M Series、MXシリーズ、T Seriesルーターでのパッシブフロー監視の有効化
M Series、MXシリーズ、または T Series ルーターに次のコンポーネントがインストールされている場合は、別のルーターからの IPv4 トラフィックを監視できます。
監視サービス、アダプティブ サービス、またはマルチサービス PIC を使用してサービス処理を実行します
トランジット インターフェイスとしての SONET/SDH、ファスト イーサネット、またはギガビット イーサネット PIC
SONET/SDHインターフェイスでは、[edit interfaces so-fpc/pic/port unit logical-unit-number]階層レベルでpassive-monitor-modeステートメントを含めることで、パッシブフロー監視を有効にします。
[edit interfaces so-fpc/pic/port unit logical-unit-number] passive-monitor-mode;
非同期転送モード(ATM)、ファスト イーサネット、またはギガビット イーサネット インターフェイスでは、[edit interfaces interface-name] 階層レベルで passive-monitor-mode ステートメントを含めることで、パッシブ フロー監視を有効にします。
[edit interfaces interface-name] passive-monitor-mode;
IPv6パッシブ監視は、監視サービスPICではサポートされていません。パッシブ監視対象ポートから他のインターフェイスにパケットを転送するには、ポートミラーリングを設定する必要があります。以下のFPCとPICで設定されたインターフェイスは、T640およびT1600シリーズ ルーターでIPv6パッシブ監視をサポートしています。
拡張スケーリングFPC2
拡張スケーリングFPC3
Enhanced II FPC1
Enhanced II FPC2
Enhanced II FPC3
拡張スケーリングFPC4
拡張スケーリングFPC4.1
XFP 搭載 4 ポート 10 ギガビット イーサネット LAN/WAN PIC(IPv4 および IPv6 アドレスの両方で WAN-PHY モードと LAN-PHY モードの両方でサポート)
SFP搭載のギガビットイーサネットPIC
XENPAKを搭載した10ギガビットイーサネットPIC(T1600シリーズルーター)
SONET/SDH OC192/STM64 PIC(T1600シリーズルーター)
XFP搭載のSONET/SDH OC192/STM64 PIC(T1600シリーズルーター)
SFPを搭載したSONET/SDH OC48c/STM16 PIC(T1600シリーズルーター)
SONET/SDH OC48/STM16(マルチレート)
SFP搭載のSONET/SDH OC12/STM4(マルチレート)PIC
タイプ1 SONET/SDH OC3/STM1(マルチレート)PIC、SFP搭載
ポートミラーリングを設定するには、[edit forwarding-options]階層レベルでport-mirroringステートメントを含めます。
インターフェイスを受動監視モードで設定すると、パケット転送エンジンは、そのインターフェイスからルーター自体宛てのパケットをサイレントにドロップします。また、パッシブ監視モードでは、ルーティングエンジンはそのインターフェイスからのパケットの送信を停止します。監視対象インターフェイスから受信したパケットを監視インターフェイスに転送できます。設定に passive-monitor-mode ステートメントを含めると、次のようになります。
ATM インターフェイスは常にアップしており、インターフェイスは、運用、管理、保守(OAM)や暫定ローカル管理インターフェイス(ILMI)セルなどの着信制御パケットを送受信しません。
SONET/SDH インターフェイスは、キープアライブやアラームを送信せず、ネットワークに積極的に参加しません。
ギガビットおよびファスト イーサネット インターフェイスは、ポート単位のパッシブ監視と VLAN 単位のパッシブ監視の両方をサポートできます。イーサネット インターフェイスの受信ポートの宛先 MAC フィルターは無効です。
イーサネットカプセル化オプションは使用できません。
イーサネット インターフェイスは、パッシブ監視モードでは、IPv4 と IPv6 の両方のパケットに対して
stacked-vlan-taggingステートメントをサポートしません。
監視サービス インターフェイスでは、[edit interfaces interface-name unit logical-unit-number] 階層レベルで family ステートメントを含め、inet オプションを指定することで、パッシブ フロー監視を有効にします。
[edit interfaces interface-name unit logical-unit-number] family inet;
監視サービス インターフェイスでは、マルチサービスの物理インターフェイス プロパティを設定できます。詳細については、 フロー監視インターフェイスの設定を参照してください。
cflowdレコード構造に準拠するために、[edit interfaces interface-name unit logical-unit-number family inet]階層レベルにreceive-options-packetsおよびreceive-ttl-exceededステートメントを含める必要があります。
[edit interfaces interface-name unit logical-unit-number family inet] receive-options-packets; receive-ttl-exceeded;
