論理インターフェイスでのポートミラーリングの設定
レイヤー2ポートミラーリングファイアウォールフィルター
このトピックでは、次の情報について説明します。
- レイヤー 2 ポート ミラーリング ファイアウォール フィルターの概要
- 論理インターフェイスで受信または送信したパケットのミラーリング
- VLANに転送またはフラッディングされたパケットのミラーリング
- VPLSルーティングインスタンスに転送またはフラッディングされたパケットのミラーリング
レイヤー 2 ポート ミラーリング ファイアウォール フィルターの概要
MX シリーズルーターと EX シリーズスイッチでは、ファイアウォールフィルター の条件を設定して、ファイアウォールフィルターが適用されるインターフェイス内のすべてのパケットにレイヤー2ポートミラーリングを適用することを指定できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、入力または出力論理インターフェイス(集合型イーサネット論理インターフェイスを含む)、VLAN に転送またはフラッディングされたトラフィック、VPLS ルーティング インスタンスにフラッディングされたトラフィックに適用できます。
MX シリーズ ルーターと EX シリーズ スイッチは、レイヤー 2 環境の family ccc を使用して、VPLS(family ethernet-switching または family vpls)トラフィックとレイヤー 2 VPN トラフィックのレイヤー 2 ポート ミラーリングをサポートします
ファイアウォール フィルター term内では、次のいずれかの方法で then ステートメントでレイヤー 2 ポートミラーリング プロパティを指定できます。
ポート上の効果でレイヤー 2 ポート ミラーリング プロパティを暗示的に参照します。
レイヤー2ポートミラーリングの特定の名前付きインスタンスを明示的に参照します。
レイヤー2ポートミラーリングファイアウォールフィルターを設定する場合、ルート送信元アドレスに基づいて一致条件を指定するオプションの from ステートメントを含めないでください。このステートメントを省略すると、すべてのパケットが一致したと見なされ、then ステートメントで指定されたすべてのactionsとaction-modifiersが取得されます。
すべての着信パケットをミラーリングする場合は、from ステートメントを使用しないでください。/*コメント:1 つは、パケットのサブセットのみをミラーリングすることに関心がある場合は、From でフィルター条件を構成します。
IRB(統合型ルーティングおよびブリッジング)を VLAN(またはVPLSルーティングインスタンス)に関連付け、VLAN(またはVPLSルーティングインスタンス)内で port-mirror または port-mirror-instance アクションで転送テーブルフィルターを設定した場合、IRBパケットはレイヤー2パケットとしてミラーリングされます。VLAN(またはVPLSルーティングインスタンス)で no-irb-layer-2-copy ステートメントを設定することで、この動作を無効にすることができます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターの構成方法の詳細については、 レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義を参照してください。
プロバイダー エッジ(PE)ルーターまたは PE スイッチとして構成された MX ルーターおよび EX シリーズ スイッチでレイヤー 2 ポートミラーリング ファイアウォール フィルターを使用する方法の詳細については、 PE ルーター論理インターフェイスのレイヤー 2 ポート ミラーリングについてを参照してください。ファイアウォールフィルターの一般的な設定(レイヤー3環境を含む)の詳細については、ルーティングポリシー、ファイアウォールフィルタ、およびトラフィックポリサーユーザーガイド」を参照してください。
論理インターフェイスで受信または送信したパケットのミラーリング
論理インターフェイスで受信または送受信されるレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターをインターフェイスの入力または出力に適用します。
ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスにも適用できます。詳細については、 PEルーター集合型イーサネットインターフェイスのレイヤー2ポートミラーリングについてを参照してください。
ポートミラーリング ファイアウォール フィルターが論理インターフェイスの入力と出力の両方に適用される場合、各パケットの 2 つのコピーがミラーリングされます。ルーターまたはスイッチが同じ宛先に重複したパケットを転送するのを防ぐには、レイヤー2パケットアドレスファミリーのグローバルインスタンスで、レイヤー2ポートミラーリングの「ミラーワンス」オプションを有効にします。
VLANに転送またはフラッディングされたパケットのミラーリング
VLANに転送またはVLANにフラッディングされたレイヤー2トラフィックをミラーリングするには、ポートミラーリングファイアウォールフィルターを転送テーブルまたはフラッディングテーブルへの入力に適用します。VLAN 転送テーブルまたはフラッディング テーブルで受信され、フィルタ条件に一致するパケットはすべてミラーリングされます。
