ポートミラーリングとアナライザーの設定
ポート ミラーリング アナライザの理解
ポート ミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストしないルーターとスイッチのトラフィック分析に使用できます。ポート ミラーリングは、すべてのパケットまたはポリシー ベースのサンプル パケットのコピーをデータを監視および分析できるローカルまたはリモート アナライザに送信します。
ポート ミラーリング アナライザの文脈では、スイッチング デバイスという用語を使用します。この用語は、デバイス(ルーターを含む)がスイッチング機能を実行していることを示します。
パケット レベルでアナライザを使用して、以下の活動をサポートできます。
ネットワーク トラフィックの監視
ネットワーク使用ポリシーの適用
ファイル共有ポリシーの適用
問題の原因の特定
帯域幅使用が重いまたは異常なステーションまたはアプリケーションの特定
ミラーリングするポート ミラーリングを設定できます。
ブリッジングされたパケット(レイヤー 2 パケット)
ルーティングされたパケット(レイヤー 3 パケット)
ミラーリングされたパケットは、ローカル監視の場合はローカル インターフェイスに、リモート監視の場合は VLANブリッジ ドメインにコピーできます。
以下のパケットをコピーできます。
Packets entering or exiting a port—最大 256 ポートでポートに入るまたは出るパケットを任意の組み合わせでミラーリングできます。例えば、一部のポートに入るパケットと、他のポートから出るパケットのコピーを同じローカル アナライザ ポートまたはアナライザ VLAN に送信できます。
Packets entering or exiting a VLAN or bridge domain—VLAN またはブリッジ ドメインに出入りするパケットをローカル アナライザ ポートあるいはアナライザ VLAN またはブリッジ ドメインにミラーリングできます。VLAN 範囲や PVLAN(プライベート VLAN)などのアナライザへのイングレス入力として複数の VLAN (最大 256 個)またはブリッジ ドメインを設定できます。
Policy-based sample packets—ポート、VLAN、またはブリッジ ドメインに入るパケットのポリシー ベースのサンプルをミラーリングできます。ポリシーでファイアウォール フィルターを設定して、ミラーリングされるパケットを選択します。ポートミラーリング インスタンスあるいはアナライザ VLAN またはブリッジ ドメインにサンプルを送信できます。
- アナライザの概要
- 統計アナライザの概要
- デフォルト アナライザの概要
- 複数の統計アナライザにバインドされたポートのグループでのポート ミラーリング
- ポート ミラーリング アナライザの用語
- ポート ミラーリング アナライザの設定ガイドライン
アナライザの概要
アナライザを設定して、同じアナライザ設定で入力トラフィックと出力トラフィックの両方を定義できます。分析される入力トラフィックは、インターフェイスまたは VLAN を出入りするトラフィックです。アナライザ設定によって、このトラフィックを出力インターフェイス、インスタンス、ネクストホップ グループ、VLAN、またはブリッジ ドメインに送信できます。階[edit forwarding-options analyzer]層レベルでアナライザを設定できます。
統計アナライザの概要
ルーターまたはスイッチ上の物理ポートに明示的にバインドできる、ミラーリング レートやトラフィックの最大パケット長などのミラーリング プロパティのセットを定義できます。このミラーリング プロパティのセットは、統計アナライザ(非デフォルト アナライザとも呼ばれる)を構成します。このレベルでは、特定の FPC に関連付けられた物理ポートに名前付きインスタンスをバインドできます。
デフォルト アナライザの概要
ミラーリング プロパティ(ミラーリング レートやパケット長など)を設定せずにアナライザを設定できます。デフォルトでは、ミラーリング レートは 1 に設定され、最大パケット長はパケットの完全な長さに設定されます。これらのプロパティはグローバル レベルで適用され、特定の FPC にバインドされる必要はありません。
複数の統計アナライザにバインドされたポートのグループでのポート ミラーリング
スイッチング デバイス上の同じポート グループに最大 2 つの統計アナライザを適用できます。2 つの異なる統計アナライザ インスタンスを同じ FPC またはパケット転送エンジンに適用することで、2 つの異なるレイヤー 2 ミラーリング仕様を単一ポート グループにバインドできます。FPC にバインドされたプロパティのミラーリング プロパティは、スイッチング デバイス上でグローバル レベルでアナライザ(デフォルト アナライザ)プロパティを上書きします。デフォルト アナライザ プロパティは、同じポート グループに 2 つ目のアナライザ インスタンスをバインドすることで上書きされます。
ポート ミラーリング アナライザの用語
表 1 は、ポート ミラーリング アナライザの用語とその説明を示します。
| 用語 | 説明 |
|---|---|
アナライザ |
ミラーリング設定では、アナライザには以下が含まれます。
|
アナライザ出力インターフェイス (モニター ポートとも呼ばれます) |
ミラーリングされたトラフィックが送信され、プロトコル アナライザが接続されているインターフェイス アナライザへの出力として使用されるインターフェイスは、 階 アナライザ出力インターフェイスには、以下の制限があります。
|
アナライザ VLAN またはブリッジ ドメイン (モニター VLAN またはブリッジ ドメインとも呼ばれます) |
プロトコル アナライザが送信され、ミラーリングされたトラフィックに使用される VLAN またはブリッジ ドメイン。モニター VLAN またはブリッジ ドメインのメンバー インターフェイスは、ネットワーク内のスイッチング デバイスに広がります。 |
ブリッジドメインベースのアナライザ |
入力、出力、または両方にブリッジ ドメインを使用するように設定されたアナライザ セッション。 |
デフォルト アナライザ |
デフォルトのミラーリング パラメーターがあるアナライザ。デフォルトでは、ミラーリング レートは 1 であり、最大パケット長は完全なパケットの長さです。 |
入力 インターフェイス (ミラーリングされたポートまたは監視対象インターフェイスとも呼ばれます) |
このインターフェイスに出入りするトラフィックがミラーリングされるスイッチング デバイス上のインターフェイス。 |
LAG ベースのアナライザ |
アナライザ設定の入力(イングレス)として指定された LAG(リンク アグリゲーション グループ)を持つアナライザ。 |
ローカル ミラーリング |
ローカル アナライザ ポートにパケットがミラーリングされるアナライザ設定。 |
監視ステーション |
プロトコル アナライザを実行するコンピューター。 |
ネクストホップ グループをベースにしたアナライザ |
アナライザへの出力としてネクストホップ グループを使用するアナライザ設定。 |
ポートベースのアナライザ |
入力および出力のインターフェイスを定義するアナライザ設定。 |
プロトコル アナライザ アプリケーション |
ネットワーク セグメントで送信されるパケットを調べるのに使用されるアプリケーション。ネットワーク アナライザ、パケット スニッファー、またはプローブとも呼ばれます。 |
リモート ミラーリング |
ローカル ミラーリングと同じように機能します。ただし、ミラーリングされたトラフィックはローカル アナライザ ポートにはコピーされず、ミラーリングされたトラフィックの受信のために作成したアナライザ VLAN またはブリッジ ドメインにフラッディングされます。ミラーリングされたパケットには、アナライザ VLAN またはブリッジ ドメインの追加外部タグが含まれます。 |
統計アナライザ (非デフォルト アナライザとも呼ばれます) |
スイッチ上の物理ポートに明示的にバインドできるミラーリング プロパティのセット。このアナライザ プロパティのセットは、統計アナライザと呼ばれます。 |
VLAN ベースのアナライザ |
VLAN を使用してミラーリングされたトラフィックをアナライザに提供するアナライザ設定。 |
ポート ミラーリング アナライザの設定ガイドライン
ポート ミラーリング アナライザを設定する場合、最大限のメリットが得られるようにこれらのガイドラインに従うことを推奨します。使用していない場合、ミラーリングを無効にし、すべてのインターフェイスでミラーリングを可能にする キーワーallド オプションを使用するのではなく、特定のインターフェイスをアナライザへの入力として選択することを推奨します。必要なパケットのみをミラーリングすることで、パフォーマンスに与える影響を軽減します。
ミラーリングされたトラフィックの量を制限することもできます。
-
統計サンプリングの使用
-
ファイアウォール フィルターの使用
-
統計サンプルを選択する比率の設定
ローカル ミラーリングにより、複数のポートからのトラフィックがアナライザ出力インターフェイスに複製されます。アナライザの出力インターフェイスが容量に達すると、パケットが破棄されます。ミラーリングされたトラフィックがアナライザ出力インターフェイスの容量を超えるかどうかを考慮する必要があります。
表 2 は、アナライザの設定ガイドラインをまとめています。
|
ガイドライン |
価値またはサポート情報 |
コメント |
|---|---|---|
|
同時に有効にできるアナライザの数。 |
64 個のデフォルト アナライザ FPC–統計アナライザあたり 2 個 |
統計アナライザは、その FPC に属すポート上のトラフィックをミラーリングするため FPC にバインドされる必要があります。 注:
デフォルト アナライザ プロパティは、システム内のすべての FPC の最後の(または最後から 2 番目の)インスタンスで暗示的にバインドされます。そのため、FPC 上の 2 つ目の統計アナライザを明示的にバインドすると、デフォルト アナライザ プロパティが上書きされます。 |
|
アナライザへのイングレス入力として使用できるインターフェイス、VLAN、またはブリッジ ドメインの数。 |
