PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링 구성
이 주제는 IPv4 및 IPv6 트래픽을 위해 PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링을 구성하는 방법을 설명합니다.
플랫폼 및 기능 지원
표 1 에는 인라인 활성 플로우 모니터링을 위한 다양한 유형의 트래픽에 대한 PTX 시리즈 플랫폼 지원이 나와 있습니다.
| 플랫폼 |
지원 |
|---|---|
| PTX3000 시리즈 |
Junos OS 18.1R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9 모두) Junos OS 18.2R1—MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX5000 시리즈 |
Junos OS 18.1R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9 모두) Junos OS 18.2R1, MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX1000 |
Junos OS 17.3R1—IPv4 및 IPv6 트래픽(버전 9 전용). |
| PTX10001-36MR |
Junos OS Evolved 20.3R1—IPv4, IPv6, MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX10002-60C |
Junos OS 18.4R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9 모두). Junos OS 19.4R1—MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX10003 |
Junos OS Evolved 19.3R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9). Junos OS Evolved 20.1R1—MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX10004 |
Junos OS Evolved 20.4R1—IPv4, IPv6, MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽(IPFIX 및 버전 9). |
| PTX10008(JNP10008-SF3 및 JNP10K-LC1201 라인 카드 사용) |
Junos OS Evolved 19.3R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9). Junos OS Evolved 20.1R1—MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
| PTX10008(JNP10008-SF3 및 JNP10K-LC1202 라인 카드 포함) |
Junos OS Evolved 20.3R1—IPv4, IPv6, MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽(IPFIX 및 버전 9). |
| PTX10008(JNP10008-SF3 제외) 및 PTX10016 |
Junos OS 18.1R1—IPv4 및 IPv6 트래픽(IPFIX 및 버전 9 모두) Junos OS 18.2R1—MPLS, MPLS-IPv4 및 MPLS-IPv6 트래픽. |
PTX 시리즈 라우터에서 MPLS-over UDP 트래픽에 대한 인라인 플로우 모니터링을 구성하려면 PTX 시리즈 라우터에서 MPLS-over-UDP 플로우의 인라인 활성 플로우 모니터링을 참조하십시오. MPLS-over-UDP 트래픽에 대한 인라인 액티브 플로우 모니터링은 PTX10001-36MR, PTX10003, PTX10004 및 PTX10008(JNP10008-SF3 포함) 라우터에서 지원되지 않습니다.
Junos OS 릴리스 18.2R1부터 인라인 활성 플로우 모니터링을 위해 제품군 아래에 최대 4개의 컬렉터를 구성할 수 있습니다. Junos OS의 이전 릴리스에서는 인라인 활성 플로우 모니터링을 위해 제품군 아래에 하나의 컬렉터만 구성할 수 있었습니다. Junos OS Evolved 20.3R1부터 PTX10003 및 PTX10008(JNP10K-LC1201 라인 카드 및 JNP10008-SF3) 라우터에 대해 인라인 활성 플로우 모니터링을 위해 최대 4개의 컬렉터를 구성할 수 있습니다. Junos OS Evolved 20.4R1부터 PTX10001-36MR 및 PTX10008(JNP10K-LC1202 라인 카드 및 JNP10008-SF3) 라우터의 경우 인라인 활성 플로우 모니터링을 위해 최대 4개의 컬렉터를 구성할 수 있습니다. Junos OS Evolved 21.1R1부터 PTX10004 라우터의 경우 인라인 활성 플로우 모니터링을 위해 최대 4개의 컬렉터를 구성할 수 있습니다. 인라인 활성 플로우 모니터링을 위해 제품군 아래에 컬렉터를 구성하려면 계층 수준에서 명령문을 edit forwarding-options sampling-instance instance-name family (inet | inet6) output 구성합니다flow-server. 최대 4개의 컬렉터를 지정하려면 최대 4개의 flow-server 문을 포함합니다.
인라인 액티브 플로우 모니터링은 논리 CPU(LCPU)에서 구현됩니다. 플로우 생성, 플로우 업데이트, 플로우 레코드 내보내기와 같은 모든 기능은 LCPU에 의해 수행됩니다. 플로우 레코드는 IPFIX 형식 또는 버전 9 형식으로 전송됩니다.
