このページで
論理インターフェイスでのポートミラーリングの設定
レイヤー 2 ポート ミラーリング ファイアウォール フィルター
このトピックでは、以下の情報について説明します。
- レイヤー 2 ポート ミラーリング ファイアウォール フィルターの概要
- 論理インターフェイスで受信または送信されたパケットのミラーリング
- VLAN に転送またはフラッディングされたパケットのミラーリング
- VPLSルーティングインスタンスに転送またはフラッディングされたパケットのミラーリング
レイヤー 2 ポート ミラーリング ファイアウォール フィルターの概要
MXシリーズルーターとEXシリーズスイッチでは、ファイアウォールフィルター条件を設定して、ファイアウォールフィルターが適用されるインターフェイスのすべてのパケットにレイヤー2ポートミラーリングを適用することを指定できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを、入力または出力論理インターフェイス(集約されたイーサネット論理インターフェイスを含む)、VLAN に転送またはフラッディングされたトラフィック、VPLS ルーティング インスタンスに転送またはフラッディングされたトラフィックに適用できます。
MX シリーズ ルーターと EX シリーズ スイッチは、レイヤー 2 環境で使用する VPLS(family ethernet-switching または family vpls)トラフィックとレイヤー 2 VPN トラフィック family ccc のレイヤー 2 ポート ミラーリングをサポートします。
ファイアウォールフィルター term内では、以下のいずれかの方法で ステートメントで then レイヤー2ポートミラーリングプロパティを指定できます。
ポート上の効果でレイヤー 2 ポート ミラーリング プロパティを暗示的に参照します。
レイヤー 2 ポート ミラーリングの特定の名前付きインスタンスを明示的に参照します。
レイヤー2ポートミラーリングファイアウォールフィルターを設定する場合、ルート送信元アドレスに基づいて一致条件を指定するオプション from ステートメントを含めないでください。すべてのパケットが一致すると見なされ actions 、 ステートメントで指定されたすべてのパケット action-modifiers が取得されるように、このステートメントを then 省略します。
すべての受信パケットをミラーリングする場合は、 from ステートメントを使用しないでください。/*コメント:1つは、パケットのサブセットのみをミラーリングすることに関心がある場合からの フィルター条件を 設定します。
IRB(統合型ルーティングおよびブリッジング)を VLAN(または VPLS ルーティング インスタンス)に関連付け、VLAN(または VPLS ルーティング インスタンス)内で 転送テーブル フィルターを または port-mirror-instance アクションにport-mirror設定した場合、IRB パケットはレイヤー 2 パケットとしてミラーリングされます。VLAN(またはVPLSルーティングインスタンス)で no-irb-layer-2-copy ステートメントを設定することで、この動作を無効にすることができます。
レイヤー2ポートミラーリングファイアウォールフィルターを設定する方法の詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
MXルーターとEXシリーズスイッチをプロバイダーエッジ(PE)ルーターまたはPEスイッチとして設定したレイヤー2ポートミラーリングファイアウォールフィルターを使用する方法の詳細については、 PEルーター論理インターフェイスのレイヤー2ポートミラーリングについてを参照してください。一般的なファイアウォールフィルターの設定(レイヤー3環境を含む)の詳細については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
論理インターフェイスで受信または送信されたパケットのミラーリング
論理インターフェイスで送受信されたレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターをインターフェイスの入力または出力に適用します。
ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスに適用することもできます。詳細については、 PE ルーター集合型イーサネット インターフェイスのレイヤー 2 ポート ミラーリングについてを参照してください。
ポートミラーリングファイアウォールフィルターが論理インターフェイスの入力と出力の両方に適用される場合、各パケットの2つのコピーがミラーリングされます。ルーターまたはスイッチが重複したパケットを同じ宛先に転送しないようにするには、レイヤー2パケットアドレスファミリーのグローバルインスタンスでレイヤー2ポートミラーリングの「ミラー1回」オプションを有効にします。
VLAN に転送またはフラッディングされたパケットのミラーリング
VLAN に転送またはフラッディングされたレイヤー 2 トラフィックをミラーリングするには、ポートミラーリング ファイアウォール フィルターを転送テーブルまたはフラッド テーブルへの入力に適用します。VLAN 転送テーブルまたはフラッド テーブルで受信され、フィルター条件に一致するパケットがミラーリングされます。
VLAN の詳細については、 レイヤー 2 ブリッジ ドメインについてを 参照してください。VLAN におけるフラッディング動作については、 ブリッジ ドメインのレイヤー 2 ラーニングおよび転送についてを 参照してください。
1つのVLAN下の任意のインターフェイスでポートミラーリングを設定すると、ミラーリングされたパケットは、異なるVLANにある外部アナライザに移動できます。
