SUR CETTE PAGE

Présentation de FBT
Configurer FBT (EX4100, EX4100-F et EX4400 Series)

Télémétrie basée sur les flux (EX4100, EX4100-F et EX4400 Series)

La télémétrie basée sur les flux (FBT) permet d’effectuer des analyses au niveau du flux, en utilisant des services de surveillance en ligne pour créer des flux, les collecter et les exporter vers un collecteur à l’aide du modèle IPFIX standard ouvert pour organiser le flux.

Présentation de FBT

Vous pouvez configurer le télémétrie basé sur les flux (FBT) pour les commutateurs EX4100, EX4100-F et EX4400 Series. FBT permet d’effectuer des analyses par niveau de flux en utilisant des services de surveillance en ligne pour créer des flux, les collecter et les exporter vers un collecteur. Grâce aux services de surveillance en ligne, vous pouvez surveiller chaque paquet IPv4 et IPv6 dans le sens d’entrée et de sortie d’une interface. Un flux est une séquence de paquets qui ont la même adresse IP source, adresse IP de destination, même port source, même port de destination et même protocole sur une interface. Pour chaque flux, le logiciel collecte divers paramètres et exporte le paquet réel jusqu’à la longueur de clip configurée vers un collecteur à l’aide du modèle IPFIX standard ouvert pour organiser le flux. Lorsqu’il n’y a pas de trafic actif pour un flux, le flux est vieilli après la période de délai d’inactivité configurée (configurez l’instruction flow-inactive-timeout au niveau de la hiérarchie [edit services inline monitoring template-nametemplate)]). Le logiciel exporte périodiquement un paquet IPFIX à l’intervalle de temporisation d’exportation de flux configuré. L’identificateur de domaine d’observation est utilisé dans le paquet IPFIX pour identifier la carte de ligne qui a envoyé le paquet au collecteur. Une fois défini, le logiciel obtient un identifiant unique pour chaque carte de ligne en fonction de la valeur système définie ici.

Avantages du FBT
Présentation de l’exportation de flux FBT
Limitations et mises en garde
Licences
Vecteurs de dépôt (EX4100 et EX4100-F uniquement)

Avantages du FBT

Avec FBT, vous pouvez :

Compter les plages de paquets, de fenêtres TTL et TCP
Suivez et comptez les attaques par déni de service (DoS)
Analysez la répartition de la charge des groupes ECMP/groupes d’agrégation de liens (LAG) sur les ID des membres (EX4100 et EX4100-F uniquement)
Suivre la congestion du trafic (EX4100 et EX4100-F uniquement)
Collecte d’informations sur les flux multimédia (EX4100 et EX4100-F uniquement)
Recueillir des informations sur les raisons de la perte de paquets (EX4100 et EX4100-F uniquement)

Présentation de l’exportation de flux FBT

Consultez la figure 1 pour obtenir un exemple de modèle qui montre les ID, les noms et les tailles des éléments d’information :

Figure 1 : Exemple de modèle Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

d’élément d’information FBT

La figure 2 montre le format d’un exemple de modèle de données IPFIX pour FBT :

Figure 2 : Exemple de modèle Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

de données IPFIX FBT

La figure 3 montre le format d’un exemple de flux IPFIX exporté pour FBT :

