Configuración de muestreo de tráfico en enrutadores serie MX, M y T
El muestreo de tráfico le permite copiar tráfico a una tarjeta de interfaz física (PIC) que realiza la contabilidad de flujo mientras el enrutador reenvía el paquete a su destino original. Puede configurar el enrutador para que realice muestras en una de las tres ubicaciones siguientes:
En el motor de enrutamiento, con el proceso de muestra. Para seleccionar este método, utilice un filtro (entrada o salida) con un término coincidente que contenga la
then sampleinstrucción.En la PIC de servicios de supervisión, servicios adaptables o multiservicios.
En una ruta de datos en línea sin la necesidad de un concentrador de puerto denso (DPC) de servicios. Para hacer este muestreo activo en línea, se define una instancia de muestreo con propiedades específicas. Un concentrador de PIC flexible (FPC) solo puede admitir una instancia; para cada instancia, se admite el muestreo basado en PIC de servicios o el muestreo en línea por familia. El muestreo en línea admite la versión 9 y las plantillas de recopilación de flujo IPFIX.
El muestreo basado en el motor de enrutamiento no se admite en instancias de enrutamiento y reenvío de VPN (VRF).
Configuración del filtro de firewall para toma de muestras de tráfico
Para configurar el filtro de firewall para la toma de muestras de tráfico, debe realizar las siguientes tareas:
Cree un filtro de firewall para aplicar a las interfaces lógicas que se muestren mediante la inclusión de la
filterinstrucción en el[edit firewall family family-name]nivel de jerarquía. En la instrucción filterthen, debe especificar el modificadorsamplede acción y la acciónaccept.filter filter-name { term term-name { then { sample; accept; } } }
Para obtener más información acerca de las acciones de filtro de firewall y modificadores de acciones, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico.
Aplique el filtro a las interfaces en las que desea probar tráfico incluyendo las
addressinstrucciones yfilteren el[edit interfaces interface-name unit logical-unit-number family family-name]nivel jerárquico:address address { } filter { input filter-name; }
Los siguientes requisitos previos se aplican a los enrutadores serie M, MX y T cuando configure el muestreo de tráfico en interfaces y filtros de firewall:
Si configura una acción de ejemplo en un filtro de firewall para una familia inet o inet6 en una interfaz sin configurar la configuración de opciones de reenvío, podrían producirse problemas operativos si también configura funcionalidades de duplicación de puerto o de toque de flujo. En tal caso, todos los paquetes que coincidan con el filtro de firewall se envían incorrectamente a la PIC de servicio.
Si incluye la instrucción en el
then sample[edit firewall family inet filter filter-name term term-name]nivel de jerarquía para especificar una acción de ejemplo en un filtro de firewall para paquetes IPv4, también debe incluir lafamily inetinstrucción en el[edit forwarding-options sampling]nivel de jerarquía o lainstance instance-name family inetinstrucción en el[edit forwarding-options sampling]nivel de jerarquía. De manera similar, si incluye la instrucción entoncessampleen el[edit firewall family inet6 filter filter-name term term-name]nivel de jerarquía para especificar una acción de ejemplo en un filtro de firewall para paquetes IPv6, también debe incluirfamily inet6instrucción en el[edit forwarding-options sampling]nivel de jerarquía o lainstance instance-name family inet6instrucción en el[edit forwarding-options sampling]nivel de jerarquía. De lo contrario, se produce un error de confirmación cuando intenta confirmar la configuración.Además, si configura el muestreo de tráfico en una interfaz lógica incluyendo las instrucciones de entrada o salida de muestras en el
[edit interface interface-name unit logical-unit-number]nivel de jerarquía, también debe incluir lafamily inet | inet6instrucción en el[edit forwarding-options sampling]nivel de jerarquía o lainstance instance-name family inet | inet6instrucción en el[edit forwarding-options sampling]nivel de jerarquía.
Configuración de muestras de tráfico en una interfaz lógica
Para configurar el muestreo de tráfico en cualquier interfaz lógica, habilite el muestreo y especifique una velocidad de muestreo no cero mediante la inclusión de la instrucción de muestreo en el [edit forwarding-options] nivel jerárquico:
sampling { input { rate number; run-length number; max-packets-per-second number; maximum-packet-length bytes; }
Cuando utilice el muestreo basado en el motor de enrutamiento, especifique el valor de tráfico de umbral incluyendo la max-packets-per-second instrucción. El valor es la cantidad máxima de paquetes que se tomarán muestras, más allá de lo cual el mecanismo de toma de muestras comienza a soltar paquetes. El rango es de 0 a 65,535. Un valor de 0 indica al motor de reenvío de paquetes que no muestre ningún paquete. El valor predeterminado es 1000.
