Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:M、MX、および T Series ルーターでのパッシブ フロー監視設定

図 1: パッシブ フロー監視 - トポロジー ダイアグラム Network diagram illustrating traffic flow and monitoring setup. Key components: Flow Server, Packet Monitoring Station with routers, VRF, VT, ES, Packet Analyzers, traffic flow types, and IP addresses. Traffic is mirrored, encrypted, and analyzed.

図 1 では、トラフィックはインターフェイス so-0/0/0 および so-0/1/0 を介して監視ステーションに入ります。ファイアウォール フィルターが監視対象のトラフィックを受け入れた後、パケットは VRF インスタンスに入ります。

元のパケットは、フロー処理のためにVRFインスタンス内で監視サービスPICに移動します。最終フロー パケットは、監視サービス インターフェイスから fe-3/0/0 インターフェイスからフロー サーバーに送信されます。

受け入れられたトラフィックのコピーは、トンネルPICにポートミラーリングされます。コピーされたパケットがトンネルインターフェイスに入ると、2つ目のファイアウォールフィルターがTCPパケットとUDPパケットを分離し、2つのフィルターベースの転送インスタンスに配置します。UDP インスタンスは、 fe-3/2/0 にアタッチされたパケットアナライザに UDP パケットを送信します。TCP インスタンスは暗号化のために TCP パケットを ES PIC に送信し、ES PIC は パケットを fe-3/2/1 に接続された 2 番目のパケットアナライザに送信します。

最初のステップは、監視するパケットを選択するファイアウォールフィルターを定義することです。フィルタリングされたすべてのトラフィックが受け入れられる必要があり、[edit firewall family inet filter filter-name term term-name then]階層レベルのport-mirrorステートメントは、ポートミラーリングを促進します。

次に、入力SONET/SDHインターフェイスを設定し、定義したファイアウォールフィルターを適用します。 passive-monitor-mode ステートメントは、SONET/SDH インターフェイスでの SONET キープアライブを無効にし、パッシブ フロー監視を有効にします。

監視サービスインターフェイス、エクスポートインターフェイス、トンネルインターフェイス、ESインターフェイスなど、監視アプリケーションで使用する他のすべてのインターフェイスを設定します。インターフェイスを設置したら、VRF インスタンスと監視グループを設定して、元のパケットを入力インターフェイスから監視サービス インターフェイスに転送して処理します。結果として得られるフロー記述パケットは 、fe-3/0/0 を出てフロー サーバーに到達します。

次に、監視対象トラフィックをトンネルインターフェイスにポートミラーリングするステートメントを設定します。このコピーされたトラフィックの一部をさらに分析するために選択し、一部のトラフィックを破棄するファイアウォールフィルターを設計します。この場合、TCP トラフィックと UDP トラフィックを分離し、これら 2 つのフローを別々のフィルターベースの転送ルーティング インスタンスに誘導します。UDPトラフィックからTCPトラフィックを分離できるように、必ずトンネルインターフェイスにフィルターを適用してください。また、ルーティングテーブルグループを使用して、転送インスタンスにインターフェイスルートをインポートします。

フィルターベースの転送インスタンスで、静的ルートのネクストホップを定義します。TCP インスタンスのネクスト ホップは ES インターフェイスで、UDP インスタンスのネクスト ホップは fe-3/2/0 に接続されたパケットアナライザです。最後に、TCP トラフィックのネクスト ホップが fe-3/2/1 に接続された 2 番目のパケットアナライザになるように IPSec を設定します。

機能の検証

設定が正しいことを確認するには、パッシブフロー監視用に設定された監視ステーションで次のコマンドを使用します。

  • show route 0/0

  • show passive-monitoring error

  • show passive-monitoring flow

  • show passive-monitoring memory

  • show passive-monitoring status

  • show passive-monitoring usage

show passive-monitoring error コマンドと show passive-monitoring flow コマンドの統計情報をクリアするには、clear passive-monitoring (all | interface-name) コマンドを発行します。

また、簡易ネットワーク管理プロトコル(SNMP)を使用して、パッシブフローの監視ステータスを表示することもできます。以下の管理情報ベース(MIB)テーブルがサポートされています。

  • jnxPMonErrorTableshow passive-monitoring error コマンドに対応します。

  • jnxPMonFlowTableshow passive-monitoring flow コマンドに対応します。

  • jnxPMonMemoryTableshow passive-monitoring memory コマンドに対応します。

次のセクションは、設定例で使用される show コマンドの出力を示しています。

#ルーティングインスタンスルートにのみ関係します。

手記:

すべての show passive-monitoring コマンドについて、ワイルドカード(* など)または all オプションを使用した場合に得られる出力は、 [edit forwarding-options monitoring group-name] 階層レベルでリストされている設定済みインターフェイスに基づきます。設定例からの出力には、設定されたインターフェイス mo-4/0/0mo-4/1/0 mo-4/2/0、および mo-4/3/0に関する情報のみが表示されます。

engine-idengine-typeなど、監視グループで設定できるステートメントの多くは、show passive-monitoringコマンドの出力に表示されます。
表 1: show passive-monitoring error コマンドの出力フィールド

