Sonda Inband Flow Analyzer (IFA) 2.0 para monitoreo de flujo en tiempo real
El analizador de flujo en banda (IFA) 2.0 recopila datos por salto en toda la red. Estos datos se exportan a recopiladores externos para realizar análisis localizados o de extremo a extremo.
Analizador de flujo en banda 2.0
- Descripción general del analizador de flujo en banda 2.0
- Beneficios
- Modos (Solo Junos OS evolucionado)
- Proceso de analizador de flujo en banda
- Encabezados de paquetes de la sonda IFA
- Marcas de cola para paquetes de sonda IFA (solo QFX5220)
- Funciones admitidas en los nodos IFA
- Limitaciones de la configuración de IFA 2.0
- Consideraciones de uso
Descripción general del analizador de flujo en banda 2.0
Inband Flow Analyzer 2.0 (IFA 2.0) es una función que se puede utilizar para supervisar y analizar paquetes a medida que entran y salen de la red. Como administrador de red, puede usar esta función para recopilar datos relacionados con las rutas que los paquetes toman a través de la red y cuánto tiempo pasan los paquetes en cada salto. Estos datos proporcionan una indicación de latencia excesiva y posible congestión. Esta función le ayuda a obtener información sobre redes complejas mediante la recopilación de datos de flujo por salto en el plano de datos.
IFA utiliza paquetes de sonda para recopilar datos de flujo en toda la red. IFA muestrea el flujo de interés y genera paquetes de sondeo. Estos paquetes son representativos del flujo original y poseen las mismas características que el flujo original. Esto significa que los paquetes IFA recorren la misma ruta en la red y las mismas colas en el elemento de red que el paquete original. Como resultado, los paquetes de la sonda IFA atraviesan la misma ruta de red que el flujo original, experimentando latencia y congestión similares.
Puede utilizar Inband Flow Analyzer 2.0 (IFA 2.0) para recopilar información de datos de flujo, como la siguiente:
- Tiempo de residencia (latencia)
- Latencia por salto
- Número de puerto de entrada por salto
- Número de puerto de salida por salto
- Valor de marca de tiempo del paquete recibido
- ID de cola
- Notificación de congestión
- Velocidad del puerto de salida
IFA 2.0 se define en el borrador de GTI-I titulado Inband Flow Analyzer, draft-kumar-ippm-ifa-02.
Beneficios
- Los paquetes de sonda IFA atraviesan la misma ruta de red que el flujo original, lo que le ayuda a monitorear la red en busca de fallas y problemas de rendimiento.
- Monitorea el tráfico en vivo y, por lo tanto, ayuda a realizar análisis de latencia a nivel de paquete y monitoreo de congestión de colas para optimizar el rendimiento de la red.
Modos (Solo Junos OS evolucionado)
A partir de la versión 25.4R1 de Junos OS evolucionado, admitimos dos modos para la función IFA 2.0. Los nuevos modos son los siguientes:
-
En el modo en vivo, para los conmutadores que lo admiten, IFA 2.0 utiliza los paquetes originales como paquetes de sonda IFA.
-
En el modo de sondeo, IFA 2.0 utiliza copias de los paquetes originales como paquetes de sondeo IFA. Este modo es el predeterminado y se comporta de la misma manera que lo hacía esta función antes de la versión 25.4R1 de Junos OS evolucionado.
Cuando configure un nodo iniciador IFA para iniciar paquetes de sondeo IFA:
-
En el modo en vivo, el iniciador inserta encabezados y metadatos IFA en los paquetes en vivo.
-
En el modo de sondeo, el iniciador muestrea el flujo y copia ese muestreo para crear el sondeo.
Cuando configure un nodo terminador IFA para analizar el encabezado IFA en el paquete a fin de determinar si se trata de un paquete activo o de sondeo:
-
Si se trata de un paquete activo, el terminador elimina la capa IFA y reenvía el paquete dinámico modificado a su destino.
-
Si el paquete es un paquete de sondeo, el terminador lo descarta y envía una copia espejo al recopilador.
Para especificar el modo, configure la mode (live | probe) instrucción en el nivel de [edit services inband-flow-telemetry] jerarquía. El modo predeterminado es probe. Utilice el comando para ver los resultados del show services inband-flow-telemetry global sondeo que incluyen la información del modo.
Proceso de analizador de flujo en banda
IFA utiliza los siguientes nodos de procesamiento (como se muestra en la Figura 1) para monitorear y analizar flujos:
- Nodo iniciador IFA (también conocido como nodo de entrada)
- nodo de tránsito IFA
- Nodo de terminación IFA (también conocido como nodo de salida)
IFA 2.0 admite el procesamiento de flujos de capa 3 (L3) y VXLAN, pero no puede configurar IFA para flujos L3 y VXLAN en el mismo dispositivo. Las opciones de tipo flujo son mutuamente excluyentes. Utilice la flow-type instrucción de configuración para establecer el tipo de flujo de interés, ya sea L3 o VXLAN. La instrucción solo se configura flow-type para el iniciador IFA y los nodos de terminación IFA (por lo general, nodos leaf). Para un nodo de tránsito IFA (generalmente un nodo spine), no es necesario configurar la flow-type instrucción.
IFA
La Tabla 1 resume las diferentes funciones que realizan los nodos de procesamiento IFA:
| Función | de nodo IFA |
|---|---|
| Nodo iniciador IFA | Muestrea el tráfico de flujo de interés (L3 o VXLAN) y crea una copia IFA agregando un encabezado IFA a cada muestra. Si configuró el modo en vivo, el iniciador inserta encabezados y metadatos IFA en los paquetes en vivo. |
| nodo de tránsito IFA | Identifica los paquetes IFA y anexa sus metadatos a la pila de metadatos del paquete.
|
| nodo de terminación IFA |
Nota:
La funcionalidad de terminación de IFA requiere una licencia válida de la función de telemetría avanzada (ATF) de Juniper. |
Encabezados de paquetes de la sonda IFA
Un paquete de sonda IFA 2.0 contiene lo siguiente:
- Encabezado IFA
- Encabezado de metadatos IFA
- Pila de metadatos IFA
La Figura 2 muestra el formato de paquete L3 IFA 2.0 en el nodo iniciador IFA:
IFA
La Figura 3 muestra el formato de paquete VXLAN IFA 2.0 en el nodo iniciador IFA.
