Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーター、スイッチ、NFX250を使用したインラインアクティブフロー監視の設定

インライン アクティブ フロー監視は、パケット転送エンジンに実装されています。パケット転送エンジンは、フローの作成と更新、フローレコードの更新などの機能を実行します。フローレコードは、業界標準の IPFIX またはバージョン 9 形式で送信されます。

MS-PICまたはMS-DPCを搭載したルーターでは、IPv4およびIPv6フラグメントは正確に処理されます。フロー監視アプリケーションは、フラグメント化されたフローごとに 2 つのフローを作成します。完全なレイヤー 4 情報を持つ最初のフラグメントは、5 タプル データを持つ最初のフローを形成し、その後、このフローに関連するすべてのフラグメント パケットは、レイヤー 4 フィールドがゼロに設定された別のフローを形成します。

インライン アクティブ フロー監視機能には、以下の制限と制約事項が適用されます。

  • 同じインターフェイスで sFlow とインライン アクティブ フロー監視の両方を設定すると、予期しない動作が発生します。そのため、これらの機能は別々のインターフェイスで設定してください。

  • 同じインターフェイス上でエグレスポートミラーリングとインラインアクティブフロー監視の両方を設定すると、予期しない動作が発生します。そのため、これらの機能は別々のインターフェイスで設定してください。

  • イングレスとエグレスのサンプリングは、同じホストパス キューに送信されます。キュー内のパケットレートは、イングレスとエグレスのサンプリングパケット間で共有されます。

  • 転送クラス設定が無効です。エクスポート レコード パケットは常に制御フレームと見なされ、ネットワーク制御キューにプッシュされます。

  • 複数のインラインアクティブフロー監視ファイアウォールフィルターがフローに一致する場合、最初のフィルターのアクションのみが実行されます。

  • イングレスサンプリングでは、宛先ポートが集合型イーサネットインターフェイス上にある場合、出力インターフェイスは無効になります。

インライン アクティブ フロー監視インスタンスの設定には、次の考慮事項が適用されます。

  • サンプリングランレングスとクリップサイズはサポートされていません。

  • インライン構成の場合、 fxp0などの管理インターフェイスを介してコレクターに到達できません。

  • インライン アクティブ フロー監視は cflowd をサポートしていません。そのため、インラインフロー監視は、cflowdでのみ使用可能なローカルダンプオプションをサポートしていません。

  • インライン アクティブ フロー監視は、MXシリーズ ルーターで次世代サービスを有効にしている場合、サポートされません。

  • サポートされるコレクターの数は、デバイスによって異なります。

    • Junos OS リリース 16.2 および Junos OS リリース 16.1R3 以前では、インライン アクティブ フロー監視用にファミリーで 1 つのコレクターのみを設定できます。Junos OS リリース 16.1R4 および 17.2R1 以降、インライン アクティブ フロー監視用にファミリーで最大 4 つのコレクターを設定できます。Junos OS Evolved 20.3R1以降、PTX10003およびPTX10008(JNP10K-LC1201ラインカードとJNP10008-SF3を使用)ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。Junos OS Evolved 20.4R1以降、PTX10001-36MRおよびPTX10008(JNP10K-LC1202ラインカードとJNP10008-SF3を使用)ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。Junos OS Evolved 21.1R1以降、PTX10004ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。パケット転送エンジン(PFE)は、フロー レコード、フロー レコード テンプレート、オプション データ、オプション データ テンプレート パケットを、設定されたすべてのコレクターにエクスポートできます。インラインアクティブフロー監視用にファミリー下のコレクターを設定するには、[edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output]階層レベルでflow-serverステートメントを設定します。最大4つのコレクターを指定するには、最大4つのflow-serverステートメントを含めます。

    • 他のすべてのデバイスのインライン構成では、各ファミリーがサポートできるコレクターは 1 つだけです。

インライン アクティブ フロー監視は、4 つの階層レベルのステートメントを使用して設定されます。

  • [edit chassis] —このレベルでは、サンプリングインスタンスをメディアインターフェイスが存在するFPCに関連付けます(MX80およびMX104を除く。 MX80およびMX104ルーター上のインラインアクティブフロー監視の設定を参照してください)。IPv4フロー、IPv6フロー、VPLSフロー(Junos OSのみ)のサンプリングを設定する場合、以下で説明するように、各ファミリーのフローハッシュテーブルサイズを設定することができます。

