Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

論理インターフェイスでのポートミラーリングの設定

レイヤー2ポートミラーリングファイアウォールフィルター

このトピックでは、次の情報について説明します。

レイヤー 2 ポート ミラーリング ファイアウォール フィルターの概要

MX シリーズルーターと EX シリーズスイッチでは、ファイアウォールフィルターの条件を設定して、ファイアウォールフィルターが適用されるインターフェイス内のすべてのパケットにレイヤー2ポートミラーリングを適用することを指定できます。

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、入力または出力論理インターフェイス(集合型イーサネット論理インターフェイスを含む)、VLAN に転送またはフラッディングされたトラフィック、VPLS ルーティング インスタンスにフラッディングされたトラフィックに適用できます。

MX シリーズ ルーターと EX シリーズ スイッチは、レイヤー 2 環境 との VPLS(または)トラフィックとレイヤー 2 VPN トラフィックのレイヤー 2 ポート ミラーリングをサポートしますfamily ethernet-switchingfamily vplsfamily ccc

ファイアウォールフィルター 内では、次のいずれかの方法で ステートメントで レイヤー2ポートミラーリングプロパティを指定できます。termthen

  • ポート上の効果でレイヤー 2 ポート ミラーリング プロパティを暗示的に参照します。

  • レイヤー2ポートミラーリングの特定の名前付きインスタンスを明示的に参照します。

注:

レイヤー2ポートミラーリングファイアウォールフィルターを設定する場合、ルート送信元アドレスに基づいて一致条件を指定するオプションの ステートメントを含めないでください。from このステートメントを省略すると、すべてのパケットが一致したと見なされ、 ステートメントで指定されたすべてのパケットとが取得されます。actionsaction-modifiersthen

すべての着信パケットをミラーリングする場合は、from ステートメントを使用しないでください。/*コメント:1 つは、パケットのサブセットのみをミラーリングすることに関心がある場合は、From でフィルター条件を構成します。

注:

IRB(統合型ルーティングおよびブリッジング)を VLAN(またはVPLSルーティングインスタンス)に関連付け、VLAN(またはVPLSルーティングインスタンス)内で または アクションで転送テーブルフィルターを設定した場合、IRBパケットはレイヤー2パケットとしてミラーリングされます。port-mirrorport-mirror-instance VLAN(またはVPLSルーティングインスタンス)で no-irb-layer-2-copy ステートメントを設定することで、この動作を無効にすることができます。https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-irb-layer-2-copy-edit-bridge-domains.html

レイヤー 2 ポートミラーリング ファイアウォール フィルターの構成方法の詳細については、 レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

プロバイダー エッジ(PE)ルーターまたは PE スイッチとして構成された MX ルーターおよび EX シリーズ スイッチでレイヤー 2 ポートミラーリング ファイアウォール フィルターを使用する方法の詳細については、 PE ルーター論理インターフェイスのレイヤー 2 ポート ミラーリングについてを参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-pe-routers.html一般的なファイアウォールフィルター(レイヤー3環境を含む)の設定の詳細については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html

論理インターフェイスで受信または送信したパケットのミラーリング

論理インターフェイスで受信または送受信されるレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターを インターフェイスの入力または出力に適用します。

ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスにも適用できます。詳細については、 PEルーター集合型イーサネットインターフェイスのレイヤー2ポートミラーリングについてを参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-firewall-filters-on-aggregated-ethernet-interfaces.html

注:

ポートミラーリング ファイアウォール フィルターが論理インターフェイスの入力と出力の両方に適用される場合、各パケットの 2 つのコピーがミラーリングされます。ルーターまたはスイッチが同じ宛先に重複したパケットを転送するのを防ぐには、レイヤー2パケットアドレスファミリーのグローバルインスタンスで、レイヤー2ポートミラーリングの「ミラーワンス」オプションを有効にします。

VLANに転送またはフラッディングされたパケットのミラーリング

VLANに転送またはVLANにフラッディングされたレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターを転送テーブルまたはフラッディングテーブルへの入力に適用します。VLAN 転送テーブルまたはフラッディング テーブルで受信され、フィルタ条件に一致するパケットはすべてミラーリングされます。

VLAN の詳細については、 レイヤー 2 ブリッジ ドメインについて を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-bridging-overview.htmlVLAN のフラッディング動作については、 ブリッジ ドメインのレイヤー 2 ラーニングと転送 についてを参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-learning-and-forwarding-for-bridge-domains.html

