MX シリーズ ルーターまたは NFX250 のフロー監視形式での NAT イベント ロギングについて

フロー レコードとテンプレートは、UDP または IP パケットにカプセル化され、コレクターに送信されます。ただし、NAT イベントの監視レコードの TCP ベースのロギングはサポートされていません。キャリアグレード NAT(CGN)デバイスは、イベントの作成と削除、および管理するリソースに関する情報をログに記録する必要があります。フロー監視ログは、システム ロギング(syslog)機能に加えて、ネットワーク トポロジーでオプションで設定できます。この機能により、PIC からルーティング エンジン(ローカル)の /var/log ディレクトリまたは外部サーバー(リモート)にログを保存できます。一般的に、フロー コレクターは、さまざまな相関や他のデータベースのログとのマッピングを実行する、複数のサードパーティー製デバイスを含む広大なネットワーク インフラストラクチャの一部です。したがって、NAT 関連のフロー監視レコードをログまたはテンプレート レコードとして収集することは、全体的かつ包括的な観点からコレクターとして機能するホストまたはデバイスで役立ちます。サービスセットレベルでNATイベントのフロー監視レコードのロギングを有効にして、ルーターでNATが設定されている場合、バージョン9またはIPFIXフローレコードをログとして生成することができます。

NetFlow コレクターは、1 つ以上のエクスポータからバージョン 9 または IPFIX 形式のフロー レコードを受信します。フローレコードの詳細を解析して保存することで、受信したエクスポートパケットを処理します。フロー レコードは、ハード ディスクに保存される前に、オプションで集約できます。NetFlow コレクターは、コレクターとも呼ばれます。エクスポータは、監視ポイントに入るパケットを監視し、これらのパケットからフローを作成します。これらのフローからの情報は、フローレコードの形式で NetFlow Collector にエクスポートされます。監視ポイントは、IPパケットを監視および監視できるネットワーク内の場所です。例えば、ルーターなどのネットワークデバイス上のインターフェイスのセットなどです。すべての監視ポイントは、監視ポイントのクラスターであるオブザベーション ドメインに関連付けされ、NetFlow サービスが有効になっているネットワーク デバイスにおける最大の集約可能なフロー情報セットを構成します。

FlowSetは、類似のパターンまたは形式を持つフローレコードのコレクションの一般的な用語です。エクスポート パケットでは、1 つ以上の FlowSets がパケット ヘッダーに従います。テンプレートフローセットは、エクスポートパケット内でグループ化された1つ以上のテンプレートレコードで構成されます。オプション テンプレート FlowSet には、エクスポート パケットで結合される 1 つ以上のオプション テンプレート レコードが含まれています。Data FlowSet は、エクスポート パケット内でグループ化された同じタイプの 1 つ以上のレコードです。各レコードは、フロー データ レコードまたは事前にテンプレート レコードまたはオプション テンプレート レコードによって指定されたオプション データ レコードのいずれかです。NetFlow フォーマットの重要な要素の 1 つがテンプレート フロー セットです。テンプレートはフロー レコード形式の柔軟性を大幅に高めます。これは、フロー 記録のすべてのデータの解釈を必ずしも知らずに、コレクターがフロー レコードを処理できるためです。

NAT イベント用に生成されたレコードまたはログ メッセージをバージョン 9 および IPFIX トラフィック フロー形式で外部のオフボックス高速 NetFlow コレクターに送信する機能を設定することで、ログを簡単かつ効果的に監視および診断できます。デフォルトでは、この機能は無効になっています。NAT イベントの数が多い場合、外部ログ コレクターにログをエクスポートするこのメカニズムにより、少数のフロー レコードの損失などのスケーリング上の考慮事項が発生する可能性があります。NAT イベントのフロー監視形式でロギング メッセージを記録するメカニズムを有効にするには、 階層レベルに ステートメントを[edit services]含jflow-logめることができます。フロー監視のフォーマットされたログが送信される外部ホストであるコレクター、またはコレクターのグループを設定できます。コレクターのグループは、一連のコレクター デバイスを組み合わせて、クラスターまたはグループ内のすべてのコレクターに対して NAT イベントを記録するための共通設定を定義するシナリオで便利です。

レコードの送信元の送信元 IP アドレスやコレクターの宛先アドレスなど、コレクターとそのパラメーターを構成するには、 階層レベルで ステートメントとそのサブステート メントを[edit services jflow-log]含collector collector-nameめます。コレクター グループまたはクラスターを指定するには、 階層レベルで ステートメントとそのサブステート メントを[edit services jflow-log]含collector-group collector-group-nameめます。

