フロー監視の設定
フロー監視アプリケーションは、トラフィックフロー監視を実行し、2つのルーターまたはスイッチ間のトラフィックの合法的な傍受を可能にします。トラフィックフローは、オフラインのルーターやスイッチによって受動的に監視することも、ネットワークに参加しているルーターによって能動的に監視することもできます。
フロー監視インターフェイスの設定
モニタリングサービスPICでフロー監視を有効にするには、[edit interfaces]階層レベルでmo-fpc/pic/portステートメントを含めます。
mo-fpc/pic/port {
unit logical-unit-number {
family inet {
address address {
destination address;
}
filter {
group filter-group-number;
input filter-name;
output filter-name;
}
sampling {
[ input output ];
}
}
}
multiservice-options {
(core-dump | no-core-dump);
(syslog | no-syslog);
flow-control-options {
down-on-flow-control;
dump-on-flow-control;
reset-on-flow-control;
}
}
}
フロー監視インターフェイスの物理的および論理的な場所を指定します。 unit 0は内部プロセスですでに使用されているため、使用することはできません。送信元アドレスと宛先アドレスを指定します。 filter ステートメントを使用すると、入力フィルター、出力フィルター、またはこの目的のためにすでに設定されているフィルターグループを関連付けることができます。 sampling ステートメントは、トラフィックの方向( input、 output、またはその両方)を指定します。
multiservice-options ステートメントでは、フロー監視インターフェイスに関連するプロパティを設定することができます。
core-dumpステートメントを含めて、/var/tmp へのコアファイルの保存を有効にします。syslogステートメントを含めて、システムログ情報を /var/log に保存できるようにします。手記:監視サービス インターフェイスのブート イメージは、
[edit chassis images pic]階層レベルで指定されます。フロー監視機能を動作可能にするには、以下の設定を含める必要があります。[edit system] ntp { boot-server ntp.example.net; server 172.17.28.5; } processes { ntp enable; }
フロー制御を設定するには、
flow-control-optionsステートメントを含めます。手記:Junos OS リリース 15.1以降、長時間のフロー制御障害が発生した場合や、長時間のフロー制御中にコアダンプを生成するように設定した場合(
flow-control-optionsステートメントでdump-on-flow-controlオプションを使用)すると、マルチサービスPIC管理されたデーモンコアファイルが生成されます。このようなシナリオでは、ウォッチドッグ機能はカーネルコアファイルを生成し続けます。Junos OS リリース 14.2 以前では、長時間のフロー制御障害が発生した場合や、長時間のフロー制御中にコアダンプを生成するように設定した場合に、eJunos カーネル コア ファイルが生成されます。
フロー監視プロパティの設定
フロー監視プロパティを設定するには、[edit forwarding-options]階層レベルでmonitoringステートメントを含めます。
monitoring name { family inet { output { cflowd hostname port port-number; export-format format; flow-active-timeout seconds; flow-export-destination { collector-pic; } flow-inactive-timeout seconds; interface interface-name { engine-id number; engine-type number; input-interface-index number; output-interface-index number; source-address address; } } }
監視インスタンスは、 monitoring name ステートメントでコレクター情報を指定する名前付きエンティティです。次のセクションでは、設定できるプロパティについて説明します。
フロー監視インターフェイスへのトラフィックの誘導
フロー監視インターフェイスにトラフィックを誘導するには、[edit forwarding-options monitoring name output]階層レベルで interface ステートメントを含めます。デフォルトでは、Junos OSはengine-idおよびengine-typeステートメントの値を自動的に割り当てます。
engine-id- インターフェイスの場所をモニタリングします。engine-type—プラットフォーム固有のモニタリング インターフェイス タイプ。
source-addressステートメントは、cflowd情報を送信するトラフィックソースを指定します。手動で設定する必要があります。監視サービスの出力インターフェイスごとに異なるsource-addressステートメントを指定すると、どのインターフェイスが特定のcflowdレコードを処理するかを追跡できます。
デフォルトでは、 input-interface-index 値は入力インターフェイスのSNMPインデックスです。特定の値を含めることで、デフォルトを上書きできます。 input-interface-index 値と output-interface-index 値は、cflowdバージョン5フロー形式のフィールドにエクスポートされます。
フローのエクスポート
