Configuración de la supervisión activa del flujo en línea en enrutadores de la serie PTX
En este tema se describe cómo configurar la supervisión de flujo activo en línea en enrutadores de la serie PTX para tráfico IPv4 e IPv6.
Soporte de plataforma y características
En la Tabla 1 se enumera la compatibilidad de la plataforma de la serie PTX con varios tipos de tráfico para la supervisión activa del flujo en línea.
Plataforma |
Apoyo |
---|---|
Serie PTX3000 |
Junos OS 18.1R1: tráfico IPv4 e IPv6 (IPFIX y versión 9) Junos OS 18.2R1: tráfico MPLS, MPLS-IPv4 y MPLS-IPv6. |
Serie PTX5000 |
Junos OS 18.1R1: tráfico IPv4 e IPv6 (IPFIX y versión 9) Tráfico Junos OS 18.2R1, MPLS, MPLS-IPv4 y MPLS-IPv6. |
PTX1000 |
Junos OS 17.3R1: tráfico IPv4 e IPv6 (solo versión 9). |
PTX10001-36MR |
Junos OS Evolved 20.3R1: tráfico IPv4, IPv6, MPLS, MPLS-IPv4 y MPLS-IPv6. |
PTX10002-60C |
Junos OS 18.4R1: tráfico IPv4 e IPv6 (IPFIX y versión 9). Junos OS 19.4R1: tráfico MPLS, MPLS-IPv4 y MPLS-IPv6. |
PTX10003 |
Junos OS Evolved 19.3R1: tráfico IPv4 e IPv6 (IPFIX y versión 9). Junos OS Evolved 20.1R1: tráfico MPLS, MPLS-IPv4 y MPLS-IPv6. |
PTX10004 |
Junos OS Evolved 20.4R1: tráfico IPv4, IPv6, MPLS, MPLS-IPv4 y MPLS-IPv6 (IPFIX y versión 9). |
PTX10008 (con el JNP10008-SF3 y la tarjeta de línea JNP10K-LC1201) |
Junos OS Evolved 19.3R1: tráfico IPv4 e IPv6 (IPFIX y versión 9). Junos OS Evolved 20.1R1: tráfico MPLS, MPLS-IPv4 y MPLS-IPv6. |
PTX10008 (con el JNP10008-SF3 y la tarjeta de línea JNP10K-LC1202) |
Junos OS Evolved 20.3R1: tráfico IPv4, IPv6, MPLS, MPLS-IPv4 y MPLS-IPv6 (IPFIX y versión 9). |
PTX10008 (sin el JNP10008-SF3) y PTX10016 |
Junos OS 18.1R1: tráfico IPv4 e IPv6 (IPFIX y versión 9) Junos OS 18.2R1: tráfico MPLS, MPLS-IPv4 y MPLS-IPv6. |
Para configurar la supervisión de flujo en línea para el tráfico MPLS sobre UDP en enrutadores de la serie PTX, consulte Supervisión de flujo activo en línea de flujos MPLS sobre UDP en enrutadores de la serie PTX. La supervisión activa del flujo en línea para el tráfico MPLS a través de UDP no se admite en los enrutadores PTX10001-36MR, PTX10003, PTX10004 y PTX10008 (con el JNP10008-SF3).
A partir de Junos OS versión 18.2R1, puede configurar hasta cuatro recopiladores de una familia para la supervisión activa del flujo en línea. En versiones anteriores de Junos OS, solo se podía configurar un recopilador de una familia para la supervisión activa del flujo en línea. A partir de Junos OS Evolved 20.3R1, para los enrutadores PTX10003 y PTX10008 (con la tarjeta de línea JNP10K-LC1201 y el JNP10008-SF3), puede configurar hasta cuatro recopiladores para la supervisión activa del flujo en línea. A partir de Junos OS Evolved 20.4R1, para los enrutadores PTX10001-36MR y PTX10008 (con la tarjeta de línea JNP10K-LC1202 y el JNP10008-SF3), puede configurar hasta cuatro recopiladores para la supervisión activa del flujo en línea. A partir de Junos OS Evolved 21.1R1, para el enrutador PTX10004, puede configurar hasta cuatro recopiladores para la supervisión activa del flujo en línea. Para configurar un recopilador de una familia para la supervisión activa del flujo en línea, configure la flow-server
instrucción en el nivel de edit forwarding-options sampling-instance instance-name family (inet | inet6) output
jerarquía. Para especificar hasta cuatro recopiladores, incluya hasta cuatro flow-server
instrucciones.
