項目一覧

インライン監視サービスについて
インライン監視サービスの設定

インライン監視サービスの設定

インライン監視サービスについて

インライン監視サービスの利点
インライン監視サービス機能の概要
インライン監視サービス構成の概要
インライン監視サービスでサポートされている機能とサポートされていない機能

インライン監視サービスの利点

柔軟性-インライン監視サービスでは、すべてのインスタンスがフレキシブルPICコンセントレータ(FPC)にマッピングされる従来のサンプリング技術とは異なり、異なるインライン監視インスタンスを異なるファイアウォールフィルター条件にマッピングすることができます。これにより、1 つのインターフェイス上で異なるレートでトラフィックの異なるストリームを柔軟にサンプリングできます。

パケット形式に依存しない — 従来のフロー収集技術は、ネットワーク要素によるパケットの解析とアグリゲーションに依存しています。インライン監視サービスを使用すると、パケットヘッダーはコレクターにエクスポートされてさらに処理されますが、集約は行われません。これにより、任意のパケットフィールドを使用して、監視対象パケットをコレクターで処理できるという利点があります。

インライン監視サービス機能の概要

サービスプロバイダとコンテンツプロバイダは、通常、ピアリング契約を評価し、トラフィックの異常とポリシー違反を検出し、ネットワークパフォーマンスを監視するために、トラフィックフローの可視化を必要とします。これらの要件を満たすには、従来、JFlow または IPFIX のバリエーションを使用して、集約フロー統計情報をエクスポートしていました。

別の方法として、パケットの内容をサンプリングし、メタデータ情報を追加し、監視対象パケットをコレクターにエクスポートできます。インライン監視サービスでは、MXシリーズルーターとJunos OS Evolvedが稼働するPTXルーターでこれを行うことができます。

インライン監視サービスを使用すると、インターフェイスのイングレス方向とエグレス方向の両方で、すべてのIPv4およびIPv6パケットを監視できます。ソフトウェアは、監視対象トラフィックをIPFIX形式でカプセル化し、さらに処理するために、設定されたクリップ長までの実際のパケットをコレクターにエクスポートします。デフォルトでは、Junos OS はイーサネットヘッダーから 126 バイトの最大クリップ長をサポートし、Junos OS Evolved はイーサネットヘッダーから 256 バイトの最大クリップ長をサポートします。

図 1 は、IPFIX 形式の仕様を示しています。

図1:インライン監視IPFIX仕様 Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

IPFIX ヘッダーと IPFIX ペイロードは、IP または UDP トランスポート層を使用してカプセル化されます。エクスポートされた IPFIX 形式には、すべてのコレクターにエクスポートされる 2 つのデータレコードと 2 つのデータテンプレートが含まれます。

データレコード—着信および発信インターフェイス、フロー方向、データリンクフレームセクション、およびデータリンクフレームサイズが含まれます。この情報がコレクタに送信されるのは、サンプリングされたパケットがエクスポートされている場合のみです。

図 2 は、IPFIX データレコードパケットのサンプル図です。

オプションデータレコード—エクスポートプロセスIDやサンプリング間隔などのシステムレベルの情報が含まれます。この情報は、サンプリングパケットがエクスポートされているかどうかに関係なく、定期的にコレクターに送信されます。

図 3 は、IPFIX オプションのデータレコードパケットのサンプル図です。

表1:IPFIXオプション・データ・パケットの情報要素フィールド
数	情報要素 ID	情報要素の長さ	細部
1	144	図4B	監視ドメイン ID(Observation domain ID) - IPFIX デバイスごとのエクスポートプロセスの意の識別子。このフィールドの目的は、他の情報要素フィールドの範囲を制限することです。
2	34	図4B	パケットがサンプリングされるサンプリング間隔。1000 は、1000 個のパケットのうちの 1 つがサンプリングされることを示します。

データテンプレート - 5 つの情報要素が含まれます。
- イングレスインターフェイス
- エグレスインターフェイス
- 流れ方向
- データリンクフレームサイズ
- 可変データリンクフレームの選択
図 4 は、IPFIX データテンプレートパケットのサンプル図です。
オプションデータテンプレート—フローエクスポーターとサンプリング間隔の情報が含まれます。

図 5 は、IPFIX オプションデータテンプレートパケットのサンプル図です。

インライン監視サービスの設定が新規または変更された場合、データテンプレートとオプションデータテンプレートの定期的なエクスポートが、それぞれのコレクタに直ちに送信されます。

