EN ESTA PÁGINA

Descripción general de FBT
Configure FBT (series EX4100, EX4100-F y EX4400)

Telemetría basada en flujo (series EX4100, EX4100-F y EX4400)

La telemetría basada en flujo (FBT) permite análisis por nivel de flujo, utilizando servicios de monitoreo en línea para crear flujos, recopilarlos y exportarlos a un recolector utilizando la plantilla IPFIX estándar abierta para organizar el flujo.

Descripción general de FBT

Puede configurar telemetría basadas en flujo (FBT) para los conmutadores serie EX4100, EX4100-F y EX4400. FBT permite análisis por flujo mediante el uso de servicios de monitoreo en línea para crear flujos, recopilarlos y exportarlos a un recopilador. Con los servicios de supervisión en línea, puede supervisar cada paquete IPv4 e IPv6 en las direcciones de entrada y salida de una interfaz. Un flujo es una secuencia de paquetes que tienen la misma IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo en una interfaz. Para cada flujo, el software recopila varios parámetros y exporta el paquete real hasta la longitud de clip configurada a un recolector utilizando la plantilla IPFIX estándar abierta para organizar el flujo. Una vez que no hay tráfico activo para un flujo, el flujo caduca después del período de tiempo de espera inactivo configurado (configure la flow-inactive-timeout instrucción en el nivel de jerarquía [edit services inline-monitoring template template-name]). El software exporta un paquete IPFIX periódicamente en el intervalo del temporizador de flujo y exportación configurado. El identificador de dominio de observación se utiliza en el paquete IPFIX para identificar qué tarjeta de línea envió el paquete al recopilador. Una vez configurado, el software deriva un identificador único para cada tarjeta de línea basado en el valor del sistema establecido aquí.

Beneficios de FBT
Descripción general de exportación de flujo de FBT
Limitaciones y advertencias
Licencias
Vectores de caída (solo EX4100 y EX4100-F)

Beneficios de FBT

Con FBT, puede:

Cuente los rangos de ventanas de paquetes, TTL y TCP
Seguimiento y recuento de ataques de denegación de servicio (DS)
Analice la distribución de carga de grupos ECMP o grupos de agregación de vínculos (LAG) sobre los ID de miembro (solo EX4100 y EX4100-F)
Rastree la congestión de tráfico (solo EX4100 y EX4100-F)
Recopilar información sobre flujos multimedia (solo EX4100 y EX4100-F)
Recopilar información sobre el motivo por el que se caen los paquetes (solo EX4100 y EX4100-F)

Descripción general de exportación de flujo de FBT

Vea la Figura 1 para ver una plantilla de ejemplo, que muestra los identificadores, nombres y tamaños de los elementos de información:

Figura 1: Ejemplo de plantilla Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

de elemento de información de FBT

La Figura 2 muestra el formato de una plantilla de datos IPFIX de muestra para FBT:

Figura 2: Ejemplo de plantilla Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

de datos FBT IPFIX

La Figura 3 muestra el formato de un flujo IPFIX exportado de muestra para FBT:

Figura 3: Ejemplo de flujo IPFIX exportado para FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0.

