Configuração do monitoramento de fluxo ativo em linha em roteadores da Série ACX e PTX
Este tópico descreve como configurar o monitoramento de fluxo ativo em linha nos roteadores da Série ACX e PTX que oferecem suporte a esse recurso para tráfego IPv4 e IPv6.
Visão geral
Use Feature Explorer: JFlow e Feature Explorer: Amostragem de tráfego para confirmar o suporte de plataforma e versão para recursos específicos. Veja o monitoramento de fluxo para a sintaxe da declaração de configuração, pois as declarações suportadas variam de acordo com a plataforma.
Suporte para VRF: A partir do Junos OS Evolved 24.2R1, apoiamos a exportação de IPFIX ou registros da versão 9 de pacotes amostrados de monitoramento de fluxo ativo em linha para coletores que podem ser alcançados por:
-
Interfaces pertencentes à instância VRF mgmt_junos.
-
Portas WAN pertencentes à instância VRF não padrão.
Você configura esse recurso usando a declaração de routing-instance configuração no nível de [edit forwarding-options sampling instance name family type output flow-server IP-address] hierarquia. Você deve garantir que os coletores podem ser alcançados por meio da interface de gerenciamento. Oferecemos suporte a no máximo quatro coletores para cada tipo de instância VRF. Você pode configurar coletores para ambos os tipos de instâncias VRF na mesma configuração de amostragem. No entanto, os coletores que podem ser alcançados por meio da instância VRF mgmt_junos e os coletores que podem ser alcançados pelas portas WAN não podem coexistir sob a mesma família, porque você pode especificar apenas um endereço IP de origem por família. Você pode especificar inet coletores, inet6 coletores ou uma mistura dos dois tipos. A amostragem de entrada e saída em VRFs padrão e não padrão é suportada em interfaces físicas, AE e IRB. Para configurar a instância VRF mgmt_junos, consulte a Interface de gerenciamento em uma instância dedicada.
Suporte para MPLS-over-UDP: Para configurar o monitoramento de fluxo em linha para o tráfego MPLS-over UDP em roteadores da Série PTX, veja o monitoramento de fluxo ativo em linha dos fluxos MPLS-over-UDP em roteadores da Série PTX. O monitoramento de fluxo ativo em linha para tráfego MPLS-over-UDP não é suportado nos roteadores PTX10001-36MR, PTX10003, PTX10004 e PTX10008 (com os roteadores JNP10008-SF3).
Colecionadores: A partir do Junos OS Release 18.2R1, você pode configurar até quatro coletores em uma família para monitoramento de fluxo ativo em linha. Em versões anteriores do Junos OS, você poderia configurar apenas um coletor em uma família para monitoramento de fluxo ativo em linha. A partir do Junos OS Evolved 20.3R1, você pode configurar até quatro coletores para monitoramento ativo de fluxo em linha. Para configurar um coletor em uma família para o monitoramento de fluxo ativo em linha, configure a flow-server declaração no nível hierárquica edit forwarding-options sampling-instance instance-name family (inet | inet6) output . Para especificar até quatro coletores, inclua até quatro flow-server declarações.
CPU da placa de linha: O monitoramento de fluxo ativo em linha é implementado na CPU de placa de linha (LCPU), com exceção dos roteadores da Série ACX que executam o Junos OS Evolved, onde todas as funções são baseadas em software, não em hardware. Para todas as outras plataformas suportadas, todas as funções como criação de fluxo, atualização de fluxo e exportação de registros de fluxo são feitas pela LCPU. Os registros de fluxo são enviados no formato IPFIX ou no formato da versão 9.
Fluxos: Começando pelo Junos OS Evolved Release 21.2R1 e Junos OS Release 21.3R1, nenhum fluxo é mantido. Cada pacote amostrado é considerado um fluxo. Quando o pacote amostrado é recebido, o fluxo é criado e imediatamente cronometrado como inativo, e o software exporta um registro para o coletor. Portanto, o número de registros enviados ao coletor é maior do que antes. O registro de dados do modelo de IPFIX e versão 9 de opções agora contém 0 nos Flow Active Timeout campos (Element ID 36) e Flow Inactive Timeout (Element ID 37). Portanto, o registro de dados do modelo de opções não está em conformidade com o IPFIX RFC 7011. O show services accounting flow inline-jflow fpc-slot slot comando de modo operacional agora exibe 0 para todos os Active Flows campos. Timed Out Os valores dos vários Total Flows campos agora são iguais aos seus respectivos Flow Packets valores de campo. Os valores dos vários Flows Inactive Timed Out campos agora são iguais aos seus respectivos Flow Packets valores de campo. O efeito da nexthop-learning declaração no nível de [edit services flow-monitoring version version template template-name] hierarquia sobre esse comportamento sem fluxo varia dependendo do sistema operacional. Para o Junos OS Evolved, não recomendamos que você configure a nexthop-learning declaração, pois ela reduz o número de pacotes que podem ser processados. Para o Junos OS, você pode configurar a nexthop-learning declaração para alterar esse comportamento padrão sem fluxo e, mais uma vez, criar e manter fluxos e, em seguida, anexar o modelo a todas as instâncias de amostragem associadas com FPCs que exigem o comportamento anterior.
Limitações e restrições
As seguintes limitações e restrições se aplicam ao recurso de monitoramento de fluxo ativo em linha no Junos OS e no Junos OS Evolved:
-
Os filtros MPLS de saída não são suportados nos roteadores PTX10001-36MR, PTX10003, PTX10004 e PTX10008 (com os roteadores JNP10008-SF3).
-
O roteador PTX10001-36MR não oferece suporte a várias coletas de amostragem de FPC porque possui apenas 1 mecanismo de roteamento.
