Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ポートミラーリングとアナライザー

SUMMARY このセクションでは、ポート ミラーリングがネットワーク トラフィックをアナライザー アプリケーションに送信する方法について説明します。

ポートミラーリングとアナライザについて

ポートミラーリングとアナライザは、アナライザアプリケーションを実行するデバイスにネットワークトラフィックを送信します。ポートミラーは、レイヤー3のIPトラフィックをインターフェイスにコピーします。アナライザは、ブリッジ(レイヤー2)パケットをインターフェイスにコピーします。ミラーリングされたトラフィックが、単一または複数のインターフェイスから送信されます。アナライザアプリケーションを実行するミラー出力インターフェイスと接続するデバイスを使うことで、コンプライアンスの監視、ポリシーの適用、侵入の検知、ネットワークパフォーマンスの監視、イベントの関連付け、およびその他のネットワーク関連の問題に対するタスクを実行できます。

インターネットプロセッサーII特定用途向け集積回路(ASIC)またはT Seriesインターネットプロセッサーを搭載したルーターでは、ポートミラーリングは、ポートに入出力されるユニキャストパケットやVLANに入るユニキャストパケットをコピーし、そのコピーをローカル監視のためにローカルインタフェースに、またはリモート監視のためにVLANに送信します。ミラーリングされたトラフィックは、それを分析するアプリケーションによって受信されます。

ポートミラーリングは、トラフィックサンプリングとは異なります。トラフィックサンプリングでは、IPv4ヘッダーに基づくサンプリング鍵がルーティングエンジンに送信され、鍵はファイルまたはcflowdに置かれます。その鍵に基づいたパケットがcflowdサーバーに送信されます。ポートミラーリングでは、パケット全体がコピーされて、指定されたインターフェイスを介して送信されます。その際にパケットをキャプチャーして詳細に分析できます。

ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するデバイスにトラフィックを送信します。スイッチは通常、宛先デバイスが接続されているポートにのみパケットを送信するため、トラフィックを分析する場合はポートミラーリングが必要となります。転送前の元パケットを分析用に送信するのは、遅延の原因となるため避けたいはずです。そのため、一般的な代替案は、ポートミラーリングを設定してユニキャストトラフィックのコピーを別のインターフェイスに送信し、そのインターフェイスに接続されたデバイスでアナライザアプリケーションを実行することです。

ポートミラーリングを設定するには、ポートミラーリングインスタンスを設定しますが、そのための入力先は指定しないでください。代わりに、必要なトラフィックを指定するファイアウォールフィルターを作成して、インスタンスに誘導します。このために、フィルターのthen条件でアクport-mirrorションを使用します。family inetファイアウォールフィルターは、として設定する必要があります。

ポートミラーリングを設定する際は、パフォーマンスに留意してください。必要なパケットのみをミラーリングするようにファイアウォールフィルターを設定すれば、パフォーマンスに影響を与える可能性が軽減できます。

同じアナライザ設定内で、入力と出力トラフィックの両方を定義するアナライザステートメントを設定できます。分析するトラフィックは、インターフェイスに出入りするものでも、VLANに入るものでもかまいません。アナライザ設定により、このトラフィックを出力インターフェイス、インスタンス、またはVLANに送信できます。[edit forwarding-options analyzer]階層でアナライザを設定できます。

注:

EXシリーズスイッチで、VLANをミラーリングするリモートポートでインターフェイスを無効にする場合は、無効にしたインターフェイスを再度有効にし、ポートミラーリングを再開するにはアナライザセッションを再設定する必要があります。

ポートミラーリングでは以下をコピーできます。

  • 任意の組み合わせのインターフェイスに出入りする、すべてのパケット。あるインターフェイスに入るパケットと他のインタフェースから出るパケットのコピーは、同じローカルインターフェイスまたはVLANに送信できます。ポートミラーリングを設定してインターフェイスから出るパケットをコピーする場合、スイッチまたはノードデバイス(QFabricシステムの場合)から発信されたトラフィックは、エグレス時にコピーされません。スイッチされたトラフィックのみエグレスでコピーされます。(エグレスミラーリングの制限については後段を参照してください)

  • VLANに入るパケットの一部またはすべて。VLANから出るパケットをポートミラーリングでコピーすることはできません。

  • ポートまたはVLANに入るパケットのうち、ファイアウォールフィルタリングされたサンプル。

  • ファイアウォールフィルターはイグレスポートに対応していません。つまり、インターフェイスから出るパケットのサンプリングをポリシーベースで指定することはできません。

  • VXLAN環境では、ファイアウォールフィルターベースのポートミラーリングは、コアまたはスパイン向けインターフェイスに対応していません。

トラフィックサンプリングとポートミラーリングの両方を設定し、ポートミラーリングされたパケットに独立したサンプリングレートとランレングスを設定できます。ただし、トラフィックサンプリングとポートミラーリングの両方にパケットが選択された場合、ポートミラーリングが優先されるため、ポートミラーリングだけが実行されます。つまり、入力されるすべてのパケットをトラフィックサンプリングするようにあるインターフェイスを設定し、ポートミラーリングでもそのパケットを選択、コピーして、宛先ポートに送信するように設定すると、ポートミラーリングプロセスだけが実行されます。ポートミラーリング用に選択されなかったトラフィックサンプリングパケットは、引き続きサンプリングされ、cflowdサーバに転送されます。

ポートミラーリングとアナライザーの用語と定義

以下の表は、ポートミラーリングとアナライザのドキュメントの用語と定義を示しています。

表 1: 用語
用語 定義

アナライザ

EX2300、EX3400、または EX4300 スイッチの場合、 上のミラーリング構成(アナライザ)では、アナライザには以下が含まれます。

  • アナライザの名前
  • 送信元(入力)ポートまたはVLAN(オプション)

アナライザ インスタンス

名前、送信元インターフェイスまたは送信元 VLAN、ミラーリングされたパケット(ローカル インターフェイスまたは VLAN)の宛先を含むポートミラーリング設定。

アナライザ出力インターフェイス(モニター ポートとも呼ばれます)

ミラーリングされたトラフィックが送信され、プロトコルアナライザアプリケーションが接続されているインターフェイス。

EX2300、EX3400、およびEX4300スイッチの場合、アナライザの出力として使用するインターフェイスは、ファミリーイーサネットスイッチングとして設定する必要があります。さらに、アナライザ出力インターフェイスには次の制限が適用されます。

  • 送信元ポートとしても使用することはできません。
  • スイッチングには使用できません。
  • ポート ミラーリング構成の一部である場合は、スパニング ツリー プロトコル(STP)などのレイヤー 2 プロトコルには参加しません。
  • アナライザ出力インターフェイスの帯域幅が送信元ポートのトラフィックを処理するには不十分な場合、オーバーフロー パケットが破棄されます。

アナライザ VLAN(モニター VLAN とも呼ばれます)

 ミラーリングされたトラフィックの送信先の VLAN。ミラーリングされたトラフィックは、プロトコルアナライザアプリケーションで使用できます。モニター VLAN のメンバー インターフェイスは、ネットワーク内のスイッチ全体に広がります。
ブリッジドメインベースのアナライザ 入力、出力、または両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。
デフォルト アナライザ デフォルトのミラーリング パラメーターがあるアナライザ。デフォルトでは、ミラーリング レートは 1 であり、最大パケット長は完全なパケットの長さです。
グローバルポートミラー インスタンス名を持たないポート ミラーリング設定。ファイアウォールフィルターアクションポートミラーは、ファイアウォールフィルター設定のアクションになります。

入力インターフェイス(ミラーリングまたは監視対象インターフェイスとも呼ばれます)

