Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

フローベースのテレメトリ(EX4100、EX4100-F、EX4400シリーズ)

フローベーステレメトリ(FBT)では、インライン監視サービスを使用してフローを作成、収集し、オープンスタンダードのIPFIXテンプレートを使用してフローを整理し、コレクターにエクスポートすることで、フローレベルごとの分析を可能にします。

FBTの概要

EX4100、EX4100-F、EX4400シリーズスイッチのフローベーステレメトリ(FBT)を設定できます。FBTでは、インライン監視サービスを使用してフローを作成し、収集してコレクターにエクスポートすることで、フローレベルごとの分析が可能になります。インライン監視サービスを使用すると、インターフェイスのイングレス方向とエグレス方向の両方で、すべてのIPv4およびIPv6パケットを監視できます。フローは、インターフェイス上で同じ送信元IP、宛先IP、送信元ポート、宛先ポート、およびプロトコルを持つパケットのシーケンスです。フローごとに、ソフトウェアはさまざまなパラメータを収集し、オープンスタンダードのIPFIXテンプレートを使用して、設定されたクリップ長まで実際のパケットをコレクターにエクスポートしてフローを整理します。フローにアクティブなトラフィックがない場合、フローは設定されたinactive-timeout期間後に期限切れになります( flow-inactive-timeout ステートメントを[edit services inline-monitoring template template-name]階層レベルで設定)。ソフトウェアは、設定されたフロー エクスポート タイマー間隔で IPFIX パケットを定期的にエクスポートします。監視ドメイン識別子は、IPFIXパケットで使用され、どのラインカードがパケットをコレクターに送信したかを識別します。いったん設定されると、ソフトウェアはここで設定されたシステム値に基づいて、各ラインカードの意のを導き出します。

FBTの利点

FBT を使用すると、次のことができます。

  • パケット、TTL、TCPウィンドウ範囲をカウント
  • DoS(サービス拒否)攻撃の追跡とカウント
  • メンバーID上のECMPグループ/LAG(リンクアグリゲーショングループ)の負荷分散を解析します(EX4100およびEX4100-Fのみ)
  • トラフィック輻輳の追跡(EX4100およびEX4100-Fのみ)
  • マルチメディアフローに関する情報を収集(EX4100およびEX4100-Fのみ)
  • パケットがドロップされた理由に関する情報を収集する(EX4100およびEX4100-Fのみ)

FBT フロー エクスポートの概要

図 1 に、情報エレメントの ID、名前、およびサイズを示すサンプル・テンプレートを示します。

図 1: FBT 情報要素テンプレート Sample FBT Information Element Templateのサンプル

図 2 は、FBT のサンプル IPFIX データ テンプレートの形式を示しています。

図2:FBT IPFIXデータテンプレートSample FBT IPFIX Data Templateのサンプル

図 3 は、FBT のエクスポートされた IPFIX フローのサンプルの形式を示しています。

図 3:FBT Sample Exported IPFIX Flow for FBTのエクスポートされた IPFIX フローの例
表 1: 要素マッピング
要素エンタープライズ 要素ID の説明

TIMESTAMP_FLOWSTART_VAL

1

TCP フロー収集が開始されたタイムスタンプを示します。

TIMESTAMP_FLOWEND_VAL

2

TCP フロー収集が終了したタイムスタンプを示します。

TIMESTAMP_NEW_LEARN_VAL

3

フロー テーブルで新しいフローが学習されたときのタイムスタンプ。

PKT_RANGE_CNTR1_VAL

4

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR2_VAL

5

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR3_VAL

6

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR4_VAL

7

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR5_VAL

8

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR6_VAL

9

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR7_VAL

10

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

PKT_RANGE_CNTR8_VAL

11

異なるサイズ カテゴリのパケット数を提供します。ユーザーは、テンプレートの下で4つのカテゴリまたは6つのカテゴリを選択できます。システムは、それに応じてパケットを異なるサイズのバケットに分類し、カウントします。(カウンタープロファイル機能)

