Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MX、M、T Series ルーターでのトラフィック サンプリングの設定

トラフィックのサンプリングを使用すると、ルーターがパケットを元の宛先に転送している間にフロー アカウンティングを実行するPIC(物理インターフェイス カード)にトラフィックをコピーできます。次の 3 つの場所のいずれかをサンプリング実行するルーターを設定できます。

  • サンプル プロセスルーティング エンジンを使用します。この方法を選択するには、ステートメントを含む照合条件を持つフィルタ(入力または出力)を使用 then sample します。

  • 監視サービス、適応型サービス、またはマルチサービスPICで。

  • サービスパスを必要とせずにインラインデータパスに接続高密度ポート コンセントレータ(DPC)。このインライン アクティブ サンプリングを行うには、特定のプロパティを持つサンプリング インスタンスを定義します。1つのフレキシブルPICコンセントレータ(FPC)は1つのインスタンスのみサポートできます。各インスタンスで、サービスPICベースのサンプリングまたはインラインサンプリングがファミリーごとにサポートされています。インライン サンプリングでは、バージョン 9 および IPFIX フロー収集テンプレートがサポートされています。

メモ:

ルーティング エンジンベースのサンプリングは、VPN ルーティングおよび転送(VRF)インスタンスではサポートされていません。

トラフィック サンプリング用のファイアウォール フィルターの設定

トラフィックのサンプリング用にファイアウォール フィルタを設定するには、以下のタスクを実行する必要があります。

  • ステートメントを階層レベルに filter 含めてサンプリングする論理インターフェイスに適用するファイアウォール フィルタを [edit firewall family family-name] 作成します。フィルタ ステートメントで then 、アクションの指定指定と アクションを sample 指定する必要があります accept

ファイアウォール フィルターのアクションとアクションの詳細については、「 ルーティング ポリシー 、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」を 参照してください

  • 階層レベルにおよび ステートメントaddressfilterを含めて、トラフィックをサンプリングするインターフェイスにフィルタを[edit interfaces interface-name unit logical-unit-number family family-name]適用します。

インターフェイスおよびファイアウォール フィルターでトラフィックのサンプリングを設定する場合、M、MX、T Seriesには以下の前提条件が適用されます。

  • forwarding-options 設定を設定せずに、インターフェイス上で inet または inet6 ファミリーのファイアウォール フィルタでサンプル アクションを設定した場合、ポート ミラーリング機能またはフロー Tap 機能も設定すると、運用上の問題が発生する可能性があります。このシナリオでは、ファイアウォール フィルタと一致するパケットすべてが、サービス PIC に不適切に送信されます。

  • 階層レベルにthen sample[edit firewall family inet filter filter-name term term-name]ステートメントを含め、IPv4 family inet [edit forwarding-options sampling] instance instance-name family inet [edit forwarding-options sampling] パケットのファイアウォール フィルターにサンプル アクションを指定する場合は、 ステートメントを階層レベルまたは階層レベルのステートメントに含める必要があります。同様に、 階層レベルに then sample [edit firewall family inet6 filter filter-name term term-name] ステートメントを含め、IPv6 family inet6 [edit forwarding-options sampling] instance instance-name family inet6 [edit forwarding-options sampling] パケットのファイアウォール フィルターにサンプル アクションを指定する場合は、 階層レベルまたは階層レベルの ステートメントも含める必要があります。そうしないと、設定のコミット時にコミット エラーが発生します。

  • [edit interface interface-name unit logical-unit-number] instance instance-name family inet | inet6 family inet | inet6 [edit forwarding-options sampling] [edit forwarding-options sampling]また、階層レベルにサンプリング入力またはサンプリング出力ステートメントを含めて論理インターフェイスでトラフィックのサンプリングを設定する場合は、 ステートメントを階層レベルで、または階層レベルに ステートメントを含める必要があります。

