1:スイッチ上の複数の宛先へのNポートミラーリング
SUMMARY このドキュメントで説明されているポートミラーリング機能を使用して、複数のレイヤー2宛先にトラフィックをミラーリングできます。
1:N ポートミラーリング—説明と設定ガイドライン
1:Nポートミラーリングとは
このドキュメントでは、 1:N ポート ミラーリング という用語は、複数の宛先にパケットをミラーリングできる機能を指します。"1" はミラーリングされるパケット送信元を表し、"N" はパケットの送信先の複数の宛先を表します。この機能は 、マルチパケット ミラーリングとも呼ばれます。
ポートミラーリングは、ネットワーク管理者がネットワークの問題をデバッグし、ネットワークへの攻撃をかわすのに役立ちます。ポート ミラーリングは、ハブとは異なり、宛先デバイス上のすべてのインターフェイスにパケットをブロードキャストしないルーターやスイッチなどのネットワーク デバイスのトラフィック分析に使用できます。ポートミラーリングは、すべてのパケットのコピーをローカルまたはリモートアナライザに送信し、そこでデータを監視および分析できます。
1:N ポート ミラーリングを使用して、トラフィックを複数のレイヤー 2 宛先にミラーリングします。この機能設定ではネクストホップ グループを使用します。
これらの複数の監視ポートは、異なる監視デバイスとの接続で設定します。
1:Nポートミラーリングの設定準備:ガイドラインと制限事項
1:N ポート ミラーリング機能は、次の 2 つの設定方法で設定できます。-
[edit forwarding-options port-mirroring instance]階層でのポートミラーリング(ファイアウォールフィルターベースの方法を使用) -
[edit forwarding-options analyzer]階層のネイティブアナライザ
上記の両方の方法を同じデバイスで設定できます。例については、「 設定結果の例 」を参照してください。
1:N ポート ミラーリングでは、以下のアドレスファミリーがサポートされています。
-
ethernet-switching -
inet -
inet6
機能を設定する際に留意する必要がある 制限事項 は次のとおりです。
-
ネクストホップ グループ メンバーは、レイヤー 3 ではなくレイヤー 2 のみにすることができます。
next-hop-group outputサポートは、ローカルポートミラーリングにのみ設定できます。つまり、リモートポートミラーリングやIPアドレスへのリモートポートミラーリング(GREカプセル化)には使用できません。-
最大 4 つのネクストホップ グループを設定でき、各ネクストホップ グループに最大 4 つのインターフェイスを追加できます。 複数の宛先にパケットを送信するには、少なくとも 2 つの宛先を定義する必要があります。ただし、ネクストホップ グループで定義できる宛先は 1 つだけです。
表 1 に、1:N ミラーリング トポロジーの構築に使用する 構成と階層の組み合わせ を示します。
| 設定方法 | 階層 |
|---|---|
|
ポート ミラーリング(フィルターベース) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ネイティブアナライザ |
|
|
|
|
|
|
|
|
|
設定タスクのサブセクションを読むか、結合されたタスクの結果を示す サンプル設定結果 にジャンプできます。
ポートミラーリングインスタンスの設定
ポートミラーリングインスタンスを設定するには、設定モード [edit]で以下のコマンドを入力します。
ネイティブアナライザを設定する
ネイティブアナライザを設定するには、設定モード [edit]で以下のコマンドを入力します。
- 入力イングレスインターフェイス analyzer-name 転送オプションアナライザの設定 interface-name
- 出力ネクストホップグループ analyzer-name 転送オプションアナライザの設定 next-hop-group-name
ネクストホップグループの設定
ネクストホップグループを設定するには、設定モード [edit]で次のコマンドを入力します。
group-type値を layer-2 として設定する必要があります。
ファイアウォールフィルターを設定する
ファイアウォールフィルターを設定するには、設定モード [edit]で以下のコマンドを入力します。
フィルターアクションとしてネクストホップグループを参照するファイアウォールフィルターを定義します。
ファイアウォールフィルターの一般的な設定については 、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
- ファイアウォールファミリーを設定しfamily-name条件term-namefilter-nameフィルタリングしてから、ポートミラーインスタンスを設定しますinstance-name
- ファイアウォールファミリーを設定し family-name ソースポートからの filter-name 条件 term-name フィルタリングを設定します port-number
インターフェイスの設定
インターフェイスを設定するには、設定モード [edit]で次のコマンドを入力します。
- ユニットlogical-unit-numberファミリーinterface-nameインターフェイスを設定します family-name インターフェイスモードmode
- ユニットlogical-unit-numberファミリーinterface-nameインターフェイスを設定し family-name入力をフィルタリングしますfilter-name
VLAN を構成する
VLAN を設定するには、設定モード [edit]で次のコマンドを入力します。
設定結果の例
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1