포트 미러링 및 분석기
SUMMARY 이 섹션에서는 포트 미러링이 네트워크 트래픽을 분석 애플리케이션으로 보내는 방법을 설명합니다.
포트 미러링 및 분석기 이해하기
포트 미러링 및 분석기는 분석 애플리케이션을 실행하는 디바이스에 네트워크 트래픽을 전송합니다. 포트 미러링은 인터페이스에 레이어 3 IP 트래픽을 복사합니다. 분석기는 브리지된(레이어 2) 패킷을 인터페이스에 복사합니다. 미러링된 트래픽은 단일 또는 여러 인터페이스로부터 소싱될 수 있습니다. 분석기 애플리케이션을 실행하는 미러링 출력 인터페이스에 연결된 디바이스를 사용하여 컴플라이언스 모니터링, 정책 시행, 침입 탐지, 네트워크 성능 모니터링, 이벤트 상관관계 분석 및 네트워크의 기타 문제 등과 같은 작업을 수행할 수 있습니다.
인터넷 프로세서 II 응용 프로그램별 통합 서킷 (ASIC) T 시리즈 인터넷 프로세서를 포함하는 라우터에서, 포트 미러링은 포트에 들어오거나 나가는 유니캐스트 패킷 또는 들어오는 VLAN을 복사하고 이 복사를 로컬 모니터링을 위해 로컬 인터페이스로 보내거나 원격 모니터링을 위해 VLAN으로 보냅니다. 미러링된 트래픽은 트래픽 분석을 돕는 애플리케이션으로 수신됩니다.
포트 미러링은 트래픽 샘플링과는 다릅니다. 트래픽 샘플링에서, IPv4 헤더를 기반으로 하는 샘플링 키는 라우팅 엔진에 전송되며 여기서 키는 파일 또는 cflowd에 배치됩니다. 이러한 키를 기반으로 하는 패킷은 cflowd 서버로 전송됩니다. 포트 미러링에서, 패킷 전체가 복사되어 지정된 인터페이스를 통해 전송됩니다. 여기서 세부 정보를 캡처하고 분석할 수 있습니다.
포트를 미러링을 사용해 트래픽을 디바이스로 전송해 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 탐지 및 예측, 관련 이벤트 등을 목적으로 분석합니다. 스위치는 일반적으로 대상 디바이스에 연결된 포트에만 패킷을 전송하기 때문에 트래픽 분석을 수행하고자 할 때 포트 미러링이 필요합니다. 포워딩 되기 전에 원본 패킷을 분석을 위해 전송하는 것은 지연을 발생시킬 수 있기 때문에 좋지 않을 것입니다. 따라서 흔히 대안으로 포트 미러링을 구성해 유니캐스트 트래픽 복사를 다른 인터페이스 에 전송하고 이 인터페이스 에 연결된 디바이스에 분석 애플리케이션 을(를) 실행합니다. .
포트 미러링을 구성하기 위해 포트 미러링 인스턴스를 구성합니다. 하지만 이에 대한 입력을 지정하지 않습니다. 대신 필요한 트래픽을 지정하고 인스턴스로 전달하는 방화벽 필터를 생성합니다. 이를 위해 필터의 then
용어에서 port-mirror
동작을 사용합니다. 방화벽 필터는 family inet
와(과) 같이 구성되어야합니다.
포트 미러링을 구성할 때 성능을 고려합니다. 필요한 패킷만 미러링하도록 방화벽 필터를 구성하면 성능에 영향을 미칠 가능성이 줄어듭니다.
동일한 분석기 구성에서 입력 트래픽과 출력 트래픽 모두를 정의하도록 분석기 명령문을 구성할 수 있습니다. 분석될 트래픽은 인터페이스에 들어오거나 나가는 트래픽이 될 수 있으며 VLAN에 들어오는 트래픽일 수 있습니다. 분석기 구성으로 이 트래픽을 출력 인터페이스, 인스턴스 또는 VLAN으로 보낼 수 있게 해줍니다. 분석기는 [edit forwarding-options analyzer]
계층에서 구성할 수 있습니다.
EX 시리즈 스위치에서 원격 포트 미러링 VLAN의 인터페이스를 비활성화할 때, 비활성화된 인터페이스를 다시 활성화시키고 분석기 세션을 재구성하여 포트 미러링을 재개해야 합니다.
포트 미러링을 사용해 다음을 복사할 수 있습니다.
-
모든 조합에서 인터페이스에 들어오고 나가는 모든 패킷. 일부 인터페이스에 들어오는 패킷과 다른 인터페이스를 나가는 패킷의 복사본은 동일한 로컬 인터페이스 또는 VLAN으로 전송될 수 있습니다. 인터페이스를 나가는 패킷을 복사하도록 포트 미러링을 구성하는 경우, (QFabric 시스템의) 스위치 또는 노드 디바이스에서 시작되는 트래픽은 송신될 때 복사되지 않습니다. 스위치된 트래픽만 송신 시 복사됩니다. (송신 미러링 제한 사항 참조)
-
VLAN에 들어오는 일부 또는 모든 패킷. 포트 미러링을 사용하여 VLAN을 나가는 패킷을 복사할 수 없습니다.
-
포트 또는 VLAN에 들어오는 패킷의 방화벽 필터링된 샘플.
-
방화벽 필터링은 송신 포트에 지원되지 않습니다. 이는 인터페이스를 나가는 패킷의 정책 기반 샘플링을 지정할 수 없음을 뜻합니다.
-
가상 확장형 LAN(VXLAN) 환경에서 방화벽 필터링 기반 포트 미러링은 코어 또는 스파인 대면 인터페이스에서 지원되지 않습니다.
트래픽 샘플링 및 포트 미러링을 모두 구성할 수 있으며, 포트 미러링 패킷에 대한 독립적인 샘플링 속도 및 작업 거리를 설정할 수 있습니다. 그러나 트래픽 샘플링 및 포트 미러링을 모두 패킷이 선정된 경우, 포트 미러만 실행되며 이는 우선 순위에 있기 때문입니다. 다시 말하면 인터페이스에 입력되는 모든 패킷을 샘플 트래픽에 대한 인터페이스를 구성하고 포트 미러링 또한 그 패킷에 복사되고 목적지 포트에 전송되도록 선택하는 경우, 포트 미러링 프로세스만 실행됩니다. 포트 미러에 선택되지 않은 트래픽 샘플링 패킷은 계속해서 샘플링되고 cflowd 서버로 포워딩됩니다.
- 포트 미러링 및 분석기 용어 및 정의
- 인스턴스 유형
- 포트 미러링 및 STP
- 제약 및 제한 사항
- QFX10000 시리즈 스위치의 포트 미러링
- QFabric 포트 미러링
- OCX 시리즈 스위치의 포트 미러링
포트 미러링 및 분석기 용어 및 정의
다음 표는 포트 미러링 및 분석기 설명서에 대한 용어와 정의를 제공합니다.
용어 | 정의 |
분석기 |
EX2300, EX3400 또는 EX4300 스위치의 경우 분석기의 미러링 구성(분석기)에는 다음이 포함됩니다.
|
분석기 인스턴스 |
이름, 소스 인터페이스 또는 소스 VLAN, 미러링된 패킷의 대상(로컬 인터페이스 또는 VLAN)을 포함하는 포트 미러링 구성. |
분석기 출력 인터페이스(모니터 포트라고도 함) |
미러링된 트래픽이 전송되고 프로토콜 분석기 애플리케이션이 연결된 인터페이스입니다. EX2300, EX3400 및 EX4300 스위치의 경우 분석기의 출력으로 사용되는 인터페이스를 제품군 이더넷 스위칭으로 구성해야 합니다. 또한 분석기 출력 인터페이스에 대해 다음과 같은 제한 사항이 적용됩니다.