VLAN の詳細については、 レイヤー 2 ブリッジ ドメインについて を参照してください。VLAN のフラッディング動作については、 ブリッジ ドメインのレイヤー 2 ラーニングと転送 についてを参照してください。
1 つの VLAN の下の任意のインターフェイスにポート ミラーリングを設定すると、ミラーリングされたパケットを異なる VLAN にある外部アナライザに移動できます。
VPLSルーティングインスタンスに転送またはフラッディングされたパケットのミラーリング
VPLS ルーティング インスタンスに転送またはフラッディングされたレイヤー 2 トラフィックをミラーリングするには、ポートミラーリング ファイアウォール フィルターを転送テーブルまたはフラッディング テーブルへの入力に適用します。VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブルで受信され、フィルタ条件に一致するパケットはすべてミラーリングされます。
VPLSルーティングインスタンスの詳細については、 VPLSルーティングインスタンスの設定および ブリッジ ドメイン とVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。VPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。
レイヤー 2 ポートミラーリング ファイアウォール フィルターの定義
VPLS(仮想プライベートLANサービス)トラフィック(family ethernet-switching または family vpls)およびファミリー付きレイヤー2 VPNの場合 cccMXシリーズルーターおよびEXシリーズスイッチのみ)、パケットがファイアウォールフィルター条件で指定された条件に一致した場合に実行するアクションとしてレイヤー2ポートミラーリングを指定するファイアウォールフィルターを定義できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、次の方法で使用できます。
論理インターフェイスで受信または送信されたパケットをミラーリングします。
VLAN に転送またはフラッディングされたパケットをミラーリングします。
VPLS ルーティングインスタンスに転送またはフラッディングされたパケットをミラーリングします。
トンネル インターフェイスの入力パケットのみを複数の宛先にミラーリングします。
MXシリーズルーターとEXシリーズスイッチで設定できる3種類のレイヤー2ポートミラーリングの概要については、 レイヤー2ポートミラーリングタイプの適用を参照してください。
レイヤー 2 ポートミラーリングアクションでファイアウォールフィルターを定義するには:
ポートミラーリングのためのプロトコル非依存ファイアウォールフィルターの設定
MPCを搭載したMXシリーズルーターでは、ファイアウォールフィルターを設定して、グローバルレベルとインスタンスレベルでレイヤー2およびレイヤー3のパケットをミラーリングできます。ポートミラーがイングレスまたはエグレスで設定されている場合、インターフェイスに出入りするパケットがコピーされ、そのコピーがローカル監視のためにローカルインターフェイスに送信されます。
Junos OS リリース 13.3R6 以降、ポート ミラーリングを行う family any をサポートしているのは MPC インターフェイスのみです。DPC インターフェイスは family any をサポートしていません。
通常、ファイアウォールフィルターは、インターフェイスで設定されたファミリーに基づいて、レイヤー2またはレイヤー3パケットのいずれかをミラーリングするように設定されます。ただし、IRB(統合型ルーティングおよびブリッジング)インターフェイスの場合、IRB インターフェイスはレイヤー 3 パケットのみをミラーリングするように設定されているため、レイヤー 2 パケットは完全にはミラーリングされません。このようなインターフェイスでは、ファミリー any のファイアウォールフィルターとポートミラーリングパラメーターを設定して、パケットがレイヤー2パケットかレイヤー3パケットかに関係なく、パケットが完全にミラーリングされるようにすることができます。
インスタンスでのポートミラーリングの場合、同じインスタンスに対して同時に inet、 inet6、 ccc、 vpls などの1つ以上のファミリーを設定できます。
レイヤー2ポートミラーリングの場合、VLANタグ、MPLSヘッダーは保持され、エグレスでミラーリングされたコピーで確認できます。
VLAN正規化では、受信時にミラーリングされたパケットに対して正規化前の情報が表示されます。同様に、エグレスでは、ミラーリングされたパケットについて正規化後の情報が表示されます。
ポート ミラーリングの設定を始める前に、有効な物理インターフェイスを設定する必要があります。
ポートミラーリング用のプロトコル非依存ファイアウォールフィルターを設定するには:
例:ファイアウォールフィルターによる従業員のWebトラフィックのミラーリング
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つのスイッチ
Junos 14.1X53-D20
概要
