Exemple : Configuration de la surveillance de flux sur un routeur MX Series avec MS-MIC et MS-MPC
Cet exemple montre comment configurer Junos Traffic Vision pour la surveillance de flux sur un routeur MX Series avec MS-MIC et MS-MPC, et contient les sections suivantes :
Configuration de la surveillance des flux sur MS-MIC
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
Vous pouvez suivre la même procédure et utiliser la même configuration pour configurer la surveillance des flux sur MS-MPC.
Activation de la carte d’interface de services
set interfaces ms-2/0/0 unit 0 family inet
Configuration du modèle et des minuteurs
set services flow-monitoring version9 template template1 set services flow-monitoring version9 template template1 flow-active-timeout 120 set services flow-monitoring version9 template template1 flow-inactive-timeout 60 set services flow-monitoring version9 template template1 ipv4-template set services flow-monitoring version9 template template1 template-refresh-rate packets 100 set services flow-monitoring version9 template template1 template-refresh-rate seconds 600 set services flow-monitoring version9 template template1 option-refresh-rate packets 100 set services flow-monitoring version9 template template1 option-refresh-rate seconds 600
Configuration des propriétés de l’ensemble de services
set services service-set ss1 jflow-rules sampling set services service-set ss1 sampling-service service-interface ms-2/0/0.0
Configuration des options de transfert et des paramètres du serveur de flux
set forwarding-options sampling input rate 10 set forwarding-options sampling input run-length 18 set forwarding-options sampling family inet output flow-server 10.44.4.3 port 1055 set forwarding-options sampling family inet output flow-server 10.44.4.3 version9 template template1 set forwarding-options sampling family inet output interface ms-2/0/0.0 source-address 203.0.113.1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
L’interface MS doit être configurée avec le type de famille par lequel le collecteur sera accessible. Si le collecteur du trafic d’échantillonnage est accessible via IPv4, vous devez définir l’entrée de famille sous l’interface MS, même si vous n’échantillonnez que du trafic IPv6 et MPLS, par exemple.
Configurez l’interface des services.
[edit interfaces] user@router1# set interfaces ms-2/0/0 unit 0 family inet user@router1# set interfaces ms-2/0/0 unit 1 family inet6 user@router1# set interfaces ms-2/0/0 unit 2 family mpls
Configurez les propriétés du modèle et les minuteurs de stratégie d’exportation.
[edit services] user@router1# set flow-monitoring version9 template template1 user@router1# set flow-monitoring version9 template template1 flow-active-timeout 120 user@router1# set flow-monitoring version9 template template1 flow-inactive-timeout 60 user@router1# set flow-monitoring version9 template template1 ipv4-template user@router1# set flow-monitoring version9 template template1 template-refresh-rate packets 100 user@router1# set flow-monitoring version9 template template1 template-refresh-rate seconds 600 user@router1# set flow-monitoring version9 template template1 option-refresh-rate packets 100 user@router1# set flow-monitoring version9 template template1 option-refresh-rate seconds 600
Tableau 1 : Référence rapide aux instructions de configuration clés à ce niveau hiérarchique Déclaration de configuration
Description
flow-active-timeoutConfigure l’intervalle (en secondes) après lequel un flux actif est exporté.
La plage est comprise entre 10 et 600 secondes et la valeur par défaut est de 60 secondes.
flow-inactive-timeoutConfigure l’intervalle (en secondes) d’inactivité après lequel un flux est marqué comme inactif.
La plage est comprise entre 10 et 600 secondes et la valeur par défaut est de 60 secondes.
ipv4-template | ipv6-template | mpls-template | mpls-ipv4-template
Spécifie le type de trafic pour lequel le modèle est utilisé.
template-refresh-rateSpécifie la fréquence d’actualisation du modèle sous forme de nombre de paquets (la plage est comprise entre 1 et 480 000 et la valeur par défaut est 4800) ou en secondes (la plage est comprise entre 10 et 600 et la valeur par défaut est 600).
Étant donné que la communication entre le générateur de flux et le collecteur de flux est unidirectionnelle, le générateur de flux doit envoyer régulièrement des mises à jour sur les définitions de modèle au collecteur de flux. La valeur configurée pour cette instruction contrôle la fréquence de ces mises à jour.
option-refresh-rateSpécifie le taux d’actualisation de l’option en nombre de paquets (la plage est comprise entre 1 et 480 000 et la valeur par défaut est 4800) ou en secondes (la plage est comprise entre 10 et 600 et la valeur par défaut est 60).
Configurez les propriétés de l’ensemble de services.