Cuando se usa VXLAN, los encabezados IFA se agregan después de la encapsulación de VXLAN mediante un mecanismo de tres pasos.
Encabezado IFA
IFA 2.0 define un encabezado de capa superior (ULH), similar a cómo TCP, UDP, encapsulación de enrutamiento genérico (GRE) y protocolo de árbol de expansión (STP) definen un ULH. El ULH IFA es siempre el primer encabezado después del encabezado IP, incluso si hay otros encabezados de extensión IPv4. El NextHdr campo (es decir, el Protocol Type campo del encabezado IFA) lleva el valor del campo de protocolo de encabezado IP original. La Figura 4 muestra el formato de encabezado IFA.
IFA
| Descripción del campo de encabezado de IFA | |
|---|---|
| Versión IFA | Versión del encabezado IFA. En la implementación actual, la versión IFA es 2.0. |
| GNS | Espacio de nombres global (GNS) para metadatos IFA. El nodo iniciador de IFA establece el valor de este campo como 0xF. |
| Tipo de protocolo | Tipo de protocolo de encabezado IP. Este valor se copia del encabezado IP. |
| BANDERAS | Sin usar |
| Longitud MAX | Longitud máxima permitida de la pila de metadatos en múltiplos de cuatro octetos. El nodo iniciador inicializa este campo. Cada nodo de la ruta compara la longitud actual con la longitud máxima. Si la longitud actual es igual o superior a la longitud máxima, el nodo de tránsito deja de insertar metadatos. Puede configurar esta longitud máxima permitida. El valor predeterminado es 240 octetos (para 30 saltos). |
Encabezado de metadatos IFA
IFA 2.0 define un encabezado de metadatos compacto de 4 bytes como se muestra en la Figura 5. El nodo iniciador de IFA agrega este encabezado al paquete de sondeo.
| Descripción | del campo de encabezado de metadatos de IFA |
|---|---|
| Vector de solicitud | Especifica la presencia de campos según lo especificado por el GNS. Sin usar. |
| Vector de acción | Especifica la acción local del nodo o la acción de extremo a extremo en los paquetes IFA. Sin usar. |
| Límite de saltos | Especifica el número máximo de saltos permitidos en una zona IFA. El nodo iniciador inicializa este campo. El límite de saltos se reduce en cada salto. Si el límite de saltos del paquete entrante es 0, el nodo actual no inserta metadatos. Puede configurar este límite. El valor predeterminado es 250. El nodo de terminación no realiza la comprobación del límite de saltos. |
| Longitud actual | Especifica la longitud actual de la pila de metadatos en múltiplos de 4 octetos. |
Pila de metadatos IFA
Cada salto IFA inserta metadatos específicos del salto en una pila de metadatos IFA, como se muestra en la Figura 6. El nodo iniciador IFA agrega el encabezado de metadatos después del encabezado L4.
El QFX5220 como nodo de tránsito no puede insertar metadatos en la pila de metadatos del encabezado del paquete de sonda IFA. En su lugar, el QFX5220 agrega una marca de cola al final del paquete de sonda IFA que incluye marcas de tiempo y otros metadatos. Para obtener más información acerca de estas marcas de cola, consulte Marcas de cola para paquetes de sonda IFA (solo QFX5220).
El campo Velocidad del puerto de salida de la pila de metadatos IFA 2.0 no se admite en la QFX5230. El valor del campo siempre es "0", independientemente de la velocidad del puerto de salida.
de pila de metadatos IFA
| Descripción | de campo de encabezado de pila de metadatos IFA |
|---|---|
| LNS | Espacio de nombres local. Debe establecer el valor de LNS en 1. |
| ID de dispositivo | ID de dispositivo configurable por el usuario. Puede configurar explícitamente el ID de dispositivo o configurar la device-id auto instrucción. Si configura device-id auto, el ID del dispositivo se genera internamente a partir del ID del enrutador o la dirección IP de administración. |
| IP TTL | Valor de tiempo de vida (TTL) de IP en cada salto. |
| Velocidad del puerto de salida | Las codificaciones son de 0 a 10 Gbps, 1 a 25 Gbps, 2 a 40 Gbps, 3 a 50 Gbps, 4 a 100 Gbps, 5 a 200 Gbps, 6 a 400 Gbps. La velocidad del puerto de salida se mapea con metadatos IFA. Por ejemplo, cuando la velocidad de un puerto de salida es de 10 Gbps, el campo de velocidad del paquete IFA se establece en 0. |
| Congestión | Indica si el paquete experimentó congestión. Debe habilitar una notificación de congestión explícita (ECN) en el puerto de salida. |
| ID de cola | ID de cola del puerto de salida. |
| Segundos de marca de tiempo de recepción | Valor de marca de tiempo del paquete recibido (en segundos). Es responsabilidad del recopilador recuperar la hora del día (ToD) de estos valores de 20 bits. Los segundos de 20 bits se ajustarán cada 12 días. El recopilador tiene que sincronizar periódicamente ToD dentro del tiempo de envoltura y usarlo junto con los metadatos de 20 bits para derivar el valor de 32 bits Rx Timestamp Seconds . |
| Número de puerto de salida | Número de puerto de hardware de salida (ASIC). |
| Número de puerto de entrada | Número de puerto de hardware de entrada. |
| Marca de tiempo de recepción nanosegundos | Valor de la marca de tiempo recibida en nanosegundos. Esta marca de tiempo es el valor exacto después de la marca de tiempo en segundos. Súmela al valor Segundos de marca de tiempo de recepción para obtener la marca de tiempo exacta con precisión de nanosegundos. |
| Tiempo de residencia Nano segundos | Latencia por salto en nanosegundos. Para el QFX5120, el tiempo de residencia se calcula como 0x3B9ACA00 (1 segundo en nanosegundos) + TX_NSEC - RX_NSEC. (Se agrega un segundo adicional a cada paquete para evitar el manejo envolvente). Por el contrario, para el QFX5130, QFX5220 y QFX5700, el tiempo de residencia se actualiza como el valor real. |
Marcas de cola para paquetes de sonda IFA (solo QFX5220)
El QFX5220 como nodo de tránsito no puede insertar metadatos en la pila de metadatos del encabezado del paquete de sonda IFA. En su lugar, el QFX5220 agrega una marca de cola al final del paquete de sonda IFA que incluye marcas de tiempo y otros metadatos. El QFX5220 agrega un total de 28 bytes de metadatos como marca de cola. Al recibir el paquete de sondeo IFA, el nodo de terminación IFA utiliza el valor TTL en los metadatos para identificar el número de marcas de cola (es decir, el número de saltos de QFX5220 en la ruta entre dos dispositivos QFX5120 o QFX5130). Luego, las marcas de cola se convierten al formato de metadatos correcto y se insertan en el lugar correcto en la pila de metadatos, de modo que los metadatos aparecen en el orden en que los nodos de tránsito los agregaron. Una vez completado, el nodo de terminación IFA exporta los datos en formato IPFIX al recopilador externo configurado.