論理インターフェイスでのトラフィック サンプリングの設定

論理インターフェイスでトラフィックのサンプリングを設定するには、階層レベルにサンプリング ステートメントを含めてサンプリングを有効にし、ゼロ以外のサンプリング レートを [edit forwarding-options] 指定します。

デフォルト ベースのサンプリングルーティング エンジン、 ステートメントを含めてしきい値のトラフィック値を指定 max-packets-per-second します。この値は、サンプリング メカニズムによってパケットのドロップを開始する、サンプリングされるパケットの最大数です。範囲は 0~65,535 です。値 0 は、パケットをパケット転送エンジンするように指定します。デフォルト値は1000です。

メモ:

アクティブなモニタリングを設定してステートメントでモニタリング サービス、アダプティブ サービス、またはマルチサービスPIC output max-packets-per-second を指定する場合、またはインライン サンプリングを設定する場合、値は無視されます。

の値を設定してサンプリング レートを指定します rate run-length (図 1 を参照)。

図 1:サンプリング レートの設定 Configuring Sampling Rate
メモ:

PIC ベース ms- のフロー監視が有効になっている論理インターフェイスで、イングレス サンプリングを設定しません。この設定では、フロー監視の動作が無効になるうえ、1 つのパケットのサンプリングを繰り返す結果になる可能性があります。リリース 15.1 Junos OSから、そのインターフェイスでイングレス トラフィックのサンプリングを設定しようとするときに、コミット エラーが発生します。Junos OS リリース 14.2 以前では、コミット エラーは発生しませんが、そのインターフェイスでイングレス トラフィックのサンプリングを設定する必要があります。

MS-fpc/pic/port.logical-unit インターフェイスでPICベースのフロー監視が有効になっている場合、そのインターフェイスでイングレス トラフィックのサンプリングを設定しようとすると、コミット チェック エラーが発生します。このエラーは、論理インターフェイスでのイングレス サンプリングと PIC ms- ベースのフロー監視操作の組み合わせによって、望ましくないフロー監視動作が発生し、1 つのパケットを繰り返しサンプリングする結果になる可能性があるという理由で発生します。PIC ベースのフロー監視が ms- 有効になっている論理インターフェイスで、イングレス サンプリングを設定する必要があります。

ステートメント rate は、サンプリングするパケットの比率を指定します。たとえば、レートを 10 に設定した場合、10 x xパケット当たっているパケット数がサンプリングされます。これは = run 長 + 1 です。デフォルトではレートは0です。つまり、トラフィックがサンプリングされません。

ステートメント run-length は、最初の 1 パケット トリガー イベントに続く、一致するパケットの数を指定します。デフォルトでは、実行長は0です。つまり、トリガー イベントの後にサンプリングされるトラフィックはこれ以上発生しません。範囲は0~20です。長さが0を超える実行を設定すると、すでにサンプリングされたパケットの後にパケットをサンプリングできます。

メモ:

run-length 設定 maximum-packet-length ステートメントは、このルーターではMX80されていません。

ステートメントを含めない場合 input 、サンプリングは無効になります。

サンプルのパケットをファイルに収集するには、 ステートメントを file 階層レベルに [edit forwarding-options sampling output] 含める必要があります。出力ファイル形式については、章の後半で説明します。

トラフィックのサンプリングの無効化

ルーターでのトラフィック のサンプリングを明示的に無効にするには、ステートメント disable を階層レベルに [edit forwarding-options sampling] 含める:

一度サンプリング

アクティブなモニタリングを 1 回だけ行 sample-once うパケットを明示的にサンプリングするには、ステートメントを階層レベルに [edit forwarding-options sampling] 含める:

このオプションを設定すると、受信/送信インターフェイスでサンプリングが有効になっている場合にパケットの重複を回避し、サンプルトラフィックの分析を簡素化できます。

エグレスのサンプル ToSミラーリングされたパケットのプリ書き込み値の保持

Junos OS リリース 14.1 から、サンプル パケットまたはミラーリングされたパケットのエグレスにToS(サービス タイプ)値を保持できます。階層レベル pre-rewrite-tos にステートメントを [edit forwarding-options sampling] 含める。

