Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクティブ フロー監視の概要

ジュニパーネットワークスのM SeriesマルチサービスエッジまたはT SeriesコアルーターまたはEX9200、選択したPIC(監視サービスPIC、アダプティブサービス[AS] PIC、マルチサービスPIC、マルチサービスDPCを含む)、およびその他のネットワーキングハードウェアを使用して、トラフィックフローを監視し、監視されたトラフィックをエクスポートできます。トラフィックを監視することで、次のことが可能になります。

  • ネットワーク内の送信元ノードと宛先ノード間のIPバージョン4(IPv4)トラフィックフローに関する詳細情報を収集してエクスポートします。

  • 監視インターフェイス上のすべての受信IPv4トラフィックをサンプリングし、そのデータをcflowdレコード形式で提供します。

  • 受信トラフィックフローに対してアカウンティング破棄を実行します。

  • 送信cflowdレコード、傍受IPv4トラフィック、またはその両方を暗号化またはトンネリングする。

  • フィルタリングされたトラフィックを異なるパケットアナライザに誘導し、データを元の形式(ポートミラー)で提供します。

    手記:

    監視サービスPIC、AS PIC、マルチサービスPICは、M SeriesまたはT Seriesルーターの拡張FPC(拡張フレキシブルPICコンセントレータ)に取り付ける必要があります。

    ジュニパーネットワークスMXシリーズ3DユニバーサルエッジルーターにインストールされたマルチサービスDPCは、パッシブ監視とフロータップ機能を除き、同じ機能をサポートしています。

監視サービス PIC は当初、オフラインのパッシブ フロー監視ツールとして使用するために設計されましたが、アクティブ フロー監視トポロジーでも使用できます。これに対して、ASまたはマルチサービスPICは、アクティブフロー監視専用に設計されています。アクティブフロー監視に監視サービスPIC、AS PIC、またはマルチサービスPICのいずれかを使用するには、M SeriesまたはT SeriesルーターにPICをインストールする必要があります。ルーターは、監視アプリケーションとネットワークの通常のルーティング機能の両方に参加します。

Junos OS リリース 11.4 以降、アクティブ監視のサポートは、T Series および MXシリーズ ルーターで実行されている論理システムに拡張されています。論理システムは、独立したルーティング タスクを実行する物理ルーターから作成されたパーティションです。独自のインターフェイス、ポリシー、インスタンス、およびルーティング テーブルを持つ単一ルーター内の複数の論理システムは、複数の異なるルーターによって処理される機能を実行できます。共有サービス PIC は、すべての論理システムからのフローを処理します。バージョン 9 のフロー、IPv4、MPLS テンプレートのみがサポートされます。論理システム上のアクティブ監視を有効にする設定例については 、例:M、MX、または T Series ルーターの論理システム上でのアクティブ監視の設定 を参照してください。

指定されたパケットをフィルタリングして、監視インターフェイスに送信できます。モニタリングサービスPICでは、インターフェイス名には mo- プレフィックスが含まれます。ASまたはマルチサービスPICでは、インターフェイス名には sp- プレフィックスが含まれます。

手記:

アクティブフロー監視のために監視サービスPICからアダプティブサービスまたはマルチサービスPICにアップグレードする場合、監視インターフェイスの名前をmo-fpc/pic/port からsp-fpc/pic/portに変更する必要があります。

[edit forwarding-options] 階層レベルで設定できる主なアクティブ フロー監視アクションは、以下のとおりです。

  • サンプリング ( [edit forwarding-options sampling] 階層あり)。このオプションは、トラフィックストリームのコピーをASまたは監視サービスPICに送信し、フロー内の一部のパケットから限定的な情報(送信元およびIP アドレスなど)を抽出します。元のパケットは、通常どおり目的の宛先に転送されます。

  • [edit forwarding-options accounting]階層で、アカウンティングを破棄します。このオプションは、不要なパケットを隔離し、パケットを記述するcflowdレコードを作成し、パケットを転送せずに破棄します。

  • [edit forwarding-options port-mirroring]階層のポート ミラーリング。このオプションは、フロー内のすべてのパケットのフルコピーを 1 つ作成し、そのコピーを 1 つの宛先に配信します。元のパケットは、目的の宛先に転送されます。

  • [edit forwarding-options next-hop-group]階層での複数ポート ミラーリング。このオプションを使用すると、選択したトラフィックの複数のコピーを複数の宛先に配信できます。(複数のポートミラーリングには、トンネルサービスPICが必要です。)

パッシブフロー監視とは異なり、監視グループを設定する必要はありません。代わりに、サンプリングまたは破棄アカウンティングを使用して、フィルタリングされたパケットを監視サービスまたは適応サービス インターフェイス(mo- または sp-)に送信できます。オプションで、ポートミラーリングまたは複数ポートミラーリングを設定して、パケットを追加のインターフェイスに転送できます。

これらのアクティブフロー監視オプションは、ネットワークトラフィックフローに対して実行できるさまざまなアクションを提供します。ただし、次の制限が適用されます。

  • ルーターまたはスイッチは、サンプリング or ポートミラーリングを一度に実行できます。

  • ルーターまたはスイッチは、アカウンティングの転送 or 破棄を一度に実行できます。

監視サービス、AS、およびマルチサービスPICでは、一度に1つのアクションしか実行できないため、次の設定オプションを使用できます。

  • サンプリングとフォワーディング

  • サンプリングおよび廃棄アカウンティング

  • ポートミラーリングとフォワーディング

  • ポートミラーリングとアカウンティング破棄

  • 異なるトラフィック セットでのサンプリングとポート ミラーリング

図 1 にトポロジーの例を示します。

図 1:アクティブ監視設定トポロジー Active Monitoring Configuration Topology

図 1 では、ルーター 1 からのトラフィックが、監視ルーターのギガビット イーサネット ge-2/3/0 インターフェイスに到着します。宛先ルーター 2 につながる監視ルーターの出口インターフェイスは ge-3/0/0 ですが、これは任意のインターフェイス タイプ(SONET、ギガビット イーサネットなど)にすることができます。cflowdサーバにつながるエクスポートインターフェイスはfe-1/0/0です。

アクティブ監視を有効にするには、以下の一致条件でインターフェイスge-2/3/0に ファイアウォールフィルター を設定します。

  • 特定のファイアウォール条件に一致するトラフィックは、フィルターベースの転送を使用して監視サービスPICに送信されます。このトラフィックは隔離され、他のルーターには転送されません。

  • 他のすべてのトラフィックは、監視サービス PIC にポートミラーリングされます。ポートミラーリングは各パケットをコピーし、ポートミラーリングネクストホップ(この場合は監視サービスPIC)にコピーを送信します。元のパケットは通常通りルーターから転送されます。

関連資料