NECのスイッチQXのリフレクターポート設定方法-CLIコマンド-
パケットキャプチャを行う際にスイッチの幹線や、サーバーなどが接続されている対象のポートへ「ミラーリングポート」の設定を行うことで、モニター用PCなどのキャプチャ装置で他の機器同士の通信パケットを確認する方法があります。
通常のミラーリングポートの設定方法(コマンド)解説はこちら。
通常、キャプチャしたいポートと同じスイッチにミラーリングポートの設定を行うのですが、今回はNECのQXシリーズのL2スイッチで「リフレクターポート」という設定を行うことで、キャプチャしたパケットを更に別のスイッチに転送する。という機能の紹介と設定方法を解説してきます。
パケットキャプチャとは? -簡単に説明-
ネットワークで通信を行う際に発生するデータを「パケット」と呼び、そのパケットを取得し解析などを行う行為を、「パケットキャプチャ」と呼びます。
パケットキャプチャはネットワークの通信の送信元や宛先、内容などの情報が含まれており、ネットワークでの通信トラブル発生時に確認することで解決への糸口となることが多いです。
また、常時パケットキャプチャを行い保存、検閲を行い、不正と判断されるパケットが発生した際にアラートを発生させるなどのセキュリティ機器も中には存在します。
パケットキャプチャを行うことが可能なネットワーク機器も多く存在しますが、PCで簡易的に行う際には「wireshark(ワイヤーシャーク)」というソフトを用いることが多いです。
パケットキャプチャにはスイッチのポートのミラーリングを行う
冒頭で軽く記載した内容となりますが、ブロードキャストなどを除いた一般的な通信で発生するパケットは、送受信する機器の間でのみ発生します。
したがって、その通信のパケットをキャプチャする場合は、その対象機器が接続されている、若しくはその機器同士の間にあるスイッチでミラーリングポートの設定を行い、そのミラーリングポートの設定を行ったスイッチにモニター用PCを接続するという流れになります。
リフレクターポートによって別のスイッチにパケットを転送する
ミラーリングポートの設定を行いパケットキャプチャを行う場合、ミラー先は同じスイッチに設定する必要があるため、モニター用PCは当然ポートミラーの設定を行ったスイッチに接続することになります。
そこでNECのQXシリーズに設定可能な「リフレクターポート」という機能を使用すれば、ミラーリングポートの転送先のポートを、別のスイッチに指定することができます。
つまりモニター用PCはモニターポートに設定したスイッチへ一度接続をしてしまい、パケットキャプチャをスタートすれば、そのPCを接続するポートを繋ぎ変える必要はなくなるという訳です。
下記の画像で例えるとPC(A)と(B)の通信をキャプチャするために、コアスイッチの1番ポートへミラーリングのソースポートの設定、2番ポートにリフレクターポートの設定を行います。
別のポート、別のスイッチで発生しているパケットをキャプチャしたい場合は設定をソースポートの設置を変えるだけで、SW-Aのモニターポートに転送することができます。
リフレクターポートによるミラーリングは、ソースポートを設定するスイッチと、モニターポートを設定するスイッチの間にキャプチャするvlanを通しておく必要もありません。
図ではキャプチャしているPC(A)と(B)はvlan2で、CSWとSW-Aの間はvlan10のみ。という構成ですが、リフレクターポートで転送することでキャプチャは正常に行うことが可能です。
構成するスイッチは同じ型番である必要はありませんが、QXスイッチの中でもリフレクターポートを設定できるスイッチ、出来ないスイッチがありますので、公式のデータシートよりご確認ください。
モニターポートにするスイッチはリフレクターポートに対応していなくても、パケットを受信することが可能です。
リフレクターポートの設定方法 -コマンド-
リフレクターポートによる別スイッチへのパケットの転送方法を解説します。
通常のミラーリングポートの設定に、リフレクターポートの設定を付け加えるだけなので、そこまで難しい設定ではないかと思います。
今回は上記の図の構成の構築をコマンドをもとに開設していきます。
各QXスイッチの基本設定 -コマンド-
まずは各スイッチの各ポートにvlanの設定を行っていきます。
MACアドレスの学習機能も[undo]でoffにしています。
セグメントの分割はCSWで行い、PC(A)から(B)の通信はvlan2、モニター用PCまでの通信はvlan10で通すように設定を行います。
同じvlanに設定してももちろんキャプチャは行えます。
各QXスイッチの基本設定 -コマンド-
更に各スイッチにミラーリングポートの設定を行っていきます。今回はCSWのP1をソースポートに、SW-AのP1をモニターポートに設定します。
リフレクターポートの設定コマンドは1行のみでCSWに設定します。
設定するポートは空きポートであればどこでもOKです。
設定コマンドを正しく入力すると、LANケーブルを接続していなくてもリンクアップします。
これでリフレクターポートによるパケット転送の設定は完了なので、CSWのP1で発生したパケットはSW-AのP1に接続したモニター用PCでキャプチャすることが可能です。
リフレクターポート CLI設定コマンド
今回スイッチに入力したコマンドは下記です。コピペでそのまま機器に流し込むことも可能です。
CSW設定コマンド(リフレクターポート、ソースポート)
mirroring-group 1 remote-source mirroring-group 1 remote-probe vlan 10 # vlan 2 # vlan 10 undo mac-address mac-learning enable # interface GigabitEthernet1/0/1 port access vlan 2 mirroring-group 1 mirroring-port both # interface GigabitEthernet1/0/2 mirroring-group 1 reflector-port # interface GigabitEthernet1/0/3 port access vlan 2 # interface GigabitEthernet1/0/4 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 10
SW-A設定コマンド(モニターポート)
mirroring-group 2 remote-destination mirroring-group 2 remote-probe vlan 10 # vlan 10 # interface GigabitEthernet1/0/1 port access vlan 10 mirroring-group 2 monitor-port # interface GigabitEthernet1/0/4 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 10
SW-B設定コマンド(vlanのみ)
vlan 2 # interface GigabitEthernet1/0/1 port access vlan 2 # interface GigabitEthernet1/0/2 port access vlan 2
