ポートミラーリングの設定
ポート ミラーリング とは、分析のために IPv4 または IPv6 パケットのコピーを外部のホスト アドレスまたはパケット アナライザに送信するルーターの機能のことです。ポート ミラーリングは、トラフィック サンプリングとは異なります。トラフィック サンプリングでは、パケット ヘッダーに基づくサンプリング キーがルーティング エンジンに送信されます。そこで、キーをファイルに配置するか、キーに基づくcflowdパケットをcflowdサーバーに送信することができます。ポートミラーリングでは、パケット全体がコピーされ、ネクストホップインターフェイスを介して送信されます。
ポートミラーリング用の1つのアプリケーションが、仮想トンネルに重複パケットを送信します。ネクストホップグループは、この重複パケットのコピーを複数のインターフェイスに転送するように設定できます。ネクストホップグループの詳細については、 ポートミラーリングで使用されるパケットを転送するために複数のインターフェイスを使用するためのネクストホップグループの設定を参照してください。
すべてのMシリーズマルチサービスエッジルーター、Tシリーズコアルーター、MXシリーズ5Gユニバーサルルーティングプラットフォームは、IPv4またはIPv6のポートミラーリングをサポートしています。M120、M320、MXシリーズルーターは、IPv4とIPv6のポートミラーリングを同時にサポートしています。
VPLSトラフィックのポートミラーリングは、拡張CFEB(CFEB-E)で設定されたM7iおよびM10iルーター、M120ルーター、拡張IIIフレキシブルPICコンセントレータ(FPC)で設定されたM320ルーター、およびMXシリーズルーターでサポートされています。
Junos OS Release 9.3以降では、MXシリーズルーター上のレイヤー2トラフィックに対してポートミラーリングがサポートされています。レイヤー2トラフィックのポートミラーリングを設定する方法については、 ルーティングデバイス用Junos OSレイヤー2スイッチングおよびブリッジングライブラリを参照してください。
Junos OS Release 9.6以降では、Enhanced III FPCで設定されたM120ルーターおよびM320ルーター上のレイヤー2 VPNトラフィックに対してポートミラーリングがサポートされています。ミラーリングするパケットの最大長を設定することもできます。設定すると、ミラーリングされたパケットは指定された長さに切り捨てられます。
M SeriesおよびMXシリーズルーター上のMPCでは、IP-GREトンネルを介して送信されたMPLSパケットに対応するポートミラーリングされたトラフィックにGREおよびMPLSヘッダー情報は含まれません。
第1世代ラインカード(LC1101、LC1102、LC1104、LC1105)を搭載したPTX1K、PTX10002、PTX5K、PTX3K、PTX10Kプラットフォームは、エグレスポートミラーリングをサポートしていません。
ポートミラーリングをサポートするサポートされているプラットフォームとJunosリリースの最新リストについては、 機能エクスプローラー を参照してください。
ポートミラーリングの設定ガイドライン
ポートミラーリングを設定する場合、以下の制限が適用されます。
トランジット データのみがサポートされます。
Mシリーズルーターでは、IPv4またはIPv6ポートミラーリングのいずれかを設定できますが、両方を設定することはできません。ただし、M120およびM320ルーターではIPv4とIPv6のポートミラーリングを同時にサポートしています。
IPv4とIPv6のポートミラーリングは、M120およびM320ルーターとMXシリーズルーターで同時に設定できます。
イングレスおよびエグレス方向のポート ミラーリングは、リンク サービス IQ(lsq-)インターフェイスではサポートされていません。
マルチキャストパケットのイングレスフィルタリングは、MXシリーズルーターのすべての高密度ポートコンセントレータ(DPC)でサポートされています。マルチキャストパケットのエグレスフィルタリングは、MXシリーズルーターのMPC上のインターフェイスでのみサポートされています。宛先アドレスに基づくマルチキャストパケットのフィルタリングは、M SeriesルーターまたはT Seriesルーターではサポートされておらず、MXシリーズルーターのIチップASICベースDPCのインターフェイスでもサポートされていません。
レイヤー 3 ポート ミラーリング(
family inetfamily inet6および)では、ミラーリングされるトラフィックがマルチキャストの場合(つまり、パケットの宛先 IP アドレスがマルチキャスト アドレスの場合)、ミラーリングされたコピー内の宛先 MAC アドレスは、構成で指定された[edit forwarding-options port-mirroring family (inet | inet6) output]ユニキャスト MAC アドレスではなく、このマルチキャスト宛先 IP アドレスに対応します。デフォルトでは、ファイアウォールフィルターはポートミラーリングの宛先インターフェイスに適用できません。ポートミラーリングの宛先インターフェイスがファイアウォールフィルターをサポートできるようにするには、 ステートメントを使用して
