ACX 및 PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링 구성
이 주제는 IPv4 및 IPv6 트래픽에 대해 이 기능을 지원하는 ACX 및 PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링을 구성하는 방법을 설명합니다.
개요
기능 탐색기: JFlow 및 기능 탐색기: 트래픽 샘플링을 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인합니다. 지원되는 문은 플랫폼에 따라 다르기 때문에 구성 문 구문은 flow-monitoring을 참조하십시오.
VRF 지원: Junos OS Evolved 24.2R1부터는 다음을 통해 도달할 수 있는 수집기로 인라인 액티브 플로우 모니터링 샘플링 패킷의 IPFIX 또는 버전 9 레코드의 내보내기를 지원합니다.
-
mgmt_junos VRF 인스턴스에 속하는 인터페이스입니다.
-
기본이 아닌 VRF 인스턴스에 속하는 WAN 포트입니다.
계층 수준에서 [edit forwarding-options sampling instance name family type output flow-server IP-address] 구성 문을 사용하여 routing-instance 이 기능을 구성합니다. 관리 인터페이스를 통해 수집기에 도달할 수 있는지 확인해야 합니다. 각 유형의 VRF 인스턴스에 대해 최대 4개의 수집기를 지원합니다. 동일한 샘플링 구성에서 두 가지 유형의 VRF 인스턴스에 대해 수집기를 구성할 수 있습니다. 그러나 mgmt_junos VRF 인스턴스를 통해 도달할 수 있는 수집기와 WAN 포트를 통해 도달할 수 있는 수집기는 패밀리당 하나의 소스 IP 주소만 지정할 수 있으므로 동일한 패밀리 아래에 공존할 수 없습니다. 수집기, inet6 수집기 또는 두 가지 유형의 혼합을 지정할 inet 수 있습니다. 기본 및 비기본 VRF 모두에서 수신 및 송신 샘플링은 물리적, AE 및 IRB 인터페이스에서 지원됩니다. mgmt_junos VRF 인스턴스를 구성하려면 전용 인스턴스의 관리 인터페이스를 참조하십시오.
MPLS-over-UDP 지원: PTX 시리즈 라우터에서 MPLS-over UDP 트래픽에 대한 인라인 플로우 모니터링을 구성하려면 PTX 시리즈 라우터에서 MPLS-over-UDP 플로우에 대한 인라인 액티브 플로우 모니터링을 참조하십시오. MPLS-over-UDP 트래픽에 대한 인라인 액티브 플로우 모니터링은 PTX10001-36MR, PTX10003, PTX10004 및 PTX10008(JNP10008-SF3 포함) 라우터에서 지원되지 않습니다.
수집가: Junos OS 릴리스 18.2R1부터는 인라인 액티브 플로우 모니터링을 위해 제품군 아래에 최대 4개의 수집기를 구성할 수 있습니다. 이전 릴리스의 Junos OS에서는 인라인 액티브 플로우 모니터링을 위해 패밀리 아래에 하나의 수집기만 구성할 수 있었습니다. Junos OS Evolved 20.3R1부터는 인라인 액티브 플로우 모니터링을 위해 최대 4개의 수집기를 구성할 수 있습니다. 인라인 액티브 플로우 모니터링을 위해 제품군 아래에 수집기를 구성하려면 계층 수준에서 edit forwarding-options sampling-instance instance-name family (inet | inet6) output 문을 구성 flow-server 합니다. 최대 4개의 수집기를 지정하려면 최대 4개의 flow-server 문을 포함합니다.
라인 카드 CPU: 인라인 액티브 플로우 모니터링은 모든 기능이 하드웨어가 아닌 소프트웨어를 기반으로 하는 Junos OS Evolved를 실행하는 ACX 시리즈 라우터를 제외하고 라인 카드 CPU(LCPU)에서 구현됩니다. 지원되는 다른 모든 플랫폼의 경우, 플로우 생성, 플로우 업데이트, 플로우 레코드 내보내기와 같은 모든 기능은 LCPU에서 수행됩니다. 플로우 레코드는 IPFIX 형식 또는 버전 9 형식으로 전송됩니다.
