Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MXシリーズルーターまたはNFX250でのフロー監視レコード形式でのNATイベントのログ生成の設定

NAT イベントのフロー監視形式でログまたはレコードを生成する機能を設定する場合、以下の点に留意してください。

  • syslog と Jflow の機能を同時に有効にすると、どちらのメカニズムも個別のインフラストラクチャを使用してレコードをコレクターに転送するため、スケーリングに影響を及ぼす可能性があります。

  • 多数の NAT イベントが発生すると、フロー監視フレームワークでシステム プロセスが必要になるため、拡張性に関する考慮事項が発生する可能性があります。

  • フロー監視ログ インフラストラクチャは、データ CPU を使用して外部フロー サーバーにログを送信するため、パフォーマンスに若干の影響を与える可能性があります。

  • NAT エラー イベントに対して生成されるフロー監視メッセージの数に関する、明示的で別個の最大制限が実装されます。フロー監視形式のログを記録する必要がある NAT エラー イベントの最大数を制御するには、 階層レベルで オプションをmessage-rate-limit messages-per-second[edit interfaces interface-name services-options jflow-log]含めます。NATエラーイベントのこれらのレコードは、NATプールからの割り当て用アドレスが利用できない場合、加入者への割り当て用ポートが利用できない場合、またはNATイベントに割り当てられたクォータを超えた場合(設定されたポート数を超えて要求された場合)に生成されます。また、 階層レベルに以前存在していた [edit interfaces interface-name services-options syslog] オプションを設定message-rate-limitして、PIC からルーティング エンジン(ローカル)または外部サーバー(リモート)に送信できる 1 秒あたりのシステム ログ メッセージの最大数を指定できます。

  • 「Out of Ports」、「Out of Addresses」、「Quota Exceeded」などのNATエラーイベントはレート制限されています。デフォルトレート制限は、1秒あたり10,000イベントです。この設定はPICレベルでも設定可能です。

  • NAT イベント ロギングのテンプレートは、NAT イベントをロギングするための IPFIX 情報要素として IETF に準拠しています。 draft-ietf-behave-ipfix-nat-logging-02

  • UDP ベースのロギングのみがサポートされており、これは信頼性の低いプロトコルです。

  • この機能は、Junos OS拡張プロバイダーパッケージがデバイスにインストールおよび設定されているMXシリーズルーター、およびMS-MPC、MS-PIC、MX-SPC3でサポートされています。MX シリーズ ルーターを搭載した MS-DPC ではサポートされていません。

  • サービスPICが暗号化しない他のログメッセージと同様に、ログの送信はクリアテキスト形式で行われます。ログのトランスポートとログ・コレクターのポジショニングは、保護されたレルム内にあると想定されます。メッセージにはユーザー名やパスワードなどの機密性の高い詳細が含まれていないため、セキュリティや信頼性のリスクは発生しません。

  • テンプレート ID 0~255 はテンプレート セット用に予約されており、フロー監視形式でイベントのログ記録にサポートされるテンプレートの最大数は 255 です。テンプレートプロファイル設定を変更する(コレクターまたはバージョンに変更する、またはテンプレートに関連付けられたサービスセットの無効化とアクティベーション)場合、特定のテンプレートは登録解除され、再登録されます。ただし、フロー監視インフラストラクチャでは、テンプレート ID を解放するための遅延時間として、デフォルトで 10 分が必要です。その結果、10 分内にテンプレート プロファイルの設定を何度も変更した場合、テンプレート ID の上限 255 を超えると、それ以上のテンプレートは登録されません。 この場合、テンプレートを登録していない場合、登録解除されたテンプレートの削除の遅延時間が 10 分になるまで待ってから、設定変更を実行して、テンプレートをフロー監視アプリケーションに登録する必要があります。テンプレートが登録されているかどうかを調べるには、 コマンドを show services service-sets statistics jflow-log 使用できます。[送信済み] フィールドにテンプレート レコードのゼロ以外の値が表示される場合は、テンプレートの登録に成功したことを示します。

  • フロー監視形式で NAT イベントをログする機能がサービス セット レベルで有効になっているシナリオでは、PIC が起動すると、フロー監視ログ テンプレートがフロー監視アプリケーションに登録されます。登録プロセス中に、12 個のテンプレート レコードの最初のセットがコレクターに送信されます。ただし、パケット転送エンジンの観点からインターフェイスがアップしていない可能性があるため、すべてのテンプレートレコードがルーター上のPICからコレクターに到達できない場合や、ルーターから送信されない可能性があります。テンプレートの更新時間が終了すると、次のテンプレート レコードのセットがコレクターに送信されます。例えば、テンプレートの更新時間が 60 秒で、PIC の起動時間から 60 秒後にのみ、テンプレート レコードがコレクターに正しく送信されます。

  • PICからコレクターにフロー監視ログメッセージを送信する際に問題が発生しない場合、送信されたフィールドは増分され、すべてのイベントに対してNATイベントがログに記録されることを示します。また、コレクターの宛先IPアドレスにあるtcpdumpユーティリティは、UDPパケットの受信を示しています。NAT 処理が発生し、コマンドの出力のセクション内のshow services service-sets statistics jflow-log service-set service-set-nameDroppedが増加しているか、増加していない場合は、デバッグ統計とカウンターを調べて、フロー監視ログ メッセージの送信に関する問題がネットワークに存在するかどうかを判断する必要があります。

関連ドキュメント