Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

パッシブ フロー監視ルーターと T シリーズ、M シリーズ、MX シリーズ ルーターのソフトウェアに関する考慮事項

パッシブ フロー監視を実装する場合、ハードウェアとソフトウェアに関する考慮事項がいくつかあります。監視ステーションのハードウェア要件を定義する場合は、以下に注意してください。

  • 監視ステーションの入力インターフェイスは、SONET/SDHインターフェイス(OC3、OC12、またはOC48)、ATM2 IQインターフェイス(OC3またはOC12)、4ポートファストイーサネットインターフェイス、SFP搭載ギガビットイーサネットインターフェイス(4ポートまたは10ポート)、またはXENPAKを備えた1ポート10ギガビットイーサネットインターフェイスである必要があります。

  • 単一のインターフェイスの両方向のフローを監視するには、監視ステーションには、フローの各方向に1つずつ、2つのSONET/SDH、ATM2 IQ、またはイーサネットベースの受信ポートが必要です。 パッシブフロー監視アプリケーショントポロジーでは、監視ステーションは、ルーター1からルーター2へのトラフィックフローを監視するために1つのポート、そしてルーター2からルーター1へのトラフィックフローを監視する2つ目のポートが必要です。

  • 監視サービスPICは、タイプ1拡張FPCスロットにインストールする必要があります。

  • タイプ1およびタイプ2トンネルサービスPICがサポートされています。

  • ES PIC を使用してフロー エクスポートを暗号化します。

  • 対称ハッシュは、MPC10およびMPC11ラインカードではサポートされていません。パッシブ監視と共に対称ハッシュをサポートしたい場合は、別のMPCラインカードを選択する必要があります。

  • パッシブ監視は物理ポートでのみ設定でき、論理インターフェイスや VLAN 単位では設定できません。集合型イーサネットポートやイーサネットカプセル化を使用したポートでは、パッシブ監視を設定できません。

  • IDS サーバーはルーターに直接接続されている必要があります。IDS サーバーに接続するインターフェイスを LAG(リンク アグリゲーション グループ)の一部として設定する必要があります。IDS サーバーにパケットをルーティングするには、静的ルートを設定する必要があります。

トラフィック監視戦略を定義する場合は、次の事項に注意してください。

  • 監視ステーションは、IPv4パケットのみを収集します。その他のパケット形式はすべて破棄され、カウントされません。

  • 監視ステーションがフローを終了してフロー データをエクスポートする前に、データ フローを非アクティブにできる時間を設定できます。タイマーを設定するには、 階層レベルに flow-inactive-timeout ステートメントを [edit forwarding-options monitoring group-name family inet output] 含めます。タイマー値は 15 秒から 1800 秒までで、デフォルト値は 60 秒です。

また、監視ステーションを設定して、設定されたアクティブタイムアウトよりも長いフローの定期的なフローレポートを収集することもできます。このアクティビティタイマーを設定するには、 階層レベルに flow-active-timeout ステートメントを [edit forwarding-options monitoring group-name family inet output] 含めます。タイマー値は 60 秒から 1800 秒まで、デフォルト値は 180 秒です。

  • 可能な場合、複数の期限切れフローが一緒にエクスポートされます。以下のいずれかの条件が満たされた場合、UDP パケットが送信されます。

    • 現在のパケットに 30 個のフローが含まれている場合、フローがエクスポートされます。

    • 30 個未満のフローが存在し、エクスポート タイマーが期限切れになった場合、タイマーの有効期限が切れて 1 秒後にフローがエクスポートされます。

  • TCP および UDP フローは、以下のように異なる考え方をしています。

    • TCP フローは、 FIN ビットと後続の確認応答(ACK)を含むセグメントを監視して、フローの終了を検出します。また、TCP リセット(RST)はフローの終了も示します。これらの TCP の組み合わせが検出されると、フローは期限切れになります。 FIN+ACKRST のケースは、ほとんどのTCPストリームの閉鎖をカバーしています。その他のすべてのフローでは、非アクティブなタイムアウトが必要です。

    • UDP などの TCP 以外のすべてのフローは、エクスポートのタイムアウト メカニズムに依存します。

  • SONET/SDH インターフェイスのデフォルト MTU 値は 4474 バイトです。ギガビットイーサネットおよびファストイーサネットインターフェイスの場合、1500バイトです。監視ステーションが 4474 バイトを超えるパケットを受信した場合、パケットは破棄されます。フラグメント化は実行されません。PIC のタイプによっては、ギガビット イーサネットまたはファスト イーサネット PIC でサポートされている MTU サイズが 1500 バイトを超える場合があることに注意してください。

  • 破棄された受信トラフィックは、パケット アナライザに転送されません。

  • 傍受されたトラフィックを収集する監視ステーション上のインターフェイスは、Cisco HDLC または PPP カプセル化で設定する必要があります。

  • フローレコードをフローサーバーに送信するには、常に標準インターフェイス(通常 interface-name-fpc/pic/slot の形式に従うインターフェイスなど)を使用する必要があります。監視サービスまたは監視サービス II PIC によって生成されたフロー データは、 fxp0 インターフェイスを介してサーバーに配信されません。

  • バージョン 5 のレコードを複数のフロー サーバーに送信できます。最大8台のサーバーを設定でき、フロートラフィックはラウンドロビン方式でサーバー間で負荷分散されます。サーバーの 1 つが停止すると、残りのアクティブ なサーバー間でフロー トラフィックの負荷分散が自動的に行われます。を設定するには、 階層レベルで最大8つの flow-server ステートメントを [edit forwarding-options monitoring group-name output] 含めます。