フロー監視の設定
フロー監視アプリケーションは、トラフィック フロー監視を実行し、2 台のルーターまたはスイッチ間のトラフィックの合法的な傍受を可能にします。トラフィック フローは、オフライン ルーターまたはスイッチによって受動的に監視することも、ネットワークに参加しているルーターによって積極的に監視することもできます。
フロー監視インターフェイスの設定
監視サービス PIC でフロー監視を有効にするには、 階層レベルで /pic
/port
ステートメントを[edit interfaces]
含mo-fpc
めます。
mo-fpc/pic/port { unit logical-unit-number { family inet { address address { destination address; } filter { group filter-group-number; input filter-name; output filter-name; } sampling { [ input output ]; } } } multiservice-options { (core-dump | no-core-dump); (syslog | no-syslog); flow-control-options { down-on-flow-control; dump-on-flow-control; reset-on-flow-control; } } }
フロー監視インターフェイスの物理的および論理的な場所を指定します。は、すでに内部プロセスで使用されているため、使用unit 0
できません。送信元アドレスと宛先アドレスを指定します。filter
ステートメントを使用すると、この目的のためにすでに設定した入力または出力フィルターまたはフィルターグループを関連付けることができます。ステートメントはsampling
、トラフィックの方向を指定します。 input
output
multiservice-options
ステートメントにより、フロー監視インターフェイスに関連するプロパティを設定できます。
ステートメントを
core-dump
含め、 /var/tmpでコアファイルの保存を有効にします。/var/logにシステムログ情報を保存できるようにするための ステートメントを
syslog
含めます。メモ:監視サービス インターフェイスのブート イメージは、
[edit chassis images pic]
階層レベルで指定されます。フロー監視機能を動作させるには、以下の設定を含める必要があります。[edit system] ntp { boot-server ntp.example.net; server 172.17.28.5; } processes { ntp enable; }
フロー制御を設定するには、
flow-control-options
ステートメントを含めます。メモ:Junos OS リリース 15.1 以降では、長時間のフロー制御障害が発生した場合や、長期のフロー制御時にコア ダンプを生成するように設定した場合(ステートメントで
flow-control-options
オプションを使用dump-on-flow-control
)、マルチサービス PIC 管理デーモン コア ファイルが生成されます。このようなシナリオでは、ウォッチドッグ機能はカーネルコアファイルの生成を続けます。Junos OS リリース 14.2 以前では、長期のフロー制御障害が発生した場合や、長期のフロー制御時にコア ダンプを生成するように設定した場合に、eJunos カーネル コア ファイルが生成されます。
フロー監視プロパティの設定
フロー監視プロパティを設定するには、 階層レベルで ステートメントを[edit forwarding-options]
含めますmonitoring
。
monitoring name { family inet { output { cflowd hostname port port-number; export-format format; flow-active-timeout seconds; flow-export-destination { collector-pic; } flow-inactive-timeout seconds; interface interface-name { engine-id number; engine-type number; input-interface-index number; output-interface-index number; source-address address; } } }
監視インスタンスは、 ステートメントの下で monitoring name
コレクター情報を指定する名前付きエンティティです。以下のセクションでは、設定できるプロパティについて説明します。
フロー監視インターフェイスへのトラフィックの誘導
トラフィックをフロー監視インターフェイスに誘導するには、 階層レベルで interface
ステートメントを[edit forwarding-options monitoring name output]
含めます。デフォルトでは、Junos OSは、 および engine-type
ステートメントの値を自動的にengine-id
割り当てます。
engine-id
—インターフェイスの場所を監視します。engine-type
—プラットフォーム固有の監視インターフェイス タイプ。
ステートメントは source-address
、cflowd情報を送信するためのトラフィックソースを指定します。手動で設定する必要があります。監視サービス出力インターフェイスごとに異なる source-address
ステートメントを提供した場合、特定のcflowdレコードを処理するインターフェイスを追跡できます。
デフォルトでは、input-interface-index
値は入力インターフェイスのSNMPインデックスです。特定の値を含めることで、デフォルトを上書きすることができます。および output-interface-index
のinput-interface-index
値は、cflowd バージョン 5 フロー形式のフィールドにエクスポートされます。