Debido a esta incapacidad para insertar metadatos en la pila, los campos IP TTL Egress Port Speed de la pila de metadatos IFA y Congestion para el QFX5220 se reciben con el valor de 0 en el recopilador. Debe configurar el recopilador para omitir estos campos no compatibles del QFX5220.
La marca de cola incluye 14 bytes de marca de cola de entrada (Rx) y 14 bytes de marca de cola de salida (Tx). En la Figura 7 y la Figura 8 se proporcionan detalles sobre el formato de estas marcas de tiempo.
)
Funciones admitidas en los nodos IFA
La Tabla 5 enumera las características compatibles con los nodos IFA.
| Funciones compatibles con | elnodo IFA |
|---|---|
| Iniciador IFA | Tipos de tráfico e interfaz:
|
| Tránsito IFA | Identifica los paquetes IFA, anexa sus metadatos y los reenvía. |
| Terminación IFA |
|
Formato IPFIX IFA 2.0 compatible (nodo de terminación)
El nodo de terminación formatea los paquetes IFA 2.0 en formato IPFIX, actualiza la información del puerto de salida y envía el paquete al recopilador configurado. La plantilla IPFIX de IFA 2.0 es la misma para el tráfico L3 y el tráfico VXLAN. La Figura 9 muestra la plantilla IPFIX en la que el nodo de terminación formatea los datos de IFA 2.0 y los envía a un recopilador.
El conmutador QFX5240 no utiliza estas plantillas IPFIX. En su lugar, el conmutador QFX5240 termina el paquete IFA, lo encapsula en espejo y envía el paquete al recopilador como un paquete PSAMP IPFIX. El paquete PSAMP contiene la dirección MAC de destino del recopilador, la dirección MAC de origen del recopilador, la dirección IP de origen, la dirección IP de destino, el puerto de origen UDP, el puerto de destino UDP, el encabezado PSAMP IPFIX y las direcciones MAC de origen y destino del paquete IFA. Estos campos van seguidos por el encabezado de capa IP, el encabezado de IFA, el encabezado de capa L4 (UDP/TCP), el encabezado y la pila de metadatos de IFA y la carga.
IPFIX IFA 2.0
La figura 10 muestra un ejemplo de paquete VXLAN IFA 2.0 recibido por el recopilador configurado en formato IPFIX.
Limitaciones de la configuración de IFA 2.0
Antes de configurar IFA 2.0 en un dispositivo que ejecuta Junos OS, debe tener en cuenta las siguientes limitaciones:
-
Número de protocolo: IFA 2.0 utiliza el número de protocolo experimental 253. Si el conmutador recibe tráfico con el número de protocolo 253, esos paquetes alcanzarán el filtro de tránsito IFA. En este caso, el QFX5220 agrega una marca de cola de 28 bytes a esos paquetes. Para los conmutadores QFX5130 y QFX5700, aunque los paquetes pasen el filtro, los metadatos IFA no se agregan a los paquetes. Sin embargo, las estadísticas de tránsito de IFA se incrementan.
-
Asignación de recursos de filtro: si los recursos de hardware de filtro ya están agotados en el sistema, la función IFA no funciona porque necesita recursos de filtro. Puede supervisar el registro del sistema (syslog) para detectar errores de agotamiento del espacio de filtro.
-
Tráfico de capa 2 y BUM: IFA 2.0 no se admite en el tráfico conmutado de capa 2 ni en el tráfico de difusión, unidifusión desconocida y multidifusión (BUM).
-
Flujos de capa 3 y VXLAN de IFA
- IFA 2.0 admite el procesamiento de flujos L3 y VXLAN, pero no puede configurar IFA para flujos L3 y VXLAN en el mismo dispositivo. Las
flow-typeopciones son mutuamente excluyentes. Utilice laflow-typeinstrucción de configuración para establecer el tipo de flujo de interés, ya sea L3 o VXLAN. Esta restricción solo se aplica a los nodos iniciadores y de terminación de IFA (generalmente nodos leaf). Para los nodos de tránsito IFA (generalmente nodos spine), no es necesario configurar el tipo de flujo. - Para el flujo IFA de VXLAN, los metadatos relacionados con el puerto de salida para el nodo de terminación (incluidos el número de puerto de salida, la velocidad, el ID de cola y la congestión) son incorrectos. Se recomienda ignorar los metadatos relacionados con el puerto de salida del nodo de terminación para los flujos de VXLAN.
