Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

フローベースのテレメトリ(EX4100、EX4100-F、EX4400シリーズ)

フローベーステレメトリ(FBT)は、フローレベルごとの分析を可能にします。インライン監視サービスを使用してフローを作成、収集し、オープンスタンダードのIPFIXテンプレートを使用してコレクターにエクスポートしてフローを整理します。

FBTの概要

EX4100、EX4100-F、EX4400シリーズスイッチにフローベーステレメトリ(FBT)を設定できます。FBTは、インライン監視サービスを使用してフローを作成し、収集し、コレクターにエクスポートすることで、フローレベルの分析を可能にします。インライン監視サービスを使用すると、インターフェイスのingress方向とegress方向の両方で、すべてのIPv4およびIPv6パケットを監視できます。フローとは、インターフェイス上に同じ送信元IP、宛先IP、送信元ポート、宛先ポート、およびプロトコルを持つパケットのシーケンスです。ソフトウェアはフローごとにさまざまなパラメータを収集し、オープンスタンダードのIPFIXテンプレートを使用して、設定されたクリップ長までの実際のパケットをコレクターにエクスポートし、フローを整理します。フローにアクティブなトラフィックがなくなると、設定された非アクティブタイムアウト期間を過ぎて、フローはエージングアウトされます( flow-inactive-timeout ステートメントを[edit services inline-monitoring template template-name]階層レベルで設定します)。ソフトウェアは、設定されたフローエクスポートタイマー間隔で定期的にIPFIXパケットをエクスポートします。観測ドメイン識別子は、IPFIXパケットで、どのラインカードがコレクターにパケットを送信したかを識別するために使用されます。設定が完了すると、ソフトウェアはここで設定したシステム値に基づいて各ラインカードの一意の識別子を導き出します。

FBTのメリット

FBTにより、以下のことが可能になります。

  • パケット、TTL、TCPウィンドウ範囲をカウント
  • サービス拒否(DoS)攻撃の追跡とカウント
  • メンバーID上のECMPグループ/リンクアグリゲーショングループ(LAG)の負荷分散を分析します(EX4100およびEX4100-Fのみ)
  • トラフィック輻輳の追跡(EX4100およびEX4100-Fのみ)
  • マルチメディアフローに関する情報を収集する(EX4100およびEX4100-Fのみ)
  • パケットがドロップされる理由に関する情報を収集する(EX4100およびEX4100-Fのみ)

FBTフローエクスポートの概要

情報要素の ID、名前、サイズを示すサンプル・テンプレートの図 1 を参照してください。

図1:FBT情報要素テンプレートConsole output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.のサンプル

図2は、FBT用のサンプルIPFIXデータテンプレートの形式を示しています。

図2:FBT IPFIXデータテンプレートNetwork packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.のサンプル

図3は、FBT用にエクスポートされたIPFIXフローのサンプルの形式を示しています。

図3:FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.用にエクスポートされたIPFIXフローのサンプル
表1:要素マッピング
要素エンタープライズ 要素ID の説明

TIMESTAMP_FLOWSTART_VAL

1

TCPフロー収集が開始されたタイムスタンプを示します。

TIMESTAMP_FLOWEND_VAL

2

TCPフロー収集が終了したタイムスタンプを示します。

TIMESTAMP_NEW_LEARN_VAL

3

フローテーブルで新しいフローが学習されたタイムスタンプ。

PKT_RANGE_CNTR1_VAL

4

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR2_VAL

5

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR3_VAL

6

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR4_VAL

7

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR5_VAL

8

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR6_VAL

9

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR7_VAL

10

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR8_VAL

11

異なるサイズカテゴリのパケット数を提供します。ユーザーはテンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムはパケットをそれに応じてさまざまなサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