注:

1 つの VLAN の下の任意のインターフェイスにポート ミラーリングを設定すると、ミラーリングされたパケットを異なる VLAN にある外部アナライザに移動できます。

VPLSルーティングインスタンスに転送またはフラッディングされたパケットのミラーリング

VPLS ルーティング インスタンスに転送またはフラッディングされたレイヤー 2 トラフィックをミラーリングするには、ポートミラーリング ファイアウォール フィルターを転送テーブルまたはフラッディング テーブルへの入力に適用します。VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブルで受信され、フィルタ条件に一致するパケットはすべてミラーリングされます。

VPLSルーティングインスタンスの詳細については、 VPLSルーティングインスタンスの設定および ブリッジドメインとVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.htmlVPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義

仮想プライベートLANサービス(VPLS)トラフィック( または )およびMXシリーズルーターおよびEXシリーズスイッチ上のファミリー 付きレイヤー2 VPNの場合のみ、パケットがファイアウォールフィルター条件で指定された条件に一致した場合に実行するアクションとしてレイヤー2ポートミラーリングを指定するファイアウォールフィルターを定義できます。family ethernet-switchingfamily vplsccc

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、次の方法で使用できます。

  • 論理インターフェイスで受信または送信されたパケットをミラーリングします。

  • VLAN に転送またはフラッディングされたパケットをミラーリングします。

  • VPLS ルーティングインスタンスに転送またはフラッディングされたパケットをミラーリングします。

  • トンネル インターフェイスの入力パケットのみを複数の宛先にミラーリングします。

MXシリーズルーターとEXシリーズスイッチで設定できる3種類のレイヤー2ポートミラーリングの概要については、 レイヤー2ポートミラーリングタイプの適用を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-services-port-mirroring-application.html

レイヤー 2 ポートミラーリングアクションでファイアウォールフィルターを定義するには:

  1. VLAN、レイヤー2スイッチングクロスコネクト、または仮想プライベートLANサービス(VPLS)の一部であるレイヤー2パケットのファイアウォールフィルターの設定を有効にします。

    オプションの値は、 、 、 です。familyethernet-switchingcccvpls

  2. ファイアウォールフィルター の設定を有効にします。pm-filter-name
  3. ファイアウォールフィルター条件 の設定を有効にします。pm-filter-term-name
  4. (オプション)サンプル化されたパケットのサブセットをミラーリングする場合 のみ 、ルート送信元アドレスに基づいてファイアウォールフィルターの一致条件を指定します。
    • レイヤー2ブリッジングファイアウォールフィルター一致条件(MXシリーズルーターおよびEXシリーズスイッチでのみサポート)の詳細については、 レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件を参照してください。Firewall Filter Match Conditions for Layer 2 Bridging Traffic

    • VPLSファイアウォールフィルター一致条件の詳細については、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください。Firewall Filter Match Conditions for VPLS Traffic

    • レイヤー2回線クロスコネクト(CCC)ファイアウォールフィルター一致条件の詳細については、 レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件を参照してください。Firewall Filter Match Conditions for Layer 2 CCC Traffic

    注:

    サンプリングされたすべてのパケットが一致したと見なす(そして ステートメントで指定された アクションに従う)場合は、 ステートメントを完全に省略します 。thenfrom

  5. および の設定を有効にして、一致するパケットに適用します。actionaction-modifier
  6. 一致するパケットに対して実行するアクションを指定します。

    の推奨値は です。actionaccept アクションを指定しない場合、または ステートメントを完全に省略 した場合、 ステートメントの条件 に一致するすべてのパケットが受け入れられます。thenfrom

  7. レイヤー 2 ポート ミラーリングまたはネクストホップ グループを として指定します。action-modifier
    • 基礎となる物理インターフェイスに関連付けられているパケット転送エンジンまたはPICに対して現在有効なレイヤー2ポートミラーリングプロパティを参照するには、 ステートメントを使用します 。port-mirror

    • 特定の名前付きインスタンスで設定されたレイヤー 2 ポート ミラーリング プロパティを参照するには、port-mirror-instance アクション修飾子を使用します。pm-instance-name

      基礎となる物理インターフェイスがレイヤー 2 ポート ミラーリングの名前付きインスタンスにバインドされず、レイヤー 2 ポート ミラーリングのグローバル インスタンスに暗黙的にバインドされている場合、論理インターフェイスのトラフィックは、アクション修飾子によって 参照される名前付きインスタンスで指定されたプロパティに従ってミラーリングされます。port-mirror-instance