-
Para los flujos de VXLAN, los paquetes terminados IFA enviados al recopilador contienen metadatos solo del nodo iniciador y de todos los nodos de tránsito. Estos paquetes no contienen metadatos del nodo terminador.
- Un cambio de tipo de flujo IFA (L3 o VXLAN) requiere la extracción y reconfiguración del filtro IFA. En caso de que el tipo de flujo no coincida (por ejemplo,
flow-typeconfigurado como VXLAN, mientras que el tráfico entrante es L3 o viceversa), no podemos garantizar el comportamiento de IFA (los paquetes de sonda de IFA podrían iniciarse con campos no válidos).
- IFA 2.0 admite el procesamiento de flujos L3 y VXLAN, pero no puede configurar IFA para flujos L3 y VXLAN en el mismo dispositivo. Las
-
Nodo iniciador de IFA
- El encabezado L4 (UDP/TCP) es obligatorio para el inicio de IFA.
- La iniciación de IFA para flujo VXLAN no funciona si el puerto de salida está configurado para funcionar como un grupo de agregación de vínculos (LAG) (vínculos que conectan leaf a spine).
- No puede configurar diferentes frecuencias de muestreo para distintos flujos en un puerto para un iniciador IFA. Todos los flujos dentro de un puerto deben tener la misma frecuencia de muestreo.
-
Nodos de tránsito IFA: los dispositivos que ejecutan Junos OS y Junos OS evolucionado no admiten la comprobación de longitud máxima para la pila de metadatos. Configure la opción para limitar la
hop-limitinserción de metadatos en los nodos de tránsito. El QFX5220 no puede realizar la comprobación de límite de saltos para insertar la marca de cola. El QFX5220 tampoco puede insertar metadatos en la pila de metadatos en el encabezado del paquete de sonda IFA; en su lugar, el QFX 5220 anexa una marca de cola al final del paquete de sonda IFA.QFX5220 admite solo 18 bits para el
Rx Seconds Timestampvalor. El QFX5130 y el QFX5700 admiten un valor de 20 bitsRx Seconds Timestamp.El
Residence Time Nano Secondscampo se actualiza como el valor real en los nodos de tránsito QFX5220, QFX5130 y QFX5700, pero en el nodo de tránsito QFX5120, se agrega 1 segundo (1000000000 ns) junto con el tiempo de residencia real. -
Nodo de terminación IFA
- Solo puede configurar un único recopilador IPv4 en el nodo de terminación.
- Los metadatos del nodo de terminación tienen el ID de cola 47. Este ID de cola está reservado para la exportación de paquetes IFA.
- El nodo de terminación no realiza una comprobación de límite de saltos. Incluso si el paquete IFA entrante se estableció
hop-limiten 0, el nodo de terminación inserta los metadatos y reduce el límite de saltos en 1, lo que restablece elhop-limitvalor a 255.
Consideraciones de uso
A continuación se presentan las consideraciones de uso relacionadas con IFA 2.0:
- Los paquetes IFA muestreados tienen 40 bytes adicionales (encabezado IFA de 4 bytes + encabezado de metadatos IFA de 4 bytes + metadatos de 32 bytes) cuando salen en el nodo iniciador. En los nodos IFA subsiguientes, se insertan metadatos IFA de 32 bytes en cada salto. Debido a la inserción de metadatos por salto en paquetes IFA, el tamaño del paquete crece con cada salto. Debe configurar la unidad máxima de transmisión (UMT) de la interfaz según corresponda a lo largo de la ruta de red. En el caso de una zona IFA con una gran cantidad de nodos de tránsito, debe cuidar la UMT. Como alternativa, puede configurar la
hop-limitopción en el nodo iniciador para asegurarse de que el tamaño de los paquetes IFA nunca supere el valor de UMT especificado. - Para seleccionar el flujo de interés, puede utilizar cualquier combinación de calificadores de coincidencia de dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino y coincidencia de protocolo. Para la terminación de VXLAN, use los calificadores de coincidencia de dirección IP de origen externo y dirección IP de destino. IFA 2.0 no es compatible con ningún otro clasificatorio de partidos.
Otra opción es configurar el filtro de terminación sin ningún calificador. En este caso, se terminan todos los paquetes IFA entrantes en el puerto.
- Debe configurar un ID de dispositivo único para cada salto dentro de una zona IFA. Si configuró la
autoopción para el ID del dispositivo, el ID del dispositivo se genera a partir de los últimos 20 bits del ID del enrutador o de la dirección IP de administración. - Si configuró la frecuencia de muestreo como
aggressive, es posible que los puertos de salida experimenten congestión debido a más copias IFA. Esta congestión de puertos podría crear congestión en los nodos de terminación cuando se envían copias IFA al procesador de chips para la exportación de IPFIX. Le recomendamos que seleccione la frecuencia de muestreo en consecuencia. - Cuando se configura un iniciador IFA 2.0, se crea una sesión de duplicación interna para el puerto de circuito cerrado. Como resultado, el número de sesiones espejo configurables por el usuario se reduce de 4 a 3.
- El nodo de terminación acepta un tamaño de paquete IFA de hasta 9000 bytes (incluidos los encabezados IFA). En el nodo de terminación, varios paquetes recibidos IFA se combinan en un único paquete de exportación IPFIX. Puede combinar un máximo de 10 registros IFA en un único paquete de exportación IPFIX. De forma predeterminada, se exportan un máximo de 256 bytes del paquete de flujo original como parte de la exportación de IPFIX, junto con los encabezados IFA. El tamaño máximo de un solo paquete IPFIX es de 9000 bytes. Debe configurar la UMT correctamente en el puerto del recopilador. Dado que el tamaño máximo de un solo paquete IPFIX es de 9000 bytes, la longitud máxima del clip para el paquete IPFIX es igual o inferior a: 9000 bytes - (Longitud del encabezado IFA + Longitud del encabezado de metadatos IFA + Longitud de la pila de metadatos IFA).
