MX、vMXおよびT Seriesルーター、EXシリーズスイッチ、NFXシリーズデバイス、SRXシリーズファイアウォールでIPFIXフローテンプレートを使用するインラインアクティブフロー監視の設定
IPFIX を使用すると、IPv4 トラフィックまたは IPv6 トラフィックに適したフロー レコード テンプレートを定義できます。テンプレートは定期的にコレクターに送信され、コレクターはルーター設定に影響を与えません。テンプレートのリフレッシュレート、フローのアクティブタイムアウト、および非アクティブタイムアウトを定義できます。
複数のプロトコル ファミリ(IPv4 や IPv6 など)に対してフロー レコードを送信する場合、各プロトコル ファミリ フローには一意の監視ドメイン ID があります。次のセクションには、追加情報が含まれています。
Junos OS リリース 17.3R1以降、IPFIXフローテンプレートはQFX10002スイッチでサポートされています。
Junos OS リリース 17.4R1以降、IPFIXフローテンプレートはQFX10008およびQFX10016スイッチでサポートされています。
Junos OS リリース 19.4R1以降、IPFIXフローテンプレートは、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX仮想ファイアウォール、vSRX3.0デバイスでサポートされています。
Junos OS リリース 20.1R1以降、IPFIXフローテンプレートはSRX300、SRX320、SRX340、SRX345、SRX550HMデバイスでサポートされています。
Junos OS リリース 20.4R1 以降、IPFIX フロー テンプレートは NFX150、NFX250 NextGen、NFX350 デバイスでサポートされています。
(SRXファイアウォールのみ)インライン アクティブ フロー監視は、セッションに関するフローに作用します。サービス・オフロード (SOF)、PMI、またはその両方が特定のセッションで使用可能になっている場合、インライン・アクティブ・フロー・モニターはそのセッションではサポートされません。セッションが PMI または SOF によって処理される場合、そのフローのインライン・アクティブ・フロー・モニターは使用不可になります。
IPFIX テンプレート プロパティの設定
IPFIX テンプレートを定義するには、 [edit services flow-monitoring version-ipfix] 階層レベルで以下のステートメントを含めます。
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
設定ステートメントには、以下の詳細が適用されます。
-
各テンプレートに一意の名前を割り当てるには、
template template-nameステートメントを含めます。 -
そして、
ipv4-templateやipv6-templateを含めて、適切なタイプのトラフィックに対して各テンプレートを指定します。 -
テンプレート定義内で、オプションで
flow-active-timeoutおよびflow-inactive-timeoutステートメントの値を含めることができます。これらのステートメントは、テンプレート定義で使用される場合、特定の既定値と範囲値を持ちます。デフォルトは 60 秒で、範囲は 10 から 600 秒です。 -
また、テンプレート定義内に
option-refresh-rateおよびtemplate-refresh-rateステートメントの設定を含めることもできます。どちらのプロパティでも、タイマー値(秒単位)またはパケット数(パケット数)を含めることができます。secondsオプションの場合、デフォルト値は 600 で、範囲は 10 から 600 です。packetsオプションの場合、デフォルト値は 4800 で、範囲は 1 から 480,000 です。 -
メディアインターフェイスでIPv6トラフィックをフィルタリングするには、次の設定がサポートされています。
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
制限
IPFIX テンプレートには、次の制限が適用されます。
-
アウトバウンド ルーティングエンジンのトラフィックはサンプリングされません。ファイアウォールフィルターは、エグレスインターフェイスの出力として適用され、パケットをサンプリングしてデータをエクスポートします。トランジットトラフィックの場合、エグレスサンプリングは正しく機能します。内部トラフィックの場合、ネクストホップはパケット転送エンジンにインストールされますが、サンプリングされたパケットはエクスポートされません。
-
フローは、ルート レコードの再同期操作(120 秒)が完了した後にのみ作成されます。
-
VLAN ID フィールドは、新しいフロー レコードが作成されると更新されるため、レコード作成後に VLAN ID を変更しても、レコードが更新されない場合があります。
IPFIX フロー テンプレートのテンプレート ID、監視ドメイン ID、および送信元 ID のカスタマイズ
Junos OS リリース 14.1 以降では、IPv4 トラフィック、IPv6 トラフィック、MPLS トラフィック、IPv4 と MPLS トラフィックの組み合わせ、またはピア AS 課金トラフィックに適した IPFIX フロー レコード テンプレートを定義できます。テンプレートとテンプレートに含まれるフィールドは定期的にコレクターに送信されるため、コレクターはルーターの設定を認識する必要はありません。バージョン 9 および IPFIX テンプレートの意の識別子を指定できます。テンプレートの識別子は、トランスポートセッションと観測ドメインの組み合わせ内でローカルに一意です。テンプレート ID 0 から 255 は、テンプレート セット、オプション テンプレート セット、および将来使用するためのその他のセット用に予約されています。データ・セットのテンプレート ID には、256 から 65535 までの番号が付けられます。通常、テンプレート内のこの情報要素またはフィールドは、テンプレート内の他の情報要素の特性またはプロパティを定義するために使用されます。テンプレートのエクスポート プロセスの再起動後に、テンプレート ID を再割り当てできます。
テンプレートID、オプションテンプレートID、オブザベーションドメインID、ソースIDを設定するこの機能は、MPCを搭載したすべてのルーターでサポートされています。
対応するデータセットとオプションデータセットには、それぞれセットIDフィールドにテンプレートIDとオプションテンプレートIDの値が含まれています。このメソッドを使用すると、コレクターはデータレコードをテンプレートレコードと照合できます。
バージョン 9 および IPFIX フローのソース ID、オブザベーション ドメイン ID、テンプレート ID、およびオプション テンプレート ID の指定の詳細については、 バージョン 9 および IPFIX フローのオブザベーション ドメイン ID とソース ID の設定 および バージョン 9 および IPFIX フローのテンプレート ID とオプション テンプレート ID の設定を参照してください。
IPFIX テンプレート
IPFIX IPv4 および IPv6 テンプレートに含まれるフィールドの定義については、 IPFIX およびバージョン 9 テンプレートを参照してください。
検証
IPFIX では、以下の表示コマンドがサポートされています。
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
例:IPFIX フロー テンプレートとフロー サンプリングの設定
次に、IPFIX テンプレートの設定例を示します。
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
次に、IPFIX テンプレートを適用して、課金対象のトラフィックのサンプリングを有効にする例を示します。
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
例:インライン アクティブ フロー モニタリング バージョン 9 フロー テンプレートおよびフロー サンプリングの設定
次の例は、インライン アクティブ フロー監視バージョン 9 IPv4 テンプレート設定を示しています。
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
次に、インライン アクティブ フロー監視バージョン 9 IPv6 テンプレートの設定例を示します。
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
次の例は、インライン アクティブ フロー監視バージョン 9 の IPv4 サンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
次の例は、インライン アクティブ フロー監視バージョン 9 の IPv6 サンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
次の例は、インライン アクティブ フロー監視バージョン 9 サンプリング インターフェイス バインディング(interface を使用)を示しています。
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
次の例は、インライン アクティブ フロー監視バージョン 9 サンプリング インターフェイス バインディングとファイアウォール フィルター(フィルターを使用)を示しています。
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
例:IPFIX フロー テンプレートとフロー サンプリングの設定
次に、IPFIX IPv4 テンプレートの設定例を示します。
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
次に、IPFIX IPv6 テンプレートの設定例を示します。
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
以下の例は、IPFIX IPv4 サンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
次に、IPFIX IPv6 サンプリング トラフィックとエクスポート設定例を示します。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。