図2:IPFIXデータレコード IPFIX Data Record

図3:IPFIXオプションのデータレコード Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

図4:IPFIXデータテンプレート Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

図 5: IPFIX オプションのデータテンプレート IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

インライン監視サービス構成の概要

テンプレートおよびコレクター固有の設定パラメータをサポートする最大16個(Junos OS)または7個(Junos OS Evolved)のインライン監視インスタンスを設定できます。各インライン監視インスタンスは、最大4つのコレクター(合計で最大64のコレクター)をサポートし、Junos OSの場合のみ、各コレクター構成で異なるサンプリングレートを指定できます。この柔軟性により、インライン監視サービスは、JFlow、sFlow、ポートミラーリングなどの従来のサンプリング技術の限界を克服します。

インライン監視を設定するには:

[edit services]階層レベルでinline-monitoringステートメントを含める必要があります。ここでは、テンプレートとインライン監視インスタンスのパラメーターを指定します。インライン監視インスタンスでコレクターパラメータを指定する必要があります。
ファイアウォールフィルターの条件と、設定されたインライン監視インスタンスを受け入れるアクションを使用して、任意の一致条件を指定します。これにより、inline-monitoring インスタンスがファイアウォール条件にマッピングされます。
[edit firewall filter name then]階層レベルでinline-monitoring-instanceステートメントを使用して、ファミリーinetまたはinet6ステートメントの下にファイアウォールフィルターをマッピングします。Junos OS リリース 21.1R1以降では、ファミリーany, bridge, ccc, mpls,またはvplsステートメントでファイアウォールフィルターをマッピングすることもできます。Junos OS Evolvedでは、bridgeとvplsファミリーはサポートされていません。代わりにethernet-switchファミリーを使用してください。Junos OS Evolvedは、any、ccc、inet、inet6、mplsファミリーもサポートしています。または、入力または出力ステートメントを使用して、ファイアウォールフィルターを転送テーブルフィルターに適用して、イングレスまたはエグレスパケットをそれぞれフィルタリングすることもできます。

思い出す：

デバイスは、インライン監視サービスを有効にするために、126バイト(Junos OS)または256バイト(Junos OS Evolved)の最大パケット長(クリップ長)をサポートする必要があります。
転送パスのパケットで使用可能なビットが不足しているため、16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスを設定することはできません。
インライン監視サービスは、コレクターインターフェイス、つまりコレクターが到達可能なインターフェイスにのみ適用します。IPFIX トラフィックにインライン監視を適用すると、サンプリング用に別の IPFIX パケットが生成され、ループが発生するため、インライン監視を適用しないでください。これには、テンプレートおよびレコードパケット、オプションテンプレート、オプションレコードパケットなどのインライン監視サービス生成トラフィックが含まれます。

集合型イーサネット(AE)インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のとおりです:

表2:集合型イーサネットインターフェイスの情報要素値
AE インターフェイス上のインライン監視サービスの方向	情報要素-10(着信インターフェイス)	情報要素-14(発信インターフェイス)
イングレス	AE の SNMP ID	0
出口	AE の SNMP ID	メンバーリンクのSNMP ID

IRB インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のとおりです。

表 3:IRB インターフェイスの情報要素値
IRBインターフェイス上のインライン監視サービスの方向	情報要素-10(着信インターフェイス)	情報要素-14(発信インターフェイス)
イングレス	IRB の SNMP ID	0
出口	IRB の SNMP ID	VLAN ブリッジカプセル化インターフェイスの SNMP ID

XL-XM ベースのデバイス(ルックアップチップ(XL)およびバッファリング ASIC(XM)搭載)では、エクスポートされたパケットのデータリンクフレームセクション情報要素の長さは、エグレスパケットの長さがクリップの長さよりも大きい場合でも、クリップの長さよりも短くすることができます。

データリンクフレームセクション情報要素の長さは、'N' = (イングレスパケットレイヤー 2 カプセル化長 - エグレスパケットレイヤー 2 カプセル化長) のバイト数だけ減らされます。

例えば、イングレスパケットにMPLSラベルがあり、エグレスパケットがIPv4またはIPv6タイプの場合、イングレスパケットのレイヤー2カプセル化長はエグレスパケットのレイヤー2カプセル化長よりも長くなります。トラフィックがPE(プロバイダエッジ)デバイスからCE(カスタマーエッジ)デバイスに流れる場合、イングレスパケットにはVLANタグが付き、エグレスパケットにはタグが付きません。