no-filter-checkインターフェイスのフィルターチェックを無効にします。以下のno-filter-check階層レベルに ステートメントを含めることができます。[edit forwarding-options port-mirroring family (inet | inet6 | ccc | vpls) output][edit forwarding-options port-mirroring instance instance-name family (inet | ccc | vpls) output]
受信インターフェイスには、 accept アクションと port-mirror アクション修飾子の両方を持つファイアウォール フィルターを含める必要があります。
ポートミラーリング用に設定したインターフェイスは、いかなる種類のルーティングアクティビティにも参加しないでください。
指定する宛先アドレスには、最終的なトラフィック宛先へのルートがあってはなりません。例えば、サンプリングされたIPv4パケットの宛先アドレスが 192.68.9.10 で、ポートミラーリングされたトラフィックが分析のために 192.68.20.15 に送信される場合、後者のアドレスに関連付けられたデバイスは 192.68.9.10へのルートを知るべきではありません。また、サンプル化されたパケットを送信元アドレスに送り返してはなりません。
MX シリーズ ルーターを除くすべてのルーターで、1 台のルーターにつき 1 つのポートミラーリング インターフェイスのみを設定できます。ステートメントに
port-mirroring複数のインターフェイスを含めると、前のインターフェイスが上書きされます。MXシリーズルーターは、1台のルーターにつき複数のポートミラーリングインターフェイスをサポートします。M120、M320、およびMXシリーズルーターには、複数のポートミラーリングインスタンスを設定できます。
同じ設定で、ホスト(cflowd)サンプリングとポートミラーリングの両方を指定できます。リサンプリングとポートミラーリングのアクションを同時に実行できます。ただし、PICサンプリングとポートミラーリングのアクションを同時に実行することはできません。
一般的なアプリケーションでは、サンプリングされたパケットを、別のルーターではなく、分析のためにアナライザまたはワークステーションに送信します。このトラフィックをネットワーク経由で送信する必要がある場合は、トンネルを使用してください。
ポートミラーリングの設定
ポートミラーリングを設定するには、 階層レベルで ステートメントを含め port-mirroring ます [edit forwarding-options] 。
[edit forwarding-options] port-mirroring { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } input { maximum-packet-length bytes; rate number; run-length number; } } }
ポートミラーリング アドレス ファミリーとインターフェイスの設定
ポートミラーリングを設定するには、 ステートメントを含め port-mirroring ます。サンプルするトラフィックのアドレスファミリータイプを設定するには、 ステートメントを含めます family 。ミラーリングされたパケットのサンプリングレート、サンプリングの長さ、最大サイズを設定するには、 ステートメントを使用します input 。重複パケットを送信するインターフェイスと、パケットを送信するネクストホップアドレスを指定するには、 ステートメントを含め output ます。指定されたインターフェイスにフィルターがあるかどうかを確認するには、 ステートメントを含め no-filter-check ます。
レートとrun-lengthステートメントの詳細については、 トラフィックサンプリングの設定を参照してください。
複数のポートミラーリングインスタンスの設定
Junos OS リリース 9.5 以降では、M120、M320、および MX シリーズ ルーターで複数のポートミラーリング インスタンスを設定できます。M120ルーターでは、各インスタンスを特定の転送エンジンボード(FEB)に関連付けることができます。ポートミラーリングインスタンスを、バックアップFEBとして設定されたFEBに関連付けることはできません。M320ルーターでは、各インスタンスを特定のFPC(フレキシブルPICコンセントレータ)に関連付けることができます。ポートミラーリングインスタンスをFPCまたはFEBに関連付けることで、パケットを別の宛先にミラーリングできます。MX シリーズルーターでは、複数のポートミラーリングインスタンスもサポートされています。MX シリーズ ルーターで複数のポートミラーリング インスタンスを設定する方法については、 ルーティング デバイス用 Junos OS レイヤー 2 スイッチングおよびブリッジング ライブラリを参照してください。
MX80 および MX104 ルーターでは、ポートミラーリング インスタンスは常に FPC 0 に関連付ける必要があります。ポートミラーリング インスタンスを FPC 1 または FPC 2 に関連付けると、基盤となるアーキテクチャが原因で一貫性のない動作が生じる可能性があるためです。
