ポート ミラーリング ファイアウォール フィルタの定義
リリース 14.2 以降では、インターネット プロセッサー II の ASIC(アプリケーション固有集積回路)または T シリーズ インターネット プロセッサを含むルーター上で、IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたは分析用のパケット アナライザに送信できます。これは ポート ミラーリングと呼ばれます。
ポート ミラーリングはトラフィックのサンプリングとは異なります。トラフィック サンプリングでは、IPv4 ヘッダーに基づくサンプリング キーがルーティング エンジンに送信されます。ファイルに鍵を配置することも、鍵に基づいて cflowd パケットを cflowd サーバーに送信することもできます。ポート ミラーリングでは、パケット全体がコピーされ、ネクスト ホップ インターフェイスを介して送信されます。
サンプリングとポート ミラーリングの同時使用を設定し、ポート ミラーリング パケットに対して独立したサンプリング レートとラン長を設定できます。ただし、サンプリングとポート ミラーリングの両方でパケットが選択されている場合は、1 つのアクションのみが実行され、ポート ミラーリングが優先されます。たとえば、インターフェイスに対するすべてのパケット入力をサンプリングするようにインターフェイスを設定し、フィルタで別のインターフェイスにポート ミラーリングするパケットも選択した場合、ポート ミラーリングのみが有効になります。明示的なフィルター ポート ミラーリング基準に一致しないその他のすべてのパケットは、最終宛先に転送されたときに引き続きサンプリングされます。
ファイアウォール フィルターは、ルーターをネットワーク宛先またはルーティング エンジンに向かう過度のトラフィックからルーターを保護する手段を提供します。ローカル パケットを制御するファイアウォール フィルターは、外部インシデントからルーターを保護することもできます。
ファイアウォール フィルターを設定して、次の操作を実行できます。
送信元、プロトコル、アプリケーションに基づいてルーティング エンジン宛てのトラフィックを制限します。
フラッド攻撃やサービス拒否(DoS)攻撃から保護するために、ルーティング エンジン宛てのパケットのトラフィック レートを制限します。
ルーティング エンジン宛てのフラグメント化されたパケットに関連した特殊な状況に対処します。デバイスはすべてのパケットをファイアウォール フィルタ(フラグメントを含む)に対して評価するため、パケット ヘッダー情報を含まないフラグメントに対応するようにフィルタを設定する必要があります。それ以外の場合、フィルターはフラグメント化されたパケットの最初のフラグメントを除くすべてを破棄します。
ファイアウォール フィルターの一般的な設定(レイヤー 3 環境を含む)の詳細については、「ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」の「ステートレス ファイアウォール フィルターの概要」と「標準ファイアウォール フィルターによるパケットの評価方法」を参照してください。
ポート ミラーリング アクションを使用してファイアウォール フィルタを定義するには、次の手順に準拠します。