Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクティブ フロー監視の概要

ジュニパーネットワークス M シリーズ マルチサービス エッジまたは T シリーズ コア ルーターまたは EX9200 を使用して、さまざまな PIC(監視サービス PIC、アダプティブ サービス [AS] PIC、マルチサービス PIC、またはマルチサービス DPC)およびその他のネットワーク ハードウェアを使用して、トラフィック フローを監視し、監視されたトラフィックをエクスポートできます。トラフィックを監視することで、以下のことを実行できます。

  • ネットワーク内の送信元ノードと宛先ノード間の IP バージョン 4(IPv4)トラフィック フローに関する詳細情報を収集してエクスポートします。

  • 監視インターフェイス上のすべての受信 IPv4 トラフィックをサンプリングし、cflowd レコード形式でデータを表示します。

  • 受信トラフィック フローでアカウンティングの破棄を実行します。

  • 送信cflowdレコード、傍受されたIPv4トラフィック、またはその両方を暗号化またはトンネルします。

  • 異なるパケット アナライザにトラフィックを直接フィルタリングし、元の形式(ポート ミラー)でデータを表示します。

    メモ:

    監視サービスPIC、AS PIC、およびマルチサービスPICは、M SeriesまたはT SeriesルーターのFPC(拡張フレキシブルPICコンセントレータ)にマウントする必要があります。

    ジュニパーネットワークス MX シリーズ 3D ユニバーサル エッジ ルーターにインストールされたマルチサービス DPC は、パッシブな監視機能やフロータップ機能を除き、同じ機能をサポートします。

監視サービス PIC は当初、オフライン パッシブ フロー監視ツールとして使用するように設計されていますが、アクティブ フロー監視トポロジーでも使用できます。これに対して、ASまたはマルチサービスPICは、アクティブフロー監視専用に設計されています。アクティブフロー監視に監視サービスPIC、AS PIC、またはマルチサービスPICのいずれかを使用するには、MシリーズまたはTシリーズルーターにPICをインストールする必要があります。ルーターは、監視アプリケーションとネットワークの通常のルーティング機能の両方に参加します。

Junos OSリリース11.4以降、アクティブな監視のサポートは、TシリーズおよびMXシリーズルーターで実行されている論理システムに拡張されています。論理システムは、独立したルーティング タスクを実行する物理ルーターから作成されたパーティションです。独自のインターフェイス、ポリシー、インスタンス、ルーティングテーブルを持つ単一ルーター内のいくつかの論理システムは、複数の異なるルーターで処理される機能を実行できます。共有サービスPICは、すべての論理システムからのフローを処理します。バージョン 9 のフロー、IPv4、MPLS テンプレートのみがサポートされています。 論理システムでアクティブな監視を有効にする構成の例については、「 例: M、MX、または T シリーズ ルーターの論理システム でのアクティブ監視の設定」を参照してください。

指定されたパケットをフィルタリングして監視インターフェイスに送信できます。監視サービスPICの場合、インターフェイス名にはプレフィックスが mo- 含まれています。ASまたはマルチサービスPICの場合、インターフェイス名にはプレフィックスが sp- 含まれています。

メモ:

アクティブ フロー監視のために監視サービス PIC から適応サービスまたはマルチサービス PIC にアップグレードする場合、監視インターフェイスの名前を mo-/pic/ から sp-fpcfpc/portpic/ に変更する必要portがあります。

階層レベルで [edit forwarding-options] 設定できる主なアクティブフロー監視アクションは次のとおりです。

  • ] 階層を [edit forwarding-options sampling含むサンプリング。このオプションは、トラフィックストリームのコピーをASまたは監視サービスPICに送信し、フロー内の一部のパケットから限られた情報(送信元と宛先IPアドレスなど)を抽出します。元のパケットは、通常通りに意図した宛先に転送されます。

  • 階層を含むアカウンティングを破棄します [edit forwarding-options accounting] 。このオプションは、望ましくないパケットを隔離し、パケットを記述するcflowdレコードを作成し、パケットを転送する代わりにパケットを破棄します。

  • 階層を持つ [edit forwarding-options port-mirroring] ポートミラーリング。このオプションは、フロー内のすべてのパケットのフルコピーを1つ作成し、そのコピーを単一の宛先に配信します。元のパケットは意図した宛先に転送されます。

  • 階層を持つ [edit forwarding-options next-hop-group] 複数のポートミラーリング。このオプションにより、選択したトラフィックの複数のコピーを複数の宛先に配信できます。(複数のポート ミラーリングにはトンネル サービス PIC が必要です)。

パッシブ フロー監視とは異なり、監視グループを設定する必要はありません。代わりに、サンプリングを使用するか、アカウンティングを破棄することで、フィルタリングされたパケットを監視サービスまたは適応サービスインターフェイス(mo- または sp-)に送信できます。オプションで、ポートミラーリングまたは複数のポートミラーリングを設定して、追加のインターフェイスにパケットを誘導することができます。

これらのアクティブフロー監視オプションは、ネットワークトラフィックフローに対して実行できるさまざまなアクションを提供します。ただし、以下の制限が適用されます。

  • ルーターまたはスイッチは、いつでもサンプリング or ポート ミラーリングを実行できます。

  • ルーターまたはスイッチは、転送破棄アカウンティングを or いつでも実行できます。

監視サービス、AS、およびマルチサービスPICでは、一度に1つのアクションしか実行できないため、以下の設定オプションを使用できます。

  • サンプリングと転送

  • サンプリングと破棄アカウンティング

  • ポート ミラーリングと転送

  • ポートミラーリングと破棄アカウンティング

  • 異なるトラフィック セットのサンプリングとポート ミラーリング

図 1 は、サンプル トポロジーを示しています。

図 1:アクティブな監視構成トポロジー Active Monitoring Configuration Topology

図 1 では、ルーター 1 からのトラフィックは、監視ルーターのギガビット イーサネット ge-2/3/0 インターフェイスに到着します。宛先ルーター 2 に至る監視ルーターの出口インターフェイスは ge-3/0/0 ですが、任意のインターフェイス タイプ(SONET、ギガビット イーサネットなど)を選択できます。cflowd サーバーにつながるエクスポート インターフェイスは fe-1/0/0 です。

アクティブな監視を有効にするには、インターフェイス ge-2/3/0 で以下の一致条件で ファイアウォール フィルター を設定します。

  • 特定のファイアウォール条件に一致するトラフィックは、フィルターベースの転送を使用して監視サービスPICに送信されます。このトラフィックは隔離され、他のルーターに転送されません。

  • その他のすべてのトラフィックは、監視サービス PIC にポートミラーリングされます。ポートミラーリングは、各パケットをコピーし、ポートミラーリングネクストホップ(この場合は監視サービスPIC)にコピーを送信します。元のパケットは、通常通りにルーターから転送されます。

関連ドキュメント