Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la supervisión de flujo activo

Con un enrutador de borde multiservicio serie M de Juniper Networks o un enrutador de núcleo serie T o EX9200, una selección de PIC (incluida la PIC de servicios de supervisión, PIC de servicios adaptables [AS], PIC de multiservicios o DPC de multiservicios) y otro hardware de red, puede supervisar el flujo de tráfico y exportar el tráfico supervisado. La supervisión del tráfico le permite hacer lo siguiente:

  • Recopile y exporte información detallada sobre los flujos de tráfico de IP versión 4 (IPv4) entre los nodos de origen y destino de su red.

  • Muestre todo el tráfico IPv4 entrante en la interfaz de monitoreo y presente los datos en formato de registro cflowd.

  • Realice una contabilidad de descartes en un flujo de tráfico entrante.

  • Cifrar o tunelización los registros cflowd salientes, el tráfico IPv4 interceptado o ambos.

  • Dirigir el tráfico filtrado a diferentes analizadores de paquetes y presentar los datos en su formato original (espejo de puerto).

    Nota:

    Las PIC de servicios de supervisión, las PIC del AS y las PIC de varios servicios se deben montar en un concentrador de PIC flexible mejorado (FPC) en un enrutador serie M o T.

    Los DPC multiservicio instalados en los enrutadores de borde universal 3D serie MX de Juniper Networks admiten la misma funcionalidad, con la excepción de las funciones pasivas de monitoreo y toque de flujo.

Aunque la PIC de servicios de supervisión se diseñó inicialmente para su uso como una herramienta de supervisión de flujo pasivo sin conexión, también se puede utilizar en una topología de monitoreo de flujo activo. Por el contrario, el AS o PIC multiservicios está diseñado exclusivamente para la supervisión activa del flujo. Para usar la PIC de servicios de supervisión, PIC de AS o PIC de varios servicios para la supervisión activa del flujo, debe instalar la PIC en un enrutador serie M o T. El enrutador participa tanto en la aplicación de monitoreo como en la funcionalidad de enrutamiento normal de la red.

A partir de Junos OS versión 11.4, la compatibilidad con la supervisión activa se extiende a los sistemas lógicos que se ejecutan en enrutadores serie T y MX. Un sistema lógico es una partición creada a partir de un enrutador físico que realiza tareas de enrutamiento independientes. Varios sistemas lógicos en un solo enrutador con sus propias interfaces, políticas, instancias y tablas de enrutamiento pueden realizar funciones manejadas por varios enrutadores diferentes. Una PIC de servicios compartidos controla los flujos de todos los sistemas lógicos. Solo se admiten las plantillas de flujos de la versión 9, IPv4 y MPLS. Consulte Ejemplo: Configurar la supervisión activa en el sistema lógico de un enrutador de la serie M, MX o T para una configuración de ejemplo que permite la supervisión activa en un sistema lógico.

Los paquetes especificados se pueden filtrar y enviar a la interfaz de supervisión. Para la PIC de servicios de supervisión, el nombre de la interfaz contiene el mo- prefijo. Para la PIC del AS o multiservicios, el nombre de la interfaz contiene el sp- prefijo.

Nota:

Si actualiza de la PIC de servicios de supervisión a la PIC de servicios adaptables o multiservicios para la supervisión activa del flujo, debe cambiar el nombre de su interfaz de supervisión de mo-fpc/pic/port a sp-fpc/pic/port.

Las principales acciones de monitoreo de flujo activo que puede configurar en el [edit forwarding-options] nivel jerárquico son las siguientes:

  • Toma de muestras, con la [edit forwarding-options samplingjerarquía ]. Esta opción envía una copia de la secuencia de tráfico a una PIC del AS o de los servicios de supervisión, que extrae información limitada (como la dirección IP de origen y destino) de algunos de los paquetes de un flujo. Los paquetes originales se reenvían al destino previsto como de costumbre.

  • Descarte la contabilidad, con la [edit forwarding-options accounting] jerarquía. Esta opción pone en cuarentena paquetes no deseados, crea registros cflowd que describen los paquetes y descarta los paquetes en lugar de reenviarlos.

  • Duplicación de puertos, con la [edit forwarding-options port-mirroring] jerarquía. Esta opción hace una copia completa de todos los paquetes en un flujo y entrega la copia a un único destino. Los paquetes originales se reenvían al destino previsto.

  • Duplicación de varios puertos con la [edit forwarding-options next-hop-group] jerarquía. Esta opción permite que se entreguen varias copias del tráfico seleccionado a varios destinos. (La duplicación de varios puertos requiere una PIC de servicios de túnel.

A diferencia de la supervisión pasiva de flujo, no es necesario configurar un grupo de monitoreo. En su lugar, puede enviar paquetes filtrados a una interfaz de servicios de supervisión o servicios adaptables (mo- o sp-) mediante el uso de la toma de muestras o la contabilidad de descarte. Opcionalmente, puede configurar la duplicación de puertos o la duplicación de varios puertos para dirigir paquetes a interfaces adicionales.

Estas opciones de monitoreo activo de flujo ofrecen una amplia variedad de acciones que se pueden realizar en los flujos de tráfico de red. Sin embargo, se aplican las siguientes restricciones:

  • El enrutador o conmutador puede realizar una duplicación de puerto de muestras or al mismo tiempo.

  • El enrutador o conmutador puede realizar una contabilidad de descarte de reenvío or en cualquier momento.

Dado que las PIC de los servicios de supervisión, as y multiservicios solo permiten realizar una acción a la vez, están disponibles las siguientes opciones de configuración:

  • Toma de muestras y reenvío

  • Contabilidad de muestras y descartes

  • Duplicación y reenvío de puertos

  • Contabilidad de duplicación y descarte de puertos

  • Toma de muestras y duplicación de puertos en diferentes conjuntos de tráfico

La Figura 1 muestra una topología de ejemplo.

Figura 1: Topología Active Monitoring Configuration Topology de configuración de monitoreo activo

En la figura 1, el tráfico del enrutador 1 llega a la interfaz ge-2/3/0 Gigabit Ethernet del enrutador de monitoreo. La interfaz de salida del enrutador de monitoreo que lleva al enrutador de destino 2 es ge-3/0/0, pero puede ser cualquier tipo de interfaz (como SONET, Gigabit Ethernet, etc.). La interfaz de exportación que conduce al servidor cflowd es fe-1/0/0.

Para habilitar la supervisión activa, configure un filtro de firewall en la interfaz ge-2/3/0 con las siguientes condiciones de coincidencia:

  • El tráfico que coincide con ciertas condiciones de firewall se envía a la PIC de servicios de supervisión mediante el reenvío basado en filtros. Este tráfico se pone en cuarentena y no se reenvía a otros enrutadores.

  • Todo el resto del tráfico se replica en puerto en la PIC de servicios de supervisión. La duplicación de puertos copia cada paquete y envía las copias al siguiente salto de duplicación de puertos (en este caso, una PIC de servicios de supervisión). Los paquetes originales se reenvían del enrutador como siempre.

Documentación relacionada