Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:PTXルーターでのローカルポートミラーリングの設定

この例では、Junos Evolvedが稼働するPTXプラットフォームでローカルポートミラーリングを構成および検証する方法を示します。PTXプラットフォームには、PTX10004、PTX10008、PTX10016シャーシにPTX10001-36MR、LC1201、LC1202が含まれます

始める前に

ハードウェア要件とソフトウェア要件

Junos OS Evolvedリリース22.2R1.12-EVO以降。

PTX10001-36MR

サポートされているプラットフォームと Junos OS バージョンの完全なリストについては、 機能エクスプローラーを参照してください。

推定読書時間

15分。

推定構成時間

30分

ビジネスへの影響

この設定例を使用して、ローカル ポート ミラーリング機能を設定します。ポートミラーは、デバッグやセキュリティ関連のタスクに不可欠なツールです。ミラートラフィックは、さまざまなツールでオフラインで分析し、プロトコルの相互作用を確認したり、異常を検出したりできます。

もっと知る

ポートミラーリングの詳細については、ポートミラーリングとアナライザを参照してください

詳細情報

ラーニングポータル

機能概要

表1 は、この例で導入されたプロトコルと技術の概要を示しています。

表 1: ローカル ポート ミラーリングの機能概要

ルーティングおよびシグナリングプロトコル

OSPF および OSPF3

すべてのルーターは、OSPFとOSPF3をIGPとして実行します。すべてのルーターは、エリア 0(バックボーン エリアとも呼ばれる)に属します。OSPF/OSPF3ルーティングドメインは、トポロジー内のすべてのネットワークとインターフェイスに内部到達可能性を提供します。

この例では、CEデバイスとPE/Pデバイスは、同じIGPルーティングドメインの一部です。その結果、コアを介してCEトラフィックを伝送するためにPEデバイス間にトンネルは必要ありません。また、これはローカルミラーのユースケースであるため、ミラーリングされたトラフィックを監視ステーションに送信する際に、GREカプセル化は必要ありません。

ルーティングプロトコル

IPv4 および IPv6

すべてのデバイスは、IPv4 と IPv6 の両方のルーティングをサポートするように構成されています。

アナライザ(監視ステーション)

CentosとWireshark

このアナライザーは、WiresharkのGUIバージョンでCentos 7.xを実行します。

トポロジの概要

この例では、R3デバイスはポートミラーリングが設定されている被試験デバイス(DUT)として機能します。デバイスは、ファイアウォールフィルターを使用してCEデバイスに関連するIPアドレスを照合し、ポートミラーアクションをトリガーします。イングレス フィルターとエグレス フィルターを組み合わせて採用し、CE デバイス(R1 と R5)間を流れる要求トラフィックと応答トラフィックの両方をミラーリングします。

パケット サンプリングを呼び出すファイアウォール フィルターは、R3 デバイス上の 1 つ以上のトランジット インターフェイスに適用されます。

表 2: ローカル ポート ミラーリング トポロジの概要
デバイス名

役割

関数
Ce サンプリングが正しく動作することを確認するためにテストトラフィックを送信するCE(カスタマーエッジ)デバイス。 これらの装置は CE 装置として指定されます。ほとんどの場合、CEデバイスはVPNサービスの一部です。ここでは、CEにプロバイダーデバイスと同じOSPFエリア0を共有して、メインインスタンスのIP接続を提供します。
Pe CE に接続する PE(プロバイダ エッジ)デバイス。 プロバイダーネットワークのエッジにあるデバイス。当社のPEはOSPFのみを実行します。BGPとVPNは導入されていません。
P プロバイダー(P)コア ルーター。 ここでは、P ルーターでのポート ミラーリングのデモを行います。必要に応じて、任意のプロバイダーデバイスでポートミラーリングを設定できます。
アナライザー アナライザ デバイスは、保存と分析のためにミラー トラフィックを受信しました。 アナライザーの詳細は、このドキュメントの範囲外です。利用可能なオープンソースおよび商用オプションがいくつかあります。私たちのアナライザーは、WiresharkのGUIOバージョンをサポートするGnomeデスクトップでCentos 7.xを実行しています。

トポロジーの図

図1:ローカルポートミラーリング

R3 の設定手順

CLIのナビゲーションについては、 設定モードでのCLIエディタの使用を参照してください

メモ:

すべてのデバイスでの完全な設定については、「付録 2: すべてのデバイスでコマンドを設定する」を参照してください。

このセクションでは、DUT(この例ではPデバイス(R3))の設定に必要な主な設定タスクについて説明します。サンプリングに使用される詳細を除き、すべてのデバイスには、メイン インスタンスの IPv6 および IPv4 接続をサポートする同様のベースライン構成があります。

  1. IPv4 および IPv6 ルーティング ベースラインを構成します。これには、IPv4 と IPv6 の両方のループバック インターフェイスとコア フェーシング インターフェイスの番号付けが含まれます。また、OSPF および OSPFv3 ルーティング プロトコルを定義して、すべてのネットワーク インターフェイス間の到達可能性を提供します。

    パッシブIGPインスタンスは、アナライザに接続されたインターフェイス用にプロビジョニングされます。これにより、インターフェイス上で hello パケットを生成することなく、診断目的の到達可能性を提供します。OSPF 隣接関係は、アナライザ デバイスに想定されていないか、必要ではありません