    • (パケットの追加コピーをアナライザーに送信するため)ネクストホップ アドレスを指定するネクストホップ グループを参照するには、 アクション修飾子を使用します   。next-hop-grouppm-next-hop-group-name

      ネクストホップグループの設定情報については、 レイヤー2ポートミラーリングのネクストホップグループの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-next-hop-group-configuring.htmlレイヤー2ポートミラーリングにネクストホップグループを指定した場合、ファイアウォールフィルターの条件はトンネルインターフェイスの入力にのみ適用されます。

  8. レイヤー 2 ポートミラーリング ファイアウォール フィルターの最小構成を確認します。

    ファイアウォールフィルターの条件ステートメントでは、 は 、 、または になります。thenaction-modifierport-mirrorport-mirror-instance next-hop-group pm-next-hop-group-name

ポートミラーリングのためのプロトコル非依存ファイアウォールフィルターの設定

MPCを搭載したMXシリーズルーターでは、ファイアウォールフィルターを設定して、グローバルレベルとインスタンスレベルでレイヤー2およびレイヤー3のパケットをミラーリングできます。ポートミラーがイングレスまたはエグレスで設定されている場合、インターフェイスに出入りするパケットがコピーされ、そのコピーがローカル監視のためにローカルインターフェイスに送信されます。

注:

Junos OS リリース 13.3R6 以降、ポート ミラーリングの実行は MPC インターフェイスのみサポートされています 。family any DPC インターフェイスは をサポートしていません 。family any

通常、ファイアウォールフィルターは、インターフェイスで設定されたファミリーに基づいて、レイヤー2またはレイヤー3パケットのいずれかをミラーリングするように設定されます。ただし、IRB(統合型ルーティングおよびブリッジング)インターフェイスの場合、IRB インターフェイスはレイヤー 3 パケットのみをミラーリングするように設定されているため、レイヤー 2 パケットは完全にはミラーリングされません。このようなインターフェイスでは、 ファミリー のファイアウォールフィルターとポートミラーリングのパラメーターを設定して、パケットがレイヤー2パケットかレイヤー3パケットかに関係なく、パケットが完全にミラーリングされるようにすることができます。any

注:
  • インスタンスでのポートミラーリングの場合、同じインスタンスに対して、 、 、 、 などの1つ以上のファミリーを同時に設定できます。inetinet6cccvpls

  • レイヤー2ポートミラーリングの場合、VLANタグ、MPLSヘッダーは保持され、エグレスでミラーリングされたコピーで確認できます。

  • VLAN正規化では、受信時にミラーリングされたパケットに対して正規化前の情報が表示されます。同様に、エグレスでは、ミラーリングされたパケットについて正規化後の情報が表示されます。

ポート ミラーリングの設定を始める前に、有効な物理インターフェイスを設定する必要があります。

ポートミラーリング用のプロトコル非依存ファイアウォールフィルターを設定するには:

  1. エグレスまたはイングレストラフィックをミラーリングするためのグローバルファイアウォールフィルターを設定します。
  2. インスタンスのトラフィックをミラーリングするようにファイアウォールフィルターを設定します。
  3. エグレスとイングレストラフィックのミラーリングパラメータを設定します。
  4. インスタンスのミラーリングパラメータを設定します。この設定では、レイヤー2パケットの出力または宛先を、有効なネクストホップグループまたはレイヤー2インターフェイスのいずれかに指定できます。
  5. パケットが送信されるイングレスまたはエグレスインターフェイスでファイアウォールフィルターを設定します。

例:ファイアウォールフィルターによる従業員のWebトラフィックのミラーリング

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つのスイッチ

  • Junos 14.1X53-D20

概要

この例では、 従業員の コンピューターの接続として機能します。xe-0/0/0xe-0/0/6 インターフェイス は、アナライザアプリケーションを実行しているデバイスに接続されています。xe-0/0/47

すべてのトラフィックをミラーリングするのではなく、通常は特定のトラフィックのみをミラーリングすることが望ましいです。これは、帯域幅とハードウェアのより効率的な使用であり、これらの資産に対する制約のために必要になる場合があります。この例では、従業員のコンピューターから Web に送信されたトラフィックのみをミラーリングしています。

