Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration des services de surveillance en ligne

Comprendre les services de surveillance en ligne

Avantages des services de surveillance en ligne

Flexible : les services de surveillance en ligne permettent de mapper différentes instances de surveillance en ligne à différents termes de filtre de pare-feu, contrairement aux technologies d’échantillonnage traditionnelles, où toutes les instances sont mappées au concentrateur PIC flexible (FPC). Vous pouvez ainsi échantillonner différents flux de trafic à des débits différents sur une seule interface.

Indépendant du format de paquet : les technologies traditionnelles de collecte de flux reposent sur l’analyse et l’agrégation des paquets par élément de réseau. Avec les services de surveillance en ligne, l’en-tête du paquet est exporté vers le collecteur pour un traitement ultérieur, mais sans agrégation. Ainsi, vous avez l’avantage d’utiliser des champs de paquets arbitraires pour traiter les paquets surveillés au niveau du collecteur.

Présentation des fonctionnalités des services de surveillance en ligne

Les fournisseurs de services et de contenu ont généralement besoin de visibilité sur les flux de trafic pour évaluer les accords d’appairage, détecter les anomalies de trafic et les violations de stratégie, et surveiller les performances réseau. Pour répondre à ces exigences, vous devez traditionnellement exporter des informations statistiques de flux agrégées à l’aide de variantes JFlow ou IPFIX.

Vous pouvez également échantillonner le contenu des paquets, ajouter des informations de métadonnées et exporter les paquets surveillés vers un collecteur. Les services de surveillance en ligne vous permettent de le faire sur les routeurs MX Series et sur les routeurs PTX qui exécutent Junos OS Evolved.

Grâce aux services de surveillance en ligne, vous pouvez surveiller chaque paquet IPv4 et IPv6 dans les sens d’entrée et de sortie d’une interface. Le logiciel encapsule le trafic surveillé dans un format IPFIX et exporte le paquet réel jusqu’à la longueur de clip configurée vers un collecteur pour un traitement ultérieur. Par défaut, Junos OS prend en charge une longueur de clip maximale de 126 octets à partir de l’en-tête Ethernet et Junos OS Evolved prend en charge une longueur de clip maximale de 256 octets à partir de l’en-tête Ethernet.

La figure 1 illustre la spécification du format IPFIX.

Figure 1 : Spécification Inline Monitoring IPFIX Specification IPFIX pour la surveillance en ligne

L’en-tête IPFIX et la charge utile IPFIX sont encapsulés à l’aide de la couche de transport IP ou UDP. Le format IPFIX exporté comprend deux enregistrements de données et deux modèles de données qui sont exportés vers chaque collecteur :

  • Enregistrement de données : inclut l’interface entrante et sortante, le sens de flux, la section de trame de liaison de données et la taille de la trame de liaison de données. Ces informations sont envoyées au collecteur uniquement lorsque des paquets échantillonnés sont en cours d’exportation.

    La figure 2 est un exemple d’illustration d’un paquet d’enregistrements de données IPFIX.

  • Enregistrement de données d’option : inclut des informations au niveau du système, telles que l’ID de processus exporté et l’intervalle d’échantillonnage. Ces informations sont envoyées périodiquement au collecteur, que les paquets d’échantillonnage exportés ou non.

    La figure 3 est un exemple d’illustration d’un paquet d’enregistrement de données d’option IPFIX.

    Tableau 1 : Champs de l’élément d’information dans le paquet de données de l’option IPFIX

    Nombre

    ID de l’élément d’information

    Longueur de l’élément d’information

    Détails

    1

    144

    4B

    ID de domaine d’observation - Un identifiant unique du processus d’exportation par périphérique IPFIX. L’objectif de ce champ est de limiter la portée d’autres champs d’éléments d’information.

    2

    34

    4B

    Intervalle d’échantillonnage auquel les paquets sont échantillonnés. 1000 indique qu’un paquet sur 1000 est échantillonné.

