Configuração de serviços de monitoramento em linha
Entendendo os serviços de monitoramento em linha
- Benefícios dos serviços de monitoramento em linha
- Visão geral dos serviços de monitoramento em linha
- Visão geral da configuração dos serviços de monitoramento em linha
- Recursos suportados e sem suporte com serviços de monitoramento em linha
Benefícios dos serviços de monitoramento em linha
Flexível — os serviços de monitoramento em linha permitem que diferentes instâncias de monitoramento em linha sejam mapeadas em diferentes termos de filtro de firewall, ao contrário das tecnologias tradicionais de amostragem, onde todas as instâncias são mapeadas para o Concentrador PIC Flexível (FPC). Isso oferece a flexibilidade de provar diferentes fluxos de tráfego a taxas diferentes em uma única interface.
Agnóstico em formato de pacote — as tecnologias tradicionais de coleta de fluxo dependem da análise e agregação de pacotes pelo elemento da rede. Com serviços de monitoramento em linha, o cabeçalho de pacotes é exportado para o coletor para processamento posterior, mas sem agregação. Com isso, você tem o benefício de usar campos de pacotes arbitrários para processar os pacotes monitorados no coletor.
Visão geral dos serviços de monitoramento em linha
Provedores de serviços e provedores de conteúdo normalmente exigem visibilidade dos fluxos de tráfego para avaliar acordos de peering, detectar anomalias de tráfego e violações de políticas e monitorar o desempenho da rede. Para atender a esses requisitos, você tradicionalmente exportaria informações agregadas de estatísticas de fluxo usando variantes JFlow ou IPFIX.
Como uma abordagem alternativa, você pode provar o conteúdo do pacote, adicionar informações de metadados e exportar os pacotes monitorados para um coletor. Os serviços de monitoramento em linha permitem que você faça isso em roteadores da Série MX e em roteadores PTX que executam o Junos OS Evolved.
Com serviços de monitoramento em linha, você pode monitorar todos os pacotes IPv4 e IPv6 em direções de entrada e saída de uma interface. O software encapsula o tráfego monitorado em um formato IPFIX e exporta o pacote real até o comprimento de clipe configurado para um coletor para processamento adicional. Por padrão, o Junos OS oferece suporte a um comprimento máximo de clipe de 126 bytes a partir do cabeçalho Ethernet e o Junos OS Evolved oferece suporte a um comprimento máximo de clipe de 256 bytes a partir do cabeçalho Ethernet.
A Figura 1 ilustra a especificação do formato IPFIX.
O cabeçalho IPFIX e a carga de IPFIX são encapsulados usando a camada de transporte IP ou UDP. O formato IPFIX exportado inclui dois registros de dados e dois modelos de dados que são exportados para cada coletor:
Registro de dados — Inclui interface de entrada e saída, direção de fluxo, seção de quadros de link de dados e tamanho do quadro do link de dados. Essas informações são enviadas ao coletor somente quando os pacotes amostrados estão sendo exportados.
A Figura 2 é uma ilustração amostra do pacote de registro de dados de IPFIX.
Registro de dados da opção — inclui informações de nível do sistema, como ID de processo de exportação e intervalo de amostragem. Essas informações são enviadas ao coletor periodicamente, independentemente de os pacotes de amostragem não estarem sendo exportados.
A Figura 3 é uma ilustração amostra do pacote de registro de dados da opção IPFIX.
Tabela 1: Campos de elementos de informação no pacote de dados da opção IPFIX Número
ID do elemento de informação
Comprimento do elemento de informação
Detalhes
1
144
4B
ID do domínio de observação — um identificador exclusivo do processo de exportação por dispositivo IPFIX. A finalidade deste campo é limitar o escopo de outros campos de elementos de informação.
2
34
4B
Intervalo de amostragem em que os pacotes são amostrados. 1000 indica que um dos 1000 pacotes foi amostrado.
Modelo de dados — inclui cinco elementos de informação:
Interface de entrada
Interface de saída
Direção de fluxo
Tamanho do quadro do link de dados
Seleção de quadros de link de dados variáveis
A Figura 4 é uma ilustração amostra do pacote de modelo de dados ipfix.
