ポートミラーリングのローカルおよびリモート分析の設定
ポートミラーリングの設定
ポートミラーリングを使用してパケットをコピーし、ネットワークアナライザや侵入検知アプリケーションなどのアプリケーションを実行しているデバイスにコピーを送信することで、トラフィックを遅延させることなく分析できます。ポートに出入りするトラフィックやVLANに入るトラフィックをミラーリングし、ローカル アクセス インターフェイスまたはトランク インターフェイスを介してVLANにコピーを送信することができます。
使用していない時は、ポートミラーリングを無効にすることをお勧めします。パフォーマンスの問題の発生を回避するには ポート ミラーリングを有効にする場合は、 all キーワードを使用する代わりに、特定の入力インターフェイスを選択することをお勧めします。ファイアウォールフィルターを使用して、ミラーリングされるトラフィックの量を制限することもできます。
このタスクでは、拡張レイヤー2ソフトウェア(ELS)構成スタイルを使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 ポート ミラーリングの設定を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
既存のアナライザーを削除せずに追加のアナライザーを作成する場合は、まず disable analyzer analyzer-name コマンドを使用して既存のアナライザーを無効にします。
ポートミラーリング出力インターフェイスを family ethernet-switching として設定する必要があります。
ローカル分析用のポート ミラーリングの構成
スイッチ上のローカルインターフェイスにインターフェイストラフィックをミラーリングするには:
リモート分析用のポート ミラーリングの設定
離れた場所で分析するためにトラフィックをVLANにミラーリングするには:
アナライザに入るトラフィックをフィルタリングする
この機能は、NFX150デバイスではサポートされていません。
アナライザを設定してミラーリングするトラフィックを指定するだけでなく、ファイアウォールフィルターを使用して、コピーするパケットをより細かく制御することもできます。例えば、フィルターを使用して、特定のアプリケーションからのトラフィックのみをミラーリングするように指定できます。フィルターは、利用可能な任意の照合条件を使用でき、 port-mirror-instance instance-name. の修飾子のアクションを持つ必要があります。 同じアナライザを複数のフィルターまたは条件で使用する場合、出力パケットは一度だけコピーされます。
ポートミラーリングインスタンスへの入力としてファイアウォールフィルターを使用する場合は、ファイアウォールが関与しない場合と同様に、コピーされたトラフィックをローカルインターフェイスまたはVLANに送信します。
フィルターを使ってポート ミラーリングを構成するには:
SRXシリーズファイアウォールでのポートミラーリングの設定
SRXデバイスでポートミラーリングを設定するには、まず[edit]階層レベルでforwarding-optionsとinterfacesを設定する必要があります。
ポートミラーリング用のmirror-toポートのインスタンスを定義するには、forwarding-optionsステートメントを設定し、ミラーリングされるインターフェイスも設定する必要があります。
ミラーリングされたポートとミラー先ポートは、 I/O カード内の同じ Broadcom チップセットの下にある必要があります。
ポートミラーリングを設定するには:
instance 句を設定して、複数の mirror-to ポートを指定できます。
インターフェイスをミラーリングするには、[edit interface mirrored-intf-name]階層レベルで port-mirror-instance ステートメントを含めます。
ミラーリングされたインターフェイスは、 forwarding-optionsで定義されたインスタンス名を使用して設定されます。mirroredポートとmirror-toポートは、そのインスタンスを介してリンクされます。
instance {
inst-name {
input {
rate number;
run-length number;
}
family any {
output {
interface intf-name;
}
}
}
}
interfaces
mirrored-intf-name {
port-mirror-instance instance-name;
}
SRXシリーズファイアウォールのポートミラーリングでは、トラフィックの方向は区別されませんが、イングレスとエグレスのサンプルを一緒にミラーリングします。
ポートミラーリングの設定例を以下に示します。
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options
port-mirroring {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
instance {
inst1 {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
}
}
interfaces {
ge-1/0/2 {
port-mirror-instance inst1;
}
}
例:ローカル分析用のポート ミラーリングの構成
ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するアプリケーションにトラフィックを送信します。ポートミラーリングは、インターフェイスに出入りするパケットやVLANに入るパケットをコピーし、ローカル監視用にローカルインターフェイスにコピーを送信します。
この例では、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルを使用します。ELSの詳細については、拡張レイヤー2ソフトウェアCLIの使用を参照してください。
この例では、従業員のコンピュータからスイッチに送信されたトラフィックを、同じスイッチ上のアクセス インターフェイスにコピーするポート ミラーリングを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース13.2
