Configuration de l’échantillonnage du trafic sur les routeurs MX, M et T Series
L’échantillonnage du trafic vous permet de copier le trafic sur une carte d’interface physique (PIC) qui effectue la comptabilisation des flux pendant que le routeur transfère le paquet vers sa destination d’origine. Vous pouvez configurer le routeur pour qu’il effectue l’échantillonnage dans l’un des trois emplacements suivants :
-
Sur le moteur de routage, à l’aide du processus échantillonné. Pour sélectionner cette méthode, utilisez un filtre (entrée ou sortie) avec un terme correspondant qui contient l’instruction
then sample. -
sur les services de surveillance, les services adaptatifs ou le pic multiservices.
-
Sur un chemin de données en ligne sans avoir besoin d’un concentracteur de port dense (DPC) de services. Pour effectuer cet échantillonnage actif en ligne, vous devez définir une instance d’échantillonnage avec des propriétés spécifiques. Un concentrateur PIC flexible (FPC) ne peut prendre en charge qu’une seule instance ; pour chaque instance, l’échantillonnage basé sur PIC des services ou l’échantillonnage en ligne est pris en charge par famille. L’échantillonnage en ligne prend en charge la version 9 et les modèles de collecte de flux IPFIX.
L’échantillonnage basé sur le moteur de routage n’est pas pris en charge sur les instances VRF (VPN routing and forwarding).
Configuration du filtre de pare-feu pour l’échantillonnage du trafic
Pour configurer le filtre de pare-feu pour l’échantillonnage du trafic, vous devez effectuer les tâches suivantes :
-
Créez un filtre de pare-feu à appliquer aux interfaces logiques échantillonnées en incluant l’instruction
filterau niveau de la[edit firewall family family-name]hiérarchie. Dans l’instruction filterthen, vous devez spécifier le modificateursampled’action et l’actionaccept.filter filter-name { term term-name { then { sample; accept; } } }
Pour plus d’informations sur les actions des filtres de pare-feu et les modificateurs d’action, reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
-
Appliquez le filtre aux interfaces sur lesquelles vous souhaitez échantillonner le trafic en incluant les
addressinstructions andfilterau niveau de la[edit interfaces interface-name unit logical-unit-number family family-name]hiérarchie :address address { } filter { input filter-name; }
Les conditions préalables suivantes s’appliquent aux routeurs M, MX et T Series lorsque vous configurez l’échantillonnage du trafic sur les interfaces et dans les filtres de pare-feu :
-
Si vous configurez un exemple d’action dans un filtre de pare-feu pour une famille inet ou inet6 sur une interface sans configurer les paramètres des options de transfert, des problèmes opérationnels peuvent survenir si vous configurez également les fonctionnalités de mise en miroir des ports ou de robinet de flux. Dans un tel scénario, tous les paquets qui correspondent au filtre de pare-feu sont envoyés par erreur au PIC de service.
-
Si vous incluez l’instruction
then sampleau niveau hiérarchique[edit firewall family inet filter filter-name term term-name]pour spécifier un exemple d’action dans un filtre de pare-feu pour les paquets IPv4, vous devez également inclure l’instructionfamily inetau niveau hiérarchique[edit forwarding-options sampling]ou l’instructioninstance instance-name family inetau niveau hiérarchique[edit forwarding-options sampling]. De même, si vous incluez l’instruction thensampleau niveau de la[edit firewall family inet6 filter filter-name term term-name]hiérarchie pour spécifier un exemple d’action dans un filtre de pare-feu pour les paquets IPv6, vous devez également inclurefamily inet6l’instruction au niveau hiérarchique[edit forwarding-options sampling]ou l’instructioninstance instance-name family inet6au niveau hiérarchique[edit forwarding-options sampling]. Dans le cas contraire, une erreur de validation se produit lorsque vous tentez de valider la configuration. -
En outre, si vous configurez l’échantillonnage du trafic sur une interface logique en incluant les instructions d’entrée ou de sortie d’échantillonnage au niveau hiérarchique
[edit interface interface-name unit logical-unit-number], vous devez également inclure l’instructionfamily inet | inet6au niveau hiérarchique[edit forwarding-options sampling]ou l’instructioninstance instance-name family inet | inet6au niveau hiérarchique[edit forwarding-options sampling].