トポロジー

図 1は、この例のネットワーク トポロジーを示しています。

図 1: ローカルポートミラーリングのネットワークトポロジー例ローカルポートミラーリングのネットワークトポロジー例

設定

ミラーリングされるトラフィックが従業員から Web に送信されるトラフィックのみであることを指定するには、このセクションで説明するタスクを実行します。このトラフィックをミラーリング用に選択するには、ファイアウォールフィルターを使用してこのトラフィックを指定し、ポートミラーリングインスタンスに誘導します。

手順

CLIクイック構成

従業員のコンピューターから Web を宛先とするトラフィックのローカルポートミラーリングを迅速に設定するには、次のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

ステップバイステップでの手順

従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ポート ミラーリングを構成するには:

  1. 出力インターフェイスと、ネクストホップとしてアナライザアプリケーションを実行しているデバイスのIPアドレスを含むポートミラーリングインスタンスを設定します。(出力のみを設定し、入力はフィルターから取得します)。また、ミラーがIPv4トラフィック用であることも指定する必要があります()。family inet

  2. Web に送信されたトラフィックに一致する条件を含む と呼ばれる IPv4()ファイアウォール フィルターを設定し、それをポートミラーリング インスタンスに送信します。family inetwatch-employee 企業サブネットとの間で送受信されるトラフィック(の宛先アドレスまたは送信元アドレス )はコピーする必要がないため、インスタンスにWebトラフィックを送信する条件に到達する前に、まず別の用語を作成してそのトラフィックを受け入れます。192.0.nn.nn/24

  3. 従業員のコンピューターとアナライザーデバイスに接続されたIPv4インターフェイスのアドレスを設定します。

  4. ファイアウォールフィルターを、イングレスフィルターとして適切なインターフェイスに適用します。

結果

構成の結果を確認します。

検証

アナライザが正しく作成済みであることの確認

目的

アナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。

アクション

ポートミラーアナライザが コマンドを使用して、想定どおりに 設定されていることを確認できます。show forwarding-options port-mirroring

意味

この出力は、ポートミラーリングインスタンスの比率が1(すべてのパケットをミラーリング、デフォルト設定)で、ミラーリングされた元のパケットの最大サイズ( パケット全体を示す)であることを示しています。0 出力インターフェイスの状態が down である場合、または出力インターフェイスが設定されていない場合、状態の値は となり 、インスタンスはミラーリング用にプログラムされません。down

PE ルーターまたは PE スイッチ論理インターフェイスのレイヤー 2 ポート ミラーリング

サービスプロバイダーネットワークの顧客向けエッジでプロバイダーエッジ(PE)デバイスとして設定されたルーターまたはスイッチの場合、次のイングレスポイントとエグレスポイントでレイヤー2ポートミラーリング ファイアウォールフィルター を適用して、ルーターまたはスイッチとカスタマーエッジ(CE)デバイス(通常はルーターおよびイーサネットスイッチ)間のトラフィックをミラーリングできます。

表 1 では、PE デバイスとして設定されたルーターまたはスイッチに、レイヤー 2 ポートミラーリング ファイアウォール フィルターを適用する方法について説明します。

表 1: PE デバイスにおけるレイヤー 2 ポート ミラーリング ファイアウォール フィルターの適用

適用ポイント

ミラーリングの範囲

注記

構成の詳細

Ingress顧客向け論理インターフェイス

サービス プロバイダの顧客のネットワーク内から発信され、最初に CE デバイスに送信され、PE デバイスの隣で送信されるパケット。

VPLSルーティングインスタンス用に、CEデバイスとPEデバイス間に集合型イーサネットインターフェイスを設定することもできます。トラフィックは、集約されたインターフェイス内のすべてのリンクでロードバランシングされます。

集合型イーサネットインターフェイスで受信したトラフィックは、宛先MAC(DMAC)アドレスのルックアップに基づいて、異なるインターフェイスを介して転送されます。

  • ローカル サイト宛てのパケットは、負荷分散された子インターフェイスから送信されます。

  • リモートサイト宛てのパケットはカプセル化され、ラベルスイッチパス(LSP)を介して転送されます。

レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用をご覧ください。

VPLSルーティングインスタンスの詳細については、 VPLSルーティングインスタンスの設定および ブリッジドメインとVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。Configuring a VPLS Routing Instancehttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

