このページの内容

インライン監視サービスについて
インライン監視サービスの設定

インライン監視サービスの設定

インライン監視サービスについて

インライン監視サービスのメリット
インライン監視サービス機能の概要
インライン監視サービス設定の概要
インライン監視サービスでサポートされている機能とサポートされていない機能

インライン監視サービスのメリット

柔軟性—インライン監視サービスでは、すべてのインスタンスがFPC(フレキシブルPICコンセントレータ)にマッピングされる従来のサンプリング技術とは異なり、異なるインライン監視インスタンスを異なるファイアウォールフィルター条件にマッピングすることができます。これにより、単一のインターフェイス上で異なるレートで異なるトラフィックストリームをサンプリングする柔軟性が得られます。

パケット形式に依存しない - 従来のフロー収集技術は、ネットワーク要素によるパケット解析とアグリゲーションに依存しています。インライン監視サービスでは、パケットヘッダーがコレクターにエクスポートされ、さらなる処理が行われますが、アグリゲーションは行われません。これにより、任意のパケットフィールドを使用して、コレクターで監視対象パケットを処理できるという利点があります。

インライン監視サービス機能の概要

サービスプロバイダやコンテンツプロバイダは通常、ピアリング契約の評価、トラフィックの異常やポリシー違反の検知、ネットワークパフォーマンスの監視のために、トラフィックフローの可視化を必要とします。これらの要件を満たすために、従来は JFlow または IPFIX バリアントを使用して集計フロー統計情報をエクスポートしていました。

別の方法として、パケットの内容をサンプリングし、メタデータ情報を追加し、監視対象のパケットをコレクターにエクスポートすることもできます。インライン監視サービスを使用すると、MXシリーズルーターとJunos OS Evolvedを実行するPTXルーターでこれを行うことができます。

インライン監視サービスを使用すると、インターフェイスのingress方向とegress方向の両方で、すべてのIPv4およびIPv6パケットを監視できます。このソフトウェアは、監視されたトラフィックをIPFIX形式でカプセル化し、設定されたクリップ長までの実際のパケットをコレクターにエクスポートして、さらに処理します。デフォルトでは、Junos OSはイーサネットヘッダーから始まる最大126バイトのクリップ長をサポートし、Junos OS Evolvedはイーサネットヘッダーから始まる最大256バイトのクリップ長をサポートします。

図 1 は、IPFIX フォーマットの仕様を示しています。

図1:インライン監視IPFIX仕様 Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

IPFIXヘッダーとIPFIXペイロードは、IPまたはUDPトランスポート層を使用してカプセル化されます。エクスポートされたIPFIX形式には、すべてのコレクターにエクスポートされる2つのデータレコードと2つのデータテンプレートが含まれています。

データレコード—着信および発信インターフェイス、フロー方向、データリンクフレームセクション、データリンクフレームサイズが含まれます。この情報は、サンプリングされたパケットがエクスポートされている場合にのみコレクターに送信されます。

図2は、IPFIXデータレコードパケットの例です。

オプションデータレコード—エクスポートプロセスID、サンプリング間隔などのシステムレベルの情報が含まれます。この情報は、サンプリングパケットがエクスポートされているかどうかに関係なく、定期的にコレクターに送信されます。

図3は、IPFIXオプションのデータレコードパケットの例です。

表1:IPFIXオプションデータパケットの情報要素フィールド
番号	情報要素ID	情報要素の長さ	詳細
1	144	4B	監視ドメインID - IPFIXデバイスごとのエクスポートプロセスの一意の識別子。このフィールドの目的は、他の情報要素フィールドの範囲を制限することです。
2	34	4B	パケットがサンプリングされるサンプリング間隔。1000 は、1000 パケットのうちの 1 つがサンプリングされることを示します。

データテンプレート - 5つの情報要素が含まれます。
- イングレスインターフェイス
- エグレスインターフェイス
- フロー方向
- データリンクフレームサイズ
- 可変データリンクフレーム選択
図4は、IPFIXデータテンプレートパケットの例です。
オプションデータテンプレート—フローエクスポーターとサンプリング間隔情報が含まれます。