Figure 3 : Exemple de flux IPFIX exporté pour FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Tableau 1 : Mappage des éléments
Description	de l’ID d’élément d’entreprise de l’élément
TIMESTAMP_FLOWSTART_VAL	1	Indique l’horodatage auquel la collecte de flux TCP a été lancée.
TIMESTAMP_FLOWEND_VAL	2	Indique l’horodatage auquel la collecte de flux TCP a été terminée.
TIMESTAMP_NEW_LEARN_VAL	3	Horodatage lorsqu’un nouveau flux est appris dans la table de flux.
PKT_RANGE_CNTR1_VAL	4	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR2_VAL	5	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR3_VAL	6	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR4_VAL	7	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR5_VAL	8	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR6_VAL	9	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR7_VAL	10	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
PKT_RANGE_CNTR8_VAL	11	Fournit le nombre de paquets dans différentes catégories de taille. L’utilisateur peut opter pour 4 catégories ou 6 catégories sous le modèle. Le système classe les paquets en différentes tailles en fonction et compte. (fonction de contre-profil)
MIN_PKT_LENGTH_VAL	12	Fournit le nombre de paquets dont la taille est supérieure à la taille définie. La plage de taille configurable est comprise entre 64 et 9000 octets.
MAX_PKT_LENGTH_VAL	13	Fournit le nombre de paquets dont la taille est inférieure à la taille définie. La plage de taille configurable est comprise entre 64 et 9000 octets.
TCP_WINDOW_RANGE_CNTR_VAL	15	Compte les paquets dans la plage de fenêtre TCP spécifiée.
DOS_ATTACK_ID_VAL	16	Signale le vecteur d’attaque DDoS.
TTL_RANGE1_CNTR_VAL	17	Fournit le nombre de paquets dans une plage de valeurs TTL spécifique.
TTL_RANGE2_CNTR_VAL	18	Fournit le nombre de paquets dans une plage de valeurs TTL spécifique.
DOS_ATTACK_PKT_CNTR_VAL	19	Nombre de paquets d’attaque DDoS.
CUSTOM_PKT_RANGE_START_VAL	20	Fournit le nombre de paquets dans la plage de taille configurée. Vous pouvez définir la plage de tailles entre 64 et 9000 octets en configurant l’instruction `counter-profile` au niveau de la `[edit services inline-monitoring]` hiérarchie. Par exemple : `set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500`.
CUSTOM_TTL_RANGE_START_VAL	30	Fournit le nombre de paquets dans la plage TTL configurée. Vous pouvez définir la plage de durée de vie comprise entre 0 et 255 en configurant l’instruction `counter-profile` au niveau de la `[edit services inline-monitoring]` hiérarchie. Par exemple : `set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15`.
CUSTOM_TCP_WINDOW_RANGE_START_VAL	40	Fournit le nombre de paquets dans la plage de fenêtre TCP configurée. Vous pouvez définir la plage de fenêtres TCP comprise entre 0 et 65535 en configurant l’instruction `counter-profile` au niveau de la `[edit services inline-monitoring]` hiérarchie. Par exemple : `set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000`.
INTER_ARRIVAL_TIME	50	Différence de temps entre deux paquets consécutifs à l’entrée (par flux).
INTER_DEPARTURE_TIME	51	Différence de temps entre deux paquets consécutifs à la sortie (par flux).
CHIP_DELAY	52	Temps nécessaire au paquet pour transiter vers l’ASIC.
SHARED_POOL_CONGESTION	53	Niveau de congestion de la piscine partagée
QUEUE_CONGESTION_LEVEL	54	Niveau de congestion de la file d’attente
INGRESS_DROP_REASON	55	La raison pour laquelle le paquet est abandonné à l’entrée.
INGRESS_DROP_REASON_PKT_CNTR_VAL	56	Nombre de paquets abandonnés à l’entrée.
EGRESS_DROP_REASON	57	La raison pour laquelle le paquet est abandonné à la sortie.
EGRESS_DROP_REASON_PKT_CNTR_VAL	58	Nombre de paquets abandonnés à la sortie.
AGGREGATE_INTF_MEMBER_ID	59	ID d’un membre d’un groupe d’agrégation de liens (LAG) ou d’un groupe ECMP (Equal-Cost multichemin)
AGGREGATE_INTF_GROUP_ID	60	ID d’un groupe d’agrégation de liens (LAG)
MMU_QUEUE_ID	61	Indique l’ID de file d’attente auquel appartient le paquet.
UNKNOWN_ID_VAL	254	Non applicable au client. En interne à Juniper.
RESERVED_ID_VAL	255	Non applicable au client. En interne à Juniper.

Lorsque vous créez une configuration de services de surveillance en ligne ou que vous modifiez une configuration existante, le logiciel envoie immédiatement l’exportation périodique du modèle de données aux collecteurs respectifs, au lieu d’attendre la prochaine heure d’envoi planifiée.

