Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、ポートミラーリングのサポート

ジュニパーは、MACフィルタリング、ストーム制御、ポートミラーリングをサポートし、Ethernet VPN-Virtual Extensible LAN(EVPN-VXLAN)オーバーレイネットワークで分析します。

これらの各機能は、インターフェイス設定にエンタープライズスタイルを使用してサポートされます。

また、これらの機能は、いくつかの制限のあるインターフェイス設定にサービスプロバイダ(SP)スタイルを使用してサポートしています。

  • SPスタイルのインターフェイス設定を使用して、入力方向のファイアウォールフィルターによるポートミラーリングをサポートしていますが、出力方向ではサポートしていません。

  • ストーム制御は、SPスタイルの物理インターフェイス構成の単一の論理インターフェイスでのみサポートされています。SPスタイルの設定では、複数の論理インターフェイスにストーム制御を設定することはできません。

    • ハードウェアの制限により、論理インターフェイスに適用されるストーム制御は、基盤となる物理インターフェイスにも適用されます。

    • ストーム制御が設定された論理インターフェイスはストームをログに記録しますが、物理インターフェイス上の任意の論理インターフェイスはストーム制御をトリガーできます。

これらの機能は、EVPN-VXLANエッジルーテッドブリッジング(ERB)オーバーレイでのみサポートされます。これは、コラプストIPファブリックを備えたEVPN-VXLANトポロジーとも呼ばれます。このオーバーレイネットワークには、以下のコンポーネントが含まれています。

  • ジュニパーネットワークスのスイッチ(QFX10002、QFX5120、QFX5110スイッチなど)の単一レイヤー。各スイッチは、それぞれがレイヤー3スパインデバイスとレイヤー2リーフデバイスの両方として機能します。

  • スパインリーフデバイスに対してアクティブ/アクティブモードでシングルホームまたはマルチホームされているカスタマーエッジ(CE)デバイス。

手記:

一部のプラットフォームでは、EVPN-VXLANによるローカルとリモートの両方のポートミラーリングをサポートしています。

  • local:パケットは同じデバイス上の宛先にミラーリングされます。

  • remote:パケットはリモート デバイス上の宛先にミラーリングされます。

EVPN-VXLAN でリモート ポート ミラーリングを使用する場合は、 VXLAN カプセル化によるリモート ポート ミラーリングの [機能エクスプローラー] ページで、サポートされているプラットフォームとリリースを確認してください。

EVPN-VXLANを使用したローカルまたはリモートポートミラーリングの詳細については、 ポートミラーリングとアナライザ を参照してください。

このトピックでは、次の情報を提供します。

EVPN-VXLAN環境におけるMACフィルタリング、ストーム制御、ポートミラーリングサポートのメリット

  • MAC フィルタリングを使用すると、イングレス CE に接続するインターフェイスからのパケットをフィルタリングして受け入れることができます。これにより、イーサネット スイッチング テーブル内の関連付けられた MAC アドレスと VXLAN 内のトラフィックの量が削減されます。

  • ストーム制御を使用すると、EVPN-VXLANインターフェイスのトラフィックレベルを監視し、指定されたトラフィックレベルを超えた場合に、ブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)パケットをドロップし、一部のジュニパーネットワークススイッチでは、指定した時間インターフェイスを無効にできます。この機能により、過剰なトラフィックによるネットワークの低下を防ぐことができます。

  • ポートミラーリングとアナライザを使用すると、EVPN-VXLAN環境でパケットレベルまでトラフィックを分析できます。この機能を使用して、ネットワーク使用とファイル共有に関連するポリシーを適用し、特定のステーションまたはアプリケーションによる異常または重い帯域幅使用を特定して問題の原因を特定できます。

MAC フィルタリング

MAC フィルタリングを使用すると、MAC アドレスをフィルタリングしてトラフィックを受け入れることができます。この機能は、イングレス CE に接続するインターフェイス(通常は VXLAN カプセル化が有効になっていないインターフェイス)でのみサポートされています。この機能を使用するには、次の操作を行う必要があります。

  • 表 1 および表 2 でサポートされている一致条件を 1 つ以上指定するファイアウォール フィルターを作成します。

  • [edit interfaces interface-name unit logical-unit-number family ethernet-switching filter]階層で設定されたレイヤー2インターフェイスにファイアウォールフィルターを適用します。

表1:QFX5100スイッチとQFX5110スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元MACアドレス

X

X

宛先MACアドレス

X

X

ユーザー VLAN ID

X

X

送信元ポート

X

宛先ポート

X

イーサタイプ

X

IP プロトコル

X

IP 優先順位

X

ICMP コード

X

TCP フラグ

X

IPアドレス

X

手記:

