Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

ACXおよびPTXシリーズルーターでのインラインアクティブフロー監視の設定

このトピックでは、IPv4およびIPv6トラフィックに対してこの機能をサポートするACXおよびPTXシリーズルーターでインラインアクティブフロー監視を設定する方法について説明します。

概要

「Feature Explorer: JFlow」および「Feature Explorer: Traffic Sampling」を使用して、特定の機能に対するプラットフォームおよびリリースのサポートを確認します。サポートされるステートメントはプラットフォームによって異なるため、設定ステートメントの構文については flow-monitoring を参照してください。

VRFサポート: Junos OS Evolved 24.2R1以降、インラインアクティブフロー監視サンプリングパケットのIPFIXまたはバージョン9レコードのエクスポートを、以下から到達可能なコレクターにサポートしています。

  • mgmt_junos VRF インスタンスに属するインターフェイス。

  • デフォルト以外の VRF インスタンスに属する WAN ポート。

この機能は、[edit forwarding-options sampling instance name family type output flow-server IP-address] 階層レベルで routing-instance 設定ステートメントを使用して設定します。コレクターが管理インターフェイスを介して到達可能であることを確認する必要があります。VRF インスタンスのタイプごとに最大 4 つのコレクターがサポートされます。同じサンプリング設定で、両方のタイプの VRF インスタンスのコレクターを設定できます。ただし、ファミリーごとに指定できる送信元 IP アドレスは 1 つだけであるため、mgmt_junos VRF インスタンスを介して到達可能なコレクターと WAN ポートを介して到達可能なコレクターは、同じファミリー下で共存できません。inet コレクター、inet6 コレクター、または 2 つのタイプの組み合わせを指定できます。デフォルトおよび非デフォルト VRF の両方での入力および出力サンプリングは、物理、AE、および IRB インターフェイスでサポートされています。mgmt_junos VRF インスタンスを設定するには、「専用インスタンスの管理インターフェイス」を参照してください。

MPLS-over-UDPサポート: PTXシリーズルーターでMPLS-over-UDPトラフィックのインラインフロー監視を設定するには、 PTXシリーズルーターでのMPLS-over-UDPフローのインラインアクティブフロー監視を参照してください。MPLS-over-UDP トラフィックのインライン アクティブ フロー監視は、PTX10001-36MR、PTX10003、PTX10004、および PTX10008(JNP10008-SF3 搭載)ルーターではサポートされていません。

コレクター:Junos OS リリース 18.2R1 以降、インライン アクティブ フロー監視用にファミリーで最大 4 つのコレクターを設定できます。以前のリリースの Junos OS では、インライン アクティブ フロー監視用に 1 つのファミリーで 1 つのコレクターしか設定できました。Junos OS Evolved 20.3R1以降、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。インラインアクティブフロー監視用にファミリー下のコレクターを設定するには、edit forwarding-options sampling-instance instance-name family (inet | inet6) output階層レベルでflow-serverステートメントを設定します。最大4つのコレクターを指定するには、最大4つのflow-serverステートメントを含めます。

ラインカードCPU: インライン アクティブ フロー監視は、すべての機能がハードウェアではなくソフトウェアに基づいている Junos OS Evolvedを実行するACXシリーズルーターを除き、ラインカードCPU(LCPU)に実装されます。サポートされている他のすべてのプラットフォームでは、フローの作成、フローの更新、フローレコードのエクスポートなどのすべての機能が LCPU によって実行されます。フロー レコードは、IPFIX 形式またはバージョン 9 形式で送信されます。