256 |
– |
|
トラフィックをミラーリングできないポートのタイプ。 |
|
|
|
アナライザに含めることができるプロトコル ファミリー。 |
|
アナライザは、ブリッジされたトラフィックのみをミラーリングします。ルルーティングされたトラフィックをミラーリングするには、 があるポート ミラーリング設定を |
|
物理層エラーがあるパケットは、ローカルまたはリモート アナライザに送信されません。 |
適用可能 |
これらのエラーがあるパケットは除外され、アナライザに送信されません。 |
|
アナライザは、回線速度トラフィックをサポートしません。 |
適用可能 |
回線速度トラフィックのミラーリングは、ベストエフォートベースで行われます。 |
|
LAG インターフェイス上のアナライザ出力。 |
対応 |
|
|
トランク モードとしてのアナライザ出力インターフェイス モード。 |
対応 |
|
|
ホスト生成された制御パケットのエグレス ミラーリング。 |
未対応 |
|
|
アナライザの |
未対応 |
|
|
同じ VLAN または VLAN 自体のメンバーを含むアナライザの入力およち出力スタンザを回避する必要があります。 |
適用可能 |
|
|
異なるアナライザ セッションの VLAN とそのメンバー インターフェイスのサポート |
未対応 |
ミラーリングが設定されている場合、アナライザのいずれかがアクティブになります。 |
|
集合型イーサネット(ae)インターフェイスのエグレス ミラーリングと、異なるアナライザに設定されたその子論理インターフェイス。 |
未対応 |
|
EX9200スイッチのミラーリングを設定しトラフィックを分析(CLI手順)
EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して以下のパケットをコピーすることができます。
ポートを出入りするパケット
VLANを出入りするパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は設定したアナライザーを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
既存のアナライザーを削除せずに追加アナライザーを作成したい場合は、CLI(コマンドラインインターフェイス)またはミラーリングのJ-Web設定ページからdisable analyzer analyzer-nameのステートメントを使用して、既存のアナイザーを無効にします。
アナライザーへの出力として使用されるインターフェイスは、ethernet-switching familyで設定する必要があり、VLANに関連付ける必要があります。
- ローカルトラフィック分析にアナライザーの設定
- リモートトラフィック分析を行うためアナライザーの設定
- ローカルトラフィック分析に統計アナライザーを設定
- リモートトラフィック分析に統計アナライザーの設定
- FPCレベルでグループ化されたポートへの統計アナライザーのバインディング
- ネクストホップグループを使用して複数の宛先を持つアナライザーの設定
- レイヤー2ミラーリングのネクストホップグループの定義
ローカルトラフィック分析にアナライザーの設定
アナライザーを使用して、スイッチ上のネットワークトラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。
リモートトラフィック分析を行うためアナライザーの設定
離れた場所から分析するために使用するVLANに、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをミラーリングするには、以下を行います。
ローカルトラフィック分析に統計アナライザーを設定
統計アナライザーを使用して、スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスにミラーリングするには、以下を行います。
リモートトラフィック分析に統計アナライザーの設定
統計アナライザーを使用して離れた場所から分析するため、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには、以下を行います。
FPCレベルでグループ化されたポートへの統計アナライザーのバインディング
統計アナライザーをスイッチ内の特定のFPCにバインドすることができます。つまり、スイッチのFPCレベルで統計アナライザーインスタンスをバインドできます。統計アナライザーで指定されるミラーリングプロパティは、指定されたFPCのパケット転送エンジンに関連するすべての物理ポートに適用されます。
レイヤー2アナライザーの名前付きインスタンスをFPCにバインドするには、以下を行います。
スイッチシャーシのプロパティの設定を有効にします。
[edit] user@switch# edit chassis
FPC(とそのインストールされたPIC)の設定を有効にします。
[edit chassis] user@switch# edit fpc slot-number
統計アナライザーインスタンスをFPCにバインドします。
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(オプション)レイヤー2ミラーリングの2つ目の統計アナライザーインスタンスを同じFPCにバインドするには、ステップ3を繰り返し、別の統計アナライザー名を指定します。
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
バインディングの最小設定を検証します。
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
2つ目のインスタンス(この例ではstats_analyzer-2)をバインディング時に、このセッションのミラーリングプロパティが設定されている場合、デフォルトアナライザーが上書きされます。
ネクストホップグループを使用して複数の宛先を持つアナライザーの設定
アナライザー出力としてネクストホップグループを設定することで、複数の宛先にトラフィックをミラーリングすることができます。複数の宛先へパケットをミラーリングすることは、マルチパケットポートのミラーリングとも呼ばれます。
スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。
レイヤー2ミラーリングのネクストホップグループの定義
[edit forwarding-options]設定レベルのネクストホップグループ設定では、ネクストホップグループ名、ネクストホップグループで使用するアドレストの種類、およびトラフィックをミラーリングできる複数の宛先を形成する倫理インターフェイスを定義できます。ネクストホップグループは、デフォルトで[edit forwarding-options next-hop-group next-hop-group-name group-type inet]のステートメントを使用したレイヤー3アドレスを使って指定されます。その代わりにレイヤー2のアドレスを使用してネクストホップグループを指定するには、[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]ステートメントを含めます。
レイヤー2ミラーリングのネクストホップグループを定義するには、以下を行います。
EX4300スイッチのミラーリングを設定してトラフィックを分析(CLI手順)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。
EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANに入るパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング設定を無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。
既存のアナライザを削除せずに追加のアナライザを作成したい場合は、CLI(コマンドラインインターフェイス)またはミラーリングのJ-Web設定ページからのdisable analyzer analyzer-nameステートメントを使用して、既存のアナライザを無効にします。
アナライザの出力として使用されるインターフェイスは、ethernet-switchingファミリーで設定する必要があります。
ローカルトラフィック分析にアナライザーの設定
スイッチ上のインターフェイストラフィックまたはVLANトラフィックをスイッチ上のインターフェイスに(アナライザーを使用して)ミラーリングするには、以下を行います。
リモートトラフィック分析を行うためアナライザーの設定
離れた場所から分析するため(アナライザを使用して)、スイッチ上のインターフェイスまたはVLANを通過するトラフィックをVLANにミラーリングするには以下を行います。
ポートミラーリングの設定
ポートミラーリングインスタンスにミラーリングされるパケットをフィルターするには、インスタンスを作成し、次にファイアウォールフィルターのアクションとして使用します。ローカルとリモート両方のミラーリング設定で、ファイアウォールフィルターを使用できます。
複数のフィルターまたは条件で同じポートミラーリングインスタンスを使用する場合、パケットはアナライザの出力ポートまたはアナライザVLANに1回のみコピーされます。
ミラーリングされたトラフィックをフィルターするには、[edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成し、次にファイアウォールフィルターを作成します。フィルターは使用可能な一致条件のいずれかを使用でき、port-mirror-instance instance-nameをアクションとして持つ必要があります。ファイアウォールフィルター設定でのこのアクションは、ポートミラーリングインスタンスへの入力を提供します。
ファイアウォールフィルターでポートミラーリングインスタンスを設定するには、以下を行います。
トラフィックを分析するポート ミラーリングの構成(CLI 手順)
この構成タスクでは、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルをサポートしない、EX シリーズ スイッチで Junos OS を使用します。