MIN_PKT_LENGTH_VAL

12

定義されたサイズを超えるサイズのパケット数を提供します。設定可能なサイズ範囲は 64 バイトから 9000 バイトです。

MAX_PKT_LENGTH_VAL

13

定義されたサイズを下回るサイズのパケット数を提供します。設定可能なサイズ範囲は 64 バイトから 9000 バイトです。

TCP_WINDOW_RANGE_CNTR_VAL

15

指定されたTCPウィンドウ範囲内のパケットをカウントします。

DOS_ATTACK_ID_VAL

16

DDOS攻撃ベクトルを報告します。

TTL_RANGE1_CNTR_VAL

17

特定の TTL 値範囲内のパケット数を提供します。

TTL_RANGE2_CNTR_VAL

18

特定の TTL 値範囲内のパケット数を提供します。

DOS_ATTACK_PKT_CNTR_VAL

19

DDOS攻撃パケットの数。

CUSTOM_PKT_RANGE_START_VAL

20

設定されたサイズ範囲内のパケット数を提供します。[edit services inline-monitoring]階層レベルでcounter-profileステートメントを設定することで、64〜9000バイトのサイズ範囲を定義できます。たとえば、set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500 などです。

CUSTOM_TTL_RANGE_START_VAL

30

設定された TTL 範囲内のパケット数を提供します。[edit services inline-monitoring]階層レベルでcounter-profileステートメントを設定することで、0〜255のTTL範囲を定義できます。たとえば、set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15 などです。

CUSTOM_TCP_WINDOW_RANGE_START_VAL

40

設定されたTCPウィンドウ範囲内のパケット数を提供します。TCP ウィンドウの範囲を 0 から 65535 の範囲で定義するには、[edit services inline-monitoring] 階層レベルで counter-profile ステートメントを構成します。たとえば、set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000 などです。

INTER_ARRIVAL_TIME

50

イングレスでの 2 つの連続するパケット間の時間差(フローごと)。

INTER_DEPARTURE_TIME

51

エグレスでの2つの連続するパケット間の時間差(フローごと)。

CHIP_DELAY

52

パケットが ASIC を通過するのに要する時間。

SHARED_POOL_CONGESTION

53

共有プールの混雑レベル

QUEUE_CONGESTION_LEVEL

54

キュー輻輳レベル

INGRESS_DROP_REASON

55

ingressでパケットが破棄される理由。

INGRESS_DROP_REASON_PKT_CNTR_VAL

56

- イングレスでドロップされたパケットの数。

EGRESS_DROP_REASON

57

エグレスでパケットが破棄された理由。

EGRESS_DROP_REASON_PKT_CNTR_VAL

58

- エグレスでドロップされたパケットの数。

AGGREGATE_INTF_MEMBER_ID

59

リンク アグリゲーション グループ(LAG)または等価コスト マルチパス(ECMP)グループのメンバーの ID

AGGREGATE_INTF_GROUP_ID

60

リンク アグリゲーション グループ(LAG)の ID

MMU_QUEUE_ID

61

パケットが属するキュー ID を示します。

UNKNOWN_ID_VAL

254

お客様には適用されません。ジュニパー社内用です。

RESERVED_ID_VAL

255

お客様には適用されません。ジュニパー社内用です。

新しいインライン監視サービス設定を作成するか、既存の設定を変更すると、ソフトウェアは、次にスケジュールされた送信時刻まで待つのではなく、データ テンプレートの定期的なフロー エクスポートをそれぞれのコレクタにただちに送信します。

制限と注意事項

  • IRB インターフェイスはサポートされています。ただし、L2ファイアウォールフィルターには対応していません。
  • 8 つのインライン監視インスタンスと、インスタンスあたり 8 つのコレクターのみがサポートされます。
  • フロー レコードの長さは 128 バイトに制限されています。
  • コレクターは、管理インターフェイスだけでなく、ループバックインターフェイスまたはネットワークインターフェイスのいずれかを介して到達できる必要があります。

