Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Datenstrombasierte Telemetrie (Serien EX4100, EX4100-F und EX4400)

ZUSAMMENFASSUNG  Datenstrombasierte Telemetrie (FBT) ermöglicht Analysen auf Flussebene, indem Inline-Überwachungsservices verwendet werden, um Datenströme zu erstellen, zu erfassen und sie mithilfe der offenen IPFIX-Vorlage zu einem Collector zu exportieren, um den Datenstrom zu organisieren.

FBT-Überblick

Sie können ablaufbasierte Telemetrie (FBT) für die Switches der Serien EX4100, EX4100-F und EX4400 konfigurieren. FBT ermöglicht Analysen auf Flussebene und nutzt Inline-Überwachungsservices, um Datenströme zu erstellen, zu erfassen und in einen Collector zu exportieren. Mit Inline-Überwachungsservices können Sie jedes IPv4- und IPv6-Paket sowohl auf den Eingangs- als auch auf die Ausgangsrichtung einer Schnittstelle überwachen. Ein Datenstrom ist eine Abfolge von Paketen, die dieselbe Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und Protokoll auf einer Schnittstelle haben. Für jeden Datenstrom erfasst die Software verschiedene Parameter und exportiert das tatsächliche Paket in die konfigurierte Cliplänge in einen Collector, der die offene IPFIX-Vorlage verwendet, um den Datenstrom zu organisieren. Sobald kein aktiver Datenverkehr für einen Datenstrom vorhanden ist, altert der Datenstrom nach dem konfigurierten Inaktiv-Timeout-Zeitraum aus (konfigurieren Sie die flow-inactive-timeout Anweisung auf der Hierarchieebene [Bearbeiten der Vorlage für die Inline-Überwachung template-name] ). Die Software exportiert ein IPFIX-Paket in regelmäßigen Abständen im konfigurierten Flow-Export-Timer-Intervall. Die Beobachtungsdomänenkennung wird im IPFIX-Paket verwendet, um zu identifizieren, welche Linecard das Paket an den Collector gesendet hat. Nach der Einstellung leitet die Software eine eindeutige Kennung für jede Linecard ab, die auf dem hier festgelegten Systemwert basiert.

Vorteile von FBT

Mit FBT können Sie:

  • Anzahl von Paket-, TTL- und TCP-Fensterbereichen
  • Verfolgen und Zählen von Denial of Service (DoS)-Angriffen
  • Analysieren Sie die Lastverteilung von ECMP-Gruppen/Link-Aggregationsgruppen (LAG) über die Mitglieds-IDs (nur EX4100 und EX4100-F)
  • Datenverkehrsüberlastung verfolgen (nur EX4100 und EX4100-F)
  • Sammeln von Informationen über Multimedia-Datenströme (nur EX4100 und EX4100-F)
  • Erfassen von Informationen darüber, warum Pakete gelöscht werden (nur EX4100 und EX4100-F)

FBT Flow Export – Übersicht

In Abbildung 1 finden Sie eine Beispielvorlage, die die Informationselement-IDs, Namen und Größen zeigt:

Abbildung 1: Beispielvorlage Sample FBT Information Element Template für FBT-Informationselemente

Abbildung 2 zeigt das Format einer IPFIX-Beispieldatenvorlage für FBT:

Abbildung 2: Beispiel-IPFIX-Datenvorlage Sample FBT IPFIX Data Template für FBT

Abbildung 3 zeigt das Format eines beispielexportierbaren IPFIX-Datenstroms für FBT:

Abbildung 3: Beispiel exportierter IPFIX-Flow für FBT Sample Exported IPFIX Flow for FBT

Wenn Sie eine neue Konfiguration für Inline-Überwachungsservices erstellen oder eine vorhandene ändern, sendet die Software sofort den regelmäßigen Datenstromexport der Datenvorlage an die jeweiligen Kollektoren, anstatt bis zur nächsten geplanten Sendezeit zu warten.

Einschränkungen und Einschränkungen

  • IRB-Schnittstellen werden unterstützt; L2-Firewall-Filter werden jedoch nicht unterstützt.
  • Nur 8 Inline-Überwachungsinstanzen und 8 Collectors pro Instanz werden unterstützt.
  • Datenstromdatensätze sind auf 128 Bytes länge begrenzt.
  • Der Collector muss entweder über die Loopback- oder eine Netzwerkschnittstelle erreichbar sein, nicht nur über eine Verwaltungsschnittstelle.
  • Sie können keinen Optionsvorlagenbezeichner oder eine Weiterleitungsklasse konfigurieren.
  • Die IpFIX Option Data Record und die IPFIX Option Data Template werden nicht unterstützt.
  • Funktionsprofile werden auf EX4400-Switches nicht unterstützt.
  • Wenn Sie Änderungen an der Konfiguration des Funktionsprofils vornehmen, müssen Sie das Gerät neu starten.
  • (nur EX4100 und EX4100-F) Wenn Sie eine der Überlastungs- oder Ausgangsfunktionen im Funktionsprofil für eine Inline-Überwachungsinstanz konfigurieren, können Sie kein Gegenprofil für eine Vorlage in dieser Instanz konfigurieren.
  • (nur EX4100 und EX4100-F) Da die Überlastungs- und Ausgangsfunktionen viele Daten sammeln, können Sie nur 4 oder 5 dieser Funktionen pro Inline-Überwachungsinstanz konfigurieren.
  • (nur EX4100 und EX4100-F) Für die Multicast-Datenstromverfolgung kann eine Eingangskopie mehrere Ausgangskopien erzeugen. Alle Kopien können denselben Eintrag aktualisieren. Daher können Sie die aggregierten Ergebnisse aller Kopien desselben Multicast-Datenstroms verfolgen.

