Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MXシリーズルーターまたはNFX250のフロー監視レコード形式でのNATイベントのログ生成の設定

NAT イベントのフロー監視形式でログまたはレコードを生成する機能を設定する場合は、以下の点に注意してください。

  • syslog機能とJflow機能を同時に有効にすると、これらのメカニズムはどちらも別のインフラストラクチャを使用してレコードをコレクターに転送するため、スケーリングに影響を与える可能性があります。

  • NAT イベントの数が多いと、フロー監視フレームワークもシステム プロセスを必要とするため、スケーラビリティ上の懸念が発生する可能性があります。

  • フロー監視ログインフラストラクチャは、データCPUを使用してログを外部フローサーバーに送信するため、パフォーマンスに若干の影響を与える可能性があります。

  • NAT エラー イベントに対して生成されるフロー監視メッセージの数に、明示的な個別の上限が実装されています。[edit interfaces interface-name services-options jflow-log] 階層レベルで message-rate-limit messages-per-second オプションを含めることで、フロー監視形式のログを記録する必要がある NAT エラーイベントの最大数を制御することができます。NAT エラー イベントのこれらのレコードは、NAT プールからの割り当て用のアドレスが使用できない場合、加入者への割り当て用のポートが使用できない場合、または NAT イベントに割り当てられたクォータを超えた場合(構成されたポート数を超えるポートが要求された場合)に生成されます。また、以前から[edit interfaces interface-name services-options syslog]階層レベルで存在していたmessage-rate-limitオプションを設定して、PICからルーティングエンジン(ローカル)または外部サーバー(リモート)に送信できる1秒あたりのシステムログメッセージの最大数を指定することもできます。

  • 「Out of Ports」、「Out of Addresses」、「Quota Exceeded」などのNATエラーイベントはレート制限されます。デフォルトのレート制限は、10,000 イベント/秒です。この設定は、PICレベルでも構成できます。

  • NAT イベント ロギングのテンプレートは、 NAT イベントをロギングするための IPFIX 情報要素(draft-ietf-behave-ipfix-nat-logging-02)として IETF に準拠しています。

  • UDPベースのロギングのみがサポートされていますが、これは信頼性の低いプロトコルです。

  • この機能は、Junos OS Extension-Providerパッケージがデバイスにインストールされて設定されたMXシリーズルーター、およびMS-MPC、MS-PIC、およびMX-SPC3でサポートされています。MXシリーズルーターを搭載したMS-DPCではサポートされていません。

  • ログの送信は、サービスPICが暗号化しない他のログメッセージと同様のクリアテキスト形式で行われます。ログのトランスポートとログ・コレクターの配置は、セキュア・レルム内にあることを前提としています。メッセージにはユーザー名やパスワードなどの機密性の高い情報が含まれていないため、メッセージによってセキュリティや信頼性のリスクが生じることはありません。

  • テンプレート ID 0 から 255 はテンプレート セット用に予約されており、フロー監視形式でイベントを記録するためにサポートされるテンプレートの最大数は 255 です。テンプレートプロファイルの設定を変更する(コレクターまたはバージョンの変更、またはテンプレートに関連付けられたサービス セットの非アクティブ化とアクティブ化)と、特定のテンプレートが登録解除され、再登録されます。ただし、フロー監視インフラストラクチャでは、テンプレート ID が解放されるまでの遅延時間として、デフォルトで 10 分が必要です。その結果、10 分間にテンプレート プロファイルの設定を何度も変更すると、テンプレート ID の上限である 255 を超え、それ以降のテンプレートは登録されません。 このような場合、テンプレートが登録されていない場合、登録解除されたテンプレートを削除するまでの待機時間が 10 分になるまで待ってから、設定変更を行い、フロー監視アプリケーションにテンプレートを登録する必要があります。テンプレートが登録されているかどうかを調べるには、 show services service-sets statistics jflow-log コマンドを使用します。[送信済み] フィールドにテンプレート レコードの 0 以外の値が表示されている場合は、テンプレートが正常に登録されていることを示します。

  • サービス セット レベルでフロー監視形式で NAT イベントを記録する機能が有効になっており、PIC が起動すると、フロー監視ログ テンプレートがフロー監視アプリケーションに登録されます。登録プロセス中に、12 個のテンプレート レコードの最初のセットがコレクターに送信されます。しかし、すべてのテンプレートレコードがルーター上のPICからコレクターに届かないか、パケット転送エンジンの観点からインターフェイスが稼働していない可能性があるため、ルーターから送信されない可能性があります。テンプレートの更新時間が終了すると、次のテンプレートレコードのセットがコレクターに送信されます。例えば、テンプレートの更新時間が60秒の場合、PICの起動時から60秒後にのみ、テンプレートレコードがコレクターに正しく送信されます。

  • PICからコレクターへのフロー監視ログメッセージの送信に問題が発生しなかった場合、[送信済み]フィールドが増加し、すべてのイベントに対してNATイベントがログに記録されていることを示します。また、コレクターのIP アドレスにある tcpdump ユーティリティは、UDP パケットの受信を示します。NAT 処理が発生し、show services service-sets statistics jflow-log service-set service-set-name コマンドの出力の Dropped セクションの値がインクリメントされるか、インクリメントされない場合は、デバッグ統計情報とカウンターを調べて、フロー監視ログ メッセージの送信に関してネットワークに問題が存在するかどうかを判断する必要があります。

関連資料