|
분석기 VLAN(모니터 VLAN이라고도 함) |
미러링된 트래픽이 전송되는 VLAN. 미러링된 트래픽은 프로토콜 분석기 애플리케이션에서 사용할 수 있습니다. 모니터 VLAN의 멤버 인터페이스는 네트워크의 스위치 전체에 분산되어 있습니다. |
브리지 도메인 기반(Bridge-domain-based) 분석기 | 입력, 출력 또는 두 가지 모두에 대해 브리지 도메인을 사용하도록 구성된 분석기 세션. |
기본 분석기 | 기본 미러링 매개 변수가 있는 분석기. 기본적으로, 미러링 속도는 1이고 최대 패킷 길이는 전체 패킷의 길이입니다. |
글로벌 포트 미러 | 인스턴스 이름이 없는 포트 미러링 구성입니다. 방화벽 필터 작업 port-mirror는 방화벽 필터 구성에 대한 작업이 됩니다. |
입력 인터페이스(미러링 또는 모니터링 인터페이스라고도 함) |
트래픽을 미러 인터페이스로 복사하는 인터페이스. 이 트래픽은 인터페이스에 들어오거나 나갈 수 있습니다(수신 또는 송신). 미러링된 입력 인터페이스는 분석기 디바이스에 대한 출력 인터페이스로 사용할 수 없습니다. |
LAG 기반(LAG-based) 분석기 | 분석기 구성에서 입력(수신) 인터페이스로 지정되는 LAG(Link Aggregation Group)가 있는 분석기. |
로컬 포트 미러링 |
미러링된 패킷이 동일한 스위치의 인터페이스에 복사되는 포트 미러링 구성. |
모니터링 스테이션 | 프로토콜 분석기 응용 프로그램을 실행하는 컴퓨터입니다. |
다음 홉 기반 분석기 | next-hop 그룹을 분석기에 대한 출력으로 사용하는 분석기 구성. |
기본 분석기 세션 | 분석기 구성에 입력 및 출력 정의가 모두 있는 분석기 세션An analyzer session that has both input and output definitions in its analyzer configuration. |
정책 기반 미러링 |
방화벽 필터 용어와 일치하는 패킷 미러링. 이 작업은 |
포트 기반(Port-based) 분석기 | 구성이 입력과 출력 모두에 대한 인터페이스를 정의하는 분석기 세션입니다. |
포트 미러링 인스턴스 |
입력 소스를 지정하지 않는 포트 미러링 구성; 출력 대상만 지정합니다. 입력 소스에 대해 방화벽 필터 구성을 정의해야 합니다. 방화벽 필터 구성은 방화벽 필터 용어에 정의된 일치 조건과 일치하는 패킷을 미러링하도록 정의되어야 합니다. 방화벽 필터 구성의 작업 항목 port-mirror-instance instance-name은 패킷을 분석기로 전송하는 데 사용되며 이러한 패킷은 입력 소스를 형성합니다. 주: 포트 미러링 인스턴스는 NFX150 디바이스에서 지원되지 않습니다.
|
프로토콜 분석기 애플리케이션 | 네트워크 세그먼트를 통해 전송되는 패킷을 검사하는 데 사용되는 애플리케이션. 일반적으로 네트워크 분석기, 패킷 스니퍼 또는 프로브라고도 합니다. |
출력 인터페이스(모니터 인터페이스라고도 함) |
패킷 복사본이 전송되고 분석기를 실행하는 디바이스가 연결된 인터페이스입니다. 출력 인터페이스(대상 미러 인터페이스)에 다음과 같은 제한이 적용됩니다.
|
출력 IP 주소 |
분석기 애플리케이션을 실행하는 디바이스의 IP 주소입니다. 디바이스는 원격 네트워크에 있을 수 있습니다. 이 기능을 사용하는 경우:
|
출력 VLAN(모니터 또는 분석기 VLAN이라고도 함) |
패킷 사본이 전송되는 곳과 분석기를 실행하는 디바이스가 연결된 위치에 대한 VLAN. 분석기 VLAN은 여러 스위치에 걸쳐 있을 수 있습니다. 출력 VLAN에는 다음과 같은 제한이 적용됩니다.
|
원격 포트 미러링 |
미러링된 트래픽이 로컬 분석기 포트로 복사되지 않고 미러링된 트래픽 수신을 위해 특별히 생성한 분석기 VLAN으로 플러딩된다는 점을 제외하면 로컬 포트 미러링과 동일하게 작동합니다. QFabric 시스템의 원격 IP 주소에는 미러링된 패킷을 전송할 수 없습니다. |
VLAN 기반(VLAN-based) 분석기 | 구성에서 입력 및 출력 모두에 대해 또는 입력 또는 출력에 VLAN을 사용하는 분석기 세션입니다. |
참조
인스턴스 유형
포트 미러링을 구성하기 위해 다음 유형 중 하나의 인스턴스를 구성합니다.
-
인스턴스 분석기 - 인스턴스에 대한 입력 및 출력을 지정합니다. 이 인스턴스 유형은 인터페이스에 전송되거나 VLAN에 들어오는 모든 트래픽이 미러링 되고 분석기로 전송되도록 하는 데 유용합니다.
-
포트 미러링 인스턴스 - 원하는 트래픽을 식별하고 미러링 포트에 복사하는 방화벽 필터를 만듭니다. 이 인스턴스 유형에 대한 입력을 지정하지 않습니다. 이 인스턴스 유형은 미러링된 트래픽 유형을 제어하는 데 유용합니다. 다음 방법으로 트래픽 전송할 수 있습니다.
-
여러 포트 미러링 인스턴스가 정의된 경우
port-mirror-instance instance-name
동작을 사용하여 방화벽 필터의 포트 미러링 인스턴스 이름을 지정합니다. -
하나의 포트 미러링 인스턴스 만 정의된 경우
port-mirror
동작을 사용하여 인스턴스 내에서 정의된 출력 인터페이스에 미러링된 패킷을 보냅니다.
-
QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650 스위치의 경우, 다음의 포트 미러링 지침이 적용됩니다.
- 최대 4개의 포트 미러링 인스턴스 또는 4개의 분석기 세션이 동시에 구성될 수 있습니다. 이는 다시 말해 포트 미러링 인스턴스 4개와 분석기 세션 4개를 함께 구성할 수 없다는 뜻입니다.
- 포트 미러링 인스턴스가 없는 경우(분석기 세션만 구성된 경우), 수신 및 송신 미러링을 위한 최대 3개의 분석기 세션을 수행할 수 있습니다. 나머지 분석기 세션은 반드시 수신 미러링에만 사용되어야 합니다.
- 하나의 포트 미러링 인스턴스만 구성된 경우 나머지 인스턴스 중 수신 미러링을 위해 최대 3개의 분석기, 송신 미러링을 위해 2개의 분석기를 구성할 수 있습니다.
- 2개의 포트 미러링 인스턴스가 구성된 경우 나머지 인스턴스 중 수신 미러링을 위해 최대 2개의 분석기와 송신 미러링을 위한 1개의 분석기를 구성할 수 있습니다.
- 3개의 포트 미러링 인스턴스를 구성한 경우 나머지 인스턴스는 오직 분석기로만 구성될 수 있습니다(수신 또는 송신 미러링 중 하나).
포트 미러링 및 STP
포트 미러링 설정에서 STP의 행동은 사용 중인 Junos OS 버전에 따라 달라집니다.
-
Junos OS 13.2X50, Junos OS 13.2X51-D25, 또는 이전 버전, Junos OS 13.2X52: STP가 활성화되어 있으면 STP가 미러링된 패킷을 차단할 수 있기 때문에 포트 미러링이 성공하지 못할 수 있습니다.
-
Junos OS 13.2X51-D30, Junos OS 14.1X53: STP는 미러링된 트래픽 용으로 비활성화됩니다. 토폴로지가 이 트래픽의 루프를 방지할 수 있도록 해야 합니다.
제약 및 제한 사항
포트 미러링에 다음과 같은 제약 및 제한 사항이 적용됩니다.
분석에 필요한 패킷만 미러링하면 전체 성능이 감소할 가능성을 줄입니다. 여러 포트에서 트래픽을 미러링하는 경우 미러링된 트래픽은 출력 인터페이스의 용량을 초과할 수 있습니다. 오버플로우 패킷이 누락됩니다. 특정 인터페이스를 선택하여 미러링된 트래픽 양을 제한하고 all
키워드를 사용하지 않도록 권장합니다. 또한 방화벽 필터를 사용하여 미러링된 트래픽 양을 제한해 특정 트래픽을 포트 미러링 인스턴스로 특정 트래픽을 전송할 수도 있습니다.
-
총 4개의 포트 미러링 구성을 생성할 수 있습니다.
-
EX9200 스위치의 경우, EX9200-15C 라인 카드에 대해 포트 미러링이 지원되지 않습니다.
