Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la supervisión activa del flujo

Con un enrutador de borde multiservicio serie M o núcleo de la serie T de Juniper Networks o EX9200, una selección de PIC (incluida la PIC de servicios de supervisión, la PIC de servicios adaptativos [AS], la PIC de multiservicios o el DPC de multiservicios) y otro hardware de red, puede supervisar el flujo de tráfico y exportar el tráfico supervisado. La supervisión del tráfico le permite hacer lo siguiente:

  • Recopile y exporte información detallada sobre los flujos de tráfico de IP versión 4 (IPv4) entre los nodos de origen y destino de la red.

  • Muestree todo el tráfico IPv4 entrante en la interfaz de supervisión y presente los datos en formato de registro cflowd.

  • Realice la contabilidad de descartes en un flujo de tráfico entrante.

  • Cifre o tunelice registros cflowd salientes, tráfico IPv4 interceptado o ambos.

  • Dirija el tráfico filtrado a diferentes analizadores de paquetes y presente los datos en su formato original (espejo de puerto).

    Nota:

    Las PIC de servicios de supervisión, las PIC de AS y las PIC multiservicio deben montarse en un concentrador de PIC flexible mejorado (FPC) en un enrutador serie M o T.

    Los DPC multiservicios instalados en los enrutadores de borde universal 3D serie MX de Juniper Networks admiten la misma funcionalidad, con la excepción de las funciones de monitoreo pasivo y toma de flujo.

Aunque el PIC de servicios de supervisión se diseñó inicialmente para su uso como una herramienta de supervisión de flujo pasivo fuera de línea, también se puede utilizar en una topología de supervisión de flujo activa. Por el contrario, el AS o PIC multiservicio está diseñado exclusivamente para la monitorización activa del flujo. Para utilizar la PIC de servicios de supervisión, la PIC de AS o la PIC multiservicio para la supervisión activa del flujo, debe instalar la PIC en un enrutador serie M o T. El enrutador participa tanto en la aplicación de monitoreo como en la funcionalidad de enrutamiento normal de la red.

A partir de Junos OS versión 11.4, la compatibilidad con la supervisión activa se extiende a los sistemas lógicos que se ejecutan en enrutadores serie T y MX. Un sistema lógico es una partición creada a partir de un enrutador físico que realiza tareas de enrutamiento independientes. Varios sistemas lógicos en un solo enrutador con sus propias interfaces, políticas, instancias y tablas de enrutamiento pueden realizar funciones manejadas por varios enrutadores diferentes. Una PIC de servicios compartidos controla los flujos de todos los sistemas lógicos. Solo se admiten los flujos de la versión 9, las plantillas IPv4 y MPLS. Consulte Ejemplo: Configuración de la supervisión activa en el sistema lógico de un enrutador de las series M, MX o T para obtener un ejemplo de configuración que permite la supervisión activa en un sistema lógico.

Los paquetes especificados se pueden filtrar y enviar a la interfaz de supervisión. Para la PIC de servicios de supervisión, el nombre de interfaz contiene el mo- prefijo. Para el PIC de AS o multiservicios, el nombre de interfaz contiene el sp- prefijo.

Nota:

Si actualiza de la PIC de servicios de supervisión a la PIC de servicios adaptables o multiservicios para la supervisión activa del flujo, debe cambiar el nombre de la interfaz de supervisión de mo-fpc/pic/port a sp-fpc//pic.port

Las principales acciones de supervisión activa de flujo que puede configurar en el nivel de [edit forwarding-options] jerarquía son las siguientes:

  • Muestreo, con la [edit forwarding-options samplingjerarquía ]. Esta opción envía una copia del flujo de tráfico a un AS o PIC de servicios de supervisión, que extrae información limitada (como la dirección IP de origen y destino) de algunos de los paquetes de un flujo. Los paquetes originales se reenvían al destino previsto como de costumbre.

  • Descartar contabilidad, con la [edit forwarding-options accounting] jerarquía. Esta opción pone en cuarentena los paquetes no deseados, crea registros cflowd que describen los paquetes y descarta los paquetes en lugar de reenviarlos.

  • Duplicación de puertos, con la [edit forwarding-options port-mirroring] jerarquía. Esta opción realiza una copia completa de todos los paquetes de un flujo y entrega la copia a un único destino. Los paquetes originales se reenvían al destino previsto.

  • Duplicación de múltiples puertos, con la [edit forwarding-options next-hop-group] jerarquía. Esta opción permite entregar varias copias del tráfico seleccionado a varios destinos. (La duplicación de varios puertos requiere una PIC de servicios de túnel).

A diferencia de la supervisión pasiva de flujo, no es necesario configurar un grupo de supervisión. En su lugar, puede enviar paquetes filtrados a una interfaz de servicios de supervisión o servicios adaptables (mo- o sp-) mediante la contabilidad de muestreo o descarte. Opcionalmente, puede configurar la duplicación de puertos o la creación de reflejo de varios puertos para dirigir los paquetes a interfaces adicionales.

Estas opciones de supervisión activa de flujos proporcionan una amplia variedad de acciones que se pueden realizar en los flujos de tráfico de red. Sin embargo, se aplican las siguientes restricciones:

  • El enrutador o conmutador puede realizar la duplicación del puerto de muestreo or en cualquier momento.

  • El enrutador o conmutador puede realizar la contabilidad de or reenvío y descarte en cualquier momento.

Dado que las PIC de servicios de supervisión, AS y multiservicios solo permiten realizar una acción a la vez, están disponibles las siguientes opciones de configuración:

  • Muestreo y envío

  • Muestreo y contabilidad de descartes

  • Duplicación y reenvío de puertos

  • Contabilidad de descarte y creación de reflejo de puertos

  • Muestreo y duplicación de puertos en diferentes conjuntos de tráfico

La figura 1 muestra una topología de ejemplo.

Figura 1: Topología Active Monitoring Configuration Topology de configuración de supervisión activa

En la Figura 1, el tráfico del enrutador 1 llega a la interfaz Gigabit Ethernet ge-2/3/0 del enrutador de monitoreo. La interfaz de salida en el enrutador de monitoreo que conduce al enrutador de destino 2 es ge-3/0/0, pero puede ser cualquier tipo de interfaz (como SONET, Gigabit Ethernet, etc.). La interfaz de exportación que conduce al servidor cflowd es fe-1/0/0.

Para habilitar la supervisión activa, configure un filtro de firewall en la interfaz ge-2/3/0 con las siguientes condiciones de coincidencia:

  • El tráfico que coincide con determinadas condiciones de firewall se envía a la PIC de los servicios de supervisión mediante el reenvío basado en filtros. Este tráfico se pone en cuarentena y no se reenvía a otros enrutadores.

  • El resto del tráfico se refleja en el puerto de la PIC de los servicios de supervisión. La duplicación de puertos copia cada paquete y envía las copias al próximo salto de la duplicación de puertos (en este caso, una PIC de servicios de supervisión). Los paquetes originales se reenvían fuera del enrutador como de costumbre.

Documentación relacionada