Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de serviços de monitoramento em linha

Entendendo os serviços de monitoramento em linha

Benefícios dos serviços de monitoramento em linha

Flexível — os serviços de monitoramento em linha permitem que diferentes instâncias de monitoramento em linha sejam mapeadas em diferentes termos de filtro de firewall, ao contrário das tecnologias tradicionais de amostragem, onde todas as instâncias são mapeadas para o Concentrador PIC Flexível (FPC). Isso oferece a flexibilidade de provar diferentes fluxos de tráfego a taxas diferentes em uma única interface.

Agnóstico em formato de pacote — as tecnologias tradicionais de coleta de fluxo dependem da análise e agregação de pacotes pelo elemento da rede. Com serviços de monitoramento em linha, o cabeçalho de pacotes é exportado para o coletor para processamento posterior, mas sem agregação. Com isso, você tem o benefício de usar campos de pacotes arbitrários para processar os pacotes monitorados no coletor.

Visão geral dos serviços de monitoramento em linha

Provedores de serviços e provedores de conteúdo normalmente exigem visibilidade dos fluxos de tráfego para avaliar acordos de peering, detectar anomalias de tráfego e violações de políticas e monitorar o desempenho da rede. Para atender a esses requisitos, você tradicionalmente exportaria informações agregadas de estatísticas de fluxo usando variantes JFlow ou IPFIX.

Como uma abordagem alternativa, você pode provar o conteúdo do pacote, adicionar informações de metadados e exportar os pacotes monitorados para um coletor. Os serviços de monitoramento em linha permitem que você faça isso em roteadores da Série MX e em roteadores PTX que executam o Junos OS Evolved.

Com serviços de monitoramento em linha, você pode monitorar todos os pacotes IPv4 e IPv6 em direções de entrada e saída de uma interface. O software encapsula o tráfego monitorado em um formato IPFIX e exporta o pacote real até o comprimento de clipe configurado para um coletor para processamento adicional. Por padrão, o Junos OS oferece suporte a um comprimento máximo de clipe de 126 bytes a partir do cabeçalho Ethernet e o Junos OS Evolved oferece suporte a um comprimento máximo de clipe de 256 bytes a partir do cabeçalho Ethernet.

A Figura 1 ilustra a especificação do formato IPFIX.

Figura 1: Especificação Inline Monitoring IPFIX Specification do IPFIX de monitoramento em linha

O cabeçalho IPFIX e a carga de IPFIX são encapsulados usando a camada de transporte IP ou UDP. O formato IPFIX exportado inclui dois registros de dados e dois modelos de dados que são exportados para cada coletor:

  • Registro de dados — Inclui interface de entrada e saída, direção de fluxo, seção de quadros de link de dados e tamanho do quadro do link de dados. Essas informações são enviadas ao coletor somente quando os pacotes amostrados estão sendo exportados.

    A Figura 2 é uma ilustração amostra do pacote de registro de dados de IPFIX.

  • Registro de dados da opção — inclui informações de nível do sistema, como ID de processo de exportação e intervalo de amostragem. Essas informações são enviadas ao coletor periodicamente, independentemente de os pacotes de amostragem não estarem sendo exportados.

    A Figura 3 é uma ilustração amostra do pacote de registro de dados da opção IPFIX.

    Tabela 1: Campos de elementos de informação no pacote de dados da opção IPFIX

    Número

    ID do elemento de informação

    Comprimento do elemento de informação

    Detalhes

    1

    144

    4B

    ID do domínio de observação — um identificador exclusivo do processo de exportação por dispositivo IPFIX. A finalidade deste campo é limitar o escopo de outros campos de elementos de informação.

    2

    34

    4B

    Intervalo de amostragem em que os pacotes são amostrados. 1000 indica que um dos 1000 pacotes foi amostrado.

  • Modelo de dados — inclui cinco elementos de informação:

    • Interface de entrada

    • Interface de saída

    • Direção de fluxo

    • Tamanho do quadro do link de dados

    • Seleção de quadros de link de dados variáveis

    A Figura 4 é uma ilustração amostra do pacote de modelo de dados ipfix.

  • Modelo de dados da opção — Inclui informações de intervalo de fluxo e de intervalo de amostragem.

    A Figura 5 é uma ilustração amostra do pacote de modelo de dados da opção IPFIX.

Quando há uma configuração nova ou alterada de serviços de monitoramento em linha, a exportação periódica de modelo de dados e modelo de dados de opção é imediatamente enviada aos respectivos coletores.

