- play_arrow 概要
- play_arrow 運用、管理、および管理機能
- play_arrow ルーターのイーサネットOAMと接続障害管理
- play_arrow ルーターのリンク障害管理
- play_arrow スイッチのイーサネットOAMリンク障害管理
- play_arrow スイッチのイーサネットOAM接続障害管理
- play_arrow イーサネット フレーム遅延
- play_arrow ルーター向けイーサネット サービス OAM(ITU-TY.1731)
-
- play_arrow SNMP を使用したネットワーク監視
- SNMP アーキテクチャと SNMP MIB の概要
- Junos OSでのSNMP実装を理解する
- Junos OS で SNMP を設定する
- SNMP応答時間の向上のための管理デバイス上のオプションの構成
- SNMPカバレッジを強化するエンタープライズ固有のユーティリティMIB
- ネットワーク管理システム設定を最適化し最良の結果を生む
- SNMP 要求を受け入れるインターフェイス
- ルーティングインスタンスのSNMPを設定する
- SNMPリモート操作を設定する
- SNMPトラップ
- Junos OS でサポートされている SNMP トラップ
- SNMP アクティビティのトレース
- SNMPグループのアクセス権限
- SNMPv3でのローカルエンジンIDの設定
- SNMPv3の設定
- SNMPv3認証タイプと暗号化タイプを設定する
- SNMPv3 トラップ
- SNMPv3 インフォーム
- SNMPコミュニティ
- MIB ビュー
- Junos OSおよびJunos OS EvolvedでサポートされているSNMP MIB
- Junos OS SNMP FAQ
- play_arrow SNMPアラームとイベントによるリモートネットワーク監視(RMON)
- play_arrow アカウンティング オプション
- play_arrow 監視オプション
- play_arrow インターフェイスアラーム
- play_arrow IP 監視
- play_arrow sFlow監視技術
- play_arrow ルーターとスイッチのアダプティブ サンプリング
- play_arrow パケットフローアクセラレータ診断ソフトウェア
-
- play_arrow 一般的なセキュリティ機能の監視
- play_arrow パフォーマンス管理
- play_arrow システム ログ メッセージ
- play_arrow ネットワーク管理とトラブルシューティング
- play_arrow 設定ステートメントと運用コマンド
リモート宛先のポート ミラーリングの設定
宛先をVLANとして使用したリモート宛先へのレイヤー2ポートミラーリング
EX9200スイッチにポートミラーリングを設定して、インターフェイス、ルーティングインスタンス、VLANなどの出力先にトラフィックのコピーを送信します。また、入力トラフィックに対しては、さまざまな一致条件とアクションを持つファイアウォールフィルター条件を設定できます。
ポートミラーリング設定で出力先としてVLANを設定すると、各ポートミラーリングセッションのトラフィックは、参加するすべてのスイッチでそのミラーリングセッション専用のユーザー指定のVLANを介して伝送されます。ミラーリングされたトラフィックは、そのVLAN(ミラーVLANとも呼ばれる)にコピーされ、ミラーVLANのメンバーであるインターフェイスに転送されます。ミラーVLANのメンバーである宛先インターフェイスは、すべてのスイッチのミラーリングセッションに同じリモートミラーリングVLANが使用されていれば、ネットワーク内の複数のスイッチにまたがることができます。
ポートミラーリングの出力宛先としてVLANを設定することで、リモートの宛先にトラフィックをミラーリングする場合、ファイアウォールフィルター設定で port-mirror または port-mirror-instance アクションを使用できます。
リモート VLAN への設定レイヤー 2 ポート ミラーリング
EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して以下のパケットをコピーすることができます。
ポートを出入りするパケット
VLANを出入りするパケット
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していないときに構成したポートミラーリングを無効にします。
ポートミラーリング設定ですべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
以下を行ってミラーリングするトラフィックの量を制限します。
統計に基づいたサンプルを使用します。
統計サンプルを選択する比率を設定します。
ファイアウォールフィルターを使用します。
リモート VLAN へのポート ミラーリングの設定
ポートミラーリングインスタンスにミラーリングされるパケットをフィルターするには、インスタンスを作成し、次にファイアウォールフィルターのアクションとして使用します。ローカルとリモート両方のミラーリング設定で、ファイアウォールフィルターを使用できます。
複数のフィルターまたは条件で同じポートミラーリングインスタンスを使用する場合、パケットはポートミラーリング出力ポートまたはポートミラーリングVLANに1回だけコピーされます。
ミラーリングされたトラフィックをフィルターするには、[edit forwarding-options]階層レベルでポートミラーリングインスタンスを作成し、次にファイアウォールフィルターを作成します。フィルターは使用可能な一致条件のいずれかを使用でき、port-mirror-instance instance-nameをアクションとして持つ必要があります。ファイアウォールフィルター設定でのこのアクションは、ポートミラーリングインスタンスへの入力を提供します。
ファイアウォールフィルターでポートミラーリングインスタンスを設定するには、以下を行います。
例:リモートVLANへのレイヤー2ポートミラーリングの設定
EX9200スイッチを使ってミラーリングを設定し、ローカル監視用にローカルインターフェイスに、またはリモート監視用にVLANにパケットのコピーを送信することができます。ミラーリングを使用して、これらのパケットをコピーできます。
ポートを出入りするパケット
VLANに入る、またはVLANに存在するパケット
アナライザ VLAN にミラーリングされたトラフィックを送信する場合、リモート監視ステーション上で実行されているプロトコル アナライザ アプリケーションを使用してミラーリングされたトラフィックを分析できます。
このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、スイッチ上のポートに入るトラフィックを remote-analyzer VLAN にミラーリングする方法について説明します。最初の例は、従業員のコンピュータに接続されたポートに入るすべてのトラフィックを、ミラーリングする方法を示しています。2 つ目の例では、同じシナリオを示していますが、Web サイトに行く従業員のトラフィックだけをミラーリングするためのフィルターが含まれています。
パフォーマンスに与える影響を軽減するため、必要なパケットのみをミラーリングします。以下のことを推奨します。
使用していない時は、設定済みのミラーリング セッションを無効にします。
すべてのインターフェイスを入力として指定するのではなく、個別のインターフェイスを入力として指定します。