Tabla 1: Mapeo de elementos
Element	Enterprise Descripción del ID de elemento
TIMESTAMP_FLOWSTART_VAL	1	Indica la marca de hora en la que se inició la recopilación de flujo TCP.
TIMESTAMP_FLOWEND_VAL	2	Indica la marca de hora en la que finalizó la recopilación de flujo TCP.
TIMESTAMP_NEW_LEARN_VAL	3	Marca de tiempo cuando se aprende un nuevo flujo en la tabla de flujos.
PKT_RANGE_CNTR1_VAL	4	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR2_VAL	5	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR3_VAL	6	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR4_VAL	7	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR5_VAL	8	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR6_VAL	9	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR7_VAL	10	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
PKT_RANGE_CNTR8_VAL	11	Proporciona el número de paquetes en diferentes categorías de tamaño. El usuario puede optar por 4 categorías o 6 categorías en la plantilla. El sistema clasifica los paquetes en cubos de diferentes tamaños según corresponda y cuente. (función de contraperfil)
MIN_PKT_LENGTH_VAL	12	Proporciona el número de paquetes que tienen un tamaño superior al tamaño definido. El rango de tamaño configurable está entre 64 y 9000 bytes.
MAX_PKT_LENGTH_VAL	13	Proporciona el número de paquetes que tienen un tamaño inferior al tamaño definido. El rango de tamaño configurable está entre 64 y 9000 bytes.
TCP_WINDOW_RANGE_CNTR_VAL	15	Cuenta los paquetes dentro del intervalo de ventanas TCP especificado.
DOS_ATTACK_ID_VAL	16	Informa el vector de ataque DDoS.
TTL_RANGE1_CNTR_VAL	17	Proporciona el número de paquetes dentro de un rango de valores TTL específico.
TTL_RANGE2_CNTR_VAL	18	Proporciona el número de paquetes dentro de un rango de valores TTL específico.
DOS_ATTACK_PKT_CNTR_VAL	19	Número de paquetes de ataque DDoS.
CUSTOM_PKT_RANGE_START_VAL	20	Proporciona el número de paquetes dentro del intervalo de tamaño configurado. Puede definir el rango de tamaño entre 64 y 9000 bytes configurando la `counter-profile` instrucción en el nivel jerárquico `[edit services inline-monitoring]` . Por ejemplo: `set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500`.
CUSTOM_TTL_RANGE_START_VAL	30	Proporciona el número de paquetes dentro del intervalo TTL configurado. Puede definir el intervalo TTL entre 0 y 255 configurando la `counter-profile` instrucción en el nivel de `[edit services inline-monitoring]` jerarquía. Por ejemplo: `set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15`.
CUSTOM_TCP_WINDOW_RANGE_START_VAL	40	Proporciona el número de paquetes dentro del intervalo de ventanas TCP configurado. Puede definir el intervalo de ventanas TCP entre 0 y 65535 configurando la `counter-profile` instrucción en el nivel de `[edit services inline-monitoring]` jerarquía. Por ejemplo: `set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000`.
INTER_ARRIVAL_TIME	50	La diferencia de tiempo entre dos paquetes consecutivos en la entrada (por flujo).
INTER_DEPARTURE_TIME	51	La diferencia de tiempo entre dos paquetes consecutivos en la salida (por flujo).
CHIP_DELAY	52	La cantidad de tiempo que tarda el paquete en transitar por el ASIC.
SHARED_POOL_CONGESTION	53	Nivel de congestión de grupo compartido
QUEUE_CONGESTION_LEVEL	54	Nivel de congestión de la cola
INGRESS_DROP_REASON	55	El motivo por el que se cae el paquete al ingresar.
INGRESS_DROP_REASON_PKT_CNTR_VAL	56	Número de paquetes caídos en la entrada.
EGRESS_DROP_REASON	57	El motivo por el que se cae el paquete en la salida.
EGRESS_DROP_REASON_PKT_CNTR_VAL	58	Número de paquetes caídos en la salida.
AGGREGATE_INTF_MEMBER_ID	59	ID de un miembro de un grupo de agregación de vínculos (LAG) o de un grupo de multirrutas de igual costo (ECMP)
AGGREGATE_INTF_GROUP_ID	60	ID de un grupo de agregación de vínculos (LAG)
MMU_QUEUE_ID	61	Indica el ID de cola al que pertenece el paquete.
UNKNOWN_ID_VAL	254	No se aplica al cliente. Interna de Juniper.
RESERVED_ID_VAL	255	No se aplica al cliente. Interna de Juniper.

Cuando se crea una nueva configuración de servicios de supervisión en línea o se cambia una existente, el software envía inmediatamente la exportación de flujo periódico de la plantilla de datos a los recopiladores respectivos, en lugar de esperar hasta la siguiente hora de envío programada.

