ポートミラーリング

ポートミラーリング

　ポートミラーリングとは、特定のポートを通過するトラフィックを指定したミラーポートにコピーする機能です。ミラーポートに、ネットワークアナライザやRMONプローブなどモニタリングデバイスを接続することで、パケットの解析が行うことができるようになります。

それでは、まず、ポートミラーリングの設定に必要なコマンドを把握しておきましょう！

●ミラーリンクに使用するコマンド

ENABLE SWITCH MIRROR

ポートミラーリング機能を有効にする。ミラーポートの設定は変化しない。デフォルトは無効。

SET SWITCH MIRROR={NONE|port-number}

port-number: スイッチポート番号（1～）

ミラーポートの設定および解除を行う。

＜パラメータ＞
MIRROR: ミラーポートとして使用するポートを指定する。VLAN default以外に所属しているポートはミラーポートに設定できない。また、トランクポートも不可。コマンド実行時に別のポートがミラーポートとして 設定されていた場合、先に設定されていたポートはミラーポートでなくなり、VLAN default所属のタグなしポートとなる。ミラーポートになったポートは、どのVLANにも所属しない。ミラーポートを削除するにはNONEを指定する

SET SWITCH PORT={port-list|ALL} [MIRROR={BOTH|NONE|RX|TX}]

port-list: スイッチポート番号（1～。ハイフン、カンマを使った複数指定も可能)

MIRROR: ミラーリングするトラフィックの向き。該当ポートをポートミラーリングのソースポートにしたいときに指定する。BOTH（送受信パケット）、RX（受信パケット）、TX（送信パケット）、NONE（ミラーリングしない）から選択する。デフォルトはNONE。

DISABLE SWITCH MIRROR

ポートミラーリング機能を無効にする。ミラーポートの設定は変化しない。デフォルトは無効。

●備考・注意事項

• ミラーポートとして設定されたポートは通常のスイッチポートとしては機能しない。
• ポートトランキングの所属ポートをミラーポートに設定することはできない。
• 複数のソースポートを指定した場合で、かつ指定ポートにタグ付きとタグなしが混在している場合、送信パケットはすべてタグなしとしてミラーリングされる。
• スイッチのソフトウェアから送信される、ICMP（request/reply）、BPDUなどは、ミラーリングされない。

コマンドと、注意事項を把握したところで、早速、ポートミラーリングを使ったネットワークを構築してみましょう。

　ポート1には、モニタリンクPCを接続します。モニタリングPCには、今回、無料のトラフィックモニターソフト「モニタリング（EPDエポックパケットディテクター）」を使ってみることにします。

※このソフトは少々古いので、他のトラフィックモニターソフトを利用することをお勧めします。

それでは、下図のように構築していきます。

●スイッチのコンフィグ

create vlan=vlan10 vid=10
create vlan=vlan20 vid=20
create vlan=vlan30 vid=30

add vlan=vlan10 port=3-8
add vlan=vlan20 port=9-16
add vlan=vlan30 port=17-24

enable ip
add ip int=vlan10 ip=192.168.10.254 mask=255.255.255.0
add ip int=vlan20 ip=192.168.20.254 mask=255.255.255.0
add ip int=vlan30 ip=192.168.30.254 mask=255.255.255.0

set switch mirror=1
set switch port=3-24 mirror=tx
enable switch mirror

　今回は、ポートミラーリングの検証のために、ほとんど全てのポートをミラーとして指定しますが、実際のネットワークの運営でこのように設定すると、スイッチに負荷がかかってしまいます。運用ネットワークにおいては、監視したいポートにだけに設定しましょう。

ちなみに、たくさんミラーリングポートを指定すると下のような警告がでます。

Warning (287300): For optimal performance, mirror three ports or less.

それでは、ミラーリングされているかどうかを検証していきます。

モニタリングPCには、トラフィックモニターソフトを起動させておきます。

　ウイルス対策ソフトのファイヤウォール機能やWindowsのファイやウォールを無効にしておくのを忘れないようにしてください。受信するパケットがブロックされてモニターできなくなってしまいます。

それでは、ちゃんとトラフィックモニターできるかどうか、端末間でPingを打ち合ってみましょう。

　ポートミラーリングは、ネットワークの状態を監視するのに便利な機能です。ウイルスに感染した端末を発見したり、構内で禁止された通信をしている端末の発見などで活躍してくれます。