  • コレクターは、データと同じルーティング インスタンス内でのみ設定できます。別のルーティング インスタンス内でコレクターを設定することはできません。

  • オプションテンプレート識別子または転送クラスを設定することはできません。
  • IPFIX オプションデータレコードと IPFIX オプションデータテンプレートはサポートされていません。
  • 機能プロファイルはEX4400スイッチではサポートされていません。
  • 機能プロファイルの設定に変更を加えた場合は、デバイスを再起動する必要があります。
  • (EX4100およびEX4100-Fのみ)インライン監視インスタンスの機能プロファイルで輻輳または出口機能のいずれかを設定した場合、そのインスタンスのテンプレートのカウンタープロファイルを設定することはできません。
  • (EX4100およびEX4100-Fのみ)輻輳と出口の機能は大量のデータを収集するため、インライン監視インスタンスごとにこれらの機能のうち 4 つまたは 5 つしか設定できません。
  • (EX4100およびEX4100-Fのみ)マルチキャストフロートラッキングでは、1つのイングレスコピーで複数のエグレスコピーを生成できます。すべてのコピーで同じエントリが更新される場合があります。したがって、同じマルチキャストフローのすべてのコピーの集計結果を追跡できます。

ライセンス

FBT を有効にするには、永久ライセンスを取得する必要があります。FBT のライセンスがあるかどうかを確認するには、動作モードで show system license コマンドを発行します。

EX4100およびEX4100-Fスイッチについては、ライセンスS-EX4100-FBT-Pが必要です。EX4400スイッチの場合、S-EX-FBT-Pライセンスが必要です。

ドロップベクトル(EX4100およびEX4100-Fのみ)

FBT は 100 を超えるドロップ理由を報告できます。ドロップベクトルは非常に大きなベクトルであり、フローレコードに合理的に対応するには大きすぎます。したがって、ソフトウェアはドロップ ベクトルをグループ化して 16 ビット圧縮されたドロップ ベクトルに圧縮し、そのドロップ ベクトルをフロー テーブルに渡します。16ビット圧縮されたドロップベクトルは、特定のドロップベクトルグループに対応します。 表 2表 3 は、ドロップ ベクトルをグループ化して特定の 16 ビット圧縮ドロップ ベクトルを形成する方法を説明しています。

表2:イングレスドロップベクトルグループ(EX4100およびEX4100-Fのみ)
グループ ID ドロップ理由(Group ID Drop Reason)
1

MMUドロップ
2

TCAM、PVLAN
3

DoS攻撃またはLAGループバックの失敗
4

無効なVLAN ID、無効なTPID、またはポートがVLAN内にない
5

スパニングツリープロトコル(STP)転送、ブリッジプロトコルデータユニット(BPDU)、プロトコル、CML

6

送信元ルート、L2 送信元破棄、L2 宛先破棄、L3 無効化など。
7

L3 TTL、L3 ヘッダー、L2 ヘッダー、L3 送信元ルックアップ ミス、L3 宛先ルックアップ ミス
8

ECMP解決、ストーム制御、ingressマルチキャスト、ingressネクストホップエラー
表3:エグレスドロップベクトルグループ(EX4100およびEX4100-Fのみ)
グループ ID ドロップ理由(Group ID Drop Reason)
1

MMU ユニキャスト トラフィック
2

MMU WRED(Weighted Random Early Detection)ユニキャスト トラフィック
3

MMUのRQE
4

MMU マルチキャスト トラフィック
5

エグレスTTL、stgblock
6

出力フィールドプロセッサのドロップ
7

IPMC ドロップ
8

出力サービス品質(QoS)制御ドロップ

FBTを設定する(EX4100、EX4100-F、EX4400シリーズ)

FBTでは、インライン監視サービスを使用してフローを作成し、収集してコレクターにエクスポートすることで、フローレベルごとの分析が可能になります。フローは、インターフェイス上で同じ送信元IP、宛先IP、送信元ポート、宛先ポート、およびプロトコルを持つパケットのシーケンスです。フローごとに、さまざまなパラメータが収集され、オープンスタンダードのIPFIXテンプレートを使用してコレクターに送信され、フローが整理されます。フローにアクティブなトラフィックがない場合、フローは設定されたinactive-timeout期間後に期限切れになります( flow-inactive-timeout ステートメントを[edit services inline-monitoring template template-name]階層レベルで設定)。ソフトウェアは、設定されたフロー エクスポート タイマー間隔で IPFIX パケットを定期的にエクスポートします。監視ドメイン識別子は、IPFIXパケットで使用され、どのラインカードがパケットをコレクターに送信したかを識別します。いったん設定されると、ソフトウェアはここで設定されたシステム値に基づいて、各ラインカードの意のを導き出します。