- Recomendamos que use solo dispositivos compatibles con IFA (compatibles) dentro de la zona IFA. No podemos garantizar el comportamiento adecuado de IFA con dispositivos no conscientes de IFA.
Configure Inband Flow Analyzer 2.0
IFA es un tipo de telemetría de red en banda (INT) que le permite recopilar información sobre el estado de la red mediante el plano de datos.
Para configurar IFA 2.0 a fin de supervisar la red en busca de fallas o problemas de rendimiento, y recopilar los datos para el análisis, primero debe configurar los roles de IFA. Puede configurar los roles de IFA en un dispositivo Junos OS o Junos OS Evolved que admita la función IFA. Consulte Explorador de características: Analizador de flujo en banda (IFA) 2.0 para ver los dispositivos compatibles.
A continuación, se muestran algunas de las directrices para configurar un dispositivo Junos OS para una función de IFA:
- Puede utilizar el mismo modelo de conmutadores o conmutadores diferentes para desempeñar las funciones de IFA (iniciador, tránsito, terminador) para un flujo IFA determinado.
- Puede usar el mismo dispositivo para realizar las tres funciones diferentes de IFA para distintos flujos.
- En un flujo IFA, el rol de tránsito de IFA es opcional.
La Figura 11 ilustra un escenario de ejemplo para configurar nodos IFA en dispositivos Junos OS. En este escenario, diferentes dispositivos Junos OS que admiten la función IFA desempeñan diferentes roles de IFA en un único flujo de IFA.
A continuación, se muestran algunas de las directrices para configurar nodos IFA:
- Solo puede habilitar la configuración IFA en la interfaz mediante la configuración del filtro de firewall.
- Puede aplicar el filtro IFA solo en la dirección de entrada del puerto.
En la tabla 6 se resumen las configuraciones de los nodos de iniciador, tránsito y terminación de IFA.
| Parámetro de configuración de configuración IFA | Declaración de configuración | Función IFA |
|---|---|---|
| (Obligatorio) Configurar ID de dispositivo | user@host# set services inband-flow-telemetry device-id (<1 - 1048575> | auto) |
Configuración obligatoria para los nodos iniciador, de tránsito y de terminación de IFA. |
| (Opcional, solo QFX5120-48YM o QFX5220) Configure un origen de reloj más preciso | user@host# set services inband-flow-telemetry clock-source (ntp|ptp) |
Nodos iniciadores, de tránsito y de terminación de IFA. |
| (Opcional) Longitud máxima de pila de metadatos de IFA | user@host# set services inband-flow-telemetry meta-data-stack-length <8 - 255> Valor por defecto : 240 (para 30 saltos) |
Nodo iniciador IFA |
| (Opcional) Límite máximo de saltos de IFA | user@host# set services inband-flow-telemetry hop-limit <1 - 250> Valor por defecto : 250 |
Nodo iniciador IFA |
| (Opcional) Sin coincidencia de dirección IPv6 | user@host# set services inband-flow-telemetry no-ipv6-address-match |
Nodo iniciador/de terminación IFA |
| (Obligatorio) Tipo de flujo IFA | user@host# set services inband-flow-telemetry flow-type (l3 | vxlan) |
Configuración obligatoria para el iniciador IFA y el nodo de terminación. Esta configuración no es necesaria para el nodo de tránsito IFA. |
| Muestreo IFA | user@host# set services inband-flow-telemetry profile ifa-profile-name sample-rate <1-16777215> |
Nodo iniciador IFA |
| Información del recopilador | user@host# set services inband-flow-telemetry profile ifa-profile-name collector source-address IP-address user@host# set services inband-flow-telemetry profile ifa-profile-name collector destination-address IP-address user@host# set services inband-flow-telemetry profile ifa-profile-name collector destination-port port-number user@host# set services inband-flow-telemetry profile ifa-profile-name collector maximum-clip-length length user@host# set services inband-flow-telemetry profile ifa-profile-name collector mtu size |
nodo de terminación IFA |
| Filtro IFA para flujo L3 | Por ejemplo: user@host# set firewall family inet filter f1 term t1 from match-condition user@host# set firewall family inet filter f1 term t1 then inband-flow-telemetry-init p1 user@host# set firewall family inet filter f1 term t2 from match-condition user@host# set firewall family inet filter f1 term t2 then inband-flow-telemetry-terminate p2 user@host# set interfaces (interface-name | wildcard) unit 0 family inet filter input f1 |
Nodo iniciador/de terminación IFA |
| Filtro IFA para flujo VXLAN | Por ejemplo: user@host# set firewall family ethernet-switching filter f1 term term1 from match-condition user@host# set firewall family ethernet-switching filter f1 term t1 then inband-flow-telemetry-init p1 user@host# set firewall family ethernet-switching filter f1 term t2 from match-condition user@host# set firewall family ethernet-switching filter f1 term t2 then inband-flow-telemetry-terminate p2 user@host# set interfaces (interface-name | wildcard) unit 0 family ethernet-switching filter input f1 |
Nodo iniciador/de terminación IFA |
- Configurar nodo iniciador de IFA
- Configurar nodo de tránsito IFA
- Configurar nodo de terminación IFA
- Ver estadísticas del analizador de flujo en banda
Configurar nodo iniciador de IFA
Para configurar el dispositivo como iniciador de IFA 2.0:
Configurar nodo de tránsito IFA
Para configurar el dispositivo como nodo de tránsito IFA:
auto device-idde . Si está device-id configurado como auto, se genera internamente a device-id partir del ID del enrutador o la dirección IP de administración.
user@host# set services inband-flow-telemetry device-id (id-number | auto)
Por ejemplo:
user@host# set services inband-flow-telemetry device-id 10001
Configurar nodo de terminación IFA
Para configurar el dispositivo como nodo de terminación IFA:
Ver estadísticas del analizador de flujo en banda
Puede ver la siguiente información relacionada con IFA:
- Estadísticas IFA utilizando el comando del
show services inband-flow-telemetry statsmodo operativo. - Parámetros globales de IFA mediante el comando del
show services inband-flow-telemetry globalmodo operativo. - Perfiles configurados por IFA mediante el comando del
show services inband-flow-telemetry profilemodo operativo.
