AUF DIESER SEITE
Anpassen der Vorlagen-ID, der Beobachtungsdomänen-ID und der Quell-ID für IPFIX-Flow-Vorlagen
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Beispiel: Konfigurieren von Inline Active Flow Monitoring Version 9 Flow-Vorlagen und Flow Sampling
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Konfiguration der aktiven Inline-Datenstromüberwachung zur Verwendung von IPFIX-Datenstromvorlagen auf Routern der MX-, vMX- und T-Serie, Switches der EX-Serie, Geräten der NFX-Serie und Firewalls der SRX-Serie
Mit IPFIX können Sie eine Flow-Record-Vorlage definieren, die für IPv4-Datenverkehr oder IPv6-Datenverkehr geeignet ist. Vorlagen werden regelmäßig an den Collector übertragen, und der Collector hat keinen Einfluss auf die Konfiguration des Routers. Sie können die Aktualisierungsrate der Vorlage, das Zeitlimit für den aktiven Fluss und das Zeitlimit für inaktive Datenströme definieren.
Wenn Datenstromdatensätze für mehrere Protokollfamilien gesendet werden (z. B. für IPv4 und IPv6), verfügt jeder Protokollfamilienfluss über eine eindeutige Beobachtungsdomänen-ID. Die folgenden Abschnitte enthalten zusätzliche Informationen:
Ab Junos OS Version 17.3R1 werden IPFIX-Flow-Vorlagen auf QFX10002-Switches unterstützt.
Ab Junos OS Version 17.4R1 werden IPFIX-Flow-Vorlagen auf QFX10008- und QFX10016-Switches unterstützt.
Ab Junos OS Version 19.4R1 werden IPFIX-Flow-Vorlagen auf SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600-, SRX5800-, Virtuelle Firewall vSRX- und vSRX3.0-Geräten unterstützt.
Ab Junos OS Version 20.1R1 werden IPFIX-Flow-Vorlagen auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.
Ab Junos OS Version 20.4R1 werden IPFIX-Flow-Vorlagen auf NFX150-, NFX250 NextGen- und NFX350-Geräten unterstützt.
(Nur SRX-Firewalls) Die aktive Inline-Datenstromüberwachung wirkt auf einen Datenstrom in Bezug auf die Sitzung. Wenn Services Offload (SOF), PMI oder beides für eine bestimmte Sitzung aktiviert sind, wird die Inline-Überwachung des aktiven Datenstroms für diese Sitzung nicht unterstützt. Wenn eine Sitzung von PMI oder SOF verarbeitet wird, ist die aktive Inline-Datenstromüberwachung für diesen Fluss deaktiviert.
Konfigurieren der IPFIX-Vorlageneigenschaften
Um die IPFIX-Vorlagen zu definieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services flow-monitoring version-ipfix] ein:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Die folgenden Details gelten für die Konfigurationsanweisungen:
-
Sie weisen jeder Vorlage einen eindeutigen Namen zu, indem Sie die
template template-nameAnweisung einfügen. -
Anschließend geben Sie jede Vorlage für den entsprechenden Datenverkehrstyp an, indem Sie das oder
ipv6-templateeinfügen.ipv4-template -
In der Vorlagendefinition können Sie optional Werte für die
flow-active-timeoutflow-inactive-timeoutund-Anweisungen einschließen. Diese Anweisungen haben bestimmte Standard- und Bereichswerte, wenn sie in Vorlagendefinitionen verwendet werden. Der Standardwert ist 60 Sekunden und der Bereich liegt zwischen 10 und 600 Sekunden. -
Sie können auch Einstellungen für die
option-refresh-ratetemplate-refresh-rateund-Anweisungen in eine Vorlagendefinition aufnehmen. Für beide Eigenschaften können Sie einen Timerwert (in Sekunden) oder eine Paketanzahl (in Anzahl der Pakete) einschließen. Für diesecondsOption ist der Standardwert 600 und der Bereich liegt zwischen 10 und 600. Für diepacketsOption ist der Standardwert 4800 und der Bereich liegt zwischen 1 und 480.000. -
Um IPv6-Datenverkehr auf einer Medienschnittstelle zu filtern, wird die folgende Konfiguration unterstützt:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Einschränkungen
Die folgenden Einschränkungen gelten für IPFIX-Vorlagen:
-
Ausgehender Routing-Engine-Datenverkehr wird nicht abgetastet. Als Ausgabe auf der Ausgangsschnittstelle wird ein Firewall-Filter angewendet, der Pakete sampelt und die Daten exportiert. Für den Transitverkehr funktioniert das Egress Sampling ordnungsgemäß. Für internen Datenverkehr wird der nächste Hop in der Packet Forwarding Engine installiert, aber Stichprobenpakete werden nicht exportiert.