-
QFabric 시스템 내의 각 노드 그룹은 다음 제약 조건이 적용됩니다.
-
구성 중 최대 4개가 로컬 포트 미러링에 사용될 수 있습니다.
-
구성 중 최대 3개는 원격 포트 미러링에 사용될 수 있습니다.
-
-
독립형 스위치 또는 노드 그룹 구성과 관계 없이,
-
수신 트래픽을 미러링하는 구성은 두 개 이상일 수 없습니다. 방화벽 필터를 구성하여 포트에 미러링된 트래픽을 전송하는 경우, 이 카운트는 스위치 또는 노드 그룹이 어느 필터링이 적용될지에 대한 수신 미러링 구성으로 간주됩니다.
-
송신 트래픽을 미러링하는 구성은 두 개 이상일 수 없습니다.
-
QFabric 시스템에서 미러링 세션의 총 수에 대한 시스템 전체의 제한은 없습니다.
-
-
하나의 포트 미러링 설정에서 단 하나의 출력만 구성해
set analyzer name output
명령문을 완료할 수 있습니다.-
interface
-
ip-address
-
vlan
-
-
동일한 물리적 인터페이스의 하나의 논리적 인터페이스에 대한 분석기(
set forwarding-options analyzer
포함)에서 미러링을 구성합니다. 물리적 인터페이스에 구성된 여러 논리적 인터페이스에 미러링을 구성하려고 한다면 첫 번째 논리적 인터페이스만 성공적으로 구성됩니다. 나머지 논리적 인터페이스는 구성 오류를 반환합니다. -
송신 패킷을 미러링한다면 독립형 스위치나 QFabric 시스템에 2000 VLAN 이상을 구성하지 마십시오. 만약 그렇게 한다면 일부 VLAN 패킷이 잘못된 VLAN ID를 포함할 수 있습니다. 이는 미러링된 복사본 뿐만 아니라 모든 VLAN 패킷에 적용됩니다.
-
ratio
및loss-priority
옵션은 지원되지 않습니다. -
물리적 레이어 오류가 있는 패킷은 출력 포트 또는 VLAN으로 전송되지 않습니다.
-
트래픽을 샘플하기 위해 sFlow 모니터링을 사용한다면 출력 인터페이스를 나갈 때 미러링 사본을 샘플링하지 않습니다.
-
다음의 포트를 나가거나 들어오는 패킷을 미러링할 수 없습니다.
-
전용 Virtual Chassis 인터페이스
-
관리 인터페이스(me0 또는 vme0)
-
파이버 채널 인터페이스
-
통합 라우팅 및 브리지(IRB) 인터페이스(라우팅된 VLAN 인터페이스 또는 RVI라고도 함)
-
-
포트 미러링 인스턴스에서 inet 또는 inet6 인터페이스를 출력 인터페이스로 구성할 수 없습니다. 다음의 스위치는
set forwarding-options port-mirroring instance <instance-name> family inet output interface <interface-name>
구성을 지원하지 않습니다.표 2: 출력 인터페이스로서 inet/inet6 체계를 지원하지 않는 스위치 EX 스위치 QFX 스위치 EX2300
QFX3500
EX3400
QFX5100
EX4100
QFX5110
EX4300
QFX5120
EX4400
QFX5130
EX4600
QFX5200
EX4650
QFX5210
QFX5220
QFX5700
-
입력이 VLAN이거나 트래픽이 방화벽 필터를 사용하여 분석기로 전송되면 집계된 이더넷 인터페이스는 출력 인터페이스일 수 없습니다.
-
미러링된 패킷이 출력 인터페이스에서 전송될 때, CoS(class of service) 재작성과 같은 송신의 원본 패킷에 적용될 수 있는 변경 사항은 수정되지 않습니다.
-
인터페이스는 하나의 미러링 구성에 대해서만 입력 인터페이스가 될 수 있습니다. 다중 미러링 구성에 대한 입력 인터페이스에 동일한 인터페이스를 사용하지 마십시오.
-
ARP, ICMP, BPDU 및 LACP 패킷과 같은 CPU 생성 패킷은 송신에 미러링 할 수 없습니다.
-
VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.
-
(QFabric 시스템만 해당) QFabric 분석기를 구성하여 트래픽 송신을 미러링하고 입력 및 출력 인터페이스가 다른 노드 디바이스에 있다면 미러링된 복사본은 잘못된 VLAN ID를 갖게 됩니다.
이러한 제한은 QFabric 분석기를 구성하여 송신 트래픽을을 미러링하고 입력 및 출력 인터페이스가 동일한 노드 디바이스에 있는 경우 적용되지 않습니다. 이 경우 미러링된 복사본은 올바른 VLAN ID를 가질 것입니다. (QFabric 시스템에 2000 VLAN 이상을 구성하지 않는 한)
-
진정한 송신 미러링은 송신 포트를 나간 정확한 패킷 수정과 정확한 개수의 사본을 미러링하는 것으로 정의됩니다. QFX5100 및 EX4600 스위치의 프로세서는 수신 파이프라인의 송신 미러링을 구현하며, 이러한 스위치는 정확한 송신 패킷 수정을 제공하지 않으므로, 송신 미러링된 트래픽은 원래 트래픽의 태그와는 다른 잘못된 VLAN 태그를 수행할 수 있습니다.
-
포트 미러링 인스턴스를 구성하여 VLAN 캡슐화를 수행하는 인터페이스를 나가는 트래픽을 미러링하는 경우, 미러링 된 패킷의 소스 및 대상 MAC 주소는 원래 패킷과 동일하지 않습니다.
-
LAG의 멤버 인터페이스에 미러링은 지원되지 않습니다.
-
송신 VLAN 미러링은 지원되지 않습니다.
원격 포트 미러링에 다음과 같은 제약 및 제한 사항이 적용됩니다.
-
출력 IP 주소를 구성하는 경우, 해당 주소는 스위치 관리 인터페이스와 같은 서브 네트워크에 있을 수 없습니다.
-
가상 라우팅 인스턴스를 만들고 출력 IP 주소를 포함하는 분석기 구성을 만들면 출력 IP 주소는 기본값 가상 라우팅 (inet.0 라우팅 테이블)에 속합니다.
-
출력 VLAN은 프라이빗 VLAN 또는 VLAN 범위가 될 수 없습니다.
-
출력 VLAN은 다중 분석기 세션 또는 포트 미러링 인스턴스와 공유할 수 없습니다.
-
출력 VLAN 인터페이스는 다른 VLAN의 멤버가 될 수 없습니다.
-
출력 VLAN 인터페이스는 집합된 이더넷 인터페이스가 될 수 없습니다.
-
출력 VLAN이 둘 이상의 멤버 인터페이스가 있는 경우, 트래픽은 VLAN의 첫 번째 멤버로만 미러링되고 동일한 VLAN의 다른 멤버들은 트래픽 미러링을 수행하지 않습니다.
-
IP 주소로 원격 포트 미러링(GRE 캡슐화)은 둘 이상의 분석기 세션 또는 포트 미러링 인스턴스를 구성하는 경우, 그리고 분석기 또는 포트 미러링 인스턴스의 IP 주소가 동일한 인터페이스를 통해 도달할 수 있는 경우, 하나의 분석기 세션 또는 포트 미러링 인스턴스만 구성될 것입니다.
-
원격 포트 미러링의 가능한 출력 인터페이스 수는 QFX5K 라인의 스위치에 따라 다릅니다.
-
QFX5110, QFX5120, QFX5210 - 최대 4개 출력 인터페이스 지원
-
QFX5100 및 QFX5200 - 최대 3개 출력 인터페이스 지원.
-
-
원격 포트 미러링의 어떤 멤거가 VLAN에서 제거되면 해당 VLAN에 대한 분석기 세션을 재구성합니다.
QFX5100 및 QFX5200 스위치 제약 및 제한 사항
QFX5100 와 QFX5200 스위치의 포트 미러링에는 다음 고려 사항이 적용됩니다.
- 출력에서 IP 주소로 미러링을 구성할 때 대상 IP 주소는 도달 가능해야 하며 ARP는 반드시 해결되어야 합니다.
-
ECMP(동등한 비용 다중 경로) 로드 밸런싱은 미러링된 목적지에 대해 지원되지 않습니다.
