AUF DIESER SEITE

FBT Übersicht
FBT konfigurieren (Serien EX4100, EX4100-F und EX4400)

Datenstrombasierte Telemetrie (Serien EX4100, EX4100-F und EX4400)

Die ablaufbasierte Telemetrie (FBT) ermöglicht die Analyse auf Datenflussebene mithilfe von Inline-Überwachungsdiensten zum Erstellen, Sammeln und Exportieren in einen Kollektor unter Verwendung der offenen Standardvorlage IPFIX zur Organisation des Flusses.

FBT Übersicht

Sie können flussbasierte Telemetrie (FBT) für die Switches der Serien EX4100, EX4100-F und EX4400 konfigurieren. FBT ermöglicht Messungen auf Datenflussebene mithilfe von Inline-Überwachungsdiensten zum Erstellen, Sammeln und Exportieren an einen Kollektor. Mit Inline-Überwachungsdiensten können Sie jedes IPv4- und IPv6-Paket sowohl in Eingangs- als auch in Ausgangsrichtung einer Schnittstelle überwachen. Ein Datenstrom ist eine Abfolge von Paketen, die dieselbe Quell-IP, Ziel-IP, Quellport, denselben Zielport und dasselbe Protokoll auf einer Schnittstelle haben. Für jeden Flow sammelt die Software verschiedene Parameter und exportiert das tatsächliche Paket bis zur konfigurierten Cliplänge an einen Collector, der die offene Standard-IPFIX-Vorlage verwendet, um den Flow zu organisieren. Sobald kein aktiver Datenverkehr für einen Datenstrom vorhanden ist, wird der Datenverkehr nach dem konfigurierten inaktiven Timeout veraltet (konfigurieren Sie die flow-inactive-timeout Anweisung auf der Hierarchieebene [Edit services inline-monitoring template template-name]. Die Software exportiert ein IPFIX-Paket regelmäßig im konfigurierten Flow-Export-Timer-Intervall. Der Bezeichner der Beobachtungsdomäne wird im IPFIX-Paket verwendet, um zu identifizieren, welche Linecard das Paket an den Collector gesendet hat. Nach dem Festlegen leitet die Software basierend auf dem hier festgelegten Systemwert eine eindeutige Kennung für jede Linecard ab.

Vorteile von FBT
Übersicht über den FBT-Flow-Export
Einschränkungen und Vorbehalte
Lizenzen
Drop-Vektoren (nur EX4100 und EX4100-F)

Vorteile von FBT

Mit FBT können Sie:

Zählen von Paket-, TTL- und TCP-Fensterbereichen
Verfolgen und zählen Sie Denial-of-Service-Angriffe (DoS)
Analysieren Sie die Lastverteilung von ECMP-Gruppen/Link-Aggregationsgruppen (LAG) über die Mitglieds-IDs (nur EX4100 und EX4100-F)
Verfolgen von Verkehrsstaus (nur EX4100 und EX4100-F)
Sammeln von Informationen über Multimedia-Datenströme (nur EX4100 und EX4100-F)
Sammeln von Informationen darüber, warum Pakete verworfen werden (nur EX4100 und EX4100-F)

Übersicht über den FBT-Flow-Export

In Abbildung 1 finden Sie eine Beispielvorlage, die die IDs, Namen und Größen der Informationselemente zeigt:

Abbildung 1: Beispiel für eine FBT-Informationselementvorlage Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

Abbildung 2 zeigt das Format einer Beispiel-IPFIX-Datenvorlage für FBT:

Abbildung 2: Beispiel für eine FBT IPFIX-Datenvorlage Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

Abbildung 3 zeigt das Format eines exportierten IPFIX-Beispielflusses für FBT:

Abbildung 3: Beispiel für einen exportierten IPFIX-Flow für FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Tabelle 1: Elementzuordnung
Element	Enterprise Element-ID	Beschreibung
TIMESTAMP_FLOWSTART_VAL	1	Gibt den Zeitstempel an, zu dem die TCP-Datenstromsammlung gestartet wurde.
TIMESTAMP_FLOWEND_VAL	2	Gibt den Zeitstempel an, zu dem die TCP-Datenstromsammlung beendet wurde.
TIMESTAMP_NEW_LEARN_VAL	3	Zeitstempel, wenn ein neuer Flow in der Flow-Tabelle gelernt wird.
PKT_RANGE_CNTR1_VAL	4	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR2_VAL	5	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR3_VAL	6	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR4_VAL	7	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR5_VAL	8	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR6_VAL	9	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR7_VAL	10	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
PKT_RANGE_CNTR8_VAL	11	Gibt die Anzahl der Pakete in verschiedenen Größenkategorien an. Der Benutzer kann sich für 4 Kategorien oder 6 Kategorien unter der Vorlage entscheiden. Das System kategorisiert die Pakete entsprechend in Buckets unterschiedlicher Größe und zählt. (Gegenprofil-Funktion)
MIN_PKT_LENGTH_VAL	12	Gibt die Anzahl der Pakete an, deren Größe über der definierten Größe liegt. Der konfigurierbare Größenbereich liegt zwischen 64 und 9000 Byte.
MAX_PKT_LENGTH_VAL	13	Gibt die Anzahl der Pakete an, deren Größe unter der definierten Größe liegt. Der konfigurierbare Größenbereich liegt zwischen 64 und 9000 Byte.
TCP_WINDOW_RANGE_CNTR_VAL	15	Zählt die Pakete innerhalb des angegebenen TCP-Fensterbereichs.
DOS_ATTACK_ID_VAL	16	Meldet den DDOS-Angriffsvektor.
TTL_RANGE1_CNTR_VAL	17	Gibt die Anzahl der Pakete innerhalb eines bestimmten TTL-Wertebereichs an.
TTL_RANGE2_CNTR_VAL	18	Gibt die Anzahl der Pakete innerhalb eines bestimmten TTL-Wertebereichs an.
DOS_ATTACK_PKT_CNTR_VAL	19	Anzahl der DDOS-Angriffspakete.
CUSTOM_PKT_RANGE_START_VAL	20	Gibt die Anzahl der Pakete innerhalb des konfigurierten Größenbereichs an. Sie können den Größenbereich zwischen 64 und 9000 Byte definieren, indem Sie die `counter-profile` Anweisung auf Hierarchieebene `[edit services inline-monitoring]` konfigurieren. Zum Beispiel: `set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500`.
CUSTOM_TTL_RANGE_START_VAL	30	Gibt die Anzahl der Pakete innerhalb des konfigurierten TTL-Bereichs an. Sie können den TTL-Bereich zwischen 0 und 255 definieren, indem Sie die `counter-profile` Anweisung auf Hierarchieebene `[edit services inline-monitoring]` konfigurieren. Zum Beispiel: `set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15`.
CUSTOM_TCP_WINDOW_RANGE_START_VAL	40	Gibt die Anzahl der Pakete innerhalb des konfigurierten TCP-Fensterbereichs an. Sie können den TCP-Fensterbereich zwischen 0 und 65535 definieren, indem Sie die `counter-profile` Anweisung auf Hierarchieebene `[edit services inline-monitoring]` konfigurieren. Zum Beispiel: `set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000`.
INTER_ARRIVAL_TIME	50	Der Zeitunterschied zwischen zwei aufeinanderfolgenden Paketen beim Eingang (pro Datenstrom).
INTER_DEPARTURE_TIME	51	Der Zeitunterschied zwischen zwei aufeinanderfolgenden Paketen beim Ausgang (pro Datenstrom).
CHIP_DELAY	52	Die Zeit, die das Paket benötigt, um den ASIC zu übertragen.
SHARED_POOL_CONGESTION	53	Überlastungsgrad des gemeinsam genutzten Pools
QUEUE_CONGESTION_LEVEL	54	Überlastungsgrad der Warteschlange
INGRESS_DROP_REASON	55	Der Grund, warum das Paket beim Eingang verworfen wird.
INGRESS_DROP_REASON_PKT_CNTR_VAL	56	Anzahl der beim Eingehen verworfenen Pakete.
EGRESS_DROP_REASON	57	Der Grund, warum das Paket beim Ausgang verworfen wird.
EGRESS_DROP_REASON_PKT_CNTR_VAL	58	Anzahl der beim Ausgang verworfenen Pakete.
AGGREGATE_INTF_MEMBER_ID	59	ID für ein Mitglied einer Link Aggregation Group (LAG) oder einer Equal-Cost Multipath (ECMP)-Gruppe
AGGREGATE_INTF_GROUP_ID	60	ID für eine Link-Aggregationsgruppe (LAG)
MMU_QUEUE_ID	61	Gibt die Warteschlangen-ID an, zu der das Paket gehört.
UNKNOWN_ID_VAL	254	Gilt nicht für Kunden. Intern bei Juniper.
RESERVED_ID_VAL	255	Gilt nicht für Kunden. Intern bei Juniper.

