ポートミラーリングの設定
ポートミラーリング とは、分析のためにIPv4またはIPv6パケットのコピーを外部ホストアドレスまたはパケットアナライザに送信するルーターの機能です。
ポートミラーリングをサポートするサポートされているプラットフォームとJunosリリースの最新リストについては、 機能エクスプローラー を参照してください。
このトピック「ポートミラーリングの設定」では、MXシリーズおよびPTXシリーズルーターとEX9200スイッチのポートミラーリングについて説明します。具体的な設定の違いについては、これらの個々のプラットフォームでのポートミラーリングに関連する例をご覧ください。例 :PTXルーターでのリモートポートミラーリングの設定および例:M、MX、およびT Seriesルーターでネクストホップグループを使用したマルチポートミラーリングを設定します。
ポートミラーリングは、トラフィックサンプリングとは異なります。トラフィックサンプリングでは、パケットヘッダーに基づくサンプリング鍵がルーティングエンジンに送信されます。そこで、キーをファイルに配置するか、キーに基づくcflowdパケットをcflowdサーバーに送信できます。ポートミラーリングでは、パケット全体がコピーされ、ネクストホップインターフェイスを介して送信されます。
このドキュメントでは、サンプル パケットではなくミラー パケットという用語を使用します。ポートミラーリングは、サンプリングの一種です。
ポートミラーリングのアプリケーションのうち、1つが重複したパケットを仮想トンネルに送信します。その後、ネクストホップグループを設定して、この重複パケットのコピーを複数のインターフェイスに転送できます。ネクストホップグループの詳細については、 ポートミラーリングで使用されるパケットを転送するために複数のインターフェイスを使用するためのネクストホップグループの設定を参照してください。
すべてのMXシリーズ5Gユニバーサルルーティングプラットフォームは、IPv4またはIPv6のポートミラーリングをサポートしています。
VPLSトラフィックのポートミラーリングは、MXシリーズルーターでサポートされています。
ポートミラーリングは、MXシリーズルーターのレイヤー2トラフィックでサポートされています。レイヤー2トラフィックのポートミラーリングの設定方法については、 『ネットワーク管理と監視ガイド』を参照してください。
MXシリーズルーターのMPCでは、IP-MPLSトンネルを介して送信されるMPLSパケットに対応するポートミラートラフィックにGREおよびMPLSヘッダー情報は含まれていません。
第1世代ラインカード(LC1101、LC1102、LC1104、LC1105)を搭載したPTX1K、PTX10002、PTX5K、PTX3K、PTX10Kプラットフォームは、egressポートミラーリングをサポートしていません。
ポートミラーリング設定ガイドライン
ポートミラーリングを設定する場合、以下の制限が適用されます。
-
トランジットデータのみがサポートされます。
-
ポートミラー出力インターフェイスのMTU値は、ミラーリングされたパケットを収容するのに十分な大きさである必要があります。
-
スタンドアロン トランク ポートは、MXシリーズ ルーターおよびEX9200スイッチのポートミラー出力インターフェイスとしてサポートされていません。トランクポートをミラー出力ポートとして使用したい場合は、ポートミラー出力としてブリッジドメイン(MX)またはVLAN(EX)を使用し、トランクポートをそれぞれのブリッジドメインまたはVLANに出力ポートとしてアタッチする必要があります。
-
MXシリーズルーターでは、IPv4とIPv6のポートミラーリングを同時に設定できます。
-
イングレスおよびエグレス方向のポートミラーリングは、リンクサービスIQ(lsq-)インターフェイスではサポートされていません。
-
マルチキャストパケットのイングレスフィルタリングは、MXシリーズルーターのすべての高密度ポートコンセントレータ(DPC)でサポートされています。マルチキャストパケットのエグレスフィルタリングは、MXシリーズルーターのMPC上のインターフェイスでサポートされています。宛先アドレスに基づくマルチキャストパケットのフィルタリングは、MXシリーズルーターのIチップASICベースDPCのインターフェイスではサポートされていません。
レイヤー3ポートミラーリング(
family inetおよびfamily inet6)の場合、ミラーリングされるトラフィックがマルチキャストの場合(つまり、パケットの宛先IPアドレスがマルチキャストアドレスの場合)、ミラーリングされたコピー内の宛先MACアドレスは、[edit forwarding-options port-mirroring family (inet | inet6) output]設定で指定されたユニキャストMACアドレスではなく、このマルチキャスト宛先IPアドレスに対応します。 -
デフォルトでは、ファイアウォールフィルターはポートミラーリング宛先インターフェイスに適用できません。ポートミラーリング宛先インターフェイスがファイアウォールフィルターをサポートできるようにするには、
no-filter-checkステートメントを使用してインターフェイスのフィルターチェックを無効にします。以下の階層レベルでno-filter-checkステートメントを含めることができます。-