    メモ:ローカルミラーのユースケースでは、IP接続はアナライザとポートミラーリングを実行するデバイス間でのみ必要です。この例では、アナライザに接続されたインターフェイスでパッシブIGPを実行します。また、アナライザーにデフォルトルートを構成して、アナライザーと他のデバイス間のIP接続を提供します。これにより、アナライザと他のすべてのデバイス間の接続をテストできます。トポロジーで実行に移ります。

    この機能は、サンプリング デバイスとアナライザ間のレイヤー 3 到達可能性を必要とするリモート ポート ミラーの場合に最も役立ちます。

  2. サンプリングレートを設定します。レート1を使用して、一致するすべてのパケットを選択してサンプリングします。デフォルトの run-length 0は、一致するすべてのトラフィックがすでにサンプリングされている場合にそのまま残されます。ミラーリングされたトラフィックの送信先のエグレスインターフェイスとネクストホップアドレスも指定する必要があります。このローカルポートミラーの例では、指定されたインターフェイスとネクストホップアドレスがDUTに直接接続されていることに注意してください。その結果、ミラーリングされたトラフィックをアナライザに送信するときにトンネルは不要になり、使用されません。
    メモ:

    この構成では、MACアドレス解決のためにDUTから送信されたARPおよびND要求にアナライザが応答することを前提としています。そうでない場合、または ARP トラフィックをパケット キャプチャの一部にしたくない場合は、スタティック ARP エントリを設定する必要があります。DUTに接続されているアナライザデバイスのインターフェイスに正しいMACアドレスを指定してください。

  3. IPv4 パケットで照合する ファイアウォール フィルターを定義し、IPv4 パケットをミラーリングします。フィルターのアクションは、ポートミラーアクションを指定することに注意してください。このアクションにより、一致するトラフィックが、以前に設定したポートミラーリングインスタンスに送信されます。CE1 と CE2 の送信元アドレスと宛先アドレスにそれぞれ 1 つずつ、合計 2 つのフィルターが定義されています。フィルターには、適切な動作の確認を支援するカウント機能が含まれています。

    Junosファイアウォールフィルターのデフォルトdeny-allアクションを上書きする最後のaccept-all用語を見落とさないでください。

  4. IPv6 パケットを照合してミラーリングするファイアウォールフィルターを定義します。

  5. IPv4およびIPv6フィルターを目的のインターフェイスに適用します。この例では、両方のフィルターをet-0/0/0インターフェイスに適用します。フィルター アプリケーションの方向性に注意してください。CEトラフィックフロー(IPv4またはIPv6)ごとに、1つのフィルターをingressとして適用し、もう1つのフィルターをegressとして適用します。この適用方法は、アドレスの割り当てとトラフィックの方向性を考慮して、フィルターが書き込まれる方法と互換性があります。

検証

  1. OSPF および OSPF3 ネイバーを確認し、すべてのループバック アドレスにルートします。

  2. R3のポートミラーリングインスタンスを確認します。ポートミラーリングの状態が up ミラーリングインターフェイスの状態であることを確認します。IPv4 ファミリと IPv6 ファミリの両方の状態を必ず確認してください up 。ここで、DUTとアナライザ間のIP接続を確認することをお勧めします。私たちのセットアップでは、ネットワークのすべてのポイントからのpingテストを許可するために、アナライザにデフォルトルートが設定されています。技術的には、DUT(R3)がアナライザに到達できていればよいのはローカルポートミラーリングの例です。

  3. R3 のファイアウォール カウンターとインターフェイス統計情報をクリアします。次に、CEデバイス間でIPv4およびIPv6のテストトラフィックを生成し、R3にファイアウォールカウンターを表示します。R3に適用されたフィルターがテストトラフィックを正しく反映していることを確認します。

  4. R3のファイアウォールカウンターを表示します。R3に適用されたフィルターが、生成したテストトラフィックを正しく反映しているかどうかを確認します。

  5. アナライザに接続されているR3のet-0/0/2.0インターフェイスのインターフェイス統計情報を表示します。目的は、生成されたテスト トラフィックと相関する出力トラフィック カウンターを確認することです。IPv4 と IPv6 の両方で 10 回の ping を実行し、要求と応答の両方をミラーリングすると、約 40 個の出力パケットが表示されることが予想されます。

  6. tcpdumpまたは任意の分析アプリケーションを監視ステーションで実行し、ミラーリングされたテストトラフィックの受信と処理を確認します。キャプチャのサイズを小さく保つために、IPv4 と IPv6 ごとに 2 つの ping リクエストのみで新しいテスト トラフィックを生成しました。キャプチャとデコードにより、ファイアウォールフィルターのマッチングに基づいて、IPv4とIPv6のポートミラーリングが期待通りに動作していることを確認します。要求トラフィックと応答トラフィックの両方が表示されることに注意してください。

    また、キャプチャでは、レイヤー3トラフィックのみがミラーリングされていることに注意してください。示されているレイヤー2カプセル化は、ミラーリングされたトラフィックをアナライザに転送する際に、DUT(R3)によって生成されます。元のレイヤー 2 フレームを保持する必要がある場合は、イーサネット スイッチングや VXLAN などのレイヤー 2 サービスのポート ミラーリングを設定できます。

付録:すべてのデバイスでコマンドを設定する

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

R1(CE)

R2(PE)

R3(DUT)

R4(PE)

R5(CE)