インライン監視サービスの設定

インライン監視サービスのメリット

柔軟性:インライン監視サービスでは、すべてのインスタンスがフレキシブルPICコンセントレータ(FPC)にマッピングされる従来のサンプリング技術とは異なり、異なるインライン監視インスタンスを異なるファイアウォールフィルター条件にマッピングできます。これにより、単一のインターフェイス上で異なるレートで異なるトラフィックストリームをサンプリングする柔軟性が得られます。

パケット形式に依存しない-従来のフロー収集技術は、ネットワーク要素によるパケット解析とアグリゲーションに依存しています。インライン監視サービスでは、パケット ヘッダーはコレクターにエクスポートされ、さらに処理されますが、アグリゲーションは行いません。そのため、任意のパケット フィールドを使用して監視対象のパケットをコレクターで処理するメリットがあります。

インライン監視サービス機能の概要

通常、サービス プロバイダとコンテンツ プロバイダは、ピアリング契約の評価、トラフィックの異常とポリシー違反の検出、ネットワーク パフォーマンスの監視のために、トラフィック フローを可視化する必要があります。これらの要件を満たすために、従来は JFlow または IPFIX バリアントを使用して集約フロー統計情報をエクスポートしていました。

別のアプローチとして、パケットのコンテンツをサンプリングし、メタデータ情報を追加し、監視対象のパケットをコレクターにエクスポートできます。インライン監視サービスでは、MXシリーズルーターとJunos OS Evolved実行するPTXルーターでこれを行うことができます。

インライン監視サービスでは、インターフェイスのイングレスとエグレスの両方の方向で、すべての IPv4 および IPv6 パケットを監視できます。ソフトウェアは監視対象のトラフィックを IPFIX 形式でカプセル化し、実際のパケットを設定されたクリップ長までコレクターにエクスポートして、さらに処理を進めます。デフォルトでは、Junos OSはイーサネットヘッダーから最大126バイトのクリップ長をサポートし、Junos OS Evolvedはイーサネットヘッダーから始まる最大クリップ長256バイトをサポートしています。

図 1 は、IPFIX フォーマット指定を示しています。

図 1:インライン監視 IPFIX 仕様

IPFIX ヘッダーおよび IPFIX ペイロードは、IP または UDP トランスポート層を使用してカプセル化されます。エクスポートされる IPFIX フォーマットには、2 つのデータ・レコードと、すべてのコレクターにエクスポートされる 2 つのデータ・テンプレートが含まれています。

• データレコード—送受信インターフェイス、フロー方向、データリンクフレームセクション、データリンクフレームサイズが含まれます。この情報は、サンプリングされたパケットがエクスポートされている場合にのみコレクターに送信されます。

  図 2 は、IPFIX データ・レコード・パケットのサンプル図です。

• オプションデータレコード - プロセスIDのエクスポートやサンプリング間隔などのシステムレベル情報が含まれます。この情報は、サンプリング パケットがエクスポートされないかどうかに関係なく、定期的にコレクターに送信されます。

  図 3 は、IPFIX オプション のデータ レコード パケットのサンプル図です。

  表 1: IPFIX オプション・データ・パケット内の情報エレメント・フィールド

  数	情報要素 ID	情報要素の長さ	詳細
  1	144	4B	監視ドメイン ID - IPFIX デバイスごとのエクスポート プロセスの一意の識別子。このフィールドの目的は、他の情報エレメント・フィールドの範囲を制限することです。
  2	34	4B	パケットがサンプリングされるサンプリング間隔。1000 は、1,000 パケットの 1 つがサンプリングされることを示しています。