この例では、 xe-0/0/0 と xe-0/0/6 が従業員のコンピューターの接続として機能します。インターフェイス xe-0/0/47 は、アナライザ アプリケーションを実行しているデバイスに接続されています。
すべてのトラフィックをミラーリングするのではなく、通常は特定のトラフィックのみをミラーリングすることが望ましいです。これは、帯域幅とハードウェアのより効率的な使用であり、これらの資産に対する制約のために必要になる場合があります。この例では、従業員のコンピューターから Web に送信されたトラフィックのみをミラーリングしています。
設定
ミラーリングされるトラフィックが従業員から Web に送信されるトラフィックのみであることを指定するには、このセクションで説明するタスクを実行します。このトラフィックをミラーリング用に選択するには、ファイアウォールフィルターを使用してこのトラフィックを指定し、ポートミラーリングインスタンスに誘導します。
手順
CLIクイック構成
従業員のコンピューターから Web を宛先とするトラフィックのローカルポートミラーリングを迅速に設定するには、次のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit] set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24 set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family inet filter watch-employee term employee-to-corp then accept set firewall family inet filter watch-employee term employee-to-web from destination-port 80 set firewall family inet filter watch-employee term employee-to-web then port-mirror set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24 set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24 set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24 set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee
ステップバイステップでの手順
従業員のコンピューターに接続された 2 つのポートから、従業員から Web へのトラフィックのローカル ポート ミラーリングを構成するには:
出力インターフェイスと、ネクストホップとしてアナライザアプリケーションを実行しているデバイスのIPアドレスを含むポートミラーリングインスタンスを設定します。(出力のみを設定し、入力はフィルターから取得します)。また、ミラーが IPv4 トラフィック(
family inet)用であることも指定する必要があります。[edit forwarding-options] user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28
Web に送信されたトラフィックを照合する条件を含む
watch-employeeと呼ばれる IPv4(family inet)ファイアウォール フィルターを設定し、それをポートミラーリング インスタンスに送信します。企業サブネットとの間で送受信されるトラフィック(宛先または送信元アドレスが192.0.nn.nn/24)はコピーする必要がないため、まず別の用語を作成して、そのトラフィックを受け入れてから、Web トラフィックをインスタンスに送信します。[edit firewall family inet] er@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.nn.nn/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror
従業員のコンピューターとアナライザーデバイスに接続されたIPv4インターフェイスのアドレスを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24 user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24 user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
ファイアウォールフィルターを、イングレスフィルターとして適切なインターフェイスに適用します:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input watch-employee user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee
結果
構成の結果を確認します。
[edit]
user@switch# show
forwarding-options {
port-mirroring {
employee-web-monitor {
output {
ip-address 192.0.2.100.0;
}
}
}
}
}
}
...
