例:トラブルシューティングのための MXシリーズルーターでのNATイベントのフロー監視形式でのログの設定
MS-MPC、MS-MIC、および MX-SPC3 を搭載した MXシリーズルーターを設定し、Junos Traffic Vision(旧称 Jflow)バージョン 9 または IPFIX(バージョン 10)テンプレート形式を使用して、ネットワーク アドレス変換(NAT)イベントを記録できます。NAT44 と NAT64 のセッションの作成と削除、NAT44 と NAT64 のバインディング情報ベース イベントなどの NAT イベントのフロー監視レコードを生成するこの方法により、NAT トラフィックの一貫した合理化された分析と NAT 関連の問題のトラブルシューティングが可能になります。
この機能は、Junos OS Extension-Providerパッケージがデバイスにインストールされて設定されたMXシリーズルーター、およびMS-MPC、MS-PIC、およびMX-SPC3でサポートされています。MXシリーズルーターを搭載したMS-DPCではサポートされていません。
この例では、MS-MIC、MS-MPC、および MX-SPC3 のサービス セット レベルで NAT イベントのフロー監視形式でフロー監視ログ生成を設定する方法について説明し、以下のセクションで構成されています。
この設定例は、インターフェイススタイルのサービス セット用です。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MS-MPC、MS-MIC、または MX-SPC3 を搭載した MXシリーズルーター 1 台
Junos OS リリース 14.2R2以降(MXシリーズルーターの場合)
MS-MPC、MS-MIC、および MX-SPC3 での NAT 動作用のフロー テンプレートを使用したログ メッセージの生成
NAT イベントのフロー監視形式でロギングメッセージを記録するメカニズムを設定できます。テンプレートプロファイルは、MS-MPC、MS-MIC、または MX-SPC3 を搭載した MXシリーズルーター上の特定のNATサービス、またはすべてのNATサービスに適用されるサービスセットに対して作成できます。特定のフロー テンプレート形式でフロー監視ログを生成するテンプレートプロファイルを定義し、そのテンプレートプロファイルをサービス セットにアタッチする必要があります。サービス PIC またはエクスポーターから NAT イベントのログ メッセージを受信するホストであるコレクターまたはコレクターのグループを設定する必要があります。テンプレートプロファイルをコレクターに関連付ける必要があります。プロファイルは、フロー監視のバージョン(バージョン 9 または IPFIX)、リフレッシュ レート(パケットまたは秒)、フロー レコードをコレクターに送信する必要があるサービスまたはアプリケーションのタイプ(この場合は NAT)など、フロー監視レコード テンプレートの特性を定義します。
c1 と c2 の 2 つのコレクターが定義されているサンプル導入を想定します。これらのコレクターは、2 つのグループにクラスター化されます。コレクタ グループ cg1 には c1 と c2 が含まれ、コレクタ グループ cg2 には c2 が含まれます。t1 および t2 という名前の 2 つのテンプレート プロファイルが定義されています。プロファイル t1 と t2 は、それぞれコレクター c1 と c2 に関連付けられています。
これらのプロファイルには、使用するフロー テンプレートの形式、ログの更新頻度、指定されたコレクターにログを送信する必要があるサービスやイベント(NAT など)など、ログ送信のプロパティまたは属性が記述されています。
構成
NAT イベントのフロー監視ログ機能を有効にし、コレクターへのログの送信を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー&ペーストしてください。
サービス セット プロパティの設定
set services service-set sset_0 interface-service service-interface ms-5/0/0.0
インターフェイスでのフロー監視ログサービスの適用
set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
サービス セットのフロー監視ログの有効化と設定
set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 set services jflow-log collector-group cg1 collector [ c1 c2 ] set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t1 collector-group cg1
テンプレートプロファイルとサービスセットの関連付け
set services service-set sset_0 jflow-log template-profile t1
プロシージャ
手順
NAT イベントのフロー監視テンプレート ログの生成と送信を設定するには、次の手順に従います。
サービス・セット・プロパティを作成します。
[edit] user@host# set services service-set sset_0 interface-service service-interface ms-5/0/0.0
インターフェイスに適用するフロー監視ログサービスを定義します。
[edit] user@host# set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
コレクターとコレクター グループを設定します。
[edit] user@host# set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 user@host# set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 user@host# set services jflow-log collector-group cg1 collector [ c1 c2 ] user@host# set services jflow-log collector-group cg2 collector c2
テンプレートプロファイルを設定し、テンプレートプロファイルをコレクターに関連付けます。
[edit] user@host# set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 user@host# set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20
テンプレートプロファイルをサービスセットに関連付けます。
[edit] user @ host# set services service-set sset_0 jflow-log template-profile t1
業績
設定モードから、 show services、 show services jflow-log、および show services service-set sset_0 jflow-log コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show services
service-set sset_0 {
interface-service {
service-interface ms-5/0/0;
}
}
[edit interfaces]
ms-5/0/0 {
services-options {
jflow-log {
message-rate-limit 50000;
}
}
}
user@host# show services jflow-log
collector c1 {
destination-address 192.0.2.3;
destination-port 1;
source-ip 198.51.100.1;
}
collector c2 {
destination-address 203.0.113.5;
destination-port 3;
source-ip 198.51.100.2;
}
collector-group cg1 {
collector [ c2 c1 ];
}
collector-group cg2 {
collector c2;
}
template-profile t2 {
collector c2;
template-type nat;
referesh-rate packets 20 seconds 20;
version v9;
}
template-profile t1 {
collector c1;
template-type nat;
referesh-rate packets 20 seconds 20;
version ipfix;
}
[edit]
user@host# show services service-set sset_0 jflow-log
template-profile t2;
検証
設定が正常に機能していることを確認するには、次の手順に従います。
フロー監視ログが生成され、コレクターに送信されていることを確認する
目的
IPFIX やバージョン 9 などの定義済みテンプレート形式のフロー監視ログ メッセージが生成され、さまざまな NAT 動作用に設定されたコレクターに送信されることを確認します。
アクション
動作モードから、 show services service-sets statistics jflow-log コマンドを使用します。
user@host> show services service-sets statistics jflow-log
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
動作モードから、 show services service-sets statistics jflow-log detail コマンドを使用します。
user@host> show services service-sets statistics jflow-log detail
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
NAT44 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 4
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Address Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Port Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
意味
この出力は、指定されたサービス セットとインターフェイスに関連付けられたフロー監視形式のログ メッセージが、異なる NAT イベントに対して生成されることを示しています。