Konfigurieren von Inline Active Flow Monitoring zur Verwendung von IPFIX Flow-Vorlagen auf Routern der MX-, vMX- und T-Serie, Switches der EX-Serie, Geräten der NFX-Serie und SRX-Geräten
Mit IPFIX können Sie eine Für IPv4- oder IPv6-Datenverkehr geeignete Flow-Datensatzvorlage definieren. Vorlagen werden in regelmäßigen Abständen an den Collector übertragen, und der Collector hat keine Auswirkungen auf die Routerkonfiguration. Sie können die Aktualisierungsrate von Vorlagen, aktives Timeout und inaktives Timeout definieren.
Wenn Datenstromdatensätze für mehrere Protokollfamilien (z. B. für IPv4 und IPv6) gesendet werden, verfügt jeder Datenstrom der Protokollfamilie über eine eindeutige Beobachtungsdomänen-ID. Die folgenden Abschnitte enthalten zusätzliche Informationen:
Ab Junos OS Version 17.3R1 werden IPFIX-Flow-Vorlagen auf QFX10002-Switches unterstützt.
Ab Junos OS Version 17.4R1 werden IPFIX-Flow-Vorlagen auf QFX10008- und QFX10016-Switches unterstützt.
Ab Junos OS Version 19.4R1 werden IPFIX-Flow-Vorlagen auf SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600-, SRX5800-, vSRX- und vSRX3.0-Geräten unterstützt.
Ab Junos OS Version 20.1R1 werden IPFIX-Flow-Vorlagen auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.
Ab Junos OS Version 20.4R1 werden IPFIX-Flow-Vorlagen auf NFX150-, NFX250-NextGen- und NFX350-Geräten unterstützt.
Konfigurieren der IPFIX-Vorlageneigenschaften
Um die IPFIX-Vorlagen zu definieren, fügen Sie die folgenden Anweisungen auf [edit services flow-monitoring version-ipfix] Hierarchieebene ein:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Die folgenden Details gelten für die Konfigurationsanweisungen:
-
Sie weisen jeder Vorlage einen eindeutigen Namen zu, indem Sie die
template template-nameAnweisung angeben. -
Sie geben dann jede Vorlage für den entsprechenden Datenverkehrstyp an, indem Sie den
ipv4-templateoderipv6-template. -
In die Vorlagendefinition können Sie optional Werte für die
flow-active-timeoutundflow-inactive-timeoutAnweisungen einschließen. Diese Anweisungen haben spezifische Standard- und Bereichswerte, wenn sie in Vorlagendefinitionen verwendet werden. der Standard ist 60 Sekunden und der Bereich liegt zwischen 10 und 600 Sekunden. -
Sie können auch Einstellungen für die
option-refresh-rateUndtemplate-refresh-rateAnweisungen in eine Vorlagendefinition einschließen. Für beide Eigenschaften können Sie einen Timerwert (in Sekunden) oder eine Paketanzahl (in anzahl der Pakete) einschließen. Für diesecondsOption ist der Standardwert 600 und der Bereich von 10 bis 600. Für diepacketsOption ist der Standardwert 4800 und der Bereich von 1 bis 480.000. -
Um IPv6-Datenverkehr auf einer Medienschnittstelle zu filtern, wird die folgende Konfiguration unterstützt:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Einschränkungen
Für IPFIX-Vorlagen gelten die folgenden Einschränkungen:
-
Ausgehender Routing-Engine-Datenverkehr wird nicht stichprobeniert. Ein Firewall-Filter wird als Ausgabe auf der Ausgangsschnittstelle angewendet, die Pakete untersucht und die Daten exportiert. Für den Transitverkehr funktioniert das Ausgangs-Sampling korrekt. Für internen Datenverkehr wird der nächste Hop in der Packet Forwarding Engine installiert, aber die Stichprobenpakete werden nicht exportiert.
-
Datenströme werden erst erstellt, nachdem der Vorgang zur erneuten Synchronisierung des Routendatensatzes abgeschlossen ist, der 120 Sekunden dauert.
-
Das VLAN-ID-Feld wird aktualisiert, wenn ein neuer Datenstromdatensatz erstellt wird. Daher wird jede Änderung der VLAN-ID nach der Erstellung möglicherweise nicht im Datensatz aktualisiert.
