Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポートミラーリングのローカルおよびリモート分析の構成

ポートミラーリングの構成

パケットをコピーして、ネットワークアナライザーや侵入検知アプリケーションなどのアプリケーションを実行しているデバイスにコピーを送信するには、ポートミラーリングを使用します。これにより、トラフィックを遅延させずに分析できます。ポートに出入りするトラフィックをミラー化したり、VLAN に入力したりできます。また、コピーをローカルアクセスインターフェイスまたはトランクインターフェイス経由で VLAN に送信することもできます。

使用していない場合は、ポートミラーリングを無効にすることをお勧めします。ポートミラーリングを有効にすることでパフォーマンスの問題が発生しないようにするには、 allキーワードを使用せずに、特定の入力インターフェイスを選択することをお勧めします。また、ファイアウォールフィルターを使用して、ミラー化されたトラフィックの量を制限することもできます。

注:

このタスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルを使用します。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、ポートミラーリングの構成を参照してください。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

注:

既存のアナライザを削除せずに追加のアナライザを作成する場合は、 コマンドを使用して既存のアナライザを無効 disable analyzer analyzer-name にします。

注:

ポート ミラーリング出力インターフェイスは、 として設定する必要があります family ethernet-switching

ローカル分析用のポートミラーリングの構成

インターフェイストラフィックをスイッチ上のローカルインターフェイスにミラーリングするには、次のようにします。

  1. Ingressing または egressing 固有のインターフェイスであるトラフィックをミラーリングする場合は、ポートミラーリング構成の名前を選択し、インターフェイスとトラフィックの方向を指定することで、どのトラフィックをミラーリングするかを設定します。
    注:

    送信パケットをミラーリングする Junos OS を構成する場合、2000以上の Vlan を構成しないでください。これを行うと、一部の VLAN パケットに誤った VLAN Id が含まれる場合があります。

    注:

    アクセスインターフェイスを送信するパケットのミラーリングを構成した場合、元のパケットは、アクセスインターフェイスを終了するときに VLAN タグをすべて失いますが、ミラー化された (コピー) パケットは VLAN タグを保持しています。

  2. VLAN に送信するすべてのトラフィックをミラーリングすることを指定する場合は、ポートミラーリング構成の名前を選択し、VLAN を指定します。
    注:

    VLAN を egresses しているトラフィックをコピーするために、ポートミラーリングを設定することはできません。

  3. ミラー化されたパケットの宛先インターフェイスを構成します。

リモート分析用のポートミラーリングの構成

遠隔地で分析するために、VLAN にトラフィックをミラーリングするには、次のようにします。

  1. ミラー化されたトラフィックを伝送するように VLAN を設定します。
  2. 別のスイッチ (アップリンクインターフェイス) をトランクモードに接続して、それを適切な VLAN に関連づけるインターフェイスを構成します。
  3. アナライザーの設定:
    1. アナライザーの名前を選択します。
    2. ミラー化するインターフェイスと、受信または送信時にトラフィックをミラーリングするかどうかを指定します。
    3. 適切な IP アドレスまたは VLAN を出力に指定します (この例では VLAN が指定されています。

      出力として IP アドレスを指定する場合は、以下の制約に注意してください。

      • このアドレスは、どのスイッチ管理インターフェイスと同じサブネットワークにも含めできません。

      • 仮想ルーティングインスタンスを作成し、出力 IP アドレスを含むアナライザ構成も作成すると、出力アドレスはデフォルトの仮想ルーティングインスタンス (inet.0ルーティングテーブル) に属します。

      • Analyzer デバイスは、GRE カプセル化されたパケットをカプセル化解除できなければなりません。また、GRE カプセル化されたパケットはアナライザデバイスに到達する前に、カプセル化解除する必要があります。(ネットワークスニファーを使用して、パケットをカプセル化解除できます)。

アナライザに移行するトラフィックのフィルタリング

注:

この機能は NFX150 デバイスではサポートされていません。

Analyzer を構成することで、どのトラフィックをミラー化するかを指定するだけでなく、ファイアウォールフィルターを使用して、パケットのコピーをより細かく制御することもできます。たとえば、フィルターを使用して、特定のアプリケーションからのトラフィックのみをミラー化するように指定できます。このフィルターは、利用可能な match 条件をすべて使用でき、修飾子としてport-mirror-instance instance-name.動作する必要があります。複数のフィルターまたは条件で同じアナライザーを使用すると、出力パケットは1回だけコピーされます。