フロー:Junos OS Evolvedリリース21.2R1およびJunos OS リリース21.3R1以降、フローは維持されません。サンプリングされたすべてのパケットはフローと見なされます。サンプリングされたパケットを受信すると、フローが作成され、すぐに非アクティブとしてタイムアウトし、ソフトウェアはレコードをコレクターにエクスポートします。したがって、コレクターに送信されるレコードの数は以前よりも多くなります。IPFIX およびバージョン 9 のオプションテンプレートデータレコードの Flow Active Timeout (要素 ID 36) フィールドと Flow Inactive Timeout (要素 ID 37) フィールドに 0 が含まれるようになりました。したがって、オプションテンプレートデータレコードはIPFIX RFC 7011に準拠していません。show services accounting flow inline-jflow fpc-slot slot運用モードコマンドで、すべての Active Flows フィールドと Timed Out フィールドに 0 が表示されるようになりました。さまざまな Total Flows フィールドの値が、それぞれの Flow Packets フィールド値と等しくなりました。これで、さまざまな Flows Inactive Timed Out フィールドの値が、それぞれの Flow Packets フィールド値と等しくなりました。このフローなし動作に対する[edit services flow-monitoring version version template template-name]階層レベルの nexthop-learning ステートメントの影響は、オペレーティング システムによって異なります。Junos OS Evolvedでは、nexthop-learningステートメントを設定すると処理可能なパケット数が減少するため、設定することはお勧めしません。Junos OSについては、nexthop-learning ステートメントを設定して、このデフォルトのフローなし動作を変更し、再度フローを作成および維持してから、以前の動作を必要とする FPC に関連付けられているすべてのサンプリング インスタンスにテンプレートをアタッチできます。

制限と制約事項

Junos OSおよびJunos OS Evolvedのインラインアクティブフロー監視機能には、以下の制限と制約事項が適用されます。

  • エグレスMPLSフィルターは、PTX10001-36MR、PTX10003、PTX10004、およびPTX10008(JNP10008-SF3搭載)ルーターではサポートされていません。

  • PTX10001-36MRルーターは、ルーティングエンジンが1つしかないため、複数のFPCサンプリング収集をサポートしていません。

  • 真のOIF(発信インターフェイス)レポートは、エグレスサンプリングではサポートされていません。Junos OS Evolvedでは、GREカプセル化解除パケットの真のOIF(発信インターフェイス)レポートはサポートされていません。

  • この要素はバージョン 9 のエクスポート バージョンには存在しないため、実際の受信インターフェイスのインターフェイス タイプ フィールドはバージョン 9 のテンプレートに含まれていません。

  • PTX10003 ルーターの GRE トンネル トラフィックの場合、物理インターフェイスはレイヤー 2 ヘッダーで報告され、フロー作成時にキーの 1 つと見なされます。そのため、物理インターフェイスを集合型イーサネットバンドル内または集合型イーサネットバンドルから移動すると、新しいフローが作成され、非アクティブな状態が一定時間続くと古いフローがタイムアウトします。物理インターフェイス、論理インターフェイス、または集約された論理インターフェイス(設定に基づく)は、設定に基づくエクスポートレコードの受信インターフェイスとして報告されます。

    PTX10008(JNP10008-SF3 を使用する)ルータ上の GRE トンネル トラフィックの場合、FTI インターフェイスは GRE トンネルを終端するように設定されます。このインターフェイスは、フロー作成時に物理インターフェイスではなく、キーの 1 つとして使用されます。そのため、物理インターフェイスを集合型イーサネットバンドル内または集合型イーサネットバンドルから移動しても、鍵は変更されないため、新しいフローは作成されません。物理インターフェイス、論理インターフェイス、または集約された論理インターフェイス(設定に基づく)が、エクスポートされたレコードの受信インターフェイスとして報告されます。

  • ACXシリーズ ルーターはMPLSテンプレートをサポートしていません。

  • ACXルーターの場合、論理インターフェイスで直接サンプリングを設定することはできません。代わりに、インターフェイスにファイアウォールフィルターを設定してサンプリングを有効にする必要があります。

ACXまたはPTXシリーズルーターでインラインアクティブフロー監視を設定する方法

この例では、IPv4 および IPv6 トラフィック フローを記録するための version-ipfix テンプレートを設定します。

出力プロパティを指定するテンプレートの構成

  1. テンプレートを定義し、テンプレートが記録するフローのタイプを設定します。(ACXシリーズルーターはMPLSテンプレートをサポートしていません)。

  2. (オプション、これらの機能をサポートするPTXシリーズルーターのみ)フロー レコードを制御するために、フローのタイムアウト間隔やテンプレート/オプションの更新レートなど、テンプレートの追加出力プロパティを設定します。

    template-refresh-rateオプションを使用すると、フロージェネレータがテンプレート定義に関する更新をパケット数または秒数でフローコレクタに送信する頻度を設定することができます。