このような場合、クリップの長さがパケットヘッドの最後のアドレス位置を超えて、 PKT_HEAD_SIZE システムログメッセージが生成される可能性があります。これにより、デバイスのパケット転送が低下する可能性があります。
イングレス方向のインライン監視サービスの場合、 egressInterface (情報要素ID 14)は出力インターフェイスのSNMPインデックスを報告しません。この情報要素 ID は、イングレス方向の場合、常に値 0 を報告します。受信コレクタープロセスは、 flowDirection (情報要素 ID 61) に基づいてこのフィールドの有効性を識別する必要があります。

インライン監視サービスでサポートされている機能とサポートされていない機能

インライン監視サービスでは以下がサポートされます。

グレースフルルーティングエンジンスイッチオーバー
ISSU(インサービスソフトウェアアップグレード)、NSSU(ノンストップソフトウェアアップグレード)、NSR(ノンストップアクティブルーティング)
イーサネットインターフェイスと IRB(Integrated Routing and Bridging)インターフェイス
Junos Node Slicing
Junos OS Evolvedリリース22.4R1以降、コレクターのDSCP、転送クラス、またはルーティングインスタンスを設定します。
Junos OS Evolvedリリース22.4R1以降、テンプレートIDまたはオプションテンプレートIDを設定します。

インライン監視サービスでは、現在以下はサポートされていません。

16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスを設定する。
Junos Traffic Vision
Junos OS リリース 21.1R1以前では、 inline-monitoring-instance条件アクションは、 inet および inet6 ファミリーファイアウォールフィルターでのみサポートされています。Junos OS リリース 21.1R1以降、 any, bridge, ccc, mpls, および vpls ファミリーファイアウォールフィルターでサポートされています。
IPv6アドレス指定可能なコレクター
仮想プラットフォーム
論理システム
観測ドメインIDと観測クラウドIDの両方を設定します。そのうちの 1 つだけを選択する必要があります。
例外レポートに使用されるインライン監視インスタンスアクションは、ファイアウォールリダイレクトアクションや通常のインライン監視アクションなど、他の目的には使用できません。
ファイアウォールのリダイレクトアクションに使用されるインライン監視インスタンスは、例外レポートや通常のインライン監視アクションなど、他の目的には使用できません。
Junos OS Evolvedリリース22.4R1より前は、コレクターのDSCP、転送クラス、またはルーティングインスタンスを設定します。
Junos OS Evolvedリリース22.4R1以前では、テンプレートIDまたはオプションテンプレートIDを設定します。これらはシステムによって生成されます。
同じファイアウォールフィルター条件(Junos OS Evolved)でポートミラーリングとインライン監視サービスを設定します。
エグレス方向では、SFlow と例外レポートの両方を設定します。そのうちの1つだけを選択する必要があります(Junos OS Evolved)。

インライン監視サービスの設定

インライン監視サービスは、IPv4とIPv6の両方のトラフィックを、イングレスとエグレスの両方の方向で監視できます。MPC(Junos OS)を搭載したMXシリーズルーターと、Junos OS Evolvedを実行するPTXルーターで、インライン監視を有効にすることができます。

インライン監視サービスを設定して、インターフェイスの同じ論理ユニット上の異なるサンプリングレートでトラフィックの異なるストリームを監視できます。また、効果的なトラブルシューティングのために、元のパケットサイズをインターフェイスの起点に関する情報とともにコレクターにエクスポートすることもできます。

設定する前に

インライン監視サービスを設定すると、以下が可能になります。

最大 16 個(Junos OS)または 7(Junos OS Evolved)のインライン監視インスタンスを設定します。各インスタンスの下で、特定のコレクターおよびテンプレートパラメーターを設定できます。
各インライン監視インスタンスの下に、最大4つのIPv4アドレス指定可能なコレクターを設定します。合計で、最大 64 個のコレクターを設定できます。コレクターはリモートにいても、異なる場所にあってもかまいません。