  • [edit firewall]—このレベルでは、サンプリングするトラフィックファミリーのファイアウォールフィルターを設定します。このフィルターは、トラフィックをサンプリングするインターフェイスにアタッチする必要があります。

  • [edit forwarding-options]- このレベルでは、サンプリングインスタンスを設定し、テンプレートをサンプリングインスタンスに関連付けます。このレベルでは、フロー サーバーの IP アドレスとポート番号、およびフローのエクスポート レートも設定します。

  • [edit services flow-monitoring] —このレベルでは、インライン フロー監視用のテンプレート プロパティを設定します。

インライン アクティブ フロー監視を設定する前に、IPv4、IPv6、MPLS、VPLS フロー サンプリング用に適切なサイズのハッシュ テーブルがあることを確認する必要があります。(VPLSフローサンプリングはJunos OSのみ)。これらのテーブルでは、1 つから 15 の 256K 領域を使用できます。Junos OS リリース 16.1R1 および 15.1F2 以降、IPv4 テーブルにはデフォルト値の 1024 が割り当てられています。Junos OS リリース 16.1 および 15.1F2 より前のバージョンでは、IPv4 テーブルにはデフォルト値の 15 256K エリアが割り当てられています。IPv6 テーブルにはデフォルト値の 1024 が割り当てられ、VPLS テーブルにはデフォルト値の 1024 が割り当てられます。予想されるトラフィック量でより大きなテーブルが必要な場合は、より大きなテーブルを割り当てます。

フロー ハッシュ テーブルを割り当てるには、次のようにします。

  1. 監視対象フローを処理するFPC上のインラインサービスの[edit chassis fpc 0 inline-services flow-table-size]階層レベルに移動します。
  2. サンプリング ハッシュ テーブルに必要なサイズを指定します。
    手記:

    Junos OS リリース 18.2R1以降、 bridge-flow-table-size オプションが利用可能になり、 vpls-flow-table-size オプションは非推奨になりました。代わりに bridge-flow-table-size オプションを使用してください。 bridge-flow-table-size オプションは、VPLS とブリッジ レコードの両方をサポートします。
    手記:

    Junos OS リリース 17.3R1 以降、サポートされるフローテーブルの最大サイズはラインカードのタイプによって異なります。ラインカードタイプによるサイズの違いについては、 flow-table-size を参照してください。

    また、Junos OS リリース 16.1R1 および 15.1F2 以降、フロー ハッシュ テーブルのサイズを変更しても、FPC は自動的に再起動 されません (以前のリリースでは、フロー ハッシュ テーブルのサイズを変更すると、FPC が再起動するようにトリガーされます)。

タイプ5 FPCを搭載したMXシリーズルーター(MX80およびMX104ルーターを除く)、EXシリーズスイッチ、T4000ルーターでインラインアクティブフロー監視を設定するには:

  1. インライン アクティブ フロー監視を有効にし、トラフィックの送信元アドレスを指定します。

  2. サンプリング インスタンスで使用するテンプレートを指定します。

  3. テンプレートを構成して出力プロパティを指定します。

  4. (オプション)アクティブなフローがエクスポートされる間隔を設定します。

  5. (オプション)フローを非アクティブとしてマークするアクティビティの間隔を設定します。

  6. (オプション)テンプレートのリフレッシュレートをパケット数または秒数で設定します。

  7. (オプション)リフレッシュレートをパケット数または秒数で設定します。

  8. テンプレートを使用するレコードの種類を指定します。

    vpls-template オプションは、IPFIX テンプレート専用です。

    Junos OS リリース 18.2R1以降、 bridge-template オプションが利用可能になり、 vpls-template オプションは非推奨になりました。代わりに bridge-template オプションを使用してください。 bridge-template オプション(Junos OS のみ)は、VPLS とブリッジ レコードの両方をサポートし、IPFIX と version9 の両方のテンプレートに対応しています。

