MX、vMXおよびT Seriesルーター、EXシリーズスイッチ、NFXシリーズデバイス、およびSRXシリーズファイアウォールでIPFIXフローテンプレートを使用するためのインラインアクティブフロー監視の設定
IPFIXを使用することで、IPv4トラフィックまたはIPv6トラフィックに適したフローレコードテンプレートを定義できます。テンプレートは定期的にコレクターに送信され、コレクターはルーターの設定に影響を与えません。テンプレートのリフレッシュレート、フローアクティブタイムアウト、非アクティブタイムアウトを定義できます。
フローレコードが複数のプロトコルファミリー(例えば、IPv4とIPv6)に対して送信される場合、各プロトコルファミリーフローには固有の監視ドメインIDがあります。以下のセクションには追加情報が含まれています。
Junos OSリリース17.3R1以降、IPFIXフローテンプレートはQFX10002スイッチでサポートされています。
Junos OSリリース17.4R1以降、IPFIXフローテンプレートはQFX10008およびQFX10016スイッチでサポートされます。
Junos OSリリース19.4R1以降、IPFIXフローテンプレートは、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX仮想ファイアウォール、vSRX3.0デバイスでサポートされています。
Junos OSリリース20.1R1以降、IPFIXフローテンプレートは、SRX300、SRX320、SRX340、SRX345、およびSRX550HMデバイスでサポートされています。
Junos OSリリース20.4R1以降、IPFIXフローテンプレートはNFX150、NFX250 NextGen、NFX350デバイスでサポートされています。
(SRXファイアウォールのみ)インラインアクティブフロー監視は、セッションに関するフローに作用します。特定のセッションでサービス オフロード(SOF)、PMI、またはその両方が有効になっている場合、そのセッションではインライン アクティブ フロー監視はサポートされません。セッションが PMI または SOF によって処理される場合、そのフローのインライン アクティブ フロー監視は無効になります。
IPFIXテンプレートプロパティの設定
IPFIXテンプレートを定義するには、 [edit services flow-monitoring version-ipfix] 階層レベルで以下のステートメントを含めます。
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
設定ステートメントには、以下の詳細が適用されます。
-
template template-nameステートメントを含めることで、各テンプレートに一意の名前を割り当てます。 -
次に、
ipv4-templateまたはipv6-templateを含めて、適切なタイプのトラフィックの各テンプレートを指定します。 -
テンプレート定義内では、オプションで
flow-active-timeoutおよびflow-inactive-timeoutステートメントの値を含めることができます。これらのステートメントは、テンプレート定義で使用される場合、特定のデフォルト値と範囲値を持ちます。デフォルトは60秒で、範囲は10〜600秒です。 -
テンプレート定義内に
option-refresh-rateおよびtemplate-refresh-rateステートメントの設定を含めることもできます。これらの両方のプロパティに、タイマー値(秒単位)またはパケットカウント(パケット数)を含めることができます。secondsオプションの場合、デフォルト値は600で、範囲は10〜600です。packetsオプションの場合、デフォルト値は4800で、範囲は1〜480,000です。 -
メディアインターフェイスでIPv6トラフィックをフィルタリングするには、以下の設定がサポートされています。
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
制限事項
IPFIXテンプレートには、次の制限が適用されます。
-
アウトバウンドルーティングエンジントラフィックはサンプリングされません。ファイアウォールフィルターは、パケットをサンプリングしてデータをエクスポートするエグレスインターフェイスに出力として適用されます。トランジットトラフィックの場合、エグレスサンプリングは正しく機能します。内部トラフィックの場合、ネクストホップはパケット転送エンジンにインストールされますが、サンプル化されたパケットはエクスポートされません。
-
フローは、ルート レコードの再同期操作が完了した後にのみ作成され、これには 120 秒かかります。
-
VLAN ID フィールドは、新しいフロー レコードが作成されると更新されるため、レコードの作成後の VLAN ID の変更はレコード内で更新されない場合があります。
IPFIXフローテンプレート用のテンプレートID、監視ドメインID、ソースIDのカスタマイズ
Junos OSリリース14.1以降、IPv4トラフィック、IPv6トラフィック、MPLSトラフィック、IPv4とMPLSトラフィックの組み合わせ、またはピアAS課金トラフィックに適したIPFIXフローレコードテンプレートを定義できます。テンプレートとテンプレートに含まれるフィールドは定期的にコレクターに送信され、コレクターはルーターの設定を認識する必要はありません。バージョン9およびIPFIXテンプレートの一意の識別子を指定できます。テンプレートの識別子は、トランスポートセッションと監視ドメインの組み合わせ内でローカルに一意です。テンプレート ID 0 から 255 は、テンプレート セット、オプション テンプレート セット、およびその他のセット用に予約されています。データセットのテンプレートIDには、256から65535までの番号が付けられています。通常、テンプレート内のこの情報要素またはフィールドは、テンプレート内の他の情報要素の特性またはプロパティを定義するために使用されます。テンプレートのエクスポートプロセスの再起動後、テンプレートIDを再割り当てできます。
テンプレートID、オプションテンプレートID、観測ドメインID、ソースIDを設定するこの機能は、MPCを持つすべてのルーターでサポートされています。
対応するデータセットとオプションデータセットのセットIDフィールドには、それぞれテンプレートIDとオプションテンプレートIDの値が含まれています。この方法を使用すると、コレクターはデータレコードとテンプレートレコードを照合できます。
バージョン 9 および IPFIX フローのソース ID、監視ドメイン ID、テンプレート ID、オプション テンプレート ID の指定については、 バージョン 9 および IPFIX フローの観測ドメイン ID とソース ID の設定 、および バージョン 9 および IPFIX フローのテンプレート ID とオプションのテンプレート ID の設定を参照してください。
IPFIXテンプレート
IPFIX IPv4 および IPv6 テンプレートに含まれるフィールドの定義については、 IPFIX およびバージョン 9 テンプレートを参照してください。
検証
IPFIXでは、以下のshowコマンドがサポートされています。
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
例:IPFIXフローテンプレートとフローサンプリングの設定
次の例は、IPFIXテンプレートの設定を示しています。
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
次の例では、IPFIXテンプレートを適用して、課金用のトラフィックのサンプリングを有効にします。
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
例:インラインアクティブフロー監視バージョン9フローテンプレートとフローサンプリングの設定
以下の例は、インライン アクティブ フロー監視バージョン 9 の IPv4 テンプレート設定を示しています。
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
以下の例は、インライン アクティブ フロー監視バージョン 9 の IPv6 テンプレート設定を示しています。
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
以下の例では、インライン アクティブ フロー監視バージョン 9 の IPv4 サンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
以下の例では、インライン アクティブ フロー監視バージョン 9 IPv6 サンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
以下の例は、インライン アクティブ フロー監視バージョン 9 サンプリング インターフェイス バインディングを示しています(インターフェイスを使用)。
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
以下の例は、ファイアウォールフィルターを使用したインラインアクティブフロー監視バージョン9サンプリングインターフェイスバインディングを示しています(フィルターを使用)。
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
例:IPFIXフローテンプレートとフローサンプリングの設定
以下の例は、IPFIX IPv4テンプレートの設定を示しています。
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
以下の例は、IPFIX IPv6 テンプレートの設定を示しています。
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
次の例は、IPFIX IPv4サンプリングトラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
次の例は、IPFIX IPv6 のサンプリング トラフィックとエクスポート設定を示しています。
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。