Anpassen von Vorlagen-ID, Beobachtungsdomänen-ID und Quell-ID für IPFIX-Flussvorlagen
Ab Junos OS Version 14.1 können Sie eine IPFIX-Flow-Datensatzvorlage definieren, die für IPv4-Datenverkehr, IPv6-Datenverkehr, MPLS-Datenverkehr, eine Kombination aus IPv4- und MPLS-Datenverkehr oder Peer-AS-Abrechnungsdatenverkehr geeignet ist. Vorlagen und die in der Vorlage enthaltenen Felder werden in regelmäßigen Abständen an den Collector übermittelt, und der Collector muss die Routerkonfiguration nicht kennen. Sie können den eindeutigen Bezeichner für die Vorlagen Version 9 und IPFIX angeben. Der Bezeichner einer Vorlage ist lokal eindeutig innerhalb einer Kombination aus Einer Transportsitzung und einer Beobachtungsdomäne. Die Vorlagen-IDs 0 bis 255 sind Vorlagensätze, Optionsvorlagensätze und andere Sätze für die zukünftige Verwendung reserviert. Vorlagen-IDs von Datensätzen sind von 256 bis 65535 nummeriert. In der Regel wird dieses Informationselement oder Feld in der Vorlage verwendet, um die Merkmale oder Eigenschaften anderer Informationselemente in einer Vorlage zu definieren. Nach einem Neustart des Exportvorgangs von Vorlagen können Sie Vorlagen-IDs neu zuweisen.
Diese Funktionalität zur Konfiguration von Vorlagen-ID, Optionen Vorlagen-ID, Beobachtungsdomänen-ID und Quell-ID wird auf allen Routern mit MPCs unterstützt.
Die entsprechenden Datensätze und Optionsdatensätze enthalten den Wert der Vorlagen-IDs bzw. Optionsvorlagen-IDs im Feld set ID. Mit dieser Methode kann der Collector einen Datensatz mit einem Vorlagendatensatz abgleichen.
Weitere Informationen zum Festlegen der Quell-ID, der Beobachtungsdomänen-ID, der Vorlagen-ID und der Optionen-Vorlagen-ID für Version 9 und IPFIX-Datenflüsse finden Sie unter Konfigurieren der Beobachtungsdomänen-ID und Quell-ID für Version 9 und IPFIX-Datenströme sowie Konfigurieren von Vorlagen-ID und Optionsvorlagen-ID für Version 9 und IPFIX-Datenströme.
IPFIX-Vorlagen
Informationen zu den Definitionen der Felder, die in IPFIX IPv4- und IPv6-Vorlagen enthalten sind, finden Sie unter IPFIX- und Version 9-Vorlagen.
Überprüfung
Die folgenden Show-Befehle werden für IPFIX unterstützt:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow Sampling
Das folgende Beispiel zeigt eine IPFIX-Vorlagenkonfiguration:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
Im folgenden Beispiel wird die IPFIX-Vorlage angewendet, um die Stichprobenentnahme des Datenverkehrs für die Abrechnung zu ermöglichen:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Beispiel: Konfigurieren von Inline-Datenstromüberwachung Version 9 Flow-Vorlagen und Datenstrom-Sampling
Das folgende Beispiel zeigt die Inline-Konfiguration von IPv4-Vorlagen für Active Flow Monitoring Version 9:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
Das folgende Beispiel zeigt die Inline-Konfiguration der IPv6-Vorlage für Active Flow Monitoring Version 9:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
Das folgende Beispiel zeigt Inline Active Flow Monitoring Version 9 IPv4-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt Inline Active Flow Monitoring Version 9 IPv6-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Im folgenden Beispiel wird die Sampling-Schnittstellenbindung (mithilfe einer Schnittstelle) inline für aktive Datenstromüberwachung version 9 dargestellt:
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
Das folgende Beispiel zeigt die Inline-Sampling-Schnittstellenbindung der Active Flow Monitoring-Version 9 mit Firewall-Filter (mithilfe von Filtern):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Beispiel: Konfigurieren von IPFIX-Flow-Vorlagen und Flow Sampling
Das folgende Beispiel zeigt die IPFIX IPv4-Vorlagenkonfiguration:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
Das folgende Beispiel zeigt die IPFIX IPv6-Vorlagenkonfiguration:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
Das folgende Beispiel zeigt IPFIX IPv4-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
Das folgende Beispiel zeigt IPFIX-IPv6-Sampling-Datenverkehr und Exportkonfiguration:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}