Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MX、M、TシリーズルーターおよびNFX250でフローアグリゲーションを設定して、バージョン5またはバージョン8 cflowdを使用する

cflowd バージョン 5 またはバージョン 8 のフロー形式の収集を有効にするには、 ステートメントを flow-server 含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit forwarding-options sampling family (inet | inet6 | mpls) output]

  • [edit forwarding-options sampling instance instance-name output]

  • [edit forwarding-options accounting name output cflowd hostname]

次の例のように、 family inet 監視インターフェイス上の論理インターフェイス unit 0 に ステートメントを設定する必要があります。

メモ:

監視サービス インターフェイスのブート イメージは、 [edit chassis images pic] 階層レベルで指定されます。以下の設定を含めることで、NTP クライアントが cflowd 機能を動作可能にできるようにする必要があります。

また、 階層レベルで ステートメントを含 cflowd めることで、フロー監視アプリケーションにcflowdバージョン5を [edit forwarding-options monitoring name family inet output] 設定することもできます。

cflowd フロー形式には、以下の制限が適用されます。

  • 階層レベルでは、最大 1 つのバージョン 5 と 1 つのバージョン 8 フロー形式を [edit forwarding-options accounting name output] 設定できます。

  • ステートメントを含めることで、ルーティングエンジンベースのサンプリングの階層レベルで [edit forwarding-options sampling family (inet | inet6 | mpls) output] 、最大8つのバージョン5または1つのバージョン8フローフォーマットを flow-server 設定できます。対照的に、PIC ベースのサンプリングでは、1 つの cflowd version 5 サーバーと 1 つのバージョン 8 サーバーを同時に指定できます。ただし、2つのcflowdサーバーは異なるIPアドレスを持つ必要があります。

  • 階層レベルで最大 8 つのバージョン 5 フロー形式を [edit forwarding-options monitoring name output] 設定できます。バージョン 8 のフロー形式とアグリゲーションは、フロー監視アプリケーションではサポートされていません。

  • アウトバウンド ルーティング エンジン トラフィックはサンプリングされません。ファイアウォールフィルターは、パケットをサンプリングしてデータをエクスポートするエグレスインターフェイスの出力として適用されます。トランジット トラフィックの場合、エグレス サンプリングは正しく動作します。内部トラフィックの場合、ネクストホップはパケット転送エンジンにインストールされますが、サンプルされたパケットはエクスポートされません。

  • フローは、ルート レコード再同期操作が完了した後(PIC が立ち上がってから 60 秒)にのみ、監視 PIC 上で作成されます。PIC に送信されたパケットは、同期プロセスが完了するまで破棄されます。

  • この構成には、フローレコードで4バイトAS情報をサポートするための独自のv5拡張テンプレートが含まれています。テンプレートのバージョンは500に設定されており、独自仕様であることを示しています。その他のフィールドはすべて同じままです。送信元ASと宛先ASの長はそれぞれ4バイトで、従来のv5テンプレートのように2バイトではありません。このオプションは、 [edit forwarding-options sampling family inet output flow-server server-name version] 階層レベルで使用できます。

ステートメントで cflowd 、フロー集約を収集するホストの名前または識別子を指定します。また、ホストとバージョンにユーザーデータグラムプロトコル(UDP)ポート番号を含める必要があります。これは、エクスポートされたcflowd集約の形式を提供します。エクスポートする前にログファイルでcflowdレコードを収集するには、 ステートメントを local-dump 含めます。

メモ:

同じ設定で、ホスト(cflowd)サンプリングとポート ミラーリングの両方を指定できます。ただし、一度に有効なアクションは 1 つだけです。ポートミラーリングが優先されます。詳細については、 M、T MX、ACX、およびPTXシリーズルーターのポートミラーリングの設定を参照してください。

cflowd バージョン 8 の場合のみ、 ステートメントを含めることで、特定のタイプのトラフィックのアグリゲーションを aggregation 指定できます。これにより、cflowdがすべての集約トラフィックではなく、ターゲットフローをエクスポートできるようにすることで、メモリと帯域幅を節約できます。フロー タイプを指定するには、 ステートメントを aggregation 含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit forwarding-options sampling family (inet | inet6 | mpls) output flow-server hostname]

  • [edit forwarding-options accounting name output cflowd hostname]

ステートメントはautonomous-systemAS番号でアグリゲーションを設定します。このステートメントでは、別のcflowdautonomous-system-typeステートメントをAS番号またはpeerAS番号のいずれかをorigin含むように設定する必要がある場合があります。オプションはorigin、[ソース自律システムcflowd]フィールドで、パケット送信元アドレスの送信元ASを使用することを指定します。オプションはpeer、送信元自律システムcflowdフィールドにパケットが通過したピアASを使用することを指定します。デフォルトでは、cflowdは送信元AS番号をエクスポートします。

ステートメントは destination-prefix 、宛先プレフィックスによるアグリゲーションのみを設定します。

ステートメントは protocol-port 、プロトコルとポート番号によるアグリゲーションを設定します。個別 cflowd port のステートメントを設定する必要があります。

ステートメントは source-destination-prefix 、送信元と宛先のプレフィックスによるアグリゲーションを設定します。CAIDAのcflowdアプリケーションのバージョン2.1b1は、1999年8月30日付けCAIDAの cflowd構成ガイドに準拠した送信元および宛先マスク長の値を記録しません。ステートメントを caida-compliant 設定した場合、Junos OSはcflowdのバージョン2.1b1に準拠しています。設定に ステートメントを caida-compliant 含めなかった場合、Junos OSは cflowd設定ガイドに準拠して、送信元と宛先のマスク長の値を記録します。

ステートメントは source-prefix 、送信元プレフィックスによるアグリゲーションのみを設定します。

ローカルASCIIファイル内のサンプルパケットの収集は、 ステートメントの影響を cflowd 受けません。

以下のコマンドは、 階層レベルでルーティング エンジンおよび PIC ベースのサンプリングを set forwarding options sampling 有効にします。

  • set input rate rate

  • set input run-length length

  • set family inet output flow-server flowcollector port udp port

  • set family inet output flow-server flowcollector no-local-dump

  • set family inet output flow-server flowcollector version <5/8>

以下のコマンドは、 階層レベルでルーティング エンジンおよび PIC ベースのサンプリングを set interfaces 有効にします。

  • interface to be sampled ユニット unit ファミリーinetフィルター input/output filtername

以下のコマンドは、 階層レベルでルーティング エンジンおよび PIC ベースのサンプリングを set firewall family 有効にします。

  • set inet filter filtername term 1 then count filternameing

  • set inet filter filtername term 1 then sample

  • set inet filter filtername term 1 then accept

以下のコマンドは、 階層レベルでPICベースのサンプリングを set forwarding options sampling 有効にします。

  • set family inet output interface sp-*/*/* source address source address

以下の例は、バージョン5を使用したPICベースのフローアグリゲーション設定を示しています。

以下の例は、バージョン5を使用したルーティングエンジンベースのフローアグリゲーション設定を示しています。