Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート宛先のポート ミラーリングの設定

宛先を VLAN として使用したリモート宛先へのレイヤー 2 ポート ミラーリング

EX9200 スイッチでポート ミラーリングを設定し、トラフィックのコピーをインターフェイス、ルーティング インスタンス、VLAN などの出力宛先に送信します。入力トラフィックに対して、さまざまな照合条件とアクションを使用してファイアウォール フィルタ条件を設定できます。

ポート ミラーリング設定で VLAN を出力宛先として設定すると、各ポート ミラーリング セッションのトラフィックは、関係するすべてのスイッチのミラーリング セッション専用のユーザー指定 VLAN を介して転送されます。ミラーリングされたトラフィックは、そのVLAN(ミラーVLANとも呼ばれる)にコピーされ、ミラーVLANのメンバーであるインターフェイスに転送されます。すべてのスイッチのミラーリング セッションに同じリモート ミラーリング VLAN が使用されている場合、ミラーリング VLAN のメンバーである宛先インターフェイスは、ネットワーク内の複数のスイッチにまたがることができます。

ポート ミラーリング出力先として VLAN を port-mirror 設定することで、トラフィックをリモートの宛先にミラーリングする場合は、ファイアウォール フィルタ設定でアクションまたは port-mirror-instance アクションを使用できます。

リモート VLAN への設定レイヤー 2 ポート ミラーリング

EX9200スイッチを使用すると、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信するようにミラーリングを設定できます。ミラーリングを使用して、次のパケットをコピーできます。

  • ポートに入ったり出たりするパケット

  • VLAN に入ったり出たりするパケット

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスへの影響を低減します。以下を推奨します。

  • ポート ミラーリングを使用していないときに設定したポート ミラーリングを無効にします。

  • ポート ミラーリング設定ですべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスを入力として指定します。

  • ミラーリングされたトラフィックの量を以下の方法で制限します。

    • 統計的サンプリングを使用します。

    • 統計的サンプルを選択する比率を設定します。

    • ファイアウォール フィルターの使用。

リモート VLAN へのポート ミラーリングの設定

ポート ミラーリング インスタンスにミラーリングするパケットをフィルターするには、インスタンスを作成し、ファイアウォール フィルターのアクションとして使用します。ファイアウォール フィルターは、ローカル ミラーリング構成とリモート ミラーリング構成の両方で使用できます。

複数のフィルタまたは条件で同じポート ミラーリング インスタンスが使用されている場合、パケットはポート ミラーリング出力ポートまたはポート ミラーリング VLAN に 1 回だけコピーされます。

ミラーリングされたトラフィックをフィルタリングするには、階層レベルでポート ミラーリング インスタンスを [edit forwarding-options] 作成し、ファイアウォール フィルターを作成します。フィルターは、使用可能な照合条件のいずれかを使用でき、アクションとして port-mirror-instance インスタンス名 を持つ必要があります。ファイアウォール フィルタ設定でのこのアクションは、ポート ミラーリング インスタンスへの入力を提供します。

ファイアウォール フィルターを使用してポート ミラーリング インスタンスを設定するには、以下の手順に準拠します。

  1. ポート ミラーリング インスタンス名を設定し、出力先を VLAN に設定します。

    たとえば、ポート ミラーリング インスタンス employee-monitor を設定し、出力先を VLAN ID 999に設定します。

  2. 使用可能な一致条件のいずれかを使用してファイアウォール フィルタを作成し、ポート ミラーリング インスタンス名をファイアウォール フィルタ設定のアクションとして割り当てます。

    たとえば、2 つの条件no-analyzerで呼び出されるexample-filterファイアウォール フィルターを作成しto-analyzer、その条件をto-analyzerポート ミラーリング インスタンスにemployee-monitor割り当てます。

    1. ポート ミラーリング インスタンスに通過しないトラフィックを定義する最初の項を作成します employee-monitor
    2. ポート ミラーリング インスタンスに通過するトラフィックを定義する 2 番目の項を作成します employee-monitor
  3. ポート ミラーリング インスタンスに入力を提供するインターフェイスまたは VLAN にファイアウォール フィルターを適用します。

    インターフェイスにファイアウォール フィルタを適用するには、次の手順に基づきます。

    VLAN にファイアウォール フィルターを適用するには、次の手順に示します。

    たとえば、ge-0/0/1 インターフェイスにファイアウォール フィルタを適用 example-filter するには、次の手順にしたがってください。

    たとえば、VLAN にフィルターを example-filter 適用するには、次の手順にしたがっています source-vlan

例:リモート VLAN へのレイヤー 2 ポート ミラーリングの設定

EX9200スイッチを使用すると、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信するようにミラーリングを設定できます。ミラーリングを使用して、次のパケットをコピーできます。

  • ポートに入ったり出たりするパケット

  • VLAN に入るパケットまたは既存のパケット

ミラーリングされたトラフィックをアナライザVLANに送信する場合、リモート監視ステーションで実行されているプロトコルアナライザアプリケーションを使用して、ミラーリングされたトラフィックを分析できます。

