複数の宛先に対するポートミラーリングの設定
ネクストホップグループを使用した複数の宛先へのレイヤー2ポートミラーリングについて
MX シリーズルーターと EX シリーズスイッチでは、トンネルインターフェイスに適用されるレイヤー2ポートミラーリングファイアウォールフィルターでネクストホップグループを設定することで、複数の宛先にトラフィックをミラーリングできます。複数の宛先へのパケットのミラーリングは、 マルチパケットポートミラーリングとも呼ばれます。
Junos OSリリース9.5では、MXシリーズルーターでネクストホップグループを使用したレイヤー2 ポートミラーリング のサポートが導入されましたが、トンネルPICをインストールする必要がありました。Junos OS リリース 9.6 以降、MX シリーズ ルーターでネクストホップ グループを使用するレイヤー 2 ポート ミラーリングにトンネル PIC は必要ありません。
MX シリーズ ルーターと EX シリーズ スイッチでは、ネクストホップ グループにパケットをミラーリングするための ファイアウォール フィルター を定義できます。ネクストホップ グループには、レイヤー 2 メンバー、レイヤー 3 メンバー、およびユニット リスト(各インターフェイスにパケットをミラーリング)または負荷分散(複数のインターフェイスの 1 つにパケットをミラーリング)のいずれかのサブグループを含めることができます。MX シリーズ ルーターと EX シリーズ スイッチは、最大 30 のネクストホップ グループをサポートします。各ネクストホップグループは、最大16のネクストホップアドレスをサポートします。各ネクストホップ グループには、少なくとも 2 つのアドレスを指定する必要があります。
ネクストホップグループのメンバーへのポートミラーリングを有効にするには、ファイアウォールフィルターのフィルターアクションとしてネクストホップグループを指定してから、MXシリーズルーターまたはEXシリーズスイッチの論理トンネルインターフェイス(lt-)または仮想トンネルインターフェイス(vt-)にファイアウォールフィルターを適用します。
ミラーリングされたトラフィックの負荷分散にサブグループを使用することはサポートされていません。
ポートミラーリングのためのMXシリーズルーター上のネクストホップグループの定義
リリース 14.2 以降、インターネット プロセッサー II 特定用途向け集積回路(ASIC)または T シリーズ インターネット プロセッサーを搭載したルーターでは、分析のために IP バージョン 4(IPv4)または IP バージョン 6(IPv6)パケットのコピーをルーターから外部ホスト アドレスまたはパケット アナライザに送信できます。これは、ポートミラーリングと呼ばれています。
ポートミラーリングは、トラフィックサンプリングとは異なります。トラフィックサンプリングでは、IPv4ヘッダーに基づくサンプリングキーがルーティングエンジンに送信されます。そこで、キーをファイルに配置するか、キーに基づくcflowdパケットをcflowdサーバーに送信することができます。ポートミラーリングでは、パケット全体がコピーされ、ネクストホップインターフェイスを介して送信されます。
サンプリングとポートミラーリングの同時使用を設定し、ポートミラーリングされたパケットに独立したサンプリングレートとランレングスを設定できます。ただし、サンプリングとポートミラーリングの両方にパケットを選択した場合、実行できるアクションは1つだけで、ポートミラーリングが優先されます。たとえば、インターフェイスに入力されるすべてのパケットをサンプリングするようにインターフェイスを設定し、フィルターが別のインターフェイスにポートミラーリングするパケットも選択した場合、ポートミラーリングのみが有効になります。明示的なフィルターポートミラーリング条件に一致しないその他のパケットはすべて、最終宛先に転送される際に引き続きサンプリングされます。
ネクストホップグループを使用すると、複数のインターフェイスにポートミラーリングを含めることができます。
MX シリーズ ルーターでは、トンネル インターフェイスの入力トラフィックを複数の宛先にミラーリングできます。この形式のマルチパケットポートミラーリングでは、ネクストホップグループ内の2つ以上の宛先を指定し、そのネクストホップグループを参照するファイアウォールフィルターをフィルターアクションとして定義し、そのフィルターをMXシリーズルーターの論理トンネルインターフェイス lt-)または仮想トンネルインターフェイス(vt- に適用します。
レイヤー 2 ポートミラーリング ファイアウォール フィルター アクションのネクストホップ グループを定義するには:
例:M、MX、および T シリーズ ルーターでのネクストホップ グループによる複数ポート ミラーリングの設定
複数のパケット タイプを含むトラフィックを分析する必要がある場合、または 1 つのトラフィック タイプに対して複数のタイプの分析を実行する場合は、複数のポート ミラーリングとネクストホップ グループを実装できます。グループごとに最大 16 個のトラフィックのコピーを作成し、そのトラフィックをネクストホップ グループ メンバーに送信できます。ルーターには、一度に最大 30 のグループを設定できます。ポートミラーリングされたトラフィックは、集約型SONET/SDH、集約型イーサネット、ループバック(lo0)、管理(fxp0)インターフェイスを除くすべてのインターフェイスに送信できます。ポートミラーされたトラフィックを複数のフローサーバーまたはパケットアナライザに送信するには、[edit forwarding-options]階層レベルで next-hop-group ステートメントを使用できます。