Cuando configure la supervisión activa y especifique una PIC de servicios de supervisión, servicios adaptables o multiservicios en la output instrucción o cuando configure el muestreo en línea, el max-packets-per-second valor se omite.
Especifique la velocidad de toma de muestras estableciendo los valores para rate y run-length (consulte la Figura 1).
No configure el muestreo ms- de entrada en interfaces lógicas en las que está habilitada la supervisión de flujo basada en PIC, lo que causa un comportamiento de monitoreo de flujo no deseado y puede dar lugar a muestras repetidas de un solo paquete. A partir de Junos OS versión 15.1, se produce un error de confirmación cuando intenta configurar el muestreo de tráfico de entrada en esa interfaz. En junos OS versión 14.2 y anteriores, no se produce el error de confirmación, pero no debe configurar el muestreo de tráfico de entrada en esa interfaz.
Si la supervisión de flujo basada en PIC está habilitada en una interfaz ms-fpc/pic/port.logical-unit , se produce un error de comprobación de confirmación cuando intenta configurar el muestreo de tráfico de entrada en esa interfaz. Este error se produce porque una combinación de muestras de entrada y operaciones de monitoreo de flujo basadas en PIC en una interfaz lógica provoca un ms- comportamiento de monitoreo de flujo no deseado y puede dar lugar a muestras repetidas de un solo paquete. No debe configurar el muestreo ms- de entrada en interfaces lógicas en las que está habilitada la supervisión de flujo basada en PIC.
La rate instrucción especifica la proporción de paquetes que se tomarán muestras. Por ejemplo, si configura una velocidad de 10, x se muestra un número de paquetes de cada 10, donde x= longitud de ejecución + 1. De forma predeterminada, la velocidad es 0, lo que significa que no se muestra ningún tráfico.
La run-length instrucción especifica el número de paquetes coincidentes que se probarán después del evento inicial de activación de un paquete. De forma predeterminada, la longitud de ejecución es 0, lo que significa que no se muestra más tráfico después del evento de activación. El rango es de 0 a 20. La configuración de una longitud de ejecución superior a 0 le permite probar paquetes que siguen los que ya se están muestreando.
Las run-length instrucciones ni maximum-packet-length de configuración no se admiten en enrutadores MX80.
Si no incluye la instrucción, la input toma de muestras está deshabilitada.
Para recopilar los paquetes de muestra en un archivo, incluya la file instrucción en el [edit forwarding-options sampling output] nivel jerárquico. Los formatos de archivo de salida se analizan más adelante en el capítulo.
Deshabilitar el muestreo de tráfico
Para deshabilitar explícitamente el muestreo de tráfico en el enrutador, incluya la disable instrucción en el [edit forwarding-options sampling] nivel de jerarquía:
disable;
Toma de muestras una vez
Para muestra explícitamente de un paquete para la supervisión activa solo una vez, incluya la sample-once instrucción en el [edit forwarding-options sampling] nivel jerárquico:
sample-once;
La configuración de esta opción evita la duplicación de paquetes en los casos en que se habilita el muestreo en las interfaces de entrada y salida, y simplifica el análisis del tráfico muestreado.
Conservación del valor toS de prerewrite para paquetes de salida muestreados o reflejados
A partir de Junos OS versión 14.1, puede conservar el valor del tipo de servicio prenormalizado (ToS) en paquetes de salida muestreados o reflejados. Incluya la pre-rewrite-tos instrucción en el [edit forwarding-options sampling] nivel de jerarquía.
En interfaces basadas en MPC, puede configurar la reescritura de ToS mediante la configuración de clase de servicio (CoS) mediante la inclusión de la rewrite-rules dscp rule_name instrucción en el nivel de jerarquía o mediante la [edit class-of-service interfaces interface-name unit logical-unit-number] configuración del filtro de firewall mediante la inclusión de la dscp instrucción en el [edit firewall family family-name filter filter-name term term-name then] nivel de jerarquía. Si se configura la reescritura ToS, las copias de salida reflejadas o muestreadas contienen los valores ToS posteriores a la reescritura de forma predeterminada. Con la pre-rewrite-tos configuración, puede conservar el valor tos de reescritura previa en los paquetes muestreados o reflejados.
