)設定をサポートしていません。そのため、他のJunos OSパッケージの階層のedit forwarding-optionsレベルで見つかったport-mirroringステートメントや、ファイアウォールフィルターの用語でのport-mirrorアクションは含まれJunos OSません。

ポートミラーリングを使用して、パケットレベルでジュニパーネットワークスEXシリーズイーサネットスイッチのトラフィック分析を容易にすることができます。ポートミラーリングをスイッチトラフィック監視の一環として使用して、ネットワーク使用とファイル共有に関するポリシーを適用したり、特定のステーションまたはアプリケーションによる異常または重い帯域幅使用を見つけてネットワーク上の問題の原因を特定したりできます。

ポートミラーリングを使用して、これらのパケットをローカルインターフェイスまたはVLANにコピーできます。

  • ポートを出入りするパケット

  • 一部のポートに入るパケットと他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、またはEX6200スイッチ上のVLANに入るパケット

  • EX8200スイッチ上のVLANから出るパケット

概要

スイッチはハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストするわけではないため、ポートミラーリングはスイッチ上のトラフィック分析に使用されます。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

スイッチでポートミラーリングを設定して、ローカルアナライザポートまたはアナライザVLANのいずれかにユニキャストトラフィックのコピーを送信します。その後、プロトコルアナライザを使用してミラーリングされたトラフィックを分析できます。プロトコルアナライザは、アナライザ出力インターフェイスに接続されたコンピューターまたはリモート監視ステーションのいずれかで実行できます。

ポートミラーリングを使用して、以下のいずれかをミラーリングできます。

  • Packets entering or exiting a port—最大256ポートのポートに出入りするパケットの組み合わせでパケットをミラーリングできます。

    つまり、一部のポートに入るパケットと他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—アナライザVLAN上のVLANに入るパケットをミラーリングできます。EX3200、EX4200、EX4500、EX4550スイッチでは、VLAN範囲やPVLANを含む複数のVLAN(最大256 VLAN)をアナライザへのイングレス入力として設定できます。

  • Packets exiting a VLAN on an EX8200 switch—EX8200スイッチ上のVLANから出るパケットを、ローカルアナライザポートまたはアナライザVLANのいずれかにミラーリングできます。VLAN範囲とPVLANを含む複数のVLAN(最大256 VLAN)を、アナライザへのエグレス入力として設定できます。

  • Statistical samples—以下のパケットの統計サンプルをミラーリングできます。

    • ポートを出入りする

    • ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、またはEX6200スイッチでVLANに入る

    • EX8200スイッチ上のVLANから出る

    比率を設定してパケットのサンプル番号を指定します。サンプルをローカルアナライザポートまたはアナライザVLANのいずれかに送信できます。

  • Policy-based sample—ポートまたはVLANに入るパケットのポリシーベースのサンプルをミラーリングできます。 ファイアウォールフィルター を設定して、ミラーリングされるパケットを選択するポリシーを確立します。サンプルをローカルアナライザポートまたはアナライザVLANに送信できます。

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、およびEX8200シリーズスイッチの設定ガイドライン

ポートミラーリングを設定する場合、ポートミラーリング機能を最大限活用できるように、特定のガイドラインに従うことを推奨します。さらに、すべてのインターフェイスでポートミラーリングを有効にして全体的なパフォーマンスに影響を与える可能性のある all キーワードを使用するのではなく、使用していないときはポートミラーリングを無効にし、パケットをミラーリングする必要がある特定のインターフェイスを選択する(つまり、アナライザへの入力として特定のインターフェイスを選択する)ことを推奨します。また、統計サンプリングの使用、統計サンプルを選択する比率の設定、またはファイアウォールフィルターの使用により、ミラーリングされるトラフィックの量を制限することもできます。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。

ローカルポートミラーリングでは、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットは破棄されます。そのため、アナライザを設定する際には、ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。

注:

ACX5448ルーターでは、[edit forwarding-options analyzer an input egress]階層レベルで、イングレスおよびエグレスインターフェイスの.0論理インターフェイスでのみ、アナライザ入力を設定する必要があります。.0以外の論理インターフェイスを設定すると、コミット中にエラーが表示されます。以下は、アナライザ入力が.100論理インターフェイスに設定されている場合に表示されるコミットエラーの例です。
注:説明での「その他のすべてのスイッチ」または「すべてのスイッチ」は、ポートミラーリングをサポートするすべてのスイッチプラットフォームに適用されます。プラットフォームサポートの詳細については、 機能エクスプローラを参照してください。
表4:設定ガイドライン

ガイドライン

説明

コメント

アナライザへのイングレス入力として使用できる VLAN の数
  • 16 Ingressまたは8 Ingressおよび8Egress—ACX7024デバイス

    1—EX2200スイッチ

  • 256—EX3200、EX4200、EX4500、EX4550、EX6200スイッチ

  • 適用なし—EX8200スイッチ

  

同時に有効にできるアナライザ数(スタンドアロンスイッチとバーチャルシャーシの両方に適用)

  • 1—EX2200、EX3200、EX4200、EX3300、EX6200スイッチ

  • 7ポートベースまたは1グローバル—EX4500およびEX4550スイッチ

  • 合計7(VLAN、ファイアウォールフィルター、またはLAGベースの1つ、ファイアウォールフィルターベースの残り6つ)—EX8200スイッチ

    注:

    ファイアウォールフィルターを使用して設定されたアナライザは、ポートから出るパケットのミラーリングをサポートしていません。

  • 指定された数以上のアナライザ をスイッチ上で設定 できますが、 有効にできる のはセッションに指定された数だけです。 disable ethernet-switching-options analyzer name を使用してアナライザを無効にします。

  • EX4500およびEX4550スイッチで許可されたファイアウォールフィルターベースのアナライザ数の例外については、この表の次の行入力を参照してください。

  • EX4550バーチャルシャーシでは、入力定義と出力定義のポートがバーチャルシャーシ内の異なるスイッチ上にある場合、アナライザを1つだけ設定できます。複数のアナライザを設定するには、アナライザセッション全体をバーチャルシャーシの同じスイッチ上で設定する必要があります。

EX4500およびEX4550スイッチで設定できるファイアウォールフィルターベースのアナライザ数

  • 1—EX4500およびEX4550スイッチ

複数のアナライザを設定する場合、ファイアウォールフィルターにはそれらのいずれもアタッチできません。

トラフィックをミラーリングできないポートのタイプ

  • VCP(バーチャルシャーシ ポート)

  • 管理イーサネットポート(me0またはvme0)

  • RVI(ルーテッドVLANインターフェイス)

  • VLAN タグ付きレイヤー 3 インターフェイス

  

ポートミラーリングが、EX8200スイッチ上の10ギガビットイーサネットポートから出るパケットをミラーリングするように設定されている場合、ミラーリングされたパケットが10ギガビットイーサネットポートトラフィックの60%を超えると、パケットはネットワークトラフィックとミラーリングされたトラフィックの両方で廃棄されます。

  • EX8200スイッチ

  

比率を指定できるトラフィック方向

  • イングレスのみ—EX8200スイッチ

  • イングレスとエグレス—その他のすべてのスイッチ

  

ファイアウォールフィルターベースのリモートアナライザに含めることができるプロトコルファミリー

  • inetinet6を除くすべて—EX8200スイッチ

  • すべて—その他のすべてのスイッチ

ローカルアナライザのスイッチEX8200 inetinet6 を使用できます。

ファイアウォールフィルターベースの設定でポートのミラーリングに設定できるトラフィック方向

  • イングレスのみ—すべてのスイッチ

  