ミラーインターフェイスにトラフィックをコピーするインターフェイス。このトラフィックは、インターフェイスに出入り(イングレスまたはエグレス)することができます。

ミラーリングされた入力インターフェイスは、アナライザ デバイスへの出力インターフェイスとして使用できません。

LAG ベースのアナライザ アナライザ設定の入力(イングレス)として指定された LAG(リンク アグリゲーション グループ)を持つアナライザ。

ローカルポートミラーリング

ミラーリングされたパケットを同一スイッチ上のインターフェイスにコピーするポートミラーリング設定。
監視ステーション プロトコル アナライザ アプリケーションを実行するコンピューター。
ネクストホップベースのアナライザ アナライザへの出力としてネクストホップ グループを使用するアナライザ設定。
ネイティブアナライザセッション アナライザ設定に入力定義と出力定義の両方があるアナライザ セッション。
ポリシーベースのミラーリング

ファイアウォール フィルターの条件に一致するパケットのミラーリング。アクション は、指定されたパケットをアナライザに送信するためにファイアウォールフィルターで使用されます。analyzer analyzer-name

ポートベースのアナライザ 入力と出力の両方のインターフェイスを構成で定義したアナライザ セッション。

ポートミラーリングインスタンス

入力ソースを指定しないポートミラーリング設定。出力先のみを指定します。入力ソースに対してファイアウォールフィルター設定を定義する必要があります。ファイアウォールフィルター設定は、ファイアウォールフィルター条件で定義された一致条件に一致するパケットをミラーリングするように定義する必要があります。ファイアウォールフィルター設定のアクションアイテムport-mirror-instance instance-nameは、パケットをアナライザに送信するために使用され、これらのパケットが入力ソースを形成します。

ファイアウォールフィルター設定で アクションを使用して、ポートミラーにパケットを送信します。port-mirror-instance instance-name

注: ポートミラーリングインスタンスは、NFX150デバイスではサポートされていません。
プロトコル アナライザ アプリケーション ネットワーク セグメントで送信されるパケットを調べるのに使用されるアプリケーション。一般にネットワーク アナライザ、パケット スニッファー、またはプローブとも呼ばれます。

出力インターフェイス(モニターインターフェイスとも呼ばれます)

パケットのコピーが送信され、アナライザを実行しているデバイスが接続されているインターフェイス。

出力インターフェイス(ターゲットミラーインターフェイス)には、次の制限が適用されます。

  • 送信元ポートとしても使用することはできません。

  • スイッチングには使用できません。

  • 集合型イーサネットインターフェイス(LAG)にすることはできません。

  • スパニング ツリー プロトコル(STP)などのレイヤー 2 プロトコルには参加できません。

  • ポートミラーリングがインターフェイスに適用されると、既存のVLANの関連付けは失われます。

  • 出力インターフェイスの容量が、ミラーリングされた送信元ポートからのトラフィックを処理できない場合、パケットは破棄されます。

出力 IP アドレス

アナライザアプリケーションを実行しているデバイスのIPアドレス。デバイスはリモート ネットワーク上にあってもかまいません。

この機能を使用すると、次のようになります。

  • ミラーリングされたパケットはGREカプセル化されます。アナライザ アプリケーションは、GRE カプセル化パケットのカプセル化を解除できる必要があります。また、GRE カプセル化パケットは、アナライザ アプリケーションに到達する前にカプセル化解除する必要があります。(ネットワーク スニファを使用して、パケットのカプセル化を解除できます)。

  • 出力IPアドレスは、スイッチ管理インターフェイスと同じサブネットワーク内にあってはなりません。

  • 仮想ルーティングインスタンスと、出力IPアドレスを含むアナライザ設定を作成した場合、出力IPアドレスはデフォルトの仮想ルーティングインスタンス(inet.0ルーティングテーブル)に属します。

出力VLAN(モニターまたはアナライザVLANとも呼ばれます)

パケットのコピーの送信先と、アナライザを実行しているデバイスの送信先のVLAN。アナライザ VLAN は複数のスイッチにまたがることができます。

出力VLANには、次の制限が適用されます。

  • プライベート VLAN または VLAN 範囲にすることはできません。

  • 複数の ステートメントで共有することはできません。analyzer

  • 他のVLANのメンバーになることはできません。

  • 集合型イーサネットインターフェイス(LAG)にすることはできません。

  • 一部のスイッチでは、アナライザ VLAN のメンバーになることができるインターフェイスは 1 つだけです。この制限は、QFX10000 スイッチには適用されません。イングレス トラフィックがミラーリングされると、複数の QFX10000 インターフェイスが出力 VLAN に属することができ、トラフィックはこれらすべてのインターフェイスからミラーリングされます。エグレス トラフィックが QFX10000 スイッチ上でミラーリングされている場合、アナライザ VLAN のメンバーになれるインターフェイスは 1 つだけです。

リモートポートミラーリング

ローカル ポート ミラーリングと同じように機能します。ただし、ミラーリングされたトラフィックはローカル アナライザ ポートにはコピーされず、ミラーリングされたトラフィックの受信のために作成したアナライザ VLAN にフラッディングされます。

ミラーリングされたパケットを QFabric システム上のリモート IP アドレスに送信することはできません。
VLAN ベースのアナライザ 入力と出力の両方、または入力と出力のいずれかにVLANを使用する構成のアナライザセッション。

関連項目

インスタンスタイプ

ポートミラーリングを設定するには、以下のいずれかのタイプのインスタンスを設定します。

  • アナライザインスタンス:インスタンスの入力と出力を指定します。このインスタンスタイプは、インターフェイスを通過する、またはVLANに入るすべてのトラフィックがミラーリングされ、アナライザに送信されることを保証するのに有効です。

  • ポートミラーリングインスタンス:目的のトラフィックを特定し、ミラーポートにコピーするファイアウォールフィルターを作成します。このインスタンスタイプには入力を指定しません。このインスタンスタイプは、ミラーリングされるトラフィックタイプを制御するのに有効です。以下の方法でトラフィックを誘導することができます。

    • 複数のポートミラーインスタンスが定義されている場合、port-mirror-instance instance-nameアクションを使用して、ファイアウォールフィルター内のポートミラーインスタンスの名前を指定します。

    • ポートミラーインスタンスが1つしか定義されていない場合、port-mirrorアクションを使用して、インスタンスに定義された出力インタフェースにミラーリングされたパケットを送信します。

QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、EX4650スイッチには、以下のポートミラーリングのガイドラインが適用されます。

  • 最大4つのポートミラーリングインスタンス、または4つのアナライザセッションを同時に設定できますつまり、4つのポートミラーリングインスタンス4つのアナライザセッションを一緒に設定することはできません。
  • ポートミラーリングインスタンスがない場合(つまりアナライザセッションだけが設定されている場合)、イングレスおよびエグレスのミラーリングで最大3つのアナライザセッションを有効にできます。残りのアナライザセッションは、イングレスミラーリングにのみ使用する必要があります。
  • 1つだけポートミラーリングインスタンスを設定した場合、残りのインスタンスのうち、イングレスミラーリングに最大3つのアナライザが設定でき、エグレスミラーリングには2つのアナライザが設定できます。
  • 2つのポートミラーリングインスタンスを設定した場合、残りのインスタンスのうち、イングレスミラーリングに最大2つのアナライザが設定でき、エグレスミラーリングには1つのアナライザが設定できます。
  • 3つのポートミラーリングインスタンスを設定した場合、残りのインスタンスはアナライザ(イングレスまたはエグレスミラーリングのいずれか)としてのみ設定できます。

ポートミラーリングとSTP

ポートミラーリング設定におけるSTPの動作は、使用するJunos OSのバージョンによって異なります。

  • Junos OS 13.2X50、Junos OS 13.2X51-D25またはそれ以前、Junos OS 13.2X52:STPが有効な場合、STPがミラーリングパケットをブロックする可能性があるため、ポートミラーリングが成功しないことがあります。

  • Junos OS 13.2X51-D30、Junos OS 14.1X53:ミラーリングされたトラフィックに対してSTPは無効です。トポロジーがこのトラフィックのループを防止していることを確認する必要がります。