-
원격 포트 미러링(RSPAN)의 출력 인터페이스 수는 다양합니다. QFX5110, QFX5120, QFX5210에서 스위치 최대 값은 4개의 출력 인터페이스입니다. QFX5100 및 QFX5200 스위치의 경우 최대 값은 3개 입니다.
-
미러링 출력 인터페이스로 링크 어그리게이션 그룹(LAG)을 지정할 때, 최대 8개의 인터페이스가 미러링됩니다.
-
미러링 입력은 LAG, 모든 단위의 물리적 인터페이스(예: ae0.101 또는 xe-0/0/0.100), 또는 하위 인터페이스일 수 있습니다. 어떤 경우라도 LAG 또는 물리적 인터페이스의 모든 트래픽 미러링됩니다.
-
LAG의 멤버 인터페이스에 독립적 미러링 인스턴스를 설정할 수 없습니다.
-
하나의 미러링 인스턴스에 포함된 출력 인터페이스 또한 다른 미러링 인스턴스에 사용될 수 없습니다.
-
포트 미러링 인스턴스에서 포워딩 경로의 송신 파이프라인의 손실된 패킷은 그럼에도 목적지에 미러링됩니다. 그 이유는 미러링 작업이 수신 파이프라인에서 손실 작업 전에 발생하기 때문입니다.
-
포트 미러링 인스턴스에서는 오직 하나의 미러링 출력 목적지만 지정할 수 있습니다.
-
다중 포트 미러링 또는 분석기 인스턴스에서 구성된 출력 미러링 목적지는 반드시 모두 고유해야 합니다.
-
ERSPAN IPv6 주소의 경우, 송신 미러링은 분석기/포트 미러링으로 출력이 원격 IPv6 주소일 때 지원되지 않습니다. 송신 미러링은 지원되지 않습니다.
-
로컬 미러링의 경우, 출력 인터페이스는 반드시 이더넷 스위치 계열이어야 하며 VLAN 여부와 상관 없습니다(즉, 레이어 3 인터페이스가 아님).
-
서비스 프로바이더 환경에서 포트 미러링 또는 분석기 인스턴스를 구성할 때 VLAN ID보다는 VLAN 이름을 사용합니다.
QFX10000 시리즈 스위치의 포트 미러링
다음 목록은 QFX10000 시리즈 스위치에 한정하여 적용되는 제약 및 제한 사항에 대해 설명합니다. 스위치의 포트 미러링에 대한 일반적인 정보는 섹션 제목에 다른 플랫폼 이름을 한정하여 호출하지 않는 이 포트 미러링 및 Analyzers 문서의 이전 섹션을 참조하십시오.
-
수신 글로벌 포트 미러링만 지원됩니다.
rate
,run-length
, 및maximum-packet-length
와(과) 같은 입력 매개 변수를 사용하여 글로벌 포트 미러링을 구성할 수 있습니다. 송신 글로벌 포트 미러링은 지원되지 않습니다. -
포트 미러링 인스턴스는 원격 포트 미러링에 대해서만 지원됩니다. 로컬 미러링에는 포트 미러링 글로벌 인스턴스가 지원됩니다.
-
로컬 포트 미러링은 다음 방화벽 필터 제품군에서만 지원됩니다.
inet
및inet6
. -
방화벽 필터 제품군
any
또는ccc
에서는 로컬 포트 미러링이 지원되지 않습니다.
QFabric 포트 미러링
로컬 및 원격 포트 미러링에 다음과 같은 제약 및 제한 사항이 적용됩니다.
-
총 4개의 포트 미러링 구성을 생성할 수 있습니다.
-
QFabric 시스템 내의 각 노드 그룹은 다음 제약 조건이 적용됩니다.
-
구성 중 최대 4개가 로컬 포트 미러링에 사용될 수 있습니다.
-
구성 중 최대 3개는 원격 포트 미러링에 사용될 수 있습니다.
-
-
독립형 스위치 또는 노드 그룹 구성과 관계 없이,
-
수신 트래픽을 미러링하는 구성은 두 개 이상일 수 없습니다. 방화벽 필터를 구성하여 포트에 미러링된 트래픽을 전송할 경우, 즉 필터링 용어에
analyzer
동작 수정자를 사용하는 경우, 이는 필터가 적용된 스위치 또는 노드 그룹의 수신 미러링 구성으로 간주됩니다. -
송신 트래픽을 미러링하는 구성은 두 개 이상일 수 없습니다.
-
QFabric 시스템에서 미러링 세션의 총 수에 대한 시스템 전체의 제한은 없습니다.
-
-
하나의 포트 미러링 설정에서 단 하나의 출력만 구성해
set analyzer name output
명령문을 완료할 수 있습니다.-
interface
-
ip-address
-
vlan
-
-
동일한 물리적 인터페이스의 하나의 논리적 인터페이스에 대한 분석기(
set forwarding-options analyzer
포함)에서 미러링을 구성합니다. 물리적 인터페이스에 구성된 여러 논리적 인터페이스에 미러링을 구성하려고 한다면 첫 번째 논리적 인터페이스만 성공적으로 구성됩니다. 나머지 논리적 인터페이스는 구성 오류를 반환합니다. -
송신 패킷을 미러링하는 경우, QFX 시리즈 스위치에서 2000 VLAN 이상을 구성하지 마십시오. 만약 그렇게 한다면 일부 VLAN 패킷이 잘못된 VLAN ID를 포함할 수 있습니다. 이는 미러링된 복사본 뿐만 아니라 모든 VLAN 패킷에 적용됩니다.
-
ratio
및loss-priority
옵션은 지원되지 않습니다. -
물리적 레이어 오류가 있는 패킷은 출력 포트 또는 VLAN으로 전송되지 않습니다.
-
트래픽을 샘플하기 위해 sFlow 모니터링을 사용한다면 출력 인터페이스를 나갈 때 미러링 사본을 샘플링하지 않습니다.
-
다음의 포트를 나가거나 들어오는 패킷을 미러링할 수 없습니다.
-
전용 Virtual Chassis 인터페이스
-
관리 인터페이스(me0 또는 vme0)
-
파이버 채널 인터페이스
-
통합 라우팅 및 브리지(IRB) 인터페이스(라우팅된 VLAN 인터페이스 또는 RVI라고도 함)
-
-
입력이 VLAN이거나 트래픽이 방화벽 필터를 사용하여 분석기로 전송되면 집계된 이더넷 인터페이스는 출력 인터페이스일 수 없습니다.
-
미러링된 패킷이 출력 인터페이스에서 전송될 때, CoS(class of service) 재작성과 같은 송신의 원본 패킷에 적용될 수 있는 변경 사항은 수정되지 않습니다.
-
인터페이스는 하나의 미러링 구성에 대해서만 입력 인터페이스가 될 수 있습니다. 다중 미러링 구성에 대한 입력 인터페이스에 동일한 인터페이스를 사용하지 마십시오.
-
ARP, ICMP, BPDU 및 LACP 패킷과 같은 CPU 생성 패킷은 송신에 미러링 할 수 없습니다.
-
VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.
-
(QFabric 시스템만 해당) QFabric 분석기를 구성하여 트래픽 송신을 미러링하고 입력 및 출력 인터페이스가 다른 노드 디바이스에 있다면 미러링된 복사본은 잘못된 VLAN ID를 갖게 됩니다.
이러한 제한은 QFabric 분석기를 구성하여 송신 트래픽을을 미러링하고 입력 및 출력 인터페이스가 동일한 노드 디바이스에 있는 경우 적용되지 않습니다. 이 경우 미러링된 복사본은 올바른 VLAN ID를 가질 것입니다. (QFabric 시스템에 2000 VLAN 이상을 구성하지 않는 한)
-
진정한 송신 미러링은 송신 포트를 나간 정확한 패킷 수정과 정확한 개수의 사본을 미러링하는 것으로 정의됩니다. QFX5xxx의 프로세서(QFX5100, QFX5110, QFX5120, QFX5200, QFX5210) 및 EX4600 (EX4600, EX4650) 스위치는 수신 파이프 라인의 송신 미러링을 구현하며, 이러한 스위치는 정확한 송신 패킷 수정을 제공하지 않으므로 송신 미러링된 트래픽은 원래 트래픽의 태그와는 다른 잘못된 VLAN 태그를 수행할 수 있습니다.
