Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração de serviços de monitoramento em linha

Entendendo os serviços de monitoramento em linha

Benefícios dos serviços de monitoramento em linha

Flexível — os serviços de monitoramento em linha permitem que diferentes instâncias de monitoramento em linha sejam mapeadas para diferentes termos de filtro de firewall, ao contrário das tecnologias de amostragem tradicionais, onde todas as instâncias são mapeadas para o Concentrador PIC Flexível (FPC). Isso oferece a flexibilidade de amostrar diferentes fluxos de tráfego em taxas diferentes em uma única interface.

Formato de pacote agnóstico — as tecnologias tradicionais de coleta de fluxo dependem da análise e agregação de pacotes pelo elemento de rede. Com os serviços de monitoramento em linha, o cabeçalho do pacote é exportado para o coletor para processamento adicional, mas sem agregação. Assim, você tem o benefício de usar campos de pacote arbitrários para processar os pacotes monitorados no coletor.

Visão geral dos recursos dos serviços de monitoramento em linha

Os provedores de serviços e provedores de conteúdo normalmente exigem visibilidade dos fluxos de tráfego para avaliar acordos de peering, detectar anomalias de tráfego e violações de políticas e monitorar o desempenho da rede. Para atender a esses requisitos, você tradicionalmente exportaria informações de estatísticas de fluxo agregadas usando variantes JFlow ou IPFIX.

Como uma abordagem alternativa, você pode obter amostras do conteúdo do pacote, adicionar informações de metadados e exportar os pacotes monitorados para um coletor. Os serviços de monitoramento em linha permitem que você faça isso em roteadores da Série MX e em roteadores PTX que executam o Junos OS Evolved.

Com os serviços de monitoramento em linha, você pode monitorar todos os pacotes IPv4 e IPv6 nas direções de entrada e saída de uma interface. O software encapsula o tráfego monitorado em um formato IPFIX e exporta o pacote real até o comprimento de clipe configurado para um coletor para processamento posterior. Por padrão, o Junos OS oferece suporte a um comprimento máximo de clipe de 126 bytes a partir do cabeçalho Ethernet, e o Junos OS Evolved oferece suporte a um comprimento máximo de clipe de 256 bytes a partir do cabeçalho Ethernet.

A Figura 1 ilustra a especificação do formato IPFIX.

Figura 1: Especificação IPFIX de Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP. monitoramento em linha

O cabeçalho IPFIX e a carga útil IPFIX são encapsulados usando a camada de transporte IP ou UDP. O formato IPFIX exportado inclui dois registros de dados e dois modelos de dados que são exportados para cada coletor:

  • Registro de dados — Inclui interface de entrada e saída, direção do fluxo, seção do quadro do enlace de dados e tamanho do quadro do enlace de dados. Essas informações são enviadas ao coletor somente quando os pacotes amostrados estão sendo exportados.

    A Figura 2 é uma ilustração de exemplo do pacote de registro de dados IPFIX.

  • Registro de dados da opção — Inclui informações no nível do sistema, como ID do processo de exportação e intervalo de amostragem. Essas informações são enviadas ao coletor periodicamente, independentemente de os pacotes de amostragem estarem sendo exportados ou não.

    A Figura 3 é uma ilustração de exemplo do pacote de registro de dados da opção IPFIX.

    Tabela 1: Campos de elemento de informação no pacote de dados de opção IPFIX

    Número

    ID do elemento de informação

    Comprimento do elemento de informação

    Detalhes

    1

    144

    4B

    ID de domínio de observação - Um identificador exclusivo do processo de exportação por dispositivo IPFIX. A finalidade desse campo é limitar o escopo de outros campos de elementos de informação.

    2

    34

    4B

    Intervalo de amostragem no qual os pacotes são amostrados. 1000 indica que um dos 1000 pacotes é amostrado.

  • Modelo de dados — Inclui cinco elementos de informação:

    • Interface de entrada

    • Interface de saída

    • Direção do fluxo

    • Tamanho do quadro do enlace de dados

    • Seleção de quadro de enlace de dados variáveis

    A Figura 4 é uma ilustração de exemplo do pacote de modelo de dados IPFIX.

  • Modelo de dados de opção — inclui informações do exportador de fluxo e do intervalo de amostragem.

    A Figura 5 é uma ilustração de exemplo do pacote de modelo de dados da opção IPFIX.

Quando há uma configuração de serviços de monitoramento em linha nova ou alterada, a exportação periódica do modelo de dados e do modelo de dados de opção é enviada imediatamente aos respectivos coletores.