制約と制限

ポートミラーリングには、以下の制約と制限が適用されます。

分析に必要なパケットのみをミラーリングすれば、全体のパフォーマンスを低下させる可能性が低減します。複数のポートからトラフィックをミラーリングする場合、ミラーリングされたトラフィックが出力インターフェイスの容量を超える可能性があります。オーバーフローパケットしたパケットは破棄されます。特定のインターフェイスを選択したり、allキーワードの使用を避けたりして、ミラーリングされるトラフィック量を制限することをお勧めします。ミラーリングされるトラフィック量は、ファイアウォールフィルターを使って、特定のトラフィックをポートミラーリングインスタンスに送信することでも制限できます。

  • ポートミラーリングの設定は合計4つ作成できます。

  • EX9200スイッチでは、ポートミラーリングがEX9200-15Cラインカードでサポートされていません

  • QFabricシステムの各ノードグループには、以下の制約があります。

    • ローカルポートミラーリングで使用できる設定は最大4つです。

    • リモートポートミラーリングで使用できる設定は最大3つです。

  • スタンドアロンスイッチまたはノードグループのいずれを設定するかにかかわらず、以下の制約が適用されます。

    • イングレストラフィックをミラーリングする設定は最大2つです。ミラーリングされたトラフィックをポートに送信するようにファイアウォールフィルターを設定した場合、これはフィルターが適用されているスイッチまたはノードグループのイングレスミラーリング設定としてカウントされます。

    • エグレストラフィックをミラーリングする設定は最大2つです。

    • QFabricシステムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • set analyzer name outputステートメントを完成させるには、1つのポートミラーリング設定で、1種類の出力だけを設定します。

    • interface

    • ip-address

    • vlan

  • アナライザ(set forwarding-options analyzerを使用)で、同じ物理インターフェイスに対して1つの論理インターフェイスにのみミラーリングを設定します。物理インターフェイスに設定された複数の論理インターフェイスでミラーリング設定を試みると、最初の論理インターフェイスだけが正常に設定され、残りの論理インターフェイスは設定エラーを返します。

  • エグレスパケットをミラーリングする場合、スタンドアロンスイッチまたはQFabricシステムで2,000を超えるVLANを設定しないでください。もし設定すると、一部のVLANパケットに不正なVLAN IDが含まれる可能性があります。これは、ミラーリングされたコピーだけでなく、すべてのVLANパケットにあてはまります。

  • ratioおよびloss-priorityオプションはサポートされていません。

  • 物理層エラーを含むパケットは、出力ポートやVLANに送信されません。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスに出るときはサンプリングしません。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用の シャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • 統合型ルーティングおよびブリッジング(IRB)インターフェイス(ルーテッドVLANインターフェイスまたはRVIとも呼ばれます)

  • ポートミラーリングインスタンスでは、inetまたはinet6インターフェイを出力インターフェイスとして設定することはできません。次のスイッチは、set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name> 設定をサポートしていません。

    表 2: ファミリーinet/inet6を出力インターフェイスとしてサポートしていないスイッチ
    EXスイッチ QFXスイッチ

    EX2300

    QFX3500

    EX3400

    QFX5100

    EX4100

    QFX5110

    EX4300

    QFX5120

    EX4400

    QFX5130

    EX4600

    QFX5200

    EX4650

    QFX5210
     

    QFX5220
     

    QFX5700

  • 入力がVLANの場合、またはトラフィックがファイアウォールフィルターを使用してアナライザに送信される場合、アグリゲートイーサネットインターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、CoSの書き換えなど、イグレスで元のパケットに適用される可能性のある変更については修正されません。

  • 1つのインターフェイスは、1つのミラーリング設定の入力インターフェイスにしかなれません。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、エグレス側ではミラーリングできません。

  • STPトラフィックはVLANベースミラーリングをサポートしていません。

  • (QFabricシステムの場合のみ)QFabricアナライザでエグレストラフィックをミラーリングするように設定し、入出力インターフェイスが異なるノードデバイス上にある場合、ミラーリングされたコピーには不正なVLAN IDが設定されます。

    この制限は、QFabricアナライザのエグレストラフィックをミラーリングするように設定し、入出力インターフェイスが同じノードデバイス上にある場合は適用されません。これにより、ミラーリングされたコピーには正しいVLAN IDが設定されます(QFabricシステムで2,000を超えるVLANを設定しない限り)。

  • 適正なエグレスミラーリングは、エグレスポートから出力された正確なコピー数と正確なパケットの修正をミラーリングすることと定義されています。QFX5100とEX4600スイッチのプロセッサは、ingressパイプラインにegressミラーリングを実装しているため、これらのスイッチは正確なegress パケットの変更をしないため、egress ミラーリング トラフィックは、元のトラフィックのタグと異なる誤ったVLAN タグを運ぶ可能性があります。

  • VLANカプセル化を実行するインターフェイスから出たトラフィックをミラーリングするようにポートミラーリングインスタンスを設定した場合、ミラーリングされたパケットの送信元と宛先のMACアドレスは、元のパケットのアドレスと同じではありません。

  • LAGのメンバーインターフェイスのミラーリングはサポートされていません。

  • エグレスVLANミラーリングはサポートされていません。

リモートポートミラーリングには、以下の制約と制限が適用されます。

  • 出力IPアドレスを設定する場合、そのアドレスは、スイッチ管理インターフェイスと同じサブネットワークに含めることはできません。

  • 仮想ルーティングインスタンスを作成して、出力IPアドレスを含むアナライザ設定を作成した場合、出力IPアドレスはデフォルトの仮想ルーティングインスタンス(inet.0ルーティングテーブル)に属します。

  • 出力VLANをプライベートVLANまたはVLAN範囲にすることはできません。

  • 出力VLANは、複数のアナライザセッションまたはポートミラーインスタンスと共有することはできません。

  • 出力VLANインターフェイスを他のVLANのメンバーにすることはできません。

  • 出力VLANインターフェイスを集合型イーサネットインターフェイスにすることはできません。

  • 出力VLANに複数メンバーのインターフェイスが含まれる場合、トラフィックはVLANの最初のメンバーにのみミラーリングされ、同じVLANの他のメンバーはミラーリングされたトラフィックを伝送しません。

  • IPアドレスへのリモートポートミラーリング(GREカプセル化)の場合、複数のアナライザセッションまたはポートミラーインスタンスを設定し、アナライザまたはポートミラーインスタンスのIPアドレスが同じインターフェイスで到達可能であれば、アナライザセッションまたはポートミラーインスタンスは1つだけ設定されることになります。

  • リモートポートミラーリングで出力可能なインターフェイス数は、QFX5Kシリーズのスイッチによって異なります。

    • QFX5110、QFX5120、QFX5210:最大4つの出力インターフェイスをサポート

    • QFX5100およびQFX5200:最大3つの出力インターフェイスをサポート

  • リモートポートミラーリングVLANのメンバーがVLANから削除されるたびに、そのVLANのアナライザセッションを再設定します。

QFX5100およびQFX5200スイッチの制約と制限

QFX5100およびQFX5200スイッチでポートミラーリングする場合、以下の点を考慮する必要があります。

  • IPアドレスへの出力でミラーリングを設定する場合、宛先IPアドレスが到達可能で、ARPを解決する必要があります。

  • ECMP(等コストマルチパス)ロードバランシングは、ミラーリングされた宛先ではサポートされていません。

  • リモートポートミラーリング(RSPAN)の出力インターフェイス数は変動します。QFX5110、QFX5120、QFX5210スイッチの出力インターフェイスは最大4つです。QFX5100およびQFX5200スイッチでは最大3つです。

  • ミラーリング出力インターフェイスにリンクアグリゲーショングループ(LAG)を指定すると、最大8つまでインターフェイスをミラーリングできます。

  • ミラーリングの入力には、LAG、任意のユニットの物理インターフェイス(ae0.101やxe-0/0/0.100など)、またはサブインターフェイスを設定することができます。いずれの入力でも、LAGまたは物理インターフェイス上のすべてのトラフィックがミラーリングされます。

