物理インターフェイスでのポートミラーリングの設定
物理インターフェイス上の複数レベルのレイヤー2ポートミラーリングの優先順位
異なるレイヤー2 ポートミラーリング プロパティ(グローバルインスタンスと1つ以上の名前付きインスタンス)を、MXシリーズルーターまたはEXシリーズスイッチシャーシのさまざまなレベル(シャーシレベル、FPCレベル、またはPICレベル)でバインドできます。したがって、物理インターフェイスの単一のグループが、複数のレイヤー2ポートミラーリング定義にバインドされる可能性があります。
ポートのグループ(または、MX960ルーターのPICレベルバインディングの場合は単一のポート)が複数のレイヤー2ポートミラーリング定義にバインドされている場合、ルーター(またはスイッチ)は次のようにレイヤー2ポートミラーリングプロパティをそれらのポートに適用します。
シャーシレベルのポートミラーリングプロパティは、シャーシ内のすべてのポートに暗黙に適用されます。MXシリーズルーターまたはEXシリーズスイッチがグローバルポートミラーリングインスタンスで設定されている場合、これらのポートミラーリングプロパティはすべてのポートに適用されます。レイヤー2ポートミラーリングのグローバルインスタンスの設定をご覧ください。
FPCレベルのポートミラーリングプロパティは、シャーシレベルのプロパティよりも優先されます。DPCまたはFPCがポートミラーリングの名前付きインスタンスにバインドされている場合、これらのポートミラーリングプロパティは、そのDPCまたはFPCに関連するすべてのポートに適用され、シャーシレベルでバインドされたポートミラーリングプロパティよりも優先されます。FPC レベルでグループ化されたポートへのレイヤー 2 ポート ミラーリングのバインディングをご覧ください。
PICレベルのポートミラーリングプロパティは、FPCレベルのプロパティを上書きします。パケット転送エンジンまたはPICがポートミラーリングの名前付きインスタンスにバインドされている場合、これらのポートミラーリングプロパティは、パケット転送エンジンまたはPICに関連するすべてのポートに適用され、FPCレベルでこれらのポートにバインドされたポートミラーリングプロパティを上書きします。PICレベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインディングをご覧ください。
FPC レベルでグループ化されたポートへのレイヤー 2 ポート ミラーリングのバインディング
MXシリーズルーターとEXシリーズスイッチでは、レイヤー2ポートミラーリングの名前付きインスタンスを、ルーター(またはスイッチ)シャーシ内の特定のDPCまたは特定のFPCにバインドできます。これは、ルーター(またはスイッチ)シャーシの FPCレベルで 、レイヤー2ポートミラーリングの名前付きインスタンスのバインディングと呼ばれます。名前付きインスタンスで指定されたポート ミラーリング プロパティは、指定された DPC または FPC のすべてのパケット転送エンジンに関連付けられているすべての物理ポートに適用されます。
また、レイヤー 2 ポート ミラーリングの名前付きインスタンスを、ルーター(またはスイッチ)シャーシの DPC または FPC 上の特定のパケット転送エンジンにバインドすることもできます。
レイヤ 2 ポート ミラーリングがサポートするすべてのパケットタイプ ファミリ
特定の DPC または FPC にバインドされたポートミラーリング プロパティは、グローバル レベルで設定されたポートミラーリング プロパティを上書きします。
特定のパケット転送エンジンにバインドされたポートミラーリングプロパティは、DPCまたはFPCレベルで設定されたポートミラーリングプロパティを上書きします。
レイヤー2ポートミラーリングの名前付きインスタンスは、ルーター(またはスイッチ)シャーシ内の同じポートグループに対して最大2つまで適用できます。2 つの異なるポートミラーリングインスタンスを同じ DPC または FPC に適用することで、2 つの異なるレイヤー 2 ポートミラーリング仕様を 1 つのポートグループにバインドできます。
開始する前に、以下のタスクを完了してください。
レイヤー2ポートミラーリングの名前付きインスタンスを定義します。レイヤー2ポートミラーリングの名前付きインスタンスの定義をご覧ください。
MX シリーズ ルーターと EX シリーズ スイッチの DPC または FPC の数と種類、それぞれのパケット転送エンジンの数、パケット転送エンジンごとのポートの数と種類に関する情報を表示します。
レイヤー2ポートミラーリングの名前付きインスタンスを、DPCまたはFPCとそのパケット転送エンジンにバインドするには、以下を行います。
PICレベルでグループ化されたポートへのレイヤー2ポートミラーリングのバインディング
MXシリーズルーターとEXシリーズスイッチでは、レイヤー2ポートミラーリングの名前付きインスタンスを、特定のパケット転送エンジンに関連付けられたポート(DPC上)または特定のPICに関連付けられたポート(FPCにインストール済み)にバインドできます。これは、ルーター(またはスイッチ)シャーシの PICレベルで 、レイヤー2ポートミラーリングの名前付きインスタンスのバインディングと呼ばれます。名前付きインスタンスで指定されたポートミラーリングプロパティは、指定されたパケット転送エンジンに関連するすべての物理ポートに適用されます。
また、レイヤー 2 ポート ミラーリングの名前付きインスタンスを、ルーター(またはスイッチ)シャーシ内の特定の DPC または FPC にバインドすることもできます。
レイヤー 2 ポート ミラーリングでサポートされているパケット タイプ ファミリーの場合:
特定のパケット転送エンジンにバインドされたポートミラーリングプロパティは、DPCまたはFPCレベルで設定されたポートミラーリングプロパティを上書きします。
特定の DPC または FPC にバインドされたポートミラーリング プロパティは、グローバル レベルで設定されたポートミラーリング プロパティを上書きします。
レイヤー2ポートミラーリングの名前付きインスタンスは、ルーター(またはスイッチ)シャーシ内の同じポートグループに対して最大2つまで適用できます。2 つの異なるポートミラーリングインスタンスを同じパケット転送エンジンまたは PIC に適用することで、2 つの異なるレイヤー 2 ポートミラーリング仕様を単一のポートグループにバインドできます。
MX960ルーターでは、パケット転送エンジンとイーサネットポートが1対1でマッピングされています。したがって、MX960ルーターでのみ、レイヤー2ポートミラーリングの名前付きインスタンスを、そのポートに関連付けられたパケット転送エンジンにバインドすることで、そのインスタンスを 特定のポート にバインドできます。
開始する前に、以下のタスクを完了してください。
レイヤー2ポートミラーリングの名前付きインスタンスを定義します。レイヤー2ポートミラーリングの名前付きインスタンスの定義をご覧ください。
MX シリーズ ルーターまたは EX シリーズ スイッチ内の DPC の数と種類、各 DPC のパケット転送エンジンの数、パケット転送エンジンごとのポートの数と種類に関する情報を表示します。
レイヤー2ポートミラーリングの名前付きインスタンスをパケット転送エンジンにバインドするには:
例:シャーシの複数レベルでのレイヤー2ポートミラーリング
MXシリーズルーターまたはEXシリーズスイッチでは、シャーシのFPCまたはDPCレベル、あるいはシャーシのPICレベルで、レイヤー2ポートミラーリングの名前付きインスタンスを適用できます。ただし、シャーシ全体に設定(および暗黙的に適用)できるのは、レイヤー2ポートミラーリングのグローバルインスタンス1つだけです。
FPCレベルでのレイヤー2ポートミラーリング
このMXシリーズルーターまたはEXシリーズスイッチシャーシの構成例では、レイヤー2ポートミラーリング(pm1)の名前付きインスタンスが、FPCレベルでグループ化された物理ポートにバインドされています。
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
}
}
これは完全な構成ではありません。スロット2のFPCまたはDPCに関連する物理インターフェイスは、 [edit interfaces] 階層レベルで設定する必要があります。レイヤー 2 ポート ミラーリングの名前付きインスタンス pm1 は、 [edit forwarding-options port-mirroring instance] 階層レベルで設定する必要があります。
PICレベルでのレイヤー2ポートミラーリング
このMXシリーズルーターまたはEXシリーズスイッチシャーシの設定例では、レイヤー2ポートミラーリング(pm2)の名前付きインスタンスが、PICレベルでグループ化された物理ポートにバインドされています。
[edit]
chassis {
fpc 2 {
pic 0 {
port-mirror-instance pm2;
}
}
}
これは完全な構成ではありません。スロット2のFPCまたはDPCに関連する物理インターフェイスは、 [edit interfaces] 階層レベルで設定する必要があります。レイヤー 2 ポート ミラーリングの名前付きインスタンス pm2 は、 [edit forwarding-options port-mirroring instance] 階層レベルで設定する必要があります。
FPCおよびPICレベルでのレイヤー2ポートミラーリング
MX シリーズ ルーター シャーシまたは EX シリーズ スイッチのこの構成例では、レイヤー 2 ポート ミラーリング(pm1)の 1 つの名前付きインスタンスが、ルーター(またはスイッチ)シャーシの FPC レベルで適用されます。2 番目の名前付きインスタンス(pm2)が PIC レベルで適用されます。
[edit]
chassis {
fpc 2 {
port-mirror-instance pm1;
pic 0 {
port-mirror-instance pm2;
}
}
}
これは完全な構成ではありません。スロット 2 の FPC または DPC に関連する物理インターフェイス( pic 0 に関連する物理インターフェイスを含む)は、 [edit interfaces] 階層レベルで設定する必要があります。名前付きインスタンス pm1 および pm2 をミラーリングするレイヤー 2 ポートは、 [edit forwarding-options port-mirroring instance] 階層レベルで設定する必要があります。
GREインターフェイスを介したレイヤー2ポートミラーリングの設定
ポート ミラーリングとは、分析のためにパケットのコピーを外部のホスト アドレスまたはパケット アナライザに送信するルーターの機能です。ポートミラーリング用の1つのアプリケーションが、仮想トンネルに重複パケットを送信します。ネクストホップグループは、この重複パケットのコピーを複数のインターフェイスに転送するように設定できます。Junos OSは、GREインターフェイスを介したリモートコレクタへのレイヤー2ポートミラーリングをサポートしています。
GRE インターフェイス上でレイヤー 2 ポートミラーリングを設定するには、次の手順を実行します。
関連項目
例:GRE インターフェイスを介したレイヤー 2 ポート ミラーリングの設定
この例では、分析用に GRE インターフェイス上でレイヤー 2 ポート ミラーリングを設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MXシリーズルーター1台