Modelo de dados da opção — Inclui informações de intervalo de fluxo e de intervalo de amostragem.
A Figura 5 é uma ilustração amostra do pacote de modelo de dados da opção IPFIX.
Quando há uma configuração nova ou alterada de serviços de monitoramento em linha, a exportação periódica de modelo de dados e modelo de dados de opção é imediatamente enviada aos respectivos coletores.
Visão geral da configuração dos serviços de monitoramento em linha
Você pode configurar um máximo de dezesseis (Junos OS) ou sete instâncias de monitoramento em linha (Junos OS Evolved) que oferecem suporte a parâmetros de configuração específicos para modelos e coletores. Cada instância de monitoramento em linha oferece suporte a até quatro coletores (no máximo 64 coletores no total) e, apenas para o Junos OS, você pode especificar diferentes taxas de amostragem em cada configuração de coletor. Devido a essa flexibilidade, os serviços de monitoramento em linha superam as limitações das tecnologias tradicionais de amostragem, como JFlow, sFlow e espelhamento de portas.
Para configurar o monitoramento em linha:
-
Você deve incluir a
inline-monitoring
declaração no nível de[edit services]
hierarquia. Aqui você especifica o modelo e os parâmetros de instância de monitoramento em linha. Você deve especificar os parâmetros de coletor na instância de monitoramento em linha. -
Especifique condições de correspondência arbitrárias usando um termo de filtro de firewall e uma ação para aceitar a instância configurada de monitoramento em linha. Isso mapeia a instância de monitoramento em linha para o termo firewall.
-
Mapeie o filtro de firewall sob a família
inet
ouinet6
a declaração usando ainline-monitoring-instance
declaração no nível de hierarquia [editar o filtro name de firewall em seguida]. A partir do Junos OS Release 21.1R1, você também pode mapear o filtro de firewall sob a famíliaany, bridge, ccc, mpls,
ouvpls
declarações. Para o Junos OS Evolved, o evpls
asbridge
famílias não são suportados; use aethernet-switch
família em vez disso. O Junos OS Evolved também oferece suporte àsany
famílias.mpls
ccc
inet
inet6
Você também pode aplicar o filtro de firewall de forma alternativa a um filtro de tabela de encaminhamento com declaração de entrada ou saída para filtrar pacotes de entrada ou saída, respectivamente.
Lembrar:
-
O dispositivo deve suportar um comprimento máximo de pacote (comprimento de clipe) de 126 bytes (Junos OS) ou 256 bytes (Junos OS Evolved) para permitir serviços de monitoramento em linha.
-
Você não pode configurar mais de 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved) devido à escassez de bits disponíveis no pacote no caminho de encaminhamento.
-
Aplique serviços de monitoramento em linha apenas em uma interface de coletor, ou seja, na interface em que o coletor é acessível. Você não deve aplicar o monitoramento em linha no tráfego IPFIX, pois isso gera outro pacote IPFIX para amostragem, criando assim um loop. Isso inclui o monitoramento em linha do tráfego gerado por serviços, como pacotes de modelo e registro, modelos de opções e pacotes de registro de opções.
-
Quando o serviço de monitoramento em linha é habilitado em interfaces agregadas de Ethernet (AE), os valores do elemento de informação são os seguintes:
Tabela 2: Valores dos elementos de informação para interfaces de ethernet agregadas Direção do serviço de monitoramento em linha na interface AE
Elemento de informação-10 (interface de entrada)
Elemento de informação-14 (interface de saída)
Entrada
ID SNMP de AE
0
Saída
ID SNMP de AE
ID SNMP do link para membros
-
Quando o serviço de monitoramento em linha é habilitado em interfaces IRB, os valores do elemento de informação são os seguintes:
Tabela 3: Valores de elementos de informação para interfaces IRB Direção do serviço de monitoramento em linha na interface IRB
Elemento de informação-10 (interface de entrada)
Elemento de informação-14 (interface de saída)
Entrada
ID SNMP da IRB
0
Saída
ID SNMP da IRB
ID SNMP de interface encapsulada de vlan-bridge
-
Para dispositivos baseados em XL-XM (com chip Lookup (XL) e ASIC de buffering (XM), o comprimento do elemento de informação da seção de quadros de link de dados em um pacote exportado pode ser menor do que o comprimento do clipe, mesmo se o comprimento do pacote de saída for maior que o comprimento do clipe.