Puede borrar las estadísticas IFA mediante clear inband-flow-telemetry stats el comando del modo operativo.
Las estadísticas IFA se recuperan directamente de la PFE y no se mantienen en el motor de enrutamiento. Por lo tanto, un reinicio del proceso PFE borra las estadísticas IFA y un reinicio del proceso del motor de enrutamiento no afecta a las estadísticas IFA.
Ejemplo: configure Inband Flow Analyzer 2.0 para la supervisión del tráfico
Utilice este ejemplo para configurar los nodos IFA 2.0 en los conmutadores de la serie QFX que permiten analizar flujos de tráfico de capa 3 o VXLAN. La Figura 12 muestra la topología en la que está configurado IFA 2.0 en los conmutadores de la serie QFX que admiten la función IFA 2.0. En esta topología, el tráfico VXLAN se monitorea en el iniciador y los datos se recopilan en el nodo de terminación para su análisis.
- Requisitos
- Requisitos previos
- Antes de empezar
- Descripción general
- Configuración
- Configuración rápida de CLI
- Procedimiento paso a paso
- Resultados
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
- Un conmutador QFX5120-32C como nodo spine
- Dos conmutadores QFX5120-48Y como nodos leaf
- Junos OS versión 21.4R1
Requisitos previos
En este ejemplo, se supone que ya tiene una red basada en EVPN-VXLAN y desea habilitar la supervisión de tráfico en conmutadores QFX.
Antes de empezar
- Asegúrese de entender cómo funcionan EVPN y VXLAN. Consulte Ejemplo: Configuración de interfaces IRB en un entorno EVPN-VXLAN para proporcionar conectividad de capa 3 a hosts en un centro de datos y diseño e implementación de superposiciones en puente para comprender EVPN-VXLAN en detalle.
- Para que las configuraciones de nodo de terminación de IFA surtan efecto, debe tener una licencia válida de función de telemetría avanzada (ATF).
Descripción general
En este ejemplo, configurará uno de los conmutadores QFX5120-48Y (leaf 1) como nodo iniciador, el conmutador QFX5120-32C como nodo de tránsito y el segundo conmutador QFX5120-48Y (leaf 2) como nodo de terminación. El tráfico de VXLAN fluye del host 1 al host 2. La configuración de IFA en los nodos de entrada y salida le permite monitorear el funcionamiento de la red e identificar los problemas de rendimiento.
El QFX5120-32C funciona como un spine para conectar los nodos leaf de QFX5120-48Y. En el nodo de terminación, recopila el tráfico muestreado en formato IPFIX mediante una aplicación de recopilador IPv4.
Configuración
En este ejemplo, configurará la siguiente funcionalidad en los conmutadores:
- Configure Leaf 1 como un nodo iniciador y configure atributos relacionados con el iniciador, como el identificador global de dispositivo y la frecuencia de muestreo. Configure un perfil IFA y un filtro de firewall con la acción as
inband-flow-telemetry-inity enlace el filtro de firewall IFA a las interfaces. - Configure el conmutador spine QFX5120-32C como un nodo de tránsito con un identificador de dispositivo global. Cuando configure un identificador de dispositivo global, el dispositivo spine agrega los metadatos IFA y reenvía los paquetes de sondeo IFA.
- Configure la hoja 2 como un nodo de terminación. Configure el perfil IFA con la información del recopilador y el filtro de firewall con la acción as
inband-flow-telemetry-terminate, y enlace el filtro de firewall IFA a las interfaces.
Configuración rápida de CLI
Para configurar rápidamente este ejemplo en sus dispositivos serie QFX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Configuración en el conmutador QFX5120-48Y (leaf 1 — nodo iniciador IFA)
Recuerde que en este ejemplo se agrega IFA a una línea base EVPN-VXLAN preconfigurada. La configuración que se muestra aquí se centra en el delta necesario para agregar IFA a la línea base. Mostramos parte de la configuración existente para mostrar mejor cómo se relaciona el delta de IFA con la línea de base.