  • Modèle de données : comprend cinq éléments d’information :

    • Interface d’entrée

    • Interface de sortie

    • Sens d’écoulement

    • Taille de trame de liaison de données

    • Sélection de trames de liaison de données variables

    La figure 4 est un exemple d’illustration d’un paquet de modèle de données IPFIX.

  • Modèle de données d’option : inclut des informations sur l’exportateur de flux et l’intervalle d’échantillonnage.

    La figure 5 est un exemple d’illustration d’un paquet de données de modèle d’option IPFIX.

En cas de configuration nouvelle ou modifiée des services de surveillance en ligne, l’exportation périodique du modèle de données et du modèle de données d’option est immédiatement envoyée aux collecteurs respectifs.

Figure 2 : Enregistrement IPFIX Data Record de données IPFIX
Figure 3 : Enregistrement des IPFIX Option Data Record données de l’option IPFIX
Figure 4 : Modèle IPFIX Data Template de données IPFIX
Figure 5 : Modèle IPFIX Option Data Template de données d’option IPFIX

Présentation de la configuration des services de surveillance en ligne

Vous pouvez configurer un maximum de seize (Junos OS) ou sept (Junos OS Evolved) instances de surveillance en ligne qui prennent en charge les paramètres de configuration spécifiques aux modèles et aux collecteurs. Chaque instance de surveillance en ligne prend en charge jusqu’à quatre collecteurs (maximum de 64 collecteurs au total) et, pour Junos OS uniquement, vous pouvez spécifier des taux déchantillonnage différents pour chaque configuration de collecteur. Grâce à cette flexibilité, les services de surveillance en ligne surmontent les limites des technologies d’échantillonnage traditionnelles, telles que JFlow, sFlow et la mise en miroir de ports.

Pour configurer la surveillance en ligne :

  1. Vous devez inclure l’instruction inline-monitoring au niveau de la [edit services] hiérarchie. Ici, vous spécifiez le modèle et les paramètres de l’instance de surveillance en ligne. Vous devez spécifier les paramètres du collecteur sous l’instance de surveillance en ligne.

  2. Spécifiez des conditions de correspondance arbitraires à l’aide d’un terme de filtre de pare-feu et d’une action pour accepter l’instance de surveillance en ligne configurée. Cela mappe l’instance de surveillance en ligne au terme de pare-feu.

  3. Mappez le filtre de pare-feu sous la famille inet ou inet6 l’instruction à l’aide de l’instruction inline-monitoring-instance au niveau hiérarchique [modifier le filtre name de pare-feu puis]. À partir de Junos OS version 21.1R1, vous pouvez également mapper le filtre de pare-feu sous la famille any, bridge, ccc, mpls, ou vpls les instructions. Pour Junos OS Evolved, les bridge familles et vplsne sont pas prises en charge ; utilisez plutôt la ethernet-switch famille. Junos OS Evolved prend également en charge les anyfamilles , , cccinet, inet6et mpls . Vous pouvez également appliquer le filtre de pare-feu à un filtre de table de transfert avec une instruction d’entrée ou de sortie pour filtrer les paquets entrants ou sortants, respectivement.

Rappelez-vous:

  • L’équipement doit prendre en charge une longueur de paquet maximale (longueur de découpage) de 126 octets (Junos OS) ou 256 octets (Junos OS Evolved) pour activer les services de surveillance en ligne.

  • Vous ne pouvez pas configurer plus de 16 (Junos OS) ou 7 (Junos OS Evolved) instances de surveillance en ligne en raison de la rareté des bits disponibles dans le paquet du chemin de transfert.

  • Appliquez les services de surveillance en ligne uniquement sur une interface de collecteur, c’est-à-dire l’interface sur laquelle le collecteur est accessible. Vous ne devez pas appliquer de surveillance en ligne sur le trafic IPFIX, car cela génère un autre paquet IPFIX pour l’échantillonnage, créant ainsi une boucle. Cela inclut le trafic généré par le service de surveillance en ligne, tel que les paquets de modèles et d’enregistrements, les modèles d’options et les paquets d’enregistrements d’options.