MIN_PKT_LENGTH_VAL

12

定義されたサイズを超えるサイズを持つパケットの数を提供します。設定可能なサイズ範囲は64〜9000バイトです。

MAX_PKT_LENGTH_VAL

13

定義されたサイズを下回るサイズを持つパケットの数を提供します。設定可能なサイズ範囲は64〜9000バイトです。

TCP_WINDOW_RANGE_CNTR_VAL

15

指定されたTCPウィンドウ範囲内のパケットをカウントします。

DOS_ATTACK_ID_VAL

16

DDOS攻撃ベクトルを報告します。

TTL_RANGE1_CNTR_VAL

17

特定のTTL値範囲内のパケット数を提供します。

TTL_RANGE2_CNTR_VAL

18

特定のTTL値範囲内のパケット数を提供します。

DOS_ATTACK_PKT_CNTR_VAL

19

DDOS攻撃パケット数。

CUSTOM_PKT_RANGE_START_VAL

20

設定されたサイズ範囲内のパケット数を提供します。[edit services inline-monitoring]階層レベルでcounter-profileステートメントを設定することで、64〜9000バイトのサイズ範囲を定義することができます。例:set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500

CUSTOM_TTL_RANGE_START_VAL

30

設定されたTTL範囲内のパケット数を提供します。[edit services inline-monitoring]階層レベルでcounter-profileステートメントを設定することで、TTLの範囲を0〜255の範囲で定義できます。例:set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15

CUSTOM_TCP_WINDOW_RANGE_START_VAL

40

設定されたTCPウィンドウ範囲内のパケット数を提供します。[edit services inline-monitoring]階層レベルでcounter-profileステートメントを設定することで、TCPウィンドウの範囲を0から65535の範囲で定義できます。例:set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000

INTER_ARRIVAL_TIME

50

ingressでの連続する2つのパケット間の時間差(フローごと)。

INTER_DEPARTURE_TIME

51

エグレスでの連続する2つのパケット間の時間差(フローごと)。

CHIP_DELAY

52

パケットがASICを通過するのにかかる時間。

SHARED_POOL_CONGESTION

53

共有プール混雑レベル

QUEUE_CONGESTION_LEVEL

54

キュー輻輳レベル

INGRESS_DROP_REASON

55

パケットがイングレス時にドロップされる理由。

INGRESS_DROP_REASON_PKT_CNTR_VAL

56

ingressでドロップされたパケット数。

EGRESS_DROP_REASON

57

パケットがエグレス時にドロップされる理由。

EGRESS_DROP_REASON_PKT_CNTR_VAL

58

エグレスでドロップされたパケット数。

AGGREGATE_INTF_MEMBER_ID

59

リンクアグリゲーショングループ(LAG)または等価コストマルチパス(ECMP)グループのメンバーのID

AGGREGATE_INTF_GROUP_ID

60

リンクアグリゲーショングループ(LAG)のID

MMU_QUEUE_ID

61

パケットが属するキューIDを示します。

UNKNOWN_ID_VAL

254

お客様には適用されません。ジュニパー内部。

RESERVED_ID_VAL

255

お客様には適用されません。ジュニパー内部。

新しいインライン監視サービス設定を作成したり、既存の設定を変更したりすると、ソフトウェアは、次のスケジュールされた送信時間まで待つのではなく、データテンプレートの定期的なフローエクスポートを各コレクターに直ちに送信します。

制限と注意事項

  • IRB インターフェイスがサポートされています。Junos OSリリース25.2R1以降、L2ファイアウォールフィルターがサポートされるようになりました。
  • 8 つのインライン監視インスタンスと、インスタンスあたり 8 つのコレクターのみがサポートされます。
  • フロー レコードの長さは 128 バイトに制限されています。
  • コレクターには、管理インターフェイスだけでなく、ループバック インターフェイスまたはネットワーク インターフェイスのいずれかを介して到達可能である必要があります。

