このページで
インライン監視サービスの設定
インライン監視サービスについて
インライン監視サービスのメリット
柔軟性:インライン監視サービスでは、すべてのインスタンスがフレキシブルPICコンセントレータ(FPC)にマッピングされる従来のサンプリング技術とは異なり、異なるインライン監視インスタンスを異なるファイアウォールフィルター条件にマッピングできます。これにより、単一のインターフェイス上で異なるレートで異なるトラフィックストリームをサンプリングする柔軟性が得られます。
パケット形式に依存しない-従来のフロー収集技術は、ネットワーク要素によるパケット解析とアグリゲーションに依存しています。インライン監視サービスでは、パケット ヘッダーはコレクターにエクスポートされ、さらに処理されますが、アグリゲーションは行いません。そのため、任意のパケット フィールドを使用して監視対象のパケットをコレクターで処理するメリットがあります。
インライン監視サービス機能の概要
通常、サービス プロバイダとコンテンツ プロバイダは、ピアリング契約の評価、トラフィックの異常とポリシー違反の検出、ネットワーク パフォーマンスの監視のために、トラフィック フローを可視化する必要があります。これらの要件を満たすために、従来は JFlow または IPFIX バリアントを使用して集約フロー統計情報をエクスポートしていました。
別のアプローチとして、パケットのコンテンツをサンプリングし、メタデータ情報を追加し、監視対象のパケットをコレクターにエクスポートできます。インライン監視サービスでは、MXシリーズルーターとJunos OS Evolved実行するPTXルーターでこれを行うことができます。
インライン監視サービスでは、インターフェイスのイングレスとエグレスの両方の方向で、すべての IPv4 および IPv6 パケットを監視できます。ソフトウェアは監視対象のトラフィックを IPFIX 形式でカプセル化し、実際のパケットを設定されたクリップ長までコレクターにエクスポートして、さらに処理を進めます。デフォルトでは、Junos OSはイーサネットヘッダーから最大126バイトのクリップ長をサポートし、Junos OS Evolvedはイーサネットヘッダーから始まる最大クリップ長256バイトをサポートしています。
図 1 は、IPFIX フォーマット指定を示しています。
IPFIX ヘッダーおよび IPFIX ペイロードは、IP または UDP トランスポート層を使用してカプセル化されます。エクスポートされる IPFIX フォーマットには、2 つのデータ・レコードと、すべてのコレクターにエクスポートされる 2 つのデータ・テンプレートが含まれています。
データレコード—送受信インターフェイス、フロー方向、データリンクフレームセクション、データリンクフレームサイズが含まれます。この情報は、サンプリングされたパケットがエクスポートされている場合にのみコレクターに送信されます。
図 2 は、IPFIX データ・レコード・パケットのサンプル図です。
オプションデータレコード - プロセスIDのエクスポートやサンプリング間隔などのシステムレベル情報が含まれます。この情報は、サンプリング パケットがエクスポートされないかどうかに関係なく、定期的にコレクターに送信されます。
図 3 は、IPFIX オプション のデータ レコード パケットのサンプル図です。
表 1: IPFIX オプション・データ・パケット内の情報エレメント・フィールド 数
情報要素 ID
情報要素の長さ
詳細
1
144
4B
監視ドメイン ID - IPFIX デバイスごとのエクスポート プロセスの一意の識別子。このフィールドの目的は、他の情報エレメント・フィールドの範囲を制限することです。
2
34
4B
パケットがサンプリングされるサンプリング間隔。1000 は、1,000 パケットの 1 つがサンプリングされることを示しています。
データ テンプレート - 5 つの情報要素が含まれます。
イングレス インターフェイス
エグレス インターフェイス
流れ方向
データ リンク フレーム サイズ
可変データリンクフレーム選択
図 4 は、IPFIX データ テンプレート パケットのサンプルイラストです。
オプションデータテンプレート -フローエクスポートとサンプリング間隔情報が含まれます。
図 5 は、IPFIX オプション データ テンプレート パケットのサンプルイラストです。
新しいインライン監視サービス構成または変更されたインライン監視サービス構成がある場合、データ テンプレートとオプション データ テンプレートの定期的なエクスポートは、それぞれのコレクターに直ちに送信されます。
インライン監視サービスの構成の概要