La supervisión de flujo activo en línea se implementa en la CPU lógica (LCPU). Todas las funciones, como la creación de flujos, la actualización de flujos y la exportación de registros de flujo, las realiza la LCPU. Los registros de flujo se envían en formato IPFIX o en la versión 9.
A partir de Junos OS Evolved versión 21.2R1 y Junos OS versión 21.3R1, no se mantienen flujos. Cada paquete muestreado se considera un flujo. Cuando se recibe el paquete muestreado, se crea el flujo e inmediatamente se agota el tiempo de espera como inactivo, y el software exporta un registro al recopilador. Por lo tanto, el número de registros enviados al recopilador es mayor que antes. El registro de datos de plantilla de opciones IPFIX y versión 9 ahora contiene 0 en los campos (ID de elemento 36) y Flow Inactive Timeout
(ID de Flow Active Timeout
elemento 37). Por lo tanto, el registro de datos de plantilla de opciones no es compatible con IPFIX RFC 7011. El show services accounting flow inline-jflow fpc-slot slot
comando del Active Flows
modo operativo ahora muestra 0 para todos los campos yTimed Out
. Los valores de los distintos Total Flows
campos son ahora iguales a sus respectivos Flow Packets
valores de campo. Los valores de los distintos Flows Inactive Timed Out
campos son ahora iguales a sus respectivos Flow Packets
valores de campo. El efecto de la nexthop-learning
instrucción en el [edit services flow-monitoring version version template template-name]
nivel de jerarquía en este comportamiento sin flujo varía en función del sistema operativo. Para Junos OS evolucionado, no recomendamos configurar la nexthop-learning
instrucción, ya que reduce el número de paquetes que se pueden procesar. Para Junos OS, puede configurar la instrucción para cambiar este comportamiento predeterminado de no flujo y, una vez más, crear y mantener flujos y, a continuación, adjuntar la nexthop-learning
plantilla a todas las instancias de muestreo asociadas con FPC que requieran el comportamiento anterior.
Las siguientes limitaciones y restricciones se aplican a la función de supervisión de flujo activo en línea en Junos OS y Junos OS Evolved:
-
Los filtros MPLS de salida no son compatibles con los enrutadores PTX10001-36MR, PTX10003, PTX10004 y PTX10008 (con el JNP10008-SF3).
-
El enrutador PTX10001-36MR no admite la recopilación de muestreo FPC múltiple porque solo tiene 1 motor de enrutamiento.
-
Los informes de interfaz de salida verdadera (OIF) no se admiten para el muestreo de salida. En Junos OS Evolved, los informes de interfaz de salida verdadera (OIF) no se admiten para los paquetes desencapsulados GRE.
-
El campo de tipo de interfaz para la interfaz entrante verdadera no forma parte de la plantilla de la versión 9 porque este elemento no está presente en la versión de exportación de la versión 9.
-
Para el tráfico de túnel GRE en enrutadores PTX10003, la interfaz física se informa en el encabezado de capa 2 y se considera como una de las claves durante la creación del flujo. Por lo tanto, cuando las interfaces físicas se mueven dentro o fuera del paquete Ethernet agregado, se crea un nuevo flujo y los flujos antiguos se agotan después de un período de inactividad. La interfaz física, la interfaz lógica o la interfaz lógica agregada (según la configuración) se notifican como la interfaz entrante en los registros de exportación basados en la configuración.
Para el tráfico de túnel GRE en enrutadores PTX10008 (con el JNP10008-SF3), se configura una interfaz FTI para terminar un túnel GRE. Esta interfaz se utiliza durante la creación del flujo como una de las claves en lugar de la interfaz física. Por lo tanto, cuando una interfaz física se mueve dentro o fuera de un paquete Ethernet agregado, no se crea ningún flujo nuevo, ya que la clave permanece sin cambios. La interfaz física, la interfaz lógica o la interfaz lógica agregada (según la configuración) se notifican como la interfaz entrante en los registros exportados.
Cómo configurar la supervisión activa de flujo en línea en enrutadores de la serie PTX
RESUMEN En este ejemplo, configuramos una version-ipfix
plantilla para registrar flujos de tráfico IPv4 e IPv6.