MPLSカプセル化パケットのパッシブフロー監視
監視サービス インターフェイスでは、ラベル値が割り当てられておらず、 mpls.0 ルーティングテーブルに対応するエントリーがない MPLS パケットを処理できます。これにより、ラベルなしMPLSパケットにデフォルトルートを割り当てることができます。
MPLSパケットのデフォルトのラベル値を設定するには、[edit protocols mpls interface interface-name label-map]階層レベルでdefault-routeステートメントを含めます。
[edit protocols mpls interface interface-name label-map]
default-route {
(next-hop (address | interface-name | address/interface-name)) | (reject | discard);
(pop | (swap <out-label>);
class-of-service value;
preference preference;
type type;
}
静的ラベルの詳細については、 MPLS アプリケーションユーザーガイドを参照してください。
受信パケットからMPLSラベルを削除する
Junos OSは、IPv4パケットのみを監視サービス、アダプティブ サービス、またはマルチサービス PICに転送できます。MPLSラベルを持つIPv4およびIPv6パケットは、監視PICに転送できません。デフォルトでは、MPLSラベルを持つパケットが監視PICに転送された場合、それらは破棄されます。MPLSラベルが付いたIPv4およびIPv6パケットを監視するには、パケットがインターフェイスに到着した時点でMPLSラベルを削除する必要があります。
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls]階層レベルでpop-all-labelsステートメントを含めることで、受信パケットからMPLSラベルを削除できます。
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls] pop-all-labels { required-depth [ numbers ]; }
MPCを搭載したMXシリーズルーターでは、 pop-all-labels ステートメントはデフォルトですべてのラベルをポップし、 required-depth ステートメントは無視されます。
その他の設定では、受信パケットから最大2つのMPLSラベルを削除できます。デフォルトでは、pop-all-labelsステートメントは、1つまたは2つのラベルを持つ着信パケットに対して有効になります。[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels]階層レベルでrequired-depthステートメントを含めることで、pop-all-labelsステートメントを有効にするために受信パケットに必要なMPLSラベルの数を指定することができます。
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels] required-depth [ numbers ];
必要な深さは、 1、 2、または [ 1 2 ] です。 required-depth 1 ステートメントを含める場合、 pop-all-labels ステートメントはラベルが1つだけの着信パケットに対して有効になります。 required-depth 2 ステートメントを含める場合、 pop-all-labels ステートメントは2つのラベルのみを持つ着信パケットに対して有効になります。 required-depth [ 1 2 ] ステートメントを含める場合、 pop-all-labels ステートメントは 1 つまたは 2 つのラベルを持つ着信パケットに対して有効になります。必要な [ 1 2 ] 深度は、 pop-all-labels ステートメントのデフォルト動作と同等です。
受信パケットからMPLSラベルを削除する場合、以下の点に注意してください。
pop-all-labelsステートメントは、MPCを搭載したMXシリーズルーターを除き、3つ以上のMPLSラベルを持つIPパケットには効果がありません。MPLSラベル削除を有効にする場合、PIC上のすべてのポートを同じラベルポップモードと必要な深さで設定する必要があります。
pop-all-labelsステートメントは、アクティブ監視アプリケーションではなく、受動監視アプリケーションを有効にするために使用します。MPLSフィルターやアカウンティングは、パケットがインターフェイスに到達するとすぐに削除されるため、MPLSラベルに適用することはできません。
ATM2インターフェイスでは、MPLSラベルの下限範囲がラベルスイッチインターフェイス(LSI)および仮想プライベートLANサービス(VPLS)のサポート用に予約されているため、4095より大きいラベル値を使用する必要があります。詳しくは、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。
以下のATMカプセル化タイプは、MPLSラベル除去機能のあるインターフェイスではサポートされていません。
atm-ccc-cell-relayatm-ccc-vc-muxatm-mlppp-llcatm-tcc-snapatm-tcc-vc-muxether-over-atm-llcether-vpls-over-atm-llc
例:IPv4 パッシブ フロー監視の有効化
次の例は、イーサネット インターフェイスでパッシブ フロー監視を有効にするための完全な設定を示しています。
