예: 문제 해결을 위한 MX 시리즈 라우터의 NAT 이벤트에 대한 플로우 모니터링 형식의 로그 구성
JUNOS Traffic Vision(이전의 Jflow) 버전 9 또는 IPFIX(버전 10) 템플릿 형식을 사용하여 MX 시리즈 라우터를 MS-MPC, MS-MIC 및 MX-SPC3로 구성하여 네트워크 주소 변환(NAT) 이벤트를 로그할 수 있습니다. NAT44, NAT64 세션 생성 및 삭제, NAT44 및 NAT64 바인딩 정보 기반 이벤트와 같은 NAT 이벤트에 대한 플로우 모니터링 레코드를 생성하는 이 방법은 NAT 트래픽에 대한 유기적이고 효율적인 분석과 NAT 관련 문제 해결을 지원합니다.
이 기능은 디바이스에 설치 및 구성된 Junos OS 확장 프로바이더 패키지와 MS-MPC, MS-PIC 및 MX-SPC3에서 MX 시리즈 라우터에서 지원됩니다. MX 시리즈 라우터가 있는 MS-DPC에서는 지원되지 않습니다.
이 예에서는 MS-MIC, MS-MPC 및 MX-SPC3의 서비스 세트 수준에서 NAT 이벤트에 대한 플로우 모니터링 형식의 플로우 모니터링 로그 생성을 구성하는 방법을 설명하며 다음 섹션을 포함합니다.
이 구성 예는 인터페이스 스타일의 서비스 집합입니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
MS-MPC, MS-MIC 또는 MX-SPC3를 장착한 1개의 MX 시리즈 라우터
MX 시리즈 라우터용 Junos OS 릴리스 14.2R2 이상
MS-MPC, MS-MIC 및 MX-SPC3에서 NAT 운영을 위한 플로우 템플릿을 사용한 로그 메시지 생성
NAT 이벤트에 대한 플로우 모니터링 형식으로 로깅 메시지를 기록하는 메커니즘을 구성할 수 있습니다. MS-MPC, MS-MIC 또는 MX-SPC3가 있는 MX 시리즈 라우터에서 특정 NAT 서비스를 위한 템플릿 프로필을 만들거나 모든 NAT 서비스에 적용되는 서비스 세트의 경우 템플릿 프로필을 만들 수 있습니다. 특정 플로우 템플릿 형식으로 플로우 모니터링 로그를 생성하고 서비스 세트와 함께 템플릿 프로필을 첨부하려면 템플릿 프로필을 정의해야 합니다. 서비스 PIC 또는 익스익스피리더로부터 NAT 이벤트에 대한 로그 메시지를 수신하는 호스트인 컬렉터 또는 컬렉터 그룹을 구성해야 합니다. 템플릿 프로필을 컬렉터와 연결해야 합니다. 프로필은 플로우 모니터링 버전(버전 9 또는 IPFIX), 패킷 또는 초 내 리프레시 속도, 플로우 레코드가 컬렉터로 전송되어야 하는 서비스 또는 애플리케이션 유형(이 경우 NAT)과 같은 플로우 모니터링 레코드 템플릿의 특성을 정의합니다.
c1 및 c2라는 두 개의 컬렉터가 정의된 샘플 구축을 가정합니다. 이러한 컬렉터는 두 그룹으로 클러스터됩니다. 컬렉터 그룹인 cg1은 c1과 c2를 포함하며 컬렉터 그룹인 cg2에는 c2가 포함되어 있습니다. t1과 t2라는 두 개의 템플릿 프로파일이 정의됩니다. 프로파일(t1 및 t2)은 각각 컬렉터, c1 및 c2와 연관됩니다.
이러한 프로필은 사용할 플로우 템플릿 형식, 로그를 새로 고쳐야 하는 속도, NAT와 같은 서비스 또는 이벤트(예: 지정된 컬렉터로 로그를 전송해야 하는 서비스 또는 이벤트)와 같이 로그 전송을 위한 속성 또는 속성을 설명합니다.
구성
NAT 이벤트에 대한 플로우 모니터링 로그 기능을 활성화하고 수집기로 로그 전송을 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 맞는 세부 정보를 변경한 다음, [edit] 계층 수준에서 CLI에 명령을 복사하여 붙여넣습니다.
서비스 세트 속성 구성
set services service-set sset_0 interface-service service-interface ms-5/0/0.0
인터페이스에 플로우 모니터링 로그 서비스 적용
set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
서비스 세트에 대한 플로우 모니터링 로그 활성화 및 구성
set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 set services jflow-log collector-group cg1 collector [ c1 c2 ] set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t1 collector-group cg1
서비스 세트와 템플릿 프로파일 연결
set services service-set sset_0 jflow-log template-profile t1
절차
단계별 절차
NAT 이벤트에 대한 플로우 모니터링 템플릿 로그의 생성 및 전송을 구성하려면 다음을 수행합니다.
서비스 세트 속성을 만듭니다.
[edit] user@host# set services service-set sset_0 interface-service service-interface ms-5/0/0.0
인터페이스에 적용될 플로우 모니터링 로그 서비스를 정의합니다.
[edit] user@host# set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
컬렉터 및 컬렉터 그룹을 구성합니다.
[edit] user@host# set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 user@host# set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 user@host# set services jflow-log collector-group cg1 collector [ c1 c2 ] user@host# set services jflow-log collector-group cg2 collector c2
템플릿 프로필을 구성하고 템플릿 프로필을 컬렉터와 연결합니다.
[edit] user@host# set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 user@host# set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20
템플릿 프로파일을 서비스 세트에 연결합니다.
[edit] user @ host# set services service-set sset_0 jflow-log template-profile t1
결과
구성 모드에서 , show services jflow-log및 show services service-set sset_0 jflow-log 명령을 입력show services하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
user@host# show services
service-set sset_0 {
interface-service {
service-interface ms-5/0/0;
}
}
[edit interfaces]
ms-5/0/0 {
services-options {
jflow-log {
message-rate-limit 50000;
}
}
}
user@host# show services jflow-log
collector c1 {
destination-address 192.0.2.3;
destination-port 1;
source-ip 198.51.100.1;
}
collector c2 {
destination-address 203.0.113.5;
destination-port 3;
source-ip 198.51.100.2;
}
collector-group cg1 {
collector [ c2 c1 ];
}
collector-group cg2 {
collector c2;
}
template-profile t2 {
collector c2;
template-type nat;
referesh-rate packets 20 seconds 20;
version v9;
}
template-profile t1 {
collector c1;
template-type nat;
referesh-rate packets 20 seconds 20;
version ipfix;
}
[edit]
user@host# show services service-set sset_0 jflow-log
template-profile t2;
확인
구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.
플로우 모니터링 로그가 생성되어 컬렉터로 전송되는지 검증
목적
IPFIX 또는 버전 9와 같은 정의된 템플릿 형식의 플로우 모니터링 로그 메시지가 생성되어 서로 다른 NAT 작업을 위해 구성된 컬렉터로 전송되는지 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다 show services service-sets statistics jflow-log .
user@host> show services service-sets statistics jflow-log
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
운영 모드에서 다음 명령을 사용합니다 show services service-sets statistics jflow-log detail .
user@host> show services service-sets statistics jflow-log detail
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
NAT44 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 4
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Address Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Port Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
의미
출력은 지정된 서비스 세트 및 인터페이스와 관련된 플로우 모니터링 형식의 로그 메시지가 서로 다른 NAT 이벤트에 대해 생성된다는 것을 보여줍니다.