Configuration de l’échantillonnage du trafic sur une interface logique
Pour configurer l’échantillonnage du trafic sur n’importe quelle interface logique, activez l’échantillonnage et spécifiez un taux d’échantillonnage différent de zéro en incluant l’instruction d’échantillonnage au niveau de la [edit forwarding-options] hiérarchie :
sampling {
input {
rate
number;
run-length
number;
max-packets-per-second
number;
maximum-packet-length
bytes;
}
Lorsque vous utilisez l’échantillonnage basé sur le moteur de routage, spécifiez la valeur seuil du trafic en incluant l’instruction max-packets-per-second . La valeur correspond au nombre maximal de paquets à échantillonner, au-delà duquel le mécanisme d’échantillonnage commence à abandonner les paquets. La plage est comprise entre 0 et 65 535. La valeur 0 indique au moteur de transfert de paquets de ne pas échantillonner de paquets. La valeur par défaut est 1000.
Lorsque vous configurez la surveillance active et spécifiez un PIC Monitoring Services, Adaptive Services ou Multiservices dans l’instruction output , ou lorsque vous configurez l’échantillonnage en ligne, la max-packets-per-second valeur est ignorée.
Spécifiez la fréquence d’échantillonnage en définissant les valeurs de rate et run-length ( voir Figure 1).
d’échantillonnage
Ne configurez pas l’échantillonnage entrant sur ms- les interfaces logiques sur lesquelles la surveillance de flux basée sur PIC est activée, ce qui entraîne un comportement indésirable de surveillance des flux et peut entraîner l’échantillonnage répété d’un seul paquet. À partir de la version 15.1 de Junos OS, une erreur de validation se produit lorsque vous essayez de configurer l’échantillonnage du trafic entrant sur cette interface. Dans Junos OS version 14.2 et antérieure, l’erreur de validation ne se produit pas, mais vous ne devez pas configurer l’échantillonnage du trafic entrant sur cette interface.
Si la surveillance de flux basée sur PIC est activée sur une interface ms-fpc/pic/port.logical-unit , une erreur de vérification de validation se produit lorsque vous tentez de configurer l’échantillonnage du trafic entrant sur cette interface. Cette erreur se produit parce qu’une combinaison d’opérations d’échantillonnage d’entrée et de surveillance de flux PIC sur une interface logique entraîne un ms- comportement indésirable de surveillance de flux et peut entraîner l’échantillonnage répété d’un seul paquet. Vous ne devez pas configurer l’échantillonnage entrant sur ms- les interfaces logiques sur lesquelles la surveillance de flux basée sur PIC est activée.
L’instruction rate spécifie le ratio de paquets à échantillonner. Par exemple, si vous configurez un débit de 10, x le nombre de paquets sur 10 est échantillonné, où x= longueur d’exécution + 1. Par défaut, le taux est égal à 0, ce qui signifie qu’aucun trafic n’est échantillonné.
L’instruction run-length spécifie le nombre de paquets correspondants à échantillonner à la suite de l’événement déclencheur initial d’un paquet. Par défaut, la durée d’exécution est 0, ce qui signifie qu’aucun trafic supplémentaire n’est échantillonné après l’événement déclencheur. La plage est comprise entre 0 et 20. La configuration d’une longueur d’exécution supérieure à 0 vous permet d’échantillonner les paquets en suivant ceux qui ont déjà été échantillonnés.
Les run-length instructions de configuration et maximum-packet-length ne sont pas prises en charge sur les routeurs MX80.
Si vous n’incluez pas l’énoncé, l’échantillonnage input est désactivé.
Pour collecter les paquets échantillonnés dans un fichier, incluez l’instruction file au niveau de la [edit forwarding-options sampling output] hiérarchie. Les formats de fichiers de sortie sont abordés plus loin dans le chapitre.