タグ付きインターフェイス上のミラーリングされたパケットには、誤ったVLAN IDまたはイーサタイプが含まれている可能性があります。

  • VLAN IDとイーサタイプの両方—EX2200スイッチ

  • VLAN IDのみ—EX3200およびEX4200スイッチ

  • イーサタイプのみ—EX4500およびEX4550スイッチ

  • 適用なし—EX8200スイッチ

  

インターフェイスから出るミラーリングされたパケットは、書き直されたサービスクラス(CoS)DSCPまたは802.1pビットを反映しません。

  • すべてのスイッチ

  

RVI(ルーテッドVLANインターフェイス)に属するエグレスVLANがアナライザの入力として設定されている場合、アナライザは誤った802.1Q(dot1q)ヘッダーをルーティングされたトラフィックのミラーリングされたパケットに追加するか、またはルーティングされたトラフィック上のパケットのいずれもミラーリングしません。

  • EX8200スイッチ

  • 適用なし—その他のすべてのスイッチ

回避策として、VLANの各ポート(メンバーインターフェイス)をエグレス入力として使用するアナライザを設定します。

物理層エラーがあるパケットは、ローカルまたはリモート アナライザに送信されません。

  • すべてのスイッチ

これらのエラーがあるパケットは除外され、アナライザに送信されません。

VLANに設定された出力を備えたレイヤー3インターフェイスのポートミラーリング設定は、EX8200スイッチでは利用できません。

  • EX8200スイッチ

  • 適用なし—その他のすべてのスイッチ

  

ポートミラーリングは、回線速度トラフィックをサポートしていません。

  • すべてのスイッチ

回線速度トラフィックのポートミラーリングは、ベストエフォートベースで行われます。

EX8200バーチャルシャーシで、バーチャルシャーシ全体のトラフィックをミラーリングするには、出力ポートがLAGである必要があります。

  • EX8200バーチャルシャーシ

  • 適用なし—その他のすべてのスイッチ

EX8200バーチャルシャーシの場合:

  • ネイティブアナライザのみの監視ポートとしてLAGを設定できます。

  • ファイアウォールフィルターベースのアナライザの監視ポートとしてLAGを設定することはできません。

  • アナライザ設定に監視ポートとしてLAGが含まれている場合、アナライザの入力定義でVLANを設定できません。

スタンドアロンのEX8200スイッチでは、出力定義でLAGを設定できます。

  • EX8200スタンドアロンスイッチ

  • 適用なし—その他のすべてのスイッチ

EX8200スタンドアロンスイッチの場合:

  • ネイティブおよびファイアウォールベースのアナライザの両方で、監視ポートとしてLAGを設定できます。

  • 設定に監視ポートとしてLAGが含まれている場合、アナライザの入力定義でVLANを設定できません。

SRXシリーズファイアウォールでのポートミラーリング

ポートミラーリングは、ポートに出入りするパケットをコピーし、監視用にローカルインターフェイスにコピーを送信します。ポートミラーリングは、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的で、トラフィックを分析するアプリケーションにトラフィックを送信するために使用されます。</para><para>ポートミラーリングは、すべてのパケットのコピー、またはポートで見られたサンプルされたパケットのみをネットワーク監視接続に送信するために使用されます。受信ポート(ingressポートミラーリング)または発信ポート(egressポートミラーリング)のいずれかでパケットをミラーリングできます。

ポートミラーリングは、以下のI/Oカードを備えたSRXシリーズファイアウォールでのみサポートされています。

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOCフレックスI/O

SRXシリーズファイアウォールでは、 mirrored ポートを通過するすべてのパケットがコピーされ、指定された mirror-to ポートに送信されます。これらのポートは、I/O カード内の同じ Broadcom チップセット上にある必要があります。

SRXシリーズファイアウォールでは、ポートミラーリングは物理インターフェイスでのみ機能します。

レイヤー 2 ポート ミラーリングについて

インターネットプロセッサーII ASICを含むルーティングプラットフォームとスイッチでは、分析のためにルーティングプラットフォームまたはスイッチから外部ホストアドレスまたはパケットアナライザに受信パケットのコピーを送信できます。これは 、ポートミラーリングと呼ばれます。

