Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:M、MX、T シリーズ ルーターのパッシブ フロー監視設定

図 1:パッシブ フロー監視 —トポロジー図 Passive Flow Monitoring—Topology Diagram

図 1 では、トラフィックはインターフェイス so-0/0/0 および so-0/1/0 を介して監視ステーションに入ります。ファイアウォールフィルターが監視対象のトラフィックを受け入れた後、パケットはVRFインスタンスに入ります。

元のパケットは、VRFインスタンス内をフロー処理のために監視サービスPICに移動します。最後のフロー パケットは、監視サービス インターフェイスから fe-3/0/0 インターフェイスからフロー サーバーに送信されます。

受け入れられたトラフィックのコピーは、トンネルPICにポートミラーリングされます。コピーされたパケットがトンネル インターフェイスに入ると、2 つ目のファイアウォール フィルターによって TCP パケットと UDP パケットが分離され、2 つのフィルターベースの転送インスタンスに配置されます。UDP インスタンスは、 fe-3/2/0 に接続されたパケット アナライザに UDP パケットを誘導します。TCP インスタンスは暗号化のために TCP パケットを ES PIC に送信し、ES PIC は fe-3/2/1 に接続された 2 番目のパケット アナライザにパケットを送信します。

最初のステップは、監視対象のパケットを選択するファイアウォールフィルターを定義することです。フィルタリングされたすべてのトラフィックを受け入れる必要があり、 階層レベルの port-mirror [edit firewall family inet filter filter-name term term-name then] ステートメントはポートミラーリングを促進します。

次に、入力SONET/SDHインターフェイスを設定し、今定義したファイアウォールフィルターを適用します。ステートメントは passive-monitor-mode 、SONET/SDHインターフェイスでSONETキープアライブを無効にし、パッシブフロー監視を有効にします。

監視サービスインターフェイス、エクスポートインターフェイス、トンネルインターフェイス、ESインターフェイスなど、監視アプリケーションで使用する他のすべてのインターフェイスを設定します。インターフェイスが設定されたら、VRFインスタンスと監視グループを設定して、入力インターフェイスから監視サービスインターフェイスに元のパケットを処理するように誘導します。結果として得られるフロー記述パケットは fe-3/0/0 を出てフロー サーバに到達します。

次に、監視対象のトラフィックをトンネルインターフェイスにポートミラーリングするステートメントを設定します。このコピーしたトラフィックの一部を選択して、さらに分析し、一部のトラフィックを破棄するファイアウォールフィルターを設計します。この場合、TCPおよびUDPトラフィックを分離し、これら2つのフローを別々のフィルターベースの転送ルーティングインスタンスに誘導します。TCPトラフィックとUDPトラフィックを分離できるように、トンネルインターフェイスにフィルターを適用することを忘れないでください。また、ルーティングテーブルグループを使用して、インターフェイスルートを転送インスタンスにインポートします。

フィルターベースの転送インスタンスで、静的ルートのネクストホップを定義します。TCP インスタンスのネクスト ホップは ES インターフェイスであり、UDP インスタンスのネクスト ホップは fe-3/2/0 に接続されたパケット アナライザです。最後に、TCPトラフィックのネクストホップが fe-3/2/1に接続された2番目のパケットアナライザになるようにIPSecを設定します。

作業の検証

設定が正しいことを確認するには、パッシブフロー監視用に設定されている監視ステーションで次のコマンドを使用します。

  • show route 0/0

  • show passive-monitoring error

  • show passive-monitoring flow

  • show passive-monitoring memory

  • show passive-monitoring status

  • show passive-monitoring usage

および show passive-monitoring flow コマンドの統計をshow passive-monitoring errorクリアするには、 コマンドをclear passive-monitoring (all | interface-name)発行します。

簡易ネットワーク管理プロトコル(SNMP)を使用して、パッシブ フロー監視ステータスを表示することもできます。以下のMIB(管理情報ベース)テーブルがサポートされています。

  • jnxPMonErrorTable — コマンドに show passive-monitoring error 対応します。

  • jnxPMonFlowTable — コマンドに show passive-monitoring flow 対応します。

  • jnxPMonMemoryTable — コマンドに show passive-monitoring memory 対応します。

以下のセクションでは、設定例で使用される show コマンドの出力を示します。

#私たちはルーティングインスタンスルートのみに関係しています。

メモ:

すべてのshow passive-monitoringコマンドで、ワイルドカード(*など)または all オプションを使用する場合に取得される出力は、 階層レベルにリストされている設定されたインターフェイスに[edit forwarding-options monitoring group-name]基づいています。設定例からの出力では、設定されたインターフェイス 、 、mo-4/1/0 mo-4/2/0および mo-4/3/0の情報のみを表示しますmo-4/0/0

および などのengine-idengine-type監視グループで設定できるステートメントの多くは、 コマンドの出力にshow passive-monitoring表示されます。
表 1: show passive-monitoring error コマンドの出力フィールド

フィールド

説明

ドロップされたパケット(メモリなし)

- メモリが原因でドロップされたパケット数。

ドロップされたパケット(IP ではない)

