Exemplo: Configuração de logs no formato de monitoramento de fluxo para eventos NAT em roteadores da Série MX para resolução de problemas
Você pode configurar roteadores da Série MX com MS-MPCs, MS-MICs e MX-SPC3s para registrar eventos de tradução de endereços de rede (NAT) usando o formato modelo Junos Traffic Vision (anteriormente conhecido como Jflow) versão 9 ou IPFIX (versão 10). Este método de geração de registros de monitoramento de fluxo para eventos NAT, como a criação e exclusão de sessões NAT44 e NAT64, e eventos base de informações vinculantes NAT44 e NAT64, permite uma análise coesa e simplificada do tráfego de NAT e resolução de problemas relacionados ao NAT.
Essa funcionalidade é suportada em roteadores da Série MX com pacotes de provedores de extensão Junos OS instalados e configurados no dispositivo, e em MS-MPCs, MS-PICs e MX-SPC3s. Não é compatível com MS-DPCs com roteadores da Série MX.
Este exemplo descreve como configurar a geração de log de monitoramento de fluxo no formato de monitoramento de fluxo para eventos NAT no nível definido de serviço no MS-MIC, MS-MPC e MX-SPC3, e contém as seguintes seções:
Este exemplo de configuração é para um conjunto de serviços estilo interface.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX com MS-MPC, MS-MIC ou MX-SPC3
Versão 14.2R2 do Junos OS para roteadores da Série MX
Geração de mensagens de log usando modelos de fluxo para operações de NAT em MS-MPCs, MS-MICs e MX-SPC3s
Você pode configurar o mecanismo para registrar mensagens de registro em formato de monitoramento de fluxo para eventos NAT. Você pode criar um perfil de modelo para um determinado serviço NAT em um roteador da Série MX com MS-MPCs, MS-MICs ou MX-SPC3s, ou para um conjunto de serviços, que se aplica a todos os serviços NAT. Você deve definir um perfil de modelo para gerar logs de monitoramento de fluxo em um formato específico de modelo de fluxo e anexar o perfil do modelo a um conjunto de serviços. Você deve configurar um coletor ou um grupo de coletores, que são hosts que recebem as mensagens de log para eventos NAT a partir do pic de serviço ou do exportador. Você precisa associar um perfil de modelo ao coletor. O perfil define as características do modelo de registro de monitoramento de fluxo, como a versão do monitoramento de fluxo (versão 9 ou IPFIX), a taxa de atualização, em pacotes ou segundos, e o tipo de serviço ou aplicativo (NAT neste caso) para o qual os registros de fluxo devem ser enviados ao coletor.
Assuma uma implantação de amostra em que dois coletores, c1 e c2, sejam definidos. Esses coletores estão agrupados em dois grupos. O grupo de coletores, cg1, contém c1 e c2, e o grupo de coletores, cg2, contém c2. Dois perfis de modelos chamados t1 e t2 são definidos. Os perfis, t1 e t2, estão associados a coletores, c1 e c2, respectivamente.
Esses perfis descrevem as propriedades ou atributos para a transmissão de logs, como o formato de modelo de fluxo a ser usado, a taxa em que os logs devem ser atualizados e o serviço ou evento, como o NAT, para o qual os logs devem ser enviados ao coletor especificado.
Configuração
Para habilitar o recurso de log de monitoramento de fluxo para eventos NAT e configurar a transmissão de logs para coletores, execute essas tarefas:
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos no CLI no nível [edit] de hierarquia:
Configuração de propriedades do conjunto de serviços
set services service-set sset_0 interface-service service-interface ms-5/0/0.0
Aplicando o serviço de log de monitoramento de fluxo em uma interface
set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
Ativação e configuração de logs de monitoramento de fluxo para um conjunto de serviços
set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 set services jflow-log collector-group cg1 collector [ c1 c2 ] set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t1 collector-group cg1
Associação do perfil do modelo com um conjunto de serviços
set services service-set sset_0 jflow-log template-profile t1
Procedimento
Procedimento passo a passo
Para configurar a geração e a transmissão de logs de modelo de monitoramento de fluxo para eventos NAT:
Crie propriedades de conjunto de serviços.
[edit] user@host# set services service-set sset_0 interface-service service-interface ms-5/0/0.0
Defina o serviço de log de monitoramento de fluxo a ser aplicado em uma interface.
[edit] user@host# set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
Configure os coletores e grupos de coletores.
[edit] user@host# set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 user@host# set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 user@host# set services jflow-log collector-group cg1 collector [ c1 c2 ] user@host# set services jflow-log collector-group cg2 collector c2
Configure os perfis do modelo e associe o perfil do modelo ao coletor.
[edit] user@host# set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 user@host# set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20
Associe o perfil do modelo com o conjunto de serviços.
[edit] user @ host# set services service-set sset_0 jflow-log template-profile t1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show services, show services jflow-loge show services service-set sset_0 jflow-log comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show services
service-set sset_0 {
interface-service {
service-interface ms-5/0/0;
}
}
[edit interfaces]
ms-5/0/0 {
services-options {
jflow-log {
message-rate-limit 50000;
}
}
}
user@host# show services jflow-log
collector c1 {
destination-address 192.0.2.3;
destination-port 1;
source-ip 198.51.100.1;
}
collector c2 {
destination-address 203.0.113.5;
destination-port 3;
source-ip 198.51.100.2;
}
collector-group cg1 {
collector [ c2 c1 ];
}
collector-group cg2 {
collector c2;
}
template-profile t2 {
collector c2;
template-type nat;
referesh-rate packets 20 seconds 20;
version v9;
}
template-profile t1 {
collector c1;
template-type nat;
referesh-rate packets 20 seconds 20;
version ipfix;
}
[edit]
user@host# show services service-set sset_0 jflow-log
template-profile t2;
Verificação
Para confirmar que a configuração está funcionando corretamente, execute o seguinte:
Verificando se os logs de monitoramento de fluxo são gerados e enviados aos coletores
Propósito
Verifique se as mensagens de log de monitoramento de fluxo no formato de modelo definido, como IPFIX ou versão 9, são geradas e transmitidas aos coletores configurados para as diferentes operações de NAT.
Ação
A partir do modo operacional, use o show services service-sets statistics jflow-log comando:
user@host> show services service-sets statistics jflow-log
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
A partir do modo operacional, use o show services service-sets statistics jflow-log detail comando:
user@host> show services service-sets statistics jflow-log detail
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
NAT44 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 4
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Address Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Port Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
Significado
A saída mostra que as mensagens de log no formato de monitoramento de fluxo associadas ao conjunto e interface de serviço especificados são geradas para os diferentes eventos de NAT.