IRB インターフェイスでのインライン アクティブ フロー監視
PTX シリーズ ルーターの IRB(統合型ルーティングおよびブリッジング)インターフェイスで、IPv4 および IPv6 トラフィックのインライン アクティブ フロー監視を実行できます。
概要
PTX シリーズ ルーターでは、IRB(統合型ルーティングおよびブリッジング)インターフェイス上で IPv4 および IPv6 トラフィックのインライン アクティブ フロー監視を実行できます。フロー監視用の IPFIX テンプレートとバージョン 9 テンプレートの両方がサポートされています。テンプレートに含まれるフィールドの説明については、 インラインアクティブフロー監視についてを参照してください。
IRB インターフェイスでのインライン アクティブ フロー監視について
IRB インターフェイスで IPFIX または V9 テンプレートを設定することで、インライン アクティブ フロー監視を有効にできます。
トンネルコアにルーティングされたトラフィックを持つIRBインターフェイス上のサンプリング
図 1 は、トラフィックが主に MPLS トンネルであるトンネル コアにルーティングされる IRB インターフェイス上のサンプリングを示しています。パケットが irb.10 に入り、イングレス サンプリングを有効にすることができます。パケットは、ユーザー定義VLANの一部ではないネクストホップに転送できます。
でのサンプリング
IRB インターフェイス上のレイヤー 2 ブリッジングとレイヤー 3 IP ルーティング
図 2 は、同じインターフェイスでレイヤー 2 ブリッジングとレイヤー 3 IP ルーティングがサポートされているトポロジーを示しています。
PC1 と PC2 は VLAN RED(ID 10)に、PC3 は VLAN BLUE(ID 20)にあります。
PC1 から PC3 へ、または PC2 から PC3 に移動するトラフィックの場合、IRB インターフェイスは、VLAN RED のサブネット内のアドレスを持つ論理ユニットと、VLAN BLUE のサブネット内のアドレスを持つ論理ユニットで設定する必要があります。スイッチは、これらのサブネットにルートを自動的に誘導し、これらのルートを使用して VLAN 間のトラフィックを転送します。トラフィックが VLAN RED から VLAN BLUE に流れている場合、irb.10 でイングレス サンプリングを設定し、irb.20 でエグレス サンプリングを設定できます。
図 3 は、同じインターフェイスでレイヤー 2 ブリッジングとレイヤー 3 IP ルーティングがサポートされているトポロジーでのサンプリングを示しています。インターフェイス et-0/0/36.0 および irb.10 は VLAN ID 2 に属します。インターフェイス et-0/0/48 および irb.20 は VLAN ID 3 に属します。パケットは irb.10 に入り、irb.20 から出ます。そのため、irb.10 でイングレス サンプリングを設定し、irb.20 でエグレス サンプリングを設定できます。
PTX シリーズ ルーターの IRB インターフェイスでインライン アクティブ フロー監視を設定する
- 出力プロパティを指定するテンプレートの設定
- サンプリング インスタンスの設定
- FPC へのサンプリング インスタンスの割り当て
- ファイアウォールフィルターの設定
- レイヤー 3 インターフェイスを VLAN に関連付けてトラフィックをルーティングする
- 監視対象インターフェイスへのファイアウォール フィルターの割り当て
出力プロパティを指定するテンプレートの設定
フローレコードの出力プロパティを指定するテンプレートを設定します。
サンプリング インスタンスの設定
サンプリングインスタンスを設定します。
FPC へのサンプリング インスタンスの割り当て
フロー監視を実装するFPCにサンプリングインスタンスを割り当てます。
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
例えば:
[edit chassis] user@host# set fpc 0 sampling-instance s1
ファイアウォールフィルターの設定
ファイアウォールフィルターを設定して、受け入れてサンプリングするトラフィックファミリーを指定します。
レイヤー 3 インターフェイスを VLAN に関連付けてトラフィックをルーティングする
IRB インターフェイスを VLAN に割り当てます。
[edit vlans vlan-name] user@host# set vlan-name vlan-id vlan-id-number user@host# set vlan-name l3-interface l3-interface-name .logical-interface-number
例えば:
[edit vlans vlan-name] user@host# set vlan2 vlan-id 2 user@host# set vlan2 l3-interface irb.10
たとえば、同じインターフェイスでレイヤー 2 ブリッジングとレイヤー 3 IP ルーティングをサポートしながら、IRB を使用してインライン フロー監視を設定している場合( 図 3 を参照)。
[edit vlans vlan-name] user@host# set vlan-2 vlan-id 2 user@host# set vlan-2 l3-interface irb.10 user@host# set vlan-3 vlan-id 3 user@host# set vlan-3 l3-interface irb.20
監視対象インターフェイスへのファイアウォール フィルターの割り当て
監視するインターフェイスに入力ファイアウォールフィルターを割り当てます。また、インターフェイスがトラフィックを伝送できるVLANを設定します。
[edit interfaces] user@host# set interface-name unit logical-unit-number family (inet | inet6 | mpls) filter input filter-name address
たとえば、同じインターフェイスでレイヤー 2 ブリッジングとレイヤー 3 IP ルーティングをサポートしながら、IRB を使用してインライン フロー監視を設定している場合( 図 3 を参照)。
[edit interfaces] user@host# set et-0/0/36 unit 0 family ethernet-switching vlan members vlan2 user@host# set et-0/0/48 unit 0 family ethernet-switching vlan members vlan3 user@host# set et-0/0/60 unit 0 family inet address 10.10.10.1 user@host# set irb unit 1 family inet filter input f2 user@host# set irb unit 1 family inet address 10.1.1.1 user@host# set irb unit 2 family inet address 10.20.1.1 user@host# set irb unit 1 family inet address 10.1.1.1 user@host# set irb unit 2 family inet filter output f2