このトピックでは、スイッチ上のポートに入るトラフィックを VLAN にミラーリングして remote-analyzer 、リモート監視ステーションから分析を実行する方法について説明する 2 つの関連する例を示します。最初の例では、従業員のコンピュータに接続されたポートに入るすべてのトラフィックをミラーリングする方法を示しています。2 番目の例は同じシナリオを示していますが、Web にアクセスする従業員トラフィックのみをミラーリングするフィルターが含まれています。

ベスト プラクティス:

必要なパケットのみをミラーリングして、パフォーマンスへの影響を低減します。以下を推奨します。

  • 設定したミラーリング セッションを使用していない場合は無効にします。

  • すべてのインターフェイスを入力として指定するのではなく、個々のインターフェイスをアナライザへの入力として指定します。

  • ファイアウォール フィルターを使用して、ミラーリングされたトラフィックの量を制限します。

この例では、リモート ミラーリングを設定する方法について説明します。

要件

リモート ミラーリングを設定する前に、次の点に注意してください。

  • ミラーリングの概念を理解しています。

  • ポート ミラーリングが出力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。

概要とトポロジー

このトピックでは、VLAN へのミラーリング remote-analyzer を設定して、リモート監視ステーションから分析を実行する方法について説明する 2 つの関連する例を示します。最初の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを構成する方法を示しています。2 番目の例は同じシナリオを示していますが、設定には Web にアクセスする従業員トラフィックのみをミラーリングするフィルターが含まれています。

図 1 は、両方のシナリオ例のネットワーク トポロジーを示しています。

トポロジ

図 1: リモート ミラーリング ネットワーク トポロジーの例リモート ミラーリング ネットワーク トポロジーの例

この例では、

  1. インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスで、インターフェイス ge-0/0/1 は、従業員コンピュータの接続として機能するレイヤー 2 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。

  2. インターフェイス ge-0/0/10 は、送信元スイッチを宛先スイッチに接続するレイヤー 2 インターフェイスです。

  3. インターフェイス ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。

  4. VLAN remote-analyzer は、ミラーリングされたトラフィックを伝送するようにトポロジ内のすべてのスイッチで設定されます。

リモート分析のための従業員と Web 間のトラフィックのミラーリング

従業員から Web へのトラフィックのリモート トラフィック分析用にポート ミラーリングを設定するには、次のタスクを実行します。

手順

CLI クイック設定

従業員のトラフィックを外部 Web にミラーリングするようにポート ミラーリングを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、送信元スイッチの端末ウィンドウに貼り付けます。

  • 次のコマンドをコピーして、宛先スイッチ端末ウィンドウに貼り付けます。

手順

従業員のコンピューターに接続されている 2 つのポートから VLAN までのすべてのトラフィックのポート ミラーリングを設定し、 remote-analyzer リモート監視ステーションから使用するには、次の手順に従います。

  1. 送信元スイッチでは、次の手順に基づいて行います。

    1. ポート ミラーリング インスタンスを employee-web-monitor 設定します。

    2. VLAN の VLAN ID を remote-analyzer 設定します。

    3. VLAN に関連付けるインターフェイスを remote-analyzer 設定します。

    4. 次のファイアウォール watch-employeeフィルタを設定します。

      この設定では、この用語は、employee-to-corp宛先アドレスと送信元アドレス192.0.2.16/28192.0.2.16/28からのトラフィックがスイッチを通過することを受け入れることを定義しemployee-to-web、この用語はポートからのトラフィックをポート80ミラーリングインスタンスに送信する必要があることを定義しますemployee-web-monitor

    5. 従業員インターフェイスにファイアウォール フィルタを適用します。

  2. 宛先スイッチで次の手順を実行します。

    • VLAN の VLAN ID を remote-analyzer 設定します。

    • アクセス モード用に宛先スイッチのインターフェイスを設定し、VLAN に remote-analyzer 関連付けます。

    • アクセス モード用に宛先スイッチに接続されたインターフェイスを設定し、VLAN に remote-analyzer 関連付けます。

結果

送信元スイッチの設定結果を確認します。

宛先スイッチの設定結果を確認します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

ポート ミラーリング インスタンスが正しく作成されたことを検証する

目的

適切な出力VLANを使用して、スイッチ上にポートミラーインスタンス employee-web-monitor が作成されていることを確認します。

対処

コマンドを使用して show forwarding-options port-mirror 、ポート ミラーが期待どおりに設定されていることを確認できます。以前に作成されたアナライザが無効になっているのを確認するには、J-Web インターフェイスに移動します。

送信元スイッチ上の従業員トラフィックを監視しながら、ポートミラーが期待どおりに設定されていることを確認するには、送信元スイッチでコマンドを実行 show forwarding-options port-miror します。この設定例では、次の出力が表示されます。

意味

この出力 employee-web-monitor は、インスタンスの比率が1(デフォルトでは各パケットをミラーリング)、ミラーリングされた元のパケットの最大サイズ(0はパケット全体を示します)、設定の状態がアップしていることを示しています(適切な状態とアナライザがプログラムされていることを示し、ge-0/0およびge-0/0/1に入るトラフィックをミラーリングしています)。 と呼ばれる remote-analyzerVLANにミラーリングされたトラフィックを送信しています)。