firewall family inet {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror;
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family inet {
filter {
input watch-employee;
}
}
}
}
検証
アナライザが正しく作成済みであることの確認
目的
アナライザが、適切な入力インターフェイスと適切な出力インターフェイスを持つスイッチ上で作成されていることを確認します。
アクション
ポートミラーアナライザが show forwarding-options port-mirroring コマンドを使用して想定どおりに設定されていることを確認できます。
user@switch> show forwarding-options port-mirroring
Instance Name: &global_instance
Instance Id: 1
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
inet up xe-0/0/47.0 192.0.2.100 意味
この出力は、ポートミラーリング インスタンスの比率が 1(すべてのパケットをミラーリング、デフォルト設定)で、ミラーリングされた元のパケットの最大サイズ(0 はパケット全体を示す)であることを示しています。出力インターフェイスの状態が down の場合、または出力インターフェイスが設定されていない場合、状態の値は down となり、インスタンスはミラーリング用にプログラムされません。
PE ルーターまたは PE スイッチ論理インターフェイスのレイヤー 2 ポート ミラーリング
サービスプロバイダーネットワークの顧客向けエッジでプロバイダーエッジ(PE)デバイスとして設定されたルーターまたはスイッチの場合、次のイングレスポイントとエグレスポイントでレイヤー2ポートミラーリング ファイアウォールフィルター を適用して、ルーターまたはスイッチとカスタマーエッジ(CE)デバイス(通常はルーターおよびイーサネットスイッチ)間のトラフィックをミラーリングできます。
表 1 では、PE デバイスとして設定されたルーターまたはスイッチに、レイヤー 2 ポートミラーリング ファイアウォール フィルターを適用する方法について説明します。
適用ポイント |
ミラーリングの範囲 |
注記 |
構成の詳細 |
|---|---|---|---|
Ingress顧客向け論理インターフェイス |
サービス プロバイダの顧客のネットワーク内から発信され、最初に CE デバイスに送信され、PE デバイスの隣で送信されるパケット。 |
VPLSルーティングインスタンス用に、CEデバイスとPEデバイス間に集合型イーサネットインターフェイスを設定することもできます。トラフィックは、集約されたインターフェイス内のすべてのリンクでロードバランシングされます。 集合型イーサネットインターフェイスで受信したトラフィックは、宛先MAC(DMAC)アドレスのルックアップに基づいて、異なるインターフェイスを介して転送されます。
|
レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用をご覧ください。 VPLSルーティングインスタンスの詳細については、 VPLSルーティングインスタンスの設定および ブリッジ ドメイン とVPLSルーティングインスタンスのVLAN識別子の設定を参照してください。 |
エグレス顧客向け論理インターフェイス |
PE デバイスから別の PE デバイスに転送されているユニキャスト パケット。 NOTE:ポートミラーリング フィルターを 論理インターフェイスの出力に適用すると、ユニキャスト パケットのみがミラーリングされます。マルチキャスト、不明なユニキャスト、ブロードキャストパケットをミラーリングするには、VLANまたはVPLSルーティングインスタンスのフラッドテーブルへの入力にフィルターを適用します。 |
レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用をご覧ください。 |
|
VLAN 転送テーブルまたはフラッディング テーブルへの入力 |
CEデバイスからVLANに送信されたトラフィックの転送またはフラッディングトラフィック。 |
転送およびフラッディング トラフィックは、通常、ブロードキャスト パケット、マルチキャスト パケット、宛先 MAC アドレスが不明なユニキャスト パケット、または DMAC ルーティング テーブル内の MAC エントリーがあるパケットで構成されます。 |
レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用するをご覧ください。VPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。 |
VPLS ルーティング インスタンス転送テーブルまたはフラッディング テーブルへの入力 |
CEデバイスからVPLSルーティングインスタンスに送信されたトラフィックの転送またはフラッディングトラフィック。 |
レイヤー 2 ポート ミラーリングのトラフィック転送または VPLS ルーティング インスタンスへのフラッディングの適用をご覧ください。VPLS のフラッディング動作については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。 |
PEルーターまたはPEスイッチ集合型イーサネットインターフェイスのレイヤー2ポートミラーリング
集合型イーサネットインターフェイスは、同じ速度で全二重リンク接続モードで動作する一連の物理インターフェイスで構成される仮想集約リンクです。VPLSルーティングインスタンス用に、CEデバイスとPEデバイス間に集合型イーサネットインターフェイスを設定できます。トラフィックは、集約されたインターフェイス内のすべてのリンクでロードバランシングされます。集約されたインターフェイス内の 1 つ以上のリンクに障害が発生した場合、トラフィックは残りのリンクに切り替わります。
レイヤー2ポートミラーリング ファイアウォールフィルター を集合型イーサネットインターフェイスに適用して、親インターフェイスで ポートミラーリング を設定できます。ただし、子インターフェイスが異なるレイヤー2ポートミラーリングインスタンスにバインドされている場合、子インターフェイスで受信したパケットは、それぞれのポートミラーリングインスタンスで指定された宛先にミラーリングされます。したがって、複数の子インターフェイスは、複数の宛先にパケットをミラーリングできます。
