Entender o formato de registro de eventos nat em formato de monitoramento de fluxo em um roteador da Série MX ou NFX250
Começando pelo Junos OS Release 14.2R2 e 15.1R1, você pode configurar roteadores da Série MX com MS-MPCs e MS-MICs para registrar eventos de tradução de endereços de rede (NAT) usando o junos traffic vision (anteriormente conhecido como Jflow) versão 9 ou IPFIX (versão 10). Você também pode configurar roteadores da Série MX com placas de serviçoS MX-SPC3 com esse recurso a partir do Junos OS Release 19.3R2.
O logger de eventos NAT gera mensagens em formato de monitoramento de fluxo para vários eventos NAT, como a criação de uma entrada NAT, exclusão de uma entrada NAT e processamento nat inválido (como pools de endereço NAT ou valores de endereço sendo esgotados para alocação). Esses eventos também oferecem suporte a traduções NAT64 (tradução de endereços IPv6 para endereços IPv4), eventos de base de informações vinculativas (BIB) e geração de erros mais detalhada. Os registros ou logs gerados para eventos NAT em formato de modelo de fluxo são enviados do MS-MIC ou MS-MPC ou MX-SPC3 para o host ou dispositivo externo especificado que funciona como coletor de NetFlow. Esse método de geração de registros de monitoramento de fluxo para eventos NAT permite uma análise coesa e simplificada do tráfego nat e a solução de problemas relacionados ao NAT. Você pode habilitar a capacidade de enviar registros de monitoramento de fluxo para operações nat para um coletor externo e a capacidade de usar o protocolo de registro de sistema (syslog) para gerar registro de sessão para diferentes serviços ao mesmo tempo.
Os registros de fluxo e os modelos são encapsulados em um UDP ou pacote IP e enviados ao coletor. No entanto, o registro de registros de monitoramento baseados em TCP para eventos NAT não é suportado. Os dispositivos NAT de nível de operadora (CGN) são obrigados a registrar a criação e exclusão de eventos de traduções e informações sobre os recursos que gerencia. Os logs de monitoramento de fluxo podem ser configurados opcionalmente em sua topologia de rede, além do recurso de registro de sistema (syslog), o que faz com que os logs sejam salvos do PIC para o diretório /var/log do Mecanismo de Roteamento (local) ou para um servidor externo (remoto). Geralmente, os coletores de fluxo fazem parte de uma vasta infraestrutura de rede que contém vários dispositivos de terceiros, que executam várias correlações e mapeamentos com registros de outros bancos de dados. Portanto, a coleta de registros de monitoramento de fluxo relacionados ao NAT como registros de logs ou templates é útil nos hosts ou dispositivos que funcionam como coletores em uma perspectiva geral e abrangente. Você pode habilitar o registro de registros de monitoramento de fluxo para eventos NAT no nível definido por serviço para permitir que registros de fluxo da versão 9 ou IPFIX sejam gerados como logs quando o NAT estiver configurado no roteador.
O coletor de NetFlow recebe registros de fluxo no formato versão 9 ou IPFIX de um ou mais exportadores. Ele processa os pacotes de exportação recebidos analisando e economizando os detalhes do registro de fluxo. Os registros de fluxo podem ser agregados opcionalmente antes de serem armazenados no disco rígido. O coletor de NetFlow também é chamado de coletor. O exportador monitora pacotes que entram em um ponto de observação e cria fluxos a partir desses pacotes. As informações desses fluxos são exportadas na forma de registros de fluxo para o NetFlow Collector. Um ponto de observação é um local na rede onde os pacotes IP podem ser supervisionados e monitorados; por exemplo, um ou um conjunto de interfaces em um dispositivo de rede, como um roteador. Cada ponto de observação está associado a um domínio de observação, que é um cluster de pontos de observação, e constitui o maior conjunto aggregável de informações de fluxo no dispositivo de rede com serviços NetFlow habilitados.
