動的フロー キャプチャの設定
キャプチャグループの設定
キャプチャグループは、動的フローキャプチャ(DFC)のプロファイルを定義します。静的構成には、制御ソース、コンテンツ宛先、通知宛先に関する情報が含まれます。動的な設定は、制御プロトコルを使用した制御ソースとの対話によって追加されます。
キャプチャグループを設定するには、[edit services dynamic-flow-capture]階層レベルでcapture-groupステートメントを含めます。
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
capture-groupを指定するには、情報をリクエスト元の制御ソースに関連付ける一意のclient-nameを割り当てます。
コンテンツの宛先の設定
DFC PICフィルター基準に一致するパケットの宛先を指定する必要があります。コンテンツの宛先を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでcontent-destinationステートメントを含めます。
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
content-destinationに一意のidentifierを割り当てます。また、そのIPアドレスを指定する必要があり、オプションで追加の設定を含めることができます。
address—DFC PICインターフェイスは、一致したパケットにこの宛先アドレスを含むIPヘッダーを追加し(独自のIPヘッダーとコンテンツはそのまま)、コンテンツ宛先に送信します。ttl—IP-IPヘッダーのTTL(Time-to-live)値。デフォルトでは、TTL値は255です。その範囲は 0 から 255 です。輻輳しきい値—輻輳期間中にDFC PICによって生成されるトラフィックの量を制御する、コンテンツごとの宛先帯域幅制限を指定できます。しきい値は、
hard-limitとhard-limit-target、soft-limitとsoft-limit-clearの2つのペアに配置されています。オプションで、これらのペアリングされた設定の1つまたは両方を含めることができます。4つの設定はすべて、ビット/秒で示す10秒間の平均帯域幅値です。通常はsoft-limit-clear<soft-limit<hard-limit-target<hard-limitです。コンテンツ帯域幅がsoft-limit設定を超える場合:輻輳通知メッセージは、このコンテンツ宛先を指す基準の各制御ソースに送信されます
制御ソースが
syslogに設定されている場合、システムログメッセージが生成されます。ラッチが設定され、制御ソースに通知されたことを示します。帯域幅が
soft-limit-clear値を下回るラッチがクリアされるまで、追加の通知メッセージは送信されません。
帯域幅が
hard-limit値を超える場合:ソフトウェアは、帯域幅が
hard-limit-target値を下回るまで基準の削除を開始します。削除された基準ごとに、その基準の制御ソースにCongestionDelete通知が送信されます。
制御ソースが
syslog用に設定されている場合、ログメッセージが生成されます。
本アプリケーションは、以下のデータを使用して削除基準を評価します。
優先度—制御ソースの最小優先度を調整した後、優先度の低い基準が最初にパージされます。
帯域幅—帯域幅の高い基準が最初にパージされます。
タイムスタンプ—最新の基準が最初にパージされます。
制御ソースの設定
許可される送信元アドレスと宛先、認証キー値など、制御ソースに関する情報を設定します。制御ソース情報を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでcontrol-sourceステートメントを含めます。
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
control-sourceステートメントに一意のidentifierを割り当てます。以下のステートメントの値を含めることもできます。
allowed-destinations—この制御ソースが、一致するデータを制御プロトコル要求で送信することを要求できる1つ以上のコンテンツ宛先識別子。コンテンツの宛先を指定しない場合、使用可能なすべての宛先が許可されます。minimum-priority—基準の優先度の合計を決定するために、DTCP ADDリクエストの基準の優先度に追加される制御ソースに割り当てられた値。値が小さいほど、優先度が高くなります。デフォルトでは、minimum-priorityの値は 0 で、許容される範囲は 0 から 254 です。notification-targets—DFC PICインターフェイスが、制御プロトコル関連のイベントやPICブートアップメッセージなどのその他のイベントに関する情報をログに記録できる1つ以上の宛先。各notification-targetエントリーに、IPaddress値とUDP(ユーザーデータグラムプロトコル)port番号を設定します。service-port—制御プロトコル要求が送信されるUDPポート番号。このポートに向けられていない制御プロトコル要求は、DFC PICインターフェイスによって破棄されます。shared-key—制御ソースとDFC PIC監視プラットフォームの間で共有される20バイトの認証キー値。source-addresses—制御ソースがDFC PIC監視プラットフォームに制御プロトコル要求を送信できる1つ以上の許可されたIPアドレス。これらは /32 アドレスです。
DFC PICインターフェイスの設定
同じキャプチャグループに設定された制御ソースと対話するインターフェイスを指定します。監視サービスIII PICは、1つのキャプチャグループにのみ属することができ、各グループに対して設定できるPICは1つだけです。
DFC PICインターフェイスを設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでinterfacesステートメントを含めます。
interfaces interface-name;
DFCインターフェイスは、[edit interfaces]階層レベルのdfc-識別子を使用して指定します。各DFC PICインターフェイスには、0、1、2の番号が付けられた3つの論理ユニットを指定する必要があります。他の論理インターフェイスを設定することはできません。
unit 0プロトコルの要求と応答を制御します。unit 1監視されたデータを受信します。unit 2一致したパケットを宛先アドレスに送信します。
次の例は、DFC PICインターフェイスを設定し、IPv4とIPv6の両方のトラフィックを傍受するために必要な設定を示しています。
[edit interfaces dfc-0/0/0]