ファイアウォールフィルターをポートミラーリングインスタンスへの入力として使用する場合、ファイアウォールが関与していない場合と同様に、コピーされたトラフィックをローカルインターフェイスまたは VLAN に送信します。

フィルターでポートミラーリングを構成するには、次のようにします。

  1. ローカルまたはリモート分析用にポートミラーリングインスタンスを設定します。出力のみを構成します。たとえば、ローカル分析には次のように入力します。
    注:

    このインスタンスに入力を設定することはできません。

  2. 利用可能な照合条件のいずれかを使用して、ファイアウォールフィルタを作成します。then用語には、アクション修飾子port-mirror-instance instance-nameを含めることを指定します。
  3. インターフェイスまたは VLAN にファイアウォールフィルタを適用して、解析に入力を提供する必要があります。

SRX デバイスでのポート ミラーリングの設定

SRXデバイスでポート ミラーリングを設定するには、まず階層レベルでおよび forwarding-optionsinterfaces[edit] 設定する必要があります。

ポート ミラーリング用にポートのインスタンスを定義し、ミラーリングするインターフェイスを設定するには、 ステートメントを設定 forwarding-optionsmirror-to する必要があります。

注:

ミラーリング ポートとミラーリング ポートは、I/O カード内の同じ Broadcom チップセットの下 にある必要があります。

ポート ミラーリングを設定するには、以下の手順にアクセスします。

  1. および rate で、 run-length を階層レベル [edit forwarding-options port-mirroring input] で指定します。
    注:
    • rate: サンプリングするパケット率(N の 1 アウト)(1 ~65535)

    • run-length: 最初のトリガー後のサンプル数(0 ~20)

  2. パケットのコピーをポートに送信するには、 mirror-to ステートメントを階層レベル interface intf-name[edit forwarding-options port-mirroring family any output] 含める必要があります。
    注:

    SRX デバイスのポート ミラーリングは、ポート情報を family anymirror-to PFE(パケット転送エンジン転送するために使用します。ミラーリング エンジンは、すべてのパケットをポート mirrored からポートにコピー mirror-to します。

注:

複数のポートを instance 指定する節を mirror-to 設定できます。

インターフェイスをミラーリングするには、ステートメント port-mirror-instance を階層レベルに [edit interface mirrored-intf-name] 含てます。

ミラーリングしたインターフェイスは、 で定義されたインスタンス名で設定 forwarding-options されています。ポート mirrored とポート mirror-to はインスタンスを通じてリンクされます

注:

SRX デバイスのポート ミラーリングはトラフィックの方向を区別しませんが、イングレスとエグレスのサンプルをまとめてミラーリングします。

ポート ミラーリングの設定例を以下に示します。

\N ローカル分析用のポートミラーリングの構成

ポートミラーリングを使用してトラフィックを分析し、トラフィックの監視、ポリシーの適用、侵入検知、トラフィックパターンの監視と予測、イベントの関連付けなどを目的とした、アプリケーションへの送信を可能にします。ポートミラーリングでは、インターフェイスを出入りするパケットをコピーするか、または VLAN に入力し、ローカルの監視用にコピーをローカルインターフェイスに送信します。

注:

この例では、拡張レイヤー 2 Software (ELS) 設定スタイルを使用しています。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

この例では、ポートミラーリングを構成して、従業員のコンピューターからのトラフィックを同じスイッチ上のアクセスインターフェイスのスイッチにコピーする方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース13.2

  • 、スイッチ

概要とトポロジー

このトピックでは、スイッチ上のインターフェイスに入力したトラフィックを同じスイッチ上のアクセスインターフェイスにミラー化する方法について、2つの例を挙げて説明します。最初の例では、従業員のコンピューターからスイッチに送信されるすべてのトラフィックをミラー化する方法を示しています。2つ目の例には、Web に送信する従業員のトラフィックのみをミラーリングするフィルターが含まれています。