VPLSルーティングインスタンスに転送またはフラッディングされたパケットのミラーリング
VPLSルーティングインスタンスに転送またはフラッディングされたレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターを転送テーブルまたはフラッドテーブルへの入力に適用します。VPLSルーティングインスタンス転送またはフラッドテーブルで受信され、フィルター条件に一致するパケットがミラーリングされます。
VPLSルーティングインスタンスの詳細については、 ブリッジドメインと VPLSルーティングインスタンスのVPLSルーティングインスタンス の 設定とVLAN識別子の設定を参照してください。VPLSにおけるフラッディング動作については、 ルーティングデバイス用Junos OS VPNライブラリを参照してください。
レイヤー2ポートミラーリングファイアウォールフィルターの定義
仮想プライベートLANサービス(VPLS)トラフィック(family ethernet-switching または family vpls)、およびMXシリーズルーターとEXシリーズスイッチ上のファミリー cccを持つレイヤー2 VPNの場合、パケットがファイアウォールフィルター条件で設定された条件に一致した場合に実行されるアクションとしてレイヤー2ポートミラーリングを指定するファイアウォールフィルターを定義できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、以下の方法で使用できます。
論理インターフェイスで受信または送信されたパケットをミラーリングします。
転送またはフラッディングされたパケットを VLAN にミラーリングするには。
VPLSルーティングインスタンスに転送またはフラッディングされたパケットをミラーリングするには。
トンネル インターフェイス入力パケットのみを複数の宛先にミラーリングする。
MXシリーズルーターとEXシリーズスイッチで設定できる3種類のレイヤー2ポートミラーリングの概要については、 レイヤー2ポートミラーリングタイプのアプリケーションを参照してください。
レイヤー2ポートミラーリングアクションでファイアウォールフィルターを定義するには:
ポートミラーリングのためのプロトコル非依存型ファイアウォールフィルターの設定
MPCを搭載したMXシリーズルーターでは、ファイアウォールフィルターを設定して、レイヤー2およびレイヤー3のパケットをグローバルレベルとインスタンスレベルでミラーリングできます。ポートミラーがイングレスまたはエグレスで設定されている場合、インターフェイスに出入りするパケットはコピーされ、そのコピーはローカル監視のためにローカルインターフェイスに送信されます。
Junos OS リリース 13.3R6 以降では、ポート ミラーリングを実行する MPC インターフェイスのみがサポート family any されています。DPC インターフェイスはサポート family anyしていません。
通常、ファイアウォールフィルターは、インターフェイスで設定されたファミリーに基づいてレイヤー2またはレイヤー3パケットのいずれかをミラーリングするように設定されています。ただし、IRB(統合型ルーティングおよびブリッジング)インターフェイスの場合、IRB インターフェイスはレイヤー 3 パケットのみをミラーリングするように設定されているため、レイヤー 2 パケットは完全にミラーリングされません。このようなインターフェイスでは、ファミリー any 内のファイアウォールフィルターとポートミラーリングパラメーターを設定して、それがレイヤー2パケットかレイヤー3パケットかに関係なく、パケットが完全にミラーリングされるようにすることができます。
インスタンスでのポートミラーリングの場合、同じインスタンスに対して 、 inet6cccvpls などの inet1 つ以上のファミリーを同時に設定できます。
レイヤー2ポートミラーリングの場合、VLANタグ、MPLSヘッダーが保持され、エグレスのミラーリングされたコピーで表示できます。
VLAN正規化の場合、正規化の前の情報は、イングレスでミラーリングされたパケットに対して見られます。同様に、エグレスでは、正規化後の情報がミラーリングされたパケットで見られます。
ポートミラーリングの設定を開始する前に、有効な物理インターフェイスを設定する必要があります。
ポートミラーリングにプロトコル非依存型ファイアウォールフィルターを設定するには:
例:ファイアウォールフィルターによる従業員のWebトラフィックのミラーリング
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1台のスイッチ
Junos 14.1X53-D20
概要
この例では、 xe-0/0/0xe-0/0/6 従業員のコンピューターの接続として機能します。インターフェイス xe-0/0/47 は、アナライザアプリケーションを実行するデバイスに接続されています。
通常、すべてのトラフィックをミラーリングするのではなく、特定のトラフィックのみをミラーリングすることが望ましいです。これは、帯域幅とハードウェアをより効率的に使用するため、これらの資産に制約があるため、必要となる場合があります。この例では、従業員のコンピューターから Web に送信されたトラフィックのみをミラーリングします。
設定
ミラーリングされるトラフィックが従業員から Web に送信されるトラフィックのみを指定するには、このセクションで説明するタスクを実行します。このトラフィックをミラーリングに選択するには、ファイアウォールフィルターを使用してこのトラフィックを指定し、ポートミラーリングインスタンスに誘導します。
手順
CLI クイックコンフィギュレーション