スイッチ
概要とトポロジー
このトピックでは、関連する 2 つの例として、スイッチ上のインターフェイスに入るトラフィックを、同じスイッチ上のアクセス インターフェイスにミラーリングする方法について説明します。最初の例では、従業員のコンピューターからスイッチに送信されたすべてのトラフィックをミラーリングする方法を示しています。2 つ目の例には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
トポロジー
この例では、 xe-0/0/0 と xe-0/0/6 が従業員のコンピューターの接続として機能します。インターフェイス xe-0/0/47 は、アナライザ アプリケーションを実行しているデバイスに接続されています。
1 つのインターフェイスに複数のポートをミラーリングすると、バッファー オーバーフローやパケットのドロップが発生する可能性があります。
図 1は、この例のネットワーク トポロジーを示しています。
例:ローカル分析用の全従業員のトラフィックのミラーリング
ローカル分析のために従業員のコンピューターから送信されるすべてのトラフィックに対してポートミラーリングを設定するには、このセクションで説明するタスクを実行します。
手順
CLIクイック構成
従業員のコンピューターに接続された 2 つのポートへのイングレストラフィックにローカルポートミラーリングを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウにペーストします。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
ステップバイステップでの手順
employee-monitorと呼ばれるアナライザを設定し、入力(ソース)インターフェイスと出力インターフェイスを指定するには:
従業員のコンピューターに接続されているインターフェイスを、ポートミラーアナライザ
employee-monitorの入力インターフェイスとして設定します。[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
employee-monitorアナライザに対して出力アナライザインターフェイスを設定します。これがミラーリングされたパケットの宛先インターフェイスとなります。[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
結果
構成の結果を確認します。
[edit]
user@switch# show forwarding-options analyzer
employee-monitor {
input {
ingress {
interface xe-0/0/0.0;
interface xe-0/0/6.0;
}
}
output {
interface {
xe-0/0/47.0;
}
}
}
}
例:ファイアウォールフィルターによる従業員のWebトラフィックのミラーリング
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つのQFX5100スイッチ
Junos OSリリース14.1X53-D30
概要
すべてのトラフィックをミラーリングするのではなく、通常は特定のトラフィックのみをミラーリングすることが望ましいです。これは、帯域幅とハードウェアのより効率的な使用であり、これらの資産の制約のために必要になる場合があります。ミラーリングする特定のトラフィックを選択するには、ファイアウォールフィルターを使用して目的のトラフィックを照合し、ポートミラーリングインスタンスに誘導します。次に、ポートミラーリングインスタンスはパケットをコピーして、出力VLAN、インターフェイス、またはIPアドレスに送信します。
設定
ミラーリングされるトラフィックが従業員から Web に送信されるトラフィックのみであることを指定するには、このセクションで説明するタスクを実行します。このトラフィックをミラーリング用に選択するには、ファイアウォールフィルターを使用してこのトラフィックを指定し、ポートミラーリングインスタンスに誘導します。
手順
CLIクイック構成
従業員のコンピューターから Web を宛先とするトラフィックのローカルポートミラーリングを迅速に設定するには、次のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
ステップバイステップでの手順
従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ポート ミラーリングを構成するには:
出力インターフェイスを設定します。
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
employee-web-monitor出力インターフェイスを設定します。(出力のみを設定し、入力はフィルターから取得します)。[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
Web に送信されたトラフィックに一致する条件を含む
watch-employeeと呼ばれるファイアウォール フィルターを設定し、それをポートミラーリング インスタンスemployee-web-monitorに送信します。企業サブネットとの間のトラフィック(宛先アドレスまたは送信元アドレスが192.0.2.16/28)はコピーする必要がないため、別の用語を作成して、インスタンスに Web トラフィックを送信する条件に達する前にそのトラフィックを受け入れます。[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
ファイアウォールフィルターを、イングレスフィルターとして適切なインターフェイスに適用します(エグレスフィルターはアナライザを許可しません)。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
結果
構成の結果を確認します。
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface xe-0/0/47.0;
}
}
}
}
}
}
...