図 1 は、ネクストホップ グループで複数のポート ミラーリングを設定する方法の例を示しています。すべてのトラフィックは、インターフェイス ge-1/0/0 で監視ルーターに入ります。ファイアウォールフィルターは、トンネルサービスPICへのすべての着信パケットをカウントし、ポートミラーリングします。2 つ目のフィルターはトンネル インターフェイスに適用され、トラフィックを 3 つのカテゴリに分割します。HTTP トラフィック、FTP トラフィック、その他すべてのトラフィック。3 種類のトラフィックは、3 つの個別のネクストホップ グループに割り当てられます。各ネクストホップグループには、パケットアナライザとフローサーバーの異なるグループにつながる一意の出口インターフェイスのペアが含まれています。
同じ PFE から異なる宛先にパケットをミラーリングできるインスタンスも、インスタンスごとに異なるサンプリングパラメータを使用します。グローバルポートミラーリングとインスタンスベースのポートミラーリングの両方でレイヤー2ポートミラーリングを設定すると、PICレベルのインスタンスがFPCレベルを上書きし、FPCレベルがグローバルインスタンスを上書きします。
[edit]
interfaces {
ge-1/0/0 { # This is the input interface where packets enter the router.
unit 0 {
family inet {
filter {
input mirror_pkts; # Here is where you apply the first filter.
}
address 10.11.1.1/24;
}
}
}
ge-1/1/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.12.1.1/24;
}
}
}
ge-1/2/0 { # This is an exit interface for HTTP packets.
unit 0 {
family inet {
address 10.13.1.1/24;
}
}
}
so-0/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
so-4/3/0 { # This is an exit interface for FTP packets.
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
so-7/0/0 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.5.5.1/30;
}
}
}
so-7/0/1 { # This is an exit interface for all remaining packets.
unit 0 {
family inet {
address 10.6.6.1/30;
}
}
}
vt-3/3/0 { # The tunnel interface is where you send the port-mirrored traffic.
unit 0 {
family inet;
}
unit 1 {
family inet {
filter {
input collect_pkts; # This is where you apply the second firewall filter.
}
}
}
}
}
forwarding-options {
port-mirroring { # This is required when you configure next-hop groups.
family inet {
input {
rate 1; # This port-mirrors all packets (one copy for every packet received).
}
output { # Sends traffic to a tunnel interface to enable multiport mirroring.
interface vt-3/3/0.1;
no-filter-check;
}
}
}
next-hop-group ftp-traffic { # Point-to-point interfaces require you to specify the
interface so-4/3/0.0; # interface name.
interface so-0/3/0.0;
}
next-hop-group http-traffic { # Configure a next hop for all multipoint interfaces.
interface ge-1/1/0.0 {
next-hop 10.12.1.2;
}
interface ge-1/2/0.0 {
next-hop 10.13.1.2;
}
}
next-hop-group default-collect {
interface so-7/0/0.0;
interface so-7/0/1.0;
}
}
firewall {
family inet {
filter mirror_pkts { # Apply this filter to the input interface.
term catch_all {
then {
count input_mirror_pkts;
port-mirror; # This action sends traffic to be copied and port-mirrored.
}
}
}
filter collect_pkts { # Apply this filter to the tunnel interface.
term ftp-term { # This term sends FTP traffic to an FTP next-hop group.
from {
protocol ftp;
}
then next-hop-group ftp-traffic;
}
term http-term { # This term sends HTTP traffic to an HTTP next-hop group.
from {
protocol http;
}
then next-hop-group http-traffic;
}
term default { # This sends all remaining traffic to a final next-hop group.