Web を宛先とする従業員のコンピューターからのトラフィックのローカル ポート ミラーリングを迅速に構成するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
手順
従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ポート ミラーリングを構成するには、
アナライザアプリケーションをネクストホップとして実行するデバイスの出力インターフェイスとIPアドレスを含むポートミラーリングインスタンスを設定します。(出力のみを設定します。入力はフィルターから出力されます)。また、ミラーがIPv4トラフィック(
family inet)向けであることを指定する必要があります。[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
と呼ばれる
watch-employeeIPv4(family inet)ファイアウォールフィルターを設定し、Webに送信されたトラフィックと一致させ、ポートミラーリングインスタンスに送信する条件を含みます。企業サブネット間で送受信されるトラフィック(宛先または送信元アドレスの192.0.nn.nn/24)はコピーする必要はありません。そのため、Webトラフィックをインスタンスに送信する条件に達する前に、まず別の条件を作成してトラフィックを受け入れます。[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
従業員のコンピューターとアナライザ デバイスに接続された IPv4 インターフェイスのアドレスを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
ファイアウォールフィルターを、イングレスフィルターとして適切なインターフェイスに適用します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
結果
設定の結果を確認します。
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
検証
アナライザが正しく作成されていることを確認する
目的
アナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
対処
ポートミラーアナライザが コマンドを使用して show forwarding-options port-mirroring 、想定どおりに設定されていることを確認できます。
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 意味
この出力は、ポートミラーリングインスタンスの比率が1(すべてのパケットをミラーリング、デフォルト設定)とミラーリングされた元のパケットの最大サイズ(0 パケット全体を示す)であることを示しています。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合、状態の値は になり down 、インスタンスはミラーリング用にプログラムされません。
PE ルーターまたは PE スイッチ論理インターフェイスのレイヤー 2 ポート ミラーリング
サービスプロバイダネットワークの顧客対応エッジ上のプロバイダーエッジ(PE)デバイスとして設定されたルーターまたはスイッチの場合、以下のイングレスおよびエグレスポイントでレイヤー2ポートミラーリング ファイアウォールフィルター を適用して、ルーターまたはスイッチとカスタマーエッジ(CE)デバイス(通常はルーターとイーサネットスイッチ)の間のトラフィックをミラーリングできます。
表 1 は、PE デバイスとして設定されたルーターまたはスイッチにレイヤー 2 ポートミラーリング ファイアウォール フィルターを適用する方法について説明します。
適用ポイント |
ミラーリングの範囲 |
メモ |
構成の詳細 |
|---|---|---|---|
Ingressの顧客対応論理インターフェイス |
サービス プロバイダの顧客のネットワーク内で発信されたパケットは、最初に CE デバイスに送信され、PE デバイスの横に送信されます。 |
VPLSルーティングインスタンスに対して、CEデバイスとPEデバイス間の集合型イーサネットインターフェイスを設定することもできます。トラフィックは、集約されたインターフェイス内のすべてのリンクで負荷分散されます。 集約されたイーサネット インターフェイスで受信したトラフィックは、宛先 MAC(DMAC)アドレスのルックアップに基づいて、別のインターフェイス上で転送されます。
|
レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用を参照してください。 VPLSルーティングインスタンスの詳細については、 ブリッジドメインと VPLSルーティングインスタンスのVPLSルーティングインスタンス の 設定とVLAN識別子の設定を参照してください。 |
Egressカスタマーフェイシング論理インターフェイス |
PE デバイスによって別の PE デバイスに転送されるユニキャスト パケット。 NOTE:論理インターフェイスの出力にポートミラーリングフィルターを適用すると、ユニキャストパケットのみがミラーリングされます。マルチキャスト、不明なユニキャスト、およびブロードキャストパケットをミラーリングするには、VLANまたはVPLSルーティングインスタンスのフラッドテーブルへの入力にフィルターを適用します。 |
||
VLAN 転送テーブルまたはフラッド テーブルへの入力 |
CE デバイスから VLAN に送信される転送トラフィックまたはフラッディング トラフィック。 |
通常、転送およびフラッディングトラフィックは、ブロードキャストパケット、マルチキャストパケット、不明な宛先MACアドレスを持つユニキャストパケット、またはDMACルーティングテーブル内のMACエントリーを持つパケットで構成されています。 |
