Junos Capture Visionの設定
キャプチャ グループの設定
キャプチャ グループは、Junos Capture Vision 設定情報のプロファイルを定義します。静的構成には、制御ソース、コンテンツの宛先、および通知の宛先に関する情報が含まれます。動的構成は、制御プロトコルを使用した制御ソースとの対話によって追加されます。
キャプチャ グループを構成するには、[edit services dynamic-flow-capture] 階層レベルで capture-group ステートメントを含めます。
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
capture-groupを指定するには、情報を要求元の制御ソースに関連付ける一意のclient-nameを割り当てます。
コンテンツの宛先の設定
DFC PIC フィルタ条件に一致するパケットの宛先を指定する必要があります。コンテンツの宛先を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでcontent-destinationステートメントを含めます。
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
content-destinationに一意のidentifierを割り当てます。また、その IP アドレスも指定する必要があり、必要に応じて追加の設定を含めることができます。
address—DFC PIC インターフェイスは、一致したパケットにこの宛先アドレスを含む IP ヘッダーを追加し(独自の IP ヘッダーとコンテンツはそのまま)、コンテンツの宛先に送信します。ttl—IP-IPヘッダーのTTL(Time-to-live)値。デフォルトでは、TTL 値は 255 です。範囲は 0 から 255 です。輻輳しきい値—輻輳期間中に DFC PIC によって生成されるトラフィックの量を制御する、コンテンツごとの宛先帯域幅制限を指定できます。しきい値は、
hard-limitとhard-limit-target、soft-limitとsoft-limit-clearの2つのペアに配置されています。必要に応じて、これらのペア設定の一方または両方を含めることができます。4 つの設定はすべて、10 秒間の平均帯域幅値 (ビット/秒) です。通常はsoft-limit-clear<soft-limit<hard-limit-target<hard-limitです。コンテンツの帯域幅がsoft-limit設定を超える場合:輻輳通知メッセージは、このコンテンツの宛先を指す条件の各制御ソースに送信されます
制御ソースが
syslog用に設定されている場合は、システムログメッセージが生成されます。ラッチがセットされ、制御ソースに通知されたことを示します。帯域幅が
soft-limit-clear値を下回るときにラッチがクリアされるまで、追加の通知メッセージは送信されません。
帯域幅が
hard-limit値を超えると、次のようになります。Junos Capture Visionは、帯域幅が
hard-limit-target値を下回るまで、条件の削除を開始します。削除される基準ごとに、その条件の制御ソースに CongestionDelete 通知が送信されます。
制御ソースが
syslog用に設定されている場合は、ログメッセージが生成されます。
削除の基準は、次のデータを使用して評価されます:
[優先度(Priority)]:制御ソースの最小優先度を調整した後、優先度の低い基準が最初に削除されます。
[帯域幅(Bandwidth)]:より高い帯域幅の基準が最初に消去されます。
タイムスタンプ—より新しい基準が最初に消去されます。
制御ソースの設定
許可された送信元アドレスと宛先、認証キー値など、制御ソースに関する情報を構成します。制御ソース情報を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルで control-source ステートメントを含めます。
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
control-source ステートメントに一意のidentifierを割り当てます。また、以下のステートメントの値を含めることもできます。
allowed-destinations- この制御ソースが、制御プロトコル要求で一致したデータの送信を要求できる 1 つ以上のコンテンツ宛先識別子。コンテンツの宛先を指定しない場合は、使用可能なすべての宛先が許可されます。minimum-priority- 基準の総プライオリティを決定するために、DTCP ADD 要求のクライテリアのプライオリティに追加される、制御ソースに割り当てられた値。値が小さいほど、優先度が高くなります。デフォルトでは、minimum-priorityの値は 0 で、許容範囲は 0 から 254 です。notification-targets—DFC PIC インターフェイスが制御プロトコル関連イベントやその他のイベント(PIC ブートアップ メッセージなど)に関する情報をログに記録できる 1 つ以上の宛先。各notification-targetエントリには、IPaddress値とUDP(ユーザーデータグラムプロトコル)port番号を設定します。service-port—制御プロトコル要求の送信先の UDP ポート番号。このポートに宛てられていない制御プロトコル要求は、DFC PIC インターフェイスによって破棄されます。shared-key—制御ソースと DFC PIC 監視プラットフォーム間で共有される 20 バイトの認証キー値。source-addresses—制御ソースが DFC PIC 監視プラットフォームに制御プロトコル要求を送信できる 1 つ以上の許可された IP アドレス。これらは /32 アドレスです。
DFC PIC インターフェイスの設定
同じキャプチャ グループで構成された制御ソースと対話するインターフェイスを指定します。モニタリングサービス III PIC は 1 つのキャプチャ グループにのみ属することができ、グループごとに 1 つの PIC のみを設定できます。
DFC PICインターフェイスを設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでinterfacesステートメントを含めます。
interfaces interface-name;
DFC インターフェイスを指定するには、[edit interfaces] 階層レベルのdfc-識別子を使用します。各 DFC PIC インターフェイスには、0、1、2の番号の 3 つの論理ユニットを指定する必要があります。他の論理インターフェイスを設定することはできません。
unit 0プロセスは、プロトコルの要求と応答を制御します。unit 1監視対象データを受信します。unit 2一致したパケットを宛先アドレスに送信します。
次の例は、DFC PIC インターフェイスを設定し、IPv4 と IPv6 の両方のトラフィックを代行受信するために必要な設定を示しています。
[edit interfaces dfc-0/0/0]