Figura 2: Registro IPFIX Data Record de dados de IPFIX
Figura 3: Registro IPFIX Option Data Record de dados da opção IPFIX
Figura 4: Modelo IPFIX Data Template de dados do IPFIX
Figura 5: Modelo IPFIX Option Data Template de dados da opção IPFIX

Visão geral da configuração dos serviços de monitoramento em linha

Você pode configurar um máximo de dezesseis (Junos OS) ou sete instâncias de monitoramento em linha (Junos OS Evolved) que oferecem suporte a parâmetros de configuração específicos para modelos e coletores. Cada instância de monitoramento em linha oferece suporte a até quatro coletores (no máximo 64 coletores no total) e, apenas para o Junos OS, você pode especificar diferentes taxas de amostragem em cada configuração de coletor. Devido a essa flexibilidade, os serviços de monitoramento em linha superam as limitações das tecnologias tradicionais de amostragem, como JFlow, sFlow e espelhamento de portas.

Para configurar o monitoramento em linha:

  1. Você deve incluir a inline-monitoring declaração no nível de [edit services] hierarquia. Aqui você especifica o modelo e os parâmetros de instância de monitoramento em linha. Você deve especificar os parâmetros de coletor na instância de monitoramento em linha.

  2. Especifique condições de correspondência arbitrárias usando um termo de filtro de firewall e uma ação para aceitar a instância configurada de monitoramento em linha. Isso mapeia a instância de monitoramento em linha para o termo firewall.

  3. Mapeie o filtro de firewall sob a família inet ou inet6 a declaração usando a inline-monitoring-instance declaração no nível de hierarquia [editar o filtro name de firewall em seguida]. A partir do Junos OS Release 21.1R1, você também pode mapear o filtro de firewall sob a família any, bridge, ccc, mpls, ou vpls declarações. Para o Junos OS Evolved, o e vplsas bridge famílias não são suportados; use a ethernet-switch família em vez disso. O Junos OS Evolved também oferece suporte às anyfamílias.mpls cccinetinet6 Você também pode aplicar o filtro de firewall de forma alternativa a um filtro de tabela de encaminhamento com declaração de entrada ou saída para filtrar pacotes de entrada ou saída, respectivamente.

Lembrar:

  • O dispositivo deve suportar um comprimento máximo de pacote (comprimento de clipe) de 126 bytes (Junos OS) ou 256 bytes (Junos OS Evolved) para permitir serviços de monitoramento em linha.

  • Você não pode configurar mais de 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved) devido à escassez de bits disponíveis no pacote no caminho de encaminhamento.

  • Aplique serviços de monitoramento em linha apenas em uma interface de coletor, ou seja, na interface em que o coletor é acessível. Você não deve aplicar o monitoramento em linha no tráfego IPFIX, pois isso gera outro pacote IPFIX para amostragem, criando assim um loop. Isso inclui o monitoramento em linha do tráfego gerado por serviços, como pacotes de modelo e registro, modelos de opções e pacotes de registro de opções.

  • Quando o serviço de monitoramento em linha é habilitado em interfaces agregadas de Ethernet (AE), os valores do elemento de informação são os seguintes:

    Tabela 2: Valores dos elementos de informação para interfaces de ethernet agregadas

    Direção do serviço de monitoramento em linha na interface AE

    Elemento de informação-10 (interface de entrada)

    Elemento de informação-14 (interface de saída)

    Entrada

    ID SNMP de AE

    0

    Saída

    ID SNMP de AE

    ID SNMP do link para membros

  • Quando o serviço de monitoramento em linha é habilitado em interfaces IRB, os valores do elemento de informação são os seguintes:

    Tabela 3: Valores de elementos de informação para interfaces IRB

    Direção do serviço de monitoramento em linha na interface IRB

    Elemento de informação-10 (interface de entrada)

    Elemento de informação-14 (interface de saída)

    Entrada

    ID SNMP da IRB

    0

    Saída

    ID SNMP da IRB

    ID SNMP de interface encapsulada de vlan-bridge

  • Para dispositivos baseados em XL-XM (com chip Lookup (XL) e ASIC de buffering (XM), o comprimento do elemento de informação da seção de quadros de link de dados em um pacote exportado pode ser menor do que o comprimento do clipe, mesmo se o comprimento do pacote de saída for maior que o comprimento do clipe.