Junos OS Evolved 릴리스 21.2R1 및 Junos OS 릴리스 21.3R1부터는 플로우가 유지되지 않습니다. 샘플링된 모든 패킷은 플로우로 간주됩니다. 샘플링된 패킷이 수신되면 플로우가 생성되고 즉시 비활성으로 시간 초과되며 소프트웨어는 레코드를 수집기로 내보냅니다. 따라서 컬렉터로 전송되는 레코드 수가 이전보다 많습니다. 이제 IPFIX 및 버전 9 옵션 템플릿 데이터 레코드의 (요소 ID 36) 및 Flow Inactive Timeout (요소 ID 37) 필드에 0이 Flow Active Timeout 포함됩니다. 따라서 옵션 템플릿 데이터 레코드는 IPFIX RFC 7011을 준수하지 않습니다. show services accounting flow inline-jflow fpc-slot slot 이제 작동 모드 명령이 모든 및 Timed Out 필드에 대해 0을 Active Flows 표시합니다. 이제 다양한 Total Flows 필드의 값이 해당 Flow Packets 필드 값과 같습니다. 이제 다양한 Flows Inactive Timed Out 필드의 값이 해당 Flow Packets 필드 값과 같습니다. 계층 수준에서 문이 [edit services flow-monitoring version version template template-name] 이 흐름 없는 동작에 미치는 영향 nexthop-learning 은 운영 체제에 따라 다릅니다. Junos OS Evolved의 경우, 처리할 수 있는 패킷 수가 줄어들기 때문에 명령문을 구성 nexthop-learning 하지 않는 것이 좋습니다. Junos OS의 nexthop-learning 경우, 명령문을 구성하여 이 기본 no-flow 동작을 변경하고 다시 한 번 플로우를 생성 및 유지한 다음, 이전 동작이 필요한 FPC와 관련된 모든 샘플링 인스턴스에 템플릿을 첨부할 수 있습니다.
Junos OS 및 Junos OS Evolved의 인라인 활성 플로우 모니터링 기능에는 다음과 같은 제한 사항이 적용됩니다.
-
송신 MPLS 필터는 PTX10001-36MR, PTX10003, PTX10004 및 PTX10008(JNP10008-SF3 포함) 라우터에서 지원되지 않습니다.
-
PTX10001-36MR 라우터는 라우팅 엔진이 1개뿐이므로 다중 FPC 샘플링 수집을 지원하지 않습니다.
-
송신 샘플링에는 OIF(True Outgoing Interface) 보고가 지원되지 않습니다. Junos OS Evolved에서는 GRE 캡슐화 해제 패킷에 대해 OIF(True Outgoing Interface) 보고가 지원되지 않습니다.
-
실제 수신 인터페이스에 대한 인터페이스 유형 필드는 이 요소가 버전 9 내보내기 버전에 없기 때문에 버전 9 템플릿의 일부가 아닙니다.
-
PTX10003 라우터의 GRE 터널 트래픽의 경우 물리적 인터페이스는 레이어 2 헤더에 보고되며 플로우 생성 중에 키 중 하나로 간주됩니다. 따라서 물리적 인터페이스가 어그리게이션 이더넷 번들 내부 또는 외부로 이동하면 새로운 플로우가 생성되고 일정 기간 동안 비활성 상태가 지나면 이전 플로우가 시간 초과됩니다. 물리적 인터페이스, 논리적 인터페이스 또는 어그리게이션된 논리적 인터페이스(구성 기반)는 구성을 기반으로 내보내기 레코드에서 수신 인터페이스로 보고됩니다.
PTX10008(JNP10008-SF3) 라우터의 GRE 터널 트래픽의 경우 FTI 인터페이스가 GRE 터널을 종료하도록 구성됩니다. 이 인터페이스는 플로우 생성 중에 물리적 인터페이스 대신 키 중 하나로 사용됩니다. 따라서 물리적 인터페이스가 어그리게이션 이더넷 번들 내부 또는 외부로 이동하면 키가 변경되지 않은 상태로 유지되므로 새로운 플로우가 생성되지 않습니다. 물리적 인터페이스, 논리적 인터페이스 또는 어그리게이션된 논리적 인터페이스(구성 기반)는 내보낸 레코드에서 수신 인터페이스로 보고됩니다.