• データ テンプレート - 5 つの情報要素が含まれます。

  • イングレス インターフェイス

  • エグレス インターフェイス

  • 流れ方向

  • データ リンク フレーム サイズ

  • 可変データリンクフレーム選択

  図 4 は、IPFIX データ テンプレート パケットのサンプルイラストです。

• オプションデータテンプレート -フローエクスポートとサンプリング間隔情報が含まれます。

  図 5 は、IPFIX オプション データ テンプレート パケットのサンプルイラストです。

新しいインライン監視サービス構成または変更されたインライン監視サービス構成がある場合、データ テンプレートとオプション データ テンプレートの定期的なエクスポートは、それぞれのコレクターに直ちに送信されます。

図 2:IPFIX データ・レコード

図 3:IPFIX オプション・データ・レコード

図 4:IPFIX データ テンプレート

図 5:IPFIX オプション データ テンプレート

インライン監視サービスの構成の概要

テンプレートおよびコレクター固有の設定パラメータをサポートする最大16(Junos OS)または7(Junos OS Evolved)インライン監視インスタンスを設定できます。各インライン監視インスタンスは、最大 4 個のコレクター(合計で最大 64 個のコレクター)をサポートし、Junos OS の場合のみ、各コレクター設定で異なるサンプリング レートを指定できます。この柔軟性により、インライン監視サービスは、JFlow、sFlow、ポートミラーリングなどの従来のサンプリング技術の限界を克服します。

インライン監視を設定するには:

1. 階層レベルに ステートメントをinline-monitoring[edit services]含める必要があります。ここでは、テンプレートとインライン監視インスタンスパラメーターを指定します。インライン監視インスタンスでコレクターパラメーターを指定する必要があります。

2. ファイアウォールフィルター条件と、設定されたインライン監視インスタンスを受け入れるアクションを使用して、任意の一致条件を指定します。これは、インライン監視インスタンスをファイアウォール条件にマッピングします。

3. [edit firewall filter then] 階層レベルの ステートメントをinline-monitoring-instance使用して、ファミリーinetまたはinet6ステートメントの下でファイアウォールフィルターnameをマッピングします。Junos OSリリース21.1R1以降では、ファミリーany, bridge, ccc, mpls,またはvplsステートメントの下でファイアウォールフィルターをマッピングすることもできます。Junos OS Evolvedの場合、bridgeおよび vplsファミリはサポートされません。代わりにファミリをethernet-switch使用します。Junos OS Evolvedは、 、 ccc、 inet6inet、 ファミリーmplsもサポートanyします。また、入力ステートメントまたは出力ステートメントを含む転送テーブルフィルターにファイアウォールフィルターを適用して、イングレスパケットまたはエグレスパケットをそれぞれフィルタリングすることもできます。

覚えて：

• インライン監視サービスを有効にするには、デバイスは最大パケット長(クリップ長)126バイト(Junos OS)または256バイト(Junos OS Evolved)をサポートする必要があります。

• 転送パスのパケットで利用可能なビット数が不足しているため、16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスを設定することはできません。

• インライン監視サービスは、コレクターインターフェイス(つまり、コレクターが到達可能なインターフェイス)にのみ適用します。サンプリングのために別の IPFIX パケットを生成するため、IPFIX トラフィックにインライン監視を適用してループを作成する必要はありません。これには、テンプレート、レコードパケット、オプションテンプレート、オプションレコードパケットなどの、サービス生成トラフィックのインライン監視が含まれます。

• 集合型イーサネット(AE)インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。

  表 2:集合型イーサネット・インターフェースの情報エレメント値

  AE インターフェイス上のインライン監視サービスの方向	情報要素-10(受信インターフェイス)	情報要素-14(発信インターフェイス)
  イングレス	AE の SNMP ID	0
  出口	AE の SNMP ID	メンバーリンクのSNMP ID

• IRB インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。

  表 3:IRB インターフェイスの情報要素値

  IRB インターフェイス上のインライン監視サービスの方向	情報要素-10(受信インターフェイス)	情報要素-14(発信インターフェイス)
  イングレス	IRB の SNMP ID	0
  出口	IRB の SNMP ID	VLANブリッジカプセル化インターフェイスのSNMP ID

