Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

パッシブフロー監視ルーターとMXシリーズルーターのソフトウェアに関する考慮事項

パッシブフロー監視を実装する場合、ハードウェアとソフトウェアで考慮すべき点がいくつかあります。監視ステーションのハードウェア要件を定義する際には、以下の点に留意してください。

  • 監視ステーションの入力インターフェイスは、SFPを備えたギガビットイーサネットインターフェイス(4ポートまたは10ポート)、またはXENPAKを備えた1ポート10ギガビットイーサネットインターフェイスである必要があります。

  • 単一のインターフェイスに対して両方向のフローを監視するには、監視ステーションに、フローの各方向に 1 つずつ、2 つのイーサネットベースの受信ポートが必要です。 パッシブフロー監視アプリケーショントポロジーでは、監視ステーションには、ルーター1からルーター2に流れるトラフィックを監視するための1つのポートと、ルーター2からルーター1に流れるトラフィックを監視するための2番目のポートが必要です。

  • 監視サービスPICは、タイプ1拡張FPCスロットにインストールする必要があります。

  • タイプ1およびタイプ2のトンネルサービスPICがサポートされています。

  • ES PIC を使用してフローのエクスポートを暗号化します。

  • 対称ハッシュは、MPC10およびMPC11ラインカードではサポートされていません。パッシブ監視とともに対称ハッシュをサポートしたい場合は、別のMPCラインカードを選択する必要があります。

  • 受動的な監視は、物理ポートでのみ設定でき、論理インターフェイスやVLAN単位では設定できません。集合型イーサネットポートまたはイーサネットカプセル化のあるポートには、受動的な監視を設定することはできません。

  • IDSサーバーは、ルーターに直接接続する必要があります。IDSサーバーに接続するインターフェイスは、リンクアグリゲーショングループ(LAG)の一部として設定する必要があります。パケットを IDS サーバーにルーティングするには、静的ルートを設定する必要があります。

トラフィック監視戦略を定義するときは、以下の点に留意してください。

  • 監視ステーションは、IPv4パケットのみを収集します。それ以外のパケット形式はすべて破棄され、カウントされません。

  • 監視ステーションがフローを終了してフローデータをエクスポートする前に、データフローを非アクティブにできる時間を設定できます。タイマーを設定するには、[edit forwarding-options monitoring group-name family inet output]階層レベルでflow-inactive-timeoutステートメントを含めます。タイマー値は15秒から1800秒の範囲で、デフォルト値は60秒です。

また、設定されたアクティブタイムアウトよりも長く続くフローの定期的なフローレポートを収集するように監視ステーションを設定することもできます。このアクティビティタイマーを設定するには、[edit forwarding-options monitoring group-name family inet output]階層レベルでflow-active-timeoutステートメントを含めます。タイマー値は60秒から1800秒の範囲で、デフォルト値は180秒です。

  • 可能であれば、期限切れの複数のフローが一緒にエクスポートされます。UDPパケットは、以下の条件のいずれかが満たされた場合に送信されます。

    • 現在のパケットに 30 個のフローが含まれている場合、フローがエクスポートされます。

    • フローが30未満でエクスポートタイマーが期限切れになった場合、タイマーが期限切れの1秒後にフローがエクスポートされます。

  • TCPフローとUDPフローは、異なる方法で考慮されます。

    • TCPフローは、 FIN ビットとそれに続く確認応答(ACK)を含むセグメントを監視して、フローの終わりを検出します。または、TCPリセット(RST)はフローの終了を示すこともできます。これらのTCPの組み合わせが検出されると、フローは期限切れになります。 FIN+ACK および RST のケースは、ほとんどのTCPストリームクロージャーをカバーしています。その他のすべてのフローでは、非アクティブなタイムアウトが必要です。

    • UDPなどのすべての非TCPフローは、エクスポートのタイムアウトメカニズムに依存しています。

  • ギガビット イーサネット インターフェイスのデフォルト MTU 値は 1500 バイトです。監視ステーションが4474バイトを超えるパケットを受信すると、それらは破棄されます。フラグメント化は実行されません。ギガビットイーサネットPICでサポートされているMTUサイズは、PICのタイプによっては1500バイトを超える場合があることに注意してください。

  • 破棄された着信トラフィックは、パケットアナライザに転送されません。

  • 傍受したトラフィックを収集する監視ステーション上のインターフェイスは、Cisco HDLCまたはPPPカプセル化で設定する必要があります。

  • フロー レコードをフロー サーバーに送信するには、常に標準インターフェイス (通常の interface-name-fpc/pic/slot 形式に従うインターフェイスなど) を使用する必要があります。監視サービスまたは監視サービスII PICによって生成されたフローデータは、 fxp0 インターフェイスを介してサーバーに配信されません。

  • バージョン 5 のレコードを複数のフロー サーバーに送信できます。最大8台のサーバーを設定でき、フロートラフィックはラウンドロビン方式でサーバー間でロードバランシングされます。サーバーの1つが動作を停止した場合、フロートラフィックは、残りのアクティブなサーバー間で自動的にロードバランシングされます。設定するには、[edit forwarding-options monitoring group-name output]階層レベルで最大8つのflow-serverステートメントを含めます。