Configuración de la supervisión del flujo activo en línea para usar plantillas de flujo IPFIX en enrutadores MX, vMX y serie T, Conmutadores serie EX, dispositivos Serie NFX y firewalls serie SRX
El uso de IPFIX le permite definir una plantilla de registro de flujo adecuada para el tráfico IPv4 o IPv6. Las plantillas se transmiten al recopilador periódicamente y el recopilador no afecta la configuración del enrutador. Puede definir la frecuencia de actualización de la plantilla, el tiempo de espera activo del flujo y el tiempo de espera de inactividad.
Si se envían registros de flujo para varias familias de protocolos (por ejemplo, para IPv4 e IPv6), cada flujo de familia de protocolos tiene un ID de dominio de observación único. Las siguientes secciones contienen información adicional:
A partir de Junos OS versión 17.3R1, las plantillas de flujo IPFIX son compatibles con los conmutadores QFX10002.
A partir de Junos OS versión 17.4R1, las plantillas de flujo IPFIX son compatibles con los conmutadores QFX10008 y QFX10016.
A partir de Junos OS versión 19.4R1, las plantillas de flujo IPFIX son compatibles con dispositivos SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, firewall virtual vSRX y vSRX3.0.
A partir de Junos OS versión 20.1R1, las plantillas de flujo IPFIX son compatibles con dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
A partir de Junos OS versión 20.4R1, las plantillas de flujo IPFIX son compatibles con dispositivos NFX150, NFX250 NextGen y NFX350.
(Solo firewalls SRX) La supervisión del flujo activo en línea actúa sobre un flujo con respecto a la sesión. Cuando la descarga de servicios (SOF), PMI o ambas están habilitadas para una sesión determinada, la supervisión de flujo activo en línea no se admite para esa sesión. Si una sesión es manejada por PMI o SOF, la supervisión de flujo activo en línea está deshabilitada para ese flujo.
Configuración de las propiedades de la plantilla IPFIX
Para definir las plantillas IPFIX, incluya las siguientes instrucciones en el nivel de [edit services flow-monitoring version-ipfix] jerarquía:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Los siguientes detalles se aplican a las instrucciones de configuración:
-
Asigne a cada plantilla un nombre único incluyendo la
template template-nameinstrucción. -
A continuación, especifique cada plantilla para el tipo de tráfico adecuado incluyendo la opción
ipv4-templateoipv6-template. -
Dentro de la definición de plantilla, puede incluir opcionalmente valores para las
flow-active-timeoutinstrucciones yflow-inactive-timeout. Estas instrucciones tienen valores predeterminados y de rango específicos cuando se utilizan en definiciones de plantilla; El valor predeterminado es de 60 segundos y el intervalo es de 10 a 600 segundos. -
También puede incluir valores para las
option-refresh-rateinstrucciones andtemplate-refresh-ratedentro de una definición de plantilla. Para ambas propiedades, puede incluir un valor de temporizador (en segundos) o un recuento de paquetes (en número de paquetes). Para lasecondsopción, el valor predeterminado es 600 y el intervalo va de 10 a 600. Para lapacketsopción, el valor predeterminado es 4800 y el intervalo va de 1 a 480.000. -
Para filtrar el tráfico IPv6 en una interfaz de medios, se admite la siguiente configuración:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Restricciones
Las siguientes restricciones se aplican a las plantillas IPFIX:
-
No se muestrea el tráfico del motor de enrutamiento saliente. Se aplica un filtro de firewall como resultado en la interfaz de salida, que muestrea los paquetes y exporta los datos. Para el tráfico de tránsito, el muestreo de salida funciona correctamente. Para el tráfico interno, el siguiente salto se instala en el motor de reenvío de paquetes, pero los paquetes de muestra no se exportan.
-
Los flujos se crean solo después de que se complete la operación de resincronización del registro de ruta, que tarda 120 segundos.
-
El campo ID de VLAN se actualiza cuando se crea un nuevo registro de flujo y, por lo tanto, es posible que cualquier cambio en el ID de VLAN después de que se haya creado el registro no se actualice en el registro.
