例:M、MX、および T Series ルーターでのサンプリングおよび廃棄アカウンティング設定

破棄アカウンティングを使用すると、トラフィックをサンプリングし、分析のためにフローサーバーに送信し、すべてのパケットを目的の宛先に転送せずに破棄できます。アカウンティングの破棄は、[edit firewall family inet filter filter-name term term-name then]階層レベルのファイアウォールフィルターのdiscard accounting group-name ステートメントで有効になります。次に、[edit interfaces interface-name unit unit-number family inet]階層レベルのfilter ステートメントでフィルターがインターフェイスに適用され、[edit forwarding-options accounting group-name]階層レベルの output ステートメントで処理されます。

図 1:アクティブフロー監視 - サンプリングおよび廃棄アカウンティングトポロジー図 Network diagram showing traffic flow through an Active Monitoring Router. TCP traffic, blue dashed lines, flows through term t2. Other traffic, orange dashed lines, flows through term default. Router 1 to the Active Monitoring Router uses IP 10.11.1.x, while the Active Monitoring Router to cflowd server uses IP 10.60.2.x.

Network diagram showing traffic flow through an Active Monitoring Router. TCP traffic, blue dashed lines, flows through term t2. Other traffic, orange dashed lines, flows through term default. Router 1 to the Active Monitoring Router uses IP 10.11.1.x, while the Active Monitoring Router to cflowd server uses IP 10.60.2.x.

図 1 では、ルーター 1 からのトラフィックが、監視ルーターのギガビットイーサネット ge-2/3/0 インターフェイスに到着します。フローサーバーにつながるエクスポートインターフェイスは fe-1/0/0 で、出口インターフェイスはありません。

この例では、TCPトラフィックは1つのアカウンティンググループに送信され、他のすべてのトラフィックは2番目のグループに迂回されます。サンプリングとカウントが行われた後、この 2 種類のトラフィックがサンプリングとアカウンティングのプロセスに対応します。これらのプロセスでフローレコードが作成され、そのレコードがバージョン 8 のフローサーバに送信されて分析されます。複数のタイプのトラフィックが同じサーバーに送信されるため、アカウンティングおよびサンプリング階層で、 engine-id、 engine-type、および source-address ステートメントを手動で設定することをお勧めします。これにより、フローサーバに到着したトラフィックタイプを区別できます。

機能の検証

設定が正しいことを確認するには、アクティブフロー監視用に設定された監視ステーションで以下のコマンドを使用します。

show services accounting aggregation(バージョン 8 フローのみ)
show services accounting errors
show services accounting (flow | flow-detail)
show services accounting memory
show services accounting packet-size-distribution
show services accounting status
show services accounting usage

次に、設定例で使用した show コマンドの出力を示します。