MX, vMX 및 T 시리즈 라우터, EX 시리즈 스위치, NFX 시리즈 디바이스, SRX 시리즈 방화벽에서 IPFIX 플로우 템플릿을 사용하도록 인라인 액티브 플로우 모니터링 구성
IPFIX를 사용하면 IPv4 트래픽 또는 IPv6 트래픽에 적합한 플로우 레코드 템플릿을 정의할 수 있습니다. 템플릿은 주기적으로 수집기로 전송되며, 수집기는 라우터 구성에 영향을 주지 않습니다. 템플릿 새로 고침 빈도, 플로우 활성 시간 제한 및 비활성 시간 제한을 정의할 수 있습니다.
플로우 레코드가 여러 프로토콜 패밀리(예: IPv4 및 IPv6)에 대해 전송되는 경우, 각 프로토콜 패밀리 플로우는 고유한 관찰 도메인 ID를 갖습니다. 다음 섹션에는 추가 정보가 포함되어 있습니다.
Junos OS 릴리스 17.3R1부터 IPFIX 플로우 템플릿은 QFX10002 스위치에서 지원됩니다.
Junos OS 릴리스 17.4R1부터 IPFIX 플로우 템플릿은 QFX10008 및 QFX10016 스위치에서 지원됩니다.
Junos OS 릴리스 19.4R1부터 IPFIX 플로우 템플릿은 SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, vSRX 가상 방화벽, vSRX3.0 디바이스에서 지원됩니다.
Junos OS 릴리스 20.1R1부터 IPFIX 플로우 템플릿은 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서 지원됩니다.
Junos OS 릴리스 20.4R1부터 IPFIX 플로우 템플릿은 NFX150, NFX250 NextGen 및 NFX350 디바이스에서 지원됩니다.
(SRX 방화벽만 해당) 인라인 액티브 플로우 모니터링은 세션과 관련된 플로우에 작용합니다. 주어진 세션에 대해 서비스 오프로드(SOF), PMI 또는 둘 다 활성화된 경우, 해당 세션에 대해 인라인 액티브 플로우 모니터링이 지원되지 않습니다. 세션이 PMI 또는 SOF에 의해 처리되는 경우, 해당 플로우에 대한 인라인 활성 플로우 모니터링이 비활성화됩니다.
IPFIX 템플릿 속성 구성
IPFIX 템플릿을 정의하기 위해 계층 수준에서 [edit services flow-monitoring version-ipfix] 다음 문을 포함합니다.
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
구성 문에는 다음 세부 사항이 적용됩니다.
-
명령문을 포함하여 각 템플릿에 고유한 이름을 할당합니다.
template template-name -
그런 다음 또는
ipv6-template를 포함하여ipv4-template적절한 트래픽 유형에 대한 각 템플릿을 지정합니다. -
템플릿 정의 내에서 선택적으로 and
flow-inactive-timeout문에 대한flow-active-timeout값을 포함할 수 있습니다. 이러한 문은 템플릿 정의에 사용될 때 특정 기본값과 범위 값을 갖습니다. 기본값은 60초이며 범위는 10초에서 600초입니다. -
템플릿 정의 내에 및 명령
template-refresh-rate문에 대한option-refresh-rate설정을 포함할 수도 있습니다. 이 두 속성 모두에 대해 타이머 값(초) 또는 패킷 수(패킷 수)를 포함할 수 있습니다. 옵션의seconds경우 기본값은 600이고 범위는 10에서 600까지입니다. 옵션의packets경우 기본값은 4800이고 범위는 1에서 480,000까지입니다. -
미디어 인터페이스에서 IPv6 트래픽을 필터링하기 위해 다음 구성이 지원됩니다.
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
제한 사항
IPFIX 템플릿에는 다음과 같은 제한 사항이 적용됩니다.
-
아웃바운드 라우팅 엔진 트래픽은 샘플링되지 않습니다. 방화벽 필터는 패킷을 샘플링하고 데이터를 내보내는 송신 인터페이스의 출력으로 적용됩니다. 전송 트래픽의 경우, 송신 샘플링이 올바르게 작동합니다. 내부 트래픽의 경우 다음 홉은 패킷 포워딩 엔진에 설치되지만 샘플링된 패킷은 내보내지지 않습니다.