Personalización del ID de plantilla, el ID de dominio de observación y el ID de origen para plantillas de flujo IPFIX
A partir de Junos OS versión 14.1, puede definir una plantilla de registro de flujo IPFIX adecuada para tráfico IPv4, tráfico IPv6, tráfico MPLS, una combinación de tráfico IPv4 y MPLS, o tráfico de facturación de AS par. Las plantillas y los campos incluidos en la plantilla se transmiten al recopilador periódicamente, y no es necesario que este conozca la configuración del enrutador. Puede especificar el identificador único para las plantillas versión 9 e IPFIX. El identificador de una plantilla es localmente único dentro de una combinación de una sesión de transporte y un dominio de observación. Los ID de plantilla del 0 al 255 están reservados para conjuntos de plantillas, conjuntos de plantillas de opciones y otros conjuntos para uso futuro. Los ID de plantilla de los conjuntos de datos se numeran del 256 al 65535. Normalmente, este elemento o campo de información de la plantilla se utiliza para definir las características o propiedades de otros elementos de información de una plantilla. Después de reiniciar el proceso de exportación de plantillas, puede reasignar los ID de plantilla.
Esta funcionalidad para configurar el ID de plantilla, el ID de plantilla de opciones, el ID de dominio de observación y el ID de origen se admite en todos los enrutadores con MPC.
Los conjuntos de datos correspondientes y los conjuntos de datos de opciones contienen el valor de los ID de plantilla y los ID de plantilla de opciones, respectivamente, en el campo ID de conjunto. Este método permite al recopilador hacer coincidir un registro de datos con un registro de plantilla.
Para obtener más información sobre cómo especificar el ID de origen, el ID de dominio de observación, el ID de plantilla y el ID de plantilla de opciones para los flujos de la versión 9 e IPFIX, consulte Configurar el ID de dominio de observación y el ID de origen para flujos de la versión 9 e IPFIX y Configurar el ID de plantilla y el ID de plantilla de opciones para los flujos de la versión 9 e IPFIX.
Plantillas IPFIX
Para obtener información sobre las definiciones de los campos incluidos en las plantillas IPFIX IPv4 e IPv6, consulte Plantillas IPFIX y versión 9.
Verificación
Los siguientes comandos show son compatibles con IPFIX:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Ejemplo: Configuración de plantillas de flujo IPFIX y muestreo de flujo
En el ejemplo siguiente se muestra una configuración de plantilla IPFIX:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
En el siguiente ejemplo, se aplica la plantilla IPFIX para habilitar el muestreo de tráfico para facturación:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Ejemplo: Configuración de plantillas de flujo y muestreo de flujo de supervisión de flujo activo en línea versión 9
En el siguiente ejemplo, se muestra la configuración de la plantilla IPv4 de la supervisión activa de flujo activo en línea versión 9:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
En el siguiente ejemplo, se muestra la configuración de la plantilla IPv6 de la supervisión activa de flujo en línea versión 9:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
En el siguiente ejemplo, se muestra la configuración de exportación y muestreo de tráfico IPv4 de la supervisión de flujo activo en línea versión 9:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
En el siguiente ejemplo, se muestra la configuración de exportación y muestreo de tráfico de IPv6 de la supervisión activa en línea versión 9:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
En el siguiente ejemplo, se muestra el enlace de interfaz de muestreo de Active Flow Monitoring versión 9 en línea (mediante la interfaz):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
En el siguiente ejemplo, se muestra el enlace de interfaz de muestreo de la supervisión de flujo activo en línea versión 9 con el filtro de firewall (mediante filtros):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Ejemplo: Configuración de plantillas de flujo IPFIX y muestreo de flujo
En el siguiente ejemplo, se muestra la configuración de la plantilla IPv4 IPFIX:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
En el siguiente ejemplo, se muestra la configuración de la plantilla IPv6 IPFIX:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
En el siguiente ejemplo, se muestra el muestreo de tráfico de IPv4 IPFIX y la configuración de exportación:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
En el siguiente ejemplo, se muestra el muestreo de tráfico de IPv6 de IPFIX y la configuración de exportación:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.