O comprimento do elemento de informação da seção de quadros de link de dados é reduzido por 'N' número de bytes onde 'N' = (comprimento de encapsulamento de camada 2 de pacote de entrada - comprimento de encapsulamento de pacote de saída Camada 2).
Por exemplo, o comprimento de encapsulamento de Camada 2 para o pacote de entrada é maior do que o do pacote de saída quando o pacote de entrada tem rótulos MPLS e pacote de saída é do tipo IPv4 ou IPv6. Quando o tráfego flui do dispositivo de borda (PE) do provedor para o dispositivo de borda do cliente (CE), o pacote de entrada tem tags VLAN e o pacote de saída é desagregado.
Nesses casos, o comprimento do clipe pode passar pelo último local de endereço da cabeça do pacote, gerando uma
PKT_HEAD_SIZE
mensagem de log do sistema. Isso pode resultar na degradação do encaminhamento de pacotes para o dispositivo. -
No caso de serviços de monitoramento em linha na direção de entrada, o
egressInterface
(elemento de informação ID 14) não informa o índice SNMP da interface de saída. Esse ID de elemento de informação sempre informa o valor zero em caso de direção de entrada. O processo de coletor receptor deve identificar a validade deste campo com base noflowDirection
(elemento informativo ID 61).
Recursos suportados e sem suporte com serviços de monitoramento em linha
Os serviços de monitoramento em linha oferecem suporte:
-
Switchover gracioso do mecanismo de roteamento
-
Upgrade de software em serviço (ISSU), atualização ininterrupta de software (NSSU) e roteamento ativo ininterrupto (NSR)
-
Interfaces de ethernet e interfaces integradas de roteamento e ponte (IRB)
-
Slicing de nós junos
-
A partir do Junos OS Evolved Release 22.4R1, configurando DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.
-
A partir do Junos OS Evolved Release 22.4R1, configurando IDs de modelo ou IDs de modelo de opção.
Os serviços de monitoramento em linha atualmente não oferecem suporte:
-
Configurando mais de 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved).
-
Junos Traffic Vision
-
Antes do Junos OS Release 21.1R1, a ação de instância de monitoramento em linha é suportada apenas para
inet
filtros deinet6
firewall familiar. A partir do Junos OS Release 21.1R1, ele é compatível com os filtros de firewall da família evpls
daany, bridge, ccc, mpls,
família. -
Coletores endereçados IPv6
-
Plataformas virtuais
-
Sistemas lógicos
-
Configurando o ID do domínio de observação e a ID da nuvem de observação. Você deve escolher apenas um deles.
-
Uma ação de instância de monitoramento em linha usada para relatórios de exceção não pode ser usada para qualquer outra finalidade, como uma ação re-direta de firewall ou uma ação regular de monitoramento em linha.
-
Uma instância de monitoramento em linha usada para uma ação re-direta de firewall não pode ser usada para qualquer outra finalidade, como relatórios de exceção ou uma ação regular de monitoramento em linha.
-
Antes do Junos OS Evolved Release 22.4R1, configurando DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.
-
Antes do Junos OS Evolved Release 22.4R1, configuração de IDs de modelo ou IDs de modelo de opção. O sistema gera isso para você.
-
Configuração de espelhamento de portas e serviços de monitoramento em linha sob o mesmo termo de filtro de firewall (Junos OS Evolved).
-
Na direção de saída, configurando relatórios de SFlow e exceção; você deve escolher apenas um deles (Junos OS Evolved).
Configuração de serviços de monitoramento em linha
Os serviços de monitoramento em linha podem monitorar o tráfego IPv4 e IPv6 em direções de entrada e saída. Você pode habilitar o monitoramento em linha em roteadores da Série MX com MPCs (Junos OS) e em roteadores PTX que executam o Junos OS Evolved.