Junos OS Release 18.4R1では、QFX5100スイッチとQFX5110スイッチはインターフェイス上でのみMACフィルタリングをサポートします。また、Junos OS リリース 18.4R2 以降のリリースでは、QFX5100、QFX5110、QFX5120-48Y、EX4650-48Y スイッチも、VXLAN にマッピングされた VLAN での MAC フィルタリングをサポートしています。Junos OSリリース22.2には、QFX10002、QFX10008、およびQFX10016デバイス上の純粋なIPv6アンダーレイに対するMacフィルタリングとトランジットVNIマッチングのサポートが含まれています。
表 2: QFX10000 スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元MACアドレス

X

宛先MACアドレス

X

ユーザー VLAN ID

送信元ポート

X

X

宛先ポート

X

X

イーサタイプ

X

X

IP プロトコル

X

IP 優先順位

X

X

ICMP コード

X

X

TCP フラグ

X

X

IPアドレス

X

X
手記:

QFX10000スイッチでMACフィルターを設定する際は、以下の点に注意してください。

  • フィルターはインターフェイスにのみ適用できます。VXLAN にマッピングされた VLAN にフィルターを適用することはできません。

  • 同じファイアウォールフィルター内でのレイヤー2の一致条件とレイヤー3/レイヤー4の一致条件の混在はサポートされていません。例えば、QFX10002スイッチ上の同じファイアウォールフィルターに送信元MACアドレスと送信元ポートの一致条件を含めると、ファイアウォールフィルターは機能しません。

  • ユーザーVLAN ID一致条件はサポートしていません。したがって、それぞれが特定のVLANにマッピングされている論理インターフェイスをフィルタリングする必要がある場合、物理インターフェイスおよび関連する論理インターフェイスを設定する際には、サービスプロバイダスタイルの設定を使用する必要があります。ファイアウォールフィルターを作成した後、ユーザーVLAN ID一致条件の効果を得るために、各論理インターフェイスにフィルターを適用する必要があります。

  • Junos OSリリース22.2では、QFX10002、QFX10008、およびQFX10016デバイス向けのレイヤー3インターフェイス上のトランジットトラフィックの送信元/宛先IP外部ヘッダーでのVXLANネットワークID(VNI)マッチングのサポートも実装されています。VNIの一致は、外部ヘッダーのみとイングレストラフィックでのみ行われます。トンネル パケットをルーティングするトランジット デバイスでは、MAC フィルタリングにより、外部ヘッダー内の VNI のマッチングと、外部ヘッダーの送信元と宛先の IPv6 アドレスを一致条件としてサポートする必要があります。<vxlan [vni <vni-id>]> コマンドからのset firewall family inet6 filter条件に対して、vxlan一致CLIオプションの下にあるVNI一致フィルターを使用します。統計情報を表示するには、show firewall filter コマンドを使用します。

ファイアウォール フィルターを介して、特定のインターフェイスで許可される VXLAN に関連付けられた MAC アドレスを指定します。

手記:

ファイアウォールフィルターをレイヤー2インターフェイスに適用すると、インターフェイスはデフォルトスイッチインスタンスの下に置かれます。

以下のQFX5110スイッチの構成例では、レイヤー2論理インターフェイスxe-0/0/6.0で複数の一致条件(送信元MACアドレス、宛先MACアドレス、宛先ポート、VLAN ID)を満たす着信トラフィックを受け入れてカウントするDHCP-Discover-Inという名前のファイアウォールフィルターを作成します。

ストーム制御

デフォルトでは、ストーム制御は、VXLAN に関連付けられたレイヤー 2 インターフェイスの QFX スイッチおよび EX スイッチで有効になっています。ストーム制御レベルは、結合された BUM トラフィック ストリームの 80% に設定されます。

手記:

EVPN-VXLANストーム制御は、ACXシリーズプラットフォームでは少し異なる動作をします。詳細については、 ACXシリーズルーターのストーム制御の概要を参照してください。

EVPN-VXLAN 環境では、ストーム制御は、次の点を除き、非 EVPN-VXLAN 環境の場合と同様に、VXLAN に関連付けられたレイヤー 2 インターフェイスに実装および設定されます。

  • EVPN-VXLAN 環境では、ストーム制御が監視するトラフィックタイプは次のとおりです。

    • VXLAN で発信され、同じ VXLAN 内のインターフェイスに転送されるレイヤー 2 BUM トラフィック。

    • VXLAN 内の統合型ルーティングおよびブリッジング(IRB)インターフェイスによって受信され、別の VXLAN 内のインターフェイスに転送されるレイヤー 3 マルチキャスト トラフィック。