  • LAGのメンバーインターフェイス上に独立したミラーリングインスタンスを設定することはできません。

  • あるミラーリングインスタンスに含まれた出力インターフェイスは、別のミラーリングインスタンスでは使用できません。

  • ポートミラーリングインスタンスの場合、エグレスパイプラインの転送パスで破棄されたパケットでも、宛先でミラーリングされます。これは、ミラーリングアクションが、破棄アクションの前にイングレスパイプラインで発生するためです。

  • ポートミラーリングインスタンスでは、ミラー出力先を1つだけ指定できます。

  • 複数のポートミラーリングやアナライザインスタンスにまたがって設定される出力ミラーの宛先は、すべて一意である必要があります。

  • ERSPAN IPv6アドレスの場合、アナライザおよびポートミラーリングへの出力がリモートIPv6アドレスの場合のエグレスミラーリングはサポートされていません。エグレスミラーはサポートされていません。

  • ローカルミラーリングの場合、出力インターフェイスは、VLANの有無にかかわらず、family ethernet-switchingに設定する必要があります(つまり、レイヤ3インターフェイスではありません)。

  • サービスプロバイダ環境でポートミラーリングやアナライザインスタンスを設定する場合は、VLAN IDではなくVLAN名を使用します。

QFX10000シリーズスイッチでのポートミラーリング

次のリストでは、QFX10000シリーズスイッチに適用される制約と制限について説明しています。スイッチでのポートミラーリングの一般的な情報については、本ポートミラーリングおよびアナライザドキュメントの前半セクションの、セクションタイトルに他のプラットフォーム名が記載されていない部分を参照してください。

  • ingressグローバルポートミラーリングのみがサポートされます。グローバルポートミラーリングは、raterun-lengthmaximum-packet-lengthなどの入力パラメータで設定できます。Egressグローバルポートミラーリングはサポートされません。

  • ポートミラーリングインスタンスは、リモートポートミラーリングでのみサポートされます。ポートミラーリングのグローバルインスタンスは、ローカルミラーリングでサポートされます。

  • ローカルポートミラーリングは、これらのファイアウォールフィルターファミリーでのみサポートされます:inetinet6 があります。

  • ローカルポートミラーリングは、ファイアウォールフィルターファミリーanyまたはcccではサポートされません。

QFabricによるポートミラーリング

ローカルおよびリモートポートミラーリングには、以下の制約と制限が適用されます。

  • ポートミラーリングの設定は合計4つ作成できます。

  • QFabricシステムの各ノードグループには、以下の制約があります。

    • ローカルポートミラーリングで使用できる設定は最大4つです。

    • リモートポートミラーリングで使用できる設定は最大3つです。

  • スタンドアロンスイッチまたはノードグループのいずれを設定するかにかかわらず、以下の制約が適用されます。

    • イングレストラフィックをミラーリングする設定は最大2つです。ミラーリングされたトラフィックをポートに送信するようにファイアウォールフィルターを設定します(つまり、フィルター条件でanalyzerアクション修飾子を使用します)。この場合、フィルターが適用されるスイッチまたはノードグループのイングレスミラーリング設定としてカウントされます。

    • エグレストラフィックをミラーリングする設定は最大2つです。

    • QFabricシステムでは、ミラーセッションの合計数にシステム全体の制限はありません。

  • set analyzer name outputステートメントを完成させるには、1つのポートミラーリング設定で、1種類の出力だけを設定します。

    • interface

    • ip-address

    • vlan

  • アナライザ(set forwarding-options analyzerを使用)で、同じ物理インターフェイスに対して1つの論理インターフェイスにのみミラーリングを設定します。物理インターフェイスに設定された複数の論理インターフェイスでミラーリング設定を試みると、最初の論理インターフェイスだけが正常に設定され、残りの論理インターフェイスは設定エラーを返します。

  • egressパケットをミラーリングする場合、QFXシリーズスイッチで2,000を超えるVLANを設定しないでください。もし設定すると、一部のVLANパケットに不正なVLAN IDが含まれる可能性があります。これは、ミラーリングされたコピーだけでなく、すべてのVLANパケットにあてはまります。

  • ratioおよびloss-priorityオプションはサポートされていません。

  • 物理層エラーを含むパケットは、出力ポートやVLANに送信されません。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスに出るときはサンプリングしません。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用の シャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • 統合型ルーティングおよびブリッジング(IRB)インターフェイス(ルーテッドVLANインターフェイスまたはRVIとも呼ばれます)

  • 入力がVLANの場合、またはトラフィックがファイアウォールフィルターを使用してアナライザに送信される場合、アグリゲートイーサネットインターフェイスを出力インターフェイスにすることはできません。

  • ミラーリングされたパケットが出力インターフェイスから送信された場合、CoSの書き換えなど、イグレスで元のパケットに適用される可能性のある変更については修正されません。

  • 1つのインターフェイスは、1つのミラーリング設定の入力インターフェイスにしかなれません。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、エグレス側ではミラーリングできません。

  • STPトラフィックはVLANベースミラーリングをサポートしていません。

  • (QFabricシステムの場合のみ)QFabricアナライザでエグレストラフィックをミラーリングするように設定し、入出力インターフェイスが異なるノードデバイス上にある場合、ミラーリングされたコピーには不正なVLAN IDが設定されます。

    この制限は、QFabricアナライザのエグレストラフィックをミラーリングするように設定し、入出力インターフェイスが同じノードデバイス上にある場合は適用されません。これにより、ミラーリングされたコピーには正しいVLAN IDが設定されます(QFabricシステムで2,000を超えるVLANを設定しない限り)。

  • 適正なエグレスミラーリングは、エグレスポートから出力された正確なコピー数と正確なパケットの修正をミラーリングすることと定義されています。QFX5xxx(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210を含む)上のプロセッサーや、EX4600(EX4600およびEX4650を含む)スイッチは、イングレスパイプラインでエグレスミラーリングを実装するため、エグレスパケットの正確な修正を提供しません。そのため、エグレスミラーリングされたトラフィックは、元のトラフィックのタグと異なる不正なVLANタグを伝送する可能性があります。

  • VLANカプセル化を実行するインターフェイスから出たトラフィックをミラーリングするようにポートミラーリングインスタンスを設定した場合、ミラーリングされたパケットの送信元と宛先のMACアドレスは、元のパケットのアドレスと同じではありません。

  • LAGのメンバーインターフェイスのミラーリングはサポートされていません。

  • エグレスVLANミラーリングはサポートされていません。

OCXシリーズスイッチでのポートミラーリング

OCXシリーズスイッチのポートミラーリングには、以下の制約と制限が適用されます。

  • ポートミラーリングの設定は合計4つ作成できます。イングレスまたはエグレストラフィックをミラーリングする設定は最大で2つまでです。

  • sFlow監視を使用してトラフィックをサンプリングする場合、ミラーコピーが出力インターフェイスに出るときはサンプリングしません。

  • ポートミラーリングセッションの作成は1つだけです。

  • 以下のポートから出入りするパケットをミラーリングすることはできません。

    • 専用の シャーシインターフェイス

    • 管理インターフェイス(me0またはvme0)

    • ファイバーチャネルインターフェイス

    • ルーテッドVLANインターフェイスまたはIRBインターフェイス

  • 集合型イーサネットインターフェイスは出力インターフェイスにすることはできません。

  • ポートミラーリング設定には0以外のユニット番号を持つ802.1Qサブインターフェイスを含めないでください。ポートミラーリングは、サブインターフェイスのユニット番号が0でない場合は機能しません(802.1Qサブインターフェイスは、vlan-taggingステートメントを使用して設定します)。

