QFX-SeriesのQFX5110にて、インターフェース設定の一種であるポートミラーリング設定を作成する機会がありました。
その際に行った設計例の紹介と、それぞれの設定行について解説します。
ポートミラーリングの設定項目
ポートミラーリングを実現するのに必要な設定項目は以下になります。
- ミラーリング元になる対象通信の設定
- ミラーリング先となるインターフェース指定の設定
- ミラーリング先の物理インターフェースの設定
ポートミラーリングの設定例
それでは順に解説していきます。
ミラーリング元になる対象通信の設定
set forwarding-options analyzer "アナライザー名" input ingress interface xe-0/0/XX set forwarding-options analyzer "アナライザー名" input ingress interface xe-0/0/YY set forwarding-options analyzer "アナライザー名" input egress vlan "VLAN番号_1" set forwarding-options analyzer "アナライザー名" input egress vlan "VLAN番号_2"
各行にある"アナライザー名"には、任意の名称を設定することができます。
1行目、2行目はミラーリング元になる通信として、物理インターフェースのxe-0/0/XX, xe-0/0YYの2つを設定する行で、方向としてはingress方向(input方向)が対象になります。
3行目、4行目はミラーリング元になる通信として、”VLAN番号_1”, "VLAN番号_2"の2つを設定する行で、方向としてはegress方向(output方向)が対象になります。
このように、インターフェースだけでなく、特定のVLANの通信をミラーリングすることが可能です。
"アナライザー名"の後ろにある input がミラーリング元の設定の目印です。次の設定項目のミラーリング先となるインターフェース指定の設定行と見比べてみてください。
ミラーリング先となるインターフェース指定の設定
set forwarding-options analyzer "アナライザー名" output interface xe-0/0/ZZ.0
ミラーリング先となるインターフェース指定の設定行は、前のミラーリング元となる対象通信の設定のすぐ後ろに表示される設定行で、今回の設定内容としてはインタフェースのxe-0/0/ZZ.0からミラーリングされた通信を送り出す設定になります。
"アナライザー名"の後ろにある output がミラーリング先の設定の目印です。
ミラーリング先の物理インターフェースの設定
set interfaces xe-0/0/X unit 0 family ethernet-switching
ミラーリング先の物理インターフェースの設定は非常に単純で、スイッチングポートとして設定する行のみです。
逆に言えば、スイッチングポート設定以外に設定を追加してしまうと、ミラーリング先のインターフェースとして機能しなくなる可能性があります。
設定例についてのまとめ
設定の書き方としての特徴としては、通信の流入方向としてはinput/outputで表現することが多いですが、Juniper機器におけるポートミラーリング設定では流入方向の指定となるパラメータとしてingress/egressを使うことが挙げられます。
また、別の機会に解説予定ですが、インターフェースにて通信許可/拒否を行うためのfilter設定では流入方向の指定としてinput/outputを使うなど、感覚的には同じようなものでも設定項目により設定値が異なることには注意が必要です。
廣瀬 翔也(日本ビジネスシステムズ株式会社)
クラウドソリューション事業本部 セキュリティ&ネットワークインテグレーション2部 所属 主な業務経験範囲はネットワーク分野。 備忘録も兼ねて”ユーザ要望を実現するためのコンフィグ設計例”を掲載していく予定です。
担当記事一覧