AUF DIESER SEITE
Anpassen der Vorlagen-ID, der Beobachtungsdomänen-ID und der Quell-ID für IPFIX-Flow-Vorlagen
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Beispiel: Konfigurieren von Inline-Flussüberwachung Version 9 Flussvorlagen und Flussstichproben
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Konfiguration der aktiven Inline-Datenstromüberwachung für die Verwendung von IPFIX-Ablaufvorlagen auf Routern der MX-, vMX- und T-Serie, Switches der EX-Serie, Geräten der NFX-Serie und Firewalls der SRX-Serie
Mit IPFIX können Sie eine Flussdatensatzvorlage definieren, die für IPv4- oder IPv6-Datenverkehr geeignet ist. Vorlagen werden regelmäßig an den Kollektor übertragen, und der Kollektor wirkt sich nicht auf die Routerkonfiguration aus. Sie können die Aktualisierungsrate der Vorlage, das aktive Timeout des Flows und das inaktive Timeout definieren.
Wenn Datenstromdatensätze für mehrere Protokollfamilien gesendet werden (z. B. für IPv4 und IPv6), verfügt jeder Protokollfamiliendatenstrom über eine eindeutige Beobachtungsdomänen-ID. Die folgenden Abschnitte enthalten zusätzliche Informationen:
Ab Junos OS Version 17.3R1 werden IPFIX-Flow-Vorlagen auf QFX10002-Switches unterstützt.
Ab Junos OS Version 17.4R1 werden IPFIX-Flow-Vorlagen auf QFX10008- und QFX10016-Switches unterstützt.
Ab Junos OS Version 19.4R1 werden IPFIX-Flow-Vorlagen auf SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600-, SRX5800-, Virtuelle Firewall vSRX- und vSRX3.0-Geräten unterstützt.
Ab Junos OS Version 20.1R1 werden IPFIX-Flow-Vorlagen auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.
Ab Junos OS Version 20.4R1 werden IPFIX-Flow-Vorlagen auf NFX150-, NFX250 NextGen- und NFX350-Geräten unterstützt.
(Nur SRX-Firewalls) Die aktive Inline-Datenstromüberwachung wirkt sich auf einen Datenstrom in Bezug auf die Sitzung aus. Wenn Services Offload (SOF), PMI oder beides für eine bestimmte Sitzung aktiviert sind, wird die aktive Inline-Datenstromüberwachung für diese Sitzung nicht unterstützt. Wenn eine Sitzung von PMI oder SOF verarbeitet wird, ist die aktive Inline-Datenstromüberwachung für diesen Datenfluss deaktiviert.
Konfigurieren der Eigenschaften der IPFIX-Vorlage
Um die IPFIX-Vorlagen zu definieren, fügen Sie die folgenden Anweisungen auf der [edit services flow-monitoring version-ipfix] Hierarchieebene ein:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Die folgenden Details gelten für die Konfigurationsanweisungen:
-
Sie weisen jeder Vorlage einen eindeutigen Namen zu, indem Sie die
template template-nameAnweisung einfügen. -
Anschließend geben Sie jede Vorlage für den entsprechenden Datenverkehrstyp an, indem Sie das oder
ipv6-template.ipv4-template -
In der Vorlagendefinition können Sie optional Werte für die
flow-active-timeoutand-Anweisungenflow-inactive-timeouteinschließen. Diese Anweisungen haben bestimmte Standard- und Bereichswerte, wenn sie in Vorlagendefinitionen verwendet werden. Der Standardwert ist 60 Sekunden und der Bereich liegt zwischen 10 und 600 Sekunden. -
Sie können auch Einstellungen für and-Anweisungen
option-refresh-ratetemplate-refresh-ratein eine Vorlagendefinition aufnehmen. Für beide Eigenschaften können Sie einen Timerwert (in Sekunden) oder eine Paketanzahl (in der Anzahl der Pakete) angeben. Für diesecondsOption ist der Standardwert 600 und der Bereich liegt zwischen 10 und 600. Für diepacketsOption ist der Standardwert 4800 und der Bereich liegt zwischen 1 und 480.000. -
Zum Filtern von IPv6-Datenverkehr auf einer Medienschnittstelle wird die folgende Konfiguration unterstützt:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Einschränkungen
Die folgenden Einschränkungen gelten für IPFIX-Vorlagen:
-
Ausgehender Routing-Engine-Datenverkehr wird nicht abgetastet. Ein Firewall-Filter wird als Ausgabe auf die Ausgangsschnittstelle angewendet, die Pakete abtastet und die Daten exportiert. Für Transitdatenverkehr funktioniert das Ausgangs-Sampling ordnungsgemäß. Für internen Datenverkehr wird der nächste Hop in der Packet Forwarding Engine installiert, aber abgetastete Pakete werden nicht exportiert.