-
Flows werden erst erstellt, nachdem der Vorgang zur Neusynchronisierung des Routendatensatzes abgeschlossen ist, was 120 Sekunden dauert.
-
Das VLAN-ID-Feld wird aktualisiert, wenn ein neuer Flow-Datensatz erstellt wird, und daher wird jede Änderung der VLAN-ID nach der Erstellung des Datensatzes möglicherweise nicht im Datensatz aktualisiert.
Anpassen der Vorlagen-ID, der Beobachtungsdomänen-ID und der Quell-ID für IPFIX-Flow-Vorlagen
Ab Junos OS Version 14.1 können Sie eine IPFIX-Datenflussdatensatzvorlage definieren, die für IPv4-Datenverkehr, IPv6-Datenverkehr, MPLS-Datenverkehr, eine Kombination aus IPv4- und MPLS-Datenverkehr oder Peer-ASAS-Abrechnungsdatenverkehr geeignet ist. Vorlagen und die in der Vorlage enthaltenen Felder werden regelmäßig an den Collector übertragen, und der Collector muss die Konfiguration des Routers nicht kennen. Sie können den eindeutigen Bezeichner für die Version 9- und IPFIX-Vorlagen angeben. Der Bezeichner einer Vorlage ist innerhalb einer Kombination aus einer Transportsitzung und einer Beobachtungsdomäne lokal eindeutig. Die Vorlagen-IDs 0 bis 255 sind für Vorlagensätze, Optionsvorlagensätze und andere Sätze für die zukünftige Verwendung reserviert. Vorlagen-IDs von Datensätzen sind von 256 bis 65535 nummeriert. In der Regel wird dieses Informationselement oder Feld in der Vorlage verwendet, um die Merkmale oder Eigenschaften anderer Informationselemente in einer Vorlage zu definieren. Nachdem ein Neustart des Exportvorgangs von Vorlagen durchgeführt wurde, können Sie Vorlagen-IDs neu zuweisen.
Diese Funktion zum Konfigurieren von Vorlagen-ID, Optionsvorlagen-ID, Beobachtungsdomänen-ID und Quell-ID wird auf allen Routern mit MPCs unterstützt.
Die entsprechenden Datensätze und Optionsdatensätze enthalten den Wert der Vorlagen-IDs bzw. Optionsvorlagen-IDs im Feld Set-ID. Diese Methode ermöglicht es dem Kollektor, einen Datensatz mit einem Vorlagendatensatz abzugleichen.
Weitere Informationen zum Angeben der Quell-ID, der Beobachtungsdomänen-ID, der Vorlagen-ID und der Optionsvorlagen-ID für Version 9- und IPFIX-Flows finden Sie unter Konfigurieren der Beobachtungsdomänen-ID und der Quell-ID für Version 9 und IPFIX-Flows und Konfigurieren der Vorlagen-ID und der Optionsvorlagen-ID für Version 9 und IPFIX-Flows.
IPFIX-Vorlagen
Informationen zu den Definitionen der in IPFIX-IPv4- und IPv6-Vorlagen enthaltenen Felder finden Sie unter IPFIX- und Version-9-Vorlagen.
Verifizierung
Die folgenden show-Befehle werden für IPFIX unterstützt:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Das folgende Beispiel zeigt eine IPFIX-Vorlagenkonfiguration:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
Im folgenden Beispiel wird die IPFIX-Vorlage angewendet, um die Stichprobenziehung des Datenverkehrs für die Abrechnung zu ermöglichen:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Beispiel: Konfigurieren von Inline Active Flow Monitoring Version 9 Flow-Vorlagen und Flow Sampling
Das folgende Beispiel zeigt die Inlinekonfiguration der IPv4-Vorlage Active Flow Monitoring Version 9:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
Das folgende Beispiel zeigt die Inlinekonfiguration der IPv6-Vorlage Active Flow Monitoring Version 9:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
Das folgende Beispiel zeigt die Inline-Konfiguration für Active Flow Monitoring Version 9 IPv4-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt Inline-Überwachung der aktiven Datenstromüberwachung Version 9 IPv6-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt die Inlinebindung der Stichprobenschnittstelle für Active Flow Monitoring Version 9 (über die Schnittstelle):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
Das folgende Beispiel zeigt die Inlinebindung der Active Flow Monitoring Version 9-Samplingschnittstelle mit Firewall-Filter (mithilfe von Filtern):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Das folgende Beispiel zeigt die Konfiguration der IPFIX-IPv4-Vorlage:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
Das folgende Beispiel zeigt die Konfiguration der IPFIX-IPv6-Vorlage:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
Das folgende Beispiel zeigt die IPFIX-IPv4-Sampling-Datenverkehrs- und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt die IPFIX-IPv6-Sampling-Datenverkehrs- und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.