例えば、親集合型イーサネットインターフェイスインスタンス ae0 に2つの子インターフェイスがあるとします。
xe-2/0/0xe-3/1/2
ae0上のこれらの子インターフェイスが、2つの異なるレイヤー2ポートミラーリングインスタンスにバインドされているとします。
pm_instance_A- 子インターフェイスxe-2/0/0にバインドされた、レイヤー 2 ポートミラーリングの名前付きインスタンス。pm_instance_B- 子インターフェイスxe-3/1/2にバインドされた、レイヤー 2 ポートミラーリングの名前付きインスタンス。
ここで、ae0.0(集合型イーサネットインターフェイスインスタンス0上の論理ユニット0)で送信されるレイヤー2トラフィックに、レイヤー2ポートミラーリングファイアウォールフィルターを適用するとします。これにより、ae0.0 でポートミラーリングが有効になり、レイヤー 2 ポートミラーリングプロパティが指定されている子インターフェイスで受信したトラフィックの処理に次のような影響があります。
xe-2/0/0で受信したパケットは、ポートミラーリングインスタンスpm_instance_Aで設定された出力インターフェイスにミラーリングされます。xe-3/1/2.0で受信したパケットは、ポートミラーリングインスタンスpm_instance_Bで設定された出力インターフェイスにミラーリングされます。
pm_instance_A と pm_instance_B では、異なるパケット選択プロパティやミラーリング宛先プロパティを指定できるため、xe-2/0/0 と xe-3/1/2.0 で受信したパケットは、異なるパケットを異なる宛先にミラーリングできます。
レイヤー 2 ポート ミラーリングの論理インターフェイスへの適用
レイヤー2ポートミラーリングファイアウォールフィルターは、集合型イーサネット論理インターフェイスを含む論理インターフェイスの入力または出力に適用できます。フィルター操作で指定されたアドレス タイプ ファミリーのパケットのみがミラーリングされます。
開始する前に、以下のタスクを実行します。
論理インターフェイスへの入力または論理インターフェイスへの出力に適用するレイヤー 2 ポートミラーリング ファイアウォール フィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つのレイヤー 2 ポートミラーリング ファイアウォール フィルターを示します。論理インターフェイスのイングレストラフィックに適用されるフィルターと、論理インターフェイスのエグレストラフィックに適用されるフィルターがあります。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを入力または出力論理インターフェイスに適用するには:
アグリゲートイーサネット上のデモックス論理インターフェイスを使用したファミリーCCCトラフィックへのレイヤー2ポートミラーリングの適用
このトピックでは、AEバンドル内のメンバー物理インターフェイスの使用を節約するために、demux論理インターフェイスを設定するのに役立つガイドラインと手順について説明します。
ガイドライン
集合型イーサネットインターフェイス上でのデモックス論理インターフェイスの設定という、この用途に固有の構成要素について説明します。
-
ファミリを の
cccとして設定します。-
ポートミラーリング設定
edit forwarding-options port mirroring family -
のファイアウォールフィルター設定
edit firewall family -
での demux インターフェイス設定
edit interfaces demux0 unit 0 family
-
-
ファイアウォールフィルターとポートミラーリングのファミリーの設定が、(1)同じか、(2)同じ階層にあることを確認します。
-
グローバルポートミラーリングとポートミラーリングインスタンスの
aeインターフェイスを介してデモックスインターフェイスを設定できます。 -
ファイアウォールフィルターの場合、ファミリーとして
cccを使用することに加えて:-
フィルターのアクションとして
port-mirrorを使用します。 -
demuxインターフェイスにフィルターを適用します。
-
- 次のように、
underlying-interfaceステートメントを使用して、aeインターフェイスを demux 論理インターフェイスの基盤となるインターフェイスとして設定します。set interfaces demux0 unit 0 demux-options underlying-interface ae0
設定サンプル
以下はスパースな構成です。ここでは、前のガイドラインがサンプル構成でどのように機能するかを示します。
set interfaces xe-0/0/2:0 gigether-options 802.3ad ae0 set interfaces xe-0/0/2:1 gigether-options 802.3ad ae1 set interfaces xe-0/0/2:2 encapsulation ethernet-bridge set interfaces xe-0/0/2:2 unit 0 family bridge set interfaces xe-0/0/2:3 encapsulation ethernet-bridge set interfaces xe-0/0/2:3 unit 0 family bridge set interfaces ae0 flexible-vlan-tagging set interfaces ae0 encapsulation flexible-ethernet-services set interfaces ae1 flexible-vlan-tagging set interfaces ae1 encapsulation flexible-ethernet-services set interfaces demux0 unit 0 encapsulation vlan-ccc set interfaces demux0 unit 0 vlan-id 300 set interfaces demux0 unit 0 demux-options underlying-interface ae0 set interfaces demux0 unit 0 family ccc filter input port-mirror set interfaces