IPFIXフローテンプレートのフィールド値と、MXシリーズルーターまたはNFX250からエクスポートされたログとのマッピング
さまざまな NAT イベントを記録するための IPFIX 情報要素を定義する IETF ドラフトは、 NAT イベントを記録するための IPFIX 情報要素(draft-ietf-behave-ipfix-nat-logging-02)として IETF で入手できます。NAT イベントに対して生成されるフロー監視ログのフロー監視テンプレート形式は、NAT44/NAT64 セッションの作成/削除、バインディング情報ベース(BIB)の作成/削除、アドレスの枯渇、プールの枯渇、クォータの超過、アドレス バインディングの作成/削除、ポート ブロックの割り当て、割り当て解除イベントのログ記録に関するこのドラフトで定義されたテンプレートに準拠しています。また、このドラフトには NAT64 の拡張機能があります。NAT44 と NAT64 の両方のイベントのログ記録のサポートが実装されます。このドラフトで定義されているテンプレートを除き、NAT イベントを記録するための新しいユーザー定義テンプレートは作成されていません。
次の表は、NAT イベントの拡張の一覧です。データ レコードには、ログに記録されているイベントを識別するための対応する natEvent 値が含まれています。
| イベント名 |
価値観 |
|---|---|
| NAT44セッション作成 |
1 |
| NAT44 セッション削除 |
2 |
| NAT アドレスの枯渇 |
3 |
| NAT64セッション作成 |
4 |
| NAT64 セッション削除 |
5 |
| NAT44 BIB 作成 |
6 |
| NAT44 BIB 削除 |
7 |
| NAT64 BIB 作成 |
8 |
| NAT64 BIB 削除 |
9 |
| NAT ポートの枯渇 |
10 |
| クォータ超過 |
11 |
| アドレスバインディング作成 |
12 |
| アドレス バインディングの削除 |
13 |
| ポートブロックの割り当て |
14 |
| ポートブロックの割り当て解除 |
15 |
次の表に、IPFIX フローの IPv6 アドレスのフィールド ID または値と、対応する名前を示します。
| フィールドID |
名前 |
サイズ (バイト) |
形容 |
|---|---|---|---|
| 27 |
送信元IPv6アドレス |
16 |
IPv6 送信元アドレス |
| 28 |
宛先IPv6アドレス |
16 |
IPv6 宛先アドレス |
| 281 |
postNATSourceIPv6Address |
16 |
変換された送信元 IPv6 アドレス |
| 282 |
postNATDestinationPv6Address |
16 |
変換された宛先 IPv6 アドレス |
次の表では、フィールド名と、NAT64 セッションの作成および削除イベントにフィールド名が必要かどうかについて説明します。
| フィールド名 |
サイズ (ビット) |
フィールドが必須かどうか |
|---|---|---|
| タイムスタンプ |
64 |
はい |
| vlanID/ingressVRFID |
32 |
いいえ |
| ソースIPv4アドレス |
128 |
はい |
| postNATSourceIPv4Address |
32 |
はい |
| プロトコル識別子 |
8 |
はい |
| ソーストランスポートポート |
16 |
はい |
| postNAPTsourceTransportPort |
16 |
はい |
| 宛先IPv4アドレス |
128 |
いいえ |
| postNATDestinationIPv4Address |
32 |
いいえ |
| destinationTransportPort (宛先トランスポートポート) |
16 |
いいえ |
| postNAPTdestinationTransportPort |
16 |
いいえ |
| natOriginatingAddressRealm |
8 |
いいえ |
| イニシエータオクテット |
64 |
いいえ |
| レスポンダーOctets |
64 |
いいえ |
| フロー終了理由(flowEndReason) |
8 |
いいえ |
| natイベント |
8 |
はい |
NAT44 セッション作成テンプレート レコードには、次のフィールドを含めることができます。natEvent フィールドには、NAT44 セッション作成イベントを示す値 1 が含まれています。このようなテンプレートの例を次に示します。
| フィールド名 |
サイズ (ビット) |
価値 |
|---|---|---|
| タイムスタンプ |
64 |
09:20:10:789 |
| ソースIPv4アドレス |
32 |
192.168.16.1 |
| postNATSourceIPv4Address |
32 |
192.0.2.100 |
| プロトコル識別子 |
8 |
TCの |
| ソーストランスポートポート |
16 |
14800 |
| postNAPTsourceTransportPort |
16 |
1024 |
| 宛先IPv4アドレス |
32 |
198.51.100.104 |
| postNATDestinationIPv4Address |
32 |
198.51.100.104 |
| destinationTransportPort (宛先トランスポートポート) |