テンプレートおよびコレクター固有の設定パラメータをサポートする最大16(Junos OS)または7(Junos OS Evolved)インライン監視インスタンスを設定できます。各インライン監視インスタンスは、最大 4 個のコレクター(合計で最大 64 個のコレクター)をサポートし、Junos OS の場合のみ、各コレクター設定で異なるサンプリング レートを指定できます。この柔軟性により、インライン監視サービスは、JFlow、sFlow、ポートミラーリングなどの従来のサンプリング技術の限界を克服します。
インライン監視を設定するには:
-
階層レベルに ステートメントを
inline-monitoring
[edit services]
含める必要があります。ここでは、テンプレートとインライン監視インスタンスパラメーターを指定します。インライン監視インスタンスでコレクターパラメーターを指定する必要があります。 -
ファイアウォールフィルター条件と、設定されたインライン監視インスタンスを受け入れるアクションを使用して、任意の一致条件を指定します。これは、インライン監視インスタンスをファイアウォール条件にマッピングします。
-
[edit firewall filter then] 階層レベルの ステートメントを
inline-monitoring-instance
使用して、ファミリーinet
またはinet6
ステートメントの下でファイアウォールフィルターnameをマッピングします。Junos OSリリース21.1R1以降では、ファミリーany, bridge, ccc, mpls,
またはvpls
ステートメントの下でファイアウォールフィルターをマッピングすることもできます。Junos OS Evolvedの場合、bridge
およびvpls
ファミリはサポートされません。代わりにファミリをethernet-switch
使用します。Junos OS Evolvedは、 、ccc
、inet6
inet
、 ファミリーmpls
もサポートany
します。また、入力ステートメントまたは出力ステートメントを含む転送テーブルフィルターにファイアウォールフィルターを適用して、イングレスパケットまたはエグレスパケットをそれぞれフィルタリングすることもできます。
覚えて:
-
インライン監視サービスを有効にするには、デバイスは最大パケット長(クリップ長)126バイト(Junos OS)または256バイト(Junos OS Evolved)をサポートする必要があります。
-
転送パスのパケットで利用可能なビット数が不足しているため、16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスを設定することはできません。
-
インライン監視サービスは、コレクターインターフェイス(つまり、コレクターが到達可能なインターフェイス)にのみ適用します。サンプリングのために別の IPFIX パケットを生成するため、IPFIX トラフィックにインライン監視を適用してループを作成する必要はありません。これには、テンプレート、レコードパケット、オプションテンプレート、オプションレコードパケットなどの、サービス生成トラフィックのインライン監視が含まれます。
-
集合型イーサネット(AE)インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。
表 2:集合型イーサネット・インターフェースの情報エレメント値 AE インターフェイス上のインライン監視サービスの方向
情報要素-10(受信インターフェイス)
情報要素-14(発信インターフェイス)
イングレス
AE の SNMP ID
0
出口
AE の SNMP ID
メンバーリンクのSNMP ID
-
IRB インターフェイスでインライン監視サービスが有効になっている場合、情報要素の値は次のようになります。
表 3:IRB インターフェイスの情報要素値 IRB インターフェイス上のインライン監視サービスの方向
情報要素-10(受信インターフェイス)
情報要素-14(発信インターフェイス)
イングレス
IRB の SNMP ID
0
出口
IRB の SNMP ID
VLANブリッジカプセル化インターフェイスのSNMP ID
-
XL-XM ベースのデバイス(XL(ルックアップ チップ)およびバッファリング ASIC(XM)の場合、エグレス パケットの長さがクリップ長よりも長い場合でも、エクスポートされたパケット内のデータ リンク フレーム セクション情報エレメントの長さはクリップ長よりも短くなります。
データリンクフレームセクション情報要素の長さは、「N」バイト数で減少します。ここで、「N」=(イングレスパケットレイヤー2のカプセル化の長さ - エグレスパケットレイヤー2のカプセル化の長さ)。