Topology

この例ではxe-0/0/0xe-0/0/6従業員のコンピューターへの接続として機能しています。Analyzer xe-0/0/47アプリケーションを実行しているデバイスにインターフェイスが接続されています。

注:

複数のポートが1つのインターフェイスにミラーリングされると、バッファオーバーフローやパケットのドロップが発生する可能性があります。

図 1は、この例のネットワークトポロジを示しています。

図 1: ローカルポートミラーリングのネットワークトポロジーの例ローカルポートミラーリングのネットワークトポロジーの例

例:ローカル分析用にすべての従業員トラフィックをミラーリング

従業員のコンピューターがローカル分析のために送信するすべてのトラフィックに対してポートミラーリングを設定するには、このセクションで説明されているタスクを実行します。

手順

CLI クイック構成

従業員のコンピューターに接続された2つのポートに受信トラフィック用のローカルポートミラーリングを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

Analyzer を設定employee-monitorして、入力 (送信元) インターフェイスと出力インターフェイスを指定するには、以下のようにします。

  1. 従業員のコンピューターに接続されているインターフェイスをポートミラーアナライザー employee-monitorの入力インターフェイスとして設定します。

  2. employee-monitor Analyzer の出力アナライザインターフェイスを構成します。これは、ミラー化されたパケットの宛先インターフェイスになります。

結果

構成の結果を確認します。

例:ファイアウォールフィルタを使用した従業員 Web トラフィックのミラーリング

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの QFX5100 スイッチ

  • Junos OS リリース 14.1 X53-D30

概要

通常は、すべてのトラフィックをミラーリングするのではなく、特定のトラフィックのみをミラーリングすることが望ましいと言えます。これにより、帯域幅とハードウェアをより効率的に使用できるようになります。また、これらの資産の制約によって必要になる場合があります。ミラーリング用の特定のトラフィックを選択するには、ファイアウォールフィルタを使用して目的のトラフィックに一致させ、ポートミラーリングインスタンスに送信します。その後、ポートミラーリングインスタンスがパケットをコピーし、出力された VLAN、インターフェイス、または IP アドレスに送信します。

設定

従業員が Web に送信するトラフィックだけをミラーリングするように指定するには、このセクションで説明されているタスクを実行します。このトラフィックをミラーリング用に選択するには、ファイアウォールフィルタを使用して、このトラフィックを指定し、ポートミラーリングインスタンスに送信します。

手順

CLI クイック構成

Web を宛先とする従業員のコンピューターからトラフィックのローカルポートミラーリングを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

従業員のコンピューターに接続されている2つのポートから従業員間のトラフィックのローカルポートミラーリングを構成するには、次のようにします。

  1. 出力インターフェイスを構成します。

  2. 出力インターフェイスemployee-web-monitorを構成します。(出力のみを設定します。入力はフィルターから取得されます)。

  3. Web に送信するトラフィックwatch-employeeと一致する用語を含むファイアウォールフィルターを構成し、ポートミラーリングインスタンスemployee-web-monitorに送信します。企業のサブネット (宛先または送信元の192.0.2.16/28アドレス) からのトラフィックをコピーする必要はありません。そのためには、そのトラフィックを受信する前に、インスタンスに Web トラフィックを送信するというもう1つの条件を作成します。

  4. 受信フィルターとしての適切なインターフェイスにファイアウォールフィルターを適用します (出力フィルターでは、アナライザーが許可されません)。

結果

構成の結果を確認します。

検証

Analyzer が正しく作成されていることの確認

目的

ポートミラーリングのインスタンスの名前employee-web-monitorが、適切な入力インターフェースと適切な出力インターフェースでスイッチ上に作成されていることを確認します。

アクション

コマンドを使用して、ポート ミラー ポート ミラーリング インスタンスが想定通り設定されていることを確認 show forwarding-options port-mirroring できます。

この出力は、ポート ミラーリング インスタンスに関する次の情報を示しています employee-web-monitor

  • レート( 1 すべてのパケットをミラーリング、デフォルト設定)を持つ

  • サンプリングされた連続するパケット数 (ランレングス) は 0

  • ミラーリングされた元のパケットの最大サイズ 0 は( パケット 0 全体を示す)

