Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポート ミラーリング ファイアウォール フィルターの定義

リリース 14.2 から、ASIC(インターネット プロセッサー II アプリケーション固有集積回路)または T Series インターネット プロセッサーを含むルーター上で、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは パケット アナライザ に送信できます。これはポート ミラーリングと呼ばれる.

ポート ミラーリングはトラフィックのサンプリングとは異なります。トラフィックのサンプリングでは、IPv4 ヘッダーに基づくサンプリング キーがデバイスにルーティング エンジン。そこにはキーをファイルに配置したり、鍵に基づいてフローされたパケットをcflowdサーバーに送信することもできます。ポート ミラーリングでは、パケット全体がコピーされ、ネクスト ホップ インターフェイスを介して送信されます。

サンプリングとポート ミラーリングの同時使用を設定し、ポート ミラーリング パケットに対して個別のサンプリング レートとラン長を設定できます。ただし、サンプリングとポート ミラーリングの両方でパケットを選択した場合は、1 つのアクションしか実行できません。ポート ミラーリングが優先されます。たとえば、インターフェイスに対してすべてのパケット入力をサンプリングするインターフェイスを設定し、フィルタで別のインターフェイスへのポート ミラーリングを行うパケットも選択すると、ポート ミラーリングだけが有効になります。明示的なフィルター ポート ミラーリング条件に一致しない他のすべてのパケットは、最終的な宛先に転送するときに引き続きサンプリングされます。

ファイアウォール フィルターは、ルーターをネットワークの宛先またはネットワークの宛先に通過する過度のトラフィックからルーターを保護する手段ルーティング エンジン。ローカル パケットを制御するファイアウォール フィルターは、外部インシデントからルーターを保護することもできます。

ファイアウォール フィルタは、 以下を実行 するために設定できます。

  • 送信元、プロトコル、アプリケーションルーティング エンジンに基づいて、トラフィックを宛先とするトラフィックを制限します。

  • フラッド攻撃または攻撃(ルーティング エンジン)攻撃から保護するために送信されるパケットサービス拒否トラフィック レート DoSを制限します。

  • パケットを宛先とするフラグメント化されたパケットに関連付けられた特別な状況にルーティング エンジン。デバイスは、すべてのパケットをファイアウォール フィルター(フラグメントを含む)に対して評価するために、パケット ヘッダー情報を含しないフラグメントに対応するようにフィルタを設定する必要があります。そうしないと、フィルタはフラグメント化されたパケットの最初のフラグメント以外を破棄します。

一般的なファイアウォール フィルターの設定(レイヤー 3 環境を含む)の詳細については、「 ステートレス ファイアウォール フィルターの概要」および「 標準ファイアウォール フィルターがルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイドでパケットを評価する方法 」を参照してください。

ポート ミラーリング アクションでファイアウォール フィルタを定義するには、以下の方法に示します。

  1. ステートメントを階層レベルに含めて、ポート filter ミラーリングのトラフィックを [edit firewall family (inet | inet6)] 準備します。

    階層レベルのこの [edit firewall family (inet | inet6)] フィルタでは、ポート ミラーリングするトラフィックを選択します。

  2. ファイアウォール フィルターの構成を有効にします。

    オプションの値 family は、 または inet inet6 です。

  3. ファイアウォール フィルターの構成を有効にします filter-name
  4. ファイアウォール フィルタ条件の設定を有効にします filter-term-name

    ファイアウォール フィルタ条件の詳細については、「 Junos OS ルーティング ポリシー 、ファイアウォール フィルター、トラフィック ポリサー ルーティング デバイスのユーザー ガイド 」の「ファイアウォール フィルターを設定するためのガイドライン」を参照してください

  5. サンプル パケットのサブセットをミラーリングするルート ソースアドレスに基づいて、ファイアウォール フィルターの一致条件を指定します。

    ファイアウォール フィルターの一致条件の設定については、数字またはテキストのエイリアスに基づいたファイアウォール フィルターの一致条件 、 ビットフィールド値に基づいたファイアウォール フィルターの一致条件、 アドレス フィールドに基づいたファイアウォール フィルターの一致条件 、 Junos OSルーティング ポリシーのアドレス クラスに基づいたファイアウォール フィルターの一致条件 、 ルーティング デバイスのファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド を参照してください。

  6. の設定を有効 action にして action-modifier 、一致するパケットに適用します。
  7. 一致するパケットに対して実行するアクションを指定します。

    の推奨値は action 受け入 れです。アクションを指定しない場合、またはステートメントを完全に除外した場合は、ステートメントの条件に一致するパケットすべてが then from 受け入れされます。

  8. ポート ミラーリングを action-modifier .

    フィルター アクションが の場合 port-mirror 、パケットはローカルまたはリモート監視のためにローカル インターフェイスにコピーされます。

  9. ファイアウォール フィルターの最小構成を検証します。

関連ドキュメント

リリース履歴テーブル
リリース
説明
14.2
リリース 14.2 から、ASIC(インターネット プロセッサー II アプリケーション固有集積回路)または T Series インターネット プロセッサーを含むルーター上で、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは パケット アナライザ に送信できます。