PTX 시리즈 라우터에서 인라인 액티브 플로우 모니터링을 구성하는 방법
요약 이 예에서는 IPv4 및 IPv6 트래픽 흐름을 기록하기 위한 템플릿을 구성합니다 version-ipfix .
- 출력 속성을 지정하는 템플릿 구성Configure a template to specify output properties
- 입력 속성을 지정하기 위한 샘플링 인스턴스 구성Configure a sampling instance to specify input properties
- FPC에 샘플링 인스턴스 할당
- 방화벽 필터를 구성하여 플로우 수락 및 샘플링
- 인터페이스에 방화벽 필터 할당
- 샘플 구성의 결과
출력 속성을 지정하는 템플릿 구성Configure a template to specify output properties
-
템플릿을 정의하고 템플릿이 기록해야 하는 흐름 유형을 구성합니다.
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(선택 사항) 플로우 시간 초과 간격 및 템플릿/옵션 새로 고침 빈도와 같은 템플릿에 대한 추가 출력 속성을 구성하여 플로우 레코드를 제어합니다.
옵션을 사용하여
template-refresh-rate플로우 생성기가 패킷 수 또는 초를 사용하여 플로우 수집기에 템플릿 정의에 대한 업데이트를 보내는 빈도를 구성할 수 있습니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (선택 사항)
MPLS 플로우를 모니터링하는 경우, 즉 사용 중인 템플릿이 MPLS 프로토콜 제품군에 대해 구성된 경우 옵션을 사용하여
tunnel-observationMPLS 플로우 유형을 식별합니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(선택 사항) 실제 발신 인터페이스가 보고되도록 다음 홉 주소 학습을 활성화합니다.
참고:Junos OS Evolved 21.2R1부터는 처리할 수 있는 패킷 수가 줄어들므로 다음 홉 주소 학습을 활성화하지 않는 것이 좋습니다. 그러나 Junos OS 릴리스 21.3R1부터는 명령문을 구성
nexthop-learning하여 기본 no-flow 동작을 변경하고 다시 한 번 플로우를 생성 및 유지한 다음, 이전 동작이 필요한 FPC와 관련된 모든 샘플링 인스턴스에 템플릿을 첨부할 수 있습니다.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
입력 속성을 지정하기 위한 샘플링 인스턴스 구성Configure a sampling instance to specify input properties
-
샘플링 인스턴스를 정의하고 샘플링할 패킷 수의 비율을 구성합니다. 예를 들어, 속도를 10으로 지정하면 매 10번째 패킷(10개 중 1개 패킷)이 샘플링됩니다.
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
모범 사례:MPLS 플로우에는 1000 이상의 값을 사용하는 것이 좋습니다.
-
샘플링 인스턴스에 대한 프로토콜 제품군을 구성하고 트래픽 집계를 보낼 플로우 컬렉터를 지정합니다.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(선택 사항) 플로우 수집기에 대한 UDP 포트와 샘플링 인스턴스에 사용할 템플릿을 지정합니다.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
샘플링된 패킷의 인라인 처리를 구성합니다.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
FPC에 샘플링 인스턴스 할당
-
플로우 모니터링을 구현하고자 하는 FPC에 샘플링 인스턴스를 할당합니다.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
방화벽 필터를 구성하여 플로우 수락 및 샘플링
-
프로토콜 제품군에 대한 방화벽 필터를 구성하고 트래픽 흐름의 샘플링을 활성화합니다.
[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
인터페이스에 방화벽 필터 할당
-
모니터링할 인터페이스에 입력 방화벽 필터를 할당합니다.
[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
샘플 구성의 결과
다음은 인라인 플로우 모니터링을 지원하는 인스턴스에 대한 샘플링 구성의 예입니다.family inet family inet6
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance sample-1{
ipv4 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
show services accounting flow 명령을 사용하여 활성 플로우 통계를 확인할 수 있습니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.