Configuração do monitoramento de fluxo ativo em linha para usar modelos de fluxo IPFIX em roteadores MX, vMX e Série T, switches da Série EX, dispositivos da Série NFX e firewalls da Série SRX
O uso do IPFIX permite definir um modelo de registro de fluxo adequado para tráfego IPv4 ou tráfego IPv6. Os modelos são transmitidos ao coletor periodicamente, e o coletor não afeta a configuração do roteador. Você pode definir a taxa de atualização do modelo, o tempo limite ativo de fluxo e o tempo limite inativo.
Se os registros de fluxo estiverem sendo enviados para várias famílias de protocolo (por exemplo, para IPv4 e IPv6), cada fluxo familiar de protocolo tem um ID exclusivo do Domínio de Observação. As seções a seguir contêm informações adicionais:
A partir do Junos OS Release 17.3R1, os modelos de fluxo DE IPFIX são suportados em switches QFX10002.
A partir do Junos OS Release 17.4R1, os modelos de fluxo DE IPFIX são suportados em switches QFX10008 e QFX10016.
A partir do Junos OS Release 19.4R1, os modelos de fluxo IPFIX contam com o suporte de SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, firewall virtual vSRX e dispositivos vSRX3.0.
A partir do Junos OS Release 20.1R1, os modelos de fluxo DE IPFIX contam com o suporte de dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.
A partir do Junos OS Release 20.4R1, os modelos de fluxo DE IPFIX contam com os dispositivos NFX150, NFX250 NextGen e NFX350.
(somente firewalls SRX) O monitoramento de fluxo ativo em linha atua em um fluxo em relação à sessão. Quando os serviços descarregam (SOF), PMI ou ambos estão habilitados para uma determinada sessão, o monitoramento de fluxo ativo em linha não é suportado para essa sessão. Se uma sessão for tratada pelo PMI ou SOF, o monitoramento de fluxo ativo em linha será desativado para esse fluxo.
Configuração das propriedades do modelo de IPFIX
Para definir os modelos de IPFIX, inclua as seguintes declarações no nível de [edit services flow-monitoring version-ipfix] hierarquia:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Os detalhes a seguir se aplicam às declarações de configuração:
-
Você atribui a cada modelo um nome único, incluindo a
template template-namedeclaração. -
Em seguida, você especifica cada modelo para o tipo apropriado de tráfego, incluindo o
ipv4-templateouipv6-template. -
Dentro da definição do modelo, você pode incluir opcionalmente valores para as declarações e
flow-inactive-timeoutdeclaraçõesflow-active-timeout. Essas declarações têm valores de padrão e intervalo específicos quando são usadas em definições de modelo; o padrão é de 60 segundos e o intervalo é de 10 a 600 segundos. -
Você também pode incluir configurações para as
option-refresh-ratedeclarações etemplate-refresh-ratedeclarações dentro de uma definição de modelo. Para ambas as propriedades, você pode incluir um valor de temporizante (em segundos) ou uma contagem de pacotes (em número de pacotes). Para a opçãoseconds, o valor padrão é de 600 e o intervalo é de 10 a 600. Para a opçãopackets, o valor padrão é de 4800 e o intervalo é de 1 a 480.000. -
Para filtrar o tráfego IPv6 em uma interface de mídia, a seguinte configuração é suportada:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Restrições
As seguintes restrições se aplicam aos modelos de IPFIX:
-
O tráfego do mecanismo de roteamento de saída não foi amostrado. Um filtro de firewall é aplicado como saída na interface de saída, que amostra pacotes e exporta os dados. Para tráfego de trânsito, a amostragem de saída funciona corretamente. Para tráfego interno, o próximo salto é instalado no Mecanismo de encaminhamento de pacotes, mas os pacotes amostrados não são exportados.
-
Os fluxos só são criados após a operação de ressincronização do registro de rota ser concluída, o que leva 120 segundos.
-
O campo de ID VLAN é atualizado quando um novo registro de fluxo é criado e, portanto, qualquer mudança no ID de VLAN após a criação do registro pode não ser atualizada no registro.
Personalização de ID de modelo, ID de domínio de observação e ID de origem para modelos de fluxo IPFIX
A partir do Junos OS Release 14.1, você pode definir um modelo de registro de fluxo IPFIX adequado para tráfego IPv4, tráfego IPv6, tráfego MPLS, uma combinação de tráfego IPv4 e MPLS, ou tráfego de faturamento peer AS. Os templates e os campos incluídos no modelo são transmitidos periodicamente ao coletor, e o coletor não precisa estar ciente da configuração do roteador. Você pode especificar o identificador exclusivo para os modelos de versão 9 e IPFIX. O identificador de um modelo é localmente único em uma combinação de uma sessão de transporte e um domínio de observação. Os IDs modelo 0 a 255 estão reservados para conjuntos de modelos, conjuntos de modelos de opções e outros conjuntos para uso futuro. Os IDs modelo de conjuntos de dados são numerados de 256 a 65535. Normalmente, esse elemento ou campo de informação no modelo é usado para definir as características ou propriedades de outros elementos de informação em um modelo. Após a reinicialização do processo de exportação de templates, você pode reatribuir IDs de modelo.
Essa funcionalidade para configurar iD de modelo, ID de modelo de opções, ID de domínio de observação e ID de origem é suportada em todos os roteadores com MPCs.
Os conjuntos de dados e conjuntos de dados de opção correspondentes contêm o valor dos IDs do modelo e IDs de modelo de opções, respectivamente, no campo de ID definido. Esse método permite que o coletor combine um registro de dados com um registro de modelo.
Para obter mais informações sobre a especificação do ID de origem, ID do domínio de observação, ID do modelo e ID do modelo de opções para fluxos de versão 9 e IPFIX, consulte Configuração de ID de domínio de observação e ID de origem para fluxos de versão 9 e IPFIX e configuração de ID de modelo e opções de ID para fluxos de IPFIX e versão 9.
Modelos de IPFIX
Para obter informações sobre as definições dos campos incluídos nos modelos IPFIX IPv4 e IPv6, consulte IPFIX e Modelos de Versão 9.
Verificação
Os comandos de exibição a seguir são suportados para IPFIX:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Exemplo: Configuração de modelos de fluxo IPFIX e amostragem de fluxo
O exemplo a seguir mostra uma configuração de modelo de IPFIX:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
O exemplo a seguir aplica o modelo de IPFIX para permitir a amostragem do tráfego para faturamento:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Exemplo: configuração de modelos de fluxo ativo em linha e amostragem de fluxo e modelos de fluxo da versão 9
O exemplo a seguir mostra a configuração do modelo active flow monitoring da versão 9 IPv4 em linha:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
O exemplo a seguir mostra a configuração do modelo active flow monitoring da versão 9 IPv6 em linha:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
O exemplo a seguir mostra o monitoramento de fluxo ativo em linha versão 9 IPv4 amostragem de tráfego e configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra o monitoramento de fluxo ativo em linha versão 9 IPv6 amostrando tráfego e configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra a vinculação da interface de amostragem active flow versão 9 em linha (usando interface):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
O exemplo a seguir mostra a vinculação da interface de amostragem active flow versão 9 em linha com filtro de firewall (usando filtros):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Exemplo: Configuração de modelos de fluxo IPFIX e amostragem de fluxo
O exemplo a seguir mostra a configuração do modelo IPFIX IPv4:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
O exemplo a seguir mostra a configuração do modelo IPFIX IPv6:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
O exemplo a seguir mostra o tráfego amostral de IPFIX IPv4 e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
O exemplo a seguir mostra o tráfego amostral de IPFIX IPv6 e a configuração de exportação:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.