16 |
80 |
| postNAPTdestinationTransportPort |
16 |
80 |
| natOriginatingAddressRealm |
8 |
0 |
| イニシエータオクテット |
64 |
いいえ |
| レスポンダーOctets |
64 |
いいえ |
| フロー終了理由(flowEndReason) |
8 |
いいえ |
| natイベント |
8 |
1 |
NAT44 セッション削除テンプレート レコードには、以下のフィールドを含めることができます。natEvent フィールドには、NAT44 セッション削除イベントを示す値 2 が含まれています。このようなテンプレートの例を次に示します。
| フィールド名 |
サイズ (ビット) |
価値 |
|---|---|---|
| タイムスタンプ |
64 |
09:20:10:789 |
| ソースIPv4アドレス |
32 |
192.168.16.1 |
| postNATSourceIPv4Address |
32 |
192.0.2.100 |
| プロトコル識別子 |
8 |
TCの |
| ソーストランスポートポート |
16 |
14800 |
| postNAPTsourceTransportPort |
16 |
1024 |
| 宛先IPv4アドレス |
32 |
198.51.100.104 |
| postNATDestinationIPv4Address |
32 |
198.51.100.104 |
| destinationTransportPort (宛先トランスポートポート) |
16 |
80 |
| postNAPTdestinationTransportPort |
16 |
80 |
| natOriginatingAddressRealm |
8 |
0 |
| natイベント |
8 |
2 |
NATですべてのセッション終了理由をサポートするために、既存のflowEndReason情報要素が拡張されます。flowEndReason が J-Flow IPFIX テンプレートの一部になるように設定するために、新しい CLI コマンド session-end-reasonが導入されました。
CLIが設定されていないか、デフォルトとして設定されている場合、 flowEndReason はデフォルトのセット情報をエクスポートしてデータレコードに入力します。CLIがカスタムとして設定されている場合、 flowEndReason はカスタムセット情報をエクスポートしてデータレコードに入力します。
次の表に、エクスポート可能なセッション終了値のセットを示します。
| セッション終了理由(Session Close Reason) |
セッション終了理由文字列 |
シナリオ/備考 |
カスタムセット値 |
デフォルトのセット値 |
|---|---|---|---|---|
| NAT_SESSION_CREATION |
アイドル タイムアウト |
いずれかのセッションがタイムアウトになったとき |
0x01 |
0x01 |
| NAT_SESSION_CLOSE_TCP_CLIENT_RST |
TCPクライアントRST |
RST FLAGが設定されたクライアントからTCPパケットを受信します |
0x13 | 0xFF |
| NAT_SESSION_CLOSE_TCP_SERVER_RST |
TCPサーバーRST |
RST FLAGが設定されたサーバからTCPパケットを受信します | 0x23 |
0xFF |
| NAT_SESSION_CLOSE_TCP_FIN |
TCP FIN |
FINパケットの受信 |
0x03 |
0x03 |
| NAT_SESSION_CLOSE_ICMP_ERR |
ICMPエラー |
高速パスで ICMP エラー パケットを受信しています。下記のICMP関連のエラーメッセージ |
0x10 |
0XFF |
| NAT_SESSION_CLOSE_NSRP |
HA |
アクティブ ルーターで NAT セッションを作成します。次に、バックアップルーターに手動で切り替えるか、アクティブルーターのPICをダウンさせます。 スイッチオーバーを待ち、トラフィックを送信します。セッションが同期されていることを確認します。 次に、セッションを閉じます。 |
0x20 |
0xFF |
| NAT_SESSION_CLOSE_POLICY_DELETE |
ポリシーの削除 |
ポリシーを削除すると、アクティブセッションと設定を再照合します。 |
0x50 |
0xFF |
| NAT_SESSION_CLOSE_POLICY_UPDATE |
ポリシーの更新 |
ポリシーを更新すると、設定をアクティブ セッションと再照合します。 |
0x60 |
0xFF |
| NAT_SESSION_CLOSE_JSF_PLUGIN |
アプリケーションの障害またはアクション |
これは非常にまれなシナリオであり、シミュレートすることは困難です。このためのテストケースはありません。 |
0x70 |
0xFF |
| NAT_SESSION_CLOSE_IFP_ZONECHANGED_SSCAN |
セッション インターフェイス ゾーンが変更されました |
AMSインターフェイスで冗長スイッチオーバーが発生した場合 |
0x80 |
0xFF |
| NAT_SESSION_CLOSE_CLI |
CLI |
セッションを強制的にクリアする |
0x04 |
0x04 |