Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポート ミラーリング ファイアウォール フィルタの定義

リリース 14.2 以降では、インターネット プロセッサー II の ASIC(アプリケーション固有集積回路)または T シリーズ インターネット プロセッサを含むルーター上で、IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは分析用のパケット アナライザに送信できます。これは ポート ミラーリングと呼ばれます。

ポート ミラーリングはトラフィックのサンプリングとは異なります。トラフィック サンプリングでは、IPv4 ヘッダーに基づくサンプリング キーがルーティング エンジンに送信されます。ファイルに鍵を配置することも、鍵に基づいて cflowd パケットを cflowd サーバーに送信することもできます。ポート ミラーリングでは、パケット全体がコピーされ、ネクスト ホップ インターフェイスを介して送信されます。

サンプリングとポート ミラーリングの同時使用を設定し、ポート ミラーリング パケットに対して独立したサンプリング レートとラン長を設定できます。ただし、サンプリングとポート ミラーリングの両方でパケットが選択されている場合は、1 つのアクションのみが実行され、ポート ミラーリングが優先されます。たとえば、インターフェイスに対するすべてのパケット入力をサンプリングするようにインターフェイスを設定し、フィルタで別のインターフェイスにポート ミラーリングするパケットも選択した場合、ポート ミラーリングのみが有効になります。明示的なフィルター ポート ミラーリング基準に一致しないその他のすべてのパケットは、最終宛先に転送されたときに引き続きサンプリングされます。

ファイアウォール フィルターは、ルーターをネットワーク宛先またはルーティング エンジンに向かう過度のトラフィックからルーターを保護する手段を提供します。ローカル パケットを制御するファイアウォール フィルターは、外部インシデントからルーターを保護することもできます。

ファイアウォール フィルターを設定して、次の操作を実行できます。

  • 送信元、プロトコル、アプリケーションに基づいてルーティング エンジン宛てのトラフィックを制限します。

  • フラッド攻撃やサービス拒否(DoS)攻撃から保護するために、ルーティング エンジン宛てのパケットのトラフィック レートを制限します。

  • ルーティング エンジン宛てのフラグメント化されたパケットに関連した特殊な状況に対処します。デバイスはすべてのパケットをファイアウォール フィルタ(フラグメントを含む)に対して評価するため、パケット ヘッダー情報を含まないフラグメントに対応するようにフィルタを設定する必要があります。それ以外の場合、フィルターはフラグメント化されたパケットの最初のフラグメントを除くすべてを破棄します。

ファイアウォール フィルターの一般的な設定(レイヤー 3 環境を含む)の詳細については、「ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」の「ステートレス ファイアウォール フィルターの概要」と「標準ファイアウォール フィルターによるパケットの評価方法」を参照してください。

ポート ミラーリング アクションを使用してファイアウォール フィルタを定義するには、次の手順に準拠します。

  1. ステートメントを階層レベルに含めて、ポート ミラーリング用の filter トラフィックを [edit firewall family (inet | inet6)] 準備します。

    階層レベルの [edit firewall family (inet | inet6)] このフィルタは、ポートミラーリングするトラフィックを選択します。

  2. ファイアウォール フィルターの設定を有効にします。

    オプションのfamily値は、 または inet6を指定inetできます。

  3. ファイアウォール フィルタ filter-nameの設定を有効にします。
  4. ファイアウォール フィルタ条件 filter-term-nameの設定を有効にします。
  5. サンプリングされたパケットのサブセットをミラーリングするルート 送信元アドレスに基づいて、ファイアウォール フィルタの照合条件を指定します。
  6. の設定を action 有効にし action-modifier 、一致するパケットに適用します。
  7. 一致するパケットに対して実行するアクションを指定します。

    の推奨値 actionaccept です。アクションを指定しない場合、またはステートメント全体を then 省略すると、ステートメント内の from 条件に一致するすべてのパケットが受け入れられます。

  8. ポートミラーを action-modifier.

    フィルター アクションが行われる port-mirrorと、パケットはローカルまたはリモート監視用のローカル インターフェイスにコピーされます。

  9. ファイアウォール フィルターの最小構成を検証します。
リリース履歴テーブル
リリース
説明
14.2
リリース 14.2 以降では、インターネット プロセッサー II の ASIC(アプリケーション固有集積回路)または T シリーズ インターネット プロセッサを含むルーター上で、IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは分析用のパケット アナライザに送信できます。