すべてのデバイスでJunos OS Release 16.1以降が作動していること
概要
ポート ミラーリングとは、分析のためにパケットのコピーを外部のホスト アドレスまたはパケット アナライザに送信するルーターの機能です。ポートミラーリング用の1つのアプリケーションが、仮想トンネルに重複パケットを送信します。ネクストホップグループは、この重複パケットのコピーを複数のインターフェイスに転送するように設定できます。Junos OS リリース 16.1 以降では、GRE インターフェイスを介したリモート コレクタへのレイヤー 2 ポート ミラーリングがサポートされています。
トポロジー
図 1 は、GRE インターフェイス上で設定されたポート ミラーリングを示しています。インターフェイスgr-4/0/0は、ファミリーブリッジとして設定されます。ファイアウォール ファミリー ブリッジ フィルター f1 は、ポートミラーとして設定されます。ミラー宛先は gr-4/0/0 として設定されます。ファイアウォール ファミリー ブリッジ フィルター f1 は、xe-3/2/5.0 インターフェイスのイングレスとエグレスで適用され、宛先 gr-4/0/0 にパケットをミラーリングします。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
R0
set chassis fpc4 pic0 tunnel-services bandwidth 10g set chassis network-services enhanced-ip set interfaces xe-3/2/5 flexible-vlan-tagging set interfaces xe-3/2/5 encapsulation flexible-ethernet-services set interfaces xe-3/2/5 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/5 unit 0 vlan-id 100 set interfaces xe-3/2/5 unit 0 family bridge filter input f1 set interfaces xe-3/2/5 unit 0 family bridge filter output f1 set interfaces xe-3/2/9 flexible-vlan-tagging set interfaces xe-3/2/9 encapsulation flexible-ethernet-services set interfaces xe-3/2/9 unit 0 encapsulation vlan-bridge set interfaces xe-3/2/9 unit 0 vlan-id 100 set interfaces gr-4/0/0 unit 0 tunnel source 10.1.1.1 set interfaces gr-4/0/0 unit 0 tunnel destination 10.1.1.2 set interfaces gr-4/0/0 unit 0 family bridge interface-mode trunk set interfaces gr-4/0/0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring input rate 1 set forwarding-options family vpls output interface gr-4/0/0.0 set firewall family bridge filter f1 term t then count c set firewall family bridge filter f1 term t then port-mirror set bridge-domains b vlan-id 100 set bridge-domains b interface xe-3/2/5.0 set bridge-domains b interface xe-3/2/9.0
R0の設定
ステップバイステップでの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 Junos OS CLIユーザーガイドの「Using the CLI Editor in Configuration Mode」を参照してください。
Device R0を設定するには:
シャーシのフレキシブルPICコンセントレータパラメータを設定します。
[edit chassis] user@R0# set fpc4 pic0 tunnel-services bandwidth 10g user@R0# set network-services enhanced-ip
シャーシの拡張 IP ネットワーク サービスを設定します。
[edit chassis] user@R0# set network-services enhanced-ip
インターフェイスを設定します。