demux0 unit 1 encapsulation vlan-ccc set interfaces demux0 unit 1 vlan-id 300 set interfaces demux0 unit 1 demux-options underlying-interface ae1 set interfaces demux0 unit 1 family ccc set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring family ccc output interface xe-0/0/2:3.0 set firewall family ccc filter port-mirror term term1 then count Counter1 set firewall family ccc filter port-mirror term term1 then port-mirror set protocols l2circuit local-switching interface demux0.0 end-interface interface demux0.1 set protocols mpls interface demux0.0 set protocols mpls interface demux0.1 set bridge-domains br1 interface xe-0/0/2:0.0 set bridge-domains br1 interface xe-0/0/2:3.0 set bridge-domains br1 interface xe-0/0/2:1.0 set bridge-domains br2 vlan-id 300
レイヤー2ポートミラーリングをトラフィック転送またはブリッジドメインへのフラッディングに適用する
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、ブリッジ ドメインに転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、そのブリッジ ドメインに転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを実行します。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを定義して、ブリッジ ドメインに転送されるトラフィックまたはブリッジ ドメインにフラッディングされるトラフィックに適用します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターはブリッジドメイン転送テーブルのイングレストラフィックに適用され、もう 1 つのフィルターはブリッジドメインフラッディングテーブルのイングレストラフィックに適用されます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターをブリッジ ドメインの転送テーブルまたはフラッディング テーブルに適用するには:
レイヤー 2 ポート ミラーリングをトラフィック転送または VPLS ルーティング インスタンスへのフラッディングに適用する
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、VPLS ルーティング インスタンスに転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、その VPLS ルーティング インスタンスに転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを実行します。
VPLSルーティングインスタンスに転送されるトラフィックまたはVLANにフラッディングされるトラフィックに適用するレイヤー2ポートミラーリングファイアウォールフィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターは VPLS ルーティング インスタンス転送テーブル イングレス トラフィックに適用され、もう 1 つのフィルターは VPLS ルーティング インスタンス フラッディング テーブルのイングレス トラフィックに適用されます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを VPLS ルーティング インスタンスの転送テーブルまたはフラッディング テーブルに適用するには:
レイヤー2ポートミラーリングのトラフィック転送またはVLANへのフラッディングへの適用
レイヤー 2 ポートミラーリング ファイアウォール フィルターは、VLAN に転送またはフラッディングされるトラフィックに適用できます。指定されたファミリー タイプのパケットで、その VLAN に転送またはフラッディングされたパケットのみがミラーリングされます。
開始する前に、以下のタスクを実行します。
VLAN に転送されるトラフィックまたは VLAN にフラッディングされるトラフィックに適用するレイヤー 2 ポートミラーリング ファイアウォール フィルターを定義します。詳細については、 レイヤー2ポートミラーリングファイアウォールフィルターの定義を参照してください。
注:この構成タスクでは、2 つの Layer_2 ポートミラーリング ファイアウォール フィルターを示します。1 つのフィルターは VLAN 転送テーブルのイングレス トラフィックに適用され、もう 1 つのフィルターは VLAN フラッディング テーブルのイングレス トラフィックに適用されます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを VLAN の転送テーブルまたはフラッディング テーブルに適用するには:
例:論理インターフェイスでのレイヤー2ポートミラーリング
次の手順では、グローバルポートミラーリングインスタンスとポートミラーリングファイアウォールフィルターを使用して、論理インターフェイスへの入力用のレイヤー2ポートミラーリングを設定する例を説明します。
外部パケットアナライザを含むVLAN example-bd-with-analyzerと、ミラーリングされるレイヤー2トラフィックの送信元と宛先を含むVLAN example-bd-with-trafficを設定します。
