Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

リモート宛先のポート ミラーリングの設定

宛先をVLANとして使用したリモート宛先へのレイヤー2ポートミラーリング

EX9200スイッチにポートミラーリングを設定して、インターフェイス、ルーティングインスタンス、VLANなどの出力先にトラフィックのコピーを送信します。また、入力トラフィックに対しては、さまざまな一致条件とアクションを持つファイアウォールフィルター条件を設定できます。

ポートミラーリング設定で出力先としてVLANを設定すると、各ポートミラーリングセッションのトラフィックは、参加するすべてのスイッチでそのミラーリングセッション専用のユーザー指定のVLANを介して伝送されます。ミラーリングされたトラフィックは、そのVLAN(ミラーVLANとも呼ばれる)にコピーされ、ミラーVLANのメンバーであるインターフェイスに転送されます。ミラーVLANのメンバーである宛先インターフェイスは、すべてのスイッチのミラーリングセッションに同じリモートミラーリングVLANが使用されていれば、ネットワーク内の複数のスイッチにまたがることができます。

ポートミラーリングの出力宛先としてVLANを設定することで、リモートの宛先にトラフィックをミラーリングする場合、ファイアウォールフィルター設定で port-mirror または port-mirror-instance アクションを使用できます。

リモート VLAN への設定レイヤー 2 ポート ミラーリング

EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して以下のパケットをコピーすることができます。

  • ポートを出入りするパケット

  • VLANを出入りするパケット

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していないときに構成したポートミラーリングを無効にします。

  • ポートミラーリング設定ですべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • 以下を行ってミラーリングするトラフィックの量を制限します。

    • 統計に基づいたサンプルを使用します。

    • 統計サンプルを選択する比率を設定します。

    • ファイアウォールフィルターを使用します。

リモート VLAN へのポート ミラーリングの設定

ポートミラーリングインスタンスにミラーリングされるパケットをフィルターするには、インスタンスを作成し、次にファイアウォールフィルターのアクションとして使用します。ローカルとリモート両方のミラーリング設定で、ファイアウォールフィルターを使用できます。

複数のフィルターまたは条件で同じポートミラーリングインスタンスを使用する場合、パケットはポートミラーリング出力ポートまたはポートミラーリングVLANに1回だけコピーされます。

ミラーリングされたトラフィックをフィルターするには、[edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成し、次にファイアウォールフィルターを作成します。フィルターは使用可能な一致条件のいずれかを使用でき、port-mirror-instance instance-nameをアクションとして持つ必要があります。ファイアウォールフィルター設定でのこのアクションは、ポートミラーリングインスタンスへの入力を提供します。

ファイアウォールフィルターでポートミラーリングインスタンスを設定するには、以下を行います。

  1. ポートミラーリングインスタンス名を設定し、出力先をVLANに設定します。

    例えば、ポートミラーリングインスタンス employee-monitor を設定し、出力先をVLAN ID 999に設定します。

  2. 利用可能な一致条件のいずれかを使用してファイアウォールフィルターを作成し、ポートミラーリングインスタンス名をファイアウォールフィルター設定のアクションとして割り当てます。

    例えば、no-analyzerto-analyzer の 2 つの項を持つ example-filter というファイアウォール フィルターを作成し、employee-monitorポートミラーリング インスタンスにto-analyzer項を割り当てます。

    1. ポートミラーリングインスタンス employee-monitorに通過してはならないトラフィックを定義する最初の条件を作成します。
    2. ポートミラーリングインスタンスemployee-monitorに通過してはならないトラフィックを定義する2つ目の条件を作成します。
  3. ポートミラーリングインスタンスに入力を提供するインターフェイスまたはVLANに、ファイアウォールフィルターを適用します。

    ファイアウォールフィルターをインターフェイスに適用するには:

    VLAN にファイアウォールフィルターを適用するには:

    例えば、 example-filter ファイアウォールフィルターをge-0/0/1インターフェイスに適用するには、以下のようにします。

    たとえば、source-vlan VLANにexample-filterフィルターを適用するには、次のようにします。

例:リモートVLANへのレイヤー2ポートミラーリングの設定

EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。

  • ポートを出入りするパケット

  • VLANに入る、またはVLANに存在するパケット

アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。

このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、スイッチ上のポートに入るトラフィックを remote-analyzer VLAN にミラーリングする方法について説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックだけをミラーリングするためのフィルターが含まれています。

ベストプラクティス:

パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。

  • 使用していない時は、設定済みのミラーリング セッションを無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。

  • ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。

この例では、リモート ミラーリングの設定方法を説明します。

要件

リモート ミラーリングを設定する前に、必ず以下のようにしてください。

  • ミラーリングの概念を理解できました。

  • ポートミラーリングが出力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、 remote-analyzer VLAN へのミラーリングを設定する方法について説明します。最初の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。

図 1 は、これら両方の例のシナリオのネットワークトポロジーを示しています。

トポロジー

図 1: リモートミラーリングのネットワークトポロジーの例リモートミラーリングのネットワークトポロジーの例

この例では:

  1. インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 2 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。

  2. インターフェイス ge-0/0/10 は、送信元のスイッチと宛先スイッチを接続するレイヤー 2 インターフェイスです。

  3. インターフェース ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。

  4. VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定remote-analyzerされています。

従業員から Web サイトへのトラフィックをミラーリングして、リモート分析

従業員から Web サイトへのリモートトラフィック分析のためにポートミラーリングを設定するには、以下のタスクを実行します。

手順

CLIクイック構成

従業員のトラフィックを外部の Web にミラーリングするポートミラーリングを素早く設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • 送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

  • 宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。

ステップバイステップでの手順

リモート監視ステーションから使用するために、従業員のコンピューターに接続された 2 つのポートから remote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを設定するには:

  1. 送信元スイッチ上:

    1. employee-web-monitorポートミラーリングインスタンスを設定します。

    2. remote-analyzer VLAN の VLAN ID を設定します。

    3. remote-analyzer VLAN に関連付けるようにインターフェイスを設定します。

    4. watch-employeeと呼ばれるファイアウォールフィルターを設定します。

      この設定では、 employee-to-corp 条件は、宛先アドレス 192.0.2.16/28 および送信元アドレス 192.0.2.16/28 からのトラフィックがスイッチを通過できるように定義し、 employee-to-web 条件は、ポート 80 からのトラフィックをポートミラーリングインスタンス employee-web-monitorに送信する必要があることを定義します。

    5. 従業員のインターフェイスにファイアウォールフィルターを適用します。

  2. 宛先スイッチ上:

    • remote-analyzer VLAN の VLAN ID を設定します。

    • アクセス モードで宛先スイッチ上のインターフェイスを設定し、 remote-analyzer VLAN に関連付けます。

    • 宛先スイッチに接続されているインターフェイスをアクセス モードで構成し、それを remote-analyzer VLAN に関連付けます。

結果

送信元スイッチ上の設定の結果を確認します。

宛先スイッチ上の設定の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ポートミラーリング インスタンスが正しく作成済みであることの確認

目的

ポートミラーインスタンス employee-web-monitor が、適切な出力VLANを持つスイッチ上に作成されていることを確認します。

アクション

ポートミラーが想定どおりに設定されていることを確認するには、 show forwarding-options port-mirror コマンドを使用します。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。

送信元スイッチ上の従業員のトラフィックを監視しながら、ポートミラーが想定どおりに設定されていることを確認するには、送信元スイッチ上で show forwarding-options port-miror コマンドを実行します。この設定の例では、以下の出力が表示されます:

意味

この出力は、 employee-web-monitor インスタンスの比率が 1(すべてのパケットをミラーリングする、デフォルト)、ミラーリングされた元のパケットの最大サイズ (0 はパケット全体を示す)、設定の状態が up (適切な状態であり、アナライザがプログラムされており、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングしていることを示します)、 は、ミラーリングされたトラフィックを remote-analyzer)と呼ばれるVLANに送信します。