  • パケットのコピーが出力インターフェイスから送信された場合、CoSの書き換えなど、通常エグレスで適用される変更については修正されません。

  • 1つのインターフェイスは、1つのミラーリング設定の入力インターフェイスにしかなれません。複数のミラーリング設定で同じインターフェイスを入力インターフェイスとして使用しないでください。

  • CPUが生成したパケット(ARP、ICMP、BPDU、LACPパケットなど)は、エグレス側ではミラーリングできません。

  • STPトラフィックはVLANベースミラーリングをサポートしていません。

EX2300、EX3400、および EX4300 スイッチ上のポート ミラーリング

ハブとは異なり、スイッチは宛先デバイス上のすべてのポートにパケットをブロードキャストするわけではないため、スイッチ上のトラフィック分析にミラーリングが必要になる場合があります。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

概要

EX2300、EX3400、および EX4300スイッチ上で実行されているJunos OSは、パケットレベルにあるこれらのスイッチのトラフィック分析に役立つELS(拡張レイヤー2ソフトウェア)設定をサポートしています。

ポートミラーリングを使用して、ローカル監視の場合はローカルインターフェイス、リモート監視についてはVLANにパケットをコピーします。アナライザを使用して、ネットワーク使用とファイル共有に関するポリシーを適用し、特定のステーションまたはアプリケーションによる異常なまたは重い帯域幅使用を特定して、ネットワーク上の問題の原因を特定できます。

ポート ミラーリングは、 階[edit forwarding-options port-mirroring]層レベルで設定されます。ルーティングされた(レイヤー 3)パケットをミラーリングするには、 ステートfamily メントが inetまたは に設定されているポート ミラーリング設定を使用できますinet6

ポートミラーリングを使用して、これらのパケットをコピーできます。

  • Packets entering or exiting a port—最大 256 ポートに出入りするパケットの組み合わせでパケットをミラーリングできます。

    つまり、一部のポートに入るパケットと、他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • Packets entering a VLAN—VLAN に入るパケットをローカル アナライザ ポートまたはアナライザ VLAN にミラーリングできます。VLAN 範囲と PVLAN など、最大 256 個の VLAN をアナライザにイングレス入力として設定できます。

  • Policy-based sample packets—ポートまたはVLANに入るパケットのポリシー ベースのサンプルをミラーリングできます。ファイアウォール フィルタを設定して、ミラーリングするパケットを選択するポリシーを確立し、ポートミラーリング インスタンスまたはアナライザ VLAN にサンプルを送信します。

スイッチ上でポートミラーリングを設定して、ユニキャストトラフィックのコピーをインターフェイス、ルーティングインスタンス、VLANなどの出力先に送信できます。その後、プロトコルアナライザアプリケーションを使用して、ミラーリングされたトラフィックを分析できます。プロトコル アナライザ アプリケーションは、アナライザ出力インターフェイスに接続されたコンピューターまたはリモート監視ステーションで実行できます。入力トラフィックでは、ファイアウォール フィルターの条件を設定して、ファイアウォール フィルターが適用されるインターフェイス内のすべてのパケットにポート ミラーリングを適用する必要があるかどうかを指定できます。アクション port-mirrorまたは で設定されたファイアウォール フィルターを、入力または出力論理インターフェイス(集合型イーサネット論理インターフェイスを含む)port-mirror-instance nameに、VLAN に転送またはフラッディングされたトラフィック、VPLS ルーティング インスタンスにフラッディングされたトラフィックに適用できます。EX2300、EX3400、および EX4300 スイッチは、レイヤー 2 環境family cccの との VPLS( family ethernet-switchingまたは family vpls)トラフィックと VPN トラフィックのポート ミラーリングをサポートしています。

ファイアウォール フィルターの条件内では、以下の方法で ステートthenメントでポートミラーリング プロパティを指定できます。

  • ポート上の効果でポートミラーリング プロパティを暗示的に参照します。

  • ポートミラーリングの特定の名前付きインスタンスを明示的に参照します。

EX2300、EX3400、および EX4300 スイッチ上のポート ミラーリングとアナライザの設定ガイドライン

ポートミラーリングを設定する場合、ミラーリングを最大限活用できるように、特定のガイドラインに従うことを推奨します。さらに、使用していない場合はミラーリングを無効にし、すべてのインターフェイスでミラーリングを可能にし、全体的なパフォーマンスに影響を与えることができる キーワーallド オプションを使用するよりも、パケットがミラーリングされる必要がある特定のインターフェイスを選択する(つまり、アナライザへの入力として特定のインターフェイスを選択する)を推奨します。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。

ローカル ミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットが破棄されます。そのため、アナライザを設定する際、ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。

[edit forwarding-options analyzer]階層でアナライザを設定できます。

注:

本当のエグレス ミラーリングは、コピーの正確な数と、エグレス スイッチ ポートから出る正確なパケット修正のミラーリングと定義されます。EX2300およびEX3400スイッチ上のプロセッサはイングレスパイプライン上にエグレスミラーリングを実装しているため、これらのスイッチではエグレスパケットは正確に修正されません。このため、エグレスミラーリングされたトラフィックが元のトラフィックのタグとは異なるVLANタグを伝送することがあります。

表 3 は、EX2300、EX3400、および EX4300 スイッチ上のミラーリングの追加設定ガイドラインの概要を示しています。

表 3: EX2300、EX3400、および EX4300 スイッチ上のポート ミラーリングとアナライザの設定ガイドライン

ガイドライン

価値またはサポート情報

コメント

アナライザへのイングレス入力として使用できる VLAN の数。

256

 

同時に有効にできるポートミラーリング セッションとアナライザの数。

4

合計 4 つのセッションを設定できますが、有効にできるのは以下の内 1 つだけです。

  • 最大4つのポートミラーリングセッション(グローバルポートミラーリングセッションを含む)。

  • 最大 4 つのアナライザ セッション。

  • ポートミラーリングとアナライザ セッションの組み合わせ、この組み合わせの合計は 4 つである必要があります。

スイッチ上のポートミラーリング インスタンスまたはアナライザの指定された数を超えて設定できますが、有効にできるのはセッションに指定された数だけです。

トラフィックをミラーリングできないポートのタイプ。

  • VCP(バーチャル シャーシ ポート)

  • 管理イーサネット ポート(me0 または vme0)

  • IRB(統合型ルーティングおよびブリッジング)インターフェイス。これは、RVI(Routed VLAN Interface)とも呼ばれます。

  • VLAN タグ付きレイヤー 3 インターフェイス

 

リモートトラフィックのポートミラーリング設定に含めることができるプロトコルファミリー。

any

 

ファイアウォールフィルターベースの設定のポート上のミラーリングに設定できるトラフィック方向。

Ingress/Egress

 

CoS(サービス クラス)DSCPまたは 802.1p ビットを反映するインターフェイスを出る、ミラーリングされたパケット。

適用可能

 

物理層エラーがあるパケット。

適用可能

これらのエラーがあるパケットは除外され、アナライザに送信されません。

ポートミラーリングは、回線速度トラフィックをサポートしていません。

適用可能

回線速度トラフィックのポート ミラーリングは、ベストエフォートベースで行われます。

VLANから出るパケットのミラーリング。

未対応

 

LAG インターフェイス上のポートミラーリングまたはアナライザ出力。

対応

 

ポートミラーリングまたはアナライザ出力LAGインターフェイス上の子メンバーの最大数。

8

 

リモート ポート ミラーリングまたはアナライザ VLAN 内のインターフェイスの最大数。

1

 

ホスト生成された制御パケットのエグレス ミラーリング。

サポートされていません

 

アナライザの input スタンザにおけるレイヤー 3 論理インターフェイスの設定。

未対応

この機能は、ポート ミラーリングを設定することで実現できます。

同じ VLAN または VLAN 自体のメンバーを含むアナライザの入力およち出力スタンザを回避する必要があります。

適用可能

 

