Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートの宛先用のポートミラーリングの構成

宛先を VLAN として使用して、レイヤー2ポートをリモートの宛先にミラーリング

EX9200 スイッチでポートミラーリングを構成して、トラフィックのコピーを、インターフェイス、ルーティングインスタンス、VLAN などの出力先に送信します。入力トラフィックについては、さまざまな条件とアクションを使用してファイアウォールフィルタ条件を設定できます。

ポートミラーリング構成の出力先として VLAN を構成すると、各ポートミラーリングセッションのトラフィックは、すべての参加スイッチで、そのミラーリングセッション専用のユーザー指定の VLAN を介して送信されます。ミラー化されたトラフィックは、その VLAN (ミラー VLAN とも呼ばれる) にコピーし、インターフェイスに転送します。これは、ミラー VLAN のメンバーです。ミラー VLAN のメンバーである宛先インターフェイスは、すべてのスイッチのミラーリングセッションに同じリモートミラーリング VLAN が使用されている場合に備え、ネットワーク内の複数のスイッチにまたがることができます。

VLAN をポート ミラーリングの出力宛先として設定することで、トラフィックをリモートの宛先にミラーリングする際に、ファイアウォール フィルター設定で または アクション port-mirrorport-mirror-instance を使用できます。

構成レイヤー2ポートミラーリングからリモート VLAN へ

EX9200 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、以下のパケットをコピーできます。

  • ポートを出入りするパケット

  • VLAN へのパケットの入力または終了

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • ポートミラーリングは、使用していないときには無効にしてください。

  • すべてのインターフェイスをポートミラーリング構成の入力として指定するのではなく、個々のインターフェイスを入力として指定します。

  • ミラー化されたトラフィックの量を制限するには、以下を実行します。

    • 統計的サンプリングを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

リモート VLAN へのポートミラーリングの構成

ポートミラーリングインスタンスにミラーリングするパケットをフィルタリングするには、インスタンスを作成してから、ファイアウォールフィルタのアクションとして使用します。ファイアウォールフィルタは、ローカルおよびリモートのミラーリング構成で使用できます。

同一のポートミラーリングインスタンスが複数のフィルタまたは条件で使用されている場合、パケットはポートミラーリングの出力ポートまたはポートミラーリング VLAN に1回だけコピーされます。

ミラー化されたトラフィックをフィルターするには、 [edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成してから、ファイアウォールフィルターを作成します。フィルターでは、使用可能な任意の一致条件を使用できます。 port-mirror-instance アクションとしてインスタンス名を使用する 必要があります。ファイアウォールフィルタ構成のこのアクションによって、ポートミラーリングインスタンスに入力が提供されます。

ファイアウォールフィルターを使用してポートミラーリングインスタンスを設定するには、次のようにします。

  1. ポートミラーリングインスタンス名を設定し、出力先を VLAN に設定します。

    たとえば、ポート ミラーリング インスタンスを設定し、出力宛先を employee-monitor VLAN ID に設定します 999

  2. 利用可能な match 条件のいずれかを使用してファイアウォールフィルターを作成し、ファイアウォールフィルタ構成のアクションとしてポートミラーリングインスタンス名を割り当てます。

    たとえば、 と の 2 つの語で呼ばれるファイアウォール フィルタを作成し、その条件をポート ミラーリング example-filterno-analyzerto-analyzerto-analyzer インスタンス employee-monitor に割り当てします。

    1. ポートミラーリングインスタンス employee-monitorに通過してはならないトラフィックを定義する最初の条件を作成します。
    2. 第2項を作成して、ポートミラーリングインスタンスemployee-monitorに通過するトラフィックを定義します。
  3. ポートミラーリングインスタンスへの入力を提供するインターフェイスまたは VLAN にファイアウォールフィルタを適用します。

    インターフェイスにファイアウォールフィルターを適用するには、次のようにします。

    ファイアウォールフィルタを VLAN に適用するには、次のようにします。

    たとえば、ファイアウォール フィルタ example-filter を ge-0/0/1 インターフェイスに適用するには、次の方法に示します。

    たとえば、フィルターを example-filter VLAN に適用するには、以下の方法で source-vlan 行います。

例:レイヤー2ポートミラーリングからリモート VLAN への構成

EX9200 スイッチを使用すると、パケットのコピーをローカルインターフェイスに送信するか、またはリモートモニタリング用の VLAN に転送するようにミラーリングを構成できます。ミラーリングを使用して、これらのパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLAN の入力または既存のパケット

ミラー化トラフィックをアナライザ VLAN に送信する場合は、リモートモニタリングステーションで実行しているプロトコルアナライザアプリケーションを使用して、ミラー化されたトラフィックを分析できます。