Figura 2: Registro IPFIX Data Record de dados IPFIX
Figura 3: Registro Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1. de dados da opção IPFIX
Figura 4: Modelo de Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis. dados IPFIX
Figura 5: Modelo de IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis. dados da opção IPFIX

Visão geral da configuração dos serviços de monitoramento em linha

Você pode configurar um máximo de dezesseis (Junos OS) ou sete (Junos OS Evolved) instâncias de monitoramento em linha que oferecem suporte a parâmetros de configuração específicos de modelos e coletores. Cada instância de monitoramento em linha oferece suporte a até quatro coletores (máximo de 64 coletores no total), e, apenas para o Junos OS, você pode especificar diferentes taxas de amostragem em cada configuração de coletor. Devido a essa flexibilidade, os serviços de monitoramento em linha superam as limitações das tecnologias de amostragem tradicionais, como JFlow, sFlow e espelhamento de porta.

Para configurar o monitoramento em linha:

  1. Você deve incluir a inline-monitoring instrução no nível da [edit services] hierarquia. Aqui você especifica o modelo e os parâmetros da instância de monitoramento em linha. Você deve especificar os parâmetros do coletor na instância de monitoramento em linha.

  2. Especifique condições de correspondência arbitrárias usando um termo de filtro de firewall e uma ação para aceitar a instância de monitoramento em linha configurada. Isso mapeia a instância de monitoramento em linha para o termo de firewall.

  3. Mapeie o filtro de firewall na família inet ou inet6 declaração usando a inline-monitoring-instance declaração no nível de [edit firewall filter name then] hierarquia. A partir do Junos OS Release 21.1R1, você também pode mapear o filtro de firewall sob a família any, bridge, ccc, mpls, ou vpls declarações. Para o Junos OS Evolved, as bridge famílias e vplsnão são suportadas; em vez disso, use a ethernet-switch família. O Junos OS Evolved também oferece suporte às anyfamílias , ccc, inetinet6, e mpls . Como alternativa, você também pode aplicar o filtro de firewall a um filtro de tabela de encaminhamento com input ou output declaração para filtrar pacotes de entrada ou saída, respectivamente.

Lembre-se:

  • O dispositivo deve oferecer suporte a um comprimento máximo de pacote (comprimento do clipe) de 126 bytes (Junos OS) ou 256 bytes (Junos OS Evolved) para permitir serviços de monitoramento em linha.

  • Você não pode configurar mais de 16 (Junos OS) ou 7 (Junos OS Evolved) instâncias de monitoramento em linha devido à escassez de bits disponíveis no pacote no caminho de encaminhamento.

  • Aplique serviços de monitoramento em linha somente em uma interface de coletor, ou seja, a interface na qual o coletor está acessível. Você não deve aplicar o monitoramento em linha no tráfego IPFIX, pois isso gera outro pacote IPFIX para amostragem, criando assim um loop. Isso inclui o tráfego gerado pelo serviço de monitoramento em linha, como pacotes de modelo e registro, modelos de opção e pacotes de registro de opção.

  • Quando o serviço de monitoramento em linha é habilitado em interfaces Ethernet (AE) agregadas, os valores dos elementos de informação são os seguintes:

    Tabela 2: Valores de elementos de informação para interfaces Ethernet agregadas

    Direção do serviço de monitoramento em linha na interface AE

    Elemento de informação-10 (Interface de entrada)

    Elemento de informação-14 (Interface de saída)

    Entrada

    ID SNMP do AE

    0

    Saída

    ID SNMP do AE

    ID SNMP do link do membro

  • Quando o serviço de monitoramento em linha está habilitado em interfaces IRB, os valores do elemento de informação são os seguintes:

    Tabela 3: Valores de elementos de informação para interfaces IRB

    Direção do serviço de monitoramento em linha na interface do IRB

    Elemento de informação-10 (Interface de entrada)

    Elemento de informação-14 (Interface de saída)

    Entrada

    ID SNMP do IRB

    0

    Saída

    ID SNMP do IRB

    ID SNMP da interface encapsulada vlan-bridge

  • Para dispositivos baseados em XL-XM (com chip de pesquisa (XL) e ASIC de buffer (XM)), o comprimento do elemento de informações da seção do quadro de enlace de dados em um pacote exportado pode ser menor que o comprimento do clipe, mesmo que o comprimento do pacote de saída seja maior que o comprimento do clipe.