- ドロップされた非 IP パケットの数。

ドロップされたパケット(IPv4 ではない)

- IPv4 チェックに失敗したためにドロップされたパケット数。

ドロップされたパケット(ヘッダーが小さすぎる)

- パケット長または IP ヘッダー長が小さすぎたためにドロップされたパケットの数。

メモリ割り当てエラー

フロー 記録メモリ割り当て失敗の数。小さな数字は、フリーリストを補充するための障害を反映しています。数字が大きいと、監視ステーションのメモリ領域がほぼ不足していることを示します。

メモリフリーの障害

フロー レコード メモリの空き数。

メモリフリーリストの障害

失敗したフリー リストから受信したフロー レコードの数。メモリがほぼ使い果たされるか、128K を超える新しいフローが 1 秒間に作成される。

メモリに関する警告

フローは、監視サービス PIC では 100 万パケット/秒(Mpps)、監視サービス II PIC では 2 Mpps を超えています。応答は 「はい」 または 「いいえ」です

メモリ過負荷

メモリが過負荷状態になっています。応答は 「はい」 または 「いいえ」です

PPS 過負荷

1 秒あたりのパケット数で、PIC が設定したしきい値よりも多くのトラフィックを受信しているかどうか。応答は 「はい」 または 「いいえ」です

BPS 過負荷

PIC が設定したしきい値よりも多くのトラフィックを受信しているかどうか(1 秒あたりのバイト)。応答は 「はい」 または 「いいえ」です
表 2: show passive-monitoring flow コマンドの出力フィールド

フィールド

説明

パケットのフロー

- 運用 PIC で受信したパケットの数。

フロー バイト

- 運用 PIC で受信したバイト数。

フロー パケット 10 秒レート

- PIC で処理され、10 秒の平均として表示される 1 秒あたりのパケット数。

フロー バイト 10 秒レート

- PIC で処理された 1 秒あたりのバイト数で、10 秒の平均として表示されます。

アクティブなフロー

- PIC によって追跡されている現在アクティブなフローの数。

フローの合計

- 運用 PIC が受信したフローの総数。

エクスポートされたフロー

運用 PIC によってエクスポートされたフローの総数。

エクスポートされたパケットのフロー

運用 PIC によってエクスポートされたフロー パケットの総数。

非アクティブなフローがタイムアウト

非アクティブのためエクスポートされるフローの総数。

フローアクティブタイムアウト

アクティブなタイムアウトが原因でエクスポートされる、存続期間の長いフローの総数。
表 3: show passive-monitoring memory コマンドの出力フィールド

フィールド

説明

割り当て数

割り当てられたフロー レコードの数。

無料カウント

解放されたフロー レコードの数。

最大割り当て

監視ステーションの起動後に割り当てられたフロー レコードの最大数。この数は、一度に割り当てられたフロー レコードのピーク数を表します。

1 秒あたりの割り当て

PIC の最後の統計情報間隔中に 1 秒あたりに割り当てられたフロー レコード。

フリー/秒

PIC の最後の統計情報間隔中に 1 秒あたりに解放されたフロー レコード。

使用されたメモリの合計

現在使用されているメモリの合計量(バイト)。

総メモリフリー

現在空いているメモリの合計量(バイト)。
表 4: show passive-monitoring status コマンドの出力フィールド

フィールド

説明

インターフェイスの状態

インターフェイスが監視(正常に動作している)、無効(管理上無効)、監視していない(設定されていない)かを示します。

グループ インデックス

PIC がメンバーである監視グループを表す整数。(これは監視グループの数を示すものではありません。

エクスポート間隔

フローレコードのエクスポート間隔を秒単位で設定します。

エクスポート形式

設定されたエクスポート形式(現在サポートされているのはv5のみです)。

プロトコル

PIC が監視するように設定されているプロトコル(現在、IPv4 のみがサポートされています)。

エンジン タイプ

出力フロー パケットに挿入された設定済みエンジン タイプ。

エンジンID

出力フロー パケットに挿入された設定済みエンジン ID。

ルートレコード数

記録されたルートの数。

IFL から SNMP インデックスカウント

SNMP インデックスにマッピングされた論理インターフェイスの数。

ASカウント

フローが通過した AS 境界の数。

時間セット

タイム スタンプが設定されているかどうかを示します。

構成セット

監視構成が設定されているかどうかを示します。

ルート レコード セット

ルートが記録されているかどうかを示します。

IFL SNMP マップ セット

論理インターフェイスがSNMPインデックスにマッピングされているかどうかを示します。
表 5: show passive-monitoring usage コマンドの出力フィールド

フィールド

説明

アップタイム

PICが動作している時間(ミリ秒単位)。

割り込み時間

PIC が前回の PIC リセット以降のパケット処理に費やした累積時間。

負荷(5 秒)

PIC の CPU 負荷の平均は 5 秒以上です。この数値は、アクティブ・タスクに費やされた時間を合計経過時間で割った割合です。

負荷(1分)

PIC の CPU 負荷の平均は 1 分以上です。この数値は、アクティブ・タスクに費やされた時間を合計経過時間で割った割合です。