  • Lorsque le service de surveillance en ligne est activé sur des interfaces Ethernet agrégées (AE), les valeurs des éléments d’information sont les suivantes :

    Tableau 2 : valeurs des éléments d’information pour les interfaces Ethernet agrégées

    Direction du service de surveillance en ligne sur l’interface AE

    Elément d’information-10 (Interface entrante)

    Elément d’information-14 (Interface sortante)

    Pénétration

    ID SNMP de l’AE

    0

    Sortie

    ID SNMP de l’AE

    ID SNMP du lien de membre

  • Lorsque le service de surveillance en ligne est activé sur les interfaces IRB, les valeurs des éléments d’information sont les suivantes :

    Tableau 3 : Valeurs des éléments d’information pour les interfaces IRB

    Direction du service de surveillance en ligne sur l’interface IRB

    Elément d’information-10 (Interface entrante)

    Elément d’information-14 (Interface sortante)

    Pénétration

    ID SNMP de l’IRB

    0

    Sortie

    ID SNMP de l’IRB

    ID SNMP de l’interface encapsulée vlan-bridge

  • Pour les périphériques basés sur XL-XM (avec puce de recherche (XL) et ASIC de mise en mémoire tampon (XM)), la longueur de l’élément d’information Section de trame de liaison de données dans un paquet exporté peut être inférieure à la longueur de l’écrêtage, même si la longueur du paquet de sortie est supérieure à la longueur de l’élément.

    La longueur de l’élément d’information Section de trame de liaison de données est réduite de 'N' nombre d’octets où 'N' = (longueur d’encapsulation de couche 2 du paquet entrant - longueur d’encapsulation de couche 2 du paquet sortant).

    Par exemple, la longueur d’encapsulation de couche 2 du paquet entrant est supérieure à celle du paquet sortant lorsque le paquet entrant porte des étiquettes MPLS et que le paquet de sortie est de type IPv4 ou IPv6. Lorsque le trafic est transféré de l’équipement PE (Provider Edge) vers l’équipement CE (Customer Edge), le paquet entrant possède des balises VLAN et le paquet sortant n’est pas balisé.

    Dans de tels cas, la longueur de l’écrêtage peut dépasser le dernier emplacement d’adresse de la tête de paquet, générant ainsi un message de PKT_HEAD_SIZE journal système. Cela peut entraîner une dégradation du transfert de paquets pour l’équipement.

  • Dans le cas de services de surveillance en ligne dans le sens entrant, l’élément d’information ID 14 ne signale pas l’index SNMP de l’interface egressInterface de sortie. Cet ID d’élément d’information indique toujours la valeur zéro en cas de sens d’entrée. Le processus de collecte de réception doit identifier la validité de ce champ en fonction de l’élément d’information flowDirection ID 61.

Fonctionnalités prises en charge et non prises en charge avec les services de surveillance en ligne

Les services de surveillance en ligne prennent en charge :

  • Basculement progressif du moteur de routage

  • Mise à niveau logicielle en service (ISSU), mise à niveau logicielle ininterrompue (NSSU) et routage actif ininterrompu (NSR)

  • Interfaces Ethernet et interfaces de routage et pontage intégrées (IRB)

  • Segmentation de nœud Junos

  • À partir de Junos OS Evolved version 22.4R1, configuration de DSCP, de classe de transfert ou d’instances de routage pour les collecteurs.

  • À partir de Junos OS Evolved version 22.4R1, configuration des ID de modèle ou ID de modèle d’option.

Les services de surveillance en ligne ne prennent actuellement pas en charge :

  • Configuration de plus de 16 (Junos OS) ou 7 (Junos OS Evolved) instances de surveillance en ligne.

  • Junos Traffic Vision

  • Avant Junos OS version 21.1R1, l’action inline-monitoring-instance term était prise en charge uniquement pour inet les filtres de pare-feu de inet6 la famille. À partir de Junos OS version 21.1R1, il est pris en charge pour les filtres de pare-feu et vpls de la any, bridge, ccc, mpls, famille.

  • Collecteurs adressables IPv6

  • Plates-formes virtuelles

  • Systèmes logiques

  • Configuration de l’ID de domaine d’observation et de l’ID de cloud d’observation. Vous ne devez en choisir qu’un seul.