플로우: Junos OS Evolved 릴리스 21.2R1 및 Junos OS 릴리스 21.3R1부터는 플로우가 유지되지 않습니다. 샘플링된 모든 패킷은 플로우로 간주됩니다. 샘플링된 패킷이 수신되면 플로우가 생성되고 즉시 비활성으로 시간 초과되며 소프트웨어는 레코드를 수집기로 내보냅니다. 따라서 수집기로 전송되는 레코드 수가 이전보다 늘어났습니다. IPFIX 및 버전 9 옵션 템플릿 데이터 레코드의 (요소 ID 36) 및 Flow Inactive Timeout (요소 ID 37) 필드에 Flow Active Timeout 이제 0을 포함합니다. 따라서 옵션 템플릿 데이터 레코드는 IPFIX RFC 7011을 준수하지 않습니다. 이제 운영 모드 명령은 show services accounting flow inline-jflow fpc-slot slot 모든 및 Timed Out 필드에 대해 0을 표시합니다.Active Flows 이제 다양한 Total Flows 필드의 값이 해당 Flow Packets 필드 값과 동일합니다. 이제 다양한 Flows Inactive Timed Out 필드의 값이 해당 Flow Packets 필드 값과 동일합니다. 이 플로우 없는 동작에 대한 계층 수준에서의 [edit services flow-monitoring version version template template-name] 문이 nexthop-learning 미치는 영향은 운영 체제에 따라 다릅니다. Junos OS Evolved의 경우 처리할 수 있는 패킷 수가 줄어들기 때문에 명령문을 구성 nexthop-learning 하지 않는 것이 좋습니다. Junos OS의 경우, 이 기본 no-flow 동작을 변경하고 다시 한 번 flow를 생성 및 유지하도록 문을 구성 nexthop-learning 한 다음, 이전 동작이 필요한 FPC와 관련된 모든 샘플링 인스턴스에 템플릿을 연결할 수 있습니다.
제한사항 및 제한 사항
Junos OS 및 Junos OS Evolved의 인라인 액티브 플로우 모니터링 기능에는 다음과 같은 제한 사항이 적용됩니다.
-
송신 MPLS 필터는 PTX10001-36MR, PTX10003, PTX10004 및 PTX10008(JNP10008-SF3 포함) 라우터에서 지원되지 않습니다.
-
PTX10001-36MR 라우터는 라우팅 엔진이 1개뿐이기 때문에 다중 FPC 샘플링 수집을 지원하지 않습니다.
-
진정한 발신 인터페이스(OIF) 보고는 송신 샘플링에 지원되지 않습니다. Junos OS Evolved에서는 GRE 캡슐화 해제된 패킷에 대해 진정한 발신 인터페이스(OIF) 보고가 지원되지 않습니다.
-
실제 수신 인터페이스에 대한 인터페이스 유형 필드는 버전 9 템플릿의 일부가 아닙니다. 이 요소는 버전 9 내보내기 버전에 존재하지 않기 때문입니다.
-
PTX10003 라우터의 GRE 터널 트래픽의 경우, 물리적 인터페이스는 레이어 2 헤더에 보고되며 플로우 생성 시 키 중 하나로 간주됩니다. 따라서 물리적 인터페이스가 어그리게이션 이더넷 번들 안팎으로 이동하면 새 플로우가 생성되고 일정 기간 비활성 상태가 발생하면 기존 플로우의 시간 초과가 발생합니다. 물리적 인터페이스, 논리적 인터페이스 또는 어그리게이션된 논리적 인터페이스(구성에 따라)는 구성에 기반한 내보내기 레코드에서 수신 인터페이스로 보고됩니다.
PTX10008(JNP10008-SF3 포함) 라우터의 GRE 터널 트래픽의 경우, FTI 인터페이스는 GRE 터널을 종료하도록 구성됩니다. 이 인터페이스는 플로우 생성 중에 물리적 인터페이스 대신 키 중 하나로 사용됩니다. 따라서 물리적 인터페이스가 어그리게이션 이더넷 번들 안팎으로 이동할 때 키가 변경되지 않은 상태로 유지되므로 새로운 flow가 생성되지 않습니다. 물리적 인터페이스, 논리적 인터페이스 또는 집계된 논리적 인터페이스(구성 기준)는 내보낸 레코드에서 수신 인터페이스로 보고됩니다.
-
ACX 시리즈 라우터는 MPLS 템플릿을 지원하지 않습니다.
-
ACX 라우터의 경우, 논리적 인터페이스에서 직접 샘플링을 구성할 수 없습니다. 대신 샘플링을 활성화하려면 인터페이스에 방화벽 필터를 구성해야 합니다.
ACX 또는 PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링을 구성하는 방법
이 예에서는 IPv4 및 IPv6 트래픽 흐름을 기록하기 위한 템플릿을 구성 version-ipfix 합니다.