[edit services] user@router1# set service-set ss1 jflow-rules sampling user@router1# set service-set ss1 sampling-service service-interface ms-2/0/0.0
Tableau 2 : Référence rapide aux instructions de configuration à ce niveau hiérarchique Déclaration de configuration
Description
samplingConfigure l’ensemble de services pour gérer les activités d’échantillonnage/de surveillance des flux.
service-interfaceSpécifie l’interface de service associée à l’ensemble de services.
L’interface configurée ici doit correspondre à l’interface configurée au niveau .
[edit forwarding-options sampling family inet output]Notez également que l’interface ne doit pas être associée à un autre ensemble de services.Configurez les options de transfert et les propriétés du serveur de flux.
[edit forwarding-options] user@router1# set sampling input rate 10 user@router1# set sampling input run-length 18 user@router1# set sampling family inet output flow-server 10.44.4.3 port 1055 user@router1# set sampling family inet output flow-server 10.44.4.3 version9 template template1 user@router1# set sampling family inet output interface ms-2/0/0.0 source-address 203.0.113.1
Note:Vous pouvez spécifier les paramètres d’échantillonnage soit au niveau global (comme illustré dans cet exemple), soit au niveau FPC en définissant une instance d’échantillonnage. Pour définir une instance d’échantillonnage, incluez l’instruction
instanceau niveau hiérarchique[edit forwarding-options sampling]et l’instructionsampling-instanceau niveau hiérarchique[edit chassis fpc number]afin d’associer l’instance d’échantillonnage à un FPC. Au niveau de la[edit forwarding-options sampling instance instance]hiérarchie, vous devez également inclure lesinputconfigurations etoutputexpliquées à cette étape.Tableau 3 : Référence rapide aux instructions de configuration clés à ce niveau hiérarchique Déclaration de configuration
Description
rateRapport entre le nombre de paquets à échantillonner. Par exemple, si vous spécifiez un débit de 10, un paquet sur dix (1 paquet sur 10) est échantillonné.
La plage est de 1 à 16000000 (16M).
run-lengthNombre d’échantillons suivant l’événement déclencheur initial. Cela vous permet d’échantillonner les paquets après ceux qui ont déjà été échantillonnés.
La plage est comprise entre 0 et 20 et la valeur par défaut est 0.
flow-serverUn système hôte pour collecter les flux échantillonnés au format de la version 9.
source-addressAdresse IPv4 à utiliser comme adresse source du paquet exporté.
Résultat
Dans le mode de configuration, confirmez votre configuration en entrant les show chassis fpc 2commandes , show interfaces, et show forwarding-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@router1# show interfaces
ms-2/0/0 {
unit 0 {
family inet;
}
}
user@router1# show services
flow-monitoring {
version9 {
template template1 {
flow-active-timeout 120;
flow-inactive-timeout 60;
template-refresh-rate {
packets 100;
seconds 600;
}
option-refresh-rate {
packets 100;
seconds 600;
}
ipv4-template;
}
}
}
service-set ss1 {
jflow-rules {
sampling;
}
sampling-service {
service-interface ms-2/0/0.0
}
}
user@router1# show forwarding-options
sampling {
input {
rate 10;
run-length 18;
}
family inet {
output {
flow-server 10.44.4.3 {
port 1055;
version9 {
template {
template1;
}
}
}
interface ms-2/0/0.0 {
source-address 203.0.113.1;
}
}
}
}
Exigences matérielles et logicielles
Cet exemple nécessite un routeur MX Series doté des fonctionnalités suivantes :
Junos OS version 13.2 fonctionnant dessus.
Une carte MS-MIC y est installée.
Prise en charge de Junos Traffic Vision sur MS-MIC et MS-MPC
Junos Traffic Vision (anciennement connu sous le nom de Jflow) est le service de comptabilité disponible sur les MS-MIC et MS-MPC. Junos Traffic Vision permet aux utilisateurs de suivre les paquets reçus sur la carte MS-MIC ou MS-MPC et de générer des enregistrements de flux contenant des informations telles que l’adresse source du paquet, l’adresse de destination du paquet, le nombre de paquets et d’octets, etc. L’implémentation de Junos Traffic Vision n’interrompt pas le trafic, mais établit une copie du paquet entrant et l’envoie à la carte d’interface de service pour analyser les informations et conserver l’enregistrement.
À partir de la version 13.2, les packages du fournisseur d’extension Junos OS sont préinstallés sur un MIC et un MPC MULTISERVICES (MS-MIC et MS-MPC). La adaptive-services configuration au niveau de la [edit chassis fpc number pic number] hiérarchie est préconfigurée sur ces cartes.