EX シリーズでは、ポート ミラーリングを構成することで、パケットのコピーをローカル監視用のローカル インターフェイスまたはリモート監視用の VLAN に送信できます。ポートミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
EX2200、EX3200、EX3300、EX4200、EX4500、または EX6200 スイッチの VLAN に入るパケット
EX8200スイッチ上のVLANから出るパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、構成済みのポート ミラーリング アナライザを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
ポート ミラーリングの構成を始める前に、アナライザの出力インターフェイスに関する以下の制限事項に留意してください。
送信元ポートとしても使用することはできません。
スイッチングには使用できません。
ポート ミラーリング構成の一部である場合は、レイヤー 2 プロトコル(RSTP など)には参加しません。
アナライザ出力インターフェイスとして構成される前に有していた VLAN 関連付けは保持しません。
既存のアナライザを削除せずに追加のアナライザを作成する場合は、まず disable analyzer analyzer-name コマンドまたはポート ミラーリングの J-Web 構成ページで既存のアナライザを無効にします。
アナライザの出力として使用するインターフェイスは、ファミリー として構成する必要がありますethernet-switching。
ローカル トラフィック分析用のポート ミラーリングの構成
スイッチ上のインターフェイス トラフィックや VLAN トラフィックを、スイッチ上の別のインターフェイスにミラーリングするには:
ポート ミラーリングをリモート トラフィック分析用に構成する
スイッチ上のインターフェイスまたは VLAN を通過するトラフィックを、遠隔位置からの分析用 VLAN にミラーリングするには:
アナライザに入るトラフィックをフィルタリングする
アナライザにミラーリングされるパケットをフィルタリングするには、アナライザを作成し、それをファイアウォール フィルターのアクションとして使用します。ローカルとリモート両ポートのミラーリング構成で、ファイアウォール フィルターを使用できます。
同じアナライザを複数のフィルターや条件で使用する場合、パケットは一度だけアナライザ出力ポートまたはアナライザ VLAN にコピーされます。
ミラーリングされたトラフィックをフィルタリングするには、アナライザを作成してからファイアウォール フィルターを作成します。フィルターは、利用可能な任意の照合条件を使用でき、analyzer のアクションを保持する必要があります。ファイアウォール フィルターのアクションにより、アナライザに入力が提供されます。
フィルターを使ってポート ミラーリングを構成するには:
EXシリーズスイッチ上のポートミラーリングアナライザの入力と出力の検証
目的
この検証作業では、拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートしない、EXシリーズスイッチでJunos OSを使用します。
アナライザがスイッチ上で作成され、適切なミラー入力インターフェイスと適切なアナライザ出力インターフェイスを備えていることを確認します。
アクション
ポートミラーアナライザがshow analyzerコマンドを使用して、想定どおりに設定されていることを確認できます。
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
設定モードでshow ethernet-switching-optionsコマンドを使用すると、無効になっているものも含め、スイッチ上で設定されているすべてのポートミラーアナライザを表示できます。
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
意味
この出力は、従業員監視アナライザの比率が1(すべてのパケットをミラーリング、デフォルト)であり、損失優先度high(アナライザの出力がVLANにある場合はhigh、常にこのオプションを設定)がge-0/0/0およびge-0/0/1に入るトラフィックをミラーリングし、ミラーリングされたトラフィックをリモートアナライザと呼ばれるアナライザに送信していることを示しています。
例:従業員のリソース使用をローカル監視するためのポートミラーリングアナライザの設定
ジュニパーネットワークスのデバイスで、ローカル監視についてはローカルインターフェイス、リモート監視についてはVLANまたはブリッジドメインに、ポートミラーリングがパケットのコピーを送信するように設定できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANもしくはブリッジドメインを出入りするパケット
すると、プロトコルアナライザを使用して、ローカルまたはリモートでミラーリングされたトラフィックを分析することができます。ローカルの宛先インターフェイスにアナライザをインストールできます。ミラーリングされたトラフィックを、アナライザVLAN、もしくはブリッジドメインに送信する場合、アナライザをリモートの監視ステーションに使用できます。
このトピックでは、スイッチングデバイス上でローカルミラーリングを設定する方法について説明します。このトピックの例で、従業員のコンピューターに接続されたインターフェイスに入るトラフィックを、同じデバイス上にあるアナライザ出力インターフェイスにミラーリングするために、スイッチングデバイスを設定することを説明します。
要件
以下のハードウェアおよびソフトウェアのコンポーネントのいずれか1つを使用します。
Junos OSリリース13.2以降を搭載したEX9200スイッチ1台
Junos OSリリース14.1以降を搭載したMXシリーズルーター1台
ポートミラーリングを設定する前に、ミラーリングの概念を必ず理解しておいてください。アナライザについては、ポート ミラーリング アナライザの理解を参照してください。ポートミラーリングについては、レイヤー2ポートミラーリングについてを参照してください。
概要とトポロジー
このトピックでは、スイッチデバイス上にあるポートに入るすべてのトラフィックを、同じデバイス上にある宛先インターフェイスにミラーリングする(ローカルミラーリング)方法を説明します。この事例では、従業員のコンピューターに接続されたポートにトラフィックが入ります。
すべてのトラフィックをミラーリングするには大幅な帯域幅が必要となります。調査進行中のみに実行してください。
インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続部として機能します。
インターフェイスge-0/0/10は、ミラーリングされたトラフィックの分析用に予約済みです。
プロトコルアナライザを実行しているPCを、アナライザ出力インターフェイスに接続します。
1つのインターフェイスに複数のポートがミラーリングされている場合、バッファオーバーフローを起こして、結果としてミラーリングされたパケットが出力インターフェイスでドロップする可能性があります。
図 1は、この例のネットワーク トポロジーを示しています。
ローカル分析用の全従業員のトラフィックのミラーリング
手順
CLIクイック構成
従業員のコンピューターに接続された2つのポート上で、送信されたイングレストラフィックに対してローカルミラーリングを短時間で設定するには、EXシリーズスイッチもしくはMXシリーズルーターに対して、以下のコマンドのいずれかをコピーし、スイッチングデバイスの端末ウィンドウにペーストします。
EXシリーズ
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX シリーズ
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
ステップバイステップでの手順
employee-monitorと呼ばれるアナライザを設定し、入力(ソース)インターフェイスとアナライザ出力インターフェイスの両方を特定にするには、以下を実行します。
アナライザ設定で使用される各インターフェイスを設定します。プラットフォームに適正なファミリプロトコルを使用します。
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
インターフェイス上で
family bridgeを設定するには、interface-mode accessもしくはinterface-mode trunkも設定しなければなりません。また、vlan-idも設定しなければなりません。MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
従業員のコンピューターに接続された各インターフェイスを、出力アナライザインターフェイス
employee-monitorとして設定します。[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
employee-monitorアナライザに対して出力アナライザインターフェイスを設定します。これがミラーリングされたパケットの宛先パケットとなります。
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
結果
設定の結果を確認します。
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
検証
アナライザが適正に作成されたことの確認
目的
employee-monitorのアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチイングデバイス上で作成されていることを確認します。
アクション
show forwarding-options analyzer操作コマンドを使用して、アナライザが想定通りに設定されていることを確認します。
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
意味