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、EX8200シリーズ スイッチのポートミラーリング

ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200またはEX8200シリーズスイッチで実行されるジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、拡張レイヤー2ソフトウェア(ELS)の設定をサポートしていません。そのため、Junos OSでは、他のJunos OSパッケージの階層edit forwarding-optionsレベルで見つかったステートport-mirroringメント、またはファイアウォールフィルターの用語でのアクport-mirrorションは含まれていません。

ポートミラーリングを使用して、パケットレベルでジュニパーネットワークスEXシリーズのイーサネットスイッチ上のトラフィック分析が容易になります。ポートミラーリングをスイッチトラフィック監視の一環として使用して、ネットワーク使用とファイル共有に関するポリシーを適用したり、特定のステーションまたはアプリケーションによる異常または重い帯域幅使用を見つけてネットワーク上の問題の原因を確認できたりします。

ポートミラーリングを使用して、これらのパケットをローカルインターフェイスまたはVLANにコピーできます。

  • ポートを出入りするパケット

  • 一部のポートに入るパケットと他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200スイッチでVLANに入るパケット

  • EX8200スイッチ上のVLANから出るパケット

概要

スイッチは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストするわけではないため、ポートミラーリングはスイッチ上のトラフィック分析に使用されます。スイッチは、宛先デバイスが接続されているポートにのみパケットを送信します。

スイッチでポートミラーリングを設定して、ローカルアナライザポートまたはアナライザVLANのいずれかにユニキャストトラフィックのコピーを送信します。その後、プロトコルアナライザを使用してミラーリングされたトラフィックを分析できます。プロトコルアナライザは、アナライザ出力インターフェイスに接続されたコンピューターまたはリモート監視ステーションのいずれかで実行可能です。

ポートミラーリングを使用して、以下のいずれかをミラーリングできます。

  • Packets entering or exiting a port—最大 256 ポートに出入りするパケットの組み合わせでパケットをミラーリングできます。

    つまり、一部のポートに入るパケットと、他のポートから出るパケットのコピーを、同じローカルアナライザポートまたはアナライザVLANに送信できます。

  • Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—アナライザVLAN上のVLANに入るパケットをミラーリングできます。EX3200、EX4200、EX4500、EX4550スイッチでは、VLAN範囲やPVLANを含む複数のVLAN(最大256 VLAN)を、アナライザへのイングレス入力として設定できます。

  • Packets exiting a VLAN on an EX8200 switch—EX8200スイッチ上のVLANから出るパケットを、ローカルアナライザポートまたはアナライザVLANのいずれかにミラーリングできます。VLAN範囲とPVLANを含む複数のVLAN(最大256 VLAN)を、アナライザへのエグレス入力として設定できます。

  • Statistical samples—以下のパケットの統計サンプルをミラーリングできます。

    • ポートを出入りする

    • ACX7024、ACX7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200スイッチでVLANを入力する

    • EX8200スイッチ上のVLANから出る

    比率を設定してパケットのサンプル番号を指定します。サンプルをローカルアナライザポートまたはアナライザVLANのいずれかに送信できます。

  • Policy-based sample—ポートまたはVLANに入るパケットのポリシー ベースのサンプルをミラーリングできます。ファイアウォールフィルターを設定して、ミラーリングされるパケットを選択するポリシーを確立します。サンプルをローカルアナライザポートまたはアナライザVLANに送信できます。

ACX7024、ACS7100、ACX7509、EX2200、EX3200、EX3300、EX4200、EX4500、EX4550、EX6200、EX8200シリーズスイッチの設定ガイドライン

ポートミラーリングを設定する場合、ポートミラーリング機能を最大限活用できるように、特定のガイドラインに従うことを推奨します。さらに、すべてのインターフェイスでポートミラーリングを有効にして全体的なパフォーマンスに影響を与えかねないallキーワードを使用するよりも、使用していない場合はポートミラーリングを無効にし、パケットのミラーリングが必要な特定のインターフェイスを選択する(つまり、アナライザへの入力として特定のインターフェイスを選択する)ことを推奨します。また、統計サンプリングの使用、統計サンプルを選択する比率の設定、またはファイアウォールフィルターの使用により、ミラーリングされるトラフィックの量を制限することもできます。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。

ローカルポートミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットが破棄されます。そのため、アナライザを設定する際、ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。

注:

ACX5448ルーターでは、[edit forwarding-options analyzer an input egress]階層レベルで、イングレスおよびエグレスインターフェイスの.0論理インターフェイスでのみ、アナライザ入力を設定する必要があります。.0以外の論理インターフェイスを設定すると、コミット中にエラーが表示されます。以下は、アナライザ入力を.100論理インターフェイスに設定した場合に表示されるコミットエラーの例です。

注: 説明での「その他のすべてのスイッチ」または「すべてのスイッチ」は、ポートミラーリングをサポートするすべてのスイッチプラットフォームに適用されます。プラットフォームサポートの詳細については、Feature Explorerを参照してください。
表 4: 設定ガイドライン

ガイドライン

説明

コメント

アナライザへのイングレス入力として使用できるVLAN数
  • 16 Ingressまたは8 Ingressおよび8Egress—ACX7024デバイス

    1—EX2200スイッチ

  • 256—EX3200、EX4200、EX4500、EX4550、EX6200スイッチ

  • 適用なし—EX8200スイッチ

  

同時に有効にできるアナライザ数(スタンドアロンスイッチとバーチャルシャーシの両方に適用)

  • 1—EX2200、EX3200、EX4200、EX3300、EX6200スイッチ

  • 7ポートベースまたは1グローバル—EX4500とEX4550スイッチ

  • 合計7(VLAN、ファイアウォールフィルター、またはLAGベースの1つ、ファイアウォールフィルターベースの残り6つ)—EX8200スイッチ

    注:

    ファイアウォールフィルターを使用して設定されたアナライザは、ポートから出るパケットのミラーリングをサポートしていません。

  • 指定された数以上のアナライザをスイッチ上で設定できますが、セッションは指定された数のみ有効です。disable ethernet-switching-options analyzer nameを使用してアナライザを無効にします。

  • EX4500とEX4550スイッチで許可されたファイアウォールフィルターベースのアナライザ数の例外については、このテーブルの次の行入力を参照してください。

  • EX4550バーチャルシャーシでは、入力および出力定義のポートがバーチャルシャーシの異なるスイッチ上にある場合、アナライザを1つだけ設定できます。複数のアナライザを設定するには、バーチャルシャーシの同じスイッチ上でアナライザセッション全体を設定する必要があります。

EX4500とEX4550スイッチで設定可能なファイアウォールフィルターベースのアナライザ数

  • 1—EX4500とEX4550スイッチ

複数のアナライザを設定する場合、ファイアウォールフィルターにはそれらのいずれもアタッチできません。

トラフィックをミラーリングできないポートのタイプ

  • VCP(バーチャル シャーシ ポート)

  • 管理イーサネット ポート(me0 または vme0)

  • RVI(ルーテッドVLANインターフェイス)

  • VLAN タグ付きレイヤー 3 インターフェイス

  

ポートミラーリングが、EX8200スイッチ上の10ギガビットイーサネットポートから出るパケットをミラーリングするように設定されている場合、ミラーリングされたパケットが10ギガビットイーサネットポートトラフィックの60%を超えると、パケットはネットワークとミラーリングされたトラフィックの両方で廃棄されます。

  • EX8200スイッチ

  

比率を指定できるトラフィック方向

  • イングレスのみ—EX8200スイッチ

  • イングレスとエグレス—その他のすべてのスイッチ

  

ファイアウォールフィルターベースのリモートアナライザに含めることができるプロトコルファミリー

  • inetinet6以外のすべて—EX8200スイッチ

  • すべて—その他のすべてのスイッチ

ローカルアナライザのEX8200スイッチ上でinetinet6を使用できます。

ファイアウォールフィルターベースの設定で、ポートのミラーリングに設定できるトラフィック方向。

  • イングレスのみ—すべてスイッチ

  