MPC ベースのインターフェイスでは、階層レベルにステートメントを含めて、または階層レベルにステートメントを含めてファイアウォール フィルタ設定を使用して、CoS rewrite-rules dscp rule_name [edit class-of-service interfaces interface-name unit logical-unit-number] dscp [edit firewall family family-name filter filter-name term term-name then] (サービス クラス)設定を使用して、ToS 書き換えを設定できます。書ToSが設定されている場合、エグレス ミラー コピーまたはサンプル コピーには書き換ToS値が含まれます。設定を pre-rewrite-tos 使用すると、サンプル パケットまたはミラーリングされたパケットのToS、プロトコルプロトコルの値を保持できます。

メモ:
  • ToS 書き換えは、CoS pre-rewrite-tos とファイアウォール フィルタの設定の両方を使用してエグレス インターフェイス上で設定され、ステートメントも設定されている場合、エグレスのサンプル パケットには、ファイアウォール フィルター設定を使用して DSCP 値セットが含されます。ただし、ステートメントが設定 pre-rewrite-tos されていない場合、エグレスのサンプル パケットには、パケット設定で設定された DSCP 値CoSされます。

  • ステートメントを使用pre-rewrite-tosして、 および の下で実行されたサンプリングのToSの事前正規化と値を設定できますfamily inet6family inet

  • この機能は、階層レベルでは [edit logical-systems] 構成できません。設定のグローバル レベルでのみ設定 forwarding-option できます。

  • 受信/送信インターフェイスの両方でファイアウォール フィルターを使用して ToS 書き換えが設定されている場合、エグレス のサンプル パケットには、ステートメントが設定されている場合に、イングレス ToS pre-rewrite-tos 書き換え設定で設定された DSCP 値が含されます。ただし、ステートメント pre-rewrite-tos が設定されていない場合、エグレス サンプル パケットには、エグレス ファイアウォール フィルターの設定を書き換ToS DSCP 値が格納されています。

  • ステートメントがpre-rewrite-tos設定され、階層レベルで非アクティブまたは削除[edit forwarding-options]pre-rewrite-tos操作が実行された場合でも、設定は引き続きアクティブになります。このようなケースの設定pre-rewrite-tos pre-rewrite-tos [edit forwarding-options sampling] [edit forwarding-options] を無効にするには、階層レベルで非アクティブ化または削除操作を実行する前に、階層レベルでステートメントを明示的に非アクティブ化または削除する必要があります。

トラフィック サンプリング出力の設定

トラフィック のサンプリング出力を設定するには、階層レベルに以下のステートメントを [edit forwarding-options sampling family (inet | inet6 | mpls) output] 含てます。

すべてのルーターでインライン フロー監視をMX シリーズするには、 ステートメントを階層 inline-jflow レベルに [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] 含める必要があります。インライン サンプリングは、トランスポート プロトコルとして UDP を使用するIP_FIX特別な新しい形式をサポートしています。インライン サンプリングを設定する場合、 version-ipfix ステートメントを階層レベルと [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] 階層レベルに含める [edit services flow-monitoring] 必要があります。インライン フロー監視の設定について、詳しくは ルーター、ファイアウォール、ファイアウォールを使用したインライン アクティブ フロー監視のスイッチ を参照NFX250

サンプルトラフィックをフロー監視インターフェイスに送信するには、 ステートメントを含 interface にします。と engine-id ステートメント engine-type は、インターフェイスのアイデンティティとタイプ番号を指定します。FPC(フレキシブルPICコンセントレータ)、PIC、スロット番号、シャーシ タイプに基づいて動的に生成されます。ステートメント source-address は、トラフィック ソースを指定します。