出力は、employee-monitorアナライザの比率が1(デフォルトの設定であるすべてのパケットをミラーリングを示す)、ミラーリングされた元のパケットの最大サイズは0(パケット全体がミラーリングされていることを示す)、設定の状態はup、そして、アナライザはge-0/0/0インターフェイスに入るトラフィックをミラーリングし、ミラーリングされたトラフィックをge-0/0/10インターフェイスに送信していることを表しています。
出力インターフェイスの状態がdownである場合、または出力インターフェイスが設定されていない場合、Stateの値はdownとなり、アナライザはミラーリングされたトラフィックを受信しないことを示します。
例:従業員リソース使用のリモート監視のためのポート ミラーリングの設定
ジュニパーネットワークス デバイスにより、ポート ミラーリングが、ローカル監視についてはローカル インターフェイス、リモート監視については VLANまたはブリッジ ドメインにパケットのコピーを送信するように設定できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANを出入りするパケット
ブリッジ ドメインを出入りするパケット
アナライザ VLAN またはブリッジ ドメインにミラーリングされたトラフィックを送信している場合、リモート監視ステーションで実行されているプロトコル アナライザを使用してミラーリングされたトラフィックを分析できます。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング セッションを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
このトピックの例では、従業員のリソースの使用を分析するリモート ポート ミラーリングを設定する方法を説明します。
要件
この例ではハードウェアおよびソフトウェア コンポーネント以下のペアのいずれかを使用します。
別のEX9200スイッチに接続された1台のEX9200スイッチ(どちらもJunos OS リリース13.2 以降を実行)
別のMXシリーズルーターに接続された1台のMXシリーズルーター(どちらもJunos OS リリース14.1以降を実行)
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
ミラーリングの概念を理解できました。アナライザについては、ポート ミラーリング アナライザの理解を参照してください。ポートミラーリングについては、レイヤー2ポートミラーリングについてを参照してください。
アナライザが入力インターフェイスとして使用するインターフェイスは、すでにスイッチング デバイスで設定されています。
概要とトポロジー
このトピックでは、リモート監視ステーションから分析できるようにリモート アナライザ VLAN またはブリッジ ドメインへのポート ミラーリングを設定する方法を説明します。
図 2 は、EX シリーズの例と MX シリーズの例の両方のシナリオのネットワーク トポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元デバイス上の両方のインターフェイス)です。
インターフェイス ge-0/0/10 は、送信元スイッチング デバイスと宛先スイッチング デバイスを接続するレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/5 は、宛先スイッチングデバイスをリモート監視ステーションに接続するレイヤー2インターフェイスです。
アナライザ
remote-analyzerは、ミラーリングされたトラフィックを伝送するように、トポロジー内のすべてのスイッチングデバイス上で設定されています。このトポロジーは、VLAN またはブリッジ ドメインのいずれかを使用できます。
統計アナライザを使用したリモート分析のための従業員トラフィックのミラーリング
すべての受信および送信トラフィックのリモート トラフィック分析に統計アナライザを設定するには、以下の例のいずれかを選択します。
EX シリーズ スイッチのリモート分析の従業員トラフィックのミラーリング
CLIクイック構成
受信および送信従業員トラフィックのリモート トラフィック分析に統計アナライザを迅速に設定するには、EX シリーズ スイッチに以下のコマンドをコピーして、スイッチング デバイス端末ウィンドウに貼り付けます。
送信元スイッチングのデバイス端末ウィンドウに、以下のコマンドをコピーして貼り付けます。
EXシリーズ
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
EXシリーズ
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップでの手順
基本的なリモート ミラーリングを設定するには:
送信元スイッチング デバイスで、以下のことを行います。
remote-analyzerVLAN の VLAN ID を設定します。[edit] user@device# set vlans remote-analyzer vlan-id 999
アクセス モードで宛先スイッチング デバイスに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
統計アナライザ
employee-monitorを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
統計アナライザを、入力インターフェイスを含む FPC にバインドします。
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
宛先ネットワーク デバイスで、以下のことを行います。
remote-analyzerVLAN の VLAN ID を設定します。[edit] user@device# set vlans remote-analyzer vlan-id 999
アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アクセスモード向けに、宛先スイッチングデバイスに接続されたインターフェイスを設定します。
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
アナ
employee-monitorライザを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
employee-monitorアナライザのレートや最大パケット長などの、ミラーリングパラメーターを指定します。[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
employee-monitorアナライザを、入力ポートを含むFPCにバインドします。[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
結果
送信元スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
宛先スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
MXシリーズルーターのリモート分析用の従業員トラフィックのミラーリング
CLIクイック構成
受信および送信トラフィックのリモート トラフィック分析に統計アナライザを迅速に設定するには、MX シリーズ ルーターに以下のコマンドをコピーして、正しいスイッチング デバイス端末ウィンドウに貼り付けます。
送信元スイッチングのデバイス端末ウィンドウに、以下のコマンドをコピーして貼り付けます。
MX シリーズ
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
宛先スイッチング デバイス端末ウィンドウに以下のコマンドをコピーアンドペーストします。
MX シリーズ
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップでの手順
MXシリーズルーターを使用して基本的なリモートミラーリングを設定するには:
送信元スイッチング デバイスで、以下のことを行います。
remote-analyzerブリッジ ドメインのVLAN IDを設定します。[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
アクセスモード用に宛先スイッチングデバイスに接続されたネットワークポート上のインターフェイスを設定し、
remote-analyzerブリッジ ドメインに関連付けます。[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
統計アナライザ
employee-monitorを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
統計アナライザを、入力インターフェイスを含む FPC にバインドします。
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
宛先スイッチング デバイスで、以下のことを行います。
remote-analyzerブリッジ ドメインのVLAN IDを設定します。[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
アクセス モードで宛先スイッチング デバイス上のインターフェイスを設定し、 ブリ
remote-analyzerッジ ドエインに関連付けます。[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
アクセスモード向けに、宛先スイッチングデバイスに接続されたインターフェイスを設定します。
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
アナ
employee-monitorライザを設定します。[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
employee-monitorアナライザのレートや最大パケット長などの、ミラーリングパラメーターを指定します。[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