  • ストーム制御プロファイルを作成したら、 [edit interfaces interface-name unit logical-unit-number family ethernet-switching] 階層でイングレスレイヤー2インターフェイスにバインドする必要があります。

    手記:

    プロファイルをレイヤー2インターフェイスにバインドすると、インターフェイスはデフォルトスイッチインスタンス内に存在します。

  • インターフェイス上のトラフィック ストリームが指定されたストーム制御レベルを超えた場合、ジュニパーネットワークス スイッチは、レート制限と呼ばれる余剰パケットをドロップします。さらに、EVPN-VXLAN環境のQFX10000スイッチは、[edit forwarding-options storm-control-profiles]階層レベルのaction-shutdown設定ステートメントと、[edit interfaces interface-name unit logical-unit-number family ethernet-switching]階層レベルのrecovery-timeout設定ステートメントを使用して、指定された時間の間、インターフェイスの無効化をサポートします。

    手記:

    EVPN-VXLAN環境のQFX5100スイッチおよびQFX5110スイッチは、指定された時間の間、インターフェイスの無効化をサポートしません。

    手記:

    QFX5110 スイッチでは、拡張ストーム制御とネイティブ アナライザをインターフェイスに設定し、ネイティブ アナライザに入力として VxLAN VLAN がある場合、そのインターフェイス上の VLAN に対してシャットダウン アクションは機能しません。レート制限は期待どおりに機能します。

次の構成では、scp という名前のプロファイルを作成します。これは、結合された BUM トラフィック ストリームで使用される帯域幅がレイヤー 2 論理インターフェイス et-0/0/23.0 で 5 % を超えた場合に、インターフェイスが超過した BUM トラフィックをドロップすることを指定します。

次の設定では、scp という名前のプロファイルを作成します。これは、マルチキャスト トラフィック ストリーム(ブロードキャストおよび不明なユニキャスト トラフィック ストリームを除く)が使用する帯域幅が、レイヤ 2 論理インターフェイス et-0/0/23.0 で 5 % を超えた場合に、インターフェイスが過剰なマルチキャスト トラフィックをドロップすることを指定します。

QFX10000スイッチの以下の設定では、前の設定と同じプロファイルが作成されます。ただし、次の構成では、トラフィック ストリームが 5 % を超えた場合にマルチキャスト トラフィックを暗黙的にドロップするのではなく、インターフェイスを明示的に 120 秒間無効にしてから、インターフェイスを再び起動させます。

ポートミラーリングとアナライザー

EVPN-VXLAN環境でトラフィックを分析するために、次のポートミラーリングとアナライザ機能がサポートされています。

  • ローカル ミラーリング

    • インターフェイス上

    • VXLAN の場合

  • リモート ミラーリング

    • インターフェイス上

    • VXLAN の場合

次のセクションでは、サポートされている機能の詳細を提供し、サンプル構成を含めます。

ローカル ミラーリング

手記:

ローカル ミラーリングは、SPAN(スイッチド ポート アナライザ)に相当します。
表 3: ローカル ミラーリングのサポート

ローカル ミラーリングが適用されるエンティティ

トラフィックの方向

フィルターベースのサポート

アナライザベースのサポート

CE向けインターフェイス

イングレス

サポート。

「ユースケース 1: サンプル構成」を参照してください。

サポート。

「ユースケース 2: サンプル構成」を参照してください。

CE向けインターフェイス

出口

サポートされていません。

サポート;ただし、エグレスミラーリングされたトラフィックは、元のトラフィックのタグと異なる不正なVLANタグを伝送する可能性があります。

「ユースケース 3: サンプル設定」を参照してください。

IPファブリックに面したインターフェイス

イングレス

サポート。

サポート。

「ユースケース 4: サンプル構成」を参照してください。

IPファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定はイングレス時に行われるため、レイヤー 2 ヘッダーは交換パケットやルーティングされたパケットとは異なります。ミラーリングされた VXLAN カプセル化パケットには、VXLAN ヘッダーは含まれません。

「ユースケース 5: サンプル構成」を参照してください。

VXLAN にマッピングされた VLAN

イングレス

サポート。

CE向けのインターフェイスから入るトラフィックに対してのみサポートされます。

「ユースケース 6: サンプル構成」を参照してください。

ローカル ミラーリングの設定

Use Case 1: Firewall filter-based

この構成では、pm1という名前のポートミラーリングインスタンスとファイアウォールフィルターを使用して、論理インターフェイスxe-0/0/8.0を介してVXLAN100に入るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされ、次にポートミラーリングインスタンスpm1にミラーリングされることを指定します。