Wenn Sie eine neue Konfiguration für Inline-Überwachungsservices erstellen oder eine vorhandene ändern, sendet die Software sofort den periodischen Flussexport der Datenvorlage an die entsprechenden Kollektoren, anstatt bis zum nächsten geplanten Sendezeitpunkt zu warten.

Einschränkungen und Vorbehalte

IRB-Schnittstellen werden unterstützt. Ab Junos OS Version 25.2R1 werden L2-Firewall-Filter unterstützt.
Es werden nur 8 Inline-Überwachungsinstanzen und 8 Kollektoren pro Instanz unterstützt.
Flussdatensätze sind auf eine Länge von 128 Byte begrenzt.
Der Kollektor muss entweder über die Loopback-Schnittstelle oder eine Netzwerkschnittstelle erreichbar sein, nicht nur über eine Management-Schnittstelle.
Sie können einen Collector nur innerhalb derselben Routing-Instanz wie die Daten konfigurieren. Sie können einen Collector nicht in einer anderen Routing-Instance konfigurieren.
Sie können keinen Optionsvorlagenbezeichner oder eine Weiterleitungsklasse konfigurieren.
Der IPFIX-Optionsdatensatz und die IPFIX-Optionsdatenvorlage werden nicht unterstützt.
Funktionsprofile werden auf EX4400-Switches nicht unterstützt.
Wenn Sie Änderungen an der Featureprofilkonfiguration vornehmen, müssen Sie das Gerät neu starten.
(Nur EX4100 und EX4100-F) Wenn Sie eines der Überlastungs- oder Ausgangs-Features im Feature-Profil für eine Inline-Überwachungsinstanz konfigurieren, können Sie in dieser Instanz kein Zählerprofil für eine Vorlage konfigurieren.
(Nur EX4100 und EX4100-F) Da die Überlastungs- und Ausgangsfunktionen viele Daten sammeln, können Sie nur 4 oder 5 dieser Funktionen pro Inline-Überwachungsinstanz konfigurieren.
(Nur EX4100 und EX4100-F) Bei der Verfolgung von Multicast-Datenströmen kann eine Eingangskopie mehrere Ausgangskopien erzeugen. Alle Kopien können denselben Eintrag aktualisieren. Daher können Sie die aggregierten Ergebnisse aller Kopien desselben Multicast-Flows nachverfolgen.

Lizenzen

Sie müssen eine permanente Lizenz erwerben, um FBT zu aktivieren. Um zu überprüfen, ob Sie eine Lizenz für FBT haben, geben Sie den show system license Befehl im Betriebsmodus aus:

Für die Switches EX4100 und EX4100-F benötigen Sie die Lizenz S-EX4100-FBT-P. Für die EX4400-Switches benötigen Sie die Lizenz S-EX-FBT-P.