employee-monitorアナライザを、入力ポートを含むFPCにバインドします。[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
結果
送信元スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
宛先スイッチング デバイス上の設定の結果を確認します。
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
検証
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つデバイス上で作成されていることを確認します。
アクション
送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチング デバイス上でshow forwarding-options analyzerコマンドを実行します。この設定の例では、以下の出力が表示されます。
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
意味
この出力は、 インスタンemployee-monitorスの比率が 2 であり、ミラーリングされた元のパケットの最大サイズが 128 であり、設定の状態が であり(適切な状態であり、アナライザがプログラミングされていることをエイメします)、アナライザが ge-0/0/0.0 および ge-0/0/1.0 に入るトラフィックをミラーリングしup、リモート アナライザと呼ばれる VLAN にミラーリングされたトラフィックを送信していることを示しています。
出力インターフェイスの状態が downである場合、または出力インターフェイスが設定されていない場合、 Stateの値はダウンし、アナライザはトラフィックを監視できません。
例:複数のインターフェイスへのミラーリングを構成して、EX9200スイッチ上の従業員のリソース使用をリモート監視する
EX9200 スイッチを使ってミラーリングを構成し、ローカル監視用にローカル インターフェイスに、またはリモート監視用に VLAN に、パケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANを出入りするパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されるプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
構成したミラーリング アナライザを使用しない場合は、無効にしてください。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
この例では,アナライザVLAN上の複数のインターフェイスに対して、リモートミラーリングを構成する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EX9200 スイッチ 3 台
EX シリーズスイッチの Junos OS リリース 13.2 以降
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例ではスイッチ上のポートに入るトラフィックを、リモート アナライザ VLAN にミラーリングする方法を説明します。これにより、リモート監視ステーションから分析を実行できます。この例のリモートアナライザVLANには、複数のメンバーインターフェイスが含まれています。このため、リモートアナライザ VLAN のすべてのメンバー インターフェイスに同じトラフィックをミラーリングして、ミラーリングされたパケットを異なるリモート監視ステーションに送信できます。Sniffer や侵入検知システムなどのアプリケーションをリモート監視ステーションにインストールすることで、これらのミラーリングされたパケットを分析して、有用な統計データを取得できます。例えば、2つのリモート監視ステーションがある場合、一方のリモート監視ステーションにスニッファーを、もう一方のステーションに侵入検知システムをインストールできます。ファイアウォールフィルターアナライザ構成を使って、特定のタイプのトラフィックをリモート監視ステーションに転送できます。
この例では、ネクストホップ グループの複数のインターフェイスにトラフィックをミラーリングし、トラフィックを異なる監視ステーションに送信して分析するようにアナライザを構成する方法を説明します。
図 3は、この例のネットワーク トポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 と ge-0/0/1 は、従業員コンピューター用の接続として機能するレイヤー 2 インターフェイス(いずれも送信元スイッチのインターフェイス)です。
インターフェイス ge-0/0/10 と ge-0/0/11 は、異なる宛先スイッチに接続されたレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/12 は、宛先 1 のスイッチをリモート監視ステーションを接続するレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/13 は、宛先 2 スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
従業員の全トラフィックを複数の VLAN メンバー インターフェイスにミラーリングして、リモートで分析する
複数のVLANメンバーインターフェイスにミラーリングを構成し、従業員の送受信トラフィックすべてをリモートで分析するには、以下を実行します。
手順
CLIクイック構成
ミラーリングを素早く構成して、従業員の送受信トラフィックをリモートで分析するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けします。
ソース スイッチの端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
宛先 1 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
宛先 2 のスイッチ端末ウィンドウで、以下のコマンドをコピー&ペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
ステップバイステップでの手順
2つのVLANメンバーインターフェイスに基本的なリモートミラーリングを構成するには:
送信元スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
宛先スイッチに接続されているネットワーク ポート上のインターフェイスをアクセス モードで構成し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
このアナライザ構成では、インターフェイス Ge-0/0/0.0 と Ge-0/0/1.0 を出入りするトラフィックは、
remote-analyzer-nhgというネクストホップ グループで定義された出力先に送信されます。ネク
remote-analyzer-nhbストホップ グループ構成します。[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
宛先 1 スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
アクセスモード用に、宛先1スイッチ上のge-0/0/10インターフェイスを構成します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
宛先 2 スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
宛先 2 スイッチの ge-0/0/11 インターフェイスをアクセス モードで構成します。
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
宛先 1 スイッチ上の構成の結果を確認します。
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
宛先 2 スイッチ上の構成の結果を確認します。
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitorという名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。
送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow forwarding-options analyzerンドを実行します。この構成例では、ソース スイッチに以下の出力が表示されます。
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
意味
この出力では、employee-monitor アナライザの比率が 1(すべてのパケットをミラーリングする、デフォルトの動す)、構成の状態が up です。これは、状態が適正で、アナライザがプログラムされており、インターフェイス Ge-0/0/0 と Ge-0/0/1 を出入りするトラフィックをミラーリングし、ネクストホップ グループ remote-analyzer-nhg を介して複数のインターフェイス Ge-0/0/10.0 と Ge-0/0/11.0 にミラーリングされたトラフィックを送信することを意味します。出力インターフェイスの状態が である場合、downまたは出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。
例:トランジット スイッチまたは EX9200 スイッチにを通した従業員による使用のリモート監視のためのミラーリングの設定
EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANを出入りするパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、リモート監視ステーションで実行されるプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介してリモートアナライザ VLAN にミラーリングする方法を説明する例を紹介します。これによって、リモート監視ステーションから分析できるようになります。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング セッションを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