  • Une action d’instance de surveillance en ligne utilisée pour la création de rapports d’exception ne peut pas être utilisée à d’autres fins, telles qu’une action de redirection du pare-feu ou une action de surveillance en ligne régulière.

  • Une instance de surveillance en ligne utilisée pour une action de redirection de pare-feu ne peut pas être utilisée à d’autres fins, telles que la création de rapports d’exceptions ou une action de surveillance en ligne régulière.

  • Avant Junos OS Evolved version 22.4R1, configuration de DSCP, de classe de transfert ou d’instances de routage pour les collecteurs.

  • Avant Junos OS Evolved version 22.4R1, configuration des ID de modèle ou ID de modèle d’option. Le système les génère pour vous.

  • Configuration de la mise en miroir de ports et des services de surveillance en ligne sous le même terme de filtre de pare-feu (Junos OS Evolved).

  • Dans le sens de la sortie, en configurant à la fois SFlow et les rapports d’exception ; vous devez en choisir un seul (Junos OS Evolved).

Configuration des services de surveillance en ligne

Les services de surveillance en ligne peuvent surveiller le trafic IPv4 et IPv6 dans les sens entrants et sortants. Vous pouvez activer la surveillance en ligne sur les routeurs MX Series avec MPC (Junos OS) et sur les routeurs PTX qui exécutent Junos OS Evolved.

RÉSUMÉ Vous pouvez configurer des services de surveillance en ligne pour surveiller différents flux de trafic à différentes fréquences d’échantillonnage sur la même unité logique de l’interface. Vous pouvez également exporter la taille du paquet d’origine vers un collecteur avec des informations sur l’origine de l’interface pour un dépannage efficace.

Avant de configurer

Lorsque vous configurez des services de surveillance en ligne, vous pouvez :

  • Configurez jusqu’à 16 (Junos OS) ou 7 (Junos OS Evolved) instances de surveillance en ligne. Sous chaque instance, vous pouvez configurer des paramètres de collecteur et de modèle spécifiques.

  • Configurez jusqu’à 4 collecteurs adressables IPv4 sous chaque instance de surveillance en ligne. Au total, vous pouvez configurer jusqu’à 64 collecteurs. Les collecteurs peuvent être distants et à différents endroits.

    Pour chaque collecteur, vous pouvez configurer des paramètres spécifiques, tels que l’adresse source, l’adresse de destination, etc. Le nom par défaut de l’instance de routage au niveau du collecteur est default.inet.

  • Pour Junos OS, vous pouvez configurer le filtre de pare-feu ou inet6 famille avec le inet terme action inline-monitoring-instance inline-monitoring-instance-name. À partir de Junos OS version 21.1R1, vous pouvez configurer any, bridge, ccc, mpls,ou vpls famille de filtres de pare-feu avec le terme action inline-monitoring-instance inline-monitoring-instance-name. Pour Junos OS Evolved, vous pouvez configurer les filtres de pare-feu ou mpls famille any, ccc, ethernet-switch, inet, inet6, avec le terme action inline-monitoring-instance inline-monitoring-instance-name.

    Chaque terme peut prendre en charge une instance de surveillance en ligne différente.

  • Fixez le filtre de pare-feu de surveillance en ligne sous la famille de l’unité logique de l’interface.

Une fois la configuration validée, vous pouvez vérifier l’implémentation des services de surveillance en ligne en exécutant la commande show services inline-monitoring statistics fpc-slot à partir de l’interface de ligne de commande.

Note:

Si un paquet nécessite l’application de services de surveillance en ligne à l’une des technologies d’échantillonnage traditionnelles (telles que JFlow ou SFlow), le moteur de transfert de paquets exécute à la fois les services de surveillance en ligne et la technologie d’échantillonnage traditionnelle sur ce paquet. La mise en miroir des ports doit actuellement être configurée sous un terme différent pour Junos OS Evolved.