例えば、イングレスパケットにMPLSラベルがあり、エグレスパケットがIPv4またはIPv6タイプの場合、イングレスパケットのレイヤー2カプセル化長はエグレスパケットよりも長くなります。プロバイダエッジ(PE)デバイスからカスタマーエッジ(CE)デバイスにトラフィックが流れると、イングレスパケットにはVLANタグが付き、エグレスパケットはタグなしになります。
このような場合、クリップの長さはパケット ヘッドの最後のアドレス位置を超えて、システム ログ メッセージを
PKT_HEAD_SIZE
生成できます。これにより、デバイスのパケット転送が低下する可能性があります。 -
イングレス方向のインライン監視サービスの場合、
egressInterface
(情報要素ID 14)は出力インターフェイスのSNMPインデックスを報告しません。この情報要素 ID は、イングレス方向の場合は常に値 0 を報告します。受信側のコレクタープロセスは、 (情報要素 ID 61) に基づいてこのフィールドの有効性をflowDirection
識別する必要があります。
インライン監視サービスでサポートされている機能とサポートされていない機能
インライン監視サービスは以下をサポートします。
-
グレースフル ルーティング エンジン スイッチオーバー
-
ISSU(インサービス ソフトウェア アップグレード)、NSSU(ノンストップ ソフトウェア アップグレード)、NSR(ノンストップ アクティブ ルーティング)
-
イーサネット インターフェイスと IRB(統合型ルーティングおよびブリッジング)インターフェイス
-
Junos Node Slicing
-
Junos OS Evolved リリース 22.4R1 以降、コレクター向けに DSCP、転送クラス、またはルーティング インスタンスを設定します。
-
Junos OS Evolved リリース 22.4R1 以降、テンプレート ID またはオプション テンプレート ID の設定を行います。
インライン監視サービスは現在サポートしていません。
-
16(Junos OS)または7(Junos OS Evolved)を超えるインライン監視インスタンスの設定。
-
Junos Traffic Vision
-
Junos OS リリース 21.1R1 以前は、インライン監視インスタンス条件アクションは、 および
inet6
ファミリー ファイアウォール フィルターでのみinet
サポートされています。Junos OS リリース 21.1R1 以降、およびvpls
ファミリー ファイアウォール フィルターでany, bridge, ccc, mpls,
サポートされています。 -
IPv6 アドレッシング可能なコレクター
-
仮想プラットフォーム
-
論理システム
-
監視ドメイン ID と監視クラウド ID の両方を設定します。いずれか 1 つだけを選択する必要があります。
-
例外レポートに使用されるインライン監視インスタンスアクションは、ファイアウォールの再ダイレクトアクションや通常のインライン監視アクションなど、他の目的には使用できません。
-
ファイアウォールの再ダイレクトアクションに使用されるインライン監視インスタンスは、例外レポートや通常のインライン監視アクションなど、他の目的には使用できません。
-
リリース 22.4R1 をJunos OS Evolvedする前は、コレクターに DSCP、転送クラス、またはルーティング インスタンスを設定します。
-
リリース 22.4R1 Junos OS Evolvedする前は、テンプレート ID またはオプション テンプレート ID を設定していました。これらの情報が生成されます。
-
同じファイアウォールフィルター条件(Junos OS Evolved)でポートミラーリングとインライン監視サービスを設定します。
-
エグレス方向では、SFlowと例外レポートの両方を設定します。1 つだけ(Junos OS Evolved)を選択する必要があります。
インライン監視サービスの設定
インライン監視サービスは、イングレスとエグレスの両方の方向で、IPv4 と IPv6 の両方のトラフィックを監視できます。MPC(Junos OS)を搭載したMXシリーズルーターと、Junos OS Evolved実行するPTXルーターでインライン監視を有効にすることができます。
概要 インライン監視サービスを設定して、インターフェイスの同じ論理ユニット上で異なるサンプリング レートで異なるトラフィックストリームを監視できます。また、トラブルシューティングを効果的に行うために、元のパケット サイズをインターフェイス送信元の情報とともにコレクターにエクスポートすることもできます。
設定する前に
インライン監視サービスを設定する場合、以下のことができます。
-
最大 16(Junos OS)または 7(Junos OS Evolved)インライン監視インスタンスを設定します。各インスタンスでは、特定のコレクターとテンプレートのパラメーターを設定できます。