  3. (オプション、これらの機能をサポートするPTXシリーズルーターのみ)

    MPLS フローを監視する場合、つまり、使用中のテンプレートが MPLS プロトコル ファミリー用に設定されている場合、 tunnel-observation オプションを使用して MPLS フローのタイプを識別します。

  4. (オプション)ネクストホップアドレスの学習を有効にして、真の発信インターフェイスが報告されるようにします。

    手記:

    Junos OS Evolved 21.2R1以降では、ネクストホップアドレスの学習を有効にすることは、処理可能なパケット数を減らすため、お勧めしません。しかし、Junos OS リリース 21.3R1以降、 nexthop-learning ステートメントを設定して、デフォルトのフローなし動作を変更し、再度フローを作成および維持してから、以前の動作を必要とするFPCに関連付けられたすべてのサンプリングインスタンスにテンプレートをアタッチできます。

入力プロパティを指定するサンプリング インスタンスの構成

  1. サンプリングインスタンスを定義し、サンプリングするパケット数の比率を設定します。たとえば、レートを 10 に指定すると、10 番目のパケットごと(10 パケット中 1 パケット)がサンプリングされます。

    ベスト プラクティス:

    MPLS フローには 1000 以上の値を使用することを推奨します。

  2. サンプリングインスタンスのプロトコルファミリーを設定し、トラフィック集約を送信するフローコレクターを指定します。(ACXシリーズルーターは、 family inet または family inet6 設定のみをサポートします。)

  3. (オプション)サンプリング インスタンスで使用するフロー コレクターとテンプレートの UDP ポートを指定します。(ACXシリーズルーターはMPLSテンプレートをサポートしていません)。

  4. サンプリングされたパケットのインライン処理を設定します。

    (ACXシリーズルーターは、 family inet または family inet6 設定のみをサポートします。)

サンプリング インスタンスを FPC に割り当てる

  1. フロー監視を実装するFPCにサンプリングインスタンスを割り当てます。

フローを受け入れ、サンプルするようにファイアウォールフィルターを設定する

  1. プロトコルファミリーのファイアウォールフィルターを設定し、トラフィックフローのサンプリングを有効にします。(ACXシリーズ ルーターは、インライン アクティブ フロー監視機能の family inet または family inet6 設定のみをサポートします)。

ファイアウォールフィルターをインターフェイスに割り当てる

  1. 監視したいインターフェイスに入力ファイアウォールフィルターを割り当てます。(ACXシリーズ ルーターは、インライン アクティブ フロー監視機能の family inet または family inet6 設定のみをサポートします)。

サンプル設定の結果

以下は、 family inet および family inet6でのインラインアクティブフロー監視をサポートするインスタンスのPTXシリーズルーターでのサンプリング設定例です。

show services accounting flow コマンドを使用して、アクティブなフロー統計を確認できます。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
24.2R1-EVO
IPFIX またはバージョン 9 のインライン アクティブ フロー モニタリング サンプリング パケットのレコードを、mgmt_junos VRF インスタンスに属するインターフェイスおよびデフォルト以外の VRF インスタンスに属する WAN ポートを介して到達可能なコレクターにエクスポートできます。
21.3R1
フローは維持されません。サンプリングされたすべてのパケットはフローと見なされます。サンプリングされたパケットを受信すると、フローが作成され、すぐに非アクティブとしてタイムアウトし、ソフトウェアはレコードをコレクターにエクスポートします。したがって、コレクターに送信されるレコードの数は以前よりも多くなります。
21.2R1-EVO
フローは維持されません。サンプリングされたすべてのパケットはフローと見なされます。サンプリングされたパケットを受信すると、フローが作成され、すぐに非アクティブとしてタイムアウトし、ソフトウェアはレコードをコレクターにエクスポートします。したがって、コレクターに送信されるレコードの数は以前よりも多くなります。
20.3R1-EVO
最大 4 つのコレクターをインライン アクティブ フロー監視用に設定できます。
18.2R1
インライン アクティブ フロー監視用に、ファミリーで最大 4 つのコレクターを設定できます。以前のリリースの Junos OS では、インライン アクティブ フロー監視用に 1 つのファミリーで 1 つのコレクターしか設定できました。