この例では、スイッチを介してリモート ミラーリングを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 つめの EX9200 スイッチを介して他の EX9200 スイッチに接続された EX9200 スイッチ
EX シリーズスイッチの Junos OS リリース 13.2 以降
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例ではスイッチ上のポートに入るトラフィックをスイッチを、トランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明します。これによって、従業員のコンピューターからのすべてのトラフィックを分析できます。
この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されたエグレス インタフェースにミラーリングするために、宛先スイッチにアナライザ セッションが必要となります。
図 4は、この例のネットワーク トポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/11 は、スイッチ上のレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、スイッチに接続します。
インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。
VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
トランジット スイッチを通してリモート分析のすべての従業員のトラフィックのミラーリング
トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。
手順
CLIクイック構成
トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
送信元スイッチ(監視されたスイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
宛先スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
ステップバイステップでの手順
トランジット スイッチを介してリモート ミラーリングを設定するには:
送信元スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
アクセス モードのためにトランジット スイッチに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
トランジット スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
アクセス モードの ge-0/0/11 インターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
アクセス モードの ge-0/0/12 インターフェイスを設定し、
remote-analyzerVLAN に関連付け、エグレス トラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
宛先スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
アクセス モードの ge-0/0/13 インターフェイスを設定し、
remote-analyzerVLAN に関連付け、イングレス トラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
アクセスモード用に、リモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
アナ
remote-analyzerライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
トランジット スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。
送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow forwarding-options analyzerンドを実行します。この設定の例では、以下の出力が表示されます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
意味
この出力は、アナemployee-monitorライザのミラーリング比率が 1(各パケットをミラーリングする、デフォルト)であり、設定の状態が であり(適切な状態)、アナライザがプログラムされておりup、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングしており、 と呼ばれるアナライザにミラーリングされたトラフィックを送信していることを示していますremote-analyzer。出力インターフェイスの状態が である場合、downまたは出力インターフェイスが設定されていない場合、状態の値はダウンし、アナライザはトラフィックをミラーリングできません。
例:EX4300 スイッチで従業員のリソース使用をローカルに監視するためのミラーリング構成
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。ELS をサポートしていないソフトウェアがスイッチで実行されている場合は、例:EXシリーズスイッチで従業員のリソース使用をローカル監視するためのポートミラーリング構成を参照してください。ELSの詳細については、拡張レイヤー2ソフトウェアのスタートガイドを参照してください。
EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANに入るパケット
ミラーリングされたトラフィックをアナライザ VLAN に送信する場合、ローカルの宛先インターフェイスに接続されたシステム、またはリモート監視ステーションにインストールされたプロトコル アナライザを使用して、ミラーリングされたトラフィックを解析できます。
この例では、EX4300スイッチ上にローカルミラーリングを構成する方法を説明します。この例では、従業員のコンピュータに接続されたインターフェイスに入るトラフィックを、同じスイッチ上のアナライザ出力インターフェイスにミラーリングするようにスイッチを構成する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EX4300 スイッチ 1 台
EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降
概要とトポロジー
このトピックでは、2 つの例を通して、スイッチのポートに入るトラフィックを、同じスイッチ上の宛先インターフェイスにミラーリングする方法(ローカルミラーリング)を説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
インターフェイスge-0/0/0とge-0/0/1は、従業員のコンピューターの接続部として機能します。インターフェイス ge0/0/10 は、ミラーリングされたトラフィックの分析用に予約済みです。プロトコル アナライザ アプリケーションが動作する PC をアナライザ出力インターフェイスに接続し、ミラーリングされたトラフィックを分析します。
1 つのインターフェイスに複数のポートをミラーリングすると、バッファー オーバーフローやパケットのドロップが発生する可能性があります。
どちらの例も、図 5 に示すネットワーク トポロジーを使用しています。
ローカル分析用の全従業員のトラフィックのミラーリング
ローカル分析のために、すべての従業員トラフィックのミラーリングを構成するには、以下のタスクを実行します。
手順
CLIクイック構成
従業員のコンピューターに接続された 2 つのポートへのイングレス トラフィックにローカル ミラーリングを迅速に構成するには、次のコマンドをコピーして、スイッチの端末ウィンドウにペーストします。
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
ステップバイステップでの手順
employee-monitor という名前のアナライザを構成し、入力(ソース)インターフェイスとアナライザ出力インターフェイスを指定するには:
従業員のコンピューターに接続されている各インターフェイスを、アナライザー
employee-monitorの入力インターフェイスとして構成します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
アナライザの出力インターフェイスを VLAN の一部として構成します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
アナライザ
employee-monitorに対して出力アナライザインターフェイスを構成します。これがミラーリングされたパケットの宛先インターフェイスとなります。[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
結果
構成の結果を確認します。
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
ローカル分析のための従業員からWebへのトラフィックのミラーリング
従業員から Web へのトラフィックのミラーリングを構成するには:
手順
CLIクイック構成
従業員のコンピューターに接続された 2 つのポートからのトラフィックのローカル ミラーリングを迅速に構成し、外部 Web へのトラフィックのみがミラーリングされるようにフィルタリングを行うには、次のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
ステップバイステップでの手順
