パッシブ フロー監視ルーターと T シリーズ、M シリーズ、MX シリーズ ルーターのソフトウェアに関する考慮事項
パッシブ フロー監視を実装する場合、ハードウェアとソフトウェアに関する考慮事項がいくつかあります。監視ステーションのハードウェア要件を定義する場合は、以下に注意してください。
-
監視ステーションの入力インターフェイスは、SONET/SDHインターフェイス(OC3、OC12、またはOC48)、ATM2 IQインターフェイス(OC3またはOC12)、4ポートファストイーサネットインターフェイス、SFP搭載ギガビットイーサネットインターフェイス(4ポートまたは10ポート)、またはXENPAKを備えた1ポート10ギガビットイーサネットインターフェイスである必要があります。
-
単一のインターフェイスの両方向のフローを監視するには、監視ステーションには、フローの各方向に1つずつ、2つのSONET/SDH、ATM2 IQ、またはイーサネットベースの受信ポートが必要です。 パッシブフロー監視アプリケーショントポロジーでは、監視ステーションは、ルーター1からルーター2へのトラフィックフローを監視するために1つのポート、そしてルーター2からルーター1へのトラフィックフローを監視する2つ目のポートが必要です。
-
監視サービスPICは、タイプ1拡張FPCスロットにインストールする必要があります。
-
タイプ1およびタイプ2トンネルサービスPICがサポートされています。
-
ES PIC を使用してフロー エクスポートを暗号化します。
-
対称ハッシュは、MPC10およびMPC11ラインカードではサポートされていません。パッシブ監視と共に対称ハッシュをサポートしたい場合は、別のMPCラインカードを選択する必要があります。
-
パッシブ監視は物理ポートでのみ設定でき、論理インターフェイスや VLAN 単位では設定できません。集合型イーサネットポートやイーサネットカプセル化を使用したポートでは、パッシブ監視を設定できません。
-
IDS サーバーはルーターに直接接続されている必要があります。IDS サーバーに接続するインターフェイスを LAG(リンク アグリゲーション グループ)の一部として設定する必要があります。IDS サーバーにパケットをルーティングするには、静的ルートを設定する必要があります。
トラフィック監視戦略を定義する場合は、次の事項に注意してください。
-
監視ステーションは、IPv4パケットのみを収集します。その他のパケット形式はすべて破棄され、カウントされません。
-
監視ステーションがフローを終了してフロー データをエクスポートする前に、データ フローを非アクティブにできる時間を設定できます。タイマーを設定するには、 階層レベルに
flow-inactive-timeout
ステートメントを[edit forwarding-options monitoring group-name family inet output]
含めます。タイマー値は 15 秒から 1800 秒までで、デフォルト値は 60 秒です。
また、監視ステーションを設定して、設定されたアクティブタイムアウトよりも長いフローの定期的なフローレポートを収集することもできます。このアクティビティタイマーを設定するには、 階層レベルに flow-active-timeout
ステートメントを [edit forwarding-options monitoring group-name family inet output]
含めます。タイマー値は 60 秒から 1800 秒まで、デフォルト値は 180 秒です。
-
可能な場合、複数の期限切れフローが一緒にエクスポートされます。以下のいずれかの条件が満たされた場合、UDP パケットが送信されます。
-
現在のパケットに 30 個のフローが含まれている場合、フローがエクスポートされます。
-
30 個未満のフローが存在し、エクスポート タイマーが期限切れになった場合、タイマーの有効期限が切れて 1 秒後にフローがエクスポートされます。
-
-
TCP および UDP フローは、以下のように異なる考え方をしています。
-
TCP フローは、 FIN ビットと後続の確認応答(ACK)を含むセグメントを監視して、フローの終了を検出します。また、TCP リセット(RST)はフローの終了も示します。これらの TCP の組み合わせが検出されると、フローは期限切れになります。 FIN+ACK と RST のケースは、ほとんどのTCPストリームの閉鎖をカバーしています。その他のすべてのフローでは、非アクティブなタイムアウトが必要です。
-
UDP などの TCP 以外のすべてのフローは、エクスポートのタイムアウト メカニズムに依存します。
-
-
SONET/SDH インターフェイスのデフォルト MTU 値は 4474 バイトです。ギガビットイーサネットおよびファストイーサネットインターフェイスの場合、1500バイトです。監視ステーションが 4474 バイトを超えるパケットを受信した場合、パケットは破棄されます。フラグメント化は実行されません。PIC のタイプによっては、ギガビット イーサネットまたはファスト イーサネット PIC でサポートされている MTU サイズが 1500 バイトを超える場合があることに注意してください。
-
破棄された受信トラフィックは、パケット アナライザに転送されません。
-
傍受されたトラフィックを収集する監視ステーション上のインターフェイスは、Cisco HDLC または PPP カプセル化で設定する必要があります。
-
フローレコードをフローサーバーに送信するには、常に標準インターフェイス(通常 interface-name-fpc/pic/slot の形式に従うインターフェイスなど)を使用する必要があります。監視サービスまたは監視サービス II PIC によって生成されたフロー データは、 fxp0 インターフェイスを介してサーバーに配信されません。
-
バージョン 5 のレコードを複数のフロー サーバーに送信できます。最大8台のサーバーを設定でき、フロートラフィックはラウンドロビン方式でサーバー間で負荷分散されます。サーバーの 1 つが停止すると、残りのアクティブ なサーバー間でフロー トラフィックの負荷分散が自動的に行われます。を設定するには、 階層レベルで最大8つの
flow-server
ステートメントを[edit forwarding-options monitoring group-name output]
含めます。