Limitaciones y advertencias

Las interfaces IRB son compatibles. A partir de la versión 25.2R1 de Junos OS, se admiten filtros de firewall L2.
Solo se admiten 8 instancias de monitoreo en línea y 8 recopiladores por instancia.
Los registros de flujo están limitados a 128 bytes de longitud.
El recopilador debe ser accesible a través de la interfaz de circuito cerrado o una interfaz de red, no solo a través de una interfaz de administración.
Solo puede configurar un recopilador en la misma instancia de enrutamiento que los datos. No puede configurar un recopilador en una instancia de enrutamiento diferente.
No puede configurar un identificador de plantilla de opción o una clase de reenvío.
No se admiten el registro de datos de opción IPFIX ni la plantilla de datos de opción IPFIX.
Los perfiles de funciones no se admiten en conmutadores EX4400.
Si realiza algún cambio en la configuración del perfil de función, debe reiniciar el dispositivo.
(Solo EX4100 y EX4100-F) Si configura alguna de las entidades de congestión o salida en el perfil de entidad para una instancia de supervisión en línea, no puede configurar un perfil de contador para una plantilla en esa instancia.
(Solo EX4100 y EX4100-F) Dado que las funciones de congestión y salida recopilan una gran cantidad de datos, solo puede configurar 4 o 5 de estas funciones por instancia de supervisión en línea.
(Solo EX4100 y EX4100-F) Para el seguimiento de flujo de multidifusión, una copia de entrada puede producir varias copias de salida. Todas las copias pueden actualizar la misma entrada. Por lo tanto, puede realizar un seguimiento de los resultados agregados de todas las copias del mismo flujo de multidifusión.

Licencias

Debe obtener una licencia permanente para habilitar FBT. Para comprobar si tiene una licencia para FBT, ejecute el show system license comando en modo operativo:

Para los conmutadores EX4100 y EX4100-F, necesita la licencia S-EX4100-FBT-P. Para los conmutadores EX4400, necesita la licencia S-EX-FBT-P.

Vectores de caída (solo EX4100 y EX4100-F)

FBT puede informar más de 100 razones de abandono. Los vectores de caída son vectores muy grandes, demasiado grandes para ser razonablemente acomodados en un registro de flujo. Por lo tanto, el software agrupa y comprime los vectores de caída en un vector de gota comprimido de 16 bits y, a continuación, pasa ese vector de caída a la tabla de flujo. El vector de gota comprimido de 16 bits corresponde a un grupo de vectores de gota determinado. La Tabla 2 y la Tabla 3 describen cómo se agrupan los vectores de caída para formar un vector de gota comprimido particular de 16 bits.

Tabla 2: Grupos de vectores de caída de entrada (solo EX4100 y EX4100-F)
Motivo de la caída del	ID de grupo
1	Caída de MMU
2	TCAM, PVLAN
3	Ataque DS o fallo de circuito cerrado LAG
4	ID de VLAN no válido, TPID no válido o el puerto no está en la VLAN
5	Reenvío del protocolo de árbol de expansión (STP), unidad de datos del protocolo de puente (BPDU), protocolo, CML
6	Ruta de origen, descarte de origen L2, descarte de destino L2, deshabilitación de L3, etc.
7	TTL L3, encabezado L3, encabezado L2, error de búsqueda de origen L3, error de búsqueda de destino L3
8	Resolución ECMP, control de tormentas, multidifusión de entrada, error de siguiente salto de entrada

Tabla 3: Grupos de vectores de caída de salida (solo EX4100 y EX4100-F)
Motivo de la caída del	ID de grupo
1	Tráfico de unidifusión MMU
2	Tráfico de unidifusión de detección temprana aleatoria ponderada (WRED) MMU
3	MMU RQE
4	Tráfico de multidifusión MMU
5	TTL de salida, stgblock
6	Caídas del procesador de campo de salida
7	Gotas de IPMC
8	Caídas de control de calidad de servicio (QoS) de salida

Configure FBT (series EX4100, EX4100-F y EX4400)

FBT permite análisis por flujo mediante el uso de servicios de monitoreo en línea para crear flujos, recopilarlos y exportarlos a un recopilador. Un flujo es una secuencia de paquetes que tienen la misma IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo en una interfaz. Para cada flujo, se recopilan varios parámetros y se envían a un recolector utilizando la plantilla IPFIX estándar abierta para organizar el flujo. Una vez que no hay tráfico activo para un flujo, el flujo caduca después del período de tiempo de espera inactivo configurado (configure la flow-inactive-timeout instrucción en el nivel de jerarquía [edit services inline-monitoring template template-name]). El software exporta un paquete IPFIX periódicamente en el intervalo del temporizador de flujo y exportación configurado. El identificador de dominio de observación se utiliza en el paquete IPFIX para identificar qué tarjeta de línea envió el paquete al recopilador. Una vez configurado, el software deriva un identificador único para cada tarjeta de línea basado en el valor del sistema establecido aquí.