Avant de configurer Junos Traffic Vision sur un MS-MIC ou un MS-MPC, vous devez créer un filtre de pare-feu configuré en tant qu’action sample et l’appliquer à l’interface sur laquelle vous souhaitez surveiller le trafic. Dans les implémentations Junos Traffic Vision, le collecteur de flux est un dispositif permettant de collecter les enregistrements de flux. Le collecteur de flux est généralement déployé à l’extérieur du réseau.
Pour plus d’informations sur la configuration des filtres de pare-feu, reportez-vous au Guide de configuration des filtres de pare-feu Junos OS.
Sur MS-MIC et MS-MPC, Junos OS prend en charge Junos Traffic Vision version 9 (v9). Junos Traffic Vision v9 prend en charge l’échantillonnage du trafic IPv4, IPv6 et MPLS. Une carte d’interface de services est essentielle pour l’implémentation v9, c’est pourquoi cette méthode est souvent connue sous le nom de surveillance basée sur PIC.
Vous pouvez configurer la durée maximale pendant laquelle les enregistrements de flux sont stockés sur la carte d’interface de services. Les valeurs de délai d’expiration active et inactive, configurées lors de la définition du modèle, contrôlent l’exportation des enregistrements de flux vers le collecteur. Une MS-MIC peut stocker un maximum de 14 millions d’enregistrements de flux, tandis qu’une MS-MPC peut stocker jusqu’à 30 millions de flux par NPU.
Dans les configurations Junos Traffic Vision à l’aide du package du fournisseur d’extension Junos OS, la modification des instructions suivantes après le lancement de la surveillance des flux entraîne l’expiration de tous les flux existants :
Aux niveaux hiérarchique
[edit forwarding-options sampling instance instance-name family (inet |inet6 |mpls) output]et[edit forwarding-options sampling family (inet |inet6 |mpls) output]:flow-server ip-addressflow-server port port-numberflow-server template template
Aux niveaux hiérarchique
[edit services flow-monitoring version9 template template-name mpls-ipv4-template]et[edit services flow-monitoring version9 template template-name mpls-template]:label-position
Étant donné que ces modifications peuvent perturber la surveillance de flux en cours, nous vous recommandons de ne pas modifier ces valeurs une fois que la surveillance de flux a été lancée sur un appareil. Les modifications apportées à ces instructions de configuration lors de la surveillance des flux s’appliquent uniquement aux flux nouvellement créés.
Notez également que ces modifications n’interrompent pas la surveillance des flux sur les périphériques exécutant la configuration Jflow à l’aide du package de services de couche 2 de Junos OS. Toutefois, même dans le cas d’une configuration basée sur des packages de services de couche 2, les modifications sont appliquées uniquement aux flux nouvellement créés. Les flux existants continuent d’utiliser les paramètres initiaux.
Lorsque Junos Traffic Vision est configuré sur les MS-MIC et MS-MPC, l’adresse de saut suivant et les interfaces sortantes s’affichent de manière incorrecte dans les enregistrements de flux IPv4 et IPv6 lorsque la destination du flux échantillonné est accessible via plusieurs chemins.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration de Junos Traffic Vision
- Affichage des détails du flux
- Affichage des détails des erreurs survenues sur l’interface des services
Vérification de la configuration de Junos Traffic Vision
But
Vérifiez que Junos Traffic Vision est activé sur le routeur.
Action
À partir du mode opérationnel, entrez la show services accounting status commande.
user@router1> show services accounting status Service Accounting interface: ms-2/0/0 Export format: 9, Route record count: 2093 IFL to SNMP index count: 35, AS count: 2 Configuration set: Yes, Route record set: Yes, IFL SNMP map set: Yes
Signification
Affiche l’interface de service sur laquelle la surveillance est configurée, et fournit également des informations sur le format d’exportation utilisé (version 9 dans ce cas).
Affichage des détails du flux
But
Affichez les détails du flux sur l’interface configurée pour la surveillance du flux.
Action
À partir du mode opérationnel, entrez la show services accounting flow commande.
user@router1> show services accounting flow
Flow information
Service Accounting interface: ms-2/0/0, Local interface index: 229
Flow packets: 220693, Flow bytes: 24276230
Flow packets 10-second rate: 99, Flow bytes 10-second rate: 10998
Active flows: 10, Total flows: 12
Flows exported: 199, Flows packets exported: 718
Flows inactive timed out: 2, Flows active timed out: 199
Affichage des détails des erreurs survenues sur l’interface des services
But
Affichez les détails des erreurs, le cas échéant, sur l’interface configurée pour la surveillance des flux.
Action
À partir du mode opérationnel, entrez la show services accounting errors commande.
user@router1> show services accounting errors
Error information
Service Accounting interface: ms-2/0/0
Service sets dropped: 0, Active timeout failures: 0
Export packet failures: 0, Flow creation failures: 0
Memory overload: No