    Junos OS リリース 18.4R1以降、インラインフロー監視では mpls-ipv4-template オプションは非推奨です。Junos OS リリース 18.4R1以降でMPLSレコードを設定するには、オプション mpls-templatetunnel-observation オプションを使用します。これについては、ステップ 9 で説明します。

  9. MXシリーズの Junos OS リリース 18.4R1 以降、任意のタイプの MPLS フロー レコードを設定する場合は、以下を実行します。

    1. MPLSテンプレートを指定します。

    2. 作成するMPLSフローレコードのタイプを設定します。

      tunnel-observation値により、以下のタイプのフローレコードを作成できます。

      • ipv4—MPLS-IPv4 フロー

      • ipv6—MPLS-IPv6 フロー

      tunnel-observationには複数の値を設定できます。

      tunnel-observation値のいずれにも一致しない MPLS トラフィック タイプの場合、プレーンな MPLS フロー レコードが作成されます。例えば、ipv4のみを設定した場合、MPLS-IPv6 トラフィックはプレーンな MPLS フロー レコードになります。

      tunnel-observationを設定しない場合、プレーンな MPLS フロー レコードが作成されます。

    3. ルックアップ(LU)カードでインラインフロー監視を実行している場合、サイドバンドモードを有効にしてMPLS-IPv6フローレコードを作成します。

      LU カードでインライン フロー監視を実行していて、サイドバンド モードを有効にしていない場合、MPLS-IPv6 トラフィックはプレーンな MPLS フロー レコードになります。

  10. (オプション)フロー方向の値をテンプレートに含めます。

    報告されたデータ フィールドには、0x00 (イングレス) または 0x01 (エグレス) が含まれています。 flow-key flow-direction ステートメントを含めなかった場合、流れ方向データ フィールドには無効な値が0xFFされます。