Limitations et mises en garde

Les interfaces IRB sont prises en charge. À partir de Junos OS version 25.2R1, les filtres de pare-feu L2 sont pris en charge.
Seules 8 instances de surveillance en ligne et 8 collecteurs par instance sont pris en charge.
La longueur des enregistrements de flux est limitée à 128 octets.
Le collecteur doit être accessible via l’interface de bouclage ou une interface réseau, et pas seulement via une interface de gestion.
Vous ne pouvez configurer un collecteur que dans la même instance de routage que les données. Vous ne pouvez pas configurer un collecteur dans une autre instance de routage.
Vous ne pouvez pas configurer un identificateur de modèle d’option ou une classe de transfert.
L’enregistrement de données de l’option IPFIX et le modèle de données de l’option IPFIX ne sont pas pris en charge.
Les profils de fonctionnalités ne sont pas pris en charge sur les commutateurs EX4400.
Si vous apportez des modifications à la configuration du profil de fonction, vous devez redémarrer l’appareil.
(EX4100 et EX4100-F uniquement) Si vous configurez l’une des fonctionnalités de congestion ou de sortie dans le profil de fonctionnalité pour une instance de surveillance en ligne, vous ne pouvez pas configurer un profil de compteur pour un modèle dans cette instance.
(EX4100 et EX4100-F uniquement) Étant donné que les fonctionnalités de congestion et de sortie collectent beaucoup de données, vous ne pouvez configurer que 4 ou 5 de ces fonctionnalités par instance de surveillance en ligne.
(EX4100 et EX4100-F uniquement) Pour le suivi de flux multicast, une copie entrante peut produire plusieurs copies de sortie. Toutes les copies peuvent mettre à jour la même entrée. Par conséquent, vous pouvez suivre les résultats agrégés de toutes les copies du même flux de multicast.

Licences

Vous devez obtenir une licence permanente pour activer FBT. Pour vérifier si vous disposez d’une licence pour FBT, exécutez la show system license commande en mode opérationnel :

Pour les commutateurs EX4100 et EX4100-F, vous avez besoin de la licence S-EX4100-FBT-P. Pour les commutateurs EX4400, vous avez besoin de la licence S-EX-FBT-P.

Vecteurs de dépôt (EX4100 et EX4100-F uniquement)

FBT peut signaler plus de 100 raisons d’abandon. Les vecteurs de chute sont de très grands vecteurs, trop grands pour être raisonnablement pris en charge dans un enregistrement de flux. Par conséquent, le logiciel regroupe et compresse les vecteurs de dépôt dans un vecteur de transfert compressé de 16 bits, puis transmet ce vecteur de transfert à la table de flux. Le vecteur de perte compressé de 16 bits correspond à un groupe de vecteurs de transfert particulier. Les tableaux 2 et 3 décrivent comment les vecteurs de perte sont regroupés pour former un vecteur de perte compressé de 16 bits particulier.

Tableau 2 : groupes de vecteurs d’abandon entrants (EX4100 et EX4100-F uniquement)
Motif de l’abandon	de l’ID de groupe
1	Baisse des MMU
2	TCAM, PVLAN
3	Attaque DoS ou échec du bouclage LAG
4	ID VLAN non valide, TPID non valide ou port absent du VLAN
5	Transfert STP (Spanning Tree Protocol), BPDU (Bridge Protocol Data Unit), Protocole, CML
6	Route source, rejet de source L2, rejet de destination L2, désactivation L3, etc.
7	TTL L3, en-tête L3, en-tête L2, recherche de source L3 manquée, recherche de destination L3 manquée
8	Résolution ECMP, storm control, multicast entrant, erreur de saut suivant d’entrée

Tableau 3 : groupes de vecteurs d’abandon de sortie (EX4100 et EX4100-F uniquement)
Motif de l’abandon	de l’ID de groupe
1	Trafic unicast MMU
2	Détection précoce aléatoire pondérée (WRED) MMU unicast trafic
3	MMU RQE
4	Trafic multicast MMU
5	TTL de sortie, stgblock
6	Pertes de processeur de champ de sortie
7	Pertes IPMC
8	Pertes de contrôle de qualité de service (QoS) de sortie

Configurer FBT (EX4100, EX4100-F et EX4400 Series)

FBT permet d’effectuer des analyses par niveau de flux en utilisant des services de surveillance en ligne pour créer des flux, les collecter et les exporter vers un collecteur. Un flux est une séquence de paquets qui ont la même adresse IP source, adresse IP de destination, même port source, même port de destination et même protocole sur une interface. Pour chaque flux, divers paramètres sont collectés et envoyés à un collecteur à l’aide du modèle IPFIX standard ouvert pour organiser le flux. Lorsqu’il n’y a pas de trafic actif pour un flux, le flux est vieilli après la période de délai d’inactivité configurée (configurez l’instruction flow-inactive-timeout au niveau de la hiérarchie [edit services inline monitoring template-nametemplate)]). Le logiciel exporte périodiquement un paquet IPFIX à l’intervalle de temporisation d’exportation de flux configuré. L’identificateur de domaine d’observation est utilisé dans le paquet IPFIX pour identifier la carte de ligne qui a envoyé le paquet au collecteur. Une fois défini, le logiciel obtient un identifiant unique pour chaque carte de ligne en fonction de la valeur système définie ici.

Pour configurer la télémétrie basée sur les flux :

Définissez le modèle IPFIX.

Pour configurer les attributs du modèle :

Dans cet exemple, le délai d'expiration du flux inactif est défini sur 10 secondes, l'ID de domaine d'observation est défini sur 25, le taux d'actualisation du modèle est défini sur 30 secondes et vous avez configuré un identificateur de modèle

Attachez un modèle à l’instance et décrivez le collecteur.

Pour configurer l’instance et le collecteur :

Dans cet exemple, vous créez un modèle avec le nom template_1, créez une instance i1de surveillance en ligne , et créez la configuration pour le collecteur c2:

Créez un filtre de pare-feu et configurez l’action inline-monitoring-instance.

Pour configurer le filtre de pare-feu :

Dans cet exemple, vous configurez un filtre de pare-feu IPv4 nommé ipv4_ingress, avec le nom rule1 du terme contenant l’action inline-monitoring-instance, et l’instance i1 de surveillance en ligne y est mappée :

Mappez le filtre de pare-feu à la famille sous l’unité logique de l’interface déjà configurée pour appliquer une surveillance en ligne dans le sens d’entrée.
Pour mapper le filtre de pare-feu :
Dans cet exemple, vous mappez le ipv4_ingress filtre de pare-feu à la famille de l’interface inet logique 0 de l’interface physique et-0/0/1 :

(Facultatif) Configurez le profil et le taux d’échantillonnage, configurez le profil pour lequel les compteurs doivent être exportés vers le collecteur, configurez le débit et la taille de la rafale, et activez l’analyse de sécurité pour la télémétrie basée sur les flux :

Pour configurer les propriétés de surveillance des flux :

Dans cet exemple, le profil d’échantillonnage est défini sur Aléatoire, le taux d’échantillonnage est défini sur tous les 512 octets, le profil de compteur est défini sur Per_flow_6_counters, le débit est défini sur 100000 kbit/s, la taille de rafale est définie sur 2048 octets et les analyses de sécurité sont activées :

(Commutateurs EX4100 et EX4100-F en option uniquement) Configurez un profil de fonctionnalité pour collecter davantage de données sur les paquets à mesure qu’ils transitent par le commutateur.
Par exemple, vous pouvez surveiller la congestion ou collecter des informations sur les raisons de la perte de paquets. Vous pouvez activer les analyses de sécurité ici ou à l’étape précédente. Pour configurer un profil d’entité :
Vous devez redémarrer le système pour que le profil de fonction prenne effet. Étant donné que les fonctionnalités agrégées de surveillance de la distribution des interfaces, de congestion et de sortie collectent beaucoup de données, vous ne pouvez configurer que 4 ou 5 de ces fonctionnalités par instance de surveillance en ligne. Les instructions qui configurent ces fonctionnalités sont les suivantes :
- aggregate-intf-member-id
- egress-drop-reason
- inter-departure-time
- queue-congestion-level
- shared-pool-congestion
Après avoir validé la configuration et redémarré le système, utilisez la show services inline-monitoring feature-profile-mapping fpc-slot slot-number commande pour vérifier que les fonctionnalités ont été correctement configurées.
Après avoir validé la configuration, surveillez les statistiques de surveillance en ligne à l’aide de la show services inline-monitoring statistics fpc-slot slot-number commande.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération

Descriptif

22.2R1

Vous pouvez désormais configurer la télémétrie basée sur les flux (FBT) pour les commutateurs EX4100 et EX4100-F Series, et configurer des éléments supplémentaires à suivre pour un flux à l’aide de l’instruction feature-profile name features au niveau de la [edit inline-monitoring] hiérarchie.

21.1R1

Vous pouvez configurer la télémétrie basée sur les flux (FBT) pour les commutateurs de la gamme EX4400. FBT permet d’effectuer des analyses par niveau de flux en utilisant des services de surveillance en ligne pour créer des flux, les collecter et les exporter vers un collecteur.