Junos Capture Vision の構成
キャプチャ グループの設定
キャプチャ グループは、Junos Capture Vision の構成情報のプロファイルを定義します。静的構成には、制御ソース、コンテンツの宛先、および通知の宛先に関する情報が含まれています。制御プロトコルを使用した制御ソースとの対話により、動的構成が追加されます。
キャプチャ グループを設定するには、 階層レベルで ステートメントを[edit services dynamic-flow-capture]含めますcapture-group。
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
を指定するには、 capture-group情報を要求元の制御ソースに関連付ける一意 client-name の値を割り当てます。
コンテンツの宛先を設定する
DFC PIC フィルター基準に一致するパケットの宛先を指定する必要があります。コンテンツの宛先を設定するには、 階層レベルで content-destination ステートメントを [edit services dynamic-flow-capture capture-group client-name] 含めます。
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
一意identifierにcontent-destination割り当てます。IP アドレスも指定する必要があり、オプションで追加設定を含めることができます。
address-DFC PIC インターフェイスは、一致したパケット(独自の IP ヘッダーと内容をそのまま使用)で、IP ヘッダーをこの宛先アドレスで追加して、コンテンツの宛先に送信します。ttl— IP-IP ヘッダーの TTL(Time-to-live)値。デフォルトでは、TTL 値は 255 です。その範囲は0から255である。輻輳のしきい値—混雑している間にDFC PICによって生成されるトラフィック量を制御するコンテンツ単位の宛先帯域幅制限を指定できます。しきい値は、 と
hard-limit-targetsoft-limitsoft-limit-clear、 の 2 つのペアhard-limitで配置されます。必要に応じて、これらのペア設定の 1 つまたは両方を含めることができます。4つの設定はすべて、10秒の平均帯域幅値(ビット/秒)です。通常、soft-limit-clear<soft-limitの<をhard-limit-target<hard-limitします。コンテンツ帯域幅が設定を超えたsoft-limit場合:輻輳通知メッセージは、このコンテンツの宛先を指す基準の各制御ソースに送信されます。
制御ソースが に
syslog設定されている場合、システム ログ メッセージが生成されます。ラッチが設定され、制御ソースに通知が送信されたことを示します。帯域幅が値を下回ると、ラッチがクリアされるまで追加の通知メッセージは
soft-limit-clear送信されません。
帯域幅が値を超えた
hard-limit場合:Junos Capture Vision は、帯域幅が値を下回るまで、条件の削除を
hard-limit-target開始します。削除された基準ごとに、CongestionDelete 通知がその基準のコントロール ソースに送信されます。
制御ソースが に
syslog設定されている場合、ログ メッセージが生成されます。
アプリケーションでは、以下のデータを使用して削除の基準を評価します。
優先度—制御ソース最小優先度に調整した後、優先度の低い基準が最初にパージされます。
帯域幅—より高い帯域幅の基準が最初にパージされます。
タイムスタンプ—最近の基準が最初にパージされます。
制御ソースの設定
許可された送信元アドレスと宛先、認証キー値など、制御ソースに関する情報を設定します。制御ソース情報を設定するには、 階層レベルで ステートメントを[edit services dynamic-flow-capture capture-group client-name]含めますcontrol-source。
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
ステートメントを control-source 一意 identifierに割り当てます。また、以下のステートメントの値を含めることもできます。
allowed-destinations— この制御ソースが制御プロトコル要求で一致したデータの送信を要求できる、1 つ以上のコンテンツ宛先識別子。コンテンツの宛先を指定しない場合、利用可能なすべての宛先が許可されます。minimum-priorityDTCP ADD 要求の条件の優先度に追加される制御ソースに割り当てられた値で、基準の総優先度を決定します。値が低いほど、優先度が高くなります。デフォルトでは、minimum-priority値は0で、許可される範囲は0~254です。notification-targets- DFC PIC インターフェイスが制御プロトコル関連のイベントや PIC ブートアップ メッセージなどのその他のイベントに関する情報をログに記録できる 1 つ以上の宛先。各notification-targetエントリーには、IPaddress値とUDP(ユーザーデータグラムプロトコル)port番号を設定します。service-port制御プロトコル要求が指示される UDP ポート番号。このポートに向かっていない制御プロトコル要求は、DFC PIC インターフェイスによって破棄されます。shared-key制御ソースとDFC PIC監視プラットフォーム間で共有される20バイト認証キー値。source-addresses- 制御ソースが制御プロトコル要求を DFC PIC 監視プラットフォームに送信できる 1 つ以上の許可された IP アドレス。これらは/32アドレスです。
DFC PIC インターフェイスの設定
同じキャプチャ グループで設定された制御ソースと対話するインターフェイスを指定します。監視サービスIII PICは、1つのキャプチャグループにのみ属することができ、各グループに対して1つのPICのみを設定できます。
DFC PIC インターフェイスを設定するには、 階層レベルで ステートメントを[edit services dynamic-flow-capture capture-group client-name]含めますinterfaces。
interfaces interface-name;
階層レベルで識別子をdfc-使用してDFCインターフェイスを[edit interfaces]指定します。各 DFC PIC インターフェイスには、番号付き 、 、 1および 2に 3 つの論理ユニットを0指定する必要があります。他の論理インターフェイスは設定できません。
unit 0制御プロトコルのリクエストと応答を処理します。unit 1監視されたデータを受信します。unit 2は、一致したパケットを宛先アドレスに送信します。
以下の例は、DFC PICインターフェイスを設定し、IPv4とIPv6の両方のトラフィックを傍受するために必要な設定を示しています。
[edit interfaces dfc-0/0/0]
