Flow-basierte Telemetrie für VXLANs (QFX5120)

Die ablaufbasierte Telemetrie (FBT) für VXLANs in Junos OS ermöglicht Analysen auf Datenstromebene auf IRB-Schnittstellen mithilfe von Inline-Überwachungsdiensten zum Erstellen, Erfassen und Exportieren an einen Kollektor unter Verwendung der offenen Standardvorlage IP Flow Information Export (IPFIX) zur Organisation des Flusses.

FBT für VXLANs – Übersicht

Sie können ablaufbasierte Telemetrie (FBT) für VXLANs für die Switches QFX5120-32C und QFX5120-48y-8c konfigurieren. FBT für VXLANs ermöglicht Inline-Telemetrie-Daten für VXLANs, die entweder über CRB- (Central-Routed Bridging) oder ERB-Overlays (Edge-Routed Bridging) verfügen. FBT für VXLANs ermöglicht Analysen auf Datenflussebene für IRB-Schnittstellen unter Verwendung von Inline-Überwachungsservices, um Datenströme zu erstellen, zu sammeln und an einen Collector zu exportieren. Mit Inline-Überwachungsdiensten können Sie jedes IPv4- und IPv6-Paket sowohl in Eingangs- als auch in Ausgangsrichtung einer Schnittstelle überwachen.

Vorteile von FBT für VXLANs
Übersicht über den Flow-Export
Einschränkungen und Vorbehalte

Vorteile von FBT für VXLANs

Mit FBT für VXLANs können Sie Inline-Telemetrie-Daten für EVPN-VXLAN-Architekturen aktivieren, die entweder CRB- oder ERB-Overlays haben, wodurch Sie eine zusätzliche Informationsquelle über Ihr Netzwerk erhalten.

Bei einem VXLAN mit CRB-Overlay sind Core-Switches als Layer-/Layer-3-VXLAN-Gateways konfiguriert, wobei die integrierten Routing- und Bridging-Schnittstellen (IRB) für die virtuellen Netzwerke auf den Core-Switches konfiguriert sind. Im Gegensatz dazu ermöglichen Core-Switches in einem VXLAN mit einem ERB-Overlay den Transport von EVPN-Routen vom Typ 2 und Typ 5, und die IRB-Schnittstellen sind auf den Distribution-Switches konfiguriert. Das ERB-Design ermöglicht auch einen schnelleren Server-zu-Server-Datenverkehr innerhalb des Campus. Das hat zur Folge, dass das Routing bei einem ERB-Overlay viel näher an den Endsystemen erfolgt als bei einem CRB-Overlay. Abbildung 1und Abbildung 2 zeigen Beispieltopologien für diese Overlays. Weitere Informationen zu diesen EVPN-VXLAN-Architekturen finden Sie unter Technology Primer: EVPN-VXLAN Fabrics for the Campus.

Abbildung 1: Topologie von Central-Routed Bridging (CRB) Centrally-Routed Bridging (CRB) Topology

Abbildung 2: Edge-Routed Bridging (ERB)-Topologie Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

Übersicht über den Flow-Export

FBT für VXLANs verwendet softwarebasierten IPFIX-Flow-Export. (IPFIX ist in RFC 7011 definiert.) Ein Datenstrom ist eine Abfolge von Paketen, die denselben Kernsatz von Parametern auf einer Schnittstelle haben, von denen einige Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll sind. Dieser Kernparametersatz wird als Flow-Schlüssel bezeichnet, und die Software verwendet diesen Schlüssel, um mehr über die Flows zu erfahren. Für jeden Flow sammelt die Software verschiedene Parameter und exportiert das tatsächliche Paket bis zur konfigurierten Cliplänge an einen Collector, der die offene Standard-IPFIX-Vorlage verwendet, um den Flow zu organisieren. Sobald kein aktiver Datenverkehr für einen Datenstrom vorhanden ist, wird der Datenverkehr nach dem konfigurierten inaktiven Timeout veraltet (konfigurieren Sie die flow-inactive-timeout Anweisung auf Hierarchieebene [edit services inline-monitoring template template-name] ).

Bei FBT für VXLANs unterscheidet sich der Datenstromschlüssel je nachdem, ob Sie IPv4- oder IPv6-Datenverkehr überwachen. Der Datenstromschlüssel für IPv4-Datenverkehr wird in Tabelle 1 und der Datenstromschlüssel für IPv6-Datenverkehr in Tabelle 2 erläutert. Sowohl für IPv4- als auch für IPv6-Datenverkehr enthält der Datenstrom zusätzlich zu den Schlüsselfeldern Felder für die Eingangs- und Ausgangsports, die Start- und Endzeit des Datenstroms sowie das Byte- und Paketanzahldelta. Die Startzeit des Flows ist der Zeitstempel, zu dem die Software den Flow gelernt hat. Die Stop-Zeit des Flusses ist der Zeitstempel der letzten Zählerabfrage. Ein Beispiel für eine IPFIX-Datenvorlage für IPv4-Datenverkehr ist in Abbildung 3 dargestellt.