• XL-XM ベースのデバイス(XL(ルックアップ チップ)およびバッファリング ASIC(XM)の場合、エグレス パケットの長さがクリップ長よりも長い場合でも、エクスポートされたパケット内のデータ リンク フレーム セクション情報エレメントの長さはクリップ長よりも短くなります。

  データリンクフレームセクション情報要素の長さは、「N」バイト数で減少します。ここで、「N」=(イングレスパケットレイヤー2のカプセル化の長さ - エグレスパケットレイヤー2のカプセル化の長さ)。

  例えば、イングレスパケットにMPLSラベルがあり、エグレスパケットがIPv4またはIPv6タイプの場合、イングレスパケットのレイヤー2カプセル化長はエグレスパケットよりも長くなります。プロバイダエッジ(PE)デバイスからカスタマーエッジ(CE)デバイスにトラフィックが流れると、イングレスパケットにはVLANタグが付き、エグレスパケットはタグなしになります。

  このような場合、クリップの長さはパケット ヘッドの最後のアドレス位置を超えて、システム ログ メッセージを PKT_HEAD_SIZE 生成できます。これにより、デバイスのパケット転送が低下する可能性があります。

• イングレス方向のインライン監視サービスの場合、 egressInterface (情報要素ID 14)は出力インターフェイスのSNMPインデックスを報告しません。この情報要素 ID は、イングレス方向の場合は常に値 0 を報告します。受信側のコレクタープロセスは、 (情報要素 ID 61) に基づいてこのフィールドの有効性を flowDirection 識別する必要があります。

インライン監視サービスでサポートされている機能とサポートされていない機能

インライン監視サービスは以下をサポートします。

• グレースフル ルーティング エンジン スイッチオーバー

• ISSU(インサービス ソフトウェア アップグレード)、NSSU(ノンストップ ソフトウェア アップグレード)、NSR(ノンストップ アクティブ ルーティング)

• イーサネット インターフェイスと IRB(統合型ルーティングおよびブリッジング)インターフェイス

• Junos Node Slicing

• Junos OS Evolved リリース 22.4R1 以降、コレクター向けに DSCP、転送クラス、またはルーティング インスタンスを設定します。

• Junos OS Evolved リリース 22.4R1 以降、テンプレート ID またはオプション テンプレート ID の設定を行います。

インライン監視サービスは現在サポートしていません。

• 16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスの設定。

• Junos Traffic Vision

• Junos OS リリース 21.1R1 以前は、インライン監視インスタンス条件アクションは、 および inet6 ファミリー ファイアウォール フィルターでのみinetサポートされています。Junos OS リリース 21.1R1 以降、および vpls ファミリー ファイアウォール フィルターでany, bridge, ccc, mpls,サポートされています。

• IPv6 アドレッシング可能なコレクター

• 仮想プラットフォーム

• 論理システム

• 監視ドメイン ID と監視クラウド ID の両方を設定します。いずれか 1 つだけを選択する必要があります。

• 例外レポートに使用されるインライン監視インスタンスアクションは、ファイアウォールの再ダイレクトアクションや通常のインライン監視アクションなど、他の目的には使用できません。

• ファイアウォールの再ダイレクトアクションに使用されるインライン監視インスタンスは、例外レポートや通常のインライン監視アクションなど、他の目的には使用できません。

• リリース 22.4R1 をJunos OS Evolvedする前は、コレクターに DSCP、転送クラス、またはルーティング インスタンスを設定します。

• リリース 22.4R1 Junos OS Evolvedする前は、テンプレート ID またはオプション テンプレート ID を設定していました。これらの情報が生成されます。

• 同じファイアウォールフィルター条件(Junos OS Evolved)でポートミラーリングとインライン監視サービスを設定します。

• エグレス方向では、SFlowと例外レポートの両方を設定します。1 つだけ(Junos OS Evolved)を選択する必要があります。