ファイアウォールフィルターを使用して、ミラーリングされたトラフィックの量を制限します。
この例では、リモート ミラーリングの設定方法を説明します。
要件
リモート ミラーリングを設定する前に、必ず以下のようにしてください。
ミラーリングの概念を理解できました。
ポートミラーリングが出力インターフェイスとして使用するインターフェイスは、スイッチ上で設定されています。
概要とトポロジー
このトピックでは、関連する 2 つの例として、リモートの監視ステーションから分析を行えるように、 remote-analyzer VLAN へのミラーリングを設定する方法について説明します。最初の例では、従業員のコンピューターからのすべてのトラフィックをミラーリングするようにスイッチを設定する方法を示しています。2 つ目の例では、同じシナリオを示していますが、その設定には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
図 1 は、これら両方の例のシナリオのネットワークトポロジーを示しています。
トポロジー
この例では:
インターフェイス ge-0/0/0 はレイヤー 2 インターフェイスであり、インターフェイス ge-0/0/1 は、従業員のコンピューターのための接続として機能するレイヤー 2 インターフェイス(送信元スイッチ上の両方のインターフェイス)です。
インターフェイス ge-0/0/10 は、送信元のスイッチと宛先スイッチを接続するレイヤー 2 インターフェイスです。
インターフェース ge-0/0/5 は、宛先スイッチをリモート監視ステーションに接続するレイヤー 2 インターフェイスです。
VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
従業員から Web サイトへのトラフィックをミラーリングして、リモート分析
従業員から Web サイトへのリモートトラフィック分析のためにポートミラーリングを設定するには、以下のタスクを実行します。
手順
CLIクイック構成
従業員のトラフィックを外部の Web にミラーリングするポートミラーリングを素早く設定するには、以下のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
送信元スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
content_copy zoom_out_map[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
宛先スイッチの端末ウィンドウに以下のコマンドをコピーアンドペーストします。
content_copy zoom_out_map[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
ステップバイステップでの手順
リモート監視ステーションから使用するために、従業員のコンピューターに接続された 2 つのポートから remote-analyzer VLAN へのすべてのトラフィックのポートミラーリングを設定するには:
送信元スイッチ上:
employee-web-monitorポートミラーリングインスタンスを設定します。content_copy zoom_out_map[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
remote-analyzerVLAN の VLAN ID を設定します。content_copy zoom_out_map[edit vlans] user@switch# set remote-analyzer vlan-id 999
remote-analyzerVLAN に関連付けるようにインターフェイスを設定します。content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
watch-employeeと呼ばれるファイアウォールフィルターを設定します。content_copy zoom_out_map[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
この設定では、
employee-to-corp条件は、宛先アドレス192.0.2.16/28および送信元アドレス192.0.2.16/28からのトラフィックがスイッチを通過できるように定義し、employee-to-web条件は、ポート80からのトラフィックをポートミラーリングインスタンスemployee-web-monitorに送信する必要があることを定義します。従業員のインターフェイスにファイアウォールフィルターを適用します。
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
宛先スイッチ上:
remote-analyzerVLAN の VLAN ID を設定します。content_copy zoom_out_map[edit vlans] user@switch# set remote-analyzer vlan-id 999
アクセス モードで宛先スイッチ上のインターフェイスを設定し、
remote-analyzerVLAN に関連付けます。content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
宛先スイッチに接続されているインターフェイスをアクセス モードで構成し、それを
remote-analyzerVLAN に関連付けます。content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
結果
送信元スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
宛先スイッチ上の設定の結果を確認します。
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ポートミラーリング インスタンスが正しく作成済みであることの確認
目的
ポートミラーインスタンス employee-web-monitor が、適切な出力VLANを持つスイッチ上に作成されていることを確認します。
アクション
ポートミラーが想定どおりに設定されていることを確認するには、 show forwarding-options port-mirror コマンドを使用します。以前に作成され、無効にしたアナライザを表示するには、J-Web インターフェイスに移動します。
送信元スイッチ上の従業員のトラフィックを監視しながら、ポートミラーが想定どおりに設定されていることを確認するには、送信元スイッチ上で show forwarding-options port-miror コマンドを実行します。この設定の例では、以下の出力が表示されます:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
意味
この出力は、 employee-web-monitor インスタンスの比率が 1(すべてのパケットをミラーリングする、デフォルト)、ミラーリングされた元のパケットの最大サイズ (0 はパケット全体を示す)、設定の状態が up (適切な状態であり、アナライザがプログラムされており、ge-0/0/0 および ge-0/0/1 に入るトラフィックをミラーリングしていることを示します)、 は、ミラーリングされたトラフィックを remote-analyzer)と呼ばれるVLANに送信します。