- Configurar una plantilla para especificar las propiedades de salida
- Configurar una instancia de muestreo para especificar propiedades de entrada
- Asignar la instancia de muestreo a una FPC
- Configurar un filtro de firewall para aceptar y muestrear flujos
- Asignar el filtro de firewall a una interfaz
- Resultados de una configuración de ejemplo
Configurar una plantilla para especificar las propiedades de salida
-
Defina la plantilla y configure el tipo de flujo que debe registrar la plantilla.
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(Opcional) Configure propiedades de salida adicionales para la plantilla, como el intervalo de tiempo de espera de flujo y las frecuencias de actualización de la plantilla u opción, para controlar los registros de flujo.
Puede usar la opción para configurar la frecuencia con la
template-refresh-rate
que el generador de flujo envía actualizaciones sobre las definiciones de plantilla al recopilador de flujo, ya sea mediante el número de paquetes o los segundos.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (Opcional)
Si supervisa flujos MPLS, es decir, si la plantilla en uso está configurada para la familia de protocolos MPLS, use la
tunnel-observation
opción para identificar los tipos de flujos MPLS.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(Opcional) Habilite el aprendizaje de direcciones del próximo salto para que se informe de la verdadera interfaz de salida.
Nota:A partir de Junos OS Evolved 21.2R1, no recomendamos habilitar el aprendizaje de direcciones del próximo salto, ya que reduce el número de paquetes que se pueden procesar. Sin embargo, a partir de Junos OS versión 21.3R1, puede configurar la instrucción para cambiar el comportamiento predeterminado de no flujo y, una vez más, crear y mantener flujos y, a continuación, adjuntar la
nexthop-learning
plantilla a todas las instancias de muestreo asociadas con FPC que requieren el comportamiento anterior.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
Configurar una instancia de muestreo para especificar propiedades de entrada
-
Defina la instancia de muestreo y configure la proporción del número de paquetes que se van a muestrear. Por ejemplo, si especifica una velocidad de 10, se muestrea cada décimo paquete (1 paquete de cada 10).
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
Práctica recomendada:Se recomienda utilizar un valor de 1000 o superior para los flujos MPLS.
-
Configure la familia de protocolos para la instancia de muestreo y especifique un recopilador de flujo para enviar los agregados de tráfico.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(Opcional) Especifique el puerto UDP para el recopilador de flujo y la plantilla que se utilizará con la instancia de muestreo.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
Configure el procesamiento en línea de los paquetes de muestra.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
Asignar la instancia de muestreo a una FPC
-
Asigne la instancia de muestreo a la FPC en la que desea implementar la supervisión de flujo.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
Configurar un filtro de firewall para aceptar y muestrear flujos
-
Configure el filtro de firewall para la familia de protocolos y habilite el muestreo de flujos de tráfico.
[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
Asignar el filtro de firewall a una interfaz
-
Asigne el filtro de firewall de entrada a la interfaz que desea supervisar.
[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
Resultados de una configuración de ejemplo
A continuación se muestra un ejemplo de la configuración de muestreo para una instancia que admite la supervisión del flujo en línea de forma intermitentefamily inet
:family inet6
[edit chassis] fpc 0 { sampling-instance sample-1; }
[edit services] flow-monitoring { version-ipfix { template test-template { flow-active-timeout 30; flow-inactive-timeout 60; nexthop-learning { enable; } template-refresh-rate { seconds 10; } ipv4-template; } template v6 { ipv6-template; } } }
[edit interfaces] et-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; output ipv4-filter; } address 192.168.100.10/24; } } } et-1/0/2 { unit 0 { family inet6 { filter { input ipv6-filter; output ipv6-filter; } address 2001:db8:0:2::1/64; } } } lo0 { unit 0 { family inet { address 192.168.100.1/32; } } }
[edit forwarding-options] sampling { instance sample-1{ ipv4 { input { rate 10; } family inet { output { flow-server 10.208.174.127 { port 2055; version-ipfix { template { test-template; } } } inline-jflow { source-address 192.168.100.1; } } } family inet6 { output { flow-server 10.208.174.127 { port 2055; version-ipfix { template { v6; } } } inline-jflow { source-address 192.168.100.1; } } } } } }
[edit firewall] family inet { filter ipv4-filter { term ipv4-accept { then { accept; sample; } } } } family inet6 { filter ipv6-filter { term ipv6-accept { then { accept; sample; } } } }
Puede utilizar el comando mostrar flujo de contabilidad de servicios para comprobar las estadísticas de flujo activo.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.