エグレス顧客向け論理インターフェイス

PE デバイスから別の PE デバイスに転送されているユニキャスト パケット。

ポートミラーリング フィルターを 論理インターフェイスの出力に適用すると、ユニキャスト パケットのみがミラーリングされます。NOTE: マルチキャスト、不明なユニキャスト、ブロードキャストパケットをミラーリングするには、VLANまたはVPLSルーティングインスタンスのフラッドテーブルへの入力にフィルターを適用します。

レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用をご覧ください。

VLAN 転送テーブルまたはフラッディング テーブルへの入力

CEデバイスからVLANに送信されたトラフィックの転送またはフラッディングトラフィック。

転送およびフラッディング トラフィックは、通常、ブロードキャスト パケット、マルチキャスト パケット、宛先 MAC アドレスが不明なユニキャスト パケット、または DMAC ルーティング テーブル内の MAC エントリーがあるパケットで構成されます。

レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用するをご覧ください。VPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブルへの入力

CEデバイスからVPLSルーティングインスタンスに送信されたトラフィックの転送またはフラッディングトラフィック。

レイヤー 2 ポート ミラーリングのトラフィック転送または VPLS ルーティング インスタンスへのフラッディングの適用をご覧ください。VPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html

PEルーターまたはPEスイッチ集合型イーサネットインターフェイスのレイヤー2ポートミラーリング

集合型イーサネットインターフェイスは、同じ速度で全二重リンク接続モードで動作する一連の物理インターフェイスで構成される仮想集約リンクです。VPLSルーティングインスタンス用に、CEデバイスとPEデバイス間に集合型イーサネットインターフェイスを設定できます。トラフィックは、集約されたインターフェイス内のすべてのリンクでロードバランシングされます。集約されたインターフェイス内の 1 つ以上のリンクに障害が発生した場合、トラフィックは残りのリンクに切り替わります。

レイヤー2ポートミラーリング ファイアウォールフィルター を集合型イーサネットインターフェイスに適用して、親インターフェイスで ポートミラーリング を設定できます。ただし、子インターフェイスが異なるレイヤー2ポートミラーリングインスタンスにバインドされている場合、子インターフェイスで受信したパケットは、それぞれのポートミラーリングインスタンスで指定された宛先にミラーリングされます。したがって、複数の子インターフェイスは、複数の宛先にパケットをミラーリングできます。

例えば、親集合型イーサネットインターフェイスインスタンス に2つの子インターフェイスがあるとします。ae0

  • xe-2/0/0

  • xe-3/1/2

上の これらの子インターフェイスが、2つの異なるレイヤー2ポートミラーリングインスタンスにバインドされているとします。ae0

  • - 子インターフェイス にバインドされた、レイヤー 2 ポートミラーリングの名前付きインスタンス。pm_instance_Axe-2/0/0

  • - 子インターフェイス にバインドされた、レイヤー 2 ポートミラーリングの名前付きインスタンス。pm_instance_Bxe-3/1/2

ここで、(集合型イーサネットインターフェイスインスタンス上の論理ユニット)で送信されたレイヤー2トラフィックにレイヤー2ポートミラーリングファイアウォールフィルターを適用するとします。ae0.000 これにより、 でのポートミラーリングが有効になり、レイヤー2ポートミラーリングプロパティが指定されている子インターフェイスで受信したトラフィックの処理に次のような影響があります。ae0.0

  • で受信したパケットは、ポートミラーリングインスタンスで設定された出力インターフェイスにミラーリングされます。xe-2/0/0pm_instance_A

  • で受信したパケットは、ポートミラーリングインスタンスで設定された出力インターフェイスにミラーリングされます。xe-3/1/2.0pm_instance_B

と では異なるパケット選択プロパティやミラー宛先プロパティを指定できるため、 で受信したパケットは、異なるパケットを異なる宛先にミラーリングできます。pm_instance_Apm_instance_Bxe-2/0/0xe-3/1/2.0

レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用

レイヤー2ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスを含む論理インターフェイスの入力または出力に適用できます。フィルター操作で指定されたアドレス タイプ ファミリーのパケットのみがミラーリングされます。

開始する前に、以下のタスクを実行します。

  • 論理インターフェイスへの入力または論理インターフェイスへの出力に適用するレイヤー 2 ポートミラーリング ファイアウォール フィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

    注:

    この構成タスクでは、2 つのレイヤー 2 ポートミラーリング ファイアウォール フィルターを示します。論理インターフェイスのイングレストラフィックに適用されるフィルターと、論理インターフェイスのエグレストラフィックに適用されるフィルターがあります。

