Configuration de la surveillance active des flux en ligne pour utiliser des modèles de flux IPFIX sur les routeurs MX, vMX et T Series, les commutateurs EX Series, les équipements NFX Series et les pare-feu SRX Series
L’utilisation d’IPFIX permet de définir un modèle d’enregistrement de flux adapté au trafic IPv4 ou IPv6. Les modèles sont transmis au collecteur périodiquement et le collecteur n’affecte pas la configuration du routeur. Vous pouvez définir le taux de rafraîchissement du modèle, le délai d’expiration du flux actif et le délai d’expiration inactif.
Si des enregistrements de flux sont envoyés pour plusieurs familles de protocoles (par exemple, pour IPv4 et IPv6), chaque flux de famille de protocoles a un ID de domaine d’observation unique. Les sections suivantes contiennent des informations supplémentaires :
À partir de la version 17.3R1 de Junos OS, les modèles de flux IPFIX sont pris en charge sur les commutateurs QFX10002.
À partir de la version 17.4R1 de Junos OS, les modèles de flux IPFIX sont pris en charge sur les commutateurs QFX10008 et QFX10016.
À partir de la version 19.4R1 de Junos OS, les modèles de flux IPFIX sont pris en charge sur les appareils SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, le pare-feu virtuel vSRX et vSRX3.0.
À partir de Junos OS version 20.1R1, les modèles de flux IPFIX sont pris en charge sur les appareils SRX300, SRX320, SRX340, SRX345 et SRX550HM.
À partir de la version 20.4R1 de Junos OS, les modèles de flux IPFIX sont pris en charge sur les équipements NFX150, NFX250 NextGen et NFX350.
(Pare-feu SRX uniquement) La surveillance active des flux en ligne agit sur un flux par rapport à la session. Lorsque les services de déchargement (SOF), PMI ou les deux sont activés pour une session donnée, la surveillance active des flux en ligne n’est pas prise en charge pour cette session. Si une session est gérée par PMI ou SOF, la surveillance de flux actif en ligne est désactivée pour ce flux.
Configuration des propriétés du modèle IPFIX
Pour définir les modèles IPFIX, incluez les instructions suivantes au niveau de la [edit services flow-monitoring version-ipfix] hiérarchie :
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Les détails suivants s’appliquent aux instructions de configuration :
-
Vous attribuez un nom unique à chaque modèle en incluant l’instruction
template template-name. -
Vous spécifiez ensuite chaque modèle pour le type de trafic approprié en incluant le ou
ipv6-template.ipv4-template -
Dans la définition du modèle, vous pouvez éventuellement inclure des valeurs pour les
flow-active-timeoutinstructions andflow-inactive-timeout. Ces instructions ont des valeurs par défaut et de plage spécifiques lorsqu’elles sont utilisées dans des définitions de modèle ; La valeur par défaut est de 60 secondes et la plage est de 10 à 600 secondes. -
Vous pouvez également inclure des paramètres pour les
option-refresh-rateinstructions ettemplate-refresh-ratedans une définition de modèle. Pour ces deux propriétés, vous pouvez inclure une valeur de minuteur (en secondes) ou un nombre de paquets (en nombre de paquets). Pour l’optionseconds, la valeur par défaut est 600 et la plage est comprise entre 10 et 600. Pour l’optionpackets, la valeur par défaut est 4800 et la plage est comprise entre 1 et 480 000. -
Pour filtrer le trafic IPv6 sur une interface multimédia, la configuration suivante est prise en charge :
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Restrictions
Les restrictions suivantes s’appliquent aux modèles IPFIX :
-
Le trafic du moteur de routage sortant n’est pas échantillonné. Un filtre de pare-feu est appliqué en sortie sur l’interface de sortie, qui échantillonne les paquets et exporte les données. Pour le trafic de transit, l’échantillonnage sortant fonctionne correctement. Pour le trafic interne, le saut suivant est installé dans le moteur de transfert de paquets, mais les paquets échantillonnés ne sont pas exportés.
-
Les flux sont créés uniquement une fois l’opération de resynchronisation des enregistrements d’itinéraire terminée, qui prend 120 secondes.
-
Le champ ID de VLAN est mis à jour lorsqu’un nouvel enregistrement de flux est créé et, par conséquent, toute modification de l’ID de VLAN après la création de l’enregistrement peut ne pas être mise à jour dans l’enregistrement.