Drop-Vektoren (nur EX4100 und EX4100-F)

FBT kann mehr als 100 Drop-Gründe melden. Tropfenvektoren sind sehr große Vektoren, die zu groß sind, um vernünftig in einem Flussdatensatz untergebracht zu werden. Daher gruppiert und komprimiert die Software die Tropfenvektoren in einen komprimierten 16-Bit-Tropfenvektor und übergibt diesen Tropfenvektor dann an die Flusstabelle. Der komprimierte 16-Bit-Tropfenvektor entspricht einer bestimmten Tropfenvektorgruppe. In Tabelle 2 und Tabelle 3 wird beschrieben, wie Tropfenvektoren gruppiert werden, um einen bestimmten komprimierten 16-Bit-Tropfenvektor zu bilden.

Tabelle 2: Eingangsabfallvektorgruppen (nur EX4100 und EX4100-F)
Grund für das Löschen der	Gruppen-ID
1	MMU-Drop
2	TCAM, PVLAN
3	DoS-Angriff oder LAG-Loopback schlagen fehl
4	Ungültige VLAN-ID, ungültige TPID oder der Port befindet sich nicht im VLAN
5	STP-Weiterleitung (Spanning Tree Protocol), BPDU (Bridge Protocol Data Unit), Protokoll, CML
6	Quellroute, L2-Quellverwerfung, L2-Zielverwerfung, L3-Deaktivierung usw.
7	L3 TTL, L3 Header, L2 Header, L3 Quellsuche fehlgeschlagen, L3 Zielsuche fehlgeschlagen
8	ECMP-Auflösung, Sturmkontrolle, Eingangs-Multicast, Eingangs-Next-Hop-Fehler

Tabelle 3: Egress Drop Vector Groups (nur EX4100 und EX4100-F)
Grund für das Löschen der	Gruppen-ID
1	MMU Unicast-Datenverkehr
2	MMU-gewichtete zufällige Früherkennung (WRED) Unicast-Datenverkehr
3	MMU RQE
4	MMU-Multicast-Datenverkehr
5	Ausgangs-TTL, stgblock
6	Ausgehendes Feldprozessor verworfen
7	IPMC fällt ab
8	Kontrollverluste bei der Quality of Service (QoS) für den Ausgang

FBT konfigurieren (Serien EX4100, EX4100-F und EX4400)

FBT ermöglicht Messungen auf Datenflussebene mithilfe von Inline-Überwachungsdiensten zum Erstellen, Sammeln und Exportieren an einen Kollektor. Ein Datenstrom ist eine Abfolge von Paketen, die dieselbe Quell-IP, Ziel-IP, Quellport, denselben Zielport und dasselbe Protokoll auf einer Schnittstelle haben. Für jeden Flow werden verschiedene Parameter gesammelt und mithilfe der offenen Standard-IPFIX-Vorlage an einen Collector gesendet, um den Flow zu organisieren. Sobald kein aktiver Datenverkehr für einen Datenstrom vorhanden ist, wird der Datenverkehr nach dem konfigurierten inaktiven Timeout veraltet (konfigurieren Sie die flow-inactive-timeout Anweisung auf der Hierarchieebene [Edit services inline-monitoring template template-name]. Die Software exportiert ein IPFIX-Paket regelmäßig im konfigurierten Flow-Export-Timer-Intervall. Der Bezeichner der Beobachtungsdomäne wird im IPFIX-Paket verwendet, um zu identifizieren, welche Linecard das Paket an den Collector gesendet hat. Nach dem Festlegen leitet die Software basierend auf dem hier festgelegten Systemwert eine eindeutige Kennung für jede Linecard ab.

So konfigurieren Sie eine ablaufbasierte Telemetrie:

Definieren Sie die IPFIX-Vorlage.

So konfigurieren Sie Attribute der Vorlage:

In diesem Beispiel ist der Timeoutzeitraum für den inaktiven Fluss auf 10 Sekunden festgelegt, die Beobachtungsdomänen-ID auf 25, die Aktualisierungsrate der Vorlage auf 30 Sekunden, und Sie haben einen Vorlagenbezeichner konfiguriert

Hängen Sie eine Vorlage an die Instanz an und beschreiben Sie den Kollektor.

