Configuration de la surveillance des flux
L’application de surveillance des flux effectue la surveillance du flux de trafic et permet l’interception légale du trafic entre deux routeurs ou commutateurs. Les flux de trafic peuvent être surveillés passivement par un routeur ou un commutateur hors ligne ou activement surveillés par un routeur participant au réseau.
Configuration des interfaces de surveillance de flux
Pour activer la surveillance des flux sur le PIC Monitoring Services, incluez l’instruction mo-fpc//picport au niveau de la [edit interfaces] hiérarchie :
mo-fpc/pic/port {
unit logical-unit-number {
family inet {
address address {
destination address;
}
filter {
group filter-group-number;
input filter-name;
output filter-name;
}
sampling {
[ input output ];
}
}
}
multiservice-options {
(core-dump | no-core-dump);
(syslog | no-syslog);
flow-control-options {
down-on-flow-control;
dump-on-flow-control;
reset-on-flow-control;
}
}
}
Spécifiez l’emplacement physique et logique de l’interface de surveillance de flux. Vous ne pouvez pas utiliser unit 0, car il est déjà utilisé par des processus internes. Spécifiez les adresses source et de destination. L’instruction filter permet d’associer un filtre d’entrée ou de sortie ou un groupe de filtres que vous avez déjà configuré à cet effet. L’instruction sampling spécifie le sens du trafic : input, outputou les deux.
L’instruction multiservice-options permet de configurer les propriétés liées aux interfaces de surveillance de flux :
Inclure l’instruction pour activer le
core-dumpstockage des fichiers principaux dans / var/tmp.Inclure l’instruction
syslogpour permettre le stockage des informations de journalisation système dans / var/log.Note:Les images de démarrage des interfaces des services de surveillance sont spécifiées au niveau de la
[edit chassis images pic]hiérarchie. Vous devez inclure la configuration suivante pour que la fonctionnalité de surveillance de flux puisse fonctionner :[edit system] ntp { boot-server ntp.example.net; server 172.17.28.5; } processes { ntp enable; }
Inclure l’instruction permettant de configurer le
flow-control-optionscontrôle de flux.Note:À partir de Junos OS version 15.1, le fichier de cœur du démon de gestion PIC multiservices est généré lorsqu’un échec prolongé du contrôle de flux se produit et lorsque vous configurez le paramètre pour générer un vidage de cœur pendant le contrôle de flux prolongé (à l’aide de l’option avec l’instruction
dump-on-flow-controlflow-control-options). La fonctionnalité de surveillance continue de générer un fichier de base du noyau dans de tels scénarios. Dans Junos OS version 14.2 et antérieure, un fichier principal du noyau eJunos est généré lorsqu’un échec prolongé du contrôle de flux se produit et lorsque vous configurez le paramètre pour générer un vidage de cœur pendant le contrôle de flux prolongé.
Configuration des propriétés de surveillance de flux
Pour configurer les propriétés de surveillance de flux, incluez l’instruction monitoring au niveau de la [edit forwarding-options] hiérarchie :
monitoring name { family inet { output { cflowd hostname port port-number; export-format format; flow-active-timeout seconds; flow-export-destination { collector-pic; } flow-inactive-timeout seconds; interface interface-name { engine-id number; engine-type number; input-interface-index number; output-interface-index number; source-address address; } } }
Une instance de surveillance est une entité nommée qui spécifie les informations du collecteur sous l’instruction monitoring name . Les sections suivantes décrivent les propriétés que vous pouvez configurer :
- Diriger le trafic vers des interfaces de surveillance des flux
- Exportation de flux
- Configuration des périodes pendant lesquelles la surveillance des flux est active et inactive
Diriger le trafic vers des interfaces de surveillance des flux
Pour diriger le trafic vers une interface de surveillance de flux, incluez l’instruction interface au niveau de la [edit forwarding-options monitoring name output] hiérarchie. Par défaut, Junos OS attribue automatiquement des valeurs aux engine-id instructions et engine-type :
engine-id: surveillance de l’emplacement de l’interface.engine-type: type d’interface de surveillance spécifique à la plate-forme.
L’instruction source-address spécifie la source de trafic pour la transmission des informations cflowd ; vous devez la configurer manuellement. Si vous fournissez une instruction différente source-address pour chaque interface de sortie des services de surveillance, vous pouvez suivre quelle interface traite un enregistrement cflowd particulier.
Par défaut, la input-interface-index valeur est l’index SNMP de l’interface d’entrée. Vous pouvez remplacer la valeur par défaut en incluant une valeur spécifique. Les input-interface-index valeurs et output-interface-index sont exportées dans les champs présents dans le format de flux cflowd version 5.
Exportation de flux
Pour diriger le trafic vers une interface de collecte de flux, incluez l’instruction flow-export-destination . Pour plus d’informations sur la collecte des flux, consultez Vue d’ensemble de l’analyse des flux actifs.