Lizenzen

Sie benötigen eine permanente Lizenz, um FBT zu aktivieren. Um zu prüfen, ob Sie über eine Lizenz für FBT verfügen, geben Sie den show system license Befehl im Betriebsmodus aus:

Für die Switches EX4100 und EX4100-F benötigen Sie die Lizenz S-EX4100-FBT-P. Für die EX4400-Switches benötigen Sie die Lizenz S-EX-FBT-P.

Drop Vectors (nur EX4100 und EX4100-F)

FBT kann mehr als 100 Drop-Gründe melden. Drop Vectors sind sehr große Vektoren, die zu groß sind, um in einem Datenstromdatensatz vernünftig unterzubringen. Daher gruppiert und komprimiert die Drop-Vektoren in einen komprimierten 16-Bit-Drop-Vektor und leitet diesen Drop-Vektor dann an die Datenstromtabelle weiter. Der komprimierte 16-Bit-Drop-Vektor entspricht einer bestimmten Drop-Vector-Gruppe. Tabelle 1 und Tabelle 2 beschreiben, wie Drop-Vektoren zu einem bestimmten komprimierten 16-Bit-Drop-Vektor gruppiert werden.

Tabelle 1: Eingehende Drop Vector Groups (nur EX4100 und EX4100-F)
Grund für das Ablegen der Gruppen-ID
1

MMU-Drop
2

TCAM, PVLAN
3

DoS-Angriff oder LAG-Loopback scheitern
4

Ungültige VLAN-ID, ungültige TPID, oder der Port ist nicht im VLAN
5

Spanning Tree Protocol (STP)-Weiterleitung, Bridge Protocol Data Unit (BPDU), Protokoll, CML

6

Quellroute, L2-Quellen-Verwerfen, L2-Ziel verwerfen, L3 deaktivieren usw.
7

L3 TTL, L3-Header, L2-Header, L3-Quellsuche miss, L3-Suche nach Ziel miss
8

ECMP-Auflösung, Sturmkontrolle, Eingangs-Multicast, Eingangs-Next-Hop-Fehler
Tabelle 2: Ausgangs-Drop Vector Groups (nur EX4100 und EX4100-F)
Grund für das Ablegen der Gruppen-ID
1

MMU-Unicast-Datenverkehr
2

MMU Weighted Random Early Detection (WRED) Unicast-Datenverkehr
3

MMU RQE
4

MMU-Multicast-Datenverkehr
5

Ausgangs-TTL, Stgblockierung
6

Ausgangsfeldprozessor fällt
7

IPMC-Absenkungen
8

QoS-Steuerung (Egress Quality of Service)

Konfigurieren Sie FBT (Serien EX4100, EX4100-F und EX4400)

FBT ermöglicht Analysen auf Flussebene und nutzt Inline-Überwachungsservices, um Datenströme zu erstellen, zu erfassen und in einen Collector zu exportieren. Ein Datenstrom ist eine Abfolge von Paketen, die dieselbe Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und Protokoll auf einer Schnittstelle haben. Für jeden Datenstrom werden verschiedene Parameter gesammelt und mithilfe der ipFIX-Vorlage mit offenem Standard an einen Collector gesendet, um den Datenstrom zu organisieren. Sobald kein aktiver Datenverkehr für einen Datenstrom vorhanden ist, altert der Datenstrom nach dem konfigurierten Inaktiv-Timeout-Zeitraum aus (konfigurieren Sie die flow-inactive-timeout Anweisung auf der Hierarchieebene [Bearbeiten der Vorlage für die Inline-Überwachung template-name] ). Die Software exportiert ein IPFIX-Paket in regelmäßigen Abständen im konfigurierten Flow-Export-Timer-Intervall. Die Beobachtungsdomänenkennung wird im IPFIX-Paket verwendet, um zu identifizieren, welche Linecard das Paket an den Collector gesendet hat. Nach der Einstellung leitet die Software eine eindeutige Kennung für jede Linecard ab, die auf dem hier festgelegten Systemwert basiert.