[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output] -
[edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
-
-
インバウンドインターフェイスには、
acceptアクションとport-mirrorアクション修飾子の両方を含むファイアウォールフィルターを含める必要があります。 -
ポートミラーリング用に設定するインターフェイスは、いかなる種類のルーティングアクティビティにも参加してはなりません。
-
指定する宛先アドレスには、最終的なトラフィック宛先へのルートが含まれてはなりません。例えば、ミラーリングされたIPv4パケットの宛先アドレスが
192.68.9.10で、ポートミラーリングされたトラフィックが分析のために192.68.20.15に送信される場合、後者のアドレスに関連付けられたデバイスは192.68.9.10へのルートを認識していないはずです。また、ミラーリングされたパケットを送信元アドレスに送り返すべきではありません。 -
MXシリーズルーターは、ルーター1台につき複数のポートミラーリングインターフェイスをサポートします。
-
MXシリーズルーターには、複数のポートミラーリングインスタンスを設定できます。
-
同じ設定でホスト(cflowd)サンプリングとポートミラーリングの両方を指定できます。ルーティングエンジンサンプリングとポートミラーリングアクションを同時に実行できます。ただし、PICサンプリングとポートミラーリングアクションを同時に実行することはできません。
-
一般的なアプリケーションでは、ミラーリングされたパケットを、別のルーターではなく分析のためにアナライザまたはワークステーションに送信します。このトラフィックをネットワーク経由で送信する必要がある場合は、トンネルを使用する必要があります。
-
ポートミラーリングをサポートするPTXシリーズルーターでは、パケット長が設定された最大パケット長を超えると、IPv4パケットが破棄されます。
port-mirror-instanceまたはport-mirrorアクションで設定されたファイアウォールフィルターで、l2-mirrorアクションも設定されている場合は、ポートミラーリングインスタンスファミリーがanyする必要があります。l2-mirrorアクションがない場合、ポートミラーリングインスタンスファミリーはファイアウォールフィルターファミリーである必要があります。
次の例では、 port-mirroring instance pm1 はファイアウォールフィルターファミリーである inetであり、アクション l2-mirror 存在しないためです。
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 encapsulation extended-vlan-bridge set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family inet output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then accept
次の例では、l2-mirrorアクションもアクションと共に存在するため、port-mirror-instanceport-mirroring instance pm1 familyanyです。
set chassis network-services enhanced-ip set interfaces xe-0/0/0:0 unit 0 family bridge interface-mode access set interfaces xe-0/0/0:0 unit 0 family bridge vlan-id 100 set forwarding-options port-mirroring instance pm1 input rate 1 set forwarding-options port-mirroring instance pm1 family any output interface xe-0/0/0:0.0 set firewall family inet filter f1 term t1 from source-address 10.1.1.1/32 set firewall family inet filter f1 term t1 from source-address 10.1.1.2/32 set firewall family inet filter f1 term t1 then count t1 set firewall family inet filter f1 term t1 then port-mirror-instance pm1 set firewall family inet filter f1 term t1 then l2-mirror set firewall family inet filter f1 term t1 then accept
ポートミラーリングの設定
ポートミラーリングを設定するには、[edit forwarding-options]階層レベルでport-mirroringステートメントを含めます。
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