[edit interfaces] user@R0# set xe-3/2/5 flexible-vlan-tagging user@R0# set xe-3/2/5 encapsulation flexible-ethernet-services user@R0# set xe-3/2/5 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/5 unit 0 vlan-id 100 user@R0# set xe-3/2/5 unit 0 family bridge filter input f1 user@R0# set xe-3/2/5 unit 0 family bridge filter output f1 user@R0# set xe-3/2/9 flexible-vlan-tagging user@R0# set xe-3/2/9 encapsulation flexible-ethernet-services user@R0# set xe-3/2/9 unit 0 encapsulation vlan-bridge user@R0# set xe-3/2/9 unit 0 vlan-id 100 user@R0# set gr-4/0/0 unit 0 tunnel source 10.1.1.1 user@R0# set gr-4/0/0 unit 0 tunnel destination 10.1.1.2 user@R0# set gr-4/0/0 unit 0 family bridge interface-mode trunk user@R0# set gr-4/0/0 unit 0 family bridge vlan-id 100
サンプリングする入力パケットのレートを設定します。
[edit forwarding-options] user@R0# set port-mirroring input rate 1
ミラーリングするパケットのVPLSアドレスファミリーの出力インターフェイスを設定します。
[edit forwarding-options] user@R0# set family vpls output interface gr-4/0/0.0
ファイアウォールフィルターのプロトコルファミリーBRIDGEを設定します。
[edit firewall] user@R0# set family bridge filter f1 term t then count c user@R0# set family bridge filter f1 term t then port-mirror
ブリッジ ドメインのVLAN IDを設定します。
[edit bridge-domains] user@R0# set b vlan-id 100 user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
ブリッジ ドメインのインターフェイスを設定します。
[edit bridge-domains] user@R0# set b interface xe-3/2/5.0 user@R0# set b interface xe-3/2/9.0
結果
コンフィギュレーションモードから、 show firewall、show bridge-domains 、show chassisおよびshow forwarding-optionsとshow interfacesコマンドを入力して、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@R0# show chassis
fpc 4 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
network-services enhanced-ip;
user@R0# show interfaces
}
xe-3/2/5 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
family bridge {
filter {
input f1;
output f1;
}
}
}
}
xe-3/2/9 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit 0 {
encapsulation vlan-bridge;
vlan-id 100;
}
}
gr-4/0/0 {
unit 0 {
tunnel {
source 10.1.1.1;
destination 10.1.1.2;
}
family bridge {
interface-mode trunk;
vlan-id 100;
}
}
}
user@R0# show forwarding-options
port-mirroring {
input {
rate 1;
}
family vpls {
output {
interface gr-4/0/0.0;
}
}
}
user@R0# show firewall
family bridge {
filter f1 {
term t {
then {
count c;
port-mirror;
}
}
}
}
user@R0# show bridge-domains
b {
vlan-id 100;
interface xe-3/2/5.0;
interface xe-3/2/9.0;
}
検証
設定が正常に機能していることを確認します。
トラフィックのポートミラーリングの検証
目的
トラフィック情報のポートミラーリングを表示します。
アクション
デバイスR0では、運用モードから show forwarding-options port-mirroring コマンドを実行して、トラフィック情報のポートミラーリングを表示します。
user@R0> show forwarding-options port-mirroring
Instance Name: & globalinstance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0
Instance Name: pm_instance
Instance Id: 2
Input parameters:
Rate : 10
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
vpls up gr-4/0/0.0 意味
トラフィック情報のポートミラーリングが出力されます。