set services inband-flow-telemetry device-id 15000 set services inband-flow-telemetry meta-data-stack-length 100 set services inband-flow-telemetry hop-limit 4 set services inband-flow-telemetry flow-type vxlan set services inband-flow-telemetry profile ifa_profile_host1 sample-rate 1 set interfaces et-0/0/51:0 unit 0 family ethernet-switching filter input f_init set firewall family ethernet-switching filter f_init term t1 from ip-protocol udp set firewall family ethernet-switching filter f_init term t1 from ip-protocol tcp set firewall family ethernet-switching filter f_init term t1 then inband-flow-telemetry-init ifa_profile_host1 set firewall family ethernet-switching filter f_init term t1 then count ifa_stats set firewall family ethernet-switching filter f_init term t1 then accept set firewall family ethernet-switching filter f_init term t2 then count non_ifa_stats set firewall family ethernet-switching filter f_init term t2 then accept
Configuración en el conmutador QFX5120-32C (nodo de tránsito IFA)
set services inband-flow-telemetry device-id 15001
Configuración en el conmutador QFX5120-48Y (hoja 2: nodo de terminación IFA)
set services inband-flow-telemetry device-id 15002 set services inband-flow-telemetry meta-data-stack-length 100 set services inband-flow-telemetry hop-limit 5 set services inband-flow-telemetry flow-type vxlan set services inband-flow-telemetry profile p_term collector source-address 172.16.3.1 set services inband-flow-telemetry profile p_term collector destination-address 172.16.3.2 set services inband-flow-telemetry profile p_term collector destination-port 3055 set interfaces xe-0/0/18 unit 0 family inet filter input f_term set interfaces xe-0/0/45 description To_Collector set interfaces xe-0/0/45 unit 0 family inet address 172.16.3.1/24 set firewall family inet filter f_term term ifa then inband-flow-telemetry-terminate p_term set firewall family inet filter f_term term ifa then count ifa_term set firewall family inet filter f_term term other then count non_ifa_term set firewall family inet filter f_term term other then accept
Procedimiento paso a paso
Configure el conmutador QFX5120-48Y (leaf 1) como nodo iniciador
Un nodo iniciador IFA realiza las siguientes funciones para un flujo:
- Muestrea el tráfico de flujo de interés según la configuración.
- Convierte el tráfico en un flujo IFA agregando un encabezado IFA a cada muestra.
- Actualiza el paquete con los metadatos del nodo iniciador.
-
Configure los atributos del nodo iniciador de IFA. El tipo de flujo de tráfico se configura como VXLAN para el nodo iniciador. Tenga en cuenta que debe configurar el mismo tipo de flujo para el nodo iniciador y el nodo de terminación, ya sea L3 o VXLAN. Como en este ejemplo, si el tipo de flujo de tráfico VXLAN está configurado para el nodo iniciador, asegúrese de configurar también el tipo de flujo de tráfico VXLAN para el nodo de terminación.
[edit] user@host# set services inband-flow-telemetry device-id 15000 user@host# set services inband-flow-telemetry meta-data-stack-length 100 user@host# set services inband-flow-telemetry hop-limit 4 user@host# set services inband-flow-telemetry flow-type vxlan user@host# set services inband-flow-telemetry profile ifa_profile_host1 sample-rate 1
sample-ratese configura con el valor como 1, se muestra cada paquete que se recibe en el puerto de entrada. Si prefiere un muestreo menos agresivo, aumente elsample-ratevalor. -
Enlaza el filtro a la interfaz de entrada del nodo iniciador.
[edit] user@host# set interfaces et-0/0/51:0 unit 0 family ethernet-switching filter input f_init
-
Cree un firewall para controlar el muestreo IFA. Empiece por definir los tipos de tráfico de host que se deben muestrear. En este ejemplo, desea realizar análisis de los flujos de tráfico UDP y TCP. En este ejemplo, configure un filtro de firewall denominado
f_init, con el término nameterm1.[edit] user@host# set firewall family ethernet-switching filter f_init term t1 from ip-protocol udp user@host# set firewall family ethernet-switching filter f_init term t1 from ip-protocol tcp user@host# set firewall family ethernet-switching filter f_init term t1 then accept
El filtro se configura para realizar el muestreo IFA agregando el modificador
inband-flow-telemetry-initde acción al t1 término. Tenga en cuenta que el perfilifa_profile_host1de telemetría de flujo en banda está vinculado al filtro:user@host# set firewall family ethernet-switching filter f_init term t1 then inband-flow-telemetry-init ifa_profile_host1 user@host# set firewall family ethernet-switching filter f_init term t1 then count ifa_stats user@host# set firewall family ethernet-switching filter f_init term t2 then count non_ifa_stats user@host# set firewall family ethernet-switching filter f_init term t2 then accept
Configure el conmutador QFX5120-32C como nodo de tránsito
Un nodo de tránsito IFA inserta metadatos de nodo de tránsito en los paquetes IFA en el flujo VXLAN especificado.
Configure el identificador global de dispositivo para el nodo de tránsito, conmutador QFX5120-32C.
user@host# set services inband-flow-telemetry device-id 15001
Configure el conmutador QFX5120-48Y (leaf 2) como nodo de terminación
Un nodo de terminación IFA realiza lo siguiente para un flujo:
- Inserta metadatos de nodo de terminación en paquetes IFA.
- Realiza una función de análisis local en uno o más segmentos de metadatos, por ejemplo, incumplimiento de umbral para tiempo de residencia, notificaciones de congestión, etc.
- Filtra un flujo IFA en caso de tráfico clonado.
- Envía una copia o un informe del paquete al recopilador.
- Elimina los encabezados IFA y reenvía el paquete en caso de tráfico en vivo.
-
Configure los atributos relacionados con el nodo de terminación, como el identificador global del dispositivo y el tipo de flujo.
user@host# set services inband-flow-telemetry device-id 15002 user@host# set services inband-flow-telemetry meta-data-stack-length 100 user@host# set services inband-flow-telemetry hop-limit 5 user@host# set services inband-flow-telemetry flow-type vxlan
Configure un perfil IFA con la información relacionada con el recopilador.
user@host# set services inband-flow-telemetry profile p_term collector source-address 172.16.3.1 user@host# set services inband-flow-telemetry profile p_term collector destination-address 172.16.3.2 user@host# set services inband-flow-telemetry profile p_term collector destination-port 3055
-
Configure la interfaz del recopilador para terminar el nodo Leaf 2.
user@host# set interfaces xe-0/0/45 unit 0 family inet address 172.16.3.1/24
Aplique el filtro de firewall a la interfaz preconfigurada para activar el procesamiento de salida de telemetría de flujo en banda en la hoja 2.