    O comprimento do elemento de informação da seção de quadros de link de dados é reduzido por 'N' número de bytes onde 'N' = (comprimento de encapsulamento de camada 2 de pacote de entrada - comprimento de encapsulamento de pacote de saída Camada 2).

    Por exemplo, o comprimento de encapsulamento de Camada 2 para o pacote de entrada é maior do que o do pacote de saída quando o pacote de entrada tem rótulos MPLS e pacote de saída é do tipo IPv4 ou IPv6. Quando o tráfego flui do dispositivo de borda (PE) do provedor para o dispositivo de borda do cliente (CE), o pacote de entrada tem tags VLAN e o pacote de saída é desagregado.

    Nesses casos, o comprimento do clipe pode passar pelo último local de endereço da cabeça do pacote, gerando uma PKT_HEAD_SIZE mensagem de log do sistema. Isso pode resultar na degradação do encaminhamento de pacotes para o dispositivo.

  • No caso de serviços de monitoramento em linha na direção de entrada, o egressInterface (elemento de informação ID 14) não informa o índice SNMP da interface de saída. Esse ID de elemento de informação sempre informa o valor zero em caso de direção de entrada. O processo de coletor receptor deve identificar a validade deste campo com base no flowDirection (elemento informativo ID 61).

Recursos suportados e sem suporte com serviços de monitoramento em linha

Os serviços de monitoramento em linha oferecem suporte:

  • Switchover gracioso do mecanismo de roteamento

  • Upgrade de software em serviço (ISSU), atualização ininterrupta de software (NSSU) e roteamento ativo ininterrupto (NSR)

  • Interfaces de ethernet e interfaces integradas de roteamento e ponte (IRB)

  • Slicing de nós junos

  • A partir do Junos OS Evolved Release 22.4R1, configurando DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.

  • A partir do Junos OS Evolved Release 22.4R1, configurando IDs de modelo ou IDs de modelo de opção.

Os serviços de monitoramento em linha atualmente não oferecem suporte:

  • Configurando mais de 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved).

  • Junos Traffic Vision

  • Antes do Junos OS Release 21.1R1, a ação de instância de monitoramento em linha é suportada apenas para inet filtros de inet6 firewall familiar. A partir do Junos OS Release 21.1R1, ele é compatível com os filtros de firewall da família e vpls da any, bridge, ccc, mpls, família.

  • Coletores endereçados IPv6

  • Plataformas virtuais

  • Sistemas lógicos

  • Configurando o ID do domínio de observação e a ID da nuvem de observação. Você deve escolher apenas um deles.

  • Uma ação de instância de monitoramento em linha usada para relatórios de exceção não pode ser usada para qualquer outra finalidade, como uma ação re-direta de firewall ou uma ação regular de monitoramento em linha.

  • Uma instância de monitoramento em linha usada para uma ação re-direta de firewall não pode ser usada para qualquer outra finalidade, como relatórios de exceção ou uma ação regular de monitoramento em linha.

  • Antes do Junos OS Evolved Release 22.4R1, configurando DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.

  • Antes do Junos OS Evolved Release 22.4R1, configuração de IDs de modelo ou IDs de modelo de opção. O sistema gera isso para você.

  • Configuração de espelhamento de portas e serviços de monitoramento em linha sob o mesmo termo de filtro de firewall (Junos OS Evolved).

  • Na direção de saída, configurando relatórios de SFlow e exceção; você deve escolher apenas um deles (Junos OS Evolved).

Configuração de serviços de monitoramento em linha

Os serviços de monitoramento em linha podem monitorar o tráfego IPv4 e IPv6 em direções de entrada e saída. Você pode habilitar o monitoramento em linha em roteadores da Série MX com MPCs (Junos OS) e em roteadores PTX que executam o Junos OS Evolved.

RESUMO Você pode configurar serviços de monitoramento em linha para monitorar diferentes fluxos de tráfego a diferentes taxas de amostragem na mesma unidade lógica da interface. Você também pode exportar o tamanho original do pacote para um coletor, juntamente com informações sobre a origem da interface para uma solução de problemas eficaz.

Antes de configurar

Ao configurar serviços de monitoramento em linha, você pode:

  • Configure até 16 (Junos OS) ou 7 instâncias de monitoramento em linha (Junos OS Evolved). Em cada instância, você pode configurar parâmetros específicos de coletor e modelo.

  • Configure até 4 coletores endereçados para IPv4 em cada instância de monitoramento em linha. No total, você pode configurar até 64 coletores. Os coletores podem ser remotos e em diferentes locais.