図5は、IPFIXオプションデータテンプレートパケットのサンプル図です。

インライン監視サービス設定が新規または変更された場合、データテンプレートとオプションデータテンプレートの定期的なエクスポートが直ちに各コレクターに送信されます。

図2:IPFIXデータレコード IPFIX Data Record

図3:IPFIXオプションデータレコード Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

図4:IPFIXデータテンプレート Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

図5:IPFIXオプションデータテンプレート IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

インライン監視サービス設定の概要

テンプレートとコレクター固有の設定パラメーターをサポートする最大16個(Junos OS)または7個(Junos OS Evolved)のインライン監視インスタンスを設定できます。各インライン監視インスタンスは、最大4つのコレクター(合計最大64個のコレクター)をサポートしており、Junos OSの場合のみ、各コレクター設定で異なるサンプリングレートを指定できます。この柔軟性により、インライン監視サービスは、JFlow、sFlow、ポートミラーリングなどの従来のサンプリング技術の限界を克服します。

インライン監視を設定するには:

[edit services]階層レベルでinline-monitoringステートメントを含める必要があります。ここでは、テンプレートとインライン監視インスタンスのパラメーターを指定します。インライン監視インスタンスでコレクターパラメーターを指定する必要があります。
ファイアウォールフィルターの条件とアクションを使用して、任意の一致条件を指定し、設定されたインライン監視インスタンスを受け入れます。これにより、インライン監視インスタンスがファイアウォール条件にマッピングされます。
[edit firewall filter name] 階層レベルで inline-monitoring-instance ステートメントを使用して、ファミリー inetまたはinet6 ステートメントの下にファイアウォールフィルターをマッピングします。Junos OSリリース21.1R1以降、ファミリーany, bridge, ccc, mpls,またはvplsステートメントの下にファイアウォールフィルターをマッピングすることもできます。Junos OS Evolvedでは、bridgeファミリとvplsファミリはサポートされていないため、代わりにethernet-switchファミリを使用してください。Junos OS Evolvedは、any、ccc、inet、inet6、mplsファミリもサポートしています。また、ファイアウォールフィルターを転送テーブルフィルターに入力文または出力文で適用して、それぞれイングレスパケットまたはエグレスパケットをフィルタリングすることもできます。

覚えておいてください:

インライン監視サービスを有効にするには、デバイスが最大パケット長(クリップ長)を126バイト(Junos OS)または256バイト(Junos OS Evolved)をサポートする必要があります。
転送パスのパケットで利用可能なビットが不足するため、16個(Junos OS)または7個(Junos OS Evolved)を超えるインライン監視インスタンスを設定することはできません。
インライン監視サービスは、コレクターインターフェイス、つまりコレクターが到達可能なインターフェイスにのみ適用します。IPFIXトラフィックにインライン監視を適用しないでください。サンプリング用の別のIPFIXパケットが生成され、ループが発生します。これには、テンプレートおよびレコードパケット、オプションテンプレート、オプションレコードパケットなど、サービス生成トラフィックのインライン監視が含まれます。

アグリゲートイーサネット(AE)インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。

表2:集合型イーサネットインターフェイスの情報要素値
AEインターフェイス上のインライン監視サービスの方向	情報要素-10(着信インターフェイス)	情報要素-14(発信インターフェイス)
イングレス	AEのSNMP ID	0
エグレス	AEのSNMP ID	メンバーリンクのSNMP ID

IRB インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。

表3:IRBインターフェイスの情報要素値
IRB インターフェイス上のインライン監視サービスの方向	情報要素-10(着信インターフェイス)	情報要素-14(発信インターフェイス)
イングレス	IRB の SNMP ID	0
エグレス	IRB の SNMP ID	vlanブリッジカプセル化インターフェイスのSNMP ID

XL-XMベースのデバイス(ルックアップチップ(XL)とバッファリングASIC(XM)を搭載)では、エクスポートされたパケットのデータリンクフレームセクション情報要素の長さが、エグレスパケットの長さがクリップの長さよりも長くても、クリップの長さよりも短くなることがあります。

データリンクフレームセクション情報要素の長さは、バイト数「N」で減少します。ここで、「N」=(イングレスパケットレイヤー2カプセル化長 - エグレスパケットレイヤー2カプセル化長)になります。