[edit] bridge-domains { example-bd-with-analyzer { # Contains an external traffic analyzer vlan-id 1000; interface ge-2/0/0.0; # External analyzer } example-bd-with-traffic { # Contains traffic input and output interfaces vlan-id 1000; interface ge-2/0/6.0; # Traffic input port interface ge-3/0/1.2; # Traffic output port } }論理インターフェイス ge-2/0/0.0 が、ポートミラーリングされたパケットを受信する外部トラフィックアナライザに関連付けられていると仮定します。論理インターフェイス ge-2/0/6.0 と ge-3/0/1.2 が、それぞれトラフィックの入力ポートと出力ポートになると仮定します。
グローバル インスタンスのレイヤー 2 ポートミラーリングを設定し、ポートミラーリングの宛先を外部アナライザに関連付けられた VLAN インターフェイス(VLAN example-bd-with-analyzer 上の論理インターフェイス ge-2/0/0.0)にします。このポートミラーリング宛先にフィルターを適用できる オプションを必ず有効にしてください。
[edit] forwarding-options { port-mirroring { input { rate 10; run-length 5; } family ethernet-switching { output { interface ge-2/0/0.0; # Mirror packets to the external analyzer no-filter-check; # Allow filters on the mirror destination interface } } } }[edit forwarding-options port-mirroring]階層レベルのinputステートメントは、10 パケットごとにサンプリングを開始し、選択された最初の 5 つのパケットのそれぞれをミラーリングすることを指定します。[edit forwarding-options port-mirroring family ethernet-switching]階層レベルのoutputステートメントは、ブリッジング環境におけるレイヤー 2 パケットの出力ミラー インターフェイスを指定します。外部パケットアナライザに関連付けられた論理インターフェイス ge-2/0/0.0が、ポートミラーリングの宛先として設定されます。
オプションの
no-filter-checkステートメントを使用すると、この宛先インターフェイスでフィルターを設定できます。
レイヤー 2 ポートミラーリング ファイアウォール フィルターを example-bridge-pm-filter 構成します。
[edit] firewall { family ethernet-switching { filter example-bridge-pm-filter { term example-filter-terms { then { accept; port-mirror; } } } } }このファイアウォールフィルターがブリッジング環境のトラフィック用論理インターフェイスの入力または出力に適用されると、レイヤー2ポートミラーリンググローバルインスタンスに設定された入力パケットサンプリングプロパティとミラー宛先プロパティに従って、レイヤー2ポートミラーリングが実行されます。このファイアウォールフィルターは、単一のデフォルトのフィルターアクション acceptで構成されているため、 input プロパティ(rate = 10 および run-length = 5)によって選択されたすべてのパケットがこのフィルターに一致します。
論理インターフェイスを設定します。
[edit] interfaces { ge-2/0/0 { # Define the interface to the external analyzer encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/6 { # Define the traffic input port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 100; family ethernet-switching { filter { input example-bridge-pm-filter; # Apply the port-mirroring firewall filter } } } } ge-3/0/1 { # Define the traffic output port flexible-vlan-tagging; encapsulation extended-vlan-bridge; unit 2 { vlan-tags outer 10 inner 20; family ethernet-switching; } } }VLAN example-bd-with-traffic上の論理インターフェイス ge-2/0/6.0で受信したパケットは、ポートミラーリング ファイアウォール フィルターexample-bridge-pm-filterによって評価されます。ファイアウォールフィルターは、ファイアウォールフィルター自体で設定されたフィルターアクションに加えて、グローバルポートミラーリングインスタンスで設定された入力パケットサンプリングプロパティとミラー宛先プロパティに従って、入力トラフィックに作用します。
ge-2/0/6.0で受信したすべてのパケットは、論理インターフェイス ge-3/0/1.2の(想定される)通常の宛先に転送されます。
10個の入力パケットごとに、その選択の最初の5個のパケットのコピーが、他のVLAN(example-bd-with-analyzer)の論理インターフェイスge-0/0/0.0にある外部アナライザに転送されます。
ポートミラーリング ファイアウォール フィルター example-bridge-pm-filter が accept アクションではなく discard アクションを実行するように設定した場合、元のパケットはすべて破棄され、グローバル ポートミラーリング input プロパティを使用して選択されたパケットのコピーが外部アナライザに送信されます。
例:レイヤー2 VPNのレイヤー2ポートミラーリング
次の例は完全な設定ではありませんが、 family cccを使用してL2VPNのポートミラーリングを設定するために必要なすべての手順を示しています。