-
포트 미러링 인스턴스를 구성하여 VLAN 캡슐화를 수행하는 인터페이스를 나가는 트래픽을 미러링하는 경우, 미러링 된 패킷의 소스 및 대상 MAC 주소는 원래 패킷과 동일하지 않습니다.
-
LAG의 멤버 인터페이스에 미러링은 지원되지 않습니다.
-
송신 VLAN 미러링은 지원되지 않습니다.
OCX 시리즈 스위치의 포트 미러링
다음의 제약과 제한 사항은 OCX 시리즈 스위치의 포트 미러링에 적용됩니다.
-
총 4개의 포트 미러링 구성을 생성할 수 있습니다. 수신 및 송신 트래픽을 미러링하는 구성은 두 개 이상일 수 없습니다.
-
트래픽을 샘플하기 위해 sFlow 모니터링을 사용한다면 출력 인터페이스를 나갈 때 미러링 사본을 샘플링하지 않습니다.
-
오직 하나의 포트 미러링 세션을 만들 수 있습니다.
-
다음의 포트를 나가거나 들어오는 패킷을 미러링할 수 없습니다.
-
전용 Virtual Chassis 인터페이스
-
관리 인터페이스(me0 또는 vme0)
-
파이버 채널 인터페이스
-
VLAN 인터페이스 또는 IRB 인터페이스 경로
-
-
어그리게이션 이더넷 인터페이스는 출력 인터페이스가 될 수 없습니다.
-
포트 미러링 설정에서 0 이외의 단위 수를 갖는 802.1Q 서브 인터페이스를 포함하지 마십시오. 포트 미러링은 단위 수가 0이 아닌 경우 서브 인터페이스와 작동하지 않습니다. (
vlan-tagging
명령문을 사용해 802.1Q 서브 인터페이스를 구성합니다.) -
패킷 사본이 출력 인터페이스를 전송하면 CoS(Class of Service) 재작성과 같이 일반적으로 송신에 적용되는 변경 사항에 대해 수정되지 않습니다.
-
인터페이스는 하나의 미러링 구성에 대해서만 입력 인터페이스가 될 수 있습니다. 다중 미러링 구성에 대한 입력 인터페이스에 동일한 인터페이스를 사용하지 마십시오.
-
ARP, ICMP, BPDU 및 LACP 패킷과 같은 CPU 생성 패킷은 송신에 미러링 할 수 없습니다.
-
VLAN 기반 미러링은 STP 트래픽에 지원되지 않습니다.
EX2300, EX3400 및 EX4300 스위치에서 포트 미러링
허브와 달리 스위치는 대상 디바이스의 모든 포트에 패킷을 브로드캐스트하지 않기 때문에 스위치의 트래픽 분석을 위해 미러링이 필요할 수 있습니다. 스위치는 대상 디바이스가 연결된 포트로만 패킷을 전송합니다.
개요
EX2300, EX3400 및 EX4300 시리즈 스위치에서 실행되는 Junos OS는 이러한 스위치의 트래픽을 패킷 수준에서 쉽게 분석할 수 있도록 해주는 ELS(Enhanced Layer 2 Software) 구성을 지원합니다.
포트 미러링은 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 패킷을 복사하는 데 사용합니다. 네트워크 사용 및 파일 공유와 관련하여 정책을 실행할 때와 특정 스테이션 또는 애플리케이션의 비정상적이거나 너무 많은 대역폭 사용을 탐색하여 네트워크 문제의 원인을 찾아낼 때는 분석기를 사용할 수 있습니다.
포트 미러링은 [edit forwarding-options port-mirroring]
계층 수준에서 구성됩니다. 라우팅된(레이어 3) 패킷을 미러링하려면 family
명령문이 inet
또는 inet6
으로 설정된 포트 미러링 구성을 사용할 수 있습니다.
포트 미러링을 사용하여 다음과 같은 패킷을 복사할 수 있습니다.
Packets entering or exiting a port - 최대 256개 포트의 들어오거나 나가는 패킷을 어떤 조합으로든 미러링할 수 있습니다.
다시 말해, 몇 개의 포트로 들어가는 패킷과 다른 여러 포트를 나오는 패킷의 사본을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.
Packets entering a VLAN - VLAN으로 들어가는 패킷을 로컬 분석기 포트 또는 분석기 VLAN으로 미러링할 수 있습니다. VLAN 범위 및 PVLAN을 포함하여 최대 256개의 VLAN을 분석기의 수신 입력으로 구성할 수 있습니다.
Policy-based sample packets - 포트 또는 VLAN으로 들어가는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 미러링될 패킷을 선택하고 샘플을 포트 미러링 인스턴스 또는 분석기 VLAN으로 보내기 위한 정책을 설정할 때는 방화벽 필터를 구성합니다.
스위치에서 포트 미러링을 구성하여 인터페이스, 라우팅 인스턴스 또는 VLAN과 같은 출력 대상으로 유니캐스트 트래픽의 사본을 보낼 수 있습니다. 그런 다음 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다. 프로토콜 분석기 애플리케이션은 분석기 출력 인터페이스에 연결된 컴퓨터 또는 원격 모니터링 스테이션에서 실행할 수 있습니다. 입력 트래픽의 경우, 방화벽 필터 용어를 구성하여 포트 미러링이 방화벽 필터가 적용되는 인터페이스의 모든 패킷에 적용되어야 하는지 여부를 지정할 수 있습니다. port-mirror
또는 port-mirror-instance name
작업으로 구성된 방화벽 필터는 입력 또는 출력 논리적 인터페이스(어그리게이션된 이더넷 논리적 인터페이스 포함), VLAN으로 전달되거나 플러드된 트래픽 또는 VPLS 라우팅 인스턴스로 전달되거나 플러드된 트래픽에 적용할 수 있습니다. EX2300, EX3400 및 EX4300 스위치는 VPLS(family ethernet-switching
또는 family vpls
) 트래픽 및 레이어 2 환경에서 family ccc
를 포함하는 VPN 트래픽의 포트 미러링을 지원합니다.
방화벽 필터 용어 내에서는 then
명령문 아래에서 다음과 같은 방식으로 포트 미러링 속성을 지정할 수 있습니다.
포트에서 실제로 사용되는 포트 미러링 속성을 암묵적으로 언급합니다.
특정 이름의 포트 미러링 인스턴스를 명시적으로 언급합니다.
EX2300, EX3400 및 EX4300 스위치의 포트 미러링 및 분석기를 위한 구성 지침
포트 미러링을 구성할 때는 미러링의 이점을 최대한 누릴 수 있도록 특정 지침을 따르시는 것이 좋습니다. 또한 사용하지 않을 때는 미러링을 비활성화하는 것이 좋으며, all
키워드 옵션을 사용하여 모든 인터페이스에 대해 미러링을 활성화하고 전체 성능에 영향을 미치기보다는 패킷이 미러링되어야 하는 특정 인터페이스를 선택(특정 인터페이스를 분석기에 대한 입력으로 선택)하는 것이 좋습니다. 필요한 패킷만 미러링해야 성능에 미칠 수 있는 모든 잠재적 영향을 줄일 수 있습니다.
로컬 미러링에서는 여러 포트의 트래픽이 분석기 출력 인터페이스로 복제됩니다. 분석기에 대한 출력 인터페이스가 용량에 도달하면 패킷은 손실됩니다. 따라서 분석기를 구성할 때는 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 고려하셔야 합니다.
분석기는 [edit forwarding-options analyzer]
계층에서 구성할 수 있습니다.
진정한 송신 미러링은 스위칭된 송신 포트를 나간 정확한 패킷 수정과 정확한 개수의 사본을 미러링하는 것으로 정의됩니다. EX2300 및 EX3400 스위치의 프로세서는 수신 파이프라인의 송신 미러링을 구현하기 때문에 이러한 스위치는 정확한 송신 패킷 수정을 제공하지 않아 미러링된 송신 트래픽이 원본 트래픽의 태그와 다른 VLAN 태그를 전달할 수 있습니다.
표 3에는 EX2300, EX3400 및 EX4300 스위치의 미러링을 위한 추가 구성 지침이 요약되어 나와 있습니다.