Use Case 2: Analyzer-based

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 に入るレイヤー 2 トラフィックが論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 3: Analyzer-based

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 から出るレイヤー 2 トラフィックが論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 4: Analyzer-based

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 に入るレイヤー 2 トラフィックが論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 5: Analyzer-based

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 から出るレイヤー 2 トラフィックが、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされることを指定します。

Use Case 6: Analyzer-based

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、VXLAN100という名前の VLAN に入り、論理インターフェイス xe-0/0/6.0 上のアナライザにミラーリングされるレイヤー 2 トラフィックを指定します。

リモート ミラーリング

リモートポートミラーリングは、出力先が送信元と同じスイッチ上にない場合に使用されます。リモート ミラーリングは、ミラーリングされたトラフィックを 1 つ以上のリモート宛先ホストに配信します。データセンター環境でトラブルシューティングや監視のためによく使用されます。

EVPN-VXLAN環境では、送信元スイッチのミラーリングされたトラフィックフローはカプセル化され、アンダーレイIPファブリックを介して宛先ホストIPアドレスにトンネリングされます。次のタイプのカプセル化がサポートされています。

  • 一般的なルーティングカプセル化(GRE)は、ルーティングドメインで区切られたスイッチ間のトラフィックをカプセル化するために、リモートミラーリングで使用されます。EVPN-VXLANオーバーレイでは、GREカプセル化により、IPファブリック上のリーフデバイス間のミラーリングが可能になります。ミラーリングの宛先ホストが、送信元スイッチと同じファブリックの一部であるスイッチに接続されている場合は、GRE によるリモート ミラーリングを使用します。GREカプセル化を使用したリモートミラーリングは、カプセル化リモートSPAN(ERSPAN)に匹敵します。

    手記:

    ACX7100-32C および ACX7100-48L プラットフォームでは、ERSPAN バージョン 2(ERSPAN v2)が同等のバージョンの ERSPAN です。

  • VXLANカプセル化は、送信元と出力先が別々のVNIドメインにある場合、EVPN-VXLANのリモートミラーリングをサポートします。出力宛先インターフェイスのトラフィックをミラーリングし、VNIにマッピングするために、特定のVXLANを設定する必要があります。VXLANカプセル化によるリモートミラーリングは、リモートSPAN(RSPAN)に匹敵します。

表 4: リモート ミラーリングのサポート

リモート ミラーリングが適用されるエンティティ

トラフィックの方向

フィルターベースのサポート

アナライザベースのサポート

CE向けインターフェイス

イングレス

サポート。

ACX7100 ではサポートされていません。

サポート。「ユースケース 1: サンプル構成」を参照してください。

ACX7100 でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれます。

CE向けインターフェイス

出口

サポートされていません。

サポート。「ユースケース 2: サンプル構成」を参照してください。

ACX7100 でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれます。

IPファブリックに面したインターフェイス

イングレス

サポート。

ACX7100 ではサポートされていません。

サポート。「ユースケース 3: サンプル設定」を参照してください。

ACX7100 でサポートされています。ただし、ミラーリングされた VXLAN カプセル化パケットには、VXLAN ヘッダーと GRE ヘッダーが含まれます。

IPファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定はイングレスで行われるため、レイヤー2ヘッダーはスイッチドパケットまたはルーティングパケットと同じにはなりません。「ユースケース 4: サンプル構成」を参照してください。

手記:

ミラーリングされたトラフィックには、ネイティブMACフレームに4094の偽のVLAN IDタグが含まれている場合があります。

ACX7100 でサポートされています。ただし、ミラーリングされたパケットには GRE ヘッダーが含まれますが、VXLAN ヘッダーは含まれません。

VXLAN にマッピングされた VLAN

イングレス

サポート。

ACX7100 ではサポートされていません。

CE向けインターフェイスに入るトラフィックに対してのみサポートされます。「ユースケース 5: サンプル構成」を参照してください。

ACX7100 ではサポートされていません。

GREカプセル化によるリモートミラーリングの設定

以下の設定例は、GRE カプセル化を使用したアナライザベースのリモート ミラーリング用です。

手記:

ACX7100でGREカプセル化を使用してリモートアナライザを設定する例については、 例:ESI-LAGインターフェイスでリモートアナライザインスタンスを有効にするを参照してください。

Use Case 1

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 に入るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 2

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 から出るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 3

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 に入るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 4

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/29.0 から出るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

Use Case 5

この構成では、[set forwarding-options]階層レベルで analyzer 設定ステートメントを使用することで、論理インターフェイス xe-0/0/8.0 にマッピングされた VXLAN100 に入るレイヤー 2 トラフィックが、IP アドレスが 10.9.9.2 のリモート論理インターフェイスにミラーリングされることを指定します。