レイヤー 2 ポートミラーリング ファイアウォール フィルターを入力または出力論理インターフェイスに適用するには:

  1. 論理インターフェイスの基礎となる物理インターフェイスを設定します。

    1. 基盤となる物理インターフェイスの設定を有効にします。

      注:

      ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスにも適用できます。


    2. VPLSに設定されたギガビットイーサネットインターフェイスおよび集合型イーサネットインターフェイスでは、インターフェイス上で802.1Q VLANタグ付きフレームの受信と送信を有効にします。


    3. IEEE 802.1Q VLANのタグ付けとブリッジングが有効になっており、TPID 0x8100またはユーザー定義のTPIDを伝送するパケットを受け入れる必要があるイーサネットインターフェイスの場合は、論理リンク層カプセル化タイプを設定します。

  2. レイヤー 2 ポートミラーリング ファイアウォール フィルターを適用する論理インターフェイスを構成します。

    1. 論理ユニット番号を指定します。


    2. ギガビットイーサネットまたは集合型イーサネットインターフェイスの場合は、802.1Q VLANタグIDを論理インターフェイスにバインドします。

  3. ブリッジング ドメイン、レイヤー 2 スイッチング クロスコネクト、または仮想プライベート LAN サービス(VPLS)の一部であるレイヤー 2 パケットに適用する入力または出力フィルターを指定できるようにします。
    • インターフェイスでパケットを受信したときにフィルターを評価する場合:

    • インターフェイスでパケットが送信されるときにフィルターを評価する場合:

    オプションfamilyの値は、 、 、 です。ethernet-switchingcccvpls

    注:

    ポートミラーリング ファイアウォール フィルターが論理インターフェイスの入力と出力の両方に適用される場合、各パケットの 2 つのコピーがミラーリングされます。ルーターまたはスイッチが同じ宛先に重複したパケットを転送するのを防ぐには、 階層レベルに オプションの ステートメントを含めます 。mirror-once[edit forwarding-options]

  4. 名前付きレイヤー 2 ポート ミラーリング ファイアウォール フィルターを論理インターフェイスに適用するための最小設定を確認します。

レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用する

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、ブリッジ ドメインに転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、そのブリッジ ドメインに転送またはフラッディングされたパケットのみがミラーリングされます。

開始する前に、以下のタスクを実行します。

  • レイヤー 2 ポートミラーリング ファイアウォール フィルターを定義して、ブリッジ ドメインに転送されるトラフィックまたはブリッジ ドメインにフラッディングされるトラフィックに適用します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

    注:

    この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターはブリッジドメイン転送テーブルのイングレストラフィックに適用され、もう 1 つのフィルターはブリッジドメインフラッディングテーブルのイングレストラフィックに適用されます。

レイヤー 2 ポートミラーリング ファイアウォール フィルターをブリッジ ドメインの転送テーブルまたはフラッディング テーブルに適用するには:

  1. 転送またはフラッディングされたトラフィックに対してレイヤー2ポートミラーリングファイアウォールフィルターを適用するブリッジドメイン の設定を有効にします。bridge-domain-name
    • ブリッジドメインの場合:

    • ルーティングインスタンス下のブリッジドメインの場合:

      詳細な設定情報については、 VPLSルーティングインスタンスの設定を参照してください。Configuring a VPLS Routing Instance

  2. ブリッジドメインを設定します。

    詳細な設定情報については、 ブリッジ ドメイン の設定および ブリッジドメイン とVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

  3. ブリッジドメインでトラフィック転送の設定を有効にします。
  4. レイヤー 2 ポートミラーリング ファイアウォール フィルターをブリッジ ドメイン転送テーブルまたはフラッディング テーブルに適用します。
    • ブリッジ ドメインに転送されるパケットをミラーリングするには:

    • フラッディングされるパケットをブリッジドメインにミラーリングするには:

  5. レイヤー 2 ポートミラーリング ファイアウォール フィルターをブリッジ ドメインの転送テーブルまたはフラッディング テーブルに適用するための最小設定を確認します。

    1. ブリッジ ドメインが設定されている階層レベルに移動します。

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. ブリッジ ドメイン設定の表示:

レイヤー 2 ポート ミラーリングをトラフィック転送または VPLS ルーティング インスタンスへのフラッディングに適用する

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、VPLS ルーティング インスタンスに転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、その VPLS ルーティング インスタンスに転送またはフラッディングされたパケットのみがミラーリングされます。