A FlowSet é um termo genérico para uma coleção de Flow Records que têm um padrão ou formato semelhantes. Em um pacote de exportação, um ou mais FlowSets seguem o cabeçalho do pacote. Um Template FlowSet inclui um ou mais registros de modelo que foram agrupados em um pacote de exportação. Um flowSet de modelo de opções contém um ou mais registros de modelo de opções que são combinados em um pacote de exportação. Um Data FlowSet é um ou mais registros, do mesmo tipo, agrupados em um pacote de exportação. Cada registro é um registro de dados de fluxo ou um registro de dados de opções que foi previamente especificado por um Registro de Modelo ou um Registro de Modelo de Opções. Um dos elementos essenciais no formato NetFlow é o Template FlowSet. Os modelos aumentam consideravelmente a flexibilidade do formato Flow Record porque permitem que o coletor processe o Flow Records sem necessariamente saber a interpretação de todos os dados no Flow Record.
Você pode configurar a capacidade de transmitir registros ou mensagens de log nos formatos de fluxo de tráfego versão 9 e IPFIX gerados para eventos NAT a um coletor de NetFlow externo de alta velocidade para um monitoramento e diagnóstico fáceis e eficazes dos logs. Por padrão, essa funcionalidade é desabilitada. Com um alto número de eventos NAT, esse mecanismo de exportação de logs para um coletor de log externo pode causar considerações de escalonamento, como a perda de alguns registros de fluxo. Para permitir que o mecanismo registre mensagens de registro em formato de monitoramento de fluxo para eventos NAT, agora você pode incluir a jflow-log declaração no nível de [edit services] hierarquia. Você pode configurar um coletor, que é um host externo ao qual os logs formatados de monitoramento de fluxo são enviados, ou um grupo de coletores. Um grupo de coletores é útil em cenários em que você deseja combinar um conjunto de dispositivos coletores e definir configurações comuns para registrar eventos NAT para todos os coletores do cluster ou grupo.
Para configurar um coletor e seus parâmetros, como o endereço IP de origem do qual os registros são enviados e o endereço de destino do coletor, inclua a collector collector-name declaração e seus subestações no nível de [edit services jflow-log] hierarquia. Para especificar um grupo de coletores ou um cluster, inclua a collector-group collector-group-name declaração e seus subestações no nível de [edit services jflow-log] hierarquia.
Você precisa configurar um perfil de modelo e associá-lo ao coletor. O perfil define as características do modelo de registro de monitoramento de fluxo, como a versão de monitoramento de fluxo (versão 9 ou IPFIX), a taxa de atualização, em pacotes ou segundos, e o tipo de serviço ou aplicativo (NAT neste caso) para o qual os registros de fluxo devem ser enviados ao coletor. Para especificar um perfil de modelo, inclua a template-profile template-profile-name declaração no nível de [edit services jflow-log] hierarquia. Para especificar o número máximo de mensagens a serem coletadas por segundo para eventos de erro de NAT, inclua a message-rate-limit messages-per-second declaração no nível de [edit interfaces ms-interface-name service-options jflow-log] hierarquia.
O uso das versões 9 e IPFIX permite definir um modelo de registro de fluxo adequado para tráfego IPv4, tráfego IPv6, tráfego MPLS, uma combinação de tráfego IPv4 e MPLS, ou tráfego de faturamento peer AS. Os modelos e os campos incluídos no modelo são transmitidos periodicamente para o coletor, e o coletor não precisa estar ciente da configuração do roteador. Você deve definir propriedades de perfil de modelo para um serviço NAT e associar o perfil de modelo definido a um conjunto de serviços para habilitar a funcionalidade de log de monitoramento de fluxo para eventos NAT. Para definir as características do perfil do modelo para registrar logs de monitoramento de fluxo para eventos NAT, inclua a template-profile template-profile-name declaração no nível de [edit services jflow-log] hierarquia. Para associar o perfil de modelo para registro de logs de monitoramento de fluxo para eventos NAT com um nível de conjunto de serviços, que se aplica a todos os serviços do sistema, inclua a template-profile template-profile-name declaração no nível de [edit services service-set service-set-name] hierarquia.