レイヤー 2 ポート ミラーリングのトラフィック転送またはブリッジ ドメインへのフラッディングの適用を参照してください。VPLSにおけるフラッディング動作については、 ルーティングデバイス用Junos OS VPNライブラリを参照してください。 |
VPLSルーティングインスタンス転送テーブルまたはフラッドテーブルへの入力 |
CEデバイスからVPLSルーティングインスタンスに送信される転送トラフィックまたはフラッディングトラフィック。 |
レイヤー 2 ポート ミラーリングのトラフィック転送または VPLS ルーティング インスタンスへのフラッディングの適用を参照してください。VPLSにおけるフラッディング動作については、 ルーティングデバイス用Junos OS VPNライブラリを参照してください。 |
PE ルーターまたは PE スイッチアグリゲート イーサネット インターフェイスのレイヤー 2 ポート ミラーリング
集合型イーサネット・インタフェースは、全二重リンク接続モードで動作する、同じ速度の物理インタフェースで構成される仮想集約リンクです。VPLSルーティングインスタンスでは、CEデバイスとPEデバイス間の集合型イーサネットインターフェイスを設定できます。トラフィックは、集約されたインターフェイス内のすべてのリンクで負荷分散されます。集約されたインターフェイス内の1つ以上のリンクに障害が発生した場合、トラフィックは残りのリンクに切り替わります。
レイヤー2ポートミラーリング ファイアウォールフィルター を集合型イーサネットインターフェイスに適用して、親インターフェイスで ポートミラーリングを 設定できます。ただし、子インターフェイスが異なるレイヤー2ポートミラーリングインスタンスにバインドされている場合、子インターフェイスで受信されたパケットは、対応するポートミラーリングインスタンスで指定された宛先にミラーリングされます。したがって、複数の子インターフェイスは、複数の宛先にパケットをミラーリングできます。
例えば、親集約型イーサネット・インターフェース・インスタンス ae0 に 2 つの子インターフェースがあるとします。
xe-2/0/0xe-3/1/2
上の ae0 これらの子インターフェイスが、2つの異なるレイヤー2ポートミラーリングインスタンスにバインドされている場合を想定します。
pm_instance_A-子インターフェイスxe-2/0/0にバインドされたレイヤー2ポートミラーリングの名前付きインスタンス。pm_instance_B-子インターフェイスxe-3/1/2にバインドされたレイヤー2ポートミラーリングの名前付きインスタンス。
ここで、送信された ae0.0 レイヤー 2 トラフィック(集合型イーサネット インターフェイス インスタンス上の論理ユニット 0 )にレイヤー 2 ポートミラーリング ファイアウォール フィルターを適用するとします 0。これにより、 でae0.0ポートミラーリングが有効になり、レイヤー2ポートミラーリングプロパティが指定されている子インターフェイスで受信したトラフィックの処理に次の影響を与えます。
で
xe-2/0/0受信したパケットは、ポートミラーリング インスタンスpm_instance_Aで設定された出力インターフェイスにミラーリングされます。で
xe-3/1/2.0受信したパケットは、ポートミラーリング インスタンスpm_instance_Bで設定された出力インターフェイスにミラーリングされます。
と pm_instance_B はpm_instance_A、異なるパケット選択プロパティまたは宛先プロパティのミラーリングを指定できるため、受信xe-2/0/0xe-3/1/2.0したパケットは異なるパケットを異なる宛先にミラーリングできます。
論理インターフェイスへのレイヤー2ポートミラーリングの適用
レイヤー2ポートミラーリングファイアウォールフィルターは、入力または集合型イーサネット論理インターフェイスを含む論理インターフェイスの出力に適用できます。フィルターアクションで指定されたアドレスタイプファミリーのパケットのみがミラーリングされます。
開始する前に、以下のタスクを完了します。
論理インターフェイスへの入力または論理インターフェイスへの出力に適用されるレイヤー2ポートミラーリングファイアウォールフィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つのレイヤー 2 ポートミラーリング ファイアウォール フィルターを示します。1つのフィルターが論理インターフェイスイングレストラフィックに適用され、1つのフィルターが論理インターフェイスエグレストラフィックに適用されます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを入力または出力論理インターフェイスに適用するには:
レイヤー 2 ポート ミラーリングをトラフィック転送またはブリッジ ドメインへのフラッディングに適用する
レイヤー 2 ポートミラーリング ファイアウォール フィルターを、ブリッジ ドメインに転送されるトラフィックまたはブリッジ ドメインにフラッディングするトラフィックに適用できます。指定されたファミリー タイプのパケットと、そのブリッジ ドメインに転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを完了します。
ブリッジ ドメインに転送されるトラフィックまたはブリッジ ドメインへのフラッディングトラフィックに適用されるレイヤー 2 ポートミラーリング ファイアウォール フィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つのLayer_2ポートミラーリング ファイアウォール フィルターを示します。1つのフィルターがブリッジドメイン転送テーブルのイングレストラフィックに適用され、1つのフィルターがブリッジドメインフラッドテーブルのイングレストラフィックに適用されます。
