24.1.2 動作仕様
- 〈この項の構成〉
(1) 基本仕様
トラフィックの監視や解析などのために,アナライザなどを接続するインタフェースをミラーポートに設定します。ミラーポートは,ミラーリング専用のポートになります。
モニターポートとミラーポートの組み合わせをモニターセッションと呼びます。本装置では,複数のモニターセッションを設定できます。
モニターポートとミラーポートは,次に示す組み合わせで使用できます。
-
1モニターポート対1ミラーポート
-
1モニターポート対複数ミラーポート
-
複数モニターポート対1ミラーポート
-
複数モニターポート対複数ミラーポート
モニターポートおよびミラーポートには,それぞれ異なる速度のインタフェースを設定できます。なお,ミラーリングしたフレームは,ミラーポートの回線帯域内で送信するため,回線帯域を超えるフレームは廃棄します。
(2) モニターポートの仕様
ポリシーベースミラーリングのモニターポートは,対象とするフローを特定するアクセスリストを使用して設定します。モニターポートを設定する場合は,フロー配分パターンにmirrorを設定してください。
ポリシーベースミラーリングの送信先インタフェースリストを動作に指定したアクセスリストをインタフェースに適用することで,該当するインタフェースをモニターポートとして使用します。アクセスリストをインタフェースに適用するときに指定する,コンフィグレーションコマンドのパラメータを次の表に示します。
|
ミラーリング方向 |
パラメータ |
|---|---|
|
受信側 |
in-mirror |
|
送信側 |
out-mirror |
なお,対象インタフェース,フロー検出条件,注意事項などについては,「9 フィルタ」を参照してください。
(3) ミラーポートの仕様
ポリシーベースミラーリングのミラーポートは,送信先インタフェースリストで設定します。
送信先インタフェースリストには,複数のミラーポートが設定できます。複数のミラーポートを設定した場合は,設定したすべてのミラーポートに同時にミラーリングします。ミラーポートとして設定できるインタフェースを次に示します。
-
イーサネットインタフェース
-
ポートチャネルインタフェース
送信先インタフェースにポートチャネルインタフェースを設定することで,リンクアグリゲーションの機能であるロードバランスやポートの冗長化などが可能となります。
ミラーポートでは,オートネゴシエーションやフローコントロールなどのイーサネットの機能や,フィルタおよびQoSの機能を使用できます。また,ミラーポートにミラーリングするフレームは,本装置内ではレイヤ2中継フレームとして扱います。したがって,フィルタおよびQoSの機能を使用する場合は,レイヤ2中継としてフロー検出してください。また,送信先インタフェースとしてポートチャネルインタフェースを使用する場合は,レイヤ2中継としてポート振り分けをします。ただし,ミラーポートでは,スパニングツリーなどのレイヤ2機能は使用できません。
また,次に示すインタフェースはミラーポートとして使用できません。
-
チャネルグループに所属しているイーサネットインタフェース
-
VLANに所属している,またはポート種別をトランクポートにしている
-
IPアドレス,またはサブインタフェースを設定している
(4) 受信フレームのミラーリング
モニターポートで受信するフレームのうち,アクセスリストでフロー検出したフレームがミラーリングの対象となります。
(5) 送信フレームのミラーリング
モニターポートから送信するフレームのうち,アクセスリストでフロー検出したフレームがミラーリングの対象となります。なお,モニターポートの輻輳などで廃棄されるフレームをミラーリングしたり,モニターポートから送信するフレームがミラーポートの輻輳などでミラーリングされなかったりすることがあります。
モニターポートにポートシェーパによる廃棄制御,スケジューリング,およびポート帯域制御を設定した場合,送信フレームに対するポリシーベースミラーリングでは,ポートシェーパによって制御される前のフレームをミラーリングします。そのため,モニターポートで廃棄するフレームをミラーリングしたり,モニターポートとミラーポートで送信するフレームの順序が異なったりすることがあります。
送信フレームのポリシーベースミラーリングでは,モニターポート側のミラーリング処理性能がFEごとに約19Mpacket/sに制限されます。また,同一FEで送信フレームのポートミラーリングのモニターポートを併用し,かつポートミラーリングのモニターポートとミラーポートが異なるFEの場合,モニターポート側のミラーリング性能は,ポートミラーリングとポリシーベースミラーリングの合計でFEごとに約19Mpackets/sに制限されます。
なお,PRUの種別によって,実装されるFEの数や,FEとNIFのつながりが異なるため,設定する際は注意してください。PRU内のFEとNIFのつながりについては,「19.1.1 概要」を参照してください。
(6) ポリシーベースミラーリングの使用帯域
ポリシーベースミラーリングが動作すると,PRU内のFEの帯域を使用します。
ミラーリングによるPRU内のFEの使用帯域を次の表に示します。なお,ここで示す使用帯域はモニターポートを収容するFEがポリシーベースミラーリングで使用する帯域であり,ミラーリングの対象となるフレームの使用帯域を含みます。
|
ミラーリングの設定 |
受信側の帯域 |
送信側の帯域 |
|---|---|---|
|
受信フレームのミラーリング |
モニターポートの受信帯域+ポリシーベースミラーリング対象フローの帯域 |
送信フロー+(ポリシーベースミラーリング対象フローの帯域×モニターポート数分※1) |
|
送信フレームのミラーリング |
モニターポートの送信帯域+ポリシーベースミラーリング対象フローの帯域※2 |
送信フロー+(ポリシーベースミラーリング対象フローの帯域※2×モニターポート数分※1) |
- 注※1
-
各モニターポートが属するFEが異なる場合は,FEごとに算出してください。
- 注※2
-
ポリシーベースミラーリング対象フローの帯域は最大で約19Mpacket/sです。
PRUの種別によって,実装されるFEの数や,FEとNIFのつながりが異なるため,設定する際は注意してください。PRU内のFEとNIFのつながりについては,「19.1.1 概要」を参照してください。