テンプレート プロファイルを構成し、コレクターに関連付ける必要があります。プロファイルは、フロー監視のバージョン(バージョン 9 または IPFIX)、リフレッシュ レート(パケットまたは秒)、フロー レコードをコレクターに送信する必要があるサービスまたはアプリケーションのタイプ(この場合は NAT)など、フロー監視レコード テンプレートの特性を定義します。テンプレート プロファイルを指定するには、 階層レベルで template-profile template-profile-name ステートメントを [edit services jflow-log] 含めます。NAT エラー イベントに対して 1 秒あたりに収集するメッセージの最大数を指定するには、 階層レベルに message-rate-limit messages-per-second ステートメントを [edit interfaces ms-interface-name service-options jflow-log] 含めます。

バージョン9とIPFIXを使用することで、IPv4トラフィック、IPv6トラフィック、MPLSトラフィック、IPv4とMPLSトラフィックの組み合わせ、またはピアAS課金トラフィックに適したフローレコードテンプレートを定義できます。テンプレートとテンプレートに含まれるフィールドは定期的にコレクターに送信され、コレクターはルーターの設定を認識する必要はありません。NATサービスのテンプレートプロファイルプロパティを定義し、定義されたテンプレートプロファイルをサービスセットに関連付けて、NATイベントのフロー監視ログ機能を有効にする必要があります。NAT イベントのフロー監視ログを記録するためのテンプレート プロファイル特性を定義するには、 階層レベルに ステートメントを[edit services jflow-log]含template-profile template-profile-nameめます。NATイベントのフロー監視ログを記録するためのテンプレートプロファイルを、システム内のすべてのサービスに適用されるサービスセットレベルに関連付けるには、 階層レベルに ステートメントを[edit services service-set service-set-name]含template-profile template-profile-nameめます。

システムで設定されたインターフェイスとサービスセットのフロー監視形式で生成されたログの統計情報を表示するには、 コマンドを show services service-sets statistics jflow-log 使用します。

さまざまなNATイベントに対する以下のシステムログメッセージは、システムロギング(syslog)機能を使用してログに記録されます。

• JSERVICES_SESSION_OPEN

• JSERVICES_SESSION_CLOSE

• JSERVICES_NAT_OUTOF_ADDRESSES

• JSERVICES_NAT_OUTOF_PORTS

• JSERVICES_NAT_RULE_MATCH

• JSERVICES_NAT_POOL_RELEASE

• JSERVICES_NAT_PORT_BLOCK_ALLOC

• JSERVICES_NAT_PORT_BLOCK_RELEASE

• JSERVICES_NAT_PORT_BLOCK_ACTIVE

以下のNATイベントは、バージョン9とIPFIXフローテンプレートを使用したフロー監視ログ機能を使用して記録されます。

• NAT44セッション作成

• NAT44 セッションの削除

• NAT アドレス枯渇

• NAT64セッション作成

• NAT64 セッションの削除

• NAT44 BIB 作成

• NAT44 BIB 削除

• NAT64 BIB 作成

• NAT64 BIB 削除

• NAT ポート枯渇

• NATクォータを超過しました

• NAT アドレス バインディングの作成

• NAT アドレス バインディングの削除

• NAT ポート ブロックの割り当て

• NAT ポート ブロック リリース

• NAT ポート ブロックアクティブ

表 1 は、NAT44 セッションの作成と削除イベントのフロー テンプレート形式を示しています。情報エレメント(IE)名とそのIANA IDは、インターネット割り当て番号付け機関(IANA)によるIPフロー情報エクスポート(IPFIX)エンティティ仕様で定義されています。

表 1:NAT44 セッションの作成と削除のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv4アドレス	32	8
ポストNATSourceIPv4アドレス	32	225
プロトコル識別機能	8	4
ソーストランスポート	16	7
postNAPTsourceトランスポート	16	227
宛先IPv4アドレス	32	12
ポストNATDestinationIPv4アドレス	32	226
宛先トランスポート	16	11
postNAPTestinationトランスポート	16	228
Natオリジミングアドレスリアルム	8	229
natEvent	8	230
フローDurationMilli秒	32	161
イニシエーターパッケージ	64	298
レスポンダーパッケージ	64	299
フロー方向	8	61

表 2 は、NAT64 セッションの作成と削除イベントのフロー テンプレート形式を示しています。

表 2:NAT64 セッションの作成と削除のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv6アドレス	128	27
postNATSourceIPv6アドレス	32	225
プロトコル識別機能	8	4
ソーストランスポート	16	7
postNAPTsourceトランスポート	16	227
宛先IPv6アドレス	128	28
ポストNATDestinationIPv6アドレス	32	226
宛先トランスポート	16	11
postNAPTestinationトランスポート	16	228
Natオリジミングアドレスリアルム	8	229
natEvent	8	230
フローDurationMilli秒	32	161
イニシエーターパッケージ	64	298
レスポンダーパッケージ	64	299
フロー方向	8	61