-
Flows werden erst erstellt, nachdem der Vorgang zur erneuten Synchronisierung des Routendatensatzes abgeschlossen ist, der 120 Sekunden dauert.
-
Das Feld "VLAN-ID" wird aktualisiert, wenn ein neuer Datenflussdatensatz erstellt wird, sodass Änderungen an der VLAN-ID nach der Erstellung des Datensatzes möglicherweise nicht im Datensatz aktualisiert werden.
Anpassen der Vorlagen-ID, der Beobachtungsdomänen-ID und der Quell-ID für IPFIX-Flow-Vorlagen
Ab Junos OS Version 14.1 können Sie eine IPFIX-Flussdatensatzvorlage definieren, die für IPv4-Datenverkehr, IPv6-Datenverkehr, MPLS-Datenverkehr, eine Kombination aus IPv4- und MPLS-Datenverkehr oder Peer AS-Abrechnungsdatenverkehr geeignet ist. Vorlagen und die in der Vorlage enthaltenen Felder werden in regelmäßigen Abständen an den Kollektor übertragen, und der Kollektor muss die Routerkonfiguration nicht kennen. Sie können den eindeutigen Bezeichner für die Vorlagen Version 9 und IPFIX angeben. Der Bezeichner einer Vorlage ist innerhalb einer Kombination aus einer Transportsitzung und einer Beobachtungsdomäne lokal eindeutig. Die Vorlagen-IDs 0 bis 255 sind für Vorlagensätze, Optionsvorlagensätze und andere Sätze für die zukünftige Verwendung reserviert. Vorlagen-IDs von Datensätzen sind von 256 bis 65535 nummeriert. In der Regel wird dieses Informationselement oder Feld in der Vorlage verwendet, um die Merkmale oder Eigenschaften anderer Informationselemente in einer Vorlage zu definieren. Nachdem ein Neustart des Exportprozesses von Vorlagen durchgeführt wurde, können Sie Vorlagen-IDs neu zuweisen.
Diese Funktion zum Konfigurieren der Vorlagen-ID, der Vorlagen-ID, der Beobachtungsdomänen-ID und der Quell-ID wird auf allen Routern mit MPCs unterstützt.
Die entsprechenden Datensätze und Optionsdatensätze enthalten den Wert der Vorlagen-IDs bzw. der Optionsvorlagen-IDs im Feld Satz-ID. Diese Methode ermöglicht es dem Kollektor, einen Datensatz mit einem Vorlagendatensatz abzugleichen.
Weitere Informationen zum Angeben der Quell-ID, der Beobachtungsdomänen-ID, der Vorlagen-ID und der Optionen Vorlagen-ID für Version 9 und IPFIX-Flows finden Sie unter Konfigurieren der Beobachtungsdomänen-ID und Quell-ID für Version 9- und IPFIX-Flows und Konfigurieren der Vorlagen-ID und der Optionen Vorlagen-ID für Version 9- und IPFIX-Flows.
IPFIX-Vorlagen
Informationen zu den Definitionen der Felder, die in IPv4- und IPv6-Vorlagen für IPFIX enthalten sind, finden Sie unter IPFIX- und Version 9-Vorlagen.
Verifizierung
Die folgenden show-Befehle werden für IPFIX unterstützt:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Das folgende Beispiel zeigt eine IPFIX-Vorlagenkonfiguration:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
Im folgenden Beispiel wird die IPFIX-Vorlage angewendet, um die Stichprobenerstellung von Datenverkehr für die Abrechnung zu ermöglichen:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Beispiel: Konfigurieren von Inline-Flussüberwachung Version 9 Flussvorlagen und Flussstichproben
Das folgende Beispiel zeigt die Konfiguration einer IPv4-Vorlage für die aktive Datenstromüberwachung Version 9:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
Das folgende Beispiel zeigt die IPv6-Vorlagenkonfiguration der aktiven Datenstromüberwachung Version 9:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
Das folgende Beispiel zeigt die Inline-IPv4-Abtastung des Datenverkehrs und die Exportkonfiguration der Version 9:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt die Inline-IPv6-Abtastung des Datenverkehrs und die Exportkonfiguration der aktiven Datenstromüberwachung Version 9:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt die Inline-Schnittstellenbindung für die Active Flow Monitoring Version 9 (unter Verwendung der Schnittstelle):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
Das folgende Beispiel zeigt die Inline-Sampling-Schnittstellenbindung von Active Flow Monitoring Version 9 mit Firewall-Filter (mithilfe von Filtern):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow-Sampling
Das folgende Beispiel zeigt die Konfiguration der IPFIX-IPv4-Vorlage:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
Das folgende Beispiel zeigt die Konfiguration der IPFIX-IPv6-Vorlage:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
Das folgende Beispiel zeigt die IPFIX-IPv4-Abtastung des Datenverkehrs und die Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt die IPFIX-IPv6-Abtastung des Datenverkehrs und die Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.