지침 |
값 또는 지원 정보 |
코멘트 |
---|---|---|
분석기에 대한 수신 입력으로 사용할 수 있는 VLAN의 개수입니다. |
256 |
|
동시에 활성화할 수 있는 포트 미러링 세션 및 분석기의 개수입니다. |
4 |
총 4개의 세션을 구성할 수 있으며 어떤 시점에서든 다음 중 한 개만 활성화할 수 있습니다.
스위치에서 지정된 개수를 초과하는 포트 미러링 인스턴스 또는 분석기를 구성할 수는 있지만, 세션에 대해서는 지정된 개수만 활성화할 수 있습니다. |
트래픽을 미러링할 수 없는 포트 유형 |
|
|
원격 트래픽을 위한 포트 미러링 구성에 포함할 수 있는 프로토콜 체계 |
|
|
방화벽 필터 기반의 구성에서 포트의 미러링을 위해 구성할 수 있는 트래픽 방향 |
수신 및 송신 |
|
재작성된 CoS(Class of Service) DSCP 또는 802.1p 비트를 반영하며 인터페이스를 나가는 미러링된 패킷 |
적용 가능 |
|
물리적 레이어 오류가 있는 패킷 |
적용 가능 |
이러한 오류가 있는 패킷은 필터링되므로 분석기로 전송되지 않습니다. |
포트 미러링은 회선 속도 트래픽을 지원하지 않습니다. |
적용 가능 |
회선 속도 트래픽을 위한 포트 미러링은 최선형 기준으로 수행됩니다. |
VLAN 송신 패킷 미러링 |
지원되지 않음 |
|
LAG 인터페이스의 포트 미러링 또는 분석기 출력 |
지원됨 |
|
포트 미러링 또는 분석기 출력 LAG 인터페이스에서 하위 멤버의 최대 개수 |
8 |
|
원격 포트 미러링 또는 분석기 VLAN에서 인터페이스의 최대 개수 |
1 |
|
호스트 생성 제어 패킷의 송신 미러링. |
지원되지 않음 |
|
분석기의 |
지원되지 않음 |
이 기능은 포트 미러링을 구성하여 갖출 수 있습니다. |
동일한 VLAN 또는 VLAN 자체의 구성원을 포함하는 분석기 입력 및 출력 스탠자는 피해야 합니다. |
적용 가능 |
|
ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 및 EX8200 시리즈 스위치에서 포트 미러링
ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 또는 EX8200 시리즈 스위치에서 실행되는 주니퍼 네트웍스의 Junos 운영체제(Junos OS)는 ELS(Enhanced Layer 2 Software) 구성을 지원하지 않습니다. 이와 같이 Junos OS는 다른 Junos OS 패키지의 계층 구조의 edit forwarding-options
수준에서 발견된 port-mirroring
문이나 방화벽 필터 용어의 port-mirror
동작은 포함하지 않습니다.
포트 미러링을 사용하여 주니퍼 네트웍스 EX 시리즈 이더넷 스위치의 트래픽을 패킷 수준에서 쉽게 분석할 수 있습니다. 네트워크 사용 및 파일 공유와 관련된 정책을 시행하고 특정 스테이션 또는 애플리케이션의 비정상적이거나 과도한 대역폭 사용을 찾아 네트워크에서 문제의 원인을 식별하는 등의 목적으로 스위치 트래픽 모니터링의 일부로 포트 미러링을 사용할 수 있습니다.
포트 미러링을 사용하여 이러한 패킷을 로컬 인터페이스 또는 VLAN에 복사할 수 있습니다.
-
포트에 들어가거나 나가는 패킷
-
일부 포트로 들어가는 패킷과 다른 포트로 나가는 패킷의 복사본을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 보낼 수 있습니다.
-
ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 또는 EX6200 스위치에서 VLAN으로 들어가는 패킷
-
EX8200 스위치의 VLAN에서 나가는 패킷
- 개요
- ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 및 EX8200 시리즈 스위치에 대한 구성 지침
개요
허브와 달리 스위치는 목적지 디바이스의 모든 포트에 패킷을 브로드캐스트하지 않기 때문에 포트 미러링은 스위치의 트래픽 분석에 사용됩니다. 스위치는 대상 디바이스가 연결된 포트로만 패킷을 전송합니다.
유니캐스트 트래픽의 복사본을 로컬 분석기 포트 또는 분석기 VLAN으로 보내도록 스위치에 포트 미러링을 구성합니다. 그런 다음 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다. 프로토콜 분석기는 분석기 출력 인터페이스에 연결된 컴퓨터 또는 원격 모니터링 스테이션에서 실행할 수 있습니다.
포트 미러링을 사용하여 다음 중 하나를 미러링할 수 있습니다.
Packets entering or exiting a port - 최대 256개 포트의 들어오거나 나가는 패킷을 어떤 조합으로든 미러링할 수 있습니다.
다시 말해, 몇 개의 포트로 들어가는 패킷과 다른 여러 포트를 나오는 패킷의 사본을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 전송할 수 있습니다.
Packets entering a VLAN on an ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, or EX6200 switch—분석기 VLAN에서 VLAN으로 들어오는 패킷을 미러링할 수 있습니다. EX3200, EX4200, EX4500 및 EX4550 스위치에서는 VLAN 범위 및 PVLAN을 포함하여 여러 개의 VLAN(최대 256개의 VLAN)을 분석기에 대한 수신 입력으로 구성할 수 있습니다.
Packets exiting a VLAN on an EX8200 switch—EX8200 스위치의 VLAN에서 나가는 패킷을 로컬 분석기 포트 또는 분석기 VLAN으로 미러링할 수 있습니다. VLAN 범위 및 PVLAN을 포함하여 여러 VLAN(최대 256개의 VLAN)을 분석기에 대한 송신 입력으로 구성할 수 있습니다.
Statistical samples—다음 패킷의 통계 샘플을 미러링할 수 있습니다.
포트 시작 또는 종료
ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550 또는 EX6200 스위치에서 VLAN 입력
EX8200 스위치에서 VLAN을 나가는 패킷
비율을 설정하여 패킷의 샘플 수를 지정합니다. 샘플을 로컬 분석기 포트 또는 분석기 VLAN으로 보낼 수 있습니다.
Policy-based sample - 포트 또는 VLAN으로 들어가는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 방화벽 필터를 구성하여 미러링할 패킷을 선택하는 정책을 설정할 수 있습니다. 샘플을 로컬 분석기 포트 또는 분석기 VLAN으로 보낼 수 있습니다.
ACX7024, ACX7100, ACX7509, EX2200, EX3200, EX3300, EX4200, EX4500, EX4550, EX6200 및 EX8200 시리즈 스위치에 대한 구성 지침
포트 미러링을 구성할 때는 특정 지침을 따라 포트 미러링 기능의 이점을 최대한 활용하는 것이 좋습니다. 또한 포트 미러링을 사용하지 않을 때는 포트 미러링을 사용하지 않도록 설정하고 모든 인터페이스에서 포트 미러링을 사용하도록 설정하고 전체 성능에 영향을 줄 수 있는 all
키워드를 사용하는 대신 패킷을 미러링해야 하는 특정 인터페이스를 선택하는 것이 좋습니다. 통계 샘플링을 사용하거나 통계 샘플을 선택하는 비율을 설정하거나 방화벽 필터를 사용하여 미러링된 트래픽 양을 제한할 수도 있습니다. 필요한 패킷만 미러링해야 성능에 미칠 수 있는 모든 잠재적 영향을 줄일 수 있습니다.
로컬 포트 미러링을 사용하면 여러 포트의 트래픽이 분석기 출력 인터페이스에 복제됩니다. 분석기에 대한 출력 인터페이스가 용량에 도달하면 패킷은 손실됩니다. 따라서 분석기를 구성할 때는 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 고려하셔야 합니다.
ACX5448 라우터의 [edit forwarding-options analyzer an input egress
] 계층 수준에서 수신 및 송신 인터페이스에 대한 .0 논리 인터페이스에서만 분석기 입력을 구성해야 합니다. .0 이외의 논리적 인터페이스를 구성하면 커밋 중에 오류가 표시됩니다. 다음은 분석기 입력이 .100 논리 인터페이스를 구성할 때 표시되는 샘플 커밋 오류입니다.