So konfigurieren Sie die Instanz und den Collector:

In diesem Beispiel erstellen Sie eine Vorlage mit dem Namen template_1, erstellen eine Inline-Überwachungsinstanz i1und erstellen die Konfiguration für den Kollektor c2:

Erstellen Sie einen Firewall-Filter und konfigurieren Sie die Aktioninline-monitoring-instance.

So konfigurieren Sie den Firewall-Filter:

In diesem Beispiel konfigurieren Sie einen IPv4-Firewallfilter mit dem Namen ipv4_ingress, wobei der Begriff name rule1 die Aktion inline-monitoring-instanceenthält, und die Inlineüberwachungsinstanz i1 wird ihm zugeordnet:

Ordnen Sie den Firewallfilter der Familie unter der logischen Einheit der bereits konfigurierten Schnittstelle zu, um die Inlineüberwachung in Eingangsrichtung anzuwenden.
So ordnen Sie den Firewall-Filter zu:
In diesem Beispiel ordnen Sie den ipv4_ingress Firewallfilter der inet Familie der logischen Schnittstelle 0 der physischen Schnittstelle et-0/0/1 zu:

(Optional) Konfigurieren Sie das Abtastprofil und die Sampling-Rate, konfigurieren Sie das Profil, für das Zähler in den Collector exportiert werden sollen, konfigurieren Sie die Flussrate und die Burst-Größe, und aktivieren Sie die Sicherheitsanalyse für datenstrombasierte Telemetrie:

So konfigurieren Sie die Eigenschaften der Datenstromüberwachung:

In diesem Beispiel ist das Sampling-Profil auf "Zufällig" festgelegt, die Sampling-Rate auf alle 512 Byte, das Zählerprofil auf Per_flow_6_counters, die Flussrate auf 100000 kbps, die Burst-Größe auf 2048 Byte und die Sicherheitsanalyse aktiviert:

(Nur optionale Switches EX4100 und EX4100-F) Konfigurieren Sie ein Funktionsprofil, um mehr Daten über Pakete zu sammeln, während sie sich durch den Switch bewegen.
So können Sie beispielsweise Überlastungen überwachen oder Informationen darüber sammeln, warum Pakete verworfen werden. Sie können die Sicherheitsanalyse entweder hier oder im vorherigen Schritt aktivieren. So konfigurieren Sie ein Funktionsprofil:
Sie müssen das System neu starten, damit das Funktionsprofil wirksam wird. Da die aggregierten Überwachungs-, Überlastungs- und Ausgangsfunktionen für die Schnittstellenverteilung viele Daten erfassen, können Sie nur 4 oder 5 dieser Funktionen pro Inline-Überwachungsinstanz konfigurieren. Die Anweisungen, mit denen diese Funktionen konfiguriert werden, lauten:
- aggregate-intf-member-id
- egress-drop-reason
- inter-departure-time
- queue-congestion-level
- shared-pool-congestion
Nachdem Sie die Konfiguration bestätigt und das System neu gestartet haben, verwenden Sie den show services inline-monitoring feature-profile-mapping fpc-slot slot-number Befehl, um zu überprüfen, ob die Features erfolgreich konfiguriert wurden.
Überwachen Sie nach dem Commit der Konfiguration die Inline-Überwachungsstatistiken mit dem show services inline-monitoring statistics fpc-slot slot-number Befehl.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung

Beschreibung

22.2R1

Sie können jetzt ablaufbasierte Telemetrie (FBT) für die Switches der Serien EX4100 und EX4100-F konfigurieren und zusätzliche Elemente konfigurieren, die mit der feature-profile name features Anweisung auf Hierarchieebene [edit inline-monitoring] für einen Datenstrom verfolgt werden sollen.

21.1R1

Sie können flussbasierte Telemetrie (FBT) für die Switches der Serie EX4400 konfigurieren. FBT ermöglicht Messungen auf Datenflussebene mithilfe von Inline-Überwachungsdiensten zum Erstellen, Sammeln und Exportieren an einen Kollektor.