例えば、イングレスパケットにMPLSラベルがあり、エグレスパケットがIPv4またはIPv6タイプの場合、イングレスパケットのレイヤー2カプセル化長はエグレスパケットのカプセル化長よりも大きくなります。プロバイダエッジ(PE)デバイスからカスタマーエッジ(CE)デバイスにトラフィックが流れる場合、イングレスパケットにはVLANタグがあり、エグレスパケットにはタグが付けられません。

このような場合、クリップの長さがパケットヘッドの最後のアドレス位置を超えて、 PKT_HEAD_SIZE システムログメッセージが生成される可能性があります。これにより、デバイスのパケット転送が機能低下する可能性があります。
イングレス方向のインライン監視サービスの場合、 egressInterface (情報要素ID 14)は出力インターフェイスのSNMPインデックスを報告しません。この情報要素IDは、イングレス方向の場合、常に値ゼロを報告します。受信側のコレクタープロセスは、 flowDirection (情報要素 ID 61) に基づいてこのフィールドの有効性を識別する必要があります。

インライン監視サービスでサポートされている機能とサポートされていない機能

インライン監視サービスでは以下がサポートされます。

グレースフルルーティングエンジンスイッチオーバー
ISSU(インサービスソフトウェアアップグレード)、NSSU(ノンストップソフトウェアアップグレード)、NSR(ノンストップアクティブルーティング)
イーサネットインターフェイスと IRB(Integrated Routing and Bridging)インターフェイス
Junos Node Slicing
Junos OS Evolvedリリース22.4R1以降、コレクターのDSCP、転送クラス、ルーティングインスタンスの設定。
Junos OS Evolvedリリース22.4R1以降では、テンプレートIDまたはオプションテンプレートIDを設定します。

インライン監視サービスは現在、以下をサポートしていません。

16(Junos OS)または7(Junos OS Evolved)以上のインライン監視インスタンスを設定する。
Junos Traffic Vision
リリース21.1R1以前のJunos OS、inline-monitoring-instance用語アクションは、 inet および inet6 ファミリーファイアウォールフィルターでのみサポートされています。Junos OS リリース 21.1R1 以降、 any, bridge, ccc, mpls, および vpls ファミリーのファイアウォールフィルターでサポートされています。
IPv6アドレス指定可能なコレクター
仮想プラットフォーム
論理システム
観測ドメイン ID と観測クラウド ID の両方を設定します。そのうちの1つだけを選択する必要があります。
例外レポートに使用されるインライン監視インスタンスアクションは、ファイアウォールリダイレクトアクションや通常のインライン監視アクションなど、他の目的には使用できません。
ファイアウォールのリダイレクトアクションに使用されるインライン監視インスタンスは、例外報告や通常のインライン監視アクションなど、他の目的には使用できません。
Junos OS Evolvedリリース22.4R1より前では、コレクターのDSCP、転送クラス、またはルーティングインスタンスの設定。
Junos OS Evolvedリリース22.4R1より前のバージョンでは、テンプレートIDまたはオプションテンプレートIDを設定します。システムがこれらを生成します。
同じファイアウォールフィルター条件(Junos OS Evolved)の下でポートミラーリングとインライン監視サービスを設定します。
egress方向では、SFlowと例外レポートの両方を設定します。そのうちの1つ(Junos OS Evolved)のみを選択する必要があります。

インライン監視サービスの設定

インライン監視サービスは、イングレス方向とエグレス方向の両方で、IPv4とIPv6の両方のトラフィックを監視できます。MPC(Junos OS)を搭載したMXシリーズルーターや、Junos OS Evolvedを実行するPTXルーターでインライン監視を有効にできます。

インライン監視サービスを設定して、インターフェイスの同じ論理ユニット上で異なるサンプリングレートで異なるトラフィックストリームを監視することができます。また、効果的なトラブルシューティングのために、元のパケットサイズをインターフェイス送信元に関する情報とともにコレクターにエクスポートすることもできます。

設定する前に

インライン監視サービスを設定すると、次のことができます。

最大16個(Junos OS)または7個(Junos OS Evolved)のインライン監視インスタンスを設定できます。各インスタンスの下で、特定のコレクターおよびテンプレートパラメーターを設定できます。
各インライン監視インスタンスの下に最大4つのIPv4アドレス指定可能なコレクターを設定します。合計で最大64台のコレクターを設定できます。コレクターは遠隔地に配置することも、さまざまな場所に配置することもできます。