then next-hop-group default-collectors;
}
}
}
}
例:複数の宛先へのレイヤー2ポートミラーリング
MXシリーズルーターでは、トンネルインターフェイスに適用されるレイヤー2ポートミラーリングファイアウォールフィルターでネクストホップグループを設定することで、複数の宛先にトラフィックをミラーリングできます。
FPC 2のPIC 0でトンネルサービスをサポートするようにシャーシを設定します。この設定には、FPC 2、PIC 0、ポート 10 上の 2 つの論理トンネル インターフェイスが含まれています。
[edit] chassis { fpc 2 { pic 0 { tunnel-services { bandwidth 1g; } } } }3つのブリッジドメインと1つのレイヤー2 VPN CCCの物理および論理インターフェイスを設定します。
ブリッジ ドメイン bd は、論理インターフェイス ge-2/0/1.0 と ge-2/0/1.1にまたがります。
ブリッジ ドメイン bd_next_hop_group は、論理インターフェイス ge-2/2/9.0 と ge-2/0/2.0にまたがります。
ブリッジ ドメイン bd_port_mirror は、論理トンネル インターフェイス lt-2/0/10.2を使用します。
レイヤー2 VPN CCC if_switch は、論理インターフェイス ge-2/0/1.2 と lt-2/0/10.1を接続します。
[edit] interfaces { ge-2/0/1 { flexible-vlan-tagging; encapsulation flexible-ethernet-services; unit 0 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 200; family bridge { filter { input pm_bridge; } } } unit 1 { # An interface on bridge domain ’bd’. encapsulation vlan-bridge; vlan-id 201; family bridge { filter { input pm_bridge; } } } unit 2 { encapsulation vlan-ccc; vlan-id 1000; } } ge-2/0/2 { # For ’bd_next_hop_group’ encapsulation ethernet-bridge; unit 0 { family bridge; } } lt-2/0/10 { unit 1 { encapsulation ethernet-ccc; peer-unit 2; } unit 2 { encapsulation ethernet-bridge; peer-unit 1; family bridge { filter { output redirect_to_nhg; } } } } ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { # For ’bd_next_hop_group’ family bridge; } } }3つのブリッジドメインとレイヤー2 VPNスイッチングCCCを設定します。
ブリッジ ドメイン bd は、論理インターフェイス ge-2/0/1.0 と ge-2/0/1.1にまたがります。
ブリッジ ドメイン bd_next_hop_group は、論理インターフェイス ge-2/2/9.0 と ge-2/0/2.0にまたがります。
ブリッジ ドメイン bd_port_mirror は、論理トンネル インターフェイス lt-2/0/10.2を使用します。
レイヤー2 VPN CCC if_switch は、インターフェイス ge-2/0/1.2 と lt-2/0/10.1を接続します。
[edit] bridge-domains { bd { interface ge-2/0/1.0; interface ge-2/0/1.1; } bd_next_hop_group { interface ge-2/2/9.0; interface ge-2/0/2.0; } bd_port_mirror { interface lt-2/0/10.2; } } protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.2; interface lt-2/0/10.1; } } }レイヤー2スイッチングクロスコネクト用のCCC接続の設定の詳細については、 MPLSアプリケーションユーザーガイドを参照してください。
転送オプションを構成します。
グローバルポートミラーリングプロパティを設定して、ブリッジドメインbd_port_mirror上のインターフェイスにfamily vplsトラフィックをミラーリングします。
レイヤー2トラフィックをブリッジドメインbd_next_hop_groupに転送するようにネクストホップグループnhg_mirror_to_bdを設定します。
これらの転送オプションは両方とも、ポートミラーリング ファイアウォール フィルターによって参照されます。
[edit] forwarding-options { port-mirroring { # Global port mirroring properties. input { rate 1; } family vpls { output { interface lt-2/0/10.2; # Interface on ’bd_port_mirror’ bridge domain. no-filter-check; } } } next-hop-group nhg_mirror_to_bd { # Configure a next-hop group. group-type layer-2; # Specify ’layer-2’ for Layer 2; default ’inet’ is for Layer 3. interface ge-2/0/2.0; # Interface on ’bd_next_hop_group’ bridge domain. interface ge-2/2/9.0; # Interface on ’bd_next_hop_group’ bridge domain. } }family bridgeトラフィック用に 2 つのレイヤー 2 ポートミラーリング ファイアウォール フィルターを設定します。
filter_pm_bridge- すべての family bridge トラフィックをグローバル ポート ミラーリングの宛先に送信します。
filter_redirect_to_nhg- すべての family bridge トラフィックを最終ネクストホップ グループ nhg_mirror_to_bdに送信します。
family bridgeトラフィック用のレイヤー2ポートミラーリングファイアウォールフィルターは、カプセル化ethernet-bridgeが設定された物理インターフェイス上のトラフィックに適用されます。
[edit] firewall { family bridge { filter filter_pm_bridge { term term_port_mirror { then port-mirror; } } filter filter_redirect_to_nhg { term term_nhg { then next-hop-group nhg_mirror_to_bd; } } } }
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。