Pour configurer le numéro de version cflowd, incluez l’instruction export-format au niveau de la [edit forwarding-options monitoring name output] hiérarchie. Par défaut, la version 5 est utilisée. La version 8 permet au logiciel du routeur d’agréger les informations de flux à l’aide de critères plus larges et de réduire le trafic cflowd. L’agrégation de la version 8 est effectuée périodiquement (toutes les quelques secondes ) sur les flux actifs et lorsque les flux peuvent expirer. Étant donné que l’agrégation est effectuée périodiquement, les événements de délai d’expiration actifs sont ignorés.
Pour plus d’informations sur les propriétés cflowd, consultez Activation de l’agrégation de flux.
Configuration des périodes pendant lesquelles la surveillance des flux est active et inactive
Pour configurer les périodes de surveillance active du flux et les intervalles d’inactivité, incluez les flow-active-timeout instructions et flow-inactive-timeout au niveau de la [edit forwarding-options monitoring name output] hiérarchie :
L’instruction
flow-active-timeoutspécifie l’intervalle de temps entre les exportations de flux pour les flux actifs. Si l’intervalle entre le moment où le dernier paquet a été reçu et le moment où le flux a été exporté pour la dernière fois dépasse la valeur configurée, le flux est exporté.Ce minuteur est nécessaire pour fournir des mises à jour périodiques lorsqu’un flux a une longue durée. Le paramètre de délai d’expiration actif permet au routeur de conserver l’heure de début du flux en tant que constante et d’envoyer des rapports périodiques sur le flux. Cela permet au collecteur d’enregistrer l’heure de début et de déterminer qu’un flux a survécu pendant une durée plus longue que le délai d’expiration actif configuré.
Note:Dans la surveillance active du flux, les enregistrements cflowd sont exportés après une période de temps multiple de 60 secondes supérieure ou égale à la valeur de délai d’expiration active configurée. Par exemple, si la valeur du délai d’expiration actif est de 90 secondes, les enregistrements cflowd sont exportés à intervalles de 120 secondes. Si le délai d’expiration actif est de 150 secondes, les enregistrements cflowd sont exportés à intervalles de 180 secondes, et ainsi de suite.
L’instruction
flow-inactive-timeoutspécifie l’intervalle d’inactivité d’un flux qui déclenche l’exportation du flux. Si l’intervalle entre l’heure actuelle et l’heure à laquelle le dernier paquet pour ce flux a été reçu dépasse la valeur de délai d’expiration inactif configurée, le flux est autorisé à expirer.Si le flux cesse de transmettre plus longtemps que la valeur de délai d’expiration inactif configurée, le routeur ou le commutateur le purge de la table de flux et exporte l’enregistrement cflowd. En conséquence, le flux est oublié en ce qui concerne le PIC et si le même 5-tuple apparaît à nouveau, il se voit attribuer une nouvelle heure de début et considéré comme un nouveau flux.
Les deux minuteries sont nécessaires. Le paramètre de délai d’expiration actif est nécessaire pour fournir des informations sur les flux qui transmettent constamment des paquets pendant une longue durée. Le paramètre de délai d’expiration inactif permet au routeur ou au commutateur de purger les flux devenus inactifs et susceptibles de gaspiller les ressources de suivi.
Le routeur doit contenir un code PIC Adaptive Services, Multiservices ou Monitoring Services pour que les flow-active-timeout instructions et flow-inactive-timeout prennent effet.
Exemple : configuration de la surveillance des flux
Voici un exemple de propriétés de surveillance de flux configurées pour prendre en charge les interfaces SONET/SDH d’entrée, les interfaces des services de surveillance de sortie et l’exportation vers cflowd pour l’analyse de flux. Pour terminer la configuration, vous devez également configurer les interfaces et configurer une instance VRF (routage et transfert) de réseau privé virtuel (VPN). Pour plus d’informations sur cflowd, consultez Activation de l’agrégation de flux.
[edit forwarding-options]
monitoring group1 {
family inet {
output {
cflowd 192.168.245.2 port 2055;
export-format cflowd-version-5;
flow-active-timeout 60;
flow-inactive-timeout 30;
interface mo-4/0/0.1 {
engine-id 1;
engine-type 1;
input-interface-index 44;
output-interface-index 54;
source-address 192.168.245.1;
}
interface mo-4/1/0.1 {
engine-id 2;
engine-type 1;
input-interface-index 45;
output-interface-index 55;
source-address 192.168.245.1;
}
interface mo-4/2/0.1 {
engine-id 3;
engine-type 1;
input-interface-index 46;
output-interface-index 56;
source-address 192.168.245.1;
}
interface mo-4/3/0.1 {
engine-id 4;
engine-type 1;
input-interface-index 47;
output-interface-index 57;
source-address 192.168.245.1;
}
}
}
}
dump-on-flow-control
flow-control-options ).