このページの内容
フロー監視の設定
フロー監視アプリケーションは、トラフィックフローの監視を実行し、2つのルーターまたはスイッチ間のトラフィックの合法的な傍受を可能にします。トラフィックフローは、オフラインのルーターやスイッチで受動的に監視することも、ネットワークに参加しているルーターで能動的に監視することも可能です。
フロー監視インターフェイスの設定
監視サービスPICでフロー監視を有効にするには、[edit interfaces]階層レベルでmo-fpc/pic/portステートメントを含めます。
mo-fpc/pic/port {
unit logical-unit-number {
family inet {
address address {
destination address;
}
filter {
group filter-group-number;
input filter-name;
output filter-name;
}
sampling {
[ input output ];
}
}
}
multiservice-options {
(core-dump | no-core-dump);
(syslog | no-syslog);
flow-control-options {
down-on-flow-control;
dump-on-flow-control;
reset-on-flow-control;
}
}
}
フロー監視インターフェイスの物理的および論理的な場所を指定します。 unit 0はすでに内部プロセスで使用されているため、使用できません。送信元アドレスと宛先アドレスを指定します。 filter ステートメントを使用すると、この目的のためにすでに設定した入力フィルターまたは出力フィルター、またはフィルター グループを関連付けることができます。 sampling ステートメントは、トラフィックの方向を指定します: input、 output、またはその両方。
multiservice-optionsステートメントでは、フロー監視インターフェイスに関連するプロパティを設定することができます。
core-dumpステートメントを含めて、/var/tmp にコア ファイルを保存できるようにします。システムログ情報を/var/logに保存できるようにするための
syslogステートメントを含めます。注:監視サービスインターフェイス用のブートイメージは、
[edit chassis images pic]階層レベルで指定されます。フロー監視機能を動作させるには、以下の設定を含める必要があります。[edit system] ntp { boot-server ntp.example.net; server 172.17.28.5; } processes { ntp enable; }
フロー制御を設定するための
flow-control-optionsステートメントを含めます。注:マルチサービスPIC管理されたデーモンコアファイルは、長時間のフロー制御障害が発生した場合、および長時間のフロー制御中にコアダンプを生成するように設定した場合に生成されます(
flow-control-optionsステートメントでdump-on-flow-controlオプションを使用すること)。このようなシナリオでは、ウォッチドッグ機能は引き続きカーネルコアファイルを生成します。
フロー監視プロパティの設定
フロー監視プロパティを設定するには、[edit forwarding-options]階層レベルでmonitoringステートメントを含めます。
monitoring name { family inet { output { cflowd hostname port port-number; export-format format; flow-active-timeout seconds; flow-export-destination { collector-pic; } flow-inactive-timeout seconds; interface interface-name { engine-id number; engine-type number; input-interface-index number; output-interface-index number; source-address address; } } }
監視インスタンスは、 monitoring name ステートメントの下にコレクター情報を指定する名前付きエンティティです。以下のセクションでは、設定できるプロパティについて説明します。
フロー監視インターフェイスへのトラフィック誘導
フロー監視インターフェイスにトラフィックを送信するには、[edit forwarding-options monitoring name output]階層レベルでinterfaceステートメントを含めます。デフォルトでは、Junos OSはengine-idおよびengine-typeステートメントに値を自動的に割り当てます。
engine-id—インターフェイスの場所を監視します。engine-type—プラットフォーム固有の監視インターフェイスタイプ。
source-addressステートメントは、cflowd情報を送信するトラフィックソースを指定します。手動で設定する必要があります。監視サービス出力インターフェイスごとに異なるsource-addressステートメントを指定すると、特定のcflowdレコードを処理するインターフェイスを追跡できます。
デフォルトでは、 input-interface-index 値は入力インターフェイスのSNMPインデックスです。特定の値を含めることで、デフォルトを上書きできます。 input-interface-index 値と output-interface-index 値は、cflowdバージョン5フロー形式で存在するフィールドにエクスポートされます。
フローのエクスポート
フロー収集インターフェイスにトラフィックを送信するには、 flow-export-destination ステートメントを含めます。フロー収集の詳細については、「 アクティブフロー監視の概要」を参照してください。