Si la reescritura ToS está configurada en la interfaz de salida mediante la configuración de filtro de CoS y firewall, y si la
pre-rewrite-tosinstrucción también está configurada, los paquetes de salida de muestra contienen el valor DSCP establecido mediante la configuración del filtro de firewall. Sin embargo, si lapre-rewrite-tosinstrucción no está configurada, los paquetes de salida muestreados contienen el valor DSCP establecido por la configuración de CoS.Con la
pre-rewrite-tosinstrucción, puede configurar conservar valores ToS de prenormalización solo para el muestreo realizado enfamily inetyfamily inet6.Esta característica no se puede configurar en el
[edit logical-systems]nivel de jerarquía. Solo se puede configurar a nivel global bajo laforwarding-optionconfiguración.Cuando la reescritura ToS se configura mediante un filtro de firewall en las interfaces de entrada y salida, los paquetes de muestra de salida contienen el valor DSCP establecido por la configuración de reescritura de entrada ToS si
pre-rewrite-tosla instrucción está configurada. Sin embargo, si lapre-rewrite-tosinstrucción no está configurada, los paquetes de salida muestreados contienen el valor DSCP establecido por la configuración de reescritura ToS para el filtro de firewall de salida.Si la
pre-rewrite-tosinstrucción está configurada y se realiza una operación de desactivación o eliminación en el nivel jerárquico,pre-rewrite-tosla[edit forwarding-options]configuración sigue estando activa. Para deshabilitar lapre-rewrite-tosconfiguración para un caso de este tipo, debe desactivar o eliminar explícitamente lapre-rewrite-tosinstrucción en el[edit forwarding-options sampling]nivel de jerarquía antes de realizar una operación de desactivación o eliminación en el[edit forwarding-options]nivel de jerarquía.
Configuración de la salida de muestras de tráfico
Para configurar la salida de muestras de tráfico, incluya las siguientes instrucciones en el [edit forwarding-options sampling family (inet | inet6 | mpls) output] nivel jerárquico:
aggregate-export-interval seconds; flow-active-timeout seconds; flow-inactive-timeout seconds; extension-service service-name; flow-server hostname { aggregation { autonomous-system; destination-prefix; protocol-port; source-destination-prefix { caida-compliant; } source-prefix; } autonomous-system-type (origin | peer); (local-dump | no-local-dump); port port-number; source-address address; version format; version9 { template template-name; } } interface interface-name { engine-id number; engine-type number; source-address address; } file { disable; filename filename; files number; size bytes; (stamp | no-stamp); (world-readable | no-world-readable); }
Para configurar la supervisión de flujo en línea en enrutadores serie MX, incluya la inline-jflow instrucción en el [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] nivel jerárquico. El muestreo en línea admite exclusivamente un nuevo formato llamado IP_FIX que utiliza UDP como protocolo de transporte. Cuando configure el muestreo en línea, debe incluir la version-ipfix instrucción en el [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] nivel de jerarquía y también en el [edit services flow-monitoring] nivel de jerarquía. Para obtener más información acerca de cómo configurar la supervisión de flujo en línea, consulte Configurar la supervisión de flujo activo en línea mediante enrutadores, conmutadores o NFX250.
Para dirigir el tráfico de muestras a una interfaz de monitoreo de flujo, incluya la interface instrucción. Las engine-id instrucciones y engine-type especifican los números de identidad y tipo de la interfaz; se generan dinámicamente según el concentrador de PIC flexible (FPC), pic y números de ranura, y el tipo de chasis. La source-address instrucción especifica el origen del tráfico.
A partir de Junos OS versión 19.3R1, para configurar la supervisión del flujo en línea en Juniper Sky Advanced Threat Prevention (ATP), incluya la flow-server instrucción en el [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] nivel jerárquico. El muestreo en línea admite exclusivamente un nuevo formato llamado IP_FIX que utiliza UDP como protocolo de transporte. Cuando configure el muestreo en línea, debe incluir la version-ipfix instrucción en el [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output flow-server address] nivel de jerarquía y también en el [edit services flow-monitoring] nivel de jerarquía.
Para configurar la salida del muestreo de flujo versión 9, debe incluir la template instrucción en el [edit forwarding-options sampling output version9] nivel jerárquico. Para obtener más información sobre cflowd, consulte Habilitación de la agregación de flujo.
La aggregate-export-interval instrucción se describe en Configurar contabilidad de descarte, y las instrucciones flow-active-timeout y flow-inactive-timeout las instrucciones se describen en Configurar supervisión de flujo.
Los resultados de muestras de tráfico se guardan automáticamente en un archivo del directorio/var/tmp . Para recopilar los paquetes de muestra en un archivo, incluya la file instrucción en el [edit forwarding-options sampling family inet output] nivel jerárquico:
file { disable; filename filename; files number; size bytes; (stamp | no-stamp); (world-readable | no-world-readable); }
Formato de salida de muestras de tráfico
La salida de muestras de tráfico se guarda en un archivo de texto ASCII. El siguiente es un ejemplo de la salida de muestra de tráfico que se guarda en un archivo en el directorio/var/tmp . Cada línea del archivo de salida contiene información para un paquete de muestra. Opcionalmente, puede mostrar una marca de hora para cada línea.