表 3 は、NAT44 のビディング情報ベース(BIB)の作成および削除イベントのフロー テンプレート形式を示しています。

表 3:NAT44 BIB の作成と削除のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv4アドレス	32	8
ポストNATSourceIPv4アドレス	32	225
プロトコル識別機能	8	4
ソーストランスポート	16	7
postNAPTsourceトランスポート	16	227
natEvent	8	230

表 4 は、NAT64 のBIB(バインディング情報ベース)の作成および削除イベントのフロー テンプレート形式を示しています。

表 4:NAT64 BIB の作成と削除のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv6アドレス	128	27
postNATSourceIPv6アドレス	32	225
プロトコル識別機能	8	4
ソーストランスポート	16	7
postNAPTsourceトランスポート	16	227
natEvent	8	230

表 5 は、アドレス枯渇イベントのフロー テンプレート形式を示しています。

表 5:アドレス枯渇イベントのフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
natPoolName	512	284

表 6 は、ポート枯渇イベントのフロー テンプレート形式を示しています。

表 6:ポート枯渇イベントのフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
ポストNATSourceIPv4アドレス	32	225
プロトコル識別機能	8	4

表 7 は、NAT44 クォータ超過イベントのフロー テンプレート形式を示しています。

表7:NAT44クォータ超過イベントのフローテンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
送信元IPv4アドレス	32	8

表 8 は、NAT64 クォータ超過イベントのフロー テンプレート形式を示しています。

表 8:NAT64 クォータ超過イベントのフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
送信元IPv6アドレス	128	27

表 9 は、NAT44 アドレス バインディングの作成および削除イベントのフロー テンプレート形式を示しています。

表 9:NAT44 アドレス バインディングの作成および削除イベントのフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
送信元IPv4アドレス	32	8
ポストNATSourceIPv4アドレス	32	225

表 10 に、NAT64 アドレス バインディングの作成および削除イベントのフロー テンプレート形式を示します。

表 10:NAT64 アドレス バインディングの作成および削除イベントのフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
natEvent	8	230
送信元IPv6アドレス	128	27
ポストNATSourceIPv4アドレス	32	225

表 11 は、NAT44 ポート ブロック割り当てと deallocation イベントのフロー テンプレート形式を示しています。

表 11:NAT44 ポート ブロック割り当ておよび Deallocation Events のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv4アドレス	32	8
ポストNATSourceIPv4アドレス	32	225
ポートレンジスタート	16	361
ポート範囲の設定	16	362
ポートRangeStepSize	16	363
ポートRangeNumPorts	16	364
監視時間ミリ秒(PBAが割り当てられた時間) メモ： この IE は、MX-SPC3 サービス カードを使用する場合のフロー テンプレートには含まれていません。	64	323
natEvent	8	230

表 12 は、NAT64 ポート ブロック割り当てと deallocation イベントのフロー テンプレート形式を示しています。

表 12:NAT64 ポート ブロック割り当ておよび Deallocation Events のフロー テンプレート形式

情報要素(IE)	サイズ(ビット)	IANA ID
監視時間ミリ秒	64	323
送信元IPv6アドレス	128	27
ポストNATSourceIPv4アドレス	32	225
ポートレンジスタート	16	361
ポート範囲の設定	16	362
ポートRangeStepSize	16	363
ポートRangeNumPorts	16	364
observationTimeMilli秒単位(PBA(ポートブロック割り当て)が設定されている時間) メモ： この IE は、MX-SPC3 サービス カードを使用する場合のフロー テンプレートには含まれていません。	64	323
natEvent	8	230

前述のすべてのテンプレートでは、natEvent フィールドはイベントの種類に応じて 表 13 に示された値の 1 つにマッピングされます。

表 13:natEvent 値と名前の関連付け

natEvent Value	natEvent 名
1	NAT44セッション作成
2	NAT44 セッションの削除
3	NAT アドレス枯渇
4	NAT64 セッション作成
5	NAT64 セッションの削除
6	NAT44 BIB 作成
7	NAT44 BIB 削除
8	NAT64 BIB 作成
9	NAT64 BIB 削除
10	NAT ポート枯渇
11	NAT クォータを超過しました
12	NAT アドレス バインディングの作成
13	NAT アドレス バインディングの削除
14	NAT ポート ブロックの割り当て
15	NAT ポート ブロック リリース
16	NAT ポート ブロックアクティブ