unit 0 {
family inet {
filter {
output high; #Firewall filter to route control packets
# through 'network-control' forwarding class. Control packets
# are loss sensitive.
}
address 10.1.0.0/32 { # DFC PIC address
destination 10.36.100.1; # DFC PIC address used by
# the control source to correspond with the
# monitoring platform
}
}
unit 1 { # receive data packets on this logical interface
family inet; # receive IPv4 traffic for interception
family inet6; # receive IPv6 traffic for interception
}
unit 2 { # send out copies of matched packets on this logical interface
family inet;
}
さらに、正しいシャーシ位置でDFC PIC上で実行するようにJunos Capture Visionを設定する必要があります。以下の例は、 階層レベルでのこの設定を [edit chassis] 示しています。
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
ファイアウォールフィルターの設定
ファイアウォールフィルターを指定して、ネットワーク制御転送クラスを介して制御パケットをルーティングできます。制御パケットは損失の影響を受けやすい。ファイアウォールフィルターを設定するには、 階層レベルで以下のステートメントを [edit] 含めます。
firewall {
family inet {
filter high {
term all {
then forwarding-class network-control;
}
}
}
}
システム ロギングの設定
デフォルトでは、制御プロトコルアクティビティは別のシステムログファシリティ dfcとして記録されます。制御プロトコルアクティビティが記録されるファイル名またはレベルを変更するには、 階層レベルに以下のステートメントを [edit syslog] 含めます。
file dfc.log {
dfc any;
}
ロギングをキャンセルするには、 階層レベルに no-syslog ステートメントを [edit services dynamic-flow-capture capture-group client-name control-source identifier] 含めます。
no-syslog;
Junos Capture Vision(dfc-)インターフェイスは、最大 10,000 個のフィルター基準をサポートします。インターフェイスに 10,000 を超えるフィルターが追加されると、フィルターは受け入れられますが、フィルターがフルであることを示すシステム ログ メッセージが生成されます。
Junos Capture Visionイベントのトレースオプションの設定
階層レベルで ステートメントを含めることで、Junos Capture Visionイベントの traceoptions トレースオプションを [edit services dynamic-flow-capture] 有効にすることができます。
構成を traceoptions 含める場合、トレース・ファイル名、トレース・ファイルの最大数、トレース・ファイルの最大サイズ、およびすべてのユーザーがトレース・ファイルを読み取ることができるかどうかも指定できます。
Junos Capture Vision イベントのトレース オプションを有効にするには、 階層レベルで以下の設定を [edit services dynamic-flow-capture] 含めます。
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
Junos Capture Vision イベントのトレースを無効にするには、 階層レベルから設定を[edit services dynamic-flow-capture]削除しますtraceoptions。
9.2R1より前のJunos OSリリースでは、Junos Capture Visionのトレースがデフォルトで有効になっており、ログは/var/log/dfcd ディレクトリに保存されました。
しきい値の設定
オプションで、システム ログに警告メッセージを記録する以下の状況にしきい値を指定できます。
DFC PIC インターフェイスへのパケット レートの入力
DFC PIC インターフェイスのメモリ使用量
しきい値を設定するには、 階層レベルで input-packet-rate-threshold または pic-memory-threshold ステートメントを [edit services dynamic-flow-capture capture-group client-name] 含めます。
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
これらのステートメントが設定されていない場合、しきい値メッセージは記録されません。しきい値設定は、キャプチャ グループ全体に対して構成されます。
ステートメントの設定可能な値の input-packet-rate-threshold 範囲は、0~1 Mppsです。PICはそれに応じて値を較正します。監視サービス III PIC はしきい値を 300 Kpps でキャップし、マルチサービス 400 PIC は設定されたフル値を使用します。ステートメントの値 pic-memory-threshold の範囲は、0~100%です。
パケットの重複数を制限する
オプションで、DFC PICが単一の入力パケットから生成できる重複パケットの最大数を指定することができます。この制限は、パケットが複数の宛先に送信される場合の PIC の負荷を軽減するためのものです。最大数に達すると、重複は、最も高い基準クラス優先度の宛先に送信されます。優先度が等しいクラス内では、以前のタイムスタンプを持つ基準が最初に選択されます。
この制限を設定するには、 階層レベルで max-duplicates ステートメントを [edit services dynamic-flow-capture capture-group client-name] 含めます。
max-duplicates number;
また、 階層レベルで ステートメントを含めることで、DFC PICの g-max-duplicates グローバルベースに制限を [edit services dynamic-flow-capture] 適用することもできます。
g-max-duplicates number;
デフォルトでは、重複の最大数は3に設定されています。許可される値の範囲は 1~64 です。個々のキャプチャグループに対 max-duplicates する設定がグローバル設定に上書きされます。
さらに、しきい値に達したために、アプリケーションが影響を受ける制御ソースに通知を送信する頻度を指定できます。この設定は、最大重複設定と同じレベルで設定し、 階層レベルに ステートメントを含めるかg-duplicates-dropped-periodicity、 [edit services dynamic-flow-capture capture-group client-name] 階層レベルで ステートメントを[edit services dynamic-flow-capture]含duplicates-dropped-periodicityめます。
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
ステートメントと同様に g-max-duplicates 、 ステートメントは g-duplicates-dropped-periodicity アプリケーションに対して設定をグローバルに適用し、キャプチャグループレベルで適用された設定によって上書きされます。デフォルトでは、通知を送信する頻度は30 秒です。