Désactivation de l’échantillonnage du trafic
Pour désactiver explicitement l’échantillonnage du trafic sur le routeur, incluez l’instruction suivante disable au niveau de la [edit forwarding-options sampling] hiérarchie :
disable;
Echantillonnage une fois
Pour échantillonner explicitement un paquet en vue d’une surveillance active une seule fois, incluez l’instruction suivante sample-once au niveau de la [edit forwarding-options sampling] hiérarchie :
sample-once;
La définition de cette option évite la duplication des paquets dans les cas où l’échantillonnage est activé à la fois aux interfaces d’entrée et de sortie et simplifie l’analyse du trafic échantillonné.
Préservation de la valeur ToS de pré-réécriture pour les paquets sortants échantillonnés ou mis en miroir
À partir de Junos OS version 14.1, vous pouvez conserver la valeur de type de service (ToS) prénormalisée dans les paquets sortants échantillonnés ou mis en miroir. Incluez l’instruction pre-rewrite-tos au niveau de la [edit forwarding-options sampling] hiérarchie.
Sur les interfaces MPC, vous pouvez configurer la réécriture ToS soit à l’aide d’une configuration de classe de service (CoS) en incluant l’instruction rewrite-rules dscp rule_name au niveau de la [edit class-of-service interfaces interface-name unit logical-unit-number] hiérarchie, soit à l’aide de la configuration du filtre de pare-feu en incluant l’instruction dscp au niveau de la [edit firewall family family-name filter filter-name term term-name then] hiérarchie. Si la réécriture ToS est configurée, les copies mises en miroir ou échantillonnées de sortie contiennent les valeurs ToS post-réécriture par défaut. Grâce à la pre-rewrite-tos configuration, vous pouvez conserver la valeur ToS de pré-réécriture dans les paquets échantillonnés ou mis en miroir.
-
Si la réécriture ToS est configurée sur l’interface de sortie à l’aide de la configuration CoS et de la configuration du filtre de pare-feu, et si l’instruction
pre-rewrite-tosest également configurée, les paquets échantillonnés de sortie contiennent la valeur DSCP définie à l’aide de la configuration du filtre de pare-feu. Toutefois, si l’instruction n’estpre-rewrite-tospas configurée, les paquets échantillonnés de sortie contiennent la valeur DSCP définie par la configuration CoS. -
Avec l’instruction, vous pouvez configurer la
pre-rewrite-tosconservation des valeurs ToS de prénormalisation uniquement pour l’échantillonnage effectué sousfamily inetetfamily inet6. -
Cette fonctionnalité ne peut pas être configurée au niveau de la
[edit logical-systems]hiérarchie. Il ne peut être configuré qu’au niveau global sous laforwarding-optionconfiguration. -
Lorsque la réécriture ToS est configurée à l’aide d’un filtre de pare-feu sur les interfaces d’entrée et de sortie, les paquets échantillonnés de sortie contiennent la valeur DSCP définie par la configuration de réécriture ToS entrante si l’instruction
pre-rewrite-tosest configurée. Toutefois, si l’instruction n’estpre-rewrite-tospas configurée, les paquets échantillonnés de sortie contiennent la valeur DSCP définie par la configuration de réécriture ToS pour le filtre de pare-feu de sortie. -
Si l’instruction
pre-rewrite-tosest configurée et qu’une opération de désactivation ou de suppression est effectuée au niveau de la hiérarchie,pre-rewrite-tosla[edit forwarding-options]configuration reste active. Pour désactiver lapre-rewrite-tosconfiguration dans un tel cas, vous devez désactiver ou supprimer explicitement l’instructionpre-rewrite-tosau niveau de la[edit forwarding-options sampling]hiérarchie avant d’effectuer une opération de désactivation ou de suppression au niveau de la[edit forwarding-options]hiérarchie.