Personnalisation de l’ID de modèle, de l’ID du domaine d’observation et de l’ID source pour les modèles de flux IPFIX
À partir de la version 14.1 de Junos OS, vous pouvez définir un modèle d’enregistrement de flux IPFIX adapté au trafic IPv4, IPv6, MPLS, une combinaison de trafic IPv4 et MPLS, ou au trafic de facturation AS pair. Les modèles et les champs inclus dans le modèle sont transmis au collecteur périodiquement, et le collecteur n’a pas besoin d’être au courant de la configuration du routeur. Vous pouvez spécifier l’identifiant unique pour les modèles version 9 et IPFIX. L’identifiant d’un modèle est unique localement dans une combinaison d’une session de transport et d’un domaine d’observation. Les ID de modèle 0 à 255 sont réservés aux jeux de modèles, aux ensembles de modèles d’options et à d’autres ensembles pour une utilisation future. Les ID de modèles d’ensembles de données sont numérotés de 256 à 65535. En règle générale, cet élément d’information ou ce champ du modèle est utilisé pour définir les caractéristiques ou les propriétés d’autres éléments d’information dans un modèle. Une fois le processus d’exportation des modèles redémarré, vous pouvez réaffecter les ID de modèle.
Cette fonctionnalité permettant de configurer l’ID de modèle, l’ID de modèle d’options, l’ID de domaine d’observation et l’ID source est prise en charge sur tous les routeurs dotés de MPC.
Les ensembles de données et les ensembles de données d’options correspondants contiennent respectivement la valeur des ID de modèle et des ID de modèle d’options dans le champ ID d’ensemble. Cette méthode permet au collecteur de faire correspondre un enregistrement de données avec un enregistrement modèle.
Pour plus d’informations sur la spécification de l’ID source, de l’ID de domaine d’observation, de l’ID de modèle et de l’ID de modèle d’options pour la version 9 et les flux IPFIX, consultez Configuration de l’ID de domaine d’observation et de l’ID source pour les flux version 9 et IPFIX et Configuration de l’ID de modèle et des options ID de modèle pour la version 9 et les flux IPFIX.
Modèles IPFIX
Pour plus d’informations sur les définitions des champs inclus dans les modèles IPFIX IPv4 et IPv6, voir Modèles IPFIX et version 9.
Vérification
Les commandes show suivantes sont prises en charge pour IPFIX :
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Exemple : configuration de modèles de flux IPFIX et de l’échantillonnage de flux
L’exemple suivant illustre une configuration de modèle IPFIX :
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
L’exemple suivant applique le modèle IPFIX pour permettre l’échantillonnage du trafic pour la facturation :
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Exemple : Configuration des modèles de flux et de l’échantillonnage de flux de la surveillance active des flux en ligne version 9
L’exemple suivant illustre la configuration en ligne d’un modèle IPv4 de surveillance active des flux version 9 :
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
L’exemple suivant illustre la configuration en ligne d’un modèle IPv6 de surveillance active des flux version 9 :
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
L’exemple suivant illustre la configuration d’échantillonnage du trafic IPv4 et de l’exportation de la surveillance active des flux en ligne version 9 :
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
L’exemple suivant illustre la configuration d’échantillonnage du trafic IPv6 et de l’exportation de la surveillance active des flux en ligne version 9 :
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
L’exemple suivant illustre la liaison d’interface d’échantillonnage en ligne d’Active Flow Monitoring version 9 (à l’aide de l’interface) :
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
L’exemple suivant illustre la liaison d’interface d’échantillonnage Active Flow Monitoring version 9 en ligne avec un filtre de pare-feu (à l’aide de filtres) :
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Exemple : configuration de modèles de flux IPFIX et de l’échantillonnage de flux
L’exemple suivant illustre la configuration d’un modèle IPv4 IPFIX :
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
L’exemple suivant illustre la configuration d’un modèle IPv6 IPFIX :
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
L’exemple suivant illustre la configuration d’échantillonnage du trafic et d’exportation IPFIX IPv4 :
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
L’exemple suivant illustre la configuration d’échantillonnage du trafic et d’exportation IPFIX IPv6 :
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.