このトピックには、リモート 監視ステーションから分析を実行するために、スイッチ上のポートに入るトラフィックをVLANにミラーリングする方法について説明する、2つの関連例 remote-analyzer が含まれています。第1の例では、従業員のコンピューターに接続されたポートへのすべてのトラフィックをミラーリングする方法を示しています。2つ目の例では、同じシナリオを示していますが、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスの潜在的影響を軽減します。次のことをお勧めします。

  • 構成したミラーリングセッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザーへの入力として指定します。

  • ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限します。

この例では、リモートミラーリングを構成する方法について説明します。

要件

リモートミラーリングを構成する前に、以下のことを確認してください。

  • ミラーリングの概念について理解しています。

  • スイッチ上で設定されている出力インターフェースを、ポートミラーリングで使用されるインターフェースにします。

概要とトポロジー

このトピックには、リモート 監視ステーションから分析を実行できるよう、VLAN へのミラーリングを設定する方法について説明する 2 つの関連 remote-analyzer 例が含まれています。1つ目の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2つ目の例は同じシナリオを示していますが、設定には、Web に送信する従業員のトラフィックのみをミラーリングするためのフィルターが含まれています。

図 1は、この2つの例の両方のネットワークトポロジを示しています。

Topology

図 1: リモートミラーリングネットワークトポロジーの例リモートミラーリングネットワークトポロジーの例

この例では以下のようになります。

  1. インターフェイス ge-0/0/0 はレイヤー2インターフェイスで、interface ge-0/0/1 は、従業員のコンピューターへの接続として機能するレイヤー2インターフェイス (ソーススイッチ上のインターフェイス) です。

  2. インターフェイス ge-0/0/10 は、ソーススイッチを宛先スイッチに接続するレイヤー2インターフェースです。

  3. インターフェイス ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー2インターフェースです。

  4. VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

従業員から Web へのトラフィックをミラーリングしてリモート分析を行う

従業員対 Web トラフィックのリモートトラフィック分析用のポートミラーリングを構成するには、以下のタスクを実行します。

手順

CLI クイック構成

従業員のトラフィックを外部 Web にミラーリングするようにポートミラーリングを迅速に構成するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、ソーススイッチ端末ウィンドウに貼り付けます。

  • 宛先スイッチのターミナルウィンドウに以下のコマンドをコピーして貼り付けます。

順を追った手順

従業員のコンピューターに接続されている2つのポートからremote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを構成し、リモート監視ステーションから使用するには、以下のようにします。

  1. ソーススイッチで:

    1. ポート ミラーリング employee-web-monitor インスタンスを設定します。

    2. Vlan のremote-analyzer vlan ID を設定します。

    3. remote-analyzer VLAN に関連付けるためのインターフェイスを設定します。

    4. watch-employee次のようなファイアウォールフィルターを構成します。

      この設定では、宛先アドレスおよび送信元アドレスからのトラフィックを受け入れてスイッチを通過できると定義します。また、この用語では、ポートからのトラフィックをポート ミラーリング インスタンスに送信する必要があります。 employee-to-corp192.0.2.16/28192.0.2.16/28employee-to-web80employee-web-monitor

    5. 従業員インターフェイスにファイアウォールフィルターを適用します。

  2. 宛先スイッチの場合:

    • Vlan のremote-analyzer vlan ID を設定します。

    • アクセス モード用に宛先スイッチのインターフェイスを設定し、VLAN に関連付 remote-analyzer ける:

    • アクセス モード用に宛先スイッチに接続されたインターフェイスを設定し、VLAN に関連付 remote-analyzer ける:

結果

ソーススイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

ポートミラーリングインスタンスが正しく作成されていることを確認しています

目的

適切な出力VLANを使用して、 employee-web-monitor スイッチ上にポートミラー インスタンスが作成されたと確認します。

アクション

show forwarding-options port-mirrorコマンドを使用して、ポートミラーが期待どおりに設定されていることを確認できます。以前に作成したアナライザーが無効になっていることを確認するには、J-Web インターフェイスにアクセスします。

ポートミラーが正常に設定されていることを確認するには、ソーススイッチ上で従業員show forwarding-options port-mirorのトラフィックを監視するには、ソーススイッチ上でコマンドを実行します。この設定例では、以下の出力が表示されます。

この出力は、インスタンスの比率が 1 (デフォルトではすべてのパケットのミラーリング)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、設定の状態がアップしている(アナライザが適切な状態を示し、アナライザがプログラミングされている employee-web-monitor 、ge-0/0/0、ge-0/0/1 に入るトラフィックをミラーリングして、コールされた VLAN にミラーリングトラフィックを送信している)を示しています。 remote-analyzer