Junos OSリリース9.3 以降では、レイヤー2 環境のジュニパーネットワークスMXシリーズ5Gユニバーサルルーティングプラットフォームは、レイヤー2 ブリッジングトラフィックとVPLS(仮想プライベートLANサービス)トラフィックの ポートミラーリング をサポートします。

Junos OSリリース9.4 以降では、レイヤー2 環境内のMXシリーズルーターは、同じタイプの論理インターフェイスを透過的に接続するCCC(回線クロスコネクト)を介したレイヤー2 VPNトラフィックのポートミラーリングをサポートしています。

Junos OSリリース12.3R2では、ジュニパーネットワークスのEXシリーズスイッチは、レイヤー2ブリッジングトラフィックのポートミラーリングをサポートしています。

レイヤーポートミラーリングにより、指定されたポートで着信および発信パケットを監視する方法と、選択したパケットのコピーを別の宛先に転送する方法を指定することができ、パケットはそこで分析することができます。

MXシリーズルーターとEXシリーズスイッチは、概念的には他のルーティングプラットフォームおよびスイッチと類似しているが、特に異なるサービスクラス(CoS)アーキテクチャを使用してフロー監視機能を実行することで、レイヤー2 ポートミラーリングをサポートしています。

M120マルチサービスエッジルーターおよびM320マルチサービスエッジルーターと同様に、MXシリーズルーターおよびEXシリーズスイッチは、IPv4、IPv6、VPLSパケットのミラーリングを同時にサポートします。

レイヤー3 環境では、MXシリーズルーターとEXシリーズスイッチは、IPv4(family inet)およびIPv6(family inet6)トラフィックのミラーリングをサポートします。レイヤー3 ポートミラーリングについては、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。

レイヤー 2 ポート ミラーリング プロパティ

ポート ミラーリング は、以下の種類のプロパティを指定します。

パケット選択

レイヤー 2 ポートミラーリングのパケット選択プロパティは、ミラーリングにサンプルされたパケットを選択する方法を指定します。

  • 各サンプルのパケット数。

  • 各サンプルからミラーリングするパケットの数。

  • 切り捨てられるミラーリングされたパケットの長さ。

パケット アドレス ファミリー

パケット アドレス ファミリー タイプは、ミラーリングするトラフィックのタイプを指定します。レイヤー2 環境では、MXシリーズルーターとEXシリーズスイッチは、以下のパケットアドレスファミリーのポートミラーリングをサポートします。

  • ファミリー タイプ ethernet-switching—物理インターフェイスがカプセル化タイプ ethernet-bridge で設定されている場合の VPLS トラフィックのミラーリング用。

  • ファミリー タイプ ccc—レイヤー 2 VPN トラフィックをミラーリングする場合。

  • ファミリー タイプ vpls—VPLS トラフィックのミラーリング用。

注:

一般的なアプリケーションでは、ミラーリングされたパケットを、他のルーターやスイッチではなく、アナライザーに直接送信します。ミラーリングされたパケットをネットワーク経由で送信する必要がある場合は、トンネルを使用します。レイヤー 2 VPN 実装では、レイヤー 2 VPN ルーティング インスタンス タイプ l2vpn を使用して、パケットをリモート宛先にトンネルできます。

レイヤー 2 VPN のルーティング インスタンスの設定については、 ルーティング デバイス用 Junos OS VPN ライブラリを参照してください。レイヤー 2 VPN の設定の詳細については、 Junos OS を参照してください。トンネルインターフェイスについては、 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。

ミラー宛先プロパティ

特定のパケットアドレスファミリーに対して、レイヤー2 ポートミラーリングインスタンスのミラー宛先プロパティは、選択したパケットが特定の物理インターフェイスで送信される方法を指定します。