VXLANカプセル化によるリモートミラーリングの設定

どのプラットフォームがどのリリースでこの機能をサポートしているかを確認するには、 VXLAN カプセル化によるリモート ポート ミラーリングの機能エクスプローラー ページを参照してください。

アナライザベースの設定

以下の設定例は、VXLAN カプセル化を使用したアナライザベースのリモート ミラーリング用です。VLAN100に入るレイヤー2トラフィックは、VNI 1555にマッピングされるリモート出力先VLAN3555にミラーリングされます。

この設定では、宛先 VLAN 上のループバック インターフェイスを使用して、ミラーリングされたパケットをカプセル化します。

  • 宛先インターフェイス xe-0/0/2 は、ループバック インターフェイス xe-0/0/3 に外部接続されています。

  • 論理インターフェイス xe-0/0/2.0 と xe-0/0/3.0 は、宛先VLAN3555のメンバーです。
  • インターフェイスxe-0/0/2.0は、VNIマッピングのないエンタープライズスタイルで設定されますが、インターフェイスxe-0/0/3.0は、同じVLAN IDとVNIマッピングを使用してサービスプロバイダスタイルで設定されます。これは、これらのポート間のフラッディングまたはループを防ぐためです。
  • Mac ラーニングは xe-0/0/2.0 で無効にする必要があります。
手記:

イングレス インターフェイスはトランク モードで設定する必要があるため、カプセル化されたパケットにはタグが付けられます。タグ付きパケットのカプセル化を解除するには、カプセル化解除ノードで set protocols l2-learning decapsulate-accept-inner-vlan コマンドを設定します。

外部接続を使用する代わりに、論理ループバックインターフェイスを設定するには、次のコマンドを使用します。

set interfaces interface-name ether-options loopback

以下の設定例では、インターフェイス xe-0/0/2 で論理ループバックを使用しています。

ファイアウォール フィルターベースの設定

以下の構成では、ファイアウォールフィルター filter1 をインターフェイス xe-0/0/34 のイングレストラフィックに適用します。このインターフェイスのトラフィック入力は、宛先 VLAN3555にミラーリングされます。宛先 VLAN は、 pm1 という名前のポート ミラーリング インスタンスを使用して定義されます。

VNI一致条件を使用したリモートポートミラーリング

QFX10002、QFX10008、および QFX10016 シリーズ スイッチでは、リモート ポート ミラーリングのトラフィックをフィルタリングする際の一致条件として VXLAN のネットワーク識別子(VNI)値を使用できます。この機能は、ネットワーク計画やディープパケットインスペクション(DPI)などの分析によく使用されます。

リモートポートミラーリング機能は、ターゲットとなるイングレスパケットのコピーを作成します。パケットはIPv4の外部GREヘッダーにカプセル化された後、指定されたリモート宛先に転送されます。VNI 一致条件をサポートしているため、VNI に基づいてミラーリングするパケットを選択し、それらのフローのみがリモート ミラー ポートに送られるようにすることができます。また、差別化されたサービス コード ポイント(DSCP)値を設定して、高優先度やベストエフォート配信など、フローに優先順位を付けることもできます。IRB(統合型ルーティングおよびブリッジング)インターフェイスは、宛先ミラーポートとしてサポートされていません。

大まかに言うと、VNIに基づくリモートポートミラーリングの手順は、リモートポートミラーリングインスタンスを作成し、VNIを処理するためにファイアウォールフィルターファミリーでVNIをプロモートし、必要なフィルタールールとアクションを作成してから、イングレスインターフェイスにファイアウォールポリシーを適用することです。ミラーリングされたパケットの送信に使用するインターフェイスにも、GRE トンネリングが設定されている必要があります。

Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration

以下のコードサンプルは、VNIに従ってパケットをミラーリングするために必要な主要なJunos CLI設定を示しています。

  1. リモート ポート ミラーリングを有効にし、ミラーリングされたパケットの送信先となるトラフィックの送信元と宛先も設定します。
  2. ファイアウォールフィルター(ここでは bf_vni_stという名前)を作成し、このフィルターのVNIをパケット転送モジュールに昇格させます(つまり、このコマンドはフィルター全体がVNI一致条件を最適化するように設定します)。
  3. VNI一致条件(このサンプルでは6030)とアクション(このサンプルではカウント)を指定するイングレスファイアウォールフィルター(bf_vni_st)を作成します。
  4. ミラーリングしたいインターフェイスのイングレストラフィックにフィルターを適用します。

関連ドキュメント