- 출력 속성을 지정하는 템플릿 구성
- 입력 속성을 지정하는 샘플링 인스턴스 구성
- FPC에 샘플링 인스턴스 할당
- 플로우를 수락하고 샘플링하도록 방화벽 필터 구성
- 인터페이스에 방화벽 필터 할당
- 샘플 구성의 결과
출력 속성을 지정하는 템플릿 구성
-
템플릿을 정의하고 템플릿이 기록해야 하는 흐름 유형을 구성합니다. (ACX 시리즈 라우터는 MPLS 템플릿을 지원하지 않습니다.)
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(옵션, 이러한 기능을 지원하는 PTX 시리즈 라우터에만 해당) 플로우 시간 제한 간격, 템플릿/옵션 새로 고침 빈도와 같은 템플릿에 대한 추가 출력 속성을 구성하여 플로우 레코드를 제어합니다.
이 옵션을 사용하여
template-refresh-rate플로우 생성기가 패킷 수 또는 초 수를 사용하여 플로우 수집기로 템플릿 정의에 대한 업데이트를 보내는 빈도를 구성할 수 있습니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (옵션, 이러한 기능을 지원하는 PTX 시리즈 라우터에만 해당)
MPLS 흐름을 모니터링하는 경우, 즉 사용 중인 템플릿이 MPLS 프로토콜 제품군용으로 구성된 경우 옵션을 사용하여
tunnel-observationMPLS 흐름 유형을 식별합니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(선택 사항) 실제 발신 인터페이스가 보고되도록 다음 홉 주소 학습을 활성화합니다.
참고:Junos OS Evolved 21.2R1부터는 처리할 수 있는 패킷 수가 줄어들기 때문에 다음 홉 주소 학습을 활성화하지 않는 것이 좋습니다. 그러나 Junos OS 릴리스 21.3R1부터 기본 no-flow 동작을 변경하고 다시 한 번 flow를 생성 및 유지하도록 문을 구성할
nexthop-learning수 있으며, 이전 동작이 필요한 FPC와 관련된 모든 샘플링 인스턴스에 템플릿을 연결할 수 있습니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
입력 속성을 지정하는 샘플링 인스턴스 구성
-
샘플링 인스턴스를 정의하고 샘플링할 패킷 수의 비율을 구성합니다. 예를 들어 속도를 10으로 지정하면 10번째 패킷(10개 중 1개 패킷)마다 샘플링됩니다.
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
모범 사례:MPLS 흐름에는 1000 이상의 값을 사용하는 것이 좋습니다.
-
샘플링 인스턴스에 대한 프로토콜 패밀리를 구성하고 트래픽 집계를 보낼 플로우 수집기를 지정합니다. (ACX 시리즈 라우터는 구성만
family inetfamily inet6지원합니다.)[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output flow-server hostname
-
(선택 사항) 플로우 수집기에 대한 UDP 포트와 샘플링 인스턴스에 사용할 템플릿을 지정합니다. (ACX 시리즈 라우터는 MPLS 템플릿을 지원하지 않습니다.)
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) output flow-server hostname version-ipfix template template-name
-
샘플링된 패킷의 인라인 처리를 구성합니다.
(ACX 시리즈 라우터는 구성만
family inetfamily inet6지원합니다.)[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
FPC에 샘플링 인스턴스 할당
-
플로우 모니터링을 구현하려는 FPC에 샘플링 인스턴스를 할당합니다.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
플로우를 수락하고 샘플링하도록 방화벽 필터 구성
-
프로토콜 제품군에 대한 방화벽 필터를 구성하고 트래픽 흐름 샘플링을 활성화합니다. (ACX 시리즈 라우터는 인라인 액티브 플로우 모니터링 기능만
family inet지원하거나family inet6구성합니다.)[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
인터페이스에 방화벽 필터 할당
-
모니터링하려는 인터페이스에 입력 방화벽 필터를 할당합니다. (ACX 시리즈 라우터는 인라인 액티브 플로우 모니터링 기능만
family inet지원하거나family inet6구성합니다.)[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
샘플 구성의 결과
다음은 인라인 액티브 플로우 모니터링 family inet 을 켜고 온으로 family inet6지원하는 인스턴스에 대한 PTX 시리즈 라우터의 샘플링 구성 예입니다.
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance {
sample-1 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
show services accounting flow 명령을 사용하여 활성 흐름 통계를 확인할 수 있습니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.