MX, vMX 및 T 시리즈 라우터, EX 시리즈 스위치, NFX 시리즈 디바이스 및 SRX 시리즈 방화벽에서 IPFIX 플로우 템플릿을 사용하도록 인라인 액티브 플로우 모니터링 구성
IPFIX를 사용하면 IPv4 트래픽 또는 IPv6 트래픽에 적합한 플로우 레코드 템플릿을 정의할 수 있습니다. 템플릿은 주기적으로 컬렉터로 전송되며, 컬렉터는 라우터 구성에 영향을 주지 않습니다. 템플릿 새로 고침 빈도, 플로우 활성 시간 초과 및 비활성 시간 제한을 정의할 수 있습니다.
플로우 레코드가 여러 프로토콜 체계(예: IPv4 및 IPv6)에 대해 전송되는 경우 각 프로토콜 체계 flow에는 고유한 관찰 도메인 ID가 있습니다. 다음 섹션에는 추가 정보가 포함되어 있습니다.
Junos OS 릴리스 17.3R1부터 IPFIX 플로우 템플릿이 QFX10002 스위치에서 지원됩니다.
Junos OS 릴리스 17.4R1부터 IPFIX 플로우 템플릿이 QFX10008 및 QFX10016 스위치에서 지원됩니다.
Junos OS 릴리스 19.4R1부터 IPFIX 플로우 템플릿은 SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, vSRX 가상 방화벽, vSRX3.0 디바이스에서 지원됩니다.
Junos OS 릴리스 20.1R1부터 IPFIX 플로우 템플릿은 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서 지원됩니다.
Junos OS 릴리스 20.4R1부터 IPFIX 플로우 템플릿은 NFX150, NFX250 NextGen 및 NFX350 디바이스에서 지원됩니다.
(SRX 방화벽만 해당) 인라인 액티브 플로우 모니터링은 세션과 관련된 플로우에 따라 작동합니다. 주어진 세션에 대해 서비스 오프로드(SOF), PMI 또는 둘 다 활성화된 경우, 인라인 액티브 플로우 모니터링은 해당 세션에 대해 지원되지 않습니다. 세션이 PMI 또는 SOF에 의해 처리되는 경우, 해당 플로우에 대한 인라인 액티브 플로우 모니터링이 비활성화됩니다.
IPFIX 템플릿 속성 구성
IPFIX 템플릿을 정의하려면 계층 수준에서 다음 문을 [edit services flow-monitoring version-ipfix] 포함합니다.
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
다음 세부 정보가 구성 문에 적용됩니다.
-
문을 포함하여 각 템플릿에 고유한 이름을 할당합니다
template template-name. -
그런 다음 또는
ipv6-template을ipv4-template(를) 포함하여 적절한 트래픽 유형에 대한 각 템플릿을 지정합니다. -
템플릿 정의 내에서 및
flow-inactive-timeout명령문에flow-active-timeout대한 값을 선택적으로 포함할 수 있습니다. 이러한 명령문은 템플릿 정의에서 사용될 때 특정 기본값 및 범위 값을 갖습니다. 기본값은 60초이고 범위는 10초에서 600초 사이입니다. -
또한 템플릿 정의 내에 및
template-refresh-rate문에option-refresh-rate대한 설정을 포함할 수 있습니다. 두 속성 모두에 대해 타이머 값(초) 또는 패킷 수(패킷 수)를 포함할 수 있습니다. 옵션의seconds경우 기본값은 600이고 범위는 10에서 600까지입니다. 옵션의packets경우 기본값은 4800이고 범위는 1에서 480,000까지입니다. -
미디어 인터페이스에서 IPv6 트래픽을 필터링하기 위해 다음과 같은 구성이 지원됩니다:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
제한
IPFIX 템플릿에는 다음과 같은 제한 사항이 적용됩니다.
-
아웃바운드 라우팅 엔진 트래픽은 샘플링되지 않습니다. 방화벽 필터는 패킷을 샘플링하고 데이터를 내보내는 송신 인터페이스에 출력으로 적용됩니다. 전송 트래픽의 경우 송신 샘플링이 올바르게 작동합니다. 내부 트래픽의 경우 다음 홉은 패킷 포워딩 엔진에 설치되지만 샘플링된 패킷은 내보내지지 않습니다.