Para visualizar informações estatísticas sobre os logs gerados em formato de monitoramento de fluxo para as interfaces e conjuntos de serviço configurados no sistema, use o show services service-sets statistics jflow-log comando.
As mensagens de registro do sistema a seguir para vários eventos NAT são registradas usando o recurso de registro do sistema (syslog):
JSERVICES_SESSION_OPEN
JSERVICES_SESSION_CLOSE
JSERVICES_NAT_OUTOF_ADDRESSES
JSERVICES_NAT_OUTOF_PORTS
JSERVICES_NAT_RULE_MATCH
JSERVICES_NAT_POOL_RELEASE
JSERVICES_NAT_PORT_BLOCK_ALLOC
JSERVICES_NAT_PORT_BLOCK_RELEASE
JSERVICES_NAT_PORT_BLOCK_ACTIVE
Os seguintes eventos NAT são registrados usando o recurso de log de monitoramento de fluxo usando os modelos de fluxo versão 9 e IPFIX:
Criação de sessão NAT44
Exclusão da sessão NAT44
Endereços NAT esgotados
Criação de sessão NAT64
Exclusão da sessão NAT64
CRIA O NAT44 BIB
Exclusão do NAT44 BIB
CRIA O NAT64 BIB
Exclusão do NAT64 BIB
Portas NAT esgotadas
Cota de NAT excedeu
Criação de vinculação de endereço NAT
Exclusão de vinculação de endereço NAT
Alocação de blocos de porta NAT
Versão do bloco de porta NAT
Bloqueio de porta NAT ativo
A Tabela 1 descreve o formato do modelo de fluxo para eventos de criação e exclusão de sessão NAT44. Os nomes do Elemento de Informação (IE) e seus IDs IANA são definidos na especificação das Entidades de Exportação de Informações de Fluxo IP (IPFIX) pela Autoridade de Numeração Atribuída à Internet (IANA).
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
| observaçãoTimeMilliseconds |
64 |
323 |
| código-fonteIPv4Address |
32 |
8 |
| pósNATSourceIPv4Address |
32 |
225 |
| codificador de protocolo |
8 |
4 |
| transportport |
16 |
7 |
| pósNAPTsourceTransport |
16 |
227 |
| destinoIPv4Address |
32 |
12 |
| pósNATDestinationIPv4Address |
32 |
226 |
| transporte de destino |
16 |
11 |
| pósNAPTdestinationTransport |
16 |
228 |
| natOriginandoAddressRealm |
8 |
229 |
| natEvent |
8 |
230 |
| fluxoCondsmilissegundos |
32 |
161 |
| pacotes de iniciação |
64 |
298 |
| pacotes de responder |
64 |
299 |
| Flowdirection |
8 |
61 |
A Tabela 2 descreve o formato do modelo de fluxo para eventos de criação e exclusão de sessão NAT64.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
| observaçãoTimeMilliseconds |
64 |
323 |
| fonteIPv6Address |
128 |
27 |
| pósNATSourceIPv6Address |
32 |
225 |
| codificador de protocolo |
8 |
4 |
| transportport |
16 |
7 |
| pósNAPTsourceTransport |
16 |
227 |
| destinoIPv6Address |
128 |
28 |
| pós-NATDestinationIPv6Address |
32 |
226 |
| transporte de destino |
16 |
11 |
| pósNAPTdestinationTransport |
16 |
228 |
| natOriginandoAddressRealm |
8 |
229 |
| natEvent |
8 |
230 |
| fluxoCondsmilissegundos |
32 |
161 |
| pacotes de iniciação |
64 |
298 |
| pacotes de responder |
64 |
299 |
| Flowdirection |
8 |
61 |
A Tabela 3 descreve o formato do modelo de fluxo para eventos de criação e exclusão da base de informações vinculativas (BIB) NAT44.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
código-fonteIPv4Address |
32 |
8 |
pósNATSourceIPv4Address |
32 |
225 |
codificador de protocolo |
8 |
4 |
transportport |
16 |
7 |
pósNAPTsourceTransport |
16 |
227 |
natEvent |
8 |
230 |
A Tabela 4 descreve o formato do modelo de fluxo para eventos de criação e exclusão da base de informações vinculativas (BIB) NAT64.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