[edit forwarding-options analyzer an input egress] 'interface ge-0/0/12.100' Analyzer input can only be on .0 interfaces error: configuration check-out failed
지침 |
설명 |
코멘트 |
---|---|---|
분석기에 대한 수신 입력으로 사용할 수 있는 VLAN 수 |
|
|
동시에 활성화할 수 있는 분석기 수(독립 실행형 스위치와 Virtual Chassis 모두에 적용) |
|
|
EX4500 및 EX4550 스위치에 구성할 수 있는 방화벽 필터 기반 분석기 수 |
|
분석기를 여러 개 구성하는 경우 방화벽 필터에 연결할 수 없습니다. |
트래픽을 미러링할 수 없는 포트 유형 |
|
|
EX8200 스위치의 10기가비트 이더넷 포트에서 나가는 패킷을 미러링하도록 포트 미러링을 구성한 경우 미러링된 패킷이 10기가비트 이더넷 포트 트래픽의 60%를 초과하면 네트워크와 미러링된 트래픽 모두에서 패킷이 손실됩니다. |
|
|
비율을 지정할 수 있는 트래픽 방향 |
|
|
방화벽 필터 기반 원격 분석기에 포함할 수 있는 프로토콜 제품군 |
|
로컬 분석기의 EX8200 스위치에서 |
방화벽 필터 기반 구성의 포트에서 미러링을 위해 구성할 수 있는 트래픽 방향 |
|
|
태그가 지정된 인터페이스의 미러링된 패킷에 잘못된 VLAN ID 또는 Ethertype이 포함되어 있을 수 있습니다. |
|
|
인터페이스를 나가는 미러링된 패킷은 다시 작성된 COS(class-of-service) DSCP 또는 802.1p 비트를 반영하지 않습니다. |
|
|
라우팅된 VLAN 인터페이스(RVI)에 속하는 송신 VLAN이 해당 분석기의 입력으로 구성된 경우 분석기는 라우팅된 트래픽의 미러링된 패킷에 잘못된 802.1Q( |
|
해결 방법으로 VLAN의 각 포트(구성원 인터페이스)를 송신 입력으로 사용하는 분석기를 구성합니다. |
물리적 레이어 오류가 있는 패킷은 로컬 또는 원격 분석기로 전송되지 않습니다. |
|
이러한 오류가 있는 패킷은 필터링되므로 분석기로 전송되지 않습니다. |
출력이 VLAN으로 구성된 계층 3 인터페이스의 포트 미러링 구성은 EX8200 스위치에서는 사용할 수 없습니다. |
|
|
포트 미러링은 회선 속도 트래픽을 지원하지 않습니다. |
|
회선 속도 트래픽을 위한 포트 미러링은 최선형 기준으로 수행됩니다. |
EX8200 Virtual Chassis에서는 Virtual Chassis 전체에서 트래픽을 미러링하려면 출력 포트가 LAG여야 합니다. |
|
EX8200 Virtual Chassis:
|
독립 실행형 EX8200 스위치에서는 출력 정의에 LAG를 구성할 수 있습니다. |
|
EX8200 독립 실행형 스위치:
|
SRX 시리즈 방화벽에서 포트 미러링
포트 미러링은 포트를 출입하는 패킷을 복사하여 모니터링을 위해 로컬 인터페이스로 보냅니다. 포트 미러링은 규정 준수 모니터링, 정책 실행, 침입 감지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 트래픽 분석 애플리케이션으로 보내는 데 사용됩니다. 모든 패킷의 사본 또는 포트에서 보이는 샘플 패킷만 네트워크 모니터링 연결로 보낼 때 포트 미러링을 사용합니다. 수신 포트에서(수신 포트 미러링) 또는 발신 포트에서(송신 포트 미러링) 패킷을 미러링할 수 있습니다.
포트 미러링은 다음의 I/O 카드가 있는 SRX 시리즈 방화벽에서만 지원됩니다.
SRX1K-SYSIO-GE
SRX1K-SYSIO-XGE
SRX3K-SFB-12GE
SRX3K-2XGE-XFP
SRX5K-FPC-IOC Flex I/O
SRX 시리즈 방화벽에서 mirrored
포트를 지나가는 모든 패킷은 복사되어 지정된 mirror-to
포트로 전송됩니다. 이러한 포트는 I/O 카드에서 동일한 Broadcom 칩셋에 위치해야 합니다.
SRX 시리즈 방화벽에서는 포트 미러링이 물리적 인터페이스에서만 작동합니다.
레이어 2 포트 미러링 이해
인터넷 프로세서 II ASIC를 포함하는 라우팅 플랫폼 및 스위치에서, 분석을 위해 라우팅 플랫폼 또는 스위치로부터 외부 호스트 주소 또는 패킷 분석기까지 수신 패킷 사본을 전송할 수 있습니다. 이는 포트 미러링으로 알려져 있습니다.
Junos OS 릴리스 9.3 이후 버전에서, 레이어 2 환경의 주니퍼 네트웍스 MX 시리즈 5G 유니버설 라우팅 플랫폼은 레이어 2 브리징 트래픽과 가상 프라이빗 LAN 서비스(VPLS) 트래픽에 대한 포트 미러링을 지원합니다.
Junos OS 릴리스 9.4 이후 버전에서, 레이어 2 환경의 MX 시리즈 라우터는 CCC(Circuit Cross-Connect)에서 레이어 2 VPN 트래픽에 대한 포트 미러링을 지원하며 이 CCC는 동일한 유형의 논리 인터페이스를 투명하게 연결합니다.
Junos OS 릴리스 12.3R2에서, 주니퍼 네트웍스 EX 시리즈 스위치는 레이어 2 브리징 트래픽에 대한 포트 미러링을 지원합니다.
레이어 포트 미러링을 통해 지정된 포트의 수신 및 발신 패킷을 모니터링하는 방법과 선택된 패킷 사본을 또 다른 대상으로 전송하는 방법을 지정할 수 있습니다. 여기에서 패킷을 분석할 수 있습니다.
MX 시리즈 라우터와 EX 시리즈 스위치는 컨셉이 유사하지만 특히 기타 라우팅 플랫폼 및 스위치와 다른 CSS(Class of-Service) 아키텍처를 사용하여 플로우 모니터링 기능을 수행함으로써 레이어 2 포트 미러링을 지원합니다.
M120 멀티서비스 에지 라우터 및 M320 멀티서비스 에지 라우터와 마찬가지로, MX 시리즈 라우터와 EX 시리즈 스위치는 IPv4, IPv6 및 VPLS 패킷 미러링을 동시에 지원합니다.
레이어 3 환경에서, MX 시리즈 라우터와 EX EX 시리즈 스위치는 IPv4( family inet
) 및 IPv6( family inet6
) 트래픽 미러링을 지원합니다. 레이어 3 포트 미러링에 대한 정보는 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용 설명서를 참조하십시오.
레이어 2 포트 미러링 속성
포트 미러링은 다음 유형의 속성을 지정합니다.
Packet-Selection
레이어 2 포트 미러링의 packet-selection 속성은 샘플링된 패킷이 미러링을 위해 선택되는 방식을 지정합니다.
각 샘플의 패킷 수.
각 샘플에서 미러링할 패킷 수.
미러링된 패킷이 잘리는 길이.
패킷 주소 패밀리
패킷 주소 패밀리 유형은 미러링할 트래픽 유형을 지정합니다. 레이어 2 환경에서, MX 시리즈 라우터와 EX 시리즈 스위치는 다음 패킷 주소 패밀리에 대한 포트 미러링을 지원합니다.
패밀리 유형
ethernet-switching
- 물리적 인터페이스가 캡슐화 유형ethernet-bridge
로 구성된 경우 VPLS 트래픽 미러링용입니다.패밀리 유형
ccc
- 레이어 2 VPN 트래픽 미러링용입니다.패밀리 유형
vpls
- VPLS 트래픽 미러링용입니다.
일반적인 애플리케이션에서는 미러링된 패킷을 다른 라우터나 스위치가 아닌 분석기로 직접 전송합니다. 네트워크를 통해 미러링된 패킷을 보내야 하는 경우 터널을 사용해야 합니다. 레이어 2 VPN의 경우, 레이어 2 VPN 라우팅 인스턴스 유형 l2vpn
을 사용하여 패킷을 원격 대상으로 터널링할 수 있습니다.