ブリッジ ドメインの転送テーブルまたはフラッド テーブルにレイヤー 2 ポートミラーリング ファイアウォール フィルターを適用するには、次の手順にしたがっています。
VPLSルーティングインスタンスへのトラフィック転送またはフラッディングへのレイヤー2ポートミラーリングの適用
レイヤー2ポートミラーリングファイアウォールフィルターは、転送されるトラフィックやVPLSルーティングインスタンスにフラッディングされたトラフィックに適用できます。指定されたファミリータイプのパケットのみ、そのVPLSルーティングインスタンスに転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを完了します。
VPLSルーティングインスタンスに転送されるトラフィックまたはVLANへのフラッディングトラフィックに適用されるレイヤー2ポートミラーリングファイアウォールフィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つのLayer_2ポートミラーリング ファイアウォール フィルターを示します。VPLSルーティングインスタンス転送テーブルのイングレストラフィックに適用されるフィルターと、VPLSルーティングインスタンスフラッドテーブルイングレストラフィックに適用されたフィルターの1つです。
VPLSルーティングインスタンスの転送テーブルまたはフラッドテーブルにレイヤー2ポートミラーリングファイアウォールフィルターを適用するには::
トラフィック転送または VLAN へのフラッディングへのレイヤー 2 ポート ミラーリングの適用
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、VLAN に転送されるトラフィックまたはフラッディングされているトラフィックに適用できます。指定されたファミリー タイプのパケットのみ、その VLAN に転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを完了します。
VLANに転送されるトラフィックまたはVLANにフラッディングされるトラフィックに適用されるレイヤー2ポートミラーリングファイアウォールフィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つのLayer_2ポートミラーリング ファイアウォール フィルターを示します。1つのフィルターがVLAN転送テーブルイングレストラフィックに適用され、1つのフィルターがVLANフラッドテーブルのイングレストラフィックに適用されます。
VLAN の転送テーブルまたはフラッド テーブルにレイヤー 2 ポートミラーリング ファイアウォール フィルターを適用するには:
例:論理インターフェイスでのレイヤー 2 ポート ミラーリング
以下の手順では、グローバルポートミラーリングインスタンスとポートミラーリングファイアウォールフィルターを使用して、論理インターフェイスへの入力にレイヤー2ポートミラーリングを設定する例を説明します。
外部パケット アナライザを含む VLAN example-bd-with-analyzerと、ミラーリングされるレイヤー 2 トラフィックの送信元と宛先を含む VLAN example-bd-with-trafficを設定します。
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }論理インターフェイス ge-2/0/0.0 が、ポートミラーリングされたパケットを受信する外部トラフィックアナライザに関連付けられていると仮定します。論理インターフェイス ge-2/0/6.0 と ge-3/0/1.2 をそれぞれトラフィック入力ポートと出力ポートと仮定します。
ポートミラーリング宛先を外部アナライザに関連付けられたVLANインターフェイス(VLAN上example-bd-with-analyzerの論理ge-2/0/0.0インターフェイス)に設定し、グローバルインスタンスのレイヤー2ポートミラーリングを設定します。このポートミラーリング宛先にフィルターを適用できるようにする オプションを有効にしてください。
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }階層レベルの
[edit forwarding-options port-mirroring]ステートメントはinput、サンプリングが 10 番目のパケットごとに開始され、選択された最初の 5 つのパケットのそれぞれがミラーリングされることを指定します。階層レベルの
[edit forwarding-options port-mirroring family ethernet-switching]ステートメントはoutput、ブリッジング環境のレイヤー2パケットの出力ミラーインターフェイスを指定します。外部パケット アナライザに関連付けられた論理インターフェイス ge-2/0/0.0は、ポートミラーリング宛先として設定されます。
オプション
no-filter-checkのステートメントにより、この宛先インターフェイスにフィルターを設定できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを設定します example-bridge-pm-filter。