    O comprimento do elemento de informação da seção do quadro de enlace de dados é reduzido por 'N' número de bytes em que 'N' = (comprimento de encapsulamento de Camada 2 do pacote de entrada - comprimento de encapsulamento de Camada 2 do pacote de saída).

    Por exemplo, o comprimento do encapsulamento da Camada 2 para o pacote de entrada é maior do que o do pacote de saída quando o pacote de entrada tem rótulos MPLS e o pacote de saída é do tipo IPv4 ou IPv6. Quando o tráfego flui do dispositivo de borda do provedor (PE) para o dispositivo de borda do cliente (CE), o pacote de entrada tem tags VLAN e o pacote de saída não é marcado.

    Nesses casos, o comprimento do clipe pode ultrapassar o último local de endereço do cabeçalho do pacote, gerando uma PKT_HEAD_SIZE mensagem de log do sistema. Isso pode resultar na degradação do encaminhamento de pacotes para o dispositivo.

  • No caso de serviços de monitoramento em linha na direção de entrada, o egressInterface (ID do elemento de informação 14) não relata o índice SNMP da interface de saída. Essa ID do elemento de informações sempre relata o valor zero no caso da direção de entrada. O processo do coletor de recebimento deve identificar a validade desse campo com base no flowDirection (ID do elemento de informação 61).

Recursos com e sem suporte com serviços de monitoramento em linha

Os serviços de monitoramento em linha suportam:

  • Comutação graciosa do Mecanismo de Roteamento

  • Upgrade de software em serviço (ISSU), upgrade de software sem parar (NSSU) e roteamento ativo sem parar (NSR)

  • Interfaces Ethernet e interfaces integradas de roteamento e ponte (IRB)

  • slicing de nós Junos

  • A partir do Junos OS Evolved Release 22.4R1, configurar DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.

  • A partir do Junos OS Evolved Release 22.4R1, a configuração de IDs de modelo ou IDs de modelo de opção.

Os serviços de monitoramento em linha atualmente não suportam:

  • Configuração de mais de 16 (Junos OS) ou 7 (Junos OS Evolved) instâncias de monitoramento em linha.

  • Junos Traffic Vision

  • Antes do Junos OS Release 21.1R1, a ação de termo inline-monitoring-instance é suportada apenas para inet inet6 filtros de firewall de família. A partir do Junos OS Release 21.1R1, ele é compatível com os filtros de firewall da família e vpls do any, bridge, ccc, mpls, firewall.

  • Coletores endereçáveis IPv6

  • Plataformas virtuais

  • Sistemas lógicos

  • Configurando o ID do domínio de observação e o ID da nuvem de observação. Você deve escolher apenas um deles.

  • Uma ação de instância de monitoramento em linha usada para relatórios de exceção não pode ser usada para nenhuma outra finalidade, como uma ação de redirecionamento de firewall ou uma ação regular de monitoramento em linha.

  • Uma instância de monitoramento em linha usada para uma ação de redirecionamento de firewall não pode ser usada para nenhuma outra finalidade, como relatório de exceção ou uma ação regular de monitoramento em linha.

  • Antes do Junos OS Evolved Release 22.4R1, configurar DSCP, classe de encaminhamento ou instâncias de roteamento para coletores.

  • Antes do Junos OS Evolved Release 22.4R1, configurar IDs de modelo ou IDs de modelo de opção. O sistema os gera para você.

  • Configurar serviços de espelhamento de porta e monitoramento em linha sob o mesmo termo de filtro de firewall (Junos OS Evolved).

  • Na direção de saída, configurando o SFlow e o relatório de exceção; você deve escolher apenas um deles (Junos OS Evolved).

Configuração de serviços de monitoramento em linha

Os serviços de monitoramento em linha podem monitorar o tráfego IPv4 e IPv6 nas direções de entrada e saída. Você pode habilitar o monitoramento em linha em roteadores da Série MX com MPCs (Junos OS) e em roteadores PTX que executam o Junos OS Evolved.

Você pode configurar serviços de monitoramento em linha para monitorar diferentes fluxos de tráfego em diferentes taxas de amostragem na mesma unidade lógica da interface. Você também pode exportar o tamanho do pacote original para um coletor, juntamente com informações sobre a origem da interface para uma solução de problemas eficaz.

Antes de configurar

Ao configurar os serviços de monitoramento em linha, você pode:

  • Configure até 16 (Junos OS) ou 7 (Junos OS Evolved) instâncias de monitoramento em linha. Em cada instância, você pode configurar parâmetros específicos de coletor e modelo.