unit 0 {
family inet {
filter {
output high; #Firewall filter to route control packets
# through 'network-control' forwarding class. Control packets
# are loss sensitive.
}
address 10.1.0.0/32 { # DFC PIC address
destination 10.36.100.1; # DFC PIC address used by
# the control source to correspond with the
# monitoring platform
}
}
unit 1 { # receive data packets on this logical interface
family inet; # receive IPv4 traffic for interception
family inet6; # receive IPv6 traffic for interception
}
unit 2 { # send out copies of matched packets on this logical interface
family inet;
}
さらに、正しいシャーシの場所にあるDFC PICで実行するように動的フローキャプチャを設定する必要があります。以下の例は、この設定を [edit chassis] 階層レベルで示しています。
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
ファイアウォールフィルターの設定
ファイアウォールフィルターを指定して、ネットワーク制御転送クラスを介して制御パケットをルーティングできます。制御パケットは損失の影響を受けやすいです。ファイアウォールフィルターを設定するには、 [edit] 階層レベルで以下のステートメントを含めます。
firewall {
family inet {
filter high {
term all {
then forwarding-class network-control;
}
}
}
}
システムロギングの設定
デフォルトでは、制御プロトコルのアクティビティは別のシステムログ機能として記録されます dfc。制御プロトコルアクティビティが記録されるファイル名またはレベルを変更するには、 [edit syslog] 階層レベルで以下のステートメントを含めます。
file dfc.log {
dfc any;
}
ログ記録をキャンセルするには、[edit services dynamic-flow-capture capture-group client-name control-source identifier]階層レベルでno-syslogステートメントを含めます。
no-syslog;
動的フロー キャプチャ(dfc-)インターフェイスは、最大 10,000 のフィルター基準をサポートします。インターフェイスに10,000を超えるフィルターが追加されると、フィルターは受け入れられますが、フィルターがいっぱいであることを示すシステムログメッセージが生成されます。
動的フロー キャプチャ イベントのトレース オプションの設定
[edit services dynamic-flow-capture]階層レベルでtraceoptionsステートメントを含めることで、動的フローキャプチャイベントのトレースオプションを有効にすることができます。
traceoptions設定を含める場合、トレース ファイル名、トレース ファイルの最大数、トレース ファイルの最大サイズ、およびすべてのユーザーがトレース ファイルを読み取ることができるかどうかを指定することもできます。
動的フロー キャプチャ イベントのトレース オプションを有効にするには、 [edit services dynamic-flow-capture] 階層レベルで以下の設定を含めます。
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
動的フロー キャプチャ イベントのトレースを無効にするには、[edit services dynamic-flow-capture]階層レベルからtraceoptions設定を削除します。
しきい値の設定
オプションで、警告メッセージがシステムログに記録される以下の状況のしきい値を指定できます。
DFC PICインターフェイスへの入力パケットレート
DFC PICインターフェイスのメモリ使用量
しきい値を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでinput-packet-rate-thresholdまたはpic-memory-thresholdステートメントを含めます。
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
これらのステートメントが設定されていない場合、しきい値メッセージはログに記録されません。しきい値設定は、キャプチャーグループ全体に対して設定されます。
input-packet-rate-thresholdステートメントの設定可能な値の範囲は、0〜1Mppsです。PICはそれに応じて値を較正します。監視サービスIII PICはしきい値を300Kppsに制限し、マルチサービス400 PICは設定された全値を使用します。pic-memory-thresholdステートメントの値の範囲は0〜100%です。
パケットの重複数の制限
オプションで、DFC PIC が 1 つの入力パケットから生成できる重複パケットの最大数を指定することができます。この制限は、パケットが複数の宛先に送信される際にPICにかかる負荷を軽減することを目的としています。最大数に達すると、基準クラスの優先度が最も高い宛先に重複が送信されます。優先度が等しいクラス内では、タイムスタンプが早い方が最初に選択されます。
この制限を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでmax-duplicatesステートメントを含めます。
max-duplicates number;
また、[edit services dynamic-flow-capture]階層レベルにg-max-duplicatesステートメントを含めることで、DFC PICにグローバルベースで制限を適用することもできます。
g-max-duplicates number;
デフォルトでは、重複の最大数は3に設定されています。使用可能な値の範囲は 1 から 64 です。個々のキャプチャグループの max-duplicates の設定は、グローバル設定よりも優先されます。
さらに、しきい値に達したために重複が削除されているという通知を、影響を受ける制御ソースにアプリケーションが送信する頻度を指定することができます。この設定は、[edit services dynamic-flow-capture capture-group client-name]階層レベルにduplicates-dropped-periodicityステートメントを含めるか、[edit services dynamic-flow-capture]階層レベルにg-duplicates-dropped-periodicityステートメントを含めることで、最大重複数設定と同じレベルで構成します。
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
g-max-duplicatesステートメントと同様に、g-duplicates-dropped-periodicityステートメントはアプリケーションに設定をグローバルに適用し、キャプチャグループレベルで適用される設定によって上書きされます。デフォルトでは、通知の送信頻度は30秒です。