  • 出力パラメーターの状態は以下のとおりです。up このインスタンスが、xe-0/0/0 および xe-0/0/6 インターフェイスに入ったトラフィックをミラーリングしており、ミラー化されたトラフィックを xe-0/0/47 インターフェースに送信していることを示します。

出力インターフェイスの状態が、または出力インターフェイスが設定されていない場合は値が設定され、インスタンスはミラーリングのために downstatedown プログラミングされません。

例:リモート分析用のポートミラーリングの構成

ポートミラーリングを使用してトラフィックを分析し、トラフィックの監視、ポリシーの適用、侵入検知、トラフィックパターンの監視と予測、イベントの関連付けなどを目的とした、アプリケーションへの送信を可能にします。ポートミラーリングでは、インターフェイスを出入りするパケットをコピーするか、または VLAN に入力し、ローカルの監視またはリモートモニタリング用の VLAN へのコピーをローカルインターフェイスに送信します。この例では、リモート分析用のポートミラーリングを構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX シリーズのリリース13.2 を Junos OS

  • 、スイッチ

概要とトポロジー

このトピックでは、スイッチ上のポートをアナライザ VLAN にミラーリングして、リモートデバイスを使用して分析を実行できるようにするための2つの関連例を示します。最初の例では、従業員のコンピューターからスイッチに送信されるすべてのトラフィックをミラー化する方法を示しています。2つ目の例には、Web に送信する従業員のトラフィックのみをミラーリングするフィルターが含まれています。

Topology

この例では以下のようになります。

  • レイヤー ge-0/0/0 2 ge-0/0/1インターフェイスであり、従業員のコンピューターに接続します。

  • インターフェイスge-0/0/2は、別のスイッチに接続するレイヤー2インターフェースです。

  • VLAN remote-analyzerは、ミラー化されたトラフィックを伝送するために、トポロジー内のすべてのスイッチ上で設定します。

注:

ここで説明されている設定手順を実行するだけでなく、ソーススイッチremote-analyzer (この構成のもの) を監視するために使用する他のスイッチにも (この例では)、analyzer VLAN を構成する必要があります。ステーションが接続されています。

すべての従業員トラフィックをミラーリングしてリモート分析を行う

手順

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更してから CLI editにコマンドをコピーして貼り付けてください。階層レベル:

順を追った手順

基本的なリモートポートミラーリングを構成するには、次のようにします。

  1. Analyzer VLAN の設定 (このremote-analyzer例で呼び出されます):

  2. トランクモード用に別のスイッチに接続されたインターフェイスを構成remote-analyzerし、それを VLAN に関連付けます。

  3. アナライザーのemployee-monitor設定:

  4. このスイッチremote-analyzerを監視ワークステーションに接続するスイッチ上で VLAN を構成します。

結果

構成の結果を確認します。

従業員から Web へのトラフィックをミラーリングしてリモート分析を行う

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更してから CLI editにコマンドをコピーして貼り付けてください。階層レベル:

手順

順を追った手順
  1. Analyzer VLAN の設定 (このremote-analyzer例で呼び出されます):

  2. remote-analyzer VLAN に接続するためのインターフェイスを設定します。

  3. アナライザーをemployee-web-monitor構成します。(出力のみを設定します。入力はフィルターから取得されます)。

  4. Web に送信するトラフィックwatch-employeeとの通信に適したファイアウォールフィルターを設定し、 employee-web-monitorそれをアナライザーに送信します。

  5. ファイアウォールフィルタを受信フィルタとして適切なインタフェースに適用します。

  6. このスイッチremote-analyzerを監視ワークステーションに接続するスイッチ上で VLAN を構成します。

結果

構成の結果を確認します。

検証

Analyzer が正しく作成されていることの確認

目的

適切な入力インターフェイスとemployee-monitor適切employee-web-monitorな出力インターフェイスを備えたスイッチに、またはという名前のアナライザーが作成されていることを確認します。

アクション

show analyzerコマンドを使用して、ポートミラーアナライザーが期待どおりに設定されていることを確認できます。

employee-monitorこの出力は、analyzer がミラートラフィックの転送ge-0/0/0ge-0/0/1送信を行っているトラフィックをアナライザーにミラーリングremote-analyzerしていることを示しています。