La Figure 6 est un exemple de service de surveillance en ligne, dans lequel le trafic est surveillé à deux taux d’échantillonnage différents sur l’interface de l’équipement et exporté vers quatre collecteurs distants dans un format d’encapsulation IPFIX. Pour Junos OS, vous configurez la fréquence d’échantillonnage sur chaque collecteur, en autorisant des vitesses différentes pour chaque collecteur. Pour Junos OS Evolved, vous configurez la fréquence d’échantillonnage sur l’instance de surveillance en ligne et elle s’applique à tous les collecteurs configurés pour cette instance.

Figure 6 : services Inline Monitoring Services de surveillance en ligne

Dans cet exemple, l’interface et-1/0/0 de l’appareil est configurée avec des services de surveillance en ligne. Les détails des configurations sont les suivants :

  • Il existe deux instances de surveillance en ligne : l’instance 1 et l’instance 2.

  • Il y a quatre collecteurs, deux collecteurs sous chaque instance de surveillance en ligne.

    • L’instance 1 a Collector-1 et Collector-2.

    • L’instance 2 a Collector-101 et Collector-102.

  • Les collecteurs de l’instance 1 ont une fréquence d’échantillonnage de 1 :10000.

  • Les collecteurs de l’instance 2 ont une fréquence d’échantillonnage de 1 :1.

  • Les collecteurs d’instance 1 ont une adresse source et une adresse de destination de 10.1.1.1 et 10.2.2.1, respectivement.

  • Les collecteurs de l’instance 2 ont une adresse source et une adresse de destination de 10.11.1.1 et 10.12.2.1, respectivement.

  • Les paquets sont exportés vers les collecteurs dans un format encapsulé IPFIX.

Pour configurer les services de surveillance en ligne :

  1. Définissez un filtre de pare-feu pour chaque instance de surveillance en ligne afin de gérer les services de surveillance en ligne. Vous pouvez configurer un filtre de pare-feu familial à l’aide du terme action inline-monitoring-instance.

    Pour définir un filtre de pare-feu, procédez comme suit :

    Dans cet exemple, les termes t1 et t2 sont configurés pour Instance1 et Instance2, respectivement.

  2. Activez les services de surveillance en ligne en configurant les paramètres de modèle, d’instance et de collecteur associés.
    1. Pour configurer le modèle de services de surveillance en ligne :

      Dans cet exemple, les modèles template-1 et template-2 sont configurés.

    2. Pour configurer les paramètres de l’instance et du collecteur de surveillance en ligne :

      Pour Junos OS :

      Dans cet exemple pour Junos OS, Instance1 a deux collecteurs, collector-1 et collector-2, et Instance2 a deux collecteurs, collector-101 et collector-102. Des taux d’échantillonnage différents ont été configurés pour les deux instances.

      Pour Junos OS Evolved :

      Dans cet exemple, pour Junos OS Evolved, Instance1 a deux collecteurs, collector-1 et collector-2, et Instance2 a deux collecteurs, collector-101 et collector-102. Des taux d’échantillonnage différents ont été configurés pour les deux instances.

  3. Mappez le filtre de pare-feu sous la famille de l’unité logique de l’interface pour appliquer la surveillance en ligne dans le sens entrant ou sortant.

    Vous pouvez également appliquer une surveillance en ligne en mappant le filtre de pare-feu à un filtre de table de transfert avec une instruction d’entrée ou de sortie pour filtrer les paquets entrants ou sortants, respectivement.

    Pour fixer le filtre de pare-feu :

    Dans cet exemple, le filtre de surveillance en ligne est attaché à l’entrée familiale de l’unité 0 de et-1/0/0.