コレクターごとに、送信元アドレスや宛先アドレスなどの特定のパラメーターを設定できます。コレクターのデフォルトのルーティングインスタンス名は default.inetです。
Junos OSでは、 inet または inet6 ファミリーファイアウォールフィルターをアクション inline-monitoring-instance inline-monitoring-instance-name という用語で設定できます。Junos OSリリース21.1R1以降、 any, bridge, ccc, mpls,または vpls ファミリーファイアウォールフィルターをアクション inline-monitoring-instance inline-monitoring-instance-name という用語で設定できるようになりました。Junos OS Evolvedでは、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーのファイアウォールフィルターをアクションinline-monitoring-instance inline-monitoring-instance-nameという用語で設定できます。

各条件は、異なるインライン監視インスタンスをサポートできます。
インライン監視ファイアウォールフィルターを、インターフェイスの論理ユニットのファミリーの下に取り付けます。

設定が正常にコミットされたら、CLIから show services inline-monitoring statistics fpc-slot コマンドを発行することで、インライン監視サービスの実装を確認できます。

注:

パケットに、従来のサンプリング技術(JFlowやSFlowなど)と一緒にインライン監視サービスを適用する必要がある場合、パケット転送エンジンは、そのパケットに対してインライン監視サービスと従来のサンプリング技術の両方を実行します。現在、ポートミラーリングは、Junos OS Evolvedの別の条件の下で設定する必要があります。

図6は、インライン監視サービスの例であり、トラフィックはデバイスインターフェイス上で2つの異なるサンプリングレートで監視され、IPFIXカプセル化形式で4つのリモートコレクターにエクスポートされます。Junos OSでは、各コレクターのサンプリングレートを設定し、各コレクターに異なるレートを許可します。Junos OS Evolvedでは、インライン監視インスタンスでサンプリングレートを設定し、そのインスタンスに設定されたすべてのコレクターに適用されます。

図6:インライン監視サービス Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

この例では、デバイスのet-1/0/0インターフェイスにインライン監視サービスが設定されています。設定の詳細は以下のとおりです。

インライン監視インスタンスには、インスタンス1とインスタンス2の2つがあります。
4 つのコレクターがあり、各インライン監視インスタンスの下に 2 つのコレクターがあります。
- インスタンス1には、Collector-1とCollector-2があります。
- インスタンス2には、コレクター-101とコレクター-102があります。
インスタンス1のコレクタのサンプリングレートは1:10000です。
インスタンス2のコレクターのサンプリングレートは1:1です。
インスタンス1コレクタの送信元アドレスと宛先アドレスは、それぞれ10.1.1.1および10.2.2.1です。
インスタンス2のコレクターの送信元アドレスと宛先アドレスは、それぞれ10.11.1.1と10.12.2.1です。
パケットは、IPFIXカプセル化された形式でコレクターにエクスポートされます。

インライン監視サービスを設定するには:

インライン監視サービスを提供するために、各インライン監視インスタンスのファイアウォールフィルターを定義します。ファミリーファイアウォールフィルターは、アクションinline-monitoring-instanceという用語で設定できます。

ファイアウォールフィルターを定義するには:

この例では、用語t1とt2がそれぞれインスタンス1とインスタンス2に設定されています。

関連するテンプレート、インスタンス、コレクターパラメーターを設定して、インライン監視サービスを有効にします。

インライン監視サービステンプレートを設定するには:

この例では、テンプレートtemplate-1とtemplate-2が設定されています。

インライン監視インスタンスとコレクターパラメーターを設定するには:

Junos OS の場合:

この Junos OS の例では、インスタンス 1 にはコレクター 1 とコレクター 2 の 2 つのコレクターがあり、インスタンス 2 にはコレクター 101 とコレクター 102 の 2 つのコレクターがあります。両方のインスタンスに異なるサンプリングレートが設定されています。

Junos OS Evolvedの場合:

この例では、Junos OS Evolvedの場合、インスタンス1にはcollector-1とcollector-2の2つのコレクターがあり、Instance2にはcollector-101とcollector-102の2つのコレクターがあります。両方のインスタンスに異なるサンプリングレートが設定されています。