cflowdバージョン番号を設定するには、[edit forwarding-options monitoring name output]階層レベルでexport-formatステートメントを含めます。デフォルトでは、バージョン5が使用されます。バージョン8では、ルーターソフトウェアがより広範な基準を使用してフロー情報を集約し、cflowdトラフィックを削減できます。バージョン8の集約は、アクティブなフローに対して、およびフローの有効期限が許可されたときに、定期的に(数秒ごとに)実行されます。集計は定期的に実行されるため、アクティブなタイムアウトイベントは無視されます。
cflowd プロパティの詳細については、「 フロー アグリゲーションの有効化」を参照してください。
フロー監視がアクティブおよび非アクティブな期間の設定
アクティブフロー監視の時間帯と非アクティブの間隔を設定するには、[edit forwarding-options monitoring name output]階層レベルでflow-active-timeoutステートメントとflow-inactive-timeoutステートメントを含めます。
flow-active-timeoutステートメントは、アクティブなフローのフローエクスポートの間隔を指定します。最後のパケットを受信してからフローが最後にエクスポートされた時間までの間隔が設定値を超えた場合、フローがエクスポートされます。このタイマーは、フローの継続時間が長い場合に定期的に更新するために必要です。アクティブなタイムアウト設定により、ルーターはフローの開始時刻を一定として保持し、定期的にcflowdレポートを送信できます。これにより、コレクターは開始時刻を記録し、フローが設定されたアクティブタイムアウトよりも長い期間存続したと判断できます。
注:アクティブフロー監視では、cflowdレコードは、60秒の倍数で設定されたアクティブタイムアウト値以上の時間の後にエクスポートされます。例えば、アクティブ・タイムアウト値が 90 秒の場合、cflowd レコードは 120 秒間隔でエクスポートされます。アクティブなタイムアウト値が 150 秒の場合、cflowd レコードは 180 秒間隔でエクスポートされます。
flow-inactive-timeoutステートメントは、フローのエクスポートをトリガーするフローの非アクティブの間隔を指定します。現在の時刻からこのフローの最後のパケットが受信された時刻までの間隔が、設定された非アクティブタイムアウト値を超える場合、フローは期限切れになります。設定された非アクティブタイムアウト値よりも長くフローの送信を停止した場合、ルーターまたはスイッチはフローテーブルからフローを削除し、cflowdレコードをエクスポートします。その結果、PICに関する限り、フローは忘れられ、同じ5タプルが再び現れた場合、新しい開始時間が割り当てられ、新しいフローとみなされます。
両方のタイマーが必要です。アクティブタイムアウト設定は、長時間にわたってパケットを絶えず送信するフローの情報を提供するために必要です。非アクティブなタイムアウトを設定すると、ルーターまたはスイッチが非アクティブになり、追跡リソースを浪費する可能性のあるフローをパージできます。
flow-active-timeoutおよびflow-inactive-timeoutステートメントを有効にするには、ルーターにアダプティブサービス、マルチサービス、または監視サービスPICが含まれている必要があります。
例:フロー監視の設定
以下は、入力インターフェイス、出力監視サービスインターフェイス、およびフロー分析用のcflowdへのエクスポートをサポートするように設定されたフロー監視プロパティの例です。設定を完了するには、インターフェイスを設定し、仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)インスタンスを設定する必要もあります。cflowdについては、 フローアグリゲーションの有効化を参照してください。
[edit forwarding-options]
monitoring group1 {
family inet {
output {
cflowd 192.168.245.2 port 2055;
export-format cflowd-version-5;
flow-active-timeout 60;
flow-inactive-timeout 30;
interface mo-4/0/0.1 {
engine-id 1;
engine-type 1;
input-interface-index 44;
output-interface-index 54;
source-address 192.168.245.1;
}
interface mo-4/1/0.1 {
engine-id 2;
engine-type 1;
input-interface-index 45;
output-interface-index 55;
source-address 192.168.245.1;
}
interface mo-4/2/0.1 {
engine-id 3;
engine-type 1;
input-interface-index 46;
output-interface-index 56;
source-address 192.168.245.1;
}
interface mo-4/3/0.1 {
engine-id 4;
engine-type 1;
input-interface-index 47;
output-interface-index 57;
source-address 192.168.245.1;
}
}
}
}
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
flow-control-optionsステートメントで
dump-on-flow-controlオプションを使用すること)。