So konfigurieren Sie ablaufbasierte Telemetrie:

  1. Definieren Sie die IPFIX-Vorlage.

    So konfigurieren Sie die Attribute der Vorlage:

    In diesem Beispiel wird der Timeout-Zeitraum inaktiven Datenfluss auf 10 Sekunden festgelegt, die Beobachtungsdomänen-ID auf 25 festgelegt, die Aktualisierungsrate der Vorlage ist auf 30 Sekunden festgelegt, und Sie haben einen Vorlagenbezeichner konfiguriert.

  2. Fügen Sie der Instanz eine Vorlage an und beschreiben Sie den Collector.

    So konfigurieren Sie die Instanz und den Collector:

    In diesem Beispiel erstellen Sie eine Vorlage mit dem Namen template_1, erstellen eine Instanz i1zur Inline-Überwachung und erstellen die Konfiguration für den Collector c2:

  3. Erstellen Sie einen Firewall-Filter und konfigurieren Sie die Aktioninline-monitoring-instance.

    So konfigurieren Sie den Firewall-Filter:

    In diesem Beispiel konfigurieren Sie einen IPv4-Firewallfilter mit dem Namen ipv4_ingress, der den Begriff rule1 enthält inline-monitoring-instance, und die Inline-Überwachungsinstanz i1 wird ihm zugeordnet:

  4. Ordnen Sie den Firewall-Filter der Familie unter der logischen Einheit der bereits konfigurierten Schnittstelle zu, um die Inline-Überwachung in Eingangsrichtung anzuwenden.

    So zuordnen Sie den Firewall-Filter:

    In diesem Beispiel zuordnen Sie den ipv4_ingress Firewall-Filter der Familie der inet logischen Schnittstelle 0 der physischen Schnittstelle et-0/0/1:

  5. (Optional) Konfigurieren Sie das Sampling-Profil und die Sampling-Rate, konfigurieren Sie das Profil, für das Zähler in den Collector exportiert werden sollen, konfigurieren Sie die Datenstromrate und Burst-Größe und aktivieren Sie Sicherheitsanalysen für ablaufbasierte Telemetrie:

    So konfigurieren Sie die Datenstromüberwachungseigenschaften:

    In diesem Beispiel wird das Sampling-Profil auf Zufällig festgelegt, die Samplingrate ist auf alle 512 Bytes festgelegt, das Zählerprofil auf Per_flow_6_counters, die Datenstromrate auf 100000 kbit/s festgelegt, die Burst-Größe auf 2048 Bytes festgelegt und Sicherheitsanalysen sind aktiviert:

  6. (Nur EX4100- und EX4100-F-Switches optional) Konfigurieren Sie ein Funktionsprofil, um mehr Daten zu Paketen zu erfassen, wenn sie über den Switch verschoben werden.

    Sie können beispielsweise Überlastungen überwachen oder Informationen darüber sammeln, warum Pakete gelöscht werden. Sie können Sicherheitsanalysen entweder hier oder im vorherigen Schritt aktivieren. So konfigurieren Sie ein Funktionsprofil:

    Sie müssen das System neu starten, damit das Funktionsprofil in Kraft tritt. Da die aggregierten Funktionen zur Überwachung, Überlastung und Ausgangsfunktionen der Schnittstellenverteilung viele Daten sammeln, können Sie nur 4 oder 5 dieser Funktionen pro Inline-Überwachungsinstanz konfigurieren. Die Anweisungen zur Konfiguration dieser Funktionen sind:

    • aggregate-intf-member-id

    • egress-drop-reason

    • inter-departure-time

    • queue-congestion-level

    • shared-pool-congestion

    Nachdem Sie die Konfiguration festgelegt und das System neu gestartet haben, verwenden Sie den show services inline-monitoring feature-profile-mapping fpc-slot slot-number Befehl, um zu überprüfen, ob die Funktionen erfolgreich konfiguriert wurden.

  7. Überwachen Sie nach dem Festlegen der Konfiguration die Inline-Überwachungsstatistiken mit dem show services inline-monitoring statistics fpc-slot slot-number Befehl.

Ähnliche Dokumentation

Tabelle "Versionshistorie"
Release
Beschreibung
22.2R1
Sie können jetzt ablaufbasierte Telemetrie (FBT) für die Switches der EX4100- und EX4100-F-Serie konfigurieren und zusätzliche Elemente konfigurieren, die für einen Datenstrom mit der feature-profile name features Anweisung auf [edit inline-monitoring] Hierarchieebene verfolgt werden sollen.
21.1R1
Sie können ablaufbasierte Telemetrie (FBT) für die Switches der EX4400-Serie konfigurieren. FBT ermöglicht Analysen auf Flussebene und nutzt Inline-Überwachungsservices, um Datenströme zu erstellen, zu erfassen und in einen Collector zu exportieren.