RESUMO Você pode configurar serviços de monitoramento em linha para monitorar diferentes fluxos de tráfego a diferentes taxas de amostragem na mesma unidade lógica da interface. Você também pode exportar o tamanho original do pacote para um coletor, juntamente com informações sobre a origem da interface para uma solução de problemas eficaz.
Antes de configurar
Ao configurar serviços de monitoramento em linha, você pode:
-
Configure até 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved). Em cada instância, você pode configurar parâmetros específicos de coletor e modelo.
-
Configure até 4 coletores endereçados para IPv4 em cada instância de monitoramento em linha. No total, você pode configurar até 64 coletores. Os coletores podem ser remotos e em diferentes locais.
Para cada coletor, você pode configurar parâmetros específicos, como endereço de origem e destino, etc. O nome da instância de roteamento padrão no coletor é
default.inet
. -
Para o Junos OS, você pode configurar o
inet
filtro de firewall ouinet6
família com o termo açãoinline-monitoring-instance inline-monitoring-instance-name
. A partir do Junos OS Release 21.1R1, você pode configurarany, bridge, ccc, mpls,
filtros de firewall ouvpls
de família com o termo açãoinline-monitoring-instance inline-monitoring-instance-name
. Para o Junos OS Evolved, você pode configurar osany, ccc, ethernet-switch, inet, inet6,
filtros de firewall oumpls
família com o termo instância inline-monitoring-instance-namede monitoramento em linha de ação.Cada termo pode oferecer suporte a uma instância diferente de monitoramento em linha.
-
Conecte o filtro de firewall de monitoramento em linha sob a família da unidade lógica da interface.
Depois de comprometer com sucesso a configuração, você pode verificar a implementação dos serviços de monitoramento em linha, emitindo os serviços de exibição de estatísticas de monitoramento em linha do comando fpc-slot da CLI.
Se um pacote exigir que serviços de monitoramento em linha sejam aplicados juntamente com qualquer uma das tecnologias de amostragem tradicionais (como JFlow ou SFlow), o Mecanismo de encaminhamento de pacotes executa serviços de monitoramento em linha e a tecnologia de amostragem tradicional nesse pacote. O espelhamento de portas atualmente deve ser configurado sob um termo diferente para o Junos OS Evolved.
A Figura 6 é uma ilustração amostral de serviços de monitoramento em linha, onde o tráfego é monitorado a duas taxas de amostragem diferentes na interface do dispositivo, e exportado para quatro coletores remotos em um formato de encapsulamento IPFIX. Para o Junos OS, você configura a taxa de amostragem em cada coletor, permitindo taxas diferentes para cada coletor. Para o Junos OS Evolved, você configura a taxa de amostragem na instância de monitoramento em linha, e ela se aplica a todos os coletores configurados, por exemplo.
Neste exemplo, a interface et-1/0/0 do dispositivo está configurada com serviços de monitoramento em linha. Os detalhes das configurações são os seguintes:
-
Existem duas instâncias de monitoramento em linha — Instância 1 e Instância 2.
-
Há quatro coletores, dois coletores em cada instância de monitoramento em linha.
-
A instância 1 tem Collector-1 e Collector-2.
-
A instância 2 tem Collector-101 e Collector-102.
-
-
Os coletores da Instância 1 têm uma taxa de amostragem de 1:10000.
-
Os coletores na Instância 2 têm uma taxa de amostragem de 1:1.
-
Os coletores da instância 1 têm um endereço de origem e destino de 10,1,1,1 e 10,2,2,1, respectivamente.
-
Os coletores de instância 2 têm um endereço de origem e destino de 10.11.1.1 e 10.12.2.1, respectivamente.
-
Os pacotes são exportados para os coletores em um formato encapsulado de IPFIX.
Para configurar serviços de monitoramento em linha:
any, ccc, ethernet-switch, inet, inet6,
filtros de firewall ou
mpls
familiar com o termo ação em instância de monitoramento em linha
inline-monitoring-instance-name.
any, ccc, ethernet-switch, inet, inet6,
filtros de firewall ou
mpls
familiar com o termo ação em instância de monitoramento em linha
inline-monitoring-instance-name.
any, bridge, ccc, mpls,
filtros de firewall ou
vpls
familiar com o termo ação em instância
inline-monitoring-instance-namede monitoramento em linha.