Tabelle 1: IPv4-Datenstromschlüssel
Feldgröße	in Byte
Quell-IP-Adresse	4
Ziel-IP-Adresse	4
Protokoll (TCP oder UDP)	1
Quellport (TCP oder UDP)	2
Zielport (TCP oder UDP)	2
Bezeichner der virtuellen Routing- und Weiterleitungstabelle (VRF)	2
Eingehender Port	1
VXLAN Network Identifier (Layer 2-Segment-ID)	3

Tabelle 2: IPv6-Flow-Schlüssel
Feldgröße	in Byte
Quell-IP-Adresse	4
Ziel-IP-Adresse	4
Protokoll (TCP oder UDP)	1
Quellport (TCP oder UDP)	2
Zielport (TCP oder UDP)	2
Bezeichner der virtuellen Routing- und Weiterleitungstabelle (VRF)	2

Abbildung 3: Beispiel für eine IPFIX-Datenvorlage für IPv4-Datenverkehr

Decoded NetFlow IPFIX packet showing version 10, length 76 bytes, timestamp Jan 24, 2022, flow sequence 1159, observation domain ID 167837696. Data template set with flow set ID 2, length 60 bytes, template ID 65000, field count 13. Fields: source and destination IP addresses, protocol, Layer 4 source and destination ports, ingress and egress interfaces, flow start and end times, packets, bytes. Used for network monitoring and analysis.

Einschränkungen und Vorbehalte

FBT für VXLANs wird nur unter Junos OS unterstützt.
Es werden nur IRB-Schnittstellen unterstützt. Bei EVPN-VXLAN-Netzwerken mit CRB-Overlays können Sie die IRB-Schnittstellen nur auf der Spine überwachen. Bei EVPN-VXLAN-Netzwerken mit ERB-Overlays können Sie nur die IRB-Schnittstellen auf den Leaves überwachen.
Es werden nur eine Inline-Überwachungsinstanz und ein Kollektor unterstützt.
Der Kollektor muss über eine Netzwerkschnittstelle erreichbar sein, nicht nur über eine Management- oder Loopback-Schnittstelle.
Sie können keinen Optionsvorlagenbezeichner oder eine Weiterleitungsklasse konfigurieren.
Der IPFIX-Optionsdatensatz und die IPFIX-Optionsdatenvorlage werden nicht unterstützt.
Flow-Learning und -Tracking basieren nur auf Client-Verkehrsdaten, nicht auf dem äußeren Tunnel-Header. Flow Learning ist softwarebasiert und dauert bis zu 10 Sekunden pro Flow.
Zähler sind erst aktiv, wenn die Software den Fluss lernt und den Fluss in der Flusstabelle installiert.
Die Software verwendet das TCP FIN/RST-Flag nicht für die Flussalterung.
Die Software erfordert einen Layer-3-Header im Paket und unterstützt nur die Protokolle TCP und UDP.
Der gemeldete Ausgangsport ist bei LAG-, ECMP-, Broadcast-, Multicast- oder unbekanntem Datenverkehr möglicherweise nicht korrekt, wenn sich der Ausgangsport in einem anderen VRF befindet.

Konfigurieren von FBT für VXLANs (QFX5120)

Bevor Sie FBT für VXLANs konfigurieren können, müssen Sie zunächst den softwarebasierten IPFIX-Flow-Export aktivieren und exakt übereinstimmenden Speicher in der einheitlichen Weiterleitungstabelle zuweisen, um die Flows zu lernen. So konfigurieren Sie:

Nachdem Sie die Konfiguration bestätigt haben, werden Sie vom System aufgefordert, das System neu zu starten.

So konfigurieren Sie FBT für VXLANs:

Definieren Sie die IPFIX-Vorlage.

So konfigurieren Sie Attribute der Vorlage:

In diesem Beispiel ist der Timeoutzeitraum für inaktive Flows auf 10 Sekunden festgelegt, die Aktualisierungsrate der Vorlage auf 30 Sekunden, Sie haben einen Vorlagenbezeichner konfiguriert, und Sie verwenden die IPv4-Vorlage:

Hängen Sie eine Vorlage an die Instanz an und beschreiben Sie den Kollektor.

FBT für VXLANs unterstützt nur IPv4-Adressen für den Collector. So konfigurieren Sie die Instanz und den Collector:

In diesem Beispiel erstellen Sie eine Vorlage mit dem Namen template_1, erstellen eine Inline-Überwachungsinstanz i1und erstellen die Konfiguration für den Collector c2 mithilfe von IPv4-Adressen:

Erstellen Sie einen Firewall-Filter und konfigurieren Sie die Aktioninline-monitoring-instance.

So konfigurieren Sie den Firewall-Filter:

In diesem Beispiel konfigurieren Sie einen IPv4-Firewallfilter mit dem Namen ipv4_ingress, wobei der Begriff name rule1 die Aktion inline-monitoring-instanceenthält, und die Inlineüberwachungsinstanz i1 wird ihm zugeordnet:

Ordnen Sie den Firewallfilter der Familie unter der logischen Einheit der bereits konfigurierten Schnittstelle zu, um die Inlineüberwachung in Eingangsrichtung anzuwenden.
So ordnen Sie den Firewall-Filter zu:
In diesem Beispiel ordnen Sie den ipv4_ingress Firewallfilter der inet Familie von Einheit 100 zu:
Bestätigen Sie die Konfiguration.
Überwachen Sie Inline-Überwachungsstatistiken mit dem show services inline-monitoring statistics fpc-slot slot-number Befehl.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung

Beschreibung

22.2R1

AUF DIESER SEITE