説明

ドロップされたパケット数(メモリなし)

- メモリが原因でドロップされたパケットの数。

ドロップされたパケット(IP ではない)

ドロップされた非 IP パケットの数。

ドロップされたパケット数(IPv4 以外)

IPv4 チェックに失敗したためにドロップされたパケットの数。

ドロップされたパケット数(ヘッダーが小さすぎる)

パケット長または IP ヘッダー長が小さすぎたためにドロップされたパケット数。

メモリ割り当ての失敗

フロー レコードのメモリ割り当てエラーの数。この数字は、空きリストの補充に失敗したことを反映しています。数値が大きい場合は、監視ステーションのメモリ容量がほとんど不足していることを示します。

メモリ解放の障害

フロー レコードのメモリ解放数。

メモリ空きリストの失敗

失敗したフリーリストから受信したフローレコードの数。メモリがほとんど枯渇しているか、1秒間に作成される128Kを超える新しいフローが多すぎます。

メモリに関する警告

フローが、モニタリング サービス PIC で 100 万パケット/秒(Mpps)または モニタリング サービス II PIC で 2 Mpps を超えました。応答は 「はい」 または 「いいえ」です。

メモリ過負荷

メモリが過負荷になっています。応答は 「はい 」または 「いいえ」です。

PPS過負荷

1秒あたりのパケット数で、PICが設定されたしきい値よりも多くのトラフィックを受信しているかどうか。応答は 「はい」 または 「いいえ」です。

BPS過負荷

PICが設定されたしきい値よりも多くのトラフィックを受信しているかどうか(バイト/秒)。応答は 「はい」 または 「いいえ」です。
表 2: show passive-monitoring flow コマンドの出力フィールド

説明

フロー パケット

運用PICが受信したパケット数。

フロー バイト

動作PICが受信したバイト数。

フロー パケット 10 秒レート

PICによって処理され、10秒平均として表示される1秒あたりのパケット数。

フロー バイト 10 秒レート

PICによって処理され、10秒平均として表示される1秒あたりのバイト数。

アクティブフロー

PIC によって追跡された現在アクティブなフローの数。

合計フロー数

運用PICが受信したフローの総数。

エクスポートされたフロー

運用PICによってエクスポートされたフローの総数。

エクスポートされたフロー パケット

運用PICによってエクスポートされたフローパケットの総数。

非アクティブなフローがタイムアウトしました

非アクティブのためにエクスポートされたフローの合計数。

フロー アクティブがタイムアウトしました

アクティブなタイムアウトのためにエクスポートされた、存続時間の長いフローの合計数。
表 3: show passive-monitoring memory コマンドの出力フィールド

説明

割り当てカウント

割り当てられたフロー レコードの数。

フリーカウント

解放されたフロー レコードの数。

割り当てられる最大数

監視ステーションが起動してから割り当てられたフロー レコードの最大数。この数は、一度に割り当てられるフロー レコードのピーク数を表します。

割り当て数/秒

PICの最後の統計間隔中に割り当てられたフローレコード/秒。

フリー数/秒

PICの最後の統計間隔中に解放されたフローレコード/秒。

合計メモリ使用量

現在使用されているメモリの総量(バイト単位)。

空きメモリの合計

現在空いているメモリの総量(バイト単位)。
表 4: show passive-monitoring status コマンドの出力フィールド

説明

インターフェイスの状態

インターフェイスが監視中(正常に動作)、無効(管理上無効)、または監視なし(未設定)を示します。

グループインデックス

PIC がメンバーである監視グループを表す整数。(監視グループ数は示されません。

エクスポート間隔

フロー レコードの設定されたエクスポート間隔(秒単位)。

エクスポート形式

構成されたエクスポート形式 (v5 のみが現在サポートされています)。

議定書

PIC が監視するように設定されているプロトコル(IPv4 のみ現在サポートされています)。

エンジン型式

出力フローパケットに挿入される設定済みエンジンタイプ。

エンジンID

出力フローパケットに挿入される設定済みエンジンID。

ルート レコード カウント

記録されたルートの数。

IFL から SNMP へのインデックス カウント

SNMPインデックスにマッピングされた論理インターフェイスの数。

ASカウント

フローが通過したAS境界の数。

設定時間

タイムスタンプが適用されているかどうかを示します。

構成セット

監視設定が設定されているかどうかを示します。

ルートレコードセット

ルートが記録されているかどうかを示します。

IFL SNMP マップ セット

論理インターフェイスがSNMPインデックスにマッピングされているかどうかを示します。
表 5: show passive-monitoring usage コマンドの出力フィールド

説明

アップタイム

PICが動作している時間(ミリ秒)。

割り込み時間

前回のPICリセット以降、PICがパケットの処理に費やした累積時間。

読み込み (5 秒)

PICのCPU負荷は5秒間の平均です。この数値は、アクティブなタスクに費やされた時間を合計経過時間で割った割合です。

読み込み(1分)

PICのCPU負荷は1分間の平均です。この数値は、アクティブなタスクに費やされた時間を合計経過時間で割った割合です。