-
インライン監視インスタンスごとに、最大4つのIPv4アドレス可能なコレクターを設定します。合計で、最大 64 個のコレクターを構成できます。コレクターはリモートで、異なる場所に配置できます。
コレクターごとに、送信元アドレスや宛先アドレスなど、特定のパラメーターを設定できます。コレクターのデフォルトのルーティングインスタンス名は です
default.inet
。 -
Junos OSでは、 または
inet6
ファミリーファイアウォールフィルターをinet
条件アクションinline-monitoring-instance inline-monitoring-instance-name
で設定できます。Junos OSリリース21.1R1以降、条件アクションinline-monitoring-instance inline-monitoring-instance-name
でファイアウォールフィルターを設定any, bridge, ccc, mpls,
またはvpls
ファミリー化できます。Junos OS Evolvedの場合、 またはmpls
ファミリーファイアウォールフィルターをany, ccc, ethernet-switch, inet, inet6,
インライン監視インスタンスinline-monitoring-instance-nameという条件で設定できます。各条件は、異なるインライン監視インスタンスをサポートできます。
-
インターフェイスの論理ユニットファミリーの下に、インライン監視ファイアウォールフィルターをアタッチします。
設定を正常にコミットした後、CLI から show services inline-monitoring statistics fpc-slot コマンドを発行することで、インライン監視サービスの実装を検証できます。
パケットに、従来のサンプリング技術(JFlowやSFlowなど)とともにインライン監視サービスを適用する必要がある場合、パケット転送エンジンはインライン監視サービスとそのパケットに対する従来のサンプリング技術の両方を実行します。現在、ポートミラーリングは、Junos OS Evolvedの異なる条件で設定する必要があります。
図 6 は、インライン監視サービスのサンプルイラストです。ここでは、トラフィックがデバイス インターフェイス上の 2 つの異なるサンプリング レートで監視され、IPFIX カプセル化形式で 4 つのリモート コレクターにエクスポートされます。Junos OS では、各コレクターでサンプリング レートを設定し、コレクターごとに異なるレートを許可します。Junos OS Evolvedでは、インライン監視インスタンスでサンプリングレートを設定し、そのインスタンスに設定されたすべてのコレクターに適用されます。
この例では、デバイスのet-1/0/0インターフェイスがインライン監視サービスで設定されています。設定の詳細は次のとおりです。
-
インライン監視インスタンスは、インスタンス1とインスタンス2の2つです。
-
各インライン監視インスタンスの下には、4 つのコレクターと 2 つのコレクターがあります。
-
インスタンス1には、Collector-1と Collector-2があります。
-
インスタンス2には、Collector-101と Collector-102があります。
-
-
インスタンス 1 のコレクターのサンプリング レートは 1:10000 です。
-
インスタンス 2 のコレクターのサンプリング レートは 1:1 です。
-
インスタンス 1 コレクターの送信元アドレスと宛先アドレスはそれぞれ 10.1.1.1 と 10.2.2.1 です。
-
インスタンス 2 コレクターの送信元アドレスと宛先アドレスはそれぞれ 10.11.1.1 と 10.12.2.1 です。
-
パケットは、IPFIX カプセル化形式でコレクターにエクスポートされます。
インライン監視サービスを設定するには:
mpls
ファミリーファイアウォールフィルターを
any, ccc, ethernet-switch, inet, inet6,
、インライン監視インスタンス
inline-monitoring-instance-nameという条件で設定することもできます。
mpls
ファミリーファイアウォールフィルターを
any, ccc, ethernet-switch, inet, inet6,
、インライン監視インスタンス
inline-monitoring-instance-nameという条件で設定することもできます。
vpls
ファミリーファイアウォールフィルターをインライン監視インスタンス
inline-monitoring-instance-nameという用語で設定
any, bridge, ccc, mpls,
できます。