ポートミラーリングインスタンスを設定するには、 階層レベルで ステートメント[edit forwarding-options port-mirroring]を含めinstance port-mirroring-instanceます。
[edit forwarding-options port-mirroring] instance port-mirroring-instance-name { family (ccc | inet | inet6 | vpls) { output { interface interface-name { next-hop address; } no-filter-check; } } input { maximum-packet-length bytes; rate number; run-length number; } }
- ポートミラーリングインスタンスの設定
- M320ルーターでのポートミラーリングインスタンスの関連付け
- M120ルーターでのポートミラーリングインスタンスの関連付け
- MXシリーズ5GユニバーサルルーティングプラットフォームとM120ルーターをトラフィックを一度だけミラーリングするように設定する
ポートミラーリングインスタンスの設定
複数のポートミラーリングインスタンスを設定できます。設定するインスタンスごとに固有の port-mirroring-instance-name ものを指定します。
M320ルーターでのポートミラーリングインスタンスの関連付け
ポートミラーリングインスタンスは、M320ルーター上の特定のFPCまたはM120ルーター上の特定のFEBに関連付けることができます。M320ルーターの各FPCまたはM120ルーターの各FEBに関連付けることができるポートミラーリングインスタンスは1つだけです。M120ルーターでは、ポートミラーリングインスタンスをバックアップFEBとして設定されたFEBに関連付けることはできません。
ポートミラーリングインスタンスをM320ルーター上のFPCに関連付けるには、 階層レベルで ステートメント[edit chassis fpc slot-number]を含めport-mirror-instance port-mirroring-instance-nameます。
[edit chassis]
fpc slot-number {
port-mirror-instance port-mirroring-instance-name;
}
には slot-number、ポートミラーリングインスタンスに関連付けたいFPCのスロット番号を指定します。には port-mirroring-instance-name、 階層レベルで設定した [edit forwarding-options port-mirroring] ポートミラーリングインスタンスの名前を指定します。M320ルーターでのFPC設定の詳細については、 ルーティングデバイス用Junos OS運用管理ライブラリを参照してください。
M120ルーターでのポートミラーリングインスタンスの関連付け
ポートミラーリングインスタンスをM120ルーター上のFEBに関連付けるには、 階層レベルで ステートメント[edit chassis feb slot-number]を含めport-mirror-instance port-mirroring-instance-nameます。
[edit chassis]
feb slot-number {
port-mirror-instance port-mirroring-instance-name;
}
には slot-number、ポートミラーリングインスタンスに関連付けたいFEBのスロット番号を指定します。には port-mirroring-instance-name、 階層レベルで設定した [edit forwarding-options port-mirroring] ポートミラーリングインスタンスの名前を指定します。M120ルーターでのFEB冗長性の設定については、 Junos OS高可用性ユーザーガイドを参照してください。M120ルーターでのFPCからFEBへの接続の設定については、 ルーティングデバイス用Junos OS運用管理ライブラリを参照してください。
MXシリーズ5GユニバーサルルーティングプラットフォームとM120ルーターをトラフィックを一度だけミラーリングするように設定する
MX シリーズと M120 ルーターのみで、ポート ミラーリングを設定して、ルーターがトラフィックを 1 回だけミラーリングするようにすることができます。イングレス インターフェイスとイグレス インターフェイスの両方にポート ミラーリングを設定すると、同じパケットが 2 回ミラーリングされる可能性があります。パケットを一度だけミラーリングし、ルーターが同じミラーリング先に重複したサンプル パケットを送信しないようにするには、 階層レベルに [edit forwarding-options port-mirroring] ステートメントを含めmirror-onceます。
[edit forwarding-options port-mirroring] mirror-once;
ステートメント mirror-once は、グローバル ポートミラーリング インスタンスでのみサポートされます。