    Para cada coletor, você pode configurar parâmetros específicos, como endereço de origem e destino, etc. O nome da instância de roteamento padrão no coletor é default.inet.

  • Para o Junos OS, você pode configurar o inet filtro de firewall ou inet6 família com o termo ação inline-monitoring-instance inline-monitoring-instance-name. A partir do Junos OS Release 21.1R1, você pode configurar any, bridge, ccc, mpls,filtros de firewall ou vpls de família com o termo ação inline-monitoring-instance inline-monitoring-instance-name. Para o Junos OS Evolved, você pode configurar os any, ccc, ethernet-switch, inet, inet6, filtros de firewall ou mpls família com o termo instância inline-monitoring-instance-namede monitoramento em linha de ação.

    Cada termo pode oferecer suporte a uma instância diferente de monitoramento em linha.

  • Conecte o filtro de firewall de monitoramento em linha sob a família da unidade lógica da interface.

Depois de comprometer com sucesso a configuração, você pode verificar a implementação dos serviços de monitoramento em linha, emitindo os serviços de exibição de estatísticas de monitoramento em linha do comando fpc-slot da CLI.

Nota:

Se um pacote exigir que serviços de monitoramento em linha sejam aplicados juntamente com qualquer uma das tecnologias de amostragem tradicionais (como JFlow ou SFlow), o Mecanismo de encaminhamento de pacotes executa serviços de monitoramento em linha e a tecnologia de amostragem tradicional nesse pacote. O espelhamento de portas atualmente deve ser configurado sob um termo diferente para o Junos OS Evolved.

A Figura 6 é uma ilustração amostral de serviços de monitoramento em linha, onde o tráfego é monitorado a duas taxas de amostragem diferentes na interface do dispositivo, e exportado para quatro coletores remotos em um formato de encapsulamento IPFIX. Para o Junos OS, você configura a taxa de amostragem em cada coletor, permitindo taxas diferentes para cada coletor. Para o Junos OS Evolved, você configura a taxa de amostragem na instância de monitoramento em linha, e ela se aplica a todos os coletores configurados, por exemplo.

Figura 6: Serviços Inline Monitoring Services de monitoramento em linha

Neste exemplo, a interface et-1/0/0 do dispositivo está configurada com serviços de monitoramento em linha. Os detalhes das configurações são os seguintes:

  • Existem duas instâncias de monitoramento em linha — Instância 1 e Instância 2.

  • Há quatro coletores, dois coletores em cada instância de monitoramento em linha.

    • A instância 1 tem Collector-1 e Collector-2.

    • A instância 2 tem Collector-101 e Collector-102.

  • Os coletores da Instância 1 têm uma taxa de amostragem de 1:10000.

  • Os coletores na Instância 2 têm uma taxa de amostragem de 1:1.

  • Os coletores da instância 1 têm um endereço de origem e destino de 10,1,1,1 e 10,2,2,1, respectivamente.

  • Os coletores de instância 2 têm um endereço de origem e destino de 10.11.1.1 e 10.12.2.1, respectivamente.

  • Os pacotes são exportados para os coletores em um formato encapsulado de IPFIX.

Para configurar serviços de monitoramento em linha:

  1. Definir um filtro de firewall para cada instância de monitoramento em linha para atender aos serviços de monitoramento em linha. Você pode configurar um filtro de firewall da família com o termo açãoinline-monitoring-instance.

    Para definir um filtro de firewall:

    Neste exemplo, os termos t1 e t2 estão configurados para Instância1 e Instância2, respectivamente.

  2. Habilite serviços de monitoramento em linha configurando os parâmetros de modelo, instância e coletor associados.
    1. Para configurar o modelo de serviços de monitoramento em linha:

      Neste exemplo, os modelos template-1 e template-2 estão configurados.

    2. Para configurar a instância de monitoramento em linha e os parâmetros de coletor:

      Para o Junos OS:

      Neste exemplo para o Junos OS, a Instância1 tem dois coletores, coletor-1 e coletor-2, e a Instance2 tem dois coletores, coletor-101 e collector-102. Diferentes taxas de amostragem foram configuradas para ambas as instâncias.

      Para o Junos OS Evolved:

      Neste exemplo, para o Junos OS Evolved, a Instância1 tem dois coletores, coletor-1 e coletor-2, e a Instance2 tem dois coletores, collector-101 e collector-102. Diferentes taxas de amostragem foram configuradas para ambas as instâncias.