この例では、ギガビット イーサネット インターフェイスはすべてのイーサネット パケットを受け入れることができます。VLAN タグ(存在する場合)と最大 2 つの MPLS ラベルを盲目的に除去し、IPv4 パケットを監視インターフェイスに渡します。この設定では、IPv4、VLAN+IPv4、VLAN+MPLS+IPv4、およびVLAN+MPLS+MPLS+IPv4ラベル付きパケットを監視できます。
ファスト イーサネット インターフェイスは、VLAN ID 100 のパケットのみを受け入れることができます。その他のパケットはすべて破棄されます。この設定では、VLAN(ID=100)+IPv4、VLAN(ID=100)+MPLS+IPv4、VLAN(ID=100)+MPLS+MPLS+IPv4のラベル付きパケットを監視できます。
[edit firewall]
family inet {
filter input-monitoring-filter {
term def {
then {
count counter;
accept;
}
}
}
}
[edit interfaces]
ge-0/0/0 {
passive-monitor-mode;
gigether-options {
mpls {
pop-all-labels;
}
}
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
fe-0/1/0 {
passive-monitor-mode;
vlan-tagging;
fastether-options {
mpls {
pop-all-labels required-depth [ 1 2 ];
}
}
unit 0 {
vlan-id 100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
mo-1/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
[edit forwarding-options]
monitoring mon1 {
family inet {
output {
export-format cflowd-version-5;
cflowd 192.0.2.2 port 2055;
interface mo-1/0/0.0 {
source-address 192.0.2.1;
}
}
}
}
[edit routing-instances]
monitoring-vrf {
instance-type vrf;
interface ge-0/0/0.0;
interface fe-0/1/0.0;
interface mo-1/0/0.1;
route-distinguisher 68:1;
vrf-import monitoring-vrf-import;
vrf-export monitoring-vrf-export;
routing-options {
static {
route 0.0.0.0/0 next-hop mo-1/0/0.1;
}
}
}
[edit policy-options]
policy-statement monitoring-vrf-import {
then {
reject;
}
}
policy-statement monitoring-vrf-export {
then {
reject;
}
}
例:IPv6 パッシブ フロー監視の有効化
次の例は、イーサネット インターフェイスで IPv6 パッシブ フロー監視を有効にするための完全な設定を示しています。
この例では、ギガビット イーサネット インターフェイスはすべてのイーサネット パケットを受け入れることができます。VLAN タグ(存在する場合)と最大 2 つの MPLS ラベルを盲目的に除去し、IPv6 パケットを監視インターフェイスに渡します。この設定では、ギガビット イーサネット インターフェイスで IPv6、VLAN+IPv6、VLAN+MPLS+IPv6、VLAN+MPLS+MPLS+IPv6 ラベル付きパケットを監視できます。
VLAN タグ付きギガビット イーサネット インターフェイスは、VLAN ID 100 のパケットのみを受け入れることができます。その他のパケットはすべて破棄されます。この設定では、VLAN(ID=100)+IPv6、VLAN(ID=100)+MPLS+IPv6、VLAN(ID=100)+MPLS+MPLS+IPv6ラベル付きパケットを監視できます。
[edit interfaces]
xe-0/1/0 {
passive-monitor-mode;
unit 0 {
family inet6 {
filter {
input port-mirror6;
}
address 2001:db8::1/128;
}
}
}
xe-0/1/2 {
passive-monitor-mode;
vlan-tagging;
unit 0 {
vlan-id 100;
family inet6 {
filter {
input port-mirror6;
}
}
}
}
xe-0/1/1 {
unit 0 {
family inet6 {
address 2001:db8::1/128;
}
}
}
[edit firewall]
family inet6 {
filter port-mirror6 {
term term2 {
then {
count count_pm;
port-mirror;
accept;
}
}
}
}
[edit forwarding options]
port-mirroring {
input {
rate 1;
}
family inet6 {
output {
interface xe-0/1/1.0 {
next-hop 2001:db8::3;
}
no-filter-check;
}
}
}