-
플로우는 경로 레코드 재동기화 작업이 완료된 후에만 생성되며, 이 작업은 120초가 소요됩니다.
-
VLAN ID 필드는 새 플로우 레코드가 생성될 때 업데이트되므로 레코드가 생성된 후 VLAN ID의 변경 사항은 레코드에서 업데이트되지 않을 수 있습니다.
IPFIX 플로우 템플릿에 대한 템플릿 ID, 관찰 도메인 ID, 소스 ID 사용자 정의
Junos OS 릴리스 14.1부터 IPv4 트래픽, IPv6 트래픽, MPLS 트래픽, IPv4 및 MPLS 트래픽의 조합 또는 피어 AS 청구 트래픽에 적합한 IPFIX 플로우 레코드 템플릿을 정의할 수 있습니다. 템플릿에 포함된 템플릿과 필드는 주기적으로 수집기로 전송되며, 수집기는 라우터 구성을 알 필요가 없습니다. 버전 9 및 IPFIX 템플릿에 대한 고유 식별자를 지정할 수 있습니다. 템플릿의 식별자는 전송 세션과 관찰 도메인의 조합 내에서 로컬에서 고유합니다. 템플릿 ID0에서 255는 템플릿 세트, 옵션 템플릿 세트 및 향후 사용을 위한 기타 세트에 대해 예약되어 있습니다. 데이터 세트의 템플릿 ID는 256에서 65535까지 번호가 매겨집니다. 일반적으로 템플릿의 이 정보 요소 또는 필드는 템플릿에 있는 다른 정보 요소의 특성이나 속성을 정의하는 데 사용됩니다. 템플릿 내보내기 프로세스를 다시 시작한 후 템플릿 ID를 다시 할당할 수 있습니다.
템플릿 ID, 옵션 템플릿 ID, 관측 도메인 ID, 소스 ID를 구성하는 이 기능은 MPC가 있는 모든 라우터에서 지원됩니다.
해당 데이터 세트 및 옵션 데이터 세트에는 세트 ID 필드에 각각 템플릿 ID 및 옵션 템플릿 ID의 값이 포함됩니다. 이 방법을 사용하면 수집기가 데이터 레코드를 템플릿 레코드와 일치시킬 수 있습니다.
버전 9 및 IPFIX 플로우에 대한 소스 ID, 관찰 도메인 ID, 템플릿 ID 및 옵션 템플릿 ID를 지정하는 방법에 대한 자세한 내용은 버전 9 및 IPFIX 플로우에 대한 관찰 도메인 ID 및 소스 ID 구성 및 버전 9 및 IPFIX 플로우에 대한 템플릿 ID 및 옵션 템플릿 ID 구성을 참조하십시오.
IPFIX 템플릿
IPFIX IPv4 및 IPv6 템플릿에 포함된 필드의 정의에 대한 자세한 내용은 IPFIX 및 버전 9 템플릿을 참조하십시오.
검증
IPFIX에 대해 지원되는 show 명령은 다음과 같습니다.
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
예: IPFIX 플로우 템플릿 및 플로우 샘플링 구성
다음 예는 IPFIX 템플릿 구성을 보여줍니다.
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
다음 예는 IPFIX 템플릿을 적용하여 청구를 위한 트래픽 샘플링을 활성화합니다.
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
예: 인라인 액티브 플로우 모니터링 버전 9 플로우 템플릿 및 플로우 샘플링 구성
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv4 템플릿 구성을 보여줍니다.
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv6 템플릿 구성을 보여줍니다.
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv4 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 IPv6 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 인라인 Active Flow Monitoring 버전 9 샘플링 인터페이스 바인딩(인터페이스 사용)을 보여줍니다.
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
다음 예는 방화벽 필터를 사용한 인터페이스 바인딩(필터 사용)을 인라인 Active Flow Monitoring 버전 9 샘플링으로 보여줍니다.
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
예: IPFIX 플로우 템플릿 및 플로우 샘플링 구성
다음 예는 IPFIX IPv4 템플릿 구성을 보여줍니다.
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
다음 예는 IPFIX IPv6 템플릿 구성을 보여줍니다.
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
다음 예는 IPFIX IPv4 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
다음 예는 IPFIX IPv6 샘플링 트래픽 및 내보내기 구성을 보여줍니다.
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.