開始する前に、以下のタスクを実行します。

  • VPLSルーティングインスタンスに転送されるトラフィックまたはVLANにフラッディングされるトラフィックに適用するレイヤー2ポートミラーリングファイアウォールフィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

    注:

    この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターは VPLS ルーティング インスタンス転送テーブル イングレス トラフィックに適用され、もう 1 つのフィルターは VPLS ルーティング インスタンス フラッディング テーブルのイングレス トラフィックに適用されます。

レイヤー 2 ポートミラーリング ファイアウォール フィルターを VPLS ルーティング インスタンスの転送テーブルまたはフラッディング テーブルに適用するには:

  1. 転送またはフラッディングされたトラフィックに対してレイヤー 2 ポートミラーリング ファイアウォール フィルターを適用する VPLS ルーティング インスタンスの設定を有効にします。

    詳細な設定情報については、 VPLSルーティングインスタンスの設定を参照してください。Configuring a VPLS Routing Instance

  2. VPLSルーティングインスタンスでトラフィック転送の設定を有効にします。
  3. レイヤー 2 ポートミラーリング ファイアウォール フィルターを VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブルに適用します。
    • VPLS ルーティング インスタンスに転送されるパケットをミラーリングするには:

    • VPLSルーティングインスタンスにフラッディングされるパケットをミラーリングするには:

  4. レイヤー 2 ポートミラーリング ファイアウォール フィルターを VPLS ルーティング インスタンスの転送テーブルまたはフラッディング テーブルに適用するための最小設定を検証します。

レイヤー2ポートミラーリングのトラフィック転送またはVLANへのフラッディングへの適用

レイヤー 2 ポートミラーリング ファイアウォール フィルターは、VLAN に転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、その VLAN に転送またはフラッディングされたパケットのみがミラーリングされます。

開始する前に、以下のタスクを実行します。

  • VLAN に転送されるトラフィックまたは VLAN にフラッディングされるトラフィックに適用するレイヤー 2 ポートミラーリング ファイアウォール フィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-port-mirroring-firewall-filter-configuring.html

    注:

    この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターは VLAN 転送テーブルのイングレス トラフィックに適用され、もう 1 つのフィルターは VLAN フラッディング テーブルのイングレス トラフィックに適用されます。

レイヤー 2 ポートミラーリング ファイアウォール フィルターを VLAN の転送テーブルまたはフラッディング テーブルに適用するには:

  1. 転送またはフラッディングされたトラフィックに対してレイヤー2ポートミラーリングファイアウォールフィルターを適用するVLAN の設定を有効にします。bridge-domain-name
    • VLANの場合:

    • ルーティングインスタンス下のVLANの場合:

      詳細な設定情報については、 VPLSルーティングインスタンスの設定を参照してください。Configuring a VPLS Routing Instance

  2. VLAN を設定します。

    詳細な設定情報については、 ブリッジドメイン の設定および ブリッジドメインとVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-configuring.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/task/configuration/layer-2-services-bridge-domains-and-vpls-routing-instances-configuring-vlan-ids-for.html

  3. VLAN でのトラフィック転送の設定を有効にします。
  4. レイヤー 2 ポートミラーリング ファイアウォール フィルターを VLAN 転送テーブルまたはフラッディング テーブルに適用します。
    • VLAN に転送されるパケットをミラーリングするには:

    • VLANにフラッディングされるパケットをミラーリングするには:

  5. レイヤー 2 ポートミラーリング ファイアウォール フィルターを VLAN の転送テーブルまたはフラッディング テーブルに適用するための最小設定を確認します。

    1. VLANが設定されている階層レベルに移動します。

      • [edit]

      • [edit routing-instances routing-instance-name]


    2. VLAN設定の表示:

例:論理インターフェイスでのレイヤー2ポートミラーリング

次の手順では、グローバルポートミラーリングインスタンスとポートミラーリングファイアウォールフィルターを使用して、論理インターフェイスへの入力用のレイヤー2ポートミラーリングを設定する例を説明します。

  1. 外部パケットアナライザを含むVLANと、ミラーリングされるレイヤー2トラフィックの送信元と宛先を含むVLANを設定します。example-bd-with-analyzerexample-bd-with-traffic