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }このファイアウォールフィルターがブリッジング環境のトラフィックの論理インターフェイスの入力または出力に適用される場合、レイヤー2ポートミラーリンググローバルインスタンスに設定された入力パケットサンプリングプロパティとミラー宛先プロパティに従ってレイヤー2ポートミラーリングが実行されます。このファイアウォールフィルターは、単一のデフォルトのフィルターアクションacceptで設定されているため、プロパティ(rate= 10 と =5)によってinput選択されたすべてのパケットがこのフィルターにrun-length一致します。
論理インターフェイスを設定します。
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }VLAN example-bd-with-traffic 上の論理インターフェイスge-2/0/6.0で受信したパケットは、ポートミラーリング ファイアウォール フィルターexample-bridge-pm-filterによって評価されます。ファイアウォールフィルターは、ファイアウォールフィルター自体で設定されたフィルターアクションに加えて、グローバルポートミラーリングインスタンスで設定された入力パケットサンプリングプロパティとミラーリング宛先プロパティに従って、入力トラフィックに作用します。
で ge-2/0/6.0 受信したすべてのパケットは、論理インターフェイスで(想定される)通常の宛先に転送されます ge-3/0/1.2。
10 個の入力パケットごとに、その選択内の最初の 5 つのパケットのコピーが、他の VLAN example-bd-with-analyzerの論理インターフェイスge-0/0/0.0にある外部アナライザに転送されます。
ポートミラーリングファイアウォールフィルターexample-bridge-pm-filterがアクションではなくacceptアクションを実行discardするように設定した場合、グローバルポートミラーリングinputプロパティを使用して選択されたパケットのコピーが外部アナライザに送信される間、すべての元のパケットは破棄されます。
例:レイヤー 2 VPN 向けレイヤー 2 ポート ミラーリング
以下の例は完全な設定ではありませんが、 を使用して family cccL2VPN上でポートミラーリングを設定するために必要なすべての手順を示しています。
外部パケット アナライザを含む VLAN port-mirror-bdを設定します。
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }レイヤー 2 VPN CCC を設定して、論理インターフェイスと論理インターフェイス ge-2/0/1.0 を接続します ge-2/0/1.1。
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }グローバルインスタンスのレイヤー2ポートミラーリングを設定し、ポートミラーリング宛先を外部アナライザに関連付けられたVLANインターフェイス(VLANexample-bd-with-analyzer上の論理インターフェイスge-2/2/9.0)にします。
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }以下のレイヤー2ポートミラーリングファイアウォールフィルター pm_filter_ccc を定義します family ccc。
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }ポートミラーインスタンスをシャーシに適用します。
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }VLANのインターフェイス ge-2/2/9 を設定し、ファイアウォールフィルターを使用してポートミラーリングのインターフェイス ge-2/0/1 を pm_filter_ccc 設定します。
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
例:LAG リンクを持つレイヤー 2 VPN のレイヤー 2 ポート ミラーリング
以下の例は完全な設定ではありませんが、L2VPN 上でポート ミラーリングを設定するために必要なすべての手順と集約されたイーサネット リンクを示 family ccc しています。
外部パケット アナライザを含む VLAN port_mirror_bdを設定します。
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }インターフェイスとインターフェイス ae0.0 を接続するようにレイヤー2 VPN CCCを設定します ae0.1。
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }グローバルインスタンスのレイヤー2ポートミラーリングを設定し、ポートミラーリング宛先を外部アナライザに関連付けられたVLANインターフェイス(VLANexample_bd_with_analyzer上の論理インターフェイスge-2/2/9.0)にします。
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }以下のファイアウォールフィルター pm_ccc を設定します family ccc。
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }アグリゲート イーサネット インターフェイスとポート ミラー インスタンスをシャーシに適用します。
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }フィルターでインターフェイスとge-2/0/2(集合型イーサネットの場合)およびge-2/2/8(ポートミラーリング用)をpm_ccc設定しますae0。
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
family any されています。