タグ付きインターフェイス上のミラーリングされたパケットには、誤ったVLAN IDまたはイーサタイプが含まれている場合があります。

  • VLAN IDとイーサタイプの両方—EX2200スイッチ

  • VLAN IDのみ—EX3200とEX4200スイッチ

  • イーサタイプのみ—EX4500とEX4550スイッチ

  • 適用なし—EX8200スイッチ

  

インターフェイスから出るミラーリングされたパケットは、書き直されたCoS(サービスのクラス)DSCPまたは802.1pビットを反映しません。

  • すべてのスイッチ

  

RVI(ルーテッドVLANインターフェイス)に属するエグレスVLANが、アナライザの入力として設定された場合、アナライザは誤った802.1Q(dot1q)ヘッダーをルーティングされたトラフィックのミラーリングされたパケットに追加するか、もしくはルーティングされたトラフィックのパケットのいずれもミラーリングしません。

  • EX8200スイッチ

  • 適用なし—その他のすべてのスイッチ

回避策として、VLANの各ポート(メンバーインターフェイス)を使用するアナライザをエグレス入力として設定します。

物理層エラーがあるパケットは、ローカルまたはリモート アナライザに送信されません。

  • すべてのスイッチ

これらのエラーがあるパケットは除外され、アナライザに送信されません。

VLANに設定された出力を備えたレイヤー3インターフェイスのポートミラーリング設定は、EX8200スイッチでは利用できません。

  • EX8200スイッチ

  • 適用なし—その他のすべてのスイッチ

  

ポートミラーリングは、回線速度トラフィックをサポートしていません。

  • すべてのスイッチ

回線速度トラフィックのポート ミラーリングは、ベストエフォートベースで行われます。

EX8200バーチャルシャーシで、バーチャルシャーシ全体のトラフィックをミラーリングするには、出力ポートはLAGである必要があります。

  • EX8200バーチャルシャーシ

  • 適用なし—その他のすべてのスイッチ

EX8200バーチャルシャーシの場合:

  • ネイティブアナライザのみの監視ポートとしてLAGを設定できます。

  • ファイアウォールフィルターベースのアナライザの監視ポートとしてはLAGを設定できません。

  • アナライザ設定に監視ポートとしてLAGが含まれている場合、アナライザの入力定義でVLANを設定できません。

スタンドアロンEX8200スイッチでは、出力定義でLAGを設定できます。

  • EX8200スタンドアロンスイッチ

  • 適用なし—その他のすべてのスイッチ

EX8200スタンドアロンスイッチの場合:

  • ネイティブおよびファイアウォールベースのアナライザの両方で、監視ポートとしてLAGを設定できます。

  • 設定に監視ポートとしてLAGが含まれている場合、アナライザの入力定義でVLANを設定できません。

SRXシリーズファイアウォールのポートミラーリング

ポートミラーリングは、ポート出入りするパケットをコピーし、監視用にローカルインターフェイスにコピーを送信します。ポートミラーリングは、コンプライアスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的で、トラフィックを分析するアプリケーションにトラフィックを送信するために使用されます。</para><para>ポートミラーリングは、すべてのパケットのコピー、またはポートで見られたサンプル済みパケットのみをネットワーク監視接続に送信するために使用されます。受信ポート(イングレスポートミラーリング)または発信ポート(エグレスポートミラーリング)のいずれかでパケットをミラーリングできます。

ポートミラーリングは、以下のI/Oカードを持つSRXシリーズファイアウォールでのみサポートされています。

  • SRX1K-SYSIO-GE

  • SRX1K-SYSIO-XGE

  • SRX3K-SFB-12GE

  • SRX3K-2XGE-XFP

  • SRX5K-FPC-IOCフレックスI/O

SRX シリーズファイアウォールでは、ポートを通過するすべてのmirroredパケットがコピーされ、指定された mirror-toポートに送信されます。これらのポートは、I/Oカード内の同じBroadcomチップセット上になければなりません。

SRXシリーズファイアウォールでは、ポートミラーリングは物理インターフェイスでのみ機能します。

レイヤー2ポートミラーリングについて

インターネットロセッサーII ASICを含むルーティングプラットフォームとスイッチは、分析のためにルーティングプラットフォームまたは、スイッチから外部のホストアドレスあるいはパケットアナライザに、着信パケットのコピーを送信できます。これは、ポートミラーリングと呼ばれています。

Junos OS Release 9.3以降では、レイヤー2環境でジュニパーネットワークスMXシリーズ5Gユニバーサル ルーティングプラットフォームが、レイヤー2のブリッジングトラフィックと、仮想プライベートLANサービス(VPLS)トラフィックのポートミラーリングをサポートしています。

Junos OS Release 9.4以降では、レイヤー2環境内のMXシリーズルーターは、同じタイプの論理インターフェイスを透過的に接続する、サーキットクロスコネクト(CCC)を介したレイヤー2 VPNトラフィックのポートミラーリングをサポートしています。

Junos OS Release 12.3R2では、ジュニパーネットワークスEXシリーズスイッチは、レイヤー2のブリッジングトラフィックのポートミラーリングをサポートしています。

レイヤーポートミラーリングにより、指定されたポートで着信および送信パケットを監視する方法と、選択されたパケットのコピーを別の宛先に転送する方法を指定することができ、パケットはこの宛先で分析することができます。

MXシリーズルーターとEXシリーズスイッチは、概念的には他のルーティングプラットフォームおよびスイッチと類似しているが、特に異なるサービスクラス(CoS)アーキテクチャを使用して、フロー監視機能を実行することで、レイヤー2ポートミラーリングをサポートしています。

M120マルチサービスエッジルーターおよびM320マルチサービスエッジルーター、MXシリーズルーターおよびEXシリーズスイッチは、IPv4、IPv6、VPLSパケットのミラーリングを同時にサポートします。

レイヤー3環境では、MXシリーズルーターおよびEXシリーズスイッチは、IPv4(family inet)およびIPv6(family inet6)トラフィックのミラーリングをサポートしますレイヤー3ポートミラーリングについては、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。

レイヤー 2 ポート ミラーリング プロパティ

ポート ミラーリングは、以下の種類のプロパティを指定します。

パケット選択

レイヤー 2 ポートミラーリングのパケット選択プロパティは、ミラーリングにサンプルされたパケットを選択する方法を指定します。

  • 各サンプルのパケット数。

  • 各サンプルからミラーリングするパケットの数。

  • 切り捨てられるミラーリングされたパケットの長さ。

パケット アドレス ファミリー

パケット アドレス ファミリー タイプは、ミラーリングするトラフィックの種類を指定します。レイヤー 2 環境では、MX シリーズ ルーターと EX シリーズ スイッチは、以下のパケット アドレス ファミリーのサポート ミラーリング スイッチをサポートします。

  • ethernet-bridgeファミリー タイプethernet-switching—物理インターフェイスがカプセル化タイプ で設定されている場合の VPLS トラフィックのミラーリング。

  • ファミリー タイプccc—レイヤー 2 VPN トラフィックをミラーリングする場合。

  • ファミリー タイプvpls—VPLS トラフィックのミラーリング。

注:

一般的なアプリケーションでは、ミラーリングされたパケットを、他ルーターまたはスイッチではなくアナライザーに直接送信します。ミラーリングされたパケットをネットワーク上で送信する必要がある場合、トンネルを使用してください。レイヤー 2 VPN 実装では、レイヤー 2 VPN ルーティング インスタンス タイプ を使用して、リモート宛先にトンネリングl2vpnできます。

レイヤー2 VPNのルーティングインスタンスの設定については、ルーティングデバイス用Junos OS VPNライブラリを参照してください。レイヤー 2 VPN の設定の詳細については、Junos OS を参照してください。トンネルインターフェイスについては、ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。