フローベースのテレメトリを設定するには:

  1. IPFIX テンプレートを定義します。

    テンプレートの属性を設定するには:

    この例では、非アクティブフローのタイムアウト期間が 10 秒に設定され、監視ドメイン ID が 25 に設定され、テンプレートの更新レートが 30 秒に設定され、テンプレート識別子が構成されています

  2. インスタンスにテンプレートを添付し、コレクターを記述します。

    インスタンスとコレクターを設定するには、次のようにします。

    この例では、 template_1 という名前のテンプレートを作成し、インライン監視インスタンス i1を作成して、コレクター c2の設定を作成します。

  3. ファイアウォールフィルターを作成し、アクション inline-monitoring-instanceを設定します。

    ファイアウォールフィルターを設定するには:

    この例では、ipv4_ingressという名前のIPv4ファイアウォールフィルターを、アクションinline-monitoring-instanceを含む条件名rule1で設定し、インライン監視インスタンスi1がそれにマッピングされます:

  4. ファイアウォールフィルターを、設定済みのインターフェイスの論理ユニットの下にあるファミリーにマッピングし、イングレス方向にインライン監視を適用します。

    ファイアウォールフィルターをマッピングするには:

    この例では、 ipv4_ingress ファイアウォールフィルターを、物理インターフェイスet-0/0/1の論理インターフェイス0の inet ファミリーにマッピングします。

  5. (オプション)サンプリング プロファイルとレートを設定し、コレクターにエクスポートするカウンターのプロファイルを構成し、フロー レートとバースト サイズを構成し、フローベースのテレメトリのセキュリティ分析を有効にします。

    フロー監視プロパティを設定するには、次の手順に従います。

    この例では、サンプリング プロファイルが [ランダム(Random)] に設定され、サンプリング レートが 512 バイトごとに設定され、カウンタ プロファイルが Per_flow_6_counters に設定され、フローレートが 100000 kbps に設定され、バーストサイズが 2048 バイトに設定され、セキュリティ分析が有効になっています。

  6. (オプション、EX4100およびEX4100-Fスイッチのみ)機能プロファイルを設定して、スイッチを通過するパケットに関するより多くのデータを収集します。

    たとえば、輻輳を監視したり、パケットがドロップされた理由に関する情報を収集したりできます。セキュリティ分析は、ここまたは前の手順で有効にできます。機能プロファイルを設定するには:

    機能プロファイルを有効にするには、システムを再起動する必要があります。集約インターフェイス分散監視、輻輳、およびエグレスの機能は多くのデータを収集するため、インライン監視インスタンスごとにこれらの機能のうち4つまたは5つしか設定できません。これらの機能を設定するステートメントは次のとおりです。

    • aggregate-intf-member-id

    • egress-drop-reason

    • inter-departure-time

    • queue-congestion-level

    • shared-pool-congestion

    設定をコミットしてシステムを再起動した後、 show services inline-monitoring feature-profile-mapping fpc-slot slot-number コマンドを使用して、機能が正常に設定されたことを確認します。

  7. 設定をコミットした後、 show services inline-monitoring statistics fpc-slot slot-number コマンドでインライン監視の統計情報を監視します。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
22.2R1
EX4100およびEX4100-Fシリーズスイッチのフローベースのテレメトリ(FBT)を設定し、 [edit inline-monitoring]階層レベルで feature-profile name featuresステートメントを使用してフローを追跡する追加項目を設定できるようになりました。
21.1R1
EX4400シリーズスイッチにフローベーステレメトリ(FBT)を設定できます。FBTでは、インライン監視サービスを使用してフローを作成し、収集してコレクターにエクスポートすることで、フローレベルごとの分析が可能になります。