外部パケットアナライザを含むVLAN port-mirror-bdを設定します。
[edit] vlans { port-mirror-vlan { # Contains an external traffic analyzer interface ge-2/2/9.0; # External analyzer } }論理インターフェイス ge-2/0/1.0 と論理インターフェイス ge-2/0/1.1を接続するためのレイヤー2 VPN CCCを設定します。
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ge-2/0/1.0; interface ge-2/0/1.1; } } }グローバル インスタンスのレイヤー 2 ポート ミラーリングを設定します。ポートミラーリングの宛先は、外部アナライザに関連付けられた VLAN インターフェイス(VLAN example-bd-with-analyzerge-2/2/9.0論理インターフェイス)とします。
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/9.0; # Mirror packets to the external analyzer } } instance { inst1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/9.0; } { } } } }family ccc用のレイヤー 2 ポートミラーリング ファイアウォール フィルターpm_filter_cccを定義します。
[edit] firewall { family ccc { filter pm_filter_ccc { term pm { then port-mirror; } } } }ポートミラーインスタンスをシャーシに適用します。
[edit] chassis { fpc 2 { port-mirror-instance inst1; } }VLAN のインターフェイスge-2/2/9を設定し、pm_filter_ccc ファイアウォール フィルターを使用してポート ミラーリングのインターフェイス ge-2/0/1を設定します。
[edit] interfaces { ge-2/2/9 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } ge-2/0/1 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_filter_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_filter_ccc; } } } } }
例:LAG リンクを持つレイヤー 2 VPN のレイヤー 2 ポート ミラーリング
次の例は完全な設定ではありませんが、 family ccc および集約されたイーサネットリンクを使用してL2VPNでポートミラーリングを設定するために必要なすべての手順を示しています。
外部パケットアナライザを含むVLAN port_mirror_bdを設定します。
[edit] vlans { port_mirror_vlan { # Contains an external traffic analyzer interface ge-2/2/8.0; # External analyzer } }インターフェース ae0.0 とインターフェース ae0.1を接続するためのレイヤー2 VPN CCCを設定します。
[edit] protocols { mpls { interface all; } connections { interface-switch if_switch { interface ae0.0; interface ae0.1; } } }グローバル インスタンスのレイヤー 2 ポート ミラーリングを設定します。ポートミラーリングの宛先は、外部アナライザに関連付けられた VLAN インターフェイス(VLAN example_bd_with_analyzerge-2/2/9.0論理インターフェイス)とします。
[edit] forwarding-options { port-mirroring { input { rate 1; maximum-packet-length 200; } family ccc { output { interface ge-2/2/8.0; # Mirror packets to the external analyzer } } instance { pm_instance_1 { input { rate 1; maximum-packet-length 300; } family ccc { output { interface ge-2/2/8.0; } { } } } }family ccc用のファイアウォールフィルターpm_cccを設定します。
[edit] firewall { family ccc { filter pm_ccc { term pm { then port-mirror; } } } }集合型イーサネットインターフェイスとポートミラーインスタンスをシャーシに適用します。
[edit] chassis { aggregated-devices { ethernet { device-count 10; } } fpc 2 { port-mirror-instance pm_instance_1; } }pm_cccフィルターを使用して、インターフェイス ae0 と ge-2/0/2(集合型イーサネット用)および ge-2/2/8(ポート ミラーリング用)を設定します。
[edit] interfaces { ae0 { vlan-tagging; encapsulation extended-vlan-ccc; unit 0 { vlan-id 10; family ccc { filter { input pm_ccc; } } } unit 1 { vlan-id 20; family ccc { filter { output pm_ccc; } } } } ge-2/0/2 { gigether-options { 802.3ad ae0; } } ge-2/2/8 { encapsulation ethernet-bridge; unit 0 { family ethernet-switching; } } }
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
family any をサポートしているのは MPC インターフェイスのみです。