コレクターごとに、送信元アドレスや宛先アドレスなどの特定のパラメーターを設定できます。コレクターのデフォルトのルーティングインスタンス名は default.inet です。
Junos OSでは、inetまたはinet6ファミリーファイアウォールフィルターにアクションinline-monitoring-instance inline-monitoring-instance-name という条件で設定できます。Junos OS リリース 21.1R1以降、アクションinline-monitoring-instance inline-monitoring-instance-name という用語でany, bridge, ccc, mpls,またはvplsファミリーファイアウォールフィルターを設定できます。Junos OS Evolvedでは、any, ccc, ethernet-switch, inet, inet6,またはmplsファミリーファイアウォールフィルターを、アクションインラインモニタリングインスタンスinline-monitoring-instance-nameという用語で設定できます。

各条件は、異なるインライン監視インスタンスをサポートできます。
インターフェイスの論理ユニットのファミリーの下にインライン監視ファイアウォールフィルターをアタッチします。

設定を正常にコミットしたら、CLIから show services inline-monitoring statistics fpc-slot コマンドを発行して、インライン監視サービスの実装を確認できます。

手記：

従来のサンプリング技術(JFlow や SFlow など)のいずれかとともにインライン監視サービスを適用する必要があるパケットの場合、パケット転送エンジンはそのパケットに対してインライン監視サービスと従来のサンプリング技術の両方を実行します。ポートミラーリングは、現在、Junos OS Evolvedの別の条件で設定する必要があります。

図 6 は、インライン監視サービスのサンプル図です。デバイスインターフェイス上でトラフィックを 2 つの異なるサンプリングレートで監視し、IPFIX カプセル化形式で 4 つのリモートコレクターにエクスポートします。Junos OS では、各コレクターでサンプリングレートを設定し、コレクターごとに異なるレートを許可します。Junos OS Evolvedの場合、インライン監視インスタンスでサンプリングレートを設定すると、そのインスタンスに設定されたすべてのコレクターに適用されます。

図6:インライン監視サービスの Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

この例では、デバイスのet-1/0/0インターフェイスにインライン監視サービスが設定されています。設定の詳細は次のとおりです。

インライン監視インスタンスには、インスタンス 1 とインスタンス 2 の 2 つがあります。
4つのコレクターがあり、各インライン監視インスタンスの下に2つのコレクターがあります。
- インスタンス 1 には Collector-1 と Collector-2 があります。
- インスタンス 2 には Collector-101 と Collector-102 があります。
インスタンス 1 のコレクターのサンプリングレートは 1:10000 です。
インスタンス 2 のコレクターのサンプリングレートは 1:1 です。
インスタンス 1 のコレクターの送信元アドレスは 10.1.1.1 で、宛先アドレスは 10.2.2.1 です。
インスタンス 2 のコレクターの送信元アドレスと宛先アドレスはそれぞれ 10.11.1.1 と 10.12.2.1 です。
パケットは、IPFIX カプセル化形式でコレクターにエクスポートされます。

インライン監視サービスを設定するには:

インライン監視サービスを提供するために、各インライン監視インスタンスのファイアウォールフィルターを定義します。ファミリーファイアウォールフィルターは、アクションinline-monitoring-instanceという用語で設定できます。

ファイアウォールフィルターを定義するには:

この例では、条件 t1 と t2 がそれぞれ Instance1 と Instance2 に設定されています。

関連するテンプレート、インスタンス、およびコレクターパラメーターを設定して、インライン監視サービスを有効にします。

インライン監視サービステンプレートを設定するには、次の手順を実行します。

この例では、テンプレート template-1 と template-2 が設定されています。

インライン監視インスタンスおよびコレクターパラメータを設定するには、次の手順を実行します。

Junos OSの場合:

Junos OS のこの例では、インスタンス 1 には collector-1 と collector-2 の 2 つのコレクターがあり、Instance2 には collector-101 と collector-102 の 2 つのコレクターがあります。両方のインスタンスで異なるサンプリングレートが設定されています。

Junos OS Evolvedの場合:

この例では、Junos OS Evolvedの場合、インスタンス1にはコレクター-1とコレクター-2の2つのコレクターがあり、インスタンス2にはコレクター-101とコレクター-102の2つのコレクターがあります。両方のインスタンスで異なるサンプリングレートが設定されています。

インターフェイスの論理ユニットのファミリーでファイアウォールフィルターをマッピングし、イングレスまたはエグレス方向にインライン監視を適用します。
または、入力または出力ステートメントを使用してファイアウォールフィルターを転送テーブルフィルターにマッピングし、それぞれイングレスパケットまたはエグレスパケットをフィルタリングすることで、インライン監視を適用できます。