Para configurar la telemetría basada en flujo:

Defina la plantilla IPFIX.

Para configurar los atributos de la plantilla:

En este ejemplo, el período de tiempo de espera del flujo inactivo se establece en 10 segundos, el ID de dominio de observación se establece en 25, la frecuencia de actualización de la plantilla se establece en 30 segundos y configuró un identificador de plantilla

Adjunte una plantilla a la instancia y describa el recopilador.

Para configurar la instancia y el recopilador:

En este ejemplo, cree una plantilla con el nombre template_1, cree una instancia i1de supervisión en línea y cree la configuración para el recopilador c2:

Cree un filtro de firewall y configure la accióninline-monitoring-instance.

Para configurar el filtro de firewall:

En este ejemplo, configure un filtro de firewall IPv4 denominado ipv4_ingress, con el término name rule1 que contiene la acción inline-monitoring-instance, y la instancia i1 de supervisión en línea se le asigna:

Asigne el filtro de firewall a la familia bajo la unidad lógica de la interfaz ya configurada para aplicar la supervisión en línea en la dirección de entrada.
Para asignar el filtro de firewall:
En este ejemplo, asigne el ipv4_ingress filtro de firewall a la inet familia de interfaz lógica 0 de la interfaz física et-0/0/1:

(Opcional) Configure el perfil y la velocidad de muestreo, configure el perfil para el cual los contadores se exportarán al recopilador, configure el caudal y el tamaño de ráfaga, y habilite el análisis de seguridad para la telemetría basada en flujos:

Para configurar las propiedades de supervisión de flujo:

En este ejemplo, el perfil de muestreo se establece en Aleatorio, la velocidad de muestreo se establece en cada 512 bytes, el perfil de contador se establece en Per_flow_6_counters, la velocidad de flujo se establece en 100000 kbps, el tamaño de ráfaga se establece en 2048 bytes y se habilitan los análisis de seguridad:

(Opcional, solo conmutadores EX4100 y EX4100-F) Configure un perfil de funciones para recopilar más datos sobre los paquetes a medida que se mueven por el conmutador.
Por ejemplo, podría supervisar la congestión o recopilar información sobre por qué se caen los paquetes. Puede habilitar el análisis de seguridad aquí o en el paso anterior. Para configurar un perfil de función:
Debe reiniciar el sistema para que el perfil de funciones surta efecto. Dado que las funciones de supervisión de distribución de interfaz agregada, congestión y salida recopilan una gran cantidad de datos, solo puede configurar 4 o 5 de estas funciones por instancia de supervisión en línea. Las instrucciones que configuran estas características son:
- aggregate-intf-member-id
- egress-drop-reason
- inter-departure-time
- queue-congestion-level
- shared-pool-congestion
Después de confirmar la configuración y reiniciar el sistema, utilice el show services inline-monitoring feature-profile-mapping fpc-slot slot-number comando para comprobar que las funciones se configuraron correctamente.
Después de confirmar la configuración, supervise las estadísticas de monitoreo en línea con el show services inline-monitoring statistics fpc-slot slot-number comando.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento

Descripción

22.2R1

Ahora puede configurar la telemetría basada en flujo (FBT) para los conmutadores serie EX4100 y EX4100-F, y configurar elementos adicionales para realizar un seguimiento de un flujo mediante la feature-profile name features instrucción en el [edit inline-monitoring] nivel de jerarquía.

21.1R1

Puede configurar la telemetría basada en flujo (FBT) para los conmutadores serie EX4400. FBT permite análisis por flujo mediante el uso de servicios de monitoreo en línea para crear flujos, recopilarlos y exportarlos a un recopilador.