  11. (オプション)フローキーに、イングレス方向とエグレス方向の両方の VLAN ID を含めます。

    このステートメントは、インターフェイスのイングレスおよびエグレスVLAN IDレポートには必要ありません。

  12. サンプリング インスタンスを、インライン アクティブ フロー監視を実装する FPC に関連付けます。

    MX240、MX480、MX960、MX2010、MX2020の場合は、次のコマンドを使用します。

    1. 次の show コマンドを実行して、設定を確認します。

    MX5、MX10、MX40、MX80の場合は、次のコマンドを使用します。

    1. 次の show コマンドを実行して、設定を確認します。

    MX104の場合は、次のコマンドを使用します。

    1. 次の show コマンドを実行して、設定を確認します。

次の例は、 family inetでのインラインアクティブフロー監視をサポートするインスタンスのサンプリング設定を示しています。

以下は、出力形式の構成です。

以下の例は、シャーシ fpc0の出力フォーマット設定を示しています。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
23.4R1-EVO
ACX7024X、ACX7332、ACX7348ルーターのJunos OS Evolved 23.4R1以降、IPFIXとバージョン9の両方のエクスポート形式において、集約されたイーサネットおよびIRBインターフェイスでのIPv4およびIPv6トラフィックのイングレスおよびエグレスサンプリングがサポートされています。インライン アクティブ フロー監視用に最大 4 つの IPv4 コレクターを設定できます。デフォルト以外の VRF にマッピングされたトラフィックをサンプリングすることはできますが、デフォルト以外の VRF または管理 VRF を介して、それらのサンプリングされたパケットの IPFIX または V9 レコードをエクスポートすることはできません。
23.1R1-EVO
Junos OS Evolved リリース 23.1R1 以降、PTX10001-36MR、PTX10003、PTX10004 ルーター、PTX10008 および PTX10016 ルーター(JNP10K-LC1201 または JNP10K-LC1202 ライン カードと JNP10008-SF3)ルーターでは、IPFIX およびバージョン 9 コレクタの IPv6 アドレスがサポートされています。サンプリング インスタンス内のファミリーごとに IPv4 または IPv6 コレクターを設定できます。同じファミリに両方を指定することはできません。ファミリーごとに最大 4 つのコレクターを指定できます。 [edit forwarding-options sampling instance name family (inet | inet6 | mpls) output]階層レベルで、 flow-server address ステートメントで宛先サーバー アドレスを指定し、 inline-jflow source-address address ステートメントで送信元アドレスを指定します。
23.1R1-EVO
ACX7100およびACX7509ルーターのJunos OS Evolved 23.1R1以降、IPFIXとバージョン9の両方のエクスポートフォーマットで、集約されたイーサネットおよびIRBインターフェイスでのIPv4およびIPv6トラフィックのイングレスおよびエグレスサンプリングがサポートされています。インライン アクティブ フロー監視用に最大 4 つの IPv4 コレクターを設定できます。デフォルト以外の VRF にマッピングされたトラフィックをサンプリングすることはできますが、デフォルト以外の VRF または管理 VRF を介して、それらのサンプリングされたパケットの IPFIX または V9 レコードをエクスポートすることはできません。
21.4R1-EVO
PTXシリーズ向けJunos OS Evolvedリリース21.4R1以降、RFC 8549および6313に従って、IP Flow Information Export(IPFIX)情報要素483から491、16、17を使用してBGPコミュニティおよびASパス情報をエクスポートできます。コンテンツ プロバイダはこの情報を使用して、サービスの品質を低下させているトランジット サービス プロバイダを特定できます。これらの要素は、 [edit services flow-monitoring version-ipfix template template-name]階層レベルで ステートメント data-record-fieldsで設定します。
21.1R1-EVO
Junos OS Evolved 21.1R1以降、PTX10004ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。
20.4R1-EVO
Junos OS Evolved 20.4R1以降、PTX10001-36MRおよびPTX10008(JNP10K-LC1202ラインカードとJNP10008-SF3を使用)ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。
20.3R1-EVO
Junos OS Evolved 20.3R1以降、PTX10003およびPTX10008(JNP10K-LC1201ラインカードとJNP10008-SF3を使用)ルーターでは、インラインアクティブフロー監視用に最大4つのコレクターを設定できます。
19.3R2
インライン アクティブ フロー監視は、MXシリーズ ルーターで次世代サービスを有効にしている場合、サポートされません。
18.4R1
Junos OS リリース 18.4R1以降、インラインフロー監視では mpls-ipv4-template オプションは非推奨になりました。Junos OS リリース 18.4R1以降でMPLSレコードを設定するには、オプション mpls-templatetunnel-observation オプションを使用します。
18.2R1
QFX10002-60CスイッチのJunos OS リリース 20.3R1以降、IPv4およびIPv6トラフィックのインラインアクティブフロー監視を設定できます。IPFIX テンプレートとバージョン 9 テンプレートの両方がサポートされています。
18.2R1
Junos OS リリース 18.2R1以降、 bridge-flow-table-size オプションが利用可能になり、 vpls-flow-table-size オプションは非推奨になりました。代わりに bridge-flow-table-size オプションを使用してください。
18.2R1
Junos OS リリース 18.2R1以降、 bridge-template オプションが利用可能になり、 vpls-template オプションは非推奨になりました。代わりに bridge-template オプションを使用してください。
17.2R1
QFX10002 スイッチの Junos OS リリース 17.2R1 以降、IPFIX テンプレートを使用したインライン アクティブ フロー監視のサポートが追加されました。
16.1R4
Junos OS リリース 16.2 および Junos OS リリース 16.1R3 以前では、インライン アクティブ フロー監視用にファミリーで 1 つのコレクターのみを設定できます。Junos OS リリース 16.1R4 および 17.2R1 以降、インライン アクティブ フロー監視用にファミリーで最大 4 つのコレクターを設定できます。
16.1R1
また、Junos OS リリース 16.1R1 および 15.1F2 以降、フロー ハッシュ テーブルのサイズを変更しても、FPC は自動的に再起動 されません
16.1R1
Junos OS リリース 16.1R1 および 15.1F2 以降、IPv4 テーブルにはデフォルト値の 1024 が割り当てられています。