unit 0 {
family inet {
filter {
output high; #Firewall filter to route control packets
# through 'network-control' forwarding class. Control packets
# are loss sensitive.
}
address 10.1.0.0/32 { # DFC PIC address
destination 10.36.100.1; # DFC PIC address used by
# the control source to correspond with the
# monitoring platform
}
}
unit 1 { # receive data packets on this logical interface
family inet; # receive IPv4 traffic for interception
family inet6; # receive IPv6 traffic for interception
}
unit 2 { # send out copies of matched packets on this logical interface
family inet;
}
さらに、シャーシの正しい位置にあるDFC PICで実行するようにJunos Capture Visionを設定する必要があります。以下の例は、 [edit chassis] 階層レベルでのこの設定を示しています。
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
ファイアウォールフィルターの設定
ファイアウォールフィルターを指定して、ネットワーク制御転送クラスを介して制御パケットをルーティングできます。制御パケットは損失の影響を受けやすいです。ファイアウォールフィルターを設定するには、 [edit] 階層レベルで以下のステートメントを含めます。
firewall {
family inet {
filter high {
term all {
then forwarding-class network-control;
}
}
}
}
システム ロギングの設定
デフォルトでは、制御プロトコルのアクティビティは、別のシステム ログ機能( dfc)として記録されます。制御プロトコル アクティビティを記録するファイル名またはレベルを変更するには、 [edit syslog] 階層レベルで以下のステートメントを含めます。
file dfc.log {
dfc any;
}
ロギングをキャンセルするには、[edit services dynamic-flow-capture capture-group client-name control-source identifier]階層レベルでno-syslogステートメントを含めます。
no-syslog;
Junos Capture Vision(dfc-)インターフェイスは、最大10,000 フィルタ条件をサポートします。インターフェイスに 10,000 を超えるフィルターを追加すると、フィルターは受け入れられますが、フィルターがいっぱいであることを示すシステム ログ メッセージが生成されます。
Junos Capture Visionイベントのトレースオプションの設定
[edit services dynamic-flow-capture]階層レベルで traceoptions ステートメントを含めることで、Junos Capture Visionイベントのトレースオプションを有効にすることができます。
traceoptions 設定を含める場合は、トレース ファイル名、トレース ファイルの最大数、トレース ファイルの最大サイズ、およびトレース ファイルをすべてのユーザーが読み取ることができるかどうかを指定することもできます。
Junos Capture Visionイベントのトレースオプションを有効にするには、 [edit services dynamic-flow-capture] 階層レベルで以下の設定を含めます。
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
Junos Capture Visionイベントのトレースを無効にするには、[edit services dynamic-flow-capture]階層レベルからtraceoptions設定を削除します。
9.2R1より前のJunos OSリリースでは、Junos Capture Visionのトレースがデフォルトで有効になっており、ログは/var/log/dfcd ディレクトリに保存されていました。
閾値の設定
オプションで、警告メッセージがシステムログに記録される以下の状況のしきい値を指定できます。
DFC PIC インターフェイスへの入力パケット レート
DFC PIC インターフェイスのメモリ使用量
しきい値を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでinput-packet-rate-thresholdまたはpic-memory-thresholdステートメントを含めます。
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
これらのステートメントが設定されていない場合、しきい値メッセージは記録されません。しきい値の設定は、キャプチャ グループ全体に対して構成されます。
input-packet-rate-threshold ステートメントの設定可能な値の範囲は、0〜1 Mppsです。PICはそれに応じて値を較正します。監視サービス III PIC はしきい値を 300 Kpps に制限し、マルチサービス 400 PIC は完全な設定値を使用します。pic-memory-threshold ステートメントの値の範囲は 0 から 100% です。
パケットの重複数の制限
オプションで、DFC PIC が単一の入力パケットから生成できる重複パケットの最大数を指定できます。この制限は、パケットが複数の宛先に送信される場合のPICの負荷を軽減することを目的としています。最大数に達すると、基準クラス優先度が最も高い宛先に重複が送信されます。優先度が等しいクラス内では、タイムスタンプが早い条件が最初に選択されます。
この制限を設定するには、[edit services dynamic-flow-capture capture-group client-name]階層レベルでmax-duplicatesステートメントを含めます。
max-duplicates number;
また、[edit services dynamic-flow-capture]階層レベルでg-max-duplicates ステートメントを含めることで、DFC PICにグローバルベースで制限を適用することもできます。
g-max-duplicates number;
デフォルトでは、重複の最大数は 3 に設定されています。使用できる値の範囲は 1 から 64 です。個々のキャプチャ グループの max-duplicates の設定は、グローバル設定よりも優先されます。
さらに、しきい値に達したために重複が削除されることを、影響を受ける制御ソースにアプリケーションが通知を送信する頻度を指定できます。この設定は、[edit services dynamic-flow-capture capture-group client-name]階層レベルでduplicates-dropped-periodicityステートメントを含めるか、[edit services dynamic-flow-capture]階層レベルでg-duplicates-dropped-periodicityステートメントを含めることで、最大重複数設定と同じレベルで構成します。
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
g-max-duplicates ステートメントと同様に、g-duplicates-dropped-periodicity ステートメントはアプリケーションにグローバルに設定を適用し、キャプチャ グループ レベルで適用された設定によって上書きされます。デフォルトでは、通知を送信する頻度は 30 秒です。