リリース 14.2 以降、インターネット プロセッサー II 特定用途向け集積回路(ASIC)または T シリーズ インターネット プロセッサーを搭載したルーターでは、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたはパケット アナライザに送信できます。これは 、 ポートミラーリングと呼ばれています。
ポート ミラーリングは、トラフィック サンプリングとは異なります。トラフィックサンプリングでは、IPv4ヘッダーに基づくサンプリングキーがルーティングエンジンに送信されます。そこで、キーをファイルに配置するか、キーに基づくcflowdパケットをcflowdサーバーに送信することができます。ポートミラーリングでは、パケット全体がコピーされ、ネクストホップインターフェイスを介して送信されます。
サンプリングとポートミラーリングの同時使用を設定し、ポートミラーリングされたパケットに独立したサンプリングレートとランレングスを設定できます。ただし、サンプリングとポートミラーリングの両方にパケットが選択された場合、実行できるアクションは1つだけで、ポートミラーリングが優先されます。たとえば、インターフェイスに入力されるすべてのパケットをサンプリングするようにインターフェイスを設定し、フィルターが別のインターフェイスにポートミラーリングするパケットも選択した場合、ポートミラーリングのみが有効になります。明示的なフィルターポートミラーリング条件に一致しないその他のパケットはすべて、最終宛先に転送される際に引き続きサンプリングされます。
ファイアウォールフィルターは、ルーターを通過してネットワーク宛先に送信される、またはルーティングエンジン宛ての過剰なトラフィックからルーターを保護する手段を提供します。ローカルパケットを制御するファイアウォールフィルターは、外部のインシデントからルーターを保護することもできます。
ファイアウォールフィルターを設定して、以下を実行できます。
ルーティング エンジン宛てのトラフィックを、送信元、プロトコル、アプリケーションに基づいて制限します。
ルーティング エンジン宛てのパケットのトラフィック レートを制限して、フラッド攻撃やサービス拒否(DoS)攻撃から保護します。
ルーティング エンジン宛てのフラグメント パケットに関連する特殊な状況に対処します。デバイスはすべてのパケットをファイアウォールフィルター(フラグメントを含む)に対して評価するため、パケットヘッダー情報を含まないフラグメントに対応するようにフィルターを設定する必要があります。それ以外の場合、フィルターはフラグメント化されたパケットの最初のフラグメントを除くすべてを破棄します。
一般的なファイアウォールフィルター(レイヤー3環境を含む)の設定については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドの ステートレスファイアウォールフィルターの概要と 標準ファイアウォールフィルターがパケットを評価する方法を参照してください。
ポートミラーリングアクションでファイアウォールフィルターを定義するには:
- 階層レベルで ステートメントを含める
filter ことで、ポートミラーリング用のトラフィックを準備します [edit firewall family (inet | inet6)] 。
filter filter-name;
階層レベルのこのフィルターは、 [edit firewall family (inet | inet6)] ポートミラーリングするトラフィックを選択します。
filter filter-name {
term term-name {
then {
port-mirror;
accept;
}
}
}
- ファイアウォールフィルターの設定を有効にします。
[edit]
user@host# edit firewall family family
オプションinetの値は family または inet6です。
- ファイアウォールフィルター filter-nameの設定を有効にします。
[edit firewall family family]
user@host# edit filter filter-name
- ファイアウォールフィルター条件 filter-term-nameの設定を有効にします。
- ルート送信元アドレスに基づいてファイアウォールフィルターの一致条件を指定し、サンプル化されたパケットのサブセットをミラーリングします。
- および action-modifier の設定actionを有効にして、一致するパケットに適用します。
[edit firewall family family filter filter-name term filter-term-name]
user@host# edit then
- 一致するパケットに対して実行するアクションを指定します。
[edit firewall family family filter filter-name term filter-term-name then]
user@host# set action
の action 推奨値は accept です。アクションを指定しない場合、または ステートメントを完全に省略 then した場合、 ステートメントの条件 from に一致するすべてのパケットが受け入れられます。
- ポートミラーを action-modifierとして指定します。
フィルター アクション port-mirrorが の場合、パケットはローカルまたはリモート監視のためにローカル インターフェイスにコピーされます。
[edit firewall family family filter filter-name term filter-term-name then]
user@host# set port-mirror
- ファイアウォールフィルターの最小設定を確認します。
[edit firewall ... ]
user@host# top
[edit]
user@host# show firewall
family (inet | inet6) { # Type of packets to mirror
filter filter-name { # Firewall filter name
term filter-term-name {
from { # Do not specify match conditions based on route source address
}
then {
port-mirror;
accept;
}
}
}
}
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
14.2
リリース 14.2 以降、インターネット プロセッサー II 特定用途向け集積回路(ASIC)または T シリーズ インターネット プロセッサーを搭載したルーターでは、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたはパケット アナライザに送信できます。