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
ip-source-address 192.0.2.16/28;
ip-destination-address 192.0.2.16/28;
}
then accept;
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
xe-0/0/47 {
family ethernet-switching;
}
}
検証
アナライザが正しく作成済みであることの確認
目的
employee-web-monitorという名前のポートミラーリングインスタンスが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上に作成されていることを確認します。
アクション
ポートミラーポートミラーリングインスタンスが想定どおりに設定されていることを確認するには、 show forwarding-options port-mirroring コマンドを使用します。
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
意味
この出力は、ポートミラーリングインスタンス employee-web-monitorに関する以下の情報を示しています。
レートが
1(すべてのパケットをミラーリング、デフォルト設定)サンプリングされる連続パケット数(ランレングス)は
0ミラーリングされた元のパケットの最大サイズは
0です(0はパケット全体を示します)出力パラメータの状態:
upは、インスタンスがxe-0/0/0およびxe-0/0/6インターフェイスに入るトラフィックをミラーリングし、ミラーリングされたトラフィックをxe-0/0/47インターフェイスに送信していることを示します
出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、 state 値は down となり、インスタンスはミラーリング用にプログラムされません。
例:リモート分析用のポート ミラーリングの設定
ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するアプリケーションにトラフィックを送信します。ポートミラーリングは、インターフェイスに出入りするパケットやVLANに入るパケットをコピーし、ローカル監視の場合はローカルインターフェイスに、リモート監視の場合はVLANにコピーを送信します。この例では、リモート分析用にポート ミラーリングを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
QFXシリーズのJunos OSリリース13.2
スイッチ
概要とトポロジー
このトピックでは、関連する 2 つの例として、リモート デバイスを使用して分析を行えるように、スイッチ上のポートに入るトラフィックをアナライザ VLAN にミラーリングする方法について説明します。最初の例では、従業員のコンピューターからスイッチに送信されたすべてのトラフィックをミラーリングする方法を示しています。2 つ目の例には、Web サイトに行く従業員のトラフィックだけをミラーリングするフィルターが含まれています。
トポロジー
この例では:
インターフェイス
ge-0/0/0とge-0/0/1は、従業員のコンピューターに接続するレイヤー 2 インターフェイスです。インターフェイス
ge-0/0/2は、別のスイッチに接続するレイヤー 2 インターフェイスです。VLAN は、トラフィックを伝送するため、トポロジー内のスイッチすべてで設定
remote-analyzerされています。
ここで説明する設定手順の実行に加えて、送信元スイッチ(この設定では)をモニタリング ステーションの接続先のスイッチに送信元スイッチ(この例ではremote-analyzer )を接続するために使用する他のスイッチにもアナライザ VLAN(この例では)を設定する必要があります。
すべての従業員のトラフィックをミラーリングしてリモート分析
手順
CLIクイック構成
この例のセクションをすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 edit 階層レベルの CLI にコマンドをコピーして貼り付けます。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
ステップバイステップでの手順
基本的なリモートポートミラーリングを設定するには:
アナライザ VLAN(この例では
remote-analyzerと呼びます)を設定します。[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
別のスイッチに接続されているインターフェイスをトランク モードで設定し、
remote-analyzerVLAN に関連付けます。[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アナ
employee-monitorライザーを設定します。[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
このスイッチを監視ワークステーションに接続するスイッチで
remote-analyzerVLANを設定します。
結果
構成の結果を確認します。
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
従業員から Web サイトへのトラフィックをミラーリングして、リモート分析
CLIクイック構成
この例のセクションをすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 edit 階層レベルの CLI にコマンドをコピーして貼り付けます。
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
手順
ステップバイステップでの手順
アナライザ VLAN(この例では
remote-analyzerと呼びます)を設定します。[edit vlans] user@switch# set remote-analyzer vlan-id 999
remote-analyzerVLAN に関連付けるようにインターフェイスを設定します。[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
アナ
employee-web-monitorライザを設定します。(出力のみを設定し、入力はフィルターから取得します)。[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Web に送信されたトラフィックを照合してアナライザーに送信するように、
watch-employeeと呼ばれるファイアウォール フィルターを構成しemployee-web-monitor:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
ファイアウォールフィルターを、イングレスフィルターとして適切なインターフェイスに適用します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
このスイッチを監視ワークステーションに接続するスイッチで
remote-analyzerVLANを設定します。
結果
構成の結果を確認します。
[edit]
user@switch# show
interfaces {
...
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
...
firewall {
family ethernet-switching {
...
filter watch-employee {
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options analyzer {
employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
検証
アナライザが正しく作成済みであることの確認
目的
employee-monitor または employee-web-monitor という名前のアナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
ポートミラーアナライザが想定どおりに設定されていることは、 show analyzer コマンドを使用して確認できます。
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
意味
この出力は、employee-monitor アナライザがge-0/0/0 および ge-0/0/1に入るトラフィックをミラーリングし、アナライザ トラフィックをアナライザ remote-analyzerに送信していることを示しています。