フローのエクスポート
トラフィックをフロー収集インターフェイスに誘導するには、 ステートメントを flow-export-destination
含めます。フロー収集の詳細については、 アクティブフロー監視の概要を参照してください。
cflowdバージョン番号を設定するには、 階層レベルに ステートメントを[edit forwarding-options monitoring name output]
含めますexport-format
。デフォルトでは、バージョン5が使用されます。バージョン 8 では、ルーター ソフトウェアは、より広い基準を使用してフロー情報を集約し、cflowd トラフィックを削減できます。バージョン 8 のアグリゲーションは、アクティブなフローとフローの期限切れを許可された場合に、定期的に(数秒ごとに)実行されます。アグリゲーションは定期的に実行されるため、アクティブなタイムアウトイベントは無視されます。
cflowd プロパティの詳細については、「 フロー アグリゲーションの有効化」を参照してください。
フロー監視がアクティブで非アクティブな時間帯の設定
アクティブフロー監視の期間と非アクティブ間隔を設定するには、 階層レベルに および flow-inactive-timeout
ステートメントを[edit forwarding-options monitoring name output]
含flow-active-timeout
めます。
ステートメントは
flow-active-timeout
、アクティブフローのフローエクスポートの間隔を指定します。最後のパケットを受信してからフローが最後にエクスポートされた時間の間隔が設定された値を超えた場合、フローがエクスポートされます。このタイマーは、フローに長時間がかかる場合の定期的な更新を提供するために必要です。アクティブタイムアウト設定では、ルーターはフローの開始時間を一定として保持し、定期的なcflowdレポートを送信できます。これにより、コレクターは開始時間を登録し、設定されたアクティブタイムアウトよりも長い間フローが存続していることを判断できます。
メモ:アクティブフロー監視では、cflowdレコードは、60秒の倍数で、設定されたアクティブタイムアウト値以上の期間後にエクスポートされます。例えば、アクティブなタイムアウト値が90秒の場合、cflowdレコードは120秒間隔でエクスポートされます。アクティブタイムアウト値が150秒の場合、cflowdレコードは180秒間隔でエクスポートされます。
ステートメントは
flow-inactive-timeout
、フローのエクスポートをトリガーするフローの非アクティブ間隔を指定します。現在の時間と、このフローの最後のパケットを受信した時間の間隔が設定された非アクティブなタイムアウト値を超えた場合、フローの有効期限が設定されます。フローが設定された非アクティブなタイムアウト値よりも長い間送信を停止した場合、ルーターまたはスイッチはフロー テーブルから削除し、cflowd レコードをエクスポートします。その結果、PIC に関する限りフローは忘れられ、同じ 5 タプルが再び表示された場合、新しい開始時間が割り当てられ、新しいフローと見なされます。
どちらのタイマーも必要です。アクティブタイムアウト設定は、長時間にわたり常にパケットを送信するフローの情報を提供するために必要です。非アクティブなタイムアウト設定では、ルーターまたはスイッチが、非アクティブになり、追跡リソースを無駄にする可能性のあるフローをパージできます。
および ステートメントを有効にするには、ルーターに適応サービス、マルチサービス、または監視サービスPICをflow-active-timeout
flow-inactive-timeout
含める必要があります。
例:フロー監視の設定
以下に、入力SONET/SDHインターフェイス、出力監視サービスインターフェイス、フロー分析のためにcflowdへのエクスポートをサポートするように設定されたフロー監視プロパティの例を示します。設定を完了するには、インターフェイスを設定し、仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)インスタンスを設定する必要もあります。cflowdの情報については、 フローアグリゲーションの有効化を参照してください。
[edit forwarding-options] monitoring group1 { family inet { output { cflowd 192.168.245.2 port 2055; export-format cflowd-version-5; flow-active-timeout 60; flow-inactive-timeout 30; interface mo-4/0/0.1 { engine-id 1; engine-type 1; input-interface-index 44; output-interface-index 54; source-address 192.168.245.1; } interface mo-4/1/0.1 { engine-id 2; engine-type 1; input-interface-index 45; output-interface-index 55; source-address 192.168.245.1; } interface mo-4/2/0.1 { engine-id 3; engine-type 1; input-interface-index 46; output-interface-index 56; source-address 192.168.245.1; } interface mo-4/3/0.1 { engine-id 4; engine-type 1; input-interface-index 47; output-interface-index 57; source-address 192.168.245.1; } } } }
flow-control-options
オプションを使用
dump-on-flow-control
)、マルチサービス PIC 管理デーモン コア ファイルが生成されます。