従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ミラーリングを構成するには:
ローカルアナライザインターフェイスを構成します。
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
employee-web-monitor出力インスタンスを構成します(インスタンスへの入力はフィルターのアクションから)。[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
watch-employeeというファイアウォール フィルターを構成して、従業員の Web へのリクエストのミラー コピーをemployee-web-monitorインスタンスに送信します。企業サブネット(宛先または送信元アドレスが192.0.2.16/24)を行き来するすべてのトラフィックを受け付けます。インターネット宛(宛先ポート 80)のすべてのパケットのミラー コピーをemployee-web-monitorインスタンスに送信します。[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
watch-employeeフィルターを適切なポートに適用します。[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
結果
構成の結果を確認します。
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
検証
構成が正しいことを確認するために、以下のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
アナライザ employee-monitor または employee-web-monitor が、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
show forwarding-options analyzer コマンドを使用して、アナライザーが正しく構成されていることを確認できます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
意味
この出力は、アナライザ employee-monitor の比率が 1(すべてのパケットをミラーリング、デフォルト設定)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、構成の状態(is up は、アナライザが ge-0/0/0、ge-0/0/1 インターフェイスに入るトラフィックをミラーリングし、ミラーリングしたトラフィックを ge-0/0/10 インターフェイスに送信していることを示す)を示します。出力インターフェイスの状態が down である場合、または出力インターフェイスが構成されていない場合、状態の値は down となり、アナライザにミラーリングのプログラムは行われません。
ポートミラーリング インスタンスが正しく構成されていることを確認する
目的
ポートミラーリングインスタンス employee-web-monitor が,適切な入力インターフェイスでスイッチ上に正しく構成されていることを確認します。
アクション
show forwarding-options port-mirroring コマンドを使用することで、ポートミラーリング インスタンスが正しく構成されていることを確認できます。
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
意味
この出力は、employee-web-monitor インスタンスの比率が 1(すべてのパケットをミラーリング、デフォルト)、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)、構成の状態が up でポート ミラーリングがプログラムされていること、ファイアウォール フィルター アクションからのミラーされたトラフィックがインターフェイス ge-0/0/10.0 で送出されていることを示します。出力インタフェースの状態が down である場合、またはインターフェイスが構成されていない場合、状態の値は down となり、ポートミラーリングはミラーリング用にプログラムされません。
例:EX4300 スイッチにおける従業員リソース使用のリモート監視のためのミラーリングの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。EX4300 スイッチで従業員リソース使用のリモート監視のためのミラーリングの設定。ELS の詳細についてはこちらをご覧ください。拡張レイヤー 2 ソフトウェアのスタートガイド。
EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
EX4300 スイッチ上で VLAN に入るパケット
アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、スイッチ上のポートに入るトラフィックを remote-analyzer VLAN にミラーリングする方法について説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックだけをミラーリングするためのフィルターが含まれています。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング セッションを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。
この例では、リモート ミラーリングの設定方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降
他の EX4300 スイッチに接続された EX4300 スイッチ
この図は、EX4300 宛先スイッチに接続された EX4300 バーチャル シャーシを示しています。
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
ミラーリングの概念を理解できました。
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、 remote-analyzer VLAN へのミラーリングを設定する方法について説明します。最初の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
図 6 は、これら両方の例のシナリオのネットワークトポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
インターフェイス ge-0/0/10 は、送信元のスイッチと宛先スイッチを接続するレイヤー 2 インターフェイスです。
インターフェース ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
すべての従業員のトラフィックをミラーリングしてリモート分析
従業員のすべての送受信トラフィックを対象としたリモートトラフィック分析用のアナライザを設定するには、次の手順に従います。
手順
CLIクイック構成
従業員の送受信トラフィックを対象としたリモートトラフィック分析用のアナライザをすばやく設定するには、次のコマンドをコピーして、スイッチのターミナルウィンドウに貼り付けます。
送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
ステップバイステップでの手順
基本的なリモートポートミラーリングを設定するには:
送信元スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランクモードで、宛先スイッチに接続されているネットワークポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
宛先スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランクモードで、宛先スイッチ上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
トランクモードで、宛先スイッチに接続されているインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
従業員から Web サイトへのトラフィックをミラーリングして、リモート分析
従業員から Web サイトへのリモートトラフィック分析のために、ポートミラーリングを設定するには、以下のタスクを実行します。
手順
CLIクイック構成
従業員のトラフィックを外部の Web にミラーリングするポートミラーリングを素早く設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
ステップバイステップでの手順
リモート監視ステーションから使用するために、従業員のコンピューターに接続された 2 つのポートから remote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを設定するには:
送信元スイッチ上:
employee-web-monitorのポートミラーリングインスタンスを設定します。[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
remote-analyzerVLAN に関連付けるようにインターフェイスを設定します。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
watch-employeeと呼ばれるファイアウォールフィルターを設定します。[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
従業員のインターフェイスにファイアウォールフィルターを適用します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
宛先スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランクモードで、宛先スイッチ上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