  • 選択したパケットを送信する物理インターフェイス。

  • ミラー宛先インターフェイスに対してフィルター チェックを無効にするかどうか。デフォルトでは、フィルター チェックはすべてのインターフェイスで有効です。

    注:

    レイヤー 2 ポートミラーリング宛先でもあるインターフェイスにフィルターを適用すると、そのミラー宛先インターフェイスのフィルター チェックを無効にしない限り、コミットが失敗します

ミラーワンス オプション

イングレスインターフェイスとエグレスインターフェイスの両方でポートミラーリングを有効にすると、MXシリーズルーターとEXシリーズスイッチが同じ宛先に重複したパケットを送信すること(ミラーリングされたトラフィックの分析が複雑になる)を防ぐことができます。

注:

ミラーワンスポートミラーリングオプションは、グローバル設定です。このオプションは、パケット選択プロパティとパケット ファミリー タイプ固有のミラー宛先プロパティから独立していません。

レイヤー2 ポートミラーリングタイプの適用

MXシリーズまたはEXシリーズルートの異なるイングレスまたはエグレス ポイントで、VPLS パケットに異なるレイヤー 2 ポートミラーリング プロパティのセット を適用できます。

表5 に、MXシリーズルーターとEXシリーズスイッチで設定可能な3つのタイプの EXシリーズポート ミラーリング 、グローバルインスタンス、指名インスタンス、ファイアウォールフィルターについて説明します。

表5:レイヤー2 ポートミラーリングタイプの適用

レイヤー2  ポート ミラーリングのタイプの定義

適用ポイント

ミラーリングの範囲

説明

設定の詳細

レイヤー 2 ポート ミラーリングのグローバル インスタンス   

MXシリーズルーター(またはスイッチ)シャーシのすべてのポート。

MXシリーズルーター(またはスイッチ)シャーシのすべてのポートで受信したVPLSパケット。

設定されている場合、グローバル ポートミラーリング プロパティは、ルーター(またはスイッチ)シャーシのすべてのポートで受信したすべての VPLS パケットに暗黙に適用されます。

レイヤー2ポートミラーリングのグローバルインスタンスの設定を参照してください

レイヤー2  ポート ミラーリングの名前付き インスタンス 

FPC レベルでグループ化されたポート

FPCレベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインディングをご覧ください。

特定の DPC または FPC とそのパケット転送エンジンに関連するポートで受信した VPLS パケット。

グローバルポートミラーリングインスタンスによって設定されたポートミラーリングプロパティをすべて上書きします。

レイヤー2ポートミラーリングの名前付きインスタンスの定義を参照してください。

MXシリーズルーターとEXシリーズスイッチでサポートされているポートミラーリングの宛先の数は、ルーターまたはスイッチシャーシにインストールされているDPCまたはFPCに含まれるパケット転送エンジンの数に制限されます。

PICレベルでグループ化されたポート

PICレベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインディングをご覧ください。

特定のパケット転送エンジンに関連付けられたポートで受信したパケット転送エンジン。

FPC レベルまたはグローバル ポートミラーリング インスタンスで構成されたポートミラーリング プロパティをすべて上書きします。

レイヤー 2 ポートミラーリング ファイアウォール フィルター

論理インターフェイス (集合型イーサネットインターフェイスを含む)

論理インターフェイスへのレイヤー 2 ポート ミラーリングの適用をご覧ください。

論理インターフェイスで受信または送信した VPLS パケット。

ファイアウォールフィルター設定に、ミラーリングに選択されたパケットに適用するaction条件とaction-modifier条件を含めます。

  • acceptアクションが推奨されます。

  • port-mirror修飾子は、基盤となる物理インターフェイスに現在バインドされているポートミラーリングプロパティを暗黙に参照します。

  • port-mirror-instance pm-instance-name修飾子は、ポートミラーリングの名前付きインスタンスを明示的に参照します。

  • (オプション)トンネルインターフェイス入力パケットに関してのみ、パケットを追加の宛先にミラーリングするには、 next-hop-group next-hop-group-name 修飾子を含めます。この修飾子は、(パケットの追加コピーをアナライザーに送信するため)ネクストホップアドレスを指定するネクストホップグループを参照します。

レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義をご覧ください。

注:

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、論理システムではサポートされていません 。

トンネル インターフェイス入力パケットを複数の宛先にミラーリングする場合については、 レイヤー 2 ポート ミラーリング向けのネクストホップ グループの定義も参照してください。

VLAN 転送テーブルまたはフラッディング テーブル

レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用するをご覧ください。

レイヤー 2 トラフィック転送または VLAN へのフラッディング

VPLS ルーティング インスタンスの転送テーブルまたはフラッディング テーブル

レイヤー 2 ポート ミラーリングをトラフィックに転送または VPLS ルーティング インスタンスにフラッディングする適用をご覧ください。

レイヤー 2 トラフィック転送または VPLS ルーティング インスタンスへのフラッディング

レイヤー 2 ポート ミラーリングの制限

レイヤー 2 ポート ミラーリングには、以下の制限が適用されます。

  • レイヤー 2 トランジット データ(送信元から宛先に転送されるルーティング プラットフォームまたはスイッチを通過するデータのチャンクを含むパケット)のみミラーリングできます。レイヤー 2 ローカル データ(レイヤー 2 制御パケットなど、ルーティングエンジンとやり取りするデータのチャンクを含むパケット)は ミラーリングされません。

  • ポートミラーリングフィルターを 論理インターフェイスの出力に適用すると、ユニキャストパケットのみがミラーリングされます。ブロードキャストパケット、マルチキャストパケット、未知のMAC(メディアアクセス制御)アドレスがあるユニキャストパケット、またはDMAC(宛先MAC)ルーティングテーブル内のMACエントリーがあるパケットをミラーリングするには、VLANまたはVPLS(仮想プライベートLANサービス)ルーティングインスタンスのフラッドテーブルへの入力にフィルターを適用します。

  • ミラーリング宛先デバイスは専用 VLAN 上にあり、いかなるブリッジング アクティビティにも参加しません。ミラーリング宛先デバイスは、最終的なトラフィック宛先へのブリッジを持ってはならず、ミラーリングされたパケットを送信元アドレスに送り返してはなりません。

  • グローバルポートミラーリングインスタンスまたは名前付きポートミラーリングインスタンスのいずれかで、ポートミラーリングインスタンスとパケットアドレスファミリーごとにミラー出力インターフェイスを1つだけ設定できます。family (ethernet-switching | ccc | vpls) outputステートメントの下に複数のinterfaceステートメントを含めると、以前のinterfaceステートメントが上書きされます。

  • レイヤー 2 ポートミラーリング ファイアウォール フィルタリングは、論理システムではサポートされていません。

    レイヤー 2 ポートミラーリング ファイアウォール フィルター の定義では、 action-modifier フィルター(port-mirror または port-mirror-instance pm-instance-name)は、 [edit forwarding-options port-mirroring] 階層下で構成されたレイヤー 2 ポート ミラーリングのグローバル インスタンスまたは名前 付きインスタンスで定義されたポートミラーリング プロパティに依存します。そのため、 term フィルターは、論理システムのレイヤー2 ポートミラーリングをサポートできません 。

  • port-mirror文を含めることでレイヤー 2 ポート ミラーリング プロパティを暗示的に参照するレイヤー 2 ポート ミラーリング ファイアウォール フィルターでは、レイヤー 2 ポート ミラーリングの複数の名前付きインスタンスが基礎となる物理インターフェイスにバインドされている場合、スタンザの最初のバインディング(または唯一のバインディング)のみが論理インターフェイスで使用されます。これは、後方互換性のために行われます。

  • レイヤー 2 ポートミラーリング ファイアウォール フィルターは、 負荷分散ミラーリング トラフィックのネクストホップ サブグループの使用をサポートしていません。