  • コレクターは、データと同じルーティングインスタンス内でのみ設定できます。異なるルーティングインスタンス内でコレクターを設定することはできません。

  • オプションテンプレート識別子や転送クラスを設定することはできません。
  • IPFIXオプションデータレコードとIPFIXオプションデータテンプレートはサポートされていません。
  • 機能プロファイルは、EX4400スイッチではサポートされていません。
  • 機能プロファイルの設定に変更を加えた場合は、デバイスを再起動する必要があります。
  • (EX4100およびEX4100-Fのみ)インライン監視インスタンスの機能プロファイルで輻輳または出口機能のいずれかを設定した場合、そのインスタンスのテンプレートのカウンタープロファイルを設定することはできません。
  • (EX4100およびEX4100-Fのみ)輻輳と出口の機能は大量のデータを収集するため、インライン監視インスタンスごとに設定できる機能は4つまたは5つだけです。
  • (EX4100およびEX4100-Fのみ)マルチキャストフロー追跡では、1つのイングレスコピーで複数のエグレスコピーを生成できます。すべてのコピーで同じエントリーが更新される場合があります。したがって、同じマルチキャストフローのすべてのコピーの集計結果を追跡できます。

ライセンス

FBTを有効にするには、恒久的なライセンスを取得する必要があります。FBTのライセンスがあるかどうかを確認するには、動作モードで show system license コマンドを発行します。

EX4100およびEX4100-Fスイッチには、ライセンスS-EX4100-FBT-Pが必要です。EX4400スイッチには、S-EX-FBT-Pライセンスが必要です。

ドロップベクトル(EX4100およびEX4100-Fのみ)

FBTは100を超えるドロップ理由を報告できます。ドロップベクトルは非常に大きなベクトルであり、大きすぎてフローレコードに合理的に収容できません。したがって、ソフトウェアはドロップベクトルをグループ化して圧縮し、16ビットの圧縮されたドロップベクトルにし、そのドロップベクトルをフローテーブルに渡します。16ビット圧縮ドロップベクトルは、特定のドロップベクトルグループに対応します。 表2 および 表3 は、特定の16ビット圧縮ドロップベクトルを形成するために、ドロップベクトルがどのようにグループ化されるかを示しています。

表2:イングレスドロップベクトルグループ(EX4100およびEX4100-Fのみ)
グループID ドロップ理由
1

MMUドロップ
2

TCAM、PVLAN
3

DoS攻撃またはLAGループバックの失敗
4

VLAN ID、TPIDが無効、またはポートがVLAN内にない
5

スパニングツリープロトコル(STP)転送、ブリッジプロトコルデータユニット(BPDU)、プロトコル、CML

6

送信元ルート、L2送信元破棄、L2宛先破棄、L3無効などです。
7

L3 TTL、L3ヘッダー、L2ヘッダー、L3ソースルックアップミス、L3宛先ルックアップミス
8

ECMP解決、ストーム制御、イングレスマルチキャスト、イングレスネクストホップエラー
表3:egressドロップベクトルグループ(EX4100およびEX4100-Fのみ)
グループID ドロップ理由
1

MMUユニキャストトラフィック
2

MMU WRED(Weighted Random Early Detection)ユニキャストトラフィック
3

MMU RQE
4

MMU マルチキャスト トラフィック
5

エグレスTTL、stgblock
6

Egressフィールドプロセッサのドロップ
7

IPMCドロップ
8

エグレスサービス品質(QoS)制御の低下

FBTの設定(EX4100、EX4100-F、EX4400シリーズ)

FBTは、インライン監視サービスを使用してフローを作成し、収集し、コレクターにエクスポートすることで、フローレベルの分析を可能にします。フローとは、インターフェイス上に同じ送信元IP、宛先IP、送信元ポート、宛先ポート、およびプロトコルを持つパケットのシーケンスです。各フローについて、さまざまなパラメーターが収集され、オープンスタンダードのIPFIXテンプレートを使用してコレクターに送信され、フローを整理します。フローにアクティブなトラフィックがなくなると、設定された非アクティブタイムアウト期間を過ぎて、フローはエージングアウトされます( flow-inactive-timeout ステートメントを[edit services inline-monitoring template template-name]階層レベルで設定します)。ソフトウェアは、設定されたフローエクスポートタイマー間隔で定期的にIPFIXパケットをエクスポートします。観測ドメイン識別子は、IPFIXパケットで、どのラインカードがコレクターにパケットを送信したかを識別するために使用されます。設定が完了すると、ソフトウェアはここで設定したシステム値に基づいて各ラインカードの一意の識別子を導き出します。