ミラー宛先プロパティ

特定のパケットアドレスファミリーに対して、レイヤー2ポートミラーリングインスタンスのミラー宛先プロパティは、特定の物理インターフェイス上で選択されたパケットが送信される方法を指定します。

  • 選択されたパケットを送信する物理インターフェイス。

  • ミラー宛先インターフェイスに対してフィルター チェックを無効にするかどうか。デフォルトでは、フィルター チェックはすべてのインターフェイスで有効です。

    注:

    レイヤー2ポートミラーリング宛先でもあるインターフェイスにフィルターを適用すると、そのミラー宛先インターフェイス に対するフィルターチェックを無効にしない限り、コミットが失敗します。

ミラーワンス オプション

イングレスおよびイグレス インタフェースの両方でポート ミラーリングを有効にすると、MX シリーズ ルーターと EX シリーズ スイッチが同じ宛先に重複したパケットを送信すること(ミラーリングされたトラフィックの解析が複雑になる)を防ぐことができます。

注:

ミラーワンス ポートミラーリング オプションは、グローバル設定です。オプションは、パケット選択プロパティとパケット ファミリー タイプ固有のミラー宛先プロパティから独立していません。

レイヤー2ポートミラーリングタイプの適用

異なるレイヤー 2 ポートミラーリング プロパティは、MX シリーズまたは EX シリーズの異なるイングレス ポイントあるいはエグレス ポイントで、VPLS パケットに適用することができます。

表 5では、MXシリーズルーターとEXシリーズスイッチで構成可能な次の3つのタイプのレイヤー2ポートミラーリングについて説明します。グローバル インスタンス、指名されたインスタンス、およびファイヤウォール フィルター

表 5: レイヤー2ポートミラーリングタイプの適用

レイヤー2ポートミラーリングのタイプの定義

適用ポイント

ミラーリングの範囲

説明

構成の詳細

レイヤー 2 ポート ミラーリングのグローバル インスタンス

MX シリーズ ルーター(またはスイッチ)シャーシのすべてのポート。

MX シリーズ ルーター(またはスイッチ)シャーシのすべてのポートで受信した VPLS パケット。

構成された場合、グローバル ポートミラーリング プロパティは、ルーター(またはスイッチ)シャーシのすべてのポートで受信したすべての VPLS パケットに暗黙に適用されます。

レイヤー2ポートミラーリングのグローバルインスタンスを構成するを参照してください

レイヤー2ポートミラーリングの名前付きインスタンス

FPC レベルでグループ化されたポート

FPC レベルでグループ化されたポートへのレイヤー 2 ポート ミラーリングのバインディングをご覧ください。

特定の DPC または FPC とそのパケット転送エンジンに関連するポートで受信する VPLS パケット。

グローバル ポートミラーリング インスタンスにより構成されたポートミラーリング プロパティをすべて上書きします。

レイヤー2ポートミラーリングの名前付きインスタンスの定義をご覧ください。

MX シリーズ ルーターと EX シリーズ スイッチ向けにサポートされているポートミラーリングの宛先の数は、ルーターまたはスイッチ シャーシにインストールされている DPC または FPC に含まれるパケット転送エンジンの数に制限されます。

PICレベルでグループ化されたポート

PICレベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインディングをご覧ください。

特定のパケット転送エンジンに関連づけられたポートで受信したVPLSパケット。

FPC レベルまたはグローバル ポートミラーリング インスタンスで構成されたポートミラーリング プロパティをすべて上書きします。

レイヤー2ポートミラーリングファイアウォールフィルター

論理インターフェイス(集合型イーサネット インターフェイスを含む)

レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用をご覧ください。

論理インターフェイスで受信または送信した VPLS パケット。

ファイアウォールフィルター設定に、ミラーリングに選択されたパケットに適用するactionaction-modifier条件を含めます。

  • acceptアクションが推奨されます。

  • port-mirror修飾子は、基盤となる物理インターフェイスに現在バインディングされているポートミラーリングプロパティを暗黙に参照します。

  • port-mirror-instance pm-instance-name修飾子は、ポートミラーリングの名前付きインスタンスを明確に参照します。

  • (オプション)トンネル インターフェイス入力パケットに関してのみ、追加の宛先にパケットをミラーリングする場合、 next-hop-group next-hop-group-name変更機能を含めます。この変更機能は、(パケットの追加コピーをアナライザーに送信するため)ネクストホップ アドレスを指定するネクストホップグループを参照します。

レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義をご覧ください。

注:

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、論理システム向けにはサポートされていません。

トンネル インターフェイス入力パケットを複数の宛先にミラーリングする場合については、レイヤー 2 ポート ミラーリング向けのネクストホップ グループの定義もご覧ください。

VLAN 転送テーブルまたはフラッディング テーブル

レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用するをご覧ください。

レイヤー 2 トラフィック転送または VLAN へのフラッディング

VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブル

レイヤー 2 ポート ミラーリングのトラフィック転送または VPLS ルーティング インスタンスへのフラッディングの適用をご覧ください。

レイヤー 2 トラフィック転送または VPLS ルーティング インスタンスへのフラッディング

レイヤー 2 ポート ミラーリングの制限

レイヤー 2 ポート ミラーリングには、以下の制限が適用されます。

  • レイヤー 2 交通 データ(送信元から宛先に転送されるルーティング プラットフォームまたはスイッチを通過するデータのチャンクを含むパケット)のみミラーリングできます。レイヤー 2 ローカル データ(レイヤー 2 制御パケットなど、ルーティング エンジンとやり取りするデータのチャンクを含むパケット)はミラーリングされません。

  • ポートミラーリング フィルターを論理インターフェイスの出力に適用すると、ユニキャスト パケットのみミラーリングされます。ブロードキャスト パケット、マルチキャスト パケット、未知の MAC(メディア アクセス制御)アドレスがあるユニキャスト パケット、または DMAC(宛先 MAC)ルーティング テーブル内の MAC エントリーがあるパケットをミラーリングするには、VLAN または VPLS(仮想プライベート LAN サービス)ルーティング インスタンスのフラッド テーブルへの入力にフィルターを適用します。

  • ミラーリング宛先デバイスは、専用 VLAN 上にあり、いかなるブリッジング アクティビティにも参加しません。ミラーリング宛先デバイスは、最終的なトラフィック宛先へのブリッジを持ってはならず、ミラーリングされたパケットを送信元アドレスに送り返してはなりません。

  • グローバル ポートミラーリング インスタンスまたは名前付きポートミラーリング インスタンスのいずれかで、ポートミラーリング インスタンスとパケット アドレス ファミリーごとにミラー出力インターフェイスを 1 つだけ設定できます。ステートメント下に複数の ステートinterfaceメントを含めると、以前の family (ethernet-switching | ccc | vpls) outputステートinterfaceメントは上書きされます。

  • レイヤー 2 ポートミラーリング ファイアウォール フィルタリングは、論理システム向けにはサポートされていません。

    レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義では、 フィルaction-modifierター( port-mirrorまたは port-mirror-instance pm-instance-name)は、 階[edit forwarding-options port-mirroring]層で設定されたグローバル インスタンスまたはレイヤー 2 ポート ミラーリングの名前付きインスタンスで定義されたポートミラーリング プロパティに依存します。そのため、 フィルtermターは、論理システムのレイヤー 2 ポート ミラーリングをサポートできません。

  • ステートport-mirrorメントを含めることでレイヤー 2 ポート ミラーリング プロパティを暗示的に参照するレイヤー 2 ポート ミラーリング ファイアウォール フィルターでは、レイヤー 2 ポート ミラーリングの複数の名前付きインスタンスが基礎となる物理インターフェイスにバインドされている場合、スタンザの最初のバインディング(または唯一のバインディング)のみが論理インターフェイスで使用されます。これは、後方互換性のために行われます。

  • レイヤー 2 ポートミラーリング ファイアウォール フィルターは、負荷分散ミラーリング トラフィックのネクストホップ サブグループの使用をサポートしません。