  • Configure até 4 coletores endereçáveis IPv4 em cada instância de monitoramento em linha. No total, você pode configurar até 64 coletores. Os coletores podem ser remotos e em locais diferentes.

    Para cada coletor, você pode configurar parâmetros específicos, como endereço de origem e destino, e assim por diante. O nome padrão da instância de roteamento no coletor é default.inet.

  • Para o Junos OS, você pode configurar o filtro de firewall ou inet inet6 família com o termo ação inline-monitoring-instance inline-monitoring-instance-name . A partir do Junos OS Release 21.1R1, você pode configurar any, bridge, ccc, mpls,filtros vpls de firewall de família com o termo ação inline-monitoring-instance inline-monitoring-instance-name . Para o Junos OS Evolved, você pode configurar os filtros de firewall ou any, ccc, ethernet-switch, inet, inet6, mpls família com o termo action inline-monitoring-instance inline-monitoring-instance-name.

    Cada termo pode dar suporte a uma instância de monitoramento em linha diferente.

  • Anexe o filtro de firewall de monitoramento em linha à família da unidade lógica da interface.

Depois de confirmar a configuração com êxito, você pode verificar a implementação dos serviços de monitoramento em linha emitindo o show services inline-monitoring statistics fpc-slot comando da CLI.

Observação:

Se um pacote exigir que os serviços de monitoramento em linha sejam aplicados junto com qualquer uma das tecnologias de amostragem tradicionais (como JFlow ou SFlow), o Mecanismo de Encaminhamento de Pacotes executará os serviços de monitoramento em linha e a tecnologia de amostragem tradicional nesse pacote. O espelhamento de porta atualmente deve ser configurado em um termo diferente para o Junos OS Evolved.

A Figura 6 é uma ilustração de exemplo de serviços de monitoramento em linha, onde o tráfego é monitorado em duas taxas de amostragem diferentes na interface do dispositivo e exportado para quatro coletores remotos em um formato de encapsulamento IPFIX. Para o Junos OS, você configura a taxa de amostragem em cada coletor, permitindo taxas diferentes para cada coletor. Para o Junos OS Evolved, você configura a taxa de amostragem na instância de monitoramento em linha, e ela se aplica a todos os coletores configurados para essa instância.

Figura 6: Serviços Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1. de monitoramento em linha

Neste exemplo, a interface et-1/0/0 do dispositivo é configurada com serviços de monitoramento em linha. Os detalhes das configurações são os seguintes:

  • Há duas instâncias de monitoramento em linha — Instância 1 e Instância 2.

  • Há quatro coletores, dois coletores em cada instância de monitoramento em linha.

    • A instância 1 tem o Coletor-1 e o Coletor-2.

    • A instância 2 tem o Coletor-101 e o Coletor-102.

  • Os coletores na Instância 1 têm uma taxa de amostragem de 1:10000.

  • Os coletores na Instância 2 têm uma taxa de amostragem de 1:1.

  • Os coletores da Instância 1 têm um endereço de origem e destino de 10.1.1.1 e 10.2.2.1, respectivamente.

  • Os coletores da Instância 2 têm um endereço de origem e destino de 10.11.1.1 e 10.12.2.1, respectivamente.

  • Os pacotes são exportados para os coletores em um formato encapsulado IPFIX.

Para configurar serviços de monitoramento em linha:

  1. Defina um filtro de firewall para cada instância de monitoramento em linha para atender aos serviços de monitoramento em linha. Você pode configurar um filtro de firewall familiar com o termo ação inline-monitoring-instance.

    Para definir um filtro de firewall:

    Neste exemplo, os termos t1 e t2 são configurados para Instance1 e Instance2, respectivamente.

  2. Habilite os serviços de monitoramento em linha configurando os parâmetros de modelo, instância e coletor associados.
    1. Para configurar o modelo de serviços de monitoramento em linha:

      Neste exemplo, os modelos template-1 e template-2 estão configurados.

    2. Para configurar parâmetros de instância e coletor de monitoramento em linha:

      Para o Junos OS:

      Neste exemplo para o Junos OS, a Instância1 tem dois coletores, o coletor-1 e o coletor-2, e a Instância2 tem dois coletores, o coletor-101 e o coletor-102. Diferentes taxas de amostragem foram configuradas para ambas as instâncias.

      Para o Junos OS Evolved:

      Neste exemplo, para o Junos OS Evolved, a Instância1 tem dois coletores, o coletor-1 e o coletor-2, e a Instância2 tem dois coletores, o coletor-101 e o coletor-102. Diferentes taxas de amostragem foram configuradas para ambas as instâncias.

