Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de servicios de supervisión en línea

Descripción de los servicios de monitoreo en línea

Beneficios de los servicios de monitoreo en línea

Flexible: los servicios de monitoreo en línea permiten que diferentes instancias de monitoreo en línea se asignen a diferentes términos de filtro de firewall, a diferencia de las tecnologías de muestreo tradicionales, donde todas las instancias se asignan al concentrador de PIC flexible (FPC). Esto le proporciona la flexibilidad de muestrear diferentes flujos de tráfico a diferentes velocidades en una sola interfaz.

Independiente del formato de paquete: las tecnologías tradicionales de recolección de flujos se basan en el análisis y la agregación de paquetes por parte del elemento de red. Con los servicios de monitoreo en línea, el encabezado del paquete se exporta al recopilador para su posterior procesamiento, pero sin agregación. De este modo, tiene la ventaja de usar campos de paquetes arbitrarios para procesar los paquetes supervisados en el recopilador.

Descripción general de las características Servicios de supervisión en línea

Los proveedores de servicios y los proveedores de contenido suelen necesitar visibilidad de los flujos de tráfico para evaluar los acuerdos de emparejamiento, detectar anomalías de tráfico e infracciones de políticas, y supervisar el rendimiento de la red. Para cumplir con estos requisitos, normalmente exportaría información de estadísticas de flujo agregadas utilizando variantes JFlow o IPFIX.

Como enfoque alternativo, puede tomar muestras del contenido del paquete, agregar información de metadatos y exportar los paquetes supervisados a un recopilador. Los servicios de supervisión en línea le permiten hacerlo en enrutadores de la serie MX y en enrutadores PTX que ejecutan Junos OS Evolved.

Con los servicios de monitoreo en línea, puede monitorear cada paquete IPv4 e IPv6 en las direcciones de entrada y salida de una interfaz. El software encapsula el tráfico monitoreado en un formato IPFIX y exporta el paquete real hasta la longitud de clip configurada a un recopilador para su posterior procesamiento. De forma predeterminada, Junos OS admite una longitud máxima de clip de 126 bytes a partir del encabezado Ethernet y Junos OS Evolved admite una longitud máxima de clip de 256 bytes a partir del encabezado Ethernet.

La figura 1 ilustra la especificación del formato IPFIX.

Figura 1: Especificación Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP. IPFIX de monitoreo en línea

El encabezado IPFIX y la carga IPFIX se encapsulan mediante la capa de transporte IP o UDP. El formato IPFIX exportado incluye dos registros de datos y dos plantillas de datos que se exportan a cada recopilador:

  • Registro de datos: incluye la interfaz entrante y saliente, la dirección del flujo, la sección del marco del vínculo de datos y el tamaño de la trama del vínculo de datos. Esta información se envía al recopilador solo cuando se exportan los paquetes de muestra.

    La figura 2 es una ilustración de ejemplo del paquete de registro de datos IPFIX.

  • Registro de datos de opciones: incluye información de nivel del sistema, como el ID de proceso de exportación y el intervalo de muestreo. Esta información se envía al recolector periódicamente, independientemente de si los paquetes de muestreo no se exportan.

    La figura 3 es una ilustración de ejemplo del paquete de registro de datos de opción IPFIX.

    Tabla 1: Campos del elemento de información en el paquete de datos de opción IPFIX

    Número

    Identificador del elemento de información

    Longitud del elemento de información

    Detalles

    1

    144

    4B

    ID de dominio de observación: identificador único del proceso de exportación por dispositivo IPFIX. El propósito de este campo es limitar el alcance de otros campos de elementos de información.

    2

    34

    4B

    Intervalo de muestreo en el que se toman muestras de los paquetes. 1000 indica que se muestrea uno de los 1000 paquetes.

  • Plantilla de datos: incluye cinco elementos de información:

    • Interfaz de entrada

    • Interfaz de salida

    • Dirección del flujo

    • Tamaño de trama de vínculo de datos

    • Selección de marco de vínculo de datos variables

    La figura 4 es una ilustración de ejemplo del paquete de plantillas de datos IPFIX.

  • Plantilla de datos de opción: incluye información del exportador de flujo y del intervalo de muestreo.

    La figura 5 es una ilustración de ejemplo del paquete de plantilla de datos de opción IPFIX.

Cuando hay una configuración de servicios de monitoreo en línea nueva o modificada, la exportación periódica de la plantilla de datos y la plantilla de datos de opción se envía inmediatamente a los recopiladores respectivos.

Figura 2: Registro IPFIX Data Record de datos IPFIX
Figura 3: Registro Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1. de datos de la opción IPFIX
Figura 4: Plantilla Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis. de datos IPFIX
Figura 5: Plantilla IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis. de datos de opción IPFIX

Descripción general de la configuración de los servicios de supervisión en línea

Puede configurar un máximo de dieciséis instancias de supervisión en línea (Junos OS) o siete (Junos OS evolucionado) que admitan parámetros de configuración específicos de la plantilla y del recopilador. Cada instancia de supervisión en línea admite hasta cuatro recopiladores (máximo 64 recopiladores en total) y, solo para Junos OS, puede especificar diferentes frecuencias de muestreo en cada configuración de recopilador. Debido a esta flexibilidad, los servicios de monitoreo en línea superan las limitaciones de las tecnologías de muestreo tradicionales, como JFlow, sFlow y la duplicación de puertos.

Para configurar la supervisión en línea:

  1. Debe incluir la inline-monitoring instrucción en el nivel jerárquico [edit services] . Aquí puede especificar la plantilla y los parámetros de la instancia de supervisión en línea. Debe especificar los parámetros del recopilador en la instancia de supervisión en línea.

  2. Especifique condiciones de coincidencia arbitrarias mediante un término de filtro de