레이어 2 VPN용 라우팅 인스턴스 구성에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오. 자세한 레이어 2 VPN 구성의 예시는 Junos OS를 참조하십시오. 터널 인터페이스에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.
미러 대상 속성
지정된 패킷 주소 패밀리에 대해, 레이어 2 포트 미러링 인스턴스의 미러 대상 속성은 선택한 패킷이 특정 물리적 인터페이스에서 전송되는 방식을 지정합니다.
선택한 패킷을 전송할 물리적 인터페이스.
미러 대상 인터페이스에 대해 필터 검사를 비활성화할지 여부. 필터 검사는 기본적으로 모든 인터페이스에 대해 활성화됩니다.
주:레이어 2 포트 미러링 대상이기도 한 인터페이스에 필터를 적용하는 경우 해당 미러 대상 인터페이스에 대한 필터 검사를 비활성화하지 않는 한 커밋 실패가
발생합니다.
Mirror-Once 옵션
포트 미러링이 수신 및 송신 인터페이스 모두에서 활성화된 경우, MX 시리즈 라우터와 EX 시리즈 스위치가 동일한 대상으로 중복 패킷을 전송하여 미러링된 트래픽의 분석이 복잡해지는 것을 방지할 수 있습니다.
mirror-once 포트 미러링 옵션은 전역 설정입니다. 이 옵션은 packet-selection 속성 및 패킷 패밀리 유형별 미러 대상 속성과는 무관합니다.
레이어 2 포트 미러링 유형 적용
MX 시리즈 또는 EX 시리즈 경로에서 여러 수신 또는 송신 지점의 VPLS 패킷에 여러 세트의 레이어 2 포트 미러링 속성을 적용할 수 있습니다.
표 5에는 MX 시리즈 라우터와 EX 시리즈 스위치에서 구성할 수 있는 세 가지 유형의 레이어 2 포트 미러링인 글로벌 인스턴스, 명명된 인스턴스 및 방화벽 필터에 대한 설명이 나와 있습니다.
레이어 2 포트 미러링 유형 정의 |
적용 지점 |
미러링 범위 |
설명 |
구성 세부 정보 |
|
---|---|---|---|---|---|
레이어 2 포트 미러링의 글로벌 인스턴스 |
MX 시리즈 라우터(또는 스위치) 섀시의 모든 포트 |
MX 시리즈 라우터(또는 스위치) 섀시의 모든 포트에서 수신되는 VPLS 패킷 |
구성되면 글로벌 포트 미러링 속성이 라우터(또는 스위치) 섀시의 모든 포트에서 수신되는 모든 VPLS 패킷에 암시적으로 적용됩니다. |
레이어 2 포트 미러링의 글로벌 인스턴스 구성을 참조하십시오. |
|
레이어 2 포트 미러링의 명명된 인스턴스 |
FPC 수준에서 그룹화된 포트 레이어 2 포트 미러링을 FPC 수준에서 그룹화된 포트로 바인딩을 참조하십시오. |
특정 DPC 또는 FPC 및 해당 패킷 전달 엔진과 연관된 포트에서 수신되는 VPLS 패킷 |
글로벌 포트 미러링 인스턴스가 구성한 모든 포트 미러링 속성보다 우선합니다. |
레이어 2 포트 미러링의 명명된 인스턴스 정의를 참조하십시오. MX 시리즈 라우터와 EX 시리즈 스위치에 대해 지원되는 포트 미러링 대상의 수는 라우터 또는 스위치 섀시에 설치된 DPC 또는 FPC에 들어 있는 패킷 전달 엔진의 수로 제한됩니다. |
|
PIC 수준에서 그룹화된 포트 레이어 2 포트 미러링을 PIC 수준에서 그룹화된 포트로 바인딩을 참조하십시오. |
특정 패킷 전달 엔진과 연관된 포트에서 수신되는 VPLS 패킷 |
FPC 수준 또는 글로벌 포트 미러링 인스턴스에서 구성된 모든 포트 미러링 속성보다 우선합니다. |
|||
레이어 2 포트 미러링 방화벽 필터 |
논리적 인터페이스(어그리게이션된 이더넷 인터페이스 포함) 레이어 2 포트 미러링을 논리적 인터페이스에 적용을 참조하십시오. |
논리적 인터페이스에서 수신 또는 송신되는 VPLS 패킷 |
방화벽 필터 구성에서 미러링을 위해 선택된 패킷에 적용할 action 및 action-modifier 용어를 포함하십시오.
|
레이어 2 포트 미러링 방화벽 필터 정의를 참조하십시오. 주:
레이어 2 포트 미러링 방화벽 필터는 논리적 시스템에 대해 지원되지 않습니다. 터널 인터페이스 입력 패킷을 여러 대상으로 미러링하는 경우, 레이어 2 포트 미러링을 위한 다음 홉 그룹 정의도 참조하십시오. |
|
VLAN 포워딩 테이블 또는 플러드 테이블 |
VLAN으로 전달되거나 플러드된 레이어 2 트래픽 |
||||
VPLS 라우팅 인스턴스 포워딩 테이블 또는 플러드 테이블 |
VPLS 라우팅 인스턴스로 전달되거나 플러드된 레이어 2 트래픽 |
레이어 2 포트 미러링에 대한 제한 사항
레이어 2 포트 미러링에는 다음과 같은 제한 사항이 적용됩니다.
레이어 2 전송 데이터(소스에서 대상으로 전달될 때 라우팅 플랫폼이나 스위치를 통과하는 데이터 청크를 포함하는 패킷)만 미러링할 수 있습니다. 레이어 2 로컬 데이터(레이어 2 제어 패킷과 같이 라우팅 엔진를 대상으로 하거나 라우팅 엔진에 의해 전송되는 데이터 청크를 포함하는 패킷)는 미러링되지 않습니다.
논리 인터페이스의 출력에 포트 미러링 필터를 적용하면 유니캐스트 패킷만 미러링됩니다. 브로드캐스트 패킷, 멀티캐스트 패킷, 알 수 없는 대상 미디어 액세스 제어(MAC) 주소를 가진 유니캐스트 패킷, 또는 대상 MAC(DMAC) 라우팅 테이블에 MAC 항목이 있는 패킷을 미러링하려면 VLAN 또는 VPLS(virtual private LAN service) 라우팅 인스턴스의 플러드 테이블 입력에 필터를 적용합니다.
미러 대상 디바이스는 전용 VLAN에 속해 있어야 하며 브리징 작업에 참여하지 않아야 합니다. 미러 대상 디바이스에는 최종 트래픽 대상에 대한 브리지가 없어야 하며 미러 대상 디바이스는 미러링된 패킷을 소스 주소로 다시 전송하지 않아야 합니다.
전역 포트 미러링 인스턴스 또는 명명된 포트 미러링 인스턴스의 경우, 포트 미러링 인스턴스 및 패킷 주소 패밀리당 하나의 미러 출력 인터페이스만 구성할 수 있습니다.
family (ethernet-switching | ccc | vpls) output
문 아래에 두 개 이상의interface
문을 포함하면 이전interface
문은 무시됩니다.논리적 시스템에는 레이어 2 포트 미러링 방화벽 필터링이 지원되지 않습니다.
레이어 2 포트 미러링 방화벽 필터 정의에서,
action-modifier
필터(port-mirror
또는port-mirror-instance pm-instance-name
)는[edit forwarding-options port-mirroring]
계층에서 구성된 레이어 2 포트 미러링의 전역 인스턴스 또는 명명된 인스턴스에 정의된 포트 미러링 속성에 의존합니다. 따라서term
필터는 논리적 시스템에 대한 레이어 2 포트 미러링을 지원할 수 없습니다.port-mirror
문을 포함하여 레이어 2 포트 미러링 속성을 암묵적으로 참조하는 레이어 2 포트 미러링 방화벽 필터의 경우, 여러 개의 레이어 2 포트 미러링의 명명된 인스턴스가 기본 물리적 인터페이스에 바인딩되면 스탠자의 첫 번째 바인딩(또는 유일한 바인딩)만 논리 인터페이스에서 사용됩니다. 이는 이전 버전과의 호환성을 위해 수행됩니다.레이어 2 포트 미러링 방화벽 필터는 미러링된 트래픽의 로드 밸런싱을 위해 next-hop 하위 그룹을 사용하는 것을 지원하지 않습니다.