ファイアウォールフィルターをアタッチするには:
この例では、インライン監視フィルターが、et-1/0/0のユニット0のファミリーinetにアタッチされています。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放

形容

23.4R1-EVO

インライン監視サービス(JNP10K-LC1201またはJNP10K-LC1202ラインカードを搭載したPTX10003ルーター)—Junos OS Evolvedリリース23.4R1以降、PTX10003ルーターでインライン監視サービスを設定して例外を報告できるようになりました。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーファイアウォールフィルターに、アクションインラインモニタリングインスタンス inline-monitoring-instance-nameという用語で設定することもできます。

22.4R1-EVO

インライン監視サービス(JNP10K-LC1201 または JNP10K-LC1202 ラインカードを搭載した PTX10001-36MR、PTX10004、PTX10008、PTX10016 ルーター) - Junos OS Evolved リリース 22.4R1 以降、PTX10001-36MR、PTX10004、PTX10008、PTX10016 ルーターでインライン監視サービスを設定して、パケットのサンプリング、メタデータの追加、および設定されたクリップ長までのパケットを IPFIX コレクタにエクスポートしてさらに処理することができます。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーファイアウォールフィルターに、アクションインラインモニタリングインスタンス inline-monitoring-instance-nameという用語で設定することもできます。

22.3R1

インライン監視サービス(MX304ルーター)- Junos OS リリース22.3R1以降、MX304ルーターでインライン監視サービスを設定できます。

22.2R1-EVO

インライン監視サービス(JNP10K-LC1201 または JNP10K-LC1202 ラインカードを搭載した PTX10001-36MR、PTX10004、PTX10008、PTX10016 ルーター) - Junos OS Evolvedリリース22.1R1以降、PTX10001-36MR、PTX10004、PTX10008、およびPTX10016ルーターでインライン監視サービスを設定して、例外を報告できます。また、 any, ccc, ethernet-switch, inet, inet6, または mpls ファミリーファイアウォールフィルターに、アクションインラインモニタリングインスタンス inline-monitoring-instance-nameという用語で設定することもできます。

21.4R1

インライン監視サービス(MX10008ルーター用LC9600ラインカード) - Junos OS リリース 21.4R1以降、LC9600ラインカードを含むMX10008ルーターでインライン監視サービスを設定できます。

21.2R1

インライン監視サービス(MPC10EおよびMPC11EラインカードでMXシリーズ)のレイヤー2および任意のファイアウォールフィルターファミリーのサポート—Junos OS リリース 21.2R1以降、 any, bridge, ccc, mpls, または vpls ファミリーのファイアウォールフィルターに、アクションインラインモニタリングインスタンス inline-monitoring-instance-nameという用語で設定することができます。

21.2R1

インライン監視サービス(MX10008およびMX10016ルーター用LC480ラインカード - Junos OS リリース 21.2R1以降、LC480ラインカードを含むMX10008およびMX10016ルーターでインライン監視サービスを設定できます。

21.1R1

インライン監視サービス(MPC10EとMPC11Eラインカードを除くMPCでMXシリーズ)のレイヤー2および任意のファイアウォールフィルターファミリーのサポート—Junos OS リリース 21.1R1以降、アクションインラインモニタリングインスタンス inline-monitoring-instance-nameという用語を使用して、any、bridge、ccc、mpls、またはvplsファミリーファイアウォールフィルターを設定できます。

20.4R1

インライン監視サービス(MXシリーズルーター用MPC10EおよびMPC11Eラインカード)- Junos OS リリース20.4R1以降、MPC10EおよびMPC11Eラインカードを含むMXシリーズルーターでインライン監視サービスを設定できます。

19.4R1

インライン監視サービス(MPC10EとMPC11Eラインカードを除くMPCを搭載したMXシリーズ)- Junos OS リリース 19.4R1 以降、同じインターフェイス上で異なるサンプリングレートでトラフィックの異なるストリームを柔軟に監視できる新しい監視テクノロジを構成できます。また、設定されたクリップ長までのパケットを、IP Flow Information Export(IPFIX)形式でコレクターにエクスポートすることもできます。IPFIX 形式には、コレクターでさらに処理するために、監視対象パケットに関する重要なメタデータ情報が含まれています。