インターフェイスの論理ユニットのファミリーの下にファイアウォールフィルターをマッピングして、イングレスまたはエグレス方向にインライン監視を適用します。
または、ファイアウォールフィルターを転送テーブルフィルターにマッピングし、入力または出力ステートメントを使用して、それぞれイングレスパケットまたはエグレスパケットをフィルタリングすることで、インライン監視を適用できます。

ファイアウォールフィルターを取り付けるには:
この例では、インライン監視フィルターが、et-1/0/0のユニット0のファミリーinetに接続されています。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

23.4R1-EVO

インライン監視サービス(JNP10K-LC1201またはJNP10K-LC1202ラインカードを備えたPTX10003ルーター)—Junos OS Evolvedリリース23.4R1以降、PTX10003ルーターでインライン監視サービスを設定して例外を報告できます。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーのファイアウォールフィルターを、action inline-monitoring-instance inline-monitoring-instance-name という用語で設定することもできます。

22.4R1-EVO

インライン監視サービス(JNP10K-LC1201またはJNP10K-LC1202ラインカードを備えたPTX10001-36MR、PTX10004、PTX10008、PTX10016ルーター) - Junos OS Evolvedリリース22以降。 4R1では、PTX10001-36MR、PTX10004、PTX10008、PTX10016ルーターでインライン監視サービスを構成して、パケットをサンプリングし、メタデータを追加し、設定されたクリップ長までパケットをIPFIXコレクターにエクスポートして、さらに処理することができます。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーのファイアウォールフィルターを、action inline-monitoring-instance inline-monitoring-instance-name という用語で設定することもできます。

22.3R1

インライン監視サービス(MX304ルーター) - Junos OSリリース22.3R1以降、MX304ルーターでインライン監視サービスを設定できるようになりました。

22.2R1-EVO

インライン監視サービス(JNP10K-LC1201またはJNP10K-LC1202ラインカードを備えたPTX10001-36MR、PTX10004、PTX10008、PTX10016ルーター) - Junos OS Evolvedリリース22.1R1以降、PTX10001-36MR、PTX10004、PTX10008、PTX10016ルーターでインライン監視サービスを設定して例外を報告できるようになりました。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーのファイアウォールフィルターを、action inline-monitoring-instance inline-monitoring-instance-name という用語で設定することもできます。

21.4R1

インライン監視サービス(MX10008 ルーター用 LC9600 ラインカード) - Junos OS リリース 21.4R1 以降、LC9600 ラインカードを含む MX10008 ルーターでインライン監視サービスを設定できるようになりました。

21.2R1

インライン監視サービス用のレイヤー2および任意のファイアウォールフィルターファミリのサポート(MPC10EおよびMPC11Eラインカードを備えたMXシリーズ)—Junos OSリリース21.2R1以降、 any, bridge, ccc, mpls, または vpls ファミリーのファイアウォールフィルターをaction inline-monitoring-instance inline-monitoring-instance-nameという用語で設定できます。

21.2R1

インライン監視サービス(MX10008およびMX10016ルーター用LC480ラインカード - Junos OSリリース21.2R1以降、LC480ラインカードを含むMX10008およびMX10016ルーターでインライン監視サービスを設定できます。

21.1R1

インライン監視サービス用のレイヤー2および任意のファイアウォールフィルターファミリのサポート(MPC10EおよびMPC11Eラインカードを除くMPC MXシリーズ)—Junos OSリリース21.1R1以降、any、bridge、ccc、mpls、またはvplsファミリーファイアウォールフィルターをアクションinline-monitoring-instance inline-monitoring-instance-nameで設定できます。

20.4R1

インライン監視サービス(MXシリーズルーター用MPC10EおよびMPC11Eラインカード - Junos OSリリース20.4R1以降、MPC10EおよびMPC11Eラインカードを含むMXシリーズルーターでインライン監視サービスを設定できます。

19.4R1

インライン監視サービス(MPC10EおよびMPC11Eラインカードを除くMPCを備えたMXシリーズ) - Junos OSリリース19.4R1以降、同じインターフェイス上で異なるサンプリングレートで異なるトラフィックストリームを柔軟に監視する新しい監視技術を設定できるようになりました。また、設定されたクリップ長までのパケットをIPFIX(IP Flow Information Export)形式でコレクターにエクスポートすることもできます。IPFIX形式には、コレクターでさらに処理するために、監視対象パケットに関する重要なメタデータ情報が含まれています。