Junos OS リリース 19.3R1から、ジュニパー Sky Advanced Threat Prevention(ATP flow-server )でインライン フロー監視を設定するには、階層レベルで ステートメントを [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] 含める必要があります。インライン サンプリングは、トランスポート プロトコルとして UDP を使用するIP_FIX特別な新しい形式をサポートしています。インライン サンプリングを設定する場合、 version-ipfix ステートメントを階層レベルと [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] 階層レベルに含める [edit services flow-monitoring] 必要があります。

フロー サンプリング バージョン 9 の出力を設定するには template 、ステートメントを階層レベルに含める [edit forwarding-options sampling output version9] 必要があります。cflowd の詳細については、「 フロー アグリゲー ションの有効化 」を参照してください

ステートメント aggregate-export-interval は、 破棄アカウンティング の設定 で説明し、 flow-active-timeout および flow-inactive-timeout ステートメントについては「 フロー 監視の設定 」で説明されています

トラフィックのサンプリング結果は、/var/tmp ディレクトリのファイルに自動的に保存 されます。サンプルのパケットをファイルに収集するには、ステートメントを階層 file レベルに [edit forwarding-options sampling family inet output] 含める:

トラフィック サンプリング出力形式

トラフィックのサンプリング出力は、ASCIIテキスト ファイルに保存されます。以下に、/var/tmp ディレクトリ内のファイルに保存されているトラフィック サンプリング出力の例を示します。出力ファイルの各行には、サンプル パケット 1 つの情報が含されています。必要に応じて、各行のタイムスタンプを表示できます。

列のヘッダーは、1,000 パケットの各グループの後に繰り返されます。

ファイルのタイムスタンプ オプションを設定するには、 my-sample以下を入力します。

タイムスタンプ オプションを切り替えるたびに、新しいヘッダーがファイルに含まれます。オプションを設定すると stamp 、フィールドが Time 表示されます。

トラフィックのサンプリング操作のトレース

追跡操作では、すべてのトラフィック サンプリング操作を追跡し、/var/log ディレクトリにログ ファイルに記録 します。デフォルトでは、このファイルの名前は /var/log/sampled です。デフォルトのファイル サイズは 128,000 で、最初のファイルが上書きされる前に 10 ファイルが作成されます。

トラフィックのサンプリング操作を追跡するには、階層レベル traceoptions に ステートメントを [edit forwarding-options sampling] 含てます。

トラフィックのサンプリングの例

例: 単一 SONET/SDH インターフェイスのサンプリング

次の設定は、1 つの SONET/SDH インターフェイス上のすべてのトラフィックの小規模な割合から統計サンプリング情報を収集し、という名前のファイルで収集します sonet-samples.txt

フィルターを作成します。

フィルターを SONET/SDH インターフェイスに適用します。

最後に、トラフィックのサンプリングを設定します。

例: 1 つの IP アドレスからのすべてのトラフィックをサンプリング

次の設定では、単一ソースIP 172.16.92.31アドレスから発信された特定のギガビット イーサネット ポート上でルーターに入る各パケットに関する統計情報を収集し、 という名前のファイルで収集します samples-172-16-92-31.txt

フィルターを作成します。

フィルタをギガビット イーサネット インターフェイスに適用します。

最後に、受験者のすべてのサンプルの統計情報を収集します。この場合、すべての統計情報を収集します。

例: すべての FTP トラフィックのサンプリング

次の設定では、特定の T3 インターフェイスの出力パスで FTP データ転送プロトコルを使用して、中程度のパケットの割合に関する統計情報を収集し、という名前のファイル内の情報を収集します t3-ftp-traffic.txt

フィルターを作成します。

フィルターを T3 インターフェイスに適用します。

最後に、受験者のサンプルの 10% に関する統計情報を収集します。

リリース履歴テーブル
リリース
説明
14.1
Junos OS リリース 14.1 から、サンプル パケットまたはミラーリングされたパケットのエグレスにToS(サービス タイプ)値を保持できます。[edit forwarding-options サンプリング] 階層レベルに、書き換え前に tos ステートメントを含める。