fonteIPv6Address |
128 |
27 |
pósNATSourceIPv6Address |
32 |
225 |
codificador de protocolo |
8 |
4 |
transportport |
16 |
7 |
pósNAPTsourceTransport |
16 |
227 |
natEvent |
8 |
230 |
A Tabela 5 descreve o formato do modelo de fluxo para tratar eventos de exaustão.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
natPoolName |
512 |
284 |
A Tabela 6 descreve o formato do modelo de fluxo para eventos de exaustão de portas.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
pósNATSourceIPv4Address |
32 |
225 |
codificador de protocolo |
8 |
4 |
A Tabela 7 descreve o formato de modelo de fluxo para eventos excedidos da cota NAT44.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
código-fonteIPv4Address |
32 |
8 |
A Tabela 8 descreve o formato de modelo de fluxo para eventos excedidos da cota NAT64.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
fonteIPv6Address |
128 |
27 |
A Tabela 9 descreve o formato do modelo de fluxo para eventos de criação e exclusão de endereços NAT44.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
código-fonteIPv4Address |
32 |
8 |
pósNATSourceIPv4Address |
32 |
225 |
A Tabela 10 descreve o formato de modelo de fluxo para eventos de criação e exclusão de endereçamento de endereços NAT64.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
natEvent |
8 |
230 |
fonteIPv6Address |
128 |
27 |
pósNATSourceIPv4Address |
32 |
225 |
A Tabela 11 descreve o formato de modelo de fluxo para eventos de alocação e localização de blocos de porta NAT44.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
código-fonteIPv4Address |
32 |
8 |
pósNATSourceIPv4Address |
32 |
225 |
portRangeStart |
16 |
361 |
portRangeEnd |
16 |
362 |
portRangeStepSize |
16 |
363 |
portasRangeNumPorts |
16 |
364 |
observaçãoTimeMilliseconds (tempo em que o PBA alocado)
Nota:
Esta IE não está incluída em modelos de fluxo ao usar a placa de serviços MX-SPC3. |
64 |
323 |
natEvent |
8 |
230 |
A Tabela 12 descreve o formato de modelo de fluxo para eventos de alocação e localização de blocos de porta NAT64.
Elemento de informação (IE) |
Tamanho (bits) |
IANA ID |
|---|---|---|
observaçãoTimeMilliseconds |
64 |
323 |
fonteIPv6Address |
128 |
27 |
pósNATSourceIPv4Address |
32 |
225 |
portRangeStart |
16 |
361 |
portRangeEnd |
16 |
362 |
portRangeStepSize |
16 |
363 |
portasRangeNumPorts |
16 |
364 |
observaçãoTimeMilliseconds (tempo em que a alocação de blocos de porta (PBA) é configurada)
Nota:
Esta IE não está incluída em modelos de fluxo ao usar a placa de serviços MX-SPC3. |
64 |
323 |
natEvent |
8 |
230 |
Em todos os modelos mencionados, o campo natEvent mapeia um dos valores listados na Tabela 13, dependendo do tipo de evento.
valor do natEvent |
nome do natEvent |
|---|---|
1 |
Criação de sessão NAT44 |
2 |
Exclusão da sessão NAT44 |
3 |
Endereços NAT esgotados |
4 |
Criação de sessão NAT64 |
5 |
Exclusão da sessão NAT64 |
6 |
CRIA O NAT44 BIB |
7 |
Exclusão do NAT44 BIB |
8 |
CRIA O NAT64 BIB |
9 |
Exclusão do NAT64 BIB |
10 |
Portas NAT esgotadas |
11 |
Cota de NAT ultrapassada |
12 |
Criação de vinculação de endereço NAT |
13 |
Exclusão de vinculação de endereço NAT |
14 |
Alocação de blocos de porta NAT |
15 |
Versão do bloco de porta NAT |
16 |
Bloqueio de porta NAT ativo |