Los encabezados de columna se repiten después de cada grupo de 1000 paquetes.
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:57 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:58 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Para establecer la opción de marca de hora para el archivo my-sample, escriba lo siguiente:
[edit forwarding-options sampling output file] user@host# set filename my-sample files 5 size 2m world-readable stamp;
Cada vez que active la opción de marca de hora, se incluye un nuevo encabezado en el archivo. Si establece la stamp opción, se mostrará el Time campo.
# Apr 7 15:48:50 # Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags # Feb 1 20:31:21 # Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags
Rastreo de operaciones de toma de muestras de tráfico
Las operaciones de rastreo rastrean todas las operaciones de toma de muestras de tráfico y las registran en un archivo de registro en el directorio/var/log . De forma predeterminada, este archivo se denomina /var/log/sampled. El tamaño predeterminado del archivo es 128K, y 10 archivos se crean antes de que se sobrescriba el primero.
Para rastrear las operaciones de muestreo de tráfico, incluya la traceoptions instrucción en el [edit forwarding-options sampling] nivel de jerarquía:
traceoptions { no-remote-trace; file filename <files number> <size bytes> <match expression> <world-readable | no-world-readable>; }
Ejemplos de muestras de tráfico
- Ejemplo: toma de muestras de una sola interfaz SONET/SDH
- Ejemplo: toma de muestras de todo el tráfico desde una única dirección IP
- Ejemplo: toma de muestras de todo el tráfico FTP
Ejemplo: toma de muestras de una sola interfaz SONET/SDH
La siguiente configuración recopila información de muestras estadísticas de un pequeño porcentaje de todo el tráfico en una sola interfaz SONET/SDH y la recopila en un archivo denominado sonet-samples.txt.
Cree el filtro:
[edit firewall family inet]
filter {
input sample-sonet {
then {
sample;
accept;
}
}
}
Aplique el filtro a la interfaz SONET/SDH:
[edit interfaces]
so-0/0/1 {
unit 0 {
family inet {
filter {
input sample-sonet;
}
address 10.127.68.254/32 {
destination 172.16.74.7;
}
}
}
}
Por último, configure el muestreo de tráfico:
[edit forwarding-options]
sampling {
input {
family inet {
rate 100;
run-length 2;
}
}
family inet {
output {
file {
filename sonet-samples.txt;
files 40;
size 5m;
}
}
}
}
Ejemplo: toma de muestras de todo el tráfico desde una única dirección IP
La siguiente configuración recopila información estadística de cada paquete que entra en el enrutador en un puerto Gigabit Ethernet específico que se origina en una única dirección IP de origen de 172.16.92.31, y la recopila en un archivo denominado samples-172-16-92-31.txt.
Cree el filtro:
[edit firewall family inet]
filter one-ip {
term get-ip {
from {
source-address 172.16.92.31;
}
then {
sample;
accept;
}
}
}
Aplique el filtro a la interfaz de Gigabit Ethernet:
[edit interfaces]
ge-4/1/1 {
unit 0 {
family inet {
filter {
input one-ip;
}
address 10.45.92.254;
}
}
}
Por último, recopile estadísticas de todas las muestras candidatas; en este caso, recopile todas las estadísticas:
[edit forwarding-options]
sampling {
input {
family inet {
rate 1;
}
}
family inet {
output {
file {
filename samples-172-16-92-31.txt;
files 100;
size 100k;
}
}
}
}
Ejemplo: toma de muestras de todo el tráfico FTP
La siguiente configuración recopila información estadística sobre un porcentaje moderado de paquetes mediante el protocolo de transferencia de datos FTP en la ruta de salida de una interfaz T3 específica y recopila la información en un archivo denominado t3-ftp-traffic.txt.
Cree un filtro:
[edit firewall family inet]
filter ftp-stats {
term ftp-usage {
from {
destination-port [ftp ftp-data];
}
then {
sample;
accept;
}
}
}
Aplique el filtro a la interfaz T3:
[edit interfaces]
t3-7/0/2 {
unit 0 {
family inet {
filter {
input ftp-stats;
}
address 10.35.78.254/32 {
destination 10.35.78.4;
}
}
}
}
Por último, recopile estadísticas sobre el 10 % de las muestras candidatas:
[edit forwarding-options]
sampling {
input {
family inet {
rate 10;
}
}
family inet {
output {
file {
filename t3-ftp-traffic.txt;
files 50;
size 1m;
}
}
}
}
pre-rewrite-tos instrucción en el
[edit forwarding-options sampling] nivel de jerarquía.