En este ejemplo, asigne elf-termfiltro de firewall a lainetfamilia de interfaz lógica 0 de la interfaz física xe-0/0/18:user@host# set interfaces xe-0/0/18 unit 0 family inet filter input f_term
-
Cree un filtro de firewall y configure la acción
inband-flow-telemetry-terminate.En este ejemplo, configure un filtro de firewall denominado
f-term, con el término namet1que contiene la accióninband-flow-telemetry-terminate, con el perfilp_termde terminación de telemetría de flujo en banda asignado:user@host# set firewall family inet filter f_term term t1 then count ifa_term user@host# set firewall family inet filter f_term term t1 then inband-flow-telemetry-terminate p_term user@host# set firewall family inet filter f_term term t1 then accept user@host# set firewall family inet filter f_term term other then count non_ifa_term user@host# set firewall family inet filter f_term term other then accept
Resultados
Resultados del conmutador QFX5120-48Y (leaf 1 — nodo iniciador IFA)
Desde el modo operativo, ingrese los comandos , show configuration interfacesy show configuration firewall para confirmar la show configuration servicesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
El resultado muestra partes de la línea de base EVPN-VXLAN preexistente para proporcionar el contexto para el delta de configuración necesario para agregar IFA.
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15000;
}
meta-data-stack-length 100;
hop-limit 4;
flow-type vxlan;
profile {
ifa_profile_host1 {
sample-rate 1;
}
}
}
[edit]
user@host> show configuration interfaces
[output truncated]
xe-0/0/44 {
description Connected_to_Spine1;
unit 0 {
family inet {
address 10.100.13.1/24;
}
}
}
et-0/0/51:0 {
description Connected_to_Host1_vlan_101;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 101;
}
filter {
input f_init;
}
}
}
}
[output truncated]
[edit]
user@host> show configuration firewall
family ethernet-switching {
filter f_init {
term t1 {
from {
ip-protocol [ udp tcp ];
}
then {
accept;
inband-flow-telemetry-init ifa_profile_host1;
count ifa_stats;
}
}
term t2 {
then {
accept;
count non_ifa_stats;
}
}
}
}
Cuando haya terminado de configurar la función en el dispositivo, ingrese commit desde el modo de configuración.
Resultados en el conmutador QFX5120-32C (nodo de tránsito IFA)
Desde el modo operativo, ingrese los comandos y show configuration interfaces para confirmar la show configuration servicesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15001;
}
}
Cuando haya terminado de configurar la función en el dispositivo, ingrese commit desde el modo de configuración.
Resultados en el conmutador QFX5120-48Y (leaf 1 — nodo de terminación IFA)
Desde el modo operativo, ingrese los comandos , show configuration interfacesy show configuration firewall para confirmar la show configuration servicesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15002;
}
meta-data-stack-length 100;
hop-limit 5;
flow-type vxlan;
profile {
p_term {
collector {
source-address 172.16.3.1;
destination-address 172.16.3.2;
destination-port 3055;
}
}
}
}
[edit]
show configuration interfaces user@host>
[edit]
user@host> show configuration interfaces
[output truncated]
xe-0/0/18 {
description Connected_to_Spine1;
unit 0 {
family inet {
filter {
input f_term;
}
address 10.100.12.1/24;
}
}
}
xe-0/0/44 {
description Connected_to_Host2_vlan_101;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 101;
}
}
}
}
xe-0/0/45 {
description To_Collector;
mtu 9200;
unit 0 {
family inet {
address 172.16.3.1/24;
}
}
}
[output truncated]
[edit]
user@host> show configuration firewall
family inet {
filter f_term {
term t1 {
then {
count ifa_term_c;
inband-flow-telemetry-terminate p_term;
accept;
}
}
term other {
then {
count non_ifa_term;
accept;
}
}
}
}
Cuando haya terminado de configurar la función en el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar estadísticas IFA
Purpose
Muestra las estadísticas IFA en el nodo iniciador.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry stats comando.
IFA Init Packets : 70989449712 IFA Transit Packets : 0 IFA Terminate Rx Packets : 0 IFA Terminate Tx Packets : 0
Verificar la configuración global de IFA
Purpose
Muestra los parámetros globales de IFA configurados en el nodo iniciador.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry global comando.
Global Device ID : 15000 Meta-data Stack Length : 100 Hop Limit : 4 Flow Type : vxlan
Verificar perfil de IFA
Purpose
Muestra el perfil IFA configurado en el nodo iniciador.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry profile comando.
Profile Name : ifa_profile_host1 Sample rate : 1 Source Address : 0.0.0.0 Destination Address : 0.0.0.0 Destination Port : 0
Verificar estadísticas IFA
Purpose
Muestra las estadísticas IFA en el nodo de tránsito.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry stats comando.
IFA Init Packets : 0 IFA Transit Packets : 26057387140 IFA Terminate Rx Packets : 0 IFA Terminate Tx Packets : 0
Verificar la configuración global de IFA
Purpose
Muestra los parámetros globales de IFA configurados en el nodo de tránsito.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry global comando.
Global Device ID : 15001 Meta-data Stack Length : 240 Hop Limit : 250 Flow Type : NA
Verificar estadísticas IFA
Purpose
Muestra las estadísticas de IFA en el nodo de terminación.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry stats comando.
IFA Init Packets : 0 IFA Transit Packets : 373569 IFA Terminate Rx Packets : 374448690 IFA Terminate Tx Packets : 41605188
Verificar la configuración global de IFA
Purpose
Muestra los parámetros globales de IFA configurados en el nodo de terminación.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry global comando.
Global Device ID : 15002 Meta-data Stack Length : 100 Hop Limit : 5 Flow Type : vxlan
Verificar perfil de IFA
Purpose
Muestra el perfil IFA configurado en el nodo de terminación.
Action
Desde el modo operativo, introduzca el show services inband-flow-telemetry profile comando.
Profile Name : p_term Sample rate : 0 Source Address : 172.16.3.1 Destination Address : 172.16.3.2 Destination Port : 3055
Ver también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.