トラフィックをフロー収集インターフェイスに誘導するには、 flow-export-destination ステートメントを含めます。フロー収集の詳細については、「 アクティブフロー監視の概要」を参照してください。
cflowdバージョン番号を設定するには、[edit forwarding-options monitoring name output]階層レベルでexport-formatステートメントを含めます。デフォルトでは、バージョン 5 が使用されます。バージョン8では、ルーターソフトウェアが、より広範な基準を使用してフロー情報を集約し、cflowdトラフィックを削減することができます。バージョン 8 のアグリゲーションは、アクティブなフローで定期的(数秒ごと)に実行され、フローの有効期限が切れると実行されます。集計は定期的に実行されるため、アクティブなタイムアウト イベントは無視されます。
cflowd プロパティの詳細については、「 フロー集約の有効化」を参照してください。
フロー監視のアクティブと非アクティブの期間の設定
アクティブなフロー監視の期間と非アクティブの間隔を設定するには、[edit forwarding-options monitoring name output]階層レベルでflow-active-timeoutおよびflow-inactive-timeoutステートメントを含めます。
flow-active-timeoutステートメントは、アクティブなフローのフロー エクスポートの間隔を指定します。最後のパケットを受信してからフローが最後にエクスポートされたまでの間隔が設定値を超えると、フローがエクスポートされます。このタイマーは、フローの期間が長い場合に定期的な更新を提供するために必要です。アクティブなタイムアウト設定により、ルータはフローの開始時刻を定数として保持し、定期的にcflowdレポートを送信できます。これにより、コレクターは開始時刻を登録し、設定されたアクティブ タイムアウトよりも長い期間、フローが存続したと判断できます。
手記:アクティブフロー監視では、cflowdレコードは、設定されたアクティブタイムアウト値以上の60秒の倍数の期間後にエクスポートされます。例えば、アクティブタイムアウト値が90秒の場合、cflowdレコードは120秒間隔でエクスポートされます。アクティブタイムアウト値が150秒の場合、cflowdレコードは180秒間隔でエクスポートされ、以下同様です。
flow-inactive-timeoutステートメントは、フローのエクスポートをトリガーするフローの非アクティブの間隔を指定します。現在の時刻とこのフローの最後のパケットを受信した時刻の間の間隔が、設定された非アクティブ タイムアウト値を超えると、フローは期限切れになります。フローが設定された非アクティブタイムアウト値よりも長く送信を停止すると、ルーターまたはスイッチはフローテーブルからフローを削除し、cflowdレコードをエクスポートします。その結果、PICに関する限りフローは忘れられ、同じ5タプルが再び現れると、新しい開始時間が割り当てられ、新しいフローと見なされます。
両方のタイマーが必要です。アクティブなタイムアウト設定は、長時間にわたってパケットを絶えず送信するフローの情報を提供するために必要です。非アクティブなタイムアウト設定により、ルーターまたはスイッチは、非アクティブになり、追跡リソースを浪費する可能性のあるフローをパージできます。
flow-active-timeoutおよびflow-inactive-timeoutステートメントを有効にするには、ルーターに適応サービス、マルチサービス、または監視サービスのPICが含まれている必要があります。
例:フロー監視の設定
以下は、入力SONET/SDHインターフェイス、出力監視サービスインターフェイス、およびフロー分析のためのcflowdへのエクスポートをサポートするように設定されたフロー監視プロパティの例です。設定を完了するには、インターフェイスを設定し、仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)インスタンスを設定する必要もあります。cflowd の詳細については、「 フロー集約の有効化」を参照してください。
[edit forwarding-options]
monitoring group1 {
family inet {
output {
cflowd 192.168.245.2 port 2055;
export-format cflowd-version-5;
flow-active-timeout 60;
flow-inactive-timeout 30;
interface mo-4/0/0.1 {
engine-id 1;
engine-type 1;
input-interface-index 44;
output-interface-index 54;
source-address 192.168.245.1;
}
interface mo-4/1/0.1 {
engine-id 2;
engine-type 1;
input-interface-index 45;
output-interface-index 55;
source-address 192.168.245.1;
}
interface mo-4/2/0.1 {
engine-id 3;
engine-type 1;
input-interface-index 46;
output-interface-index 56;
source-address 192.168.245.1;
}
interface mo-4/3/0.1 {
engine-id 4;
engine-type 1;
input-interface-index 47;
output-interface-index 57;
source-address 192.168.245.1;
}
}
}
}
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
flow-control-options ステートメントで
dump-on-flow-control オプションを使用)に、マルチサービスPIC管理されたデーモンコアファイルが生成されます。