  3. Mapeie o filtro de firewall sob a família da unidade lógica da interface para aplicar o monitoramento em linha na direção de entrada ou saída.

    Como alternativa, você pode aplicar o monitoramento em linha mapeando o filtro de firewall para um filtro de tabela de encaminhamento com uma declaração de entrada ou saída para filtrar pacotes de entrada ou saída, respectivamente.

    Para anexar o filtro de firewall:

    Neste exemplo, o filtro de monitoramento em linha é anexado à inet familiar da unidade 0 de et-1/0/0.

Tabela de histórico de lançamentos
Lançamento
Descrição
22.4R1-EVO
Serviços de monitoramento em linha (PTX10001-36MR, PTX10004, PTX10008 e roteadores PTX10016 com as placas de linha JNP10K-LC1201 ou JNP10K-LC1203) - A partir do Junos OS Evolved Release 22.4R1, você pode configurar serviços de monitoramento em linha no PTX10001-36MR, PTX10004, PTX10008 e PTX10016 roteadores para provar pacotes, adicionar metadados e exportar os pacotes até o comprimento de clipe configurado para um coletor de IPFIX para processamento posterior. Você também pode configurar os any, ccc, ethernet-switch, inet, inet6, filtros de firewall ou mpls familiar com o termo ação em instância de monitoramento em linha inline-monitoring-instance-name.
22.3R1
Serviços de monitoramento em linha (roteadores MX304) — A partir do Junos OS Release 22.3R1, você pode configurar serviços de monitoramento em linha no roteador MX304.
22.2R1-EVO
Serviços de monitoramento em linha (PTX10001-36MR, PTX10004, PTX10008, e PTX10016 roteadores com as placas de linha JNP10K-LC1201 ou JNP10K-LC1203) — A partir do Junos OS Evolved Release 22.1R1, você pode configurar serviços de monitoramento em linha no PTX10001-36MR, PTX10004, PTX10008 e PTX10016 roteadores para relatar exceções. Você também pode configurar os any, ccc, ethernet-switch, inet, inet6, filtros de firewall ou mpls familiar com o termo ação em instância de monitoramento em linha inline-monitoring-instance-name.
21.4R1
Serviços de monitoramento em linha (placa de linha LC9600 para o roteador MX10008) — A partir do junos OS Release 21.4R1, você pode configurar serviços de monitoramento em linha em MX10008 roteadores que contêm a placa de linha LC9600.
21.2R1
Suporte para camada 2 e quaisquer famílias de filtro de firewall para serviços de monitoramento em linha (Série MX com placas de linha MPC10E e MPC11E)— A partir do junos OS Release 21.2R1, você pode configurar os any, bridge, ccc, mpls, filtros de firewall ou vpls familiar com o termo ação em instância inline-monitoring-instance-namede monitoramento em linha.
21.2R1
Serviços de monitoramento em linha (placa de linha LC480 para roteadores MX10008 e MX10016 — A partir do Junos OS Release 21.2R1, você pode configurar serviços de monitoramento em linha em MX10008 e MX10016 roteadores que contêm a placa de linha LC480.
21.1R1
Suporte para camada 2 e quaisquer famílias de filtro de firewall para serviços de monitoramento em linha (Série MX com MPCs, excluindo placas de linha MPC10E e MPC11E)— A partir do lançamento do Junos OS 21.1R1, você pode configurar os filtros de firewall da família any, bridge, ccc, mpls ou vpls com o termo ação em instância inline-monitoring-instance-namede monitoramento em linha.
20.4R1
Serviços de monitoramento em linha (placas de linha MPC10E e MPC11E para roteadores da Série MX — A partir do Junos OS Release 20.4R1, você pode configurar serviços de monitoramento em linha em roteadores da Série MX que contêm as placas de linha MPC10E e MPC11E.
19.4R1
Serviços de monitoramento em linha (Série MX com MPCs, excluindo placas de linha MPC10E e MPC11E) — A partir do Junos OS Release 19.4R1, você pode configurar uma nova tecnologia de monitoramento que oferece flexibilidade para monitorar diferentes fluxos de tráfego a diferentes taxas de amostragem na mesma interface. Você também pode exportar o pacote até o comprimento de clipe configurado para um coletor em um formato de exportação de informações de fluxo IP (IPFIX). O formato IPFIX inclui informações importantes de metadados sobre os pacotes monitorados para processamento adicional no coletor.