-
플로우는 경로 레코드 재동기화 작업이 완료된 후에만 생성되며, 이 작업은 120초가 걸립니다.
-
VLAN ID 필드는 새 흐름 레코드가 생성될 때 업데이트되므로 레코드가 생성된 후 VLAN ID의 변경 사항은 레코드에서 업데이트되지 않을 수 있습니다.
IPFIX 플로우 템플릿에 대한 템플릿 ID, 관찰 도메인 ID 및 소스 ID 사용자 정의
Junos OS 릴리스 14.1부터 IPv4 트래픽, IPv6 트래픽, MPLS 트래픽, IPv4와 MPLS 트래픽의 조합 또는 피어 AS 청구 트래픽에 적합한 IPFIX 플로우 레코드 템플릿을 정의할 수 있습니다. 템플릿과 템플릿에 포함된 필드는 주기적으로 컬렉터로 전송되며, 컬렉터는 라우터 구성을 알 필요가 없습니다. 버전 9 및 IPFIX 템플릿의 고유 식별자를 지정할 수 있습니다. 템플릿의 식별자는 전송 세션과 관찰 도메인의 조합 내에서 로컬적으로 고유합니다. 템플릿 ID 0에서 255는 템플릿 세트, 옵션, 템플릿 세트 및 나중에 사용할 수 있는 기타 세트에 대해 예약됩니다. 데이터 세트의 템플릿 ID는 256에서 65535까지 번호가 매겨집니다. 일반적으로 템플릿의 이 정보 요소 또는 필드는 템플릿에 있는 다른 정보 요소의 특성이나 속성을 정의하는 데 사용됩니다. 템플릿 내보내기 프로세스를 다시 시작한 후 템플릿 ID를 다시 할당할 수 있습니다.
템플릿 ID, 옵션 템플릿 ID, 관찰 도메인 ID, 소스 ID를 구성하는 이 기능은 MPC가 있는 모든 라우터에서 지원됩니다.
해당 데이터 세트 및 옵션 데이터 세트에는 세트 ID 필드에 템플릿 ID와 옵션 템플릿 ID의 값이 각각 포함됩니다. 이 방법을 사용하면 수집기가 데이터 레코드를 템플릿 레코드와 일치시킬 수 있습니다.
버전 9 및 IPFIX 플로우의 소스 ID, 관찰 도메인 ID, 템플릿 ID 및 옵션 템플릿 ID를 지정하는 방법에 대한 자세한 내용은 버전 9 및 IPFIX 플로우의 관찰 도메인 ID 및 소스 ID 구성 및 버전 9 및 IPFIX 플로우의 템플릿 ID 및 옵션 템플릿 ID 구성을 참조하십시오.
IPFIX 템플릿
IPFIX IPv4 및 IPv6 템플릿에 포함된 필드의 정의에 대한 자세한 내용은 IPFIX 및 버전 9 템플릿을 참조하십시오.
확인
IPFIX에 대해 지원되는 show 명령은 다음과 같습니다.
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
예: IPFIX 플로우 템플릿 및 플로우 샘플링 구성
다음 예제에서는 IPFIX 템플릿 구성을 보여 줍니다.
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
다음 예제에서는 IPFIX 템플릿을 적용하여 청구를 위해 트래픽 샘플링을 사용하도록 설정합니다.
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
예: 인라인 액티브 플로우 모니터링 버전 9 플로우 템플릿 및 플로우 샘플링 구성
다음 예는 인라인 액티브 플로우 모니터링 버전 9 IPv4 템플릿 구성을 보여줍니다.
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv6 템플릿 구성을 보여줍니다.
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv4 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv6 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 샘플링 인터페이스 바인딩(인터페이스 사용)을 보여줍니다.
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
다음 예는 방화벽 필터(필터 사용)와의 인라인 Active Flow Monitoring 버전 9 샘플링 인터페이스 바인딩을 보여줍니다.
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
예: IPFIX 플로우 템플릿 및 플로우 샘플링 구성
다음 예는 IPFIX IPv4 템플릿 구성을 보여줍니다.
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
다음 예는 IPFIX IPv6 템플릿 구성을 보여줍니다.
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
다음은 IPFIX IPv4 샘플링 트래픽 및 내보내기 구성을 보여 줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 IPFIX IPv6 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.