Configuração do monitoramento de fluxo ativo em linha para usar modelos de fluxo IPFIX em roteadores MX, vMX e da Série T, switches da Série EX, dispositivos da Série NFX e firewalls da Série SRX
O uso do IPFIX permite definir um modelo de registro de fluxo adequado para tráfego IPv4 ou tráfego IPv6. Os modelos são transmitidos ao coletor periodicamente, e o coletor não afeta a configuração do roteador. Você pode definir a taxa de atualização do modelo, o tempo limite ativo do fluxo e o tempo limite inativo.
Se os registros de fluxo estiverem sendo enviados para várias famílias de protocolos (por exemplo, para IPv4 e IPv6), cada fluxo de família de protocolo terá uma ID de Domínio de Observação exclusiva. As seções a seguir contêm informações adicionais:
A partir do Junos OS Release 17.3R1, os modelos de fluxo IPFIX são suportados nos switches QFX10002.
A partir do Junos OS Release 17.4R1, os modelos de fluxo IPFIX são suportados nos switches QFX10008 e QFX10016.
A partir do Junos OS versão 19.4R1, os modelos de fluxo IPFIX têm suporte em dispositivos SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, Firewall virtual vSRX e vSRX3.0.
A partir do Junos OS Release 20.1R1, há suporte para modelos de fluxo IPFIX em dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.
A partir do Junos OS Release 20.4R1, os modelos de fluxo IPFIX são compatíveis com dispositivos NFX150, NFX250 NextGen e NFX350.
(Somente firewalls SRX) O monitoramento de fluxo ativo em linha atua em um fluxo em relação à sessão. Quando o descarregamento de serviços (SOF), PMI ou ambos são ativados para uma determinada sessão, o monitoramento de fluxo ativo em linha não é suportado para essa sessão. Se uma sessão for tratada por PMI ou SOF, o monitoramento de fluxo ativo em linha será desativado para esse fluxo.
Configurando as propriedades do modelo IPFIX
Para definir os modelos IPFIX, inclua as seguintes instruções no nível da [edit services flow-monitoring version-ipfix] hierarquia:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Os seguintes detalhes se aplicam às declarações de configuração:
-
Você atribui a cada modelo um nome exclusivo incluindo a
template template-nameinstrução. -
Em seguida, especifique cada modelo para o tipo apropriado de tráfego incluindo o
ipv4-templateouipv6-template. -
Na definição do modelo, você pode, opcionalmente, incluir valores para as
flow-active-timeoutinstruções andflow-inactive-timeout. Essas instruções têm valores padrão e de intervalo específicos quando são usadas em definições de modelo; O padrão é 60 segundos e o intervalo é de 10 a 600 segundos. -
Você também pode incluir configurações para as
option-refresh-rateinstruções andtemplate-refresh-rateem uma definição de modelo. Para ambas as propriedades, você pode incluir um valor de temporizador (em segundos) ou uma contagem de pacotes (em número de pacotes). Para asecondsopção, o valor padrão é 600 e o intervalo é de 10 a 600. Para apacketsopção, o valor padrão é 4800 e o intervalo é de 1 a 480.000. -
Para filtrar o tráfego IPv6 em uma interface de mídia, há suporte para a seguinte configuração:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Restrições
As seguintes restrições se aplicam aos modelos IPFIX:
-
O tráfego do Mecanismo de Roteamento de Saída não é amostrado. Um filtro de firewall é aplicado como saída na interface de saída, que coleta amostras de pacotes e exporta os dados. Para tráfego de trânsito, a amostragem de saída funciona corretamente. Para tráfego interno, o próximo salto é instalado no Mecanismo de Encaminhamento de Pacotes, mas os pacotes amostrados não são exportados.
-
Os fluxos são criados somente após a conclusão da operação de ressincronização do registro de rota, que leva 120 segundos.
-
O campo ID da VLAN é atualizado quando um novo registro de fluxo é criado e, portanto, qualquer alteração na ID da VLAN após a criação do registro pode não ser atualizada no registro.
Personalização do ID do modelo, ID do domínio de observação e ID da fonte para modelos de fluxo IPFIX
A partir do Junos OS Release 14.1, você pode definir um modelo de registro de fluxo IPFIX adequado para tráfego IPv4, tráfego IPv6, tráfego MPLS, uma combinação de tráfego IPv4 e MPLS ou tráfego de faturamento peer AS. Os modelos e os campos incluídos no modelo são transmitidos ao coletor periodicamente, e o coletor não precisa estar ciente da configuração do roteador. Você pode especificar o identificador exclusivo para os modelos versão 9 e IPFIX. O identificador de um modelo é localmente exclusivo em uma combinação de uma sessão de transporte e um domínio de observação. As IDs de modelo de 0 a 255 são reservadas para conjuntos de modelos, conjuntos de modelos de opções e outros conjuntos para uso futuro. As IDs de modelo de conjuntos de dados são numeradas de 256 a 65535. Normalmente, esse elemento ou campo de informação no modelo é usado para definir as características ou propriedades de outros elementos de informação em um modelo. Depois que uma reinicialização do processo de exportação de modelos for executada, você poderá reatribuir IDs de modelo.
Essa funcionalidade para configurar o ID do modelo, o ID do modelo de opções, o ID do domínio de observação e o ID da fonte é suportada em todos os roteadores com MPCs.
Os conjuntos de dados correspondentes e os conjuntos de dados de opções contêm o valor dos IDs de modelo e IDs de modelo de opções, respectivamente, no campo ID do conjunto. Esse método permite que o coletor corresponda um registro de dados com um registro de modelo.
Para obter mais informações sobre como especificar a ID de origem, a ID de domínio de observação, a ID de modelo e a ID de modelo de opções para fluxos de versão 9 e IPFIX, consulte Configurando a ID de Domínio de Observação e a ID de Origem para a Versão 9 e Fluxos IPFIX e Configurando a ID de Modelo e a ID de Modelo de Opções para Fluxos da Versão 9 e IPFIX.
Modelos IPFIX
Para obter informações sobre as definições dos campos incluídos nos modelos IPFIX IPv4 e IPv6, consulte Modelos IPFIX e Versão 9.
Verificação
Os seguintes comandos show são suportados para IPFIX:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Exemplo: configuração de modelos de fluxo IPFIX e amostragem de fluxo
O exemplo a seguir mostra uma configuração de modelo IPFIX:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
O exemplo a seguir aplica o modelo IPFIX para habilitar a amostragem de tráfego para cobrança:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Exemplo: configuração de modelos de fluxo e amostragem de fluxo do Inline Active Monitoring versão 9
O exemplo a seguir mostra a configuração do modelo IPv4 do Active Flow Monitoring versão 9:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
O exemplo a seguir mostra a configuração do modelo IPv6 do Active Flow Monitoring versão 9:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
O exemplo a seguir mostra o tráfego de amostragem de IPv4 versão 9 do Active Flow Monitoring e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra o Active Flow Monitoring versão 9, o tráfego de amostragem e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra a vinculação de interface de amostragem do Active Flow Monitoring versão 9 em linha (usando interface):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
O exemplo a seguir mostra a vinculação da interface de amostragem do Active Flow Monitoring versão 9 em linha com o filtro de firewall (usando filtros):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Exemplo: configuração de modelos de fluxo IPFIX e amostragem de fluxo
O exemplo a seguir mostra a configuração do modelo IPFIX IPv4:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
O exemplo a seguir mostra a configuração do modelo IPFIX IPv6:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
O exemplo a seguir mostra o tráfego de amostragem IPFIX IPv4 e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra o tráfego de amostragem IPFIX IPv6 e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.