トランクモードで、宛先スイッチに接続されているインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
アナ
employee-monitorライザーを設定します。[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitor または employee-web-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
アナライザが コマshow forwarding-options analyzerンドを使用して、想定どおりに設定されていることを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。
送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow analyzerンドを実行します。この設定の例では、以下の出力が表示されます:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
意味
この出力では、 employee-monitor インスタンスの比率が 1 (すべてのパケットをミラーリングする、デフォルト)、ミラーリングされた元のパケットの最大サイズ (0 はパケット全体を示す)、設定の状態が up (適切な状態であり、アナライザーがプログラムされており、ge-0/0/0 と ge-0/0/1 に入るトラフィックをミラーリングし、ミラーリングされたトラフィックを remote-analyzer という VLAN に送っていることを示す) と表示されています。出力インターフェイスの状態がダウンしている場合、または出力インターフェイスが設定されていない場合、状態の値はダウンとなり、アナライザにミラーリングのプログラムは行われません。
例:トランジット スイッチまたは EX4300 スイッチにを通した従業員による使用のリモート監視のためのミラーリングの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。
EX4300スイッチでミラーリングを設定して、ローカル監視用のローカルインターフェイスまたはリモート監視用のVLANにパケットのコピーを送信できます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
EX4300 スイッチ上で VLAN に入るパケット
アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、スイッチ上のポートに入るトラフィックをトランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明する例を紹介します。これによって、リモート監視ステーションから分析できるようになります。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング セッションを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。
この例では、スイッチを介してリモート ミラーリングを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 つめの EX4300 スイッチを介して他の EX4300 スイッチに接続された EX4300 スイッチ
EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
ミラーリングの概念を理解できました。
アナライザが入力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
この例ではスイッチ上のポートに入るトラフィックをスイッチを、トランジット スイッチを介して remote-analyzerVLAN にミラーリングする方法を説明します。これによって、リモート監視ステーションから分析を実行できます。この例では、従業員のコンピューターからリモート アナライザにトラフィックをミラーリングするスイッチを設定する方法を示しています。
この設定では、アナライザ VLAN からの受信トラフィックをリモート監視ステーションが接続されたエグレス インタフェースにミラーリングするために、宛先スイッチにアナライザ セッションが必要となります。トランジット スイッチ上の remote-analyzerVLAN の MAC 学習を無効にするため、トランジット スイッチ上の remote-analyzerVLAN のすべてのメンバー インターフェイスに対して MAC 学習を無効にする必要があります。
図 7は、この例のネットワーク トポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 3 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
インターフェイス ge-0/0/10 は、トランジット スイッチに接続するレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/11 は、スイッチ上のレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/12 は、トランジット スイッチ上のレイヤー 2 インターフェイスであり、スイッチに接続します。
インターフェイス ge-0/0/13 は、宛先スイッチ上のレイヤー 2 インターフェイスです。
インターフェイス ge-0/0/14 は、宛先スイッチ上のレイヤー 2 インターフェイスであり、リモート監視ステーションに接続します。
VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
トランジット スイッチを通してリモート分析のすべての従業員のトラフィックのミラーリング
トランジット スイッチを介してリモート トラフィック分析のミラーリングを設定するには、受信および送信従業員トラフィックすべてに対して以下のタスクを実行します。
手順
CLIクイック構成
トランジット スイッチを介してリモート トラフィック分析のミラーリングを迅速に設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
送信元スイッチ(監視されたスイッチ)端末ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
トランジット スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
宛先スイッチ ウィンドウに以下のコマンドをコピーアンドペーストします。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
ステップバイステップでの手順
トランジット スイッチを介してリモート ミラーリングを設定するには:
送信元スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランク モードでトランジット スイッチに接続されたネットワーク ポート上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
トランジット スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランク モードの ge-0/0/11 インターフェイスを設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
トランク モードの インターフェイスを設定して、
remote-analyzerVLAN に関連付け、エグレス トラフィックのインターフェge-0/0/12イスのみを設定します。[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
remote-analyzerVLAN の オno-mac-learningプションを設定して、remote-analyzerVLAN のメンバーであるすべてのインターフェイスで MAC 学習を無効にします。[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
宛先スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
トランク モードの ge-0/0/13 インターフェイスを設定し、
remote-analyzerVLAN に関連付け、イングレス トラフィックのインターフェイスのみを設定します。[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
トランク モードのリモート監視ステーションに接続されたインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
トランジット スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
アナライザが正しく作成済みであることの確認
目的
employee-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
アナライザが コマshow analyzerンドを使用して、想定どおりに設定されているかどうかを確認できます。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。
送信元スイッチ上のすべてのトラフィックを監視しながらアナライザが想定どおりに設定されていることを確認するには、送信元スイッチ上の コマshow analyzerンドを実行します。この設定の例では、以下の出力が表示されます。
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
意味
この出力は、 アナemployee-monitorライザは比率が 1(各パケットをミラーリング、デフォルト)であり、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングし、アナライザ にミラーリングされたトラフィックを送信することを示していますremote-analyzer。