Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de la surveillance active des flux

À l’aide d’un routeur Juniper Networks M Series Multiservice Edge ou T Series Core ou EX9200, d’une sélection de PIC (y compris le PIC Monitoring Services, le PIC Adaptive Services [AS], le PIC Multiservices ou le DPC Multiservices) et d’autres matériels réseau, vous pouvez surveiller les flux de trafic et exporter le trafic surveillé. La surveillance du trafic vous permet d’effectuer les opérations suivantes :

  • Collectez et exportez des informations détaillées sur les flux de trafic IP version 4 (IPv4) entre les nœuds source et de destination de votre réseau.

  • Échantillonnez tout le trafic IPv4 entrant sur l’interface de surveillance et présentez les données au format d’enregistrement cflowd.

  • Effectuez la comptabilisation des rejets sur un flux de trafic entrant.

  • Chiffrez ou tunnelisez les enregistrements cflowd sortants, le trafic IPv4 intercepté, ou les deux.

  • Dirigez le trafic filtré vers différents analyseurs de paquets et présentez les données dans leur format d’origine (port miroir).

    Note:

    Les PIC des services de surveillance, les PIC AS et les PIC multiservices doivent être montés sur un concentrateur PIC flexible amélioré (FPC) dans un routeur M Series ou T Series.

    Les DPC multiservices installés dans les routeurs Universal Edge 3D Juniper Networks MX Series prennent en charge les mêmes fonctionnalités, à l’exception des fonctions de surveillance passive et de débit par robinet.

Bien que le PIC des services de surveillance ait été initialement conçu pour être utilisé comme outil de surveillance de flux passif hors connexion, il peut également être utilisé dans une topologie de surveillance de flux active. En revanche, l’AS ou PIC multiservices est conçu exclusivement pour la surveillance active des flux. Pour utiliser le PIC des services de surveillance, en tant que PIC ou le PIC multiservices pour la surveillance active du flux, vous devez installer le PIC dans un routeur M Series ou T Series. Le routeur participe à la fois à l’application de surveillance et à la fonctionnalité de routage normale du réseau.

À partir de la version 11.4 de Junos OS, la prise en charge de la surveillance active est étendue aux systèmes logiques s’exécutant sur les routeurs T Series et MX Series. Un système logique est une partition créée à partir d’un routeur physique qui effectue des tâches de routage indépendantes. Plusieurs systèmes logiques dans un même routeur, avec leurs propres interfaces, stratégies, instances et tables de routage, peuvent exécuter des fonctions gérées par plusieurs routeurs différents. Un PIC de services partagés gère les flux provenant de tous les systèmes logiques. Seuls les modèles de flux, IPv4 et MPLS de la version 9 sont pris en charge. Reportez-vous à la section Exemple : Configuration de la surveillance active sur le système logique d’un routeur M, MX ou T Series pour obtenir un exemple de configuration permettant d’activer la surveillance active sur un système logique.

Les paquets spécifiés peuvent être filtrés et envoyés à l’interface de surveillance. Pour le PIC Monitoring Services, le nom de l’interface contient le mo- préfixe. Pour le PIC AS ou Multiservices, le nom de l’interface contient le sp- préfixe.

Note:

Si vous effectuez une mise à niveau du PIC des services de surveillance vers le PIC des services adaptatifs ou des multiservices pour la surveillance active du flux, vous devez changer le nom de votre interface de surveillance de mo-fpc/pic/port à sp-fpc/pic/.port

Les principales actions de surveillance de flux actif que vous pouvez configurer au niveau de la [edit forwarding-options] hiérarchie sont les suivantes :

  • Echantillonnage, avec la [edit forwarding-options samplinghiérarchie ]. Cette option envoie une copie du flux de trafic à un AS ou Monitoring Services PIC, qui extrait des informations limitées (telles que l’adresse IP source et de destination) de certains paquets d’un flux. Les paquets d’origine sont acheminés vers la destination prévue comme d’habitude.

  • Écarter la comptabilité, avec la [edit forwarding-options accounting] hiérarchie. Cette option met en quarantaine les paquets indésirables, crée des enregistrements cflowd qui décrivent les paquets et rejette les paquets au lieu de les transférer.

  • Mise en miroir des ports, avec la [edit forwarding-options port-mirroring] hiérarchie. Cette option crée une copie complète de tous les paquets d’un flux et la remet à une destination unique. Les paquets d’origine sont transférés vers la destination prévue.

  • Mise en miroir de plusieurs ports, avec la [edit forwarding-options next-hop-group] hiérarchie. Cette option permet d’acheminer plusieurs copies du trafic sélectionné vers plusieurs destinations. (La mise en miroir de plusieurs ports nécessite un PIC des services de tunnel.)

Contrairement à la surveillance passive des flux, vous n’avez pas besoin de configurer un groupe de surveillance. Au lieu de cela, vous pouvez envoyer des paquets filtrés à un service de surveillance ou à une interface de services adaptatifs (mo- ou sp-) à l’aide de la comptabilité d’échantillonnage ou de rejet. Si vous le souhaitez, vous pouvez configurer la mise en miroir de ports ou de ports multiples pour diriger les paquets vers des interfaces supplémentaires.

Ces options de surveillance active des flux fournissent une grande variété d’actions qui peuvent être effectuées sur les flux de trafic réseau. Toutefois, les restrictions suivantes s’appliquent :

  • Le routeur ou le commutateur peut effectuer la mise en miroir des ports d’échantillonnage or à tout moment.

  • Le routeur ou le commutateur peut effectuer la comptabilisation des rejets or de transfert à tout moment.

Étant donné que les PIC Services de surveillance, AS et Multiservices n’autorisent l’exécution que d’une seule action à la fois, les options de configuration suivantes sont disponibles :

  • Echantillonnage et transfert

  • Comptabilisation de l’échantillonnage et des rejets

  • Mise en miroir et transfert de ports

  • Mise en miroir des ports et comptabilisation des rejets

  • Echantillonnage et mise en miroir de ports sur différents types de trafic

La figure 1 montre un exemple de topologie.

Figure 1 : topologie Active Monitoring Configuration Topology de configuration de la surveillance active

Sur la Figure 1, le trafic du routeur 1 arrive sur l’interface Gigabit Ethernet ge-2/3/0 du routeur de surveillance. L’interface de sortie sur le routeur de surveillance menant au routeur de destination 2 est ge-3/0/0, mais il peut s’agir de n’importe quel type d’interface (par exemple, SONET, Gigabit Ethernet, etc.). L’interface d’exportation menant au serveur cflowd est fe-1/0/0.

Pour activer la surveillance active, configurez un filtre de pare-feu sur l’interface ge-2/3/0 avec les conditions de correspondance suivantes :

  • Le trafic correspondant à certaines conditions de pare-feu est envoyé au PIC des services de surveillance à l’aide d’un transfert basé sur des filtres. Ce trafic est mis en quarantaine et n’est pas transféré vers d’autres routeurs.

  • Tout le reste du trafic est mis en miroir sur le PIC des services de surveillance. La mise en miroir des ports copie chaque paquet et envoie les copies au saut suivant de mise en miroir des ports (dans ce cas, un PIC des services de surveillance). Les paquets d’origine sont transférés hors du routeur comme d’habitude.

Documentation connexe