ポートミラーリングアドレスファミリーとインターフェイスの設定
ポートミラーリングを設定するには、 port-mirroring ステートメントを含めます。ミラーリングするトラフィックのアドレスファミリータイプを設定するには、 family ステートメントを含めます。ミラーリングされたパケットのサンプリングレート、サンプリングの長さ、最大サイズを設定するには、 input ステートメントを含めます。重複したパケットを送信するインターフェイスと、パケットを送信するネクストホップアドレスを指定するには、 output ステートメントを含めます。指定されたインターフェイスにフィルターがあるかどうかを判断するには、 no-filter-check ステートメントを含めます。
rateおよびrun-lengthステートメントについては、トラフィックサンプリングの設定を参照してください。
トラフィックを一度だけミラーリングするようにMXシリーズルーターを構成する
MXシリーズルーターでは、ポートミラーリングを設定して、ルーターがトラフィックを1回だけミラーリングするようにすることができます。イングレスインターフェイスとエグレスインターフェイスの両方でポートミラーリングを設定すると、同じパケットを2回ミラーリングできます。パケットを 1 回だけミラーリングし、ルーターが重複したミラーリング パケットを同じミラーリング宛先に送信しないようにするには、[edit forwarding-options port-mirroring] 階層レベルに mirror-once ステートメントを含めます。
[edit forwarding-options port-mirroring] mirror-once;
mirror-onceステートメントは、グローバルポートミラーリングインスタンスでのみサポートされます。
ポートミラーリングインスタンスの設定
インスタンスを使用すると、同じPFEから異なる宛先にパケットをミラーリングしたり、インスタンスごとに異なるサンプリングパラメーターを使用できます。
MXシリーズルーターには、複数のポートミラーリングインスタンスを設定できます。複数のポートミラーリングインスタンスを設定する方法については、 『ネットワーク管理と監視ガイド』を参照してください。
ポートミラーリングインスタンスを設定するには、[edit forwarding-options port-mirroring]階層レベルでinstance port-mirroring-instanceステートメントを含めます。
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
MXシリーズルーターでポートミラーリングインスタンスをFPCまたはPICに関連付ける
ポートミラーリングインスタンスは、FPCまたはPICに関連付ける必要があります。ポートミラーリングインスタンスを特定のFPCまたはMXシリーズルーターの特定のPICに関連付けることができます。ポートミラーリングインスタンスをFPCまたはPICに「関連付ける」ことは、インスタンスをFPCまたはPICに「バインディング」することとも呼ばれます。
PICレベルのインスタンスはFPCレベルのインスタンスを上書きし、FPCレベルのインスタンスはグローバルインスタンスを上書きします。
サポートされているインスタンス数は次のとおりです。
- MX DPCでは、最大2つのインスタンスをPICにバインド(関連付け)できます。FPCごとに4つのPICを持つことができるため、各FPCは8つのインスタンスをサポートします。
- MX MPCでは、最大2つのインスタンスがサポートされており、
[edit chassis]設定階層の下のFPCレベルでのみバインドできます。
ポートミラーリングインスタンスとFPCの関連付けを確認するには、configuration-modeコマンド show chassis fpc fpc-numberを発行します。
ポートミラーリングインスタンスをMXシリーズルーター上のFPCまたはPICに関連付けるには、[edit chassis fpc slot-number]階層レベルでport-mirror-instance port-mirroring-instance-nameステートメントを含める必要があります(PICでバインディングを設定するには、fpcをpicに置き換えます)。
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
この [edit chassis] 設定を グローバル ポートミラーリング設定に含める必要はありません。
slot-numberには、ポートミラーリングインスタンスに関連付けるFPCまたはPICのスロット番号を指定します。port-mirroring-instance-nameの場合は、[edit forwarding-options port-mirroring]階層レベルで設定したポートミラーリングインスタンスの名前を指定します。
プラットフォーム固有の動作
機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。
お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい:
| プラットフォーム |
違い |
|---|---|
| PTXシリーズルーター |
インターフェイスのフィルター チェックを無効にする |