Configuration de la sortie d’échantillonnage du trafic
Pour configurer la sortie d’échantillonnage du trafic, incluez les instructions suivantes au niveau de la [edit forwarding-options sampling family (inet | inet6 | mpls) output] hiérarchie :
aggregate-export-interval
seconds;
flow-active-timeout
seconds;
flow-inactive-timeout
seconds;
extension-service
service-name;
flow-server
hostname {
aggregation {
autonomous-system;
destination-prefix;
protocol-port;
source-destination-prefix {
caida-compliant;
}
source-prefix;
}
autonomous-system-type (origin | peer);
(local-dump | no-local-dump);
port
port-number;
source-address address;
version
format;
version9 {
template template-name;
}
}
interface
interface-name {
engine-id
number;
engine-type
number;
source-address
address;
}
file {
disable;
filename
filename;
files
number;
size
bytes;
(stamp | no-stamp);
(world-readable | no-world-readable);
}
Pour configurer la surveillance de flux en ligne sur les routeurs MX Series, incluez l’instruction inline-jflow au niveau de la [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] hiérarchie. L’échantillonnage en ligne prend exclusivement en charge un nouveau format appelé IP_FIX qui utilise UDP comme protocole de transport. Lorsque vous configurez l’échantillonnage en ligne, vous devez inclure l’instruction version-ipfix au niveau hiérarchique [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] , ainsi qu’au niveau hiérarchique [edit services flow-monitoring] . Pour plus d’informations sur la configuration de la surveillance de flux en ligne, consultez Configuration de la surveillance active des flux en ligne à l’aide de routeurs, de commutateurs ou de NFX250.
Pour diriger le trafic échantillonné vers une interface de surveillance de flux, incluez l’instruction interface . Les engine-id instructions et engine-type spécifient les numéros d’identité et de type de l’interface ; elles sont générées dynamiquement en fonction des numéros FPC (Flexible PIC Concentrator), PIC, slot et du type de châssis. L’instruction source-address spécifie la source du trafic.
À partir de Junos OS version 19.3R1, pour configurer la surveillance de flux en ligne sur Juniper Advanced Threat Prevention Cloud (ATP Cloud), incluez l’instruction flow-server au niveau de la [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] hiérarchie. L’échantillonnage en ligne prend exclusivement en charge un nouveau format appelé IP_FIX qui utilise UDP comme protocole de transport. Lorsque vous configurez l’échantillonnage en ligne, vous devez inclure l’instruction version-ipfix au niveau hiérarchique [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] , ainsi qu’au niveau hiérarchique [edit services flow-monitoring] .
Pour configurer la sortie de la version 9 de l’échantillonnage de flux, vous devez inclure l’instruction template au niveau de la [edit forwarding-options sampling output version9] hiérarchie. Pour plus d’informations sur cflowd, consultez Activation de l’agrégation de flux.
L’instruction aggregate-export-interval est décrite dans Configuration de la comptabilisation des rejets, et les instructions flow-active-timeout et flow-inactive-timeout sont décrites dans Configuration de la surveillance des flux.
Les résultats de l’échantillonnage du trafic sont automatiquement enregistrés dans un fichier du répertoire /var/tmp . Pour collecter les paquets échantillonnés dans un fichier, incluez l’instruction au file niveau de la [edit forwarding-options sampling family inet output] hiérarchie :
file {
disable;
filename
filename;
files
number;
size
bytes;
(stamp | no-stamp);
(world-readable | no-world-readable);
}
Format de sortie de l’échantillonnage du trafic
La sortie de l’échantillonnage du trafic est enregistrée dans un fichier texte ASCII. Voici un exemple de sortie d’échantillonnage du trafic qui est enregistrée dans un fichier du répertoire /var/tmp . Chaque ligne du fichier de sortie contient des informations pour un paquet échantillonné. Vous pouvez éventuellement afficher un horodatage pour chaque ligne.
Les en-têtes de colonne sont répétés après chaque groupe de 1000 paquets.
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:57 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:58 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Pour définir l’option d’horodatage du fichier my-sample, saisissez ce qui suit :
[edit forwarding-options sampling output file]
user@host# set filename my-sample files 5 size 2m world-readable stamp;
Chaque fois que vous activez l’option d’horodatage, un nouvel en-tête est inclus dans le fichier. Si vous définissez l’option stamp , le champ s’affiche Time .