  3. Mapeie o filtro de firewall na família da unidade lógica da interface para aplicar o monitoramento em linha na direção de entrada ou saída.

    Como alternativa, você pode aplicar o monitoramento em linha mapeando o filtro de firewall para um filtro de tabela de encaminhamento com uma instrução de entrada ou saída para filtrar pacotes de entrada ou saída, respectivamente.

    Para anexar o filtro de firewall:

    Neste exemplo, o filtro de monitoramento em linha é anexado à família inet da unidade 0 de et-1/0/0.

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
23.4R1-EVO
Serviços de monitoramento em linha (roteador PTX10003 com as placas de linha JNP10K-LC1201 ou JNP10K-LC1202)— A partir do Junos OS Evolved Release 23.4R1, você pode configurar serviços de monitoramento em linha no roteador PTX10003 para relatar exceções. Você também pode configurar os filtros de firewall ou any, ccc, ethernet-switch, inet, inet6, mpls família com o termo action inline-monitoring-instance inline-monitoring-instance-name.
22.4R1-EVO
Serviços de monitoramento em linha (roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016 com as placas de linha JNP10K-LC1201 ou JNP10K-LC1202) - A partir do Junos OS Evolved Release 22.4R1, você pode configurar serviços de monitoramento em linha nos roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016 para obter amostras de pacotes, adicionar metadados e exportar os pacotes até o comprimento de clipe configurado para um coletor IPFIX para processamento posterior. Você também pode configurar os filtros de firewall ou any, ccc, ethernet-switch, inet, inet6, mpls família com o termo action inline-monitoring-instance inline-monitoring-instance-name.
22.3R1
Serviços de monitoramento em linha (roteadores MX304) - A partir do Junos OS Release 22.3R1, você pode configurar serviços de monitoramento em linha no roteador MX304.
22.2R1-EVO
Serviços de monitoramento em linha (roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016 com as placas de linha JNP10K-LC1201 ou JNP10K-LC1202) - A partir Junos OS versão 22.1R1 do Evolved, você pode configurar serviços de monitoramento em linha nos roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016 para relatar exceções. Você também pode configurar os filtros de firewall ou any, ccc, ethernet-switch, inet, inet6, mpls família com o termo action inline-monitoring-instance inline-monitoring-instance-name.
21.4R1
Serviços de monitoramento em linha (placa de linha LC9600 para o roteador MX10008) - A partir do Junos OS Release 21.4R1, você pode configurar serviços de monitoramento em linha em roteadores MX10008 que contêm a placa de linha LC9600.
21.2R1
Suporte para Camada 2 e quaisquer famílias de filtros de firewall para serviços de monitoramento em linha (Série MX com placas de linha MPC10E e MPC11E) — A partir do Junos OS Release 21.2R1, você pode configurar os filtros de any, bridge, ccc, mpls, firewall ou vpls família com o termo action inline-monitoring-instance inline-monitoring-instance-name.
21.2R1
Serviços de monitoramento em linha (placa de linha LC480 para roteadores MX10008 e MX10016 - A partir do Junos OS Release 21.2R1, você pode configurar serviços de monitoramento em linha nos roteadores MX10008 e MX10016 que contêm a placa de linha LC480.
21.1R1
Suporte para Camada 2 e qualquer família de filtros de firewall para serviços de monitoramento em linha (Série MX com MPCs excluindo placas de linha MPC10E e MPC11E) — A partir do Junos OS Release 21.1R1, você pode configurar os filtros de firewall da família any, bridge, ccc, mpls ou vpls com o termo action inline-monitoring-instance inline-monitoring-instance-name.
20.4R1
Serviços de monitoramento em linha (placas de linha MPC10E e MPC11E para roteadores da Série MX - A partir do Junos OS Release 20.4R1, você pode configurar serviços de monitoramento em linha em roteadores da Série MX que contêm as placas de linha MPC10E e MPC11E.
19.4R1
Serviços de monitoramento em linha (Série MX com MPCs, excluindo placas de linha MPC10E e MPC11E) - A partir do Junos OS Release 19.4R1, você pode configurar uma nova tecnologia de monitoramento que oferece a flexibilidade para monitorar diferentes fluxos de tráfego em diferentes taxas de amostragem na mesma interface. Você também pode exportar o pacote até a duração do clipe configurada para um coletor em um formato IP Flow Information Export (IPFIX). O formato IPFIX inclui informações importantes de metadados sobre os pacotes monitorados para processamento posterior no coletor.