Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

レイヤー3転送トラフィックのレイヤー2ヘッダーによるパケットミラーリングの設定

SUMMARY 選択的パケット ミラーリング フィルターは、非常に効果的なトラブルシューティング メカニズムとして機能し、パフォーマンス監視の目的にも使用できます。

レイヤー 3 転送トラフィックのレイヤー 2 ヘッダーを使用したパケット ミラーリングについて

このドキュメントでは、さまざまなIPv4またはIPv6フィルター一致条件を使用してトラフィックを選択し、パケット全体を元のレイヤー2ヘッダー情報でミラーリングする機能に焦点を当てています。

レイヤー2ヘッダー情報は、エッジルーター導入内の特定の顧客や、パブリックピアリングケース内の特定のインターネットピアを識別するために不可欠な場合があります。

レイヤー3転送トラフィック用のレイヤー2ヘッダーを使用したパケットミラーリングの機能

簡単に説明すると、 l2-mirror アクションが family inet フィルターまたは family inet6 フィルターで設定されている場合、元のレイヤー2パケットヘッダーをミラーリングできます。パケットは、GRE トンネルを使用してローカルまたはリモートでミラーリングできます。

ミラーリング設定の出力インターフェイスを GRE トンネルインターフェイスとして指定した場合、パケットは送信前に GRE にカプセル化されます。ポートミラーリングインスタンスは、複数の出力プロトコルファミリーで設定できます。

パケットレベルのミラーリング設定の制限

  • 新しいアクション l2-mirror は、 family inet フィルターと family inet6フィルターでのみサポートされます。

  • レイヤー 2 ミラーリングは、gr-*/*/* インターフェイスではサポートされません。

ポートミラーリングインスタンスまたはグローバルポートミラーリングでフィルターを設定する

l2-mirrorは、firewall family (inet | inet6) filter filter-name term then port-mirror(グローバルポートミラーリング)またはfirewall (inet | inet6) filter filter-name term then port-mirror-instance instance-name(ポートミラーリングインスタンス、または「PMインスタンス」)のいずれかで設定します。

ある条件に対して l2-mirror が設定されていることは、この条件に一致するパケットに対して、レイヤー 2 パケットがミラーリングされていることを示します。ソフトウェアは、 l2-mirror が設定されているが、グローバルレベルまたはインスタンスレベルのポートミラーリング設定で family any ポートミラーリング出力インターフェイスが設定されていない場合など、無効な設定がないかコミットチェックを行います。l2-mirror を無効にすると、ミラーリングの動作はレイヤー 3 ミラーリングに戻ります。

次の 2 つの例は、ポートミラーリング インスタンスとグローバル ポート ミラーリングを使用したフィルター(例ではフィルター名は f1)の構成を示しています。どちらの例でも、トラフィックは GRE トンネルを介してリモートの宛先にミラーリングされます。

注:

ポートミラーリング設定( forwarding-options)は family any で設定されますが、フィルタ設定の一致条件は family inet で実行されます。family any を使用すると、レイヤー 2 パケットのミラーリングが有効になります。
  1. ポートミラーリングインスタンスでフィルターを設定するには:
    注:

    ミラー宛先として gr- インターフェイスを指定できます。gr- インターフェイスの設定については、 ACX シリーズでの汎用ルーティング カプセル化トンネリングの設定 を参照してください(このドキュメントでは、ACX シリーズ ルーター専用に言及していますが、同じ情報は MX10003 を含む他のさまざまなルーターにも適用されます)。
  2. グローバルポートミラーリングでフィルターを設定するには:

FTI トンネルのミラーリングの設定

データ パスがフレキシブル トンネル インターフェイス(FTI)トンネルを通過する場合、出力パケットはトンネル カプセル化を使用して送信されます。元のパケットだけでなく、パケットが出るときにすべてのカプセル化を含むパケットをミラーリングする構成を設定することができます。

元のパケットをミラーリングするには、イングレスWANインターフェイスで入力ミラーリングを設定します。

すべてのカプセル化でパケットをミラーリングするには、エグレスWANインターフェイスで出力ミラーリングを有効にします。

FTI インターフェイスにインストールされているフィルタに基づいてミラーリングを有効にするには、次の 2 段階のプロセスを使用します。

  1. ミラーリングするパケットをマークするには、fti- インターフェイスでポリシー アクションを使用します。ポリシーアクションは、通常、エグレス書き換えルールを選択するために使用されますが、この場合、ポリシーアクションは、特別な書き換えルールを設定せずに、内部ポリシー属性で対象パケットをマークするために使用されます。
  2. エグレスWAN側の特定のポリシーに一致するパケットをソフトウェア傍受し、 l2-mirror アクションを開始します。パケットは、トンネル カプセル化を含むレイヤー 2 ヘッダー情報とともに報告されます。
注:

以下の例は、レイヤー 3 ポート ミラーリングを示しています。レイヤー2ポートミラーリングを取得するには、このドキュメントの前の例に示すように、 l2-mirror アクションを設定するだけです。
  1. class-of-service スタンザの下で policy-map policy-map-name を定義します。
  2. アクション policy-map pm1 を使用して FTI に出力フィルタを適用します。
  3. 以下の設定出力は、インターフェイス fti0.1001 での FTI 設定を示しています。(FTI トンネルの設定の詳細については、 フレキシブル トンネル インターフェイスの概要を参照してください)。
  4. エグレスWANインターフェイスに、一致したフィルター(ここでは mirror-allという名前)を追加します policy-map pm1 then port-mirror:

フィルターの接続ポイント

フィルターアタッチメントポイント インターフェイスタイプ ミラーリングされたパケットレイヤー2ヘッダー
インプット gr- および fti- 以外のすべてのイーサネット 着信パケットのレイヤー 2 ヘッダーが報告されます。
アウトプット gr- および fti- 以外のすべてのイーサネット 着信パケットのレイヤー 2 ヘッダーが報告されます。
入力または出力 GR-インターフェース 未対応
インプット FTIインターフェイス 元のパケットの受信レイヤー2ヘッダー(WANポートで見られたもの)
アウトプット FTIインターフェイス 元のパケットの受信レイヤー2ヘッダー(WANポートで見られたもの)
インプット IRB インターフェイス 元のパケットの受信レイヤー2ヘッダー(WANポートで見られたもの)
アウトプット IRB インターフェイス 未対応

パケットフィルタリング設定の強化に関する提案

フィルター ネットワーク テレメトリの設定を強化するための追加のプラクティスとして、次の点を考慮してください。

input-chain フィルターとoutput-chainフィルターを使用して、ミラーリングに使用するフィルター設定を既存のフィルターから分離できるため、トラブルシューティング中の不注意による設定エラーを回避できます。この機能の詳細については、 例: ファイアウォールフィルターチェーンの使用