# Apr 7 15:48:50 # Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags # Feb 1 20:31:21 # Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags
Traçage des opérations d’échantillonnage du trafic
Opérations de traçage Suivez toutes les opérations d’échantillonnage du trafic et enregistrez-les dans un fichier journal dans le répertoire /var/log . Par défaut, ce fichier est nommé /var/log/sampled. La taille de fichier par défaut est de 128 Ko et 10 fichiers sont créés avant que le premier ne soit écrasé.
Pour tracer les opérations d’échantillonnage du trafic, incluez l’instruction suivante traceoptions au niveau de la [edit forwarding-options sampling] hiérarchie :
traceoptions {
no-remote-trace;
file
filename <files number> <size bytes> <match expression> <world-readable | no-world-readable>;
}
Exemples d’échantillonnage du trafic
- Exemple : Echantillonnage d’une seule interface SONET/SDH
- Exemple : échantillonnage de tout le trafic à partir d’une seule adresse IP
- Exemple : échantillonnage de l’ensemble du trafic FTP
Exemple : Echantillonnage d’une seule interface SONET/SDH
La configuration suivante recueille des informations statistiques d’échantillonnage à partir d’un faible pourcentage de l’ensemble du trafic sur une seule interface SONET/SDH et les collecte dans un fichier nommé sonet-samples.txt.
Créez le filtre :
[edit firewall family inet]
filter {
input sample-sonet {
then {
sample;
accept;
}
}
}
Appliquez le filtre à l’interface SONET/SDH :
[edit interfaces]
so-0/0/1 {
unit 0 {
family inet {
filter {
input sample-sonet;
}
address 10.127.68.254/32 {
destination 172.16.74.7;
}
}
}
}
Enfin, configurez l’échantillonnage du trafic :
[edit forwarding-options]
sampling {
input {
family inet {
rate 100;
run-length 2;
}
}
family inet {
output {
file {
filename sonet-samples.txt;
files 40;
size 5m;
}
}
}
}
Exemple : échantillonnage de tout le trafic à partir d’une seule adresse IP
La configuration suivante recueille des informations statistiques sur chaque paquet entrant dans le routeur sur un port Gigabit Ethernet spécifique provenant d’une adresse IP source unique de 172.16.92.31, et les collecte dans un fichier nommé samples-172-16-92-31.txt.
Créez le filtre :
[edit firewall family inet]
filter one-ip {
term get-ip {
from {
source-address 172.16.92.31;
}
then {
sample;
accept;
}
}
}
Appliquez le filtre à l’interface Gigabit Ethernet :
[edit interfaces]
ge-4/1/1 {
unit 0 {
family inet {
filter {
input one-ip;
}
address 10.45.92.254;
}
}
}
Enfin, recueillir des statistiques sur tous les échantillons candidats ; Dans ce cas, rassemblez toutes les statistiques :
[edit forwarding-options]
sampling {
input {
family inet {
rate 1;
}
}
family inet {
output {
file {
filename samples-172-16-92-31.txt;
files 100;
size 100k;
}
}
}
}
Exemple : échantillonnage de l’ensemble du trafic FTP
La configuration suivante recueille des informations statistiques sur un pourcentage modéré de paquets à l’aide du protocole de transfert de données FTP dans le chemin de sortie d’une interface T3 spécifique, et collecte les informations dans un fichier nommé t3-ftp-traffic.txt.
Créez un filtre :
[edit firewall family inet]
filter ftp-stats {
term ftp-usage {
from {
destination-port [ftp ftp-data];
}
then {
sample;
accept;
}
}
}
Appliquez le filtre à l’interface T3 :
[edit interfaces]
t3-7/0/2 {
unit 0 {
family inet {
filter {
input ftp-stats;
}
address 10.35.78.254/32 {
destination 10.35.78.4;
}
}
}
}
Enfin, recueillez des statistiques sur 10 % des échantillons candidats :
[edit forwarding-options]
sampling {
input {
family inet {
rate 10;
}
}
family inet {
output {
file {
filename t3-ftp-traffic.txt;
files 50;
size 1m;
}
}
}
}
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
pre-rewrite-tos au niveau de la
[edit forwarding-options sampling] hiérarchie.