    論理インターフェイス が、ポートミラーリングされたパケットを受信する外部トラフィックアナライザに関連付けられていると仮定します。ge-2/0/0.0 論理インターフェイス と がそれぞれトラフィックの入力ポートと 出力ポートになると仮定します。ge-2/0/6.0ge-3/0/1.2

  2. グローバル インスタンスのレイヤー 2 ポートミラーリングを設定し、ポートミラーリングの宛先を外部アナライザに関連付けられた VLAN インターフェイス(VLAN 上の論理インターフェイス)にします。ge-2/0/0.0example-bd-with-analyzer このポートミラーリング宛先にフィルターを適用できる オプションを必ず有効にしてください。

    階層レベルの ステートメントは、10 パケットごとにサンプリングを開始し、選択された最初の 5 パケットのそれぞれをミラーリングすることを指定します。input[edit forwarding-options port-mirroring]

    階層レベルの ステートメントは、ブリッジング環境におけるレイヤー2パケットの出力ミラーインターフェイスを指定します。output[edit forwarding-options port-mirroring family ethernet-switching]

    • 外部パケット アナライザに関連付けられた論理インターフェイス が、ポートミラーリングの宛先として設定されます。ge-2/0/0.0

    • オプションの ステートメントを使用すると、この宛先インターフェイスでフィルターを設定できます。no-filter-check

  3. レイヤー 2 ポートミラーリング ファイアウォール フィルター を設定します。example-bridge-pm-filter

    このファイアウォールフィルターがブリッジング環境のトラフィック用論理インターフェイスの入力または出力に適用されると、レイヤー2ポートミラーリンググローバルインスタンスに設定された入力パケットサンプリングプロパティとミラー宛先プロパティに従って、レイヤー2ポートミラーリングが実行されます。このファイアウォールフィルターは、単一のデフォルトのフィルターアクション で構成されているため、プロパティ( =および=)で選択されたすべてのパケットがこのフィルターに一致します。acceptinputrate10run-length5

  4. 論理インターフェイスを設定します。

    VLAN 上の論理インターフェイスで受信されたパケットは、ポートミラーリング ファイアウォール フィルターによって評価されます。ge-2/0/6.0example-bd-with-trafficexample-bridge-pm-filter ファイアウォールフィルターは、ファイアウォールフィルター自体で設定されたフィルターアクションに加えて、グローバルポートミラーリングインスタンスで設定された入力パケットサンプリングプロパティとミラー宛先プロパティに従って、入力トラフィックに作用します。

    • で 受信したすべてのパケットは、論理インターフェイス の(想定される)通常の宛先に転送されます。ge-2/0/6.0ge-3/0/1.2

    • 10個の入力パケットごとに、その選択の最初の5個のパケットのコピーが、他のVLANの論理インターフェイスにある外部アナライザに転送されます。ge-0/0/0.0example-bd-with-analyzer

    ポートミラーリング ファイアウォール フィルターが アクションではなく アクションを実行するように設定した場合、元のパケットはすべて破棄され、グローバル ポートミラーリング プロパティを使用して選択されたパケットのコピーが外部アナライザに送信されます。example-bridge-pm-filterdiscardacceptinput

例:レイヤー2 VPNのレイヤー2ポートミラーリング

次の例は完全な設定ではありませんが、を使用してL2VPN でポートミラーリングを構成するために必要なすべての手順を示しています。family ccc

  1. 外部パケットアナライザを含むVLAN を設定します。port-mirror-bd

  2. レイヤー 2 VPN CCC を構成して、論理インターフェイス と論理インターフェイス を接続します。ge-2/0/1.0ge-2/0/1.1

  3. グローバル インスタンスのレイヤー 2 ポート ミラーリングを設定し、ポートミラーリングの宛先を外部アナライザに関連付けられた VLAN インターフェイス(VLAN 上の論理インターフェイス)にします。ge-2/2/9.0example-bd-with-analyzer

  4. レイヤー 2 ポートミラーリング ファイアウォール フィルター を に対して定義します 。pm_filter_cccfamily ccc

  5. ポートミラーインスタンスをシャーシに適用します。

  6. VLAN のインターフェイスを設定し、ファイアウォールフィルターでポートミラーリング用のインターフェイスを設定します。ge-2/2/9ge-2/0/1pm_filter_ccc

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
13.3R6
Junos OS リリース 13.3R6 以降、ポート ミラーリングの実行は MPC インターフェイスのみサポートされています 。family any