-
O relatório de interface de saída real (OIF) não é suportado para amostragem de saída. No Junos OS Evolved, os relatórios de interface de saída verdadeira (OIF) não são suportados para pacotes des encapsulados de GRE.
-
O campo do tipo de interface para a interface de entrada verdadeira não faz parte do modelo da versão 9 porque este elemento não está presente na versão de exportação da versão 9.
-
Para o tráfego de túneis GRE em PTX10003 roteadores, a interface física é relatada no cabeçalho da camada 2 e é considerada como uma das chaves durante a criação do fluxo. Portanto, quando as interfaces físicas são movidas para dentro ou para fora do pacote Ethernet agregado, um novo fluxo é criado e os fluxos antigos são cronometrados após um período de inatividade. Interface física, interface lógica ou interface lógica agregada (com base na configuração) é relatada como a interface de entrada em registros de exportação com base na configuração.
Para o tráfego de túneis GRE em PTX10008 (com os roteadores JNP10008-SF3), uma interface de FTI é configurada para encerrar um túnel GRE. Essa interface é usada durante a criação de fluxo como uma das chaves em vez da interface física. Assim, quando uma interface física é movida para dentro ou para fora de um pacote Ethernet agregado, nenhum fluxo novo é criado, pois a chave permanece inalterada. Interface física, interface lógica ou interface lógica agregada (com base na configuração) é relatada como a interface de entrada em registros exportados.
-
Os roteadores da Série ACX não oferecem suporte a modelos MPLS.
-
Para os roteadores ACX, você não pode configurar a amostragem diretamente em uma interface lógica. Em vez disso, você deve configurar um filtro de firewall na interface para permitir a amostragem.
Como configurar o monitoramento de fluxo ativo em linha em roteadores da Série ACX ou PTX
Neste exemplo, configuramos um version-ipfix modelo para registrar fluxos de tráfego IPv4 e IPv6.
- Configure um modelo para especificar propriedades de saída
- Configure uma instância de amostragem para especificar propriedades de entrada
- Atribua a instância de amostragem a um FPC
- Configure um filtro de firewall para aceitar e provar fluxos
- Atribua o filtro de firewall a uma interface
- Resultados de uma configuração de amostra
Configure um modelo para especificar propriedades de saída
-
Defina o modelo e configure o tipo de fluxo que o modelo deve registrar. (Os roteadores da Série ACX não oferecem suporte a modelos MPLS.)
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(Opcional, apenas para roteadores da Série PTX que oferecem suporte a esses recursos) Configure propriedades de saída adicionais para o modelo, como intervalo de tempo de saída de fluxo e taxas de atualização de modelo/opção, para controlar os registros de fluxo.
Você pode usar a opção
template-refresh-ratede configurar a frequência em que o gerador de fluxo envia atualizações sobre definições de modelo para o coletor de fluxo, seja usando número de pacotes ou segundos.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (Opcional, apenas para roteadores da Série PTX que oferecem suporte a esses recursos)
Se você estiver monitorando os fluxos MPLS, ou seja, se o modelo em uso estiver configurado para a família de protocolo MPLS, use a opção
tunnel-observationpara identificar os tipos de fluxos MPLS.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(Opcional) Habilite o aprendizado de endereços de próximo salto para que a verdadeira interface de saída seja relatada.
Nota:A partir do Junos OS Evolved 21.2R1, não recomendamos que você habilite o aprendizado de endereços de próximo salto, pois reduz o número de pacotes que podem ser processados. No entanto, a partir do Junos OS Release 21.3R1, você pode configurar a
nexthop-learningdeclaração para alterar o comportamento padrão sem fluxo e, mais uma vez, criar e manter fluxos e, em seguida, anexar o modelo a todas as instâncias de amostragem associadas a FPCs que exigem o comportamento anterior.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
Configure uma instância de amostragem para especificar propriedades de entrada
-
Defina a instância de amostragem e configure a razão do número de pacotes a serem amostrados. Por exemplo, se você especificar uma taxa de 10, cada décimo pacote (1 pacote em 10) é amostrado.
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
Melhores práticas:Recomendamos que você use um valor de 1000 ou mais para fluxos MPLS.
-
Configure a família de protocolo para a instância de amostragem e especifique um coletor de fluxo para enviar os agregados de tráfego. (Roteadores da Série ACX suportam apenas
family inetoufamily inet6configuração.)[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(Opcional) Especifique a porta UDP para o coletor de fluxo e o modelo a ser usado com a instância de amostragem. (Os roteadores da Série ACX não oferecem suporte a modelos MPLS.)
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
Configure o processamento em linha dos pacotes amostrados.
(Roteadores da Série ACX suportam apenas
family inetoufamily inet6configuração.)[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
Atribua a instância de amostragem a um FPC
-
Atribua a instância de amostragem ao FPC no qual você deseja implementar o monitoramento de fluxo.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
Configure um filtro de firewall para aceitar e provar fluxos
-
Configure o filtro de firewall para a família de protocolo e habilite uma amostra dos fluxos de tráfego. (Os roteadores da Série ACX oferecem suporte apenas
family inetoufamily inet6configuração para o recurso de monitoramento de fluxo ativo em linha.)[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
Atribua o filtro de firewall a uma interface
-
Atribua o filtro de firewall de entrada à interface que deseja monitorar. (Os roteadores da Série ACX oferecem suporte apenas
family inetoufamily inet6configuração para o recurso de monitoramento de fluxo ativo em linha.)[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
Resultados de uma configuração de amostra
O exemplo a seguir é a configuração de amostragem em um roteador da Série PTX, por exemplo, que oferece suporte ao monitoramento family inet family inet6ativo de fluxo em linha:
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance sample-1{
ipv4 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
Você pode usar o comando de fluxo de contabilidade dos serviços show para verificar estatísticas de fluxo ativo.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.