ポート ミラーリング ファイアウォール フィルターの定義
リリース 14.2 から、ASIC(インターネット プロセッサー II アプリケーション固有集積回路)または T Series インターネット プロセッサーを含むルーター上で、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは パケット アナライザ に送信できます。これはポート ミラーリングと呼ばれる.
ポート ミラーリングはトラフィックのサンプリングとは異なります。トラフィックのサンプリングでは、IPv4 ヘッダーに基づくサンプリング キーがデバイスにルーティング エンジン。そこにはキーをファイルに配置したり、鍵に基づいてフローされたパケットをcflowdサーバーに送信することもできます。ポート ミラーリングでは、パケット全体がコピーされ、ネクスト ホップ インターフェイスを介して送信されます。
サンプリングとポート ミラーリングの同時使用を設定し、ポート ミラーリング パケットに対して個別のサンプリング レートとラン長を設定できます。ただし、サンプリングとポート ミラーリングの両方でパケットを選択した場合は、1 つのアクションしか実行できません。ポート ミラーリングが優先されます。たとえば、インターフェイスに対してすべてのパケット入力をサンプリングするインターフェイスを設定し、フィルタで別のインターフェイスへのポート ミラーリングを行うパケットも選択すると、ポート ミラーリングだけが有効になります。明示的なフィルター ポート ミラーリング条件に一致しない他のすべてのパケットは、最終的な宛先に転送するときに引き続きサンプリングされます。
ファイアウォール フィルターは、ルーターをネットワークの宛先またはネットワークの宛先に通過する過度のトラフィックからルーターを保護する手段ルーティング エンジン。ローカル パケットを制御するファイアウォール フィルターは、外部インシデントからルーターを保護することもできます。
ファイアウォール フィルタは、 以下を実行 するために設定できます。
送信元、プロトコル、アプリケーションルーティング エンジンに基づいて、トラフィックを宛先とするトラフィックを制限します。
フラッド攻撃または攻撃(ルーティング エンジン)攻撃から保護するために送信されるパケットサービス拒否トラフィック レート DoSを制限します。
パケットを宛先とするフラグメント化されたパケットに関連付けられた特別な状況にルーティング エンジン。デバイスは、すべてのパケットをファイアウォール フィルター(フラグメントを含む)に対して評価するために、パケット ヘッダー情報を含しないフラグメントに対応するようにフィルタを設定する必要があります。そうしないと、フィルタはフラグメント化されたパケットの最初のフラグメント以外を破棄します。
一般的なファイアウォール フィルターの設定(レイヤー 3 環境を含む)の詳細については、「 ステートレス ファイアウォール フィルターの概要」および「 標準ファイアウォール フィルターがルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイドでパケットを評価する方法 」を参照してください。
ポート ミラーリング アクションでファイアウォール フィルタを定義するには、以下の方法に示します。