Configuración de la generación de registros de eventos NAT en formato de registro de supervisión de flujo en un enrutador de la serie MX o NFX250

Habilitar las capacidades de syslog y Jflow al mismo tiempo podría generar impactos de escalado, ya que ambos mecanismos usan una infraestructura independiente para transferir registros al recopilador.

Un número elevado de eventos NAT puede causar consideraciones de escalabilidad debido a que el marco de supervisión de flujo también requiere procesos del sistema.

La infraestructura de registro de supervisión de flujo utiliza CPU de datos para enviar los registros al servidor de flujo externo, lo que podría causar un ligero impacto en el rendimiento.

Se implementa un límite máximo explícito e independiente en el número de mensajes de monitoreo de flujo que se generan para los eventos de error NAT. Puede controlar el número máximo de eventos de error NAT para los que se deben registrar registros en formato de supervisión de flujo incluyendo la message-rate-limit messages-per-second opción en el nivel de [edit interfaces interface-name services-options jflow-log] jerarquía. Estos registros de eventos de error NAT se generan cuando las direcciones para la asignación del grupo NAT no están disponibles, cuando los puertos para la asignación a un suscriptor no están disponibles o cuando se supera la cuota asignada para eventos NAT (se solicita más del número configurado de puertos). Además, puede configurar la message-rate-limit opción que existía anteriormente en el nivel de [edit interfaces interface-name services-options syslog] jerarquía para especificar el número máximo de mensajes de registro del sistema por segundo que se pueden enviar desde la PIC al motor de enrutamiento (local) o a un servidor externo (remoto).

Los eventos de error NAT como "Fuera de puertos", "Fuera de direcciones" y "Cuota superada" tienen una tasa limitada. El límite de velocidad predeterminado es de 10.000 eventos por segundo. Esta opción también se puede configurar a nivel de PIC.

La plantilla para el registro de eventos NAT está de acuerdo con IETF como elementos de información IPFIX para registrar eventos NAT: draft-ietf-behave-ipfix-nat-logging-02.

Solo se admite el registro basado en UDP, que es un protocolo poco confiable.

Esta funcionalidad se admite en enrutadores de la serie MX con paquetes de proveedor de extensiones de Junos OS instalados y configurados en el dispositivo, así como en MS-MPC, MS-PIC y MX-SPC3. No se admite en MS-DPC con enrutadores de la serie MX.

La transmisión de registros se produce en formato de texto sin cifrar similar a otros mensajes de registro que las PIC de servicios no cifran. Se supone que el transporte de registros y el posicionamiento del recopilador de registros se encuentran dentro de un ámbito seguro. Debido a que los mensajes no contienen detalles confidenciales como nombre de usuario o contraseñas, los mensajes no causan ningún riesgo de seguridad o confiabilidad.

Los ID de plantilla del 0 al 255 están reservados para conjuntos de plantillas y el número máximo de plantillas admitidas para registrar eventos en formato de supervisión de flujo es 255. Cuando se modifica una configuración de perfil de plantilla (cambios en el recopilador o la versión, o una desactivación y activación del conjunto de servicios asociado a la plantilla), la plantilla específica se anula y se vuelve a registrar. Sin embargo, la infraestructura de supervisión de flujo requiere 10 minutos de forma predeterminada como período de retraso para que se liberen los ID de plantilla. Como resultado, si modifica la configuración del perfil de plantilla muchas veces dentro del período de 10 minutos, se superará el límite máximo de 255 ID de plantilla y no se registrarán más plantillas. En tal caso, cuando las plantillas no se están registrando, debe esperar hasta el período de retraso para eliminar una plantilla anulada de 10 minutos antes de realizar más cambios de configuración para tener plantillas registradas con la aplicación de supervisión de flujo. Para examinar si se ha registrado una plantilla, puede utilizar el show services service-sets statistics jflow-log comando. Si el campo Enviado muestra un valor distinto de cero para los registros de plantilla, indica que las plantillas se han registrado correctamente.

En un escenario en el que la capacidad de registrar eventos NAT en formato de supervisión de flujo está habilitada en el nivel de conjunto de servicios, y si el PIC se inicia, las plantillas de registro de supervisión de flujo se registran con la aplicación de supervisión de flujo. Durante el proceso de registro, se envía un primer conjunto de 12 registros de plantilla al recopilador. Sin embargo, es posible que todos los registros de plantilla no lleguen al recopilador desde la PIC del enrutador o que no se transmitan fuera del enrutador porque es posible que la interfaz no esté activa desde la perspectiva del motor de reenvío de paquetes. Después de que expire el tiempo de actualización de una plantilla, se envía al recopilador el siguiente conjunto de registros de plantilla. Por ejemplo, si el tiempo de actualización de la plantilla es de 60 segundos, sólo después de 60 segundos desde el momento del arranque de la PIC, los registros de plantilla se envían correctamente al recopilador.

Si no se producen problemas en la transmisión de mensajes de registro de supervisión de flujo al recopilador desde la PIC, el campo Enviado se incrementa para indicar los eventos NAT que se registran para cada evento. Además, la utilidad tcpdump en la dirección IP de destino del recopilador denota la recepción de paquetes UDP. Si se produce el procesamiento de NAT y el valor de la sección de la Dropped salida del show services service-sets statistics jflow-log service-set service-set-name comando se incrementa o no se incrementa, debe examinar las estadísticas y los contadores de depuración para determinar si existe algún problema en la red para la transmisión de los mensajes de registro de supervisión de flujo.