フローベースのテレメトリを設定するには:

  1. IPFIXテンプレートを定義します。

    テンプレートの属性を設定するには:

    この例では、非アクティブフローのタイムアウト期間を 10 秒、観測ドメイン ID を 25、テンプレートのリフレッシュ レートを 30 秒に設定し、テンプレート識別子を設定しています

  2. インスタンスにテンプレートを添付し、コレクターについて説明します。

    インスタンスとコレクターを設定するには:

    この例では、 template_1という名前のテンプレートを作成し、インライン監視インスタンス i1を作成し、コレクター c2の設定を作成します。

  3. ファイアウォールフィルターを作成し、アクションinline-monitoring-instanceを設定します。

    ファイアウォールフィルターを設定するには:

    この例では、 ipv4_ingressという名前のIPv4ファイアウォールフィルターを設定し、用語名 rule1 にアクション inline-monitoring-instanceを含み、インライン監視インスタンス i1 をこれにマッピングします。

  4. ファイアウォールフィルターを、すでに設定済みのインターフェイスの論理ユニットの下にあるファミリにマッピングして、イングレス方向にインライン監視を適用します。

    ファイアウォールフィルターをマッピングするには:

    この例では、 ipv4_ingress ファイアウォールフィルターを物理インターフェイスet-0/0/1の論理インターフェイス0の inet ファミリーにマッピングします。

  5. (オプション)サンプリングプロファイルとレートを設定し、コレクターにエクスポートするカウンターのプロファイルを設定し、フローレートとバーストサイズを設定し、フローベースのテレメトリのセキュリティ分析を有効にします。

    フロー監視プロパティを設定するには:

    この例では、サンプリングプロファイルがランダムに設定され、サンプリングレートが512バイトごとに設定され、カウンタープロファイルがPer_flow_6_countersに設定され、フローレートが100000kbpsに設定され、バーストサイズが2048バイトに設定され、セキュリティ分析が有効になっています。

  6. (オプションのEX4100およびEX4100-Fスイッチのみ)スイッチを通過するパケットに関するより多くのデータを収集するように機能プロファイルを設定します。

    例えば、輻輳を監視したり、パケットがドロップされる理由に関する情報を収集したりできます。セキュリティ分析は、ここまたは前のステップで有効にできます。機能プロファイルを設定するには:

    機能プロファイルを有効にするには、システムを再起動する必要があります。集合型インターフェイス分散監視、輻輳、およびegress機能は多くのデータを収集するため、インライン監視インスタンスごとにこれらの機能を設定できるのは4つまたは5つだけです。これらの機能を設定するステートメントは次のとおりです。

    • aggregate-intf-member-id

    • egress-drop-reason

    • inter-departure-time

    • queue-congestion-level

    • shared-pool-congestion

    設定をコミットし、システムを再起動した後、 show services inline-monitoring feature-profile-mapping fpc-slot slot-number コマンドを使用して、機能が正常に設定されていることを確認します。

  7. 設定をコミットした後、show services inline-monitoring statistics fpc-slot slot-number コマンドでインライン監視統計を監視します。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
22.2R1
EX4100およびEX4100-Fシリーズスイッチにフローベーステレメトリ(FBT)を設定し、 [edit inline-monitoring]階層レベルで feature-profile name featuresステートメントを使用してフローを追跡する追加項目を設定できるようになりました。
21.1R1
EX4400シリーズスイッチにフローベーステレメトリ(FBT)を設定できます。FBTは、インライン監視サービスを使用してフローを作成し、収集し、コレクターにエクスポートすることで、フローレベルの分析を可能にします。