Tableau de l’historique des versions
Libération
Description
23.4R1-EVO
Services de surveillance en ligne (routeur PTX10003 avec les cartes de ligne JNP10K-LC1201 ou JNP10K-LC1202) : à partir de Junos OS version 23.4R1 d’Evolved, vous pouvez configurer les services de surveillance en ligne sur le routeur PTX10003 pour signaler des exceptions. Vous pouvez également configurer les filtres de pare-feu ou de any, ccc, ethernet-switch, inet, inet6, mpls la famille avec le terme action inline-monitoring-instance inline-monitoring-instance-name.
22.4R1-EVO
Services de surveillance en ligne (routeurs PTX10001-36MR, PTX10004, PTX10008 et PTX10016 avec les cartes de ligne JNP10K-LC1201 ou JNP10K-LC1202) : à partir de la version 22.4R1 de Junos OS Evolved, vous pouvez configurer des services de surveillance en ligne sur les routeurs PTX10001-36MR, PTX10004, PTX10008 et PTX10016 pour échantillonner des paquets, ajouter des métadonnées et exporter les paquets jusqu’à la longueur d’élément configurée vers un collecteur IPFIX pour un traitement ultérieur. Vous pouvez également configurer les filtres de pare-feu ou de any, ccc, ethernet-switch, inet, inet6, mpls la famille avec le terme action inline-monitoring-instance inline-monitoring-instance-name.
22.3R1
Services de surveillance en ligne (routeurs MX304) : à partir de Junos OS version 22.3R1, vous pouvez configurer les services de surveillance en ligne sur le routeur MX304.
22.2R1-EVO
Services de surveillance en ligne (routeurs PTX10001-36MR, PTX10004, PTX10008 et PTX10016 avec les cartes de ligne JNP10K-LC1201 ou JNP10K-LC1202) : à partir de la version 22.1R1 d’Junos OS Evolved, vous pouvez configurer les services de surveillance en ligne sur les routeurs PTX10001-36MR, PTX10004, PTX10008 et PTX10016 pour signaler des exceptions. Vous pouvez également configurer les filtres de pare-feu ou de any, ccc, ethernet-switch, inet, inet6, mpls la famille avec le terme action inline-monitoring-instance inline-monitoring-instance-name.
21.4R1
Services de surveillance en ligne (carte de ligne LC9600 pour le routeur MX10008) : à partir de Junos OS version 21.4R1, vous pouvez configurer les services de surveillance en ligne sur les routeurs MX10008 qui contiennent la carte de ligne LC9600.
21.2R1
Prise en charge de la couche 2 et de toute famille de filtres de pare-feu pour les services de surveillance en ligne (MX Series avec cartes de ligne MPC10E et MPC11E) : à partir de Junos OS version 21.2R1, vous pouvez configurer les filtres de pare-feu ou vpls famille any, bridge, ccc, mpls, avec le terme action inline-monitoring-instance inline-monitoring-instance-name.
21.2R1
Services de surveillance en ligne (carte de ligne LC480 pour les routeurs MX10008 et MX10016 : à partir de Junos OS version 21.2R1, vous pouvez configurer les services de surveillance en ligne sur les routeurs MX10008 et MX10016 qui contiennent la carte de ligne LC480.
21.1R1
Prise en charge de la couche 2 et de toutes les familles de filtres de pare-feu pour les services de surveillance en ligne (MX Series avec MPC à l’exclusion des cartes de ligne MPC10E et MPC11E) : à partir de Junos OS version 21.1R1, vous pouvez configurer les filtres de pare-feu de la famille any, bridge, ccc, mpls ou vpls avec le terme action inline-monitoring-instance inline-monitoring-instance-name.
20.4R1
Services de surveillance en ligne (cartes de ligne MPC10E et MPC11E pour les routeurs MX Series - À partir de Junos OS version 20.4R1, vous pouvez configurer les services de surveillance en ligne sur les routeurs MX Series qui contiennent les cartes de ligne MPC10E et MPC11E.
19.4R1
Services de surveillance en ligne (MX Series avec MPC à l’exclusion des cartes de ligne MPC10E et MPC11E) - À partir de Junos OS version 19.4R1, vous pouvez configurer une nouvelle technologie de surveillance qui offre la flexibilité nécessaire pour surveiller différents flux de trafic à différentes fréquences d’échantillonnage sur la même interface. Vous pouvez également exporter le paquet jusqu’à la longueur d’élément configurée vers un collecteur au format IPFIX (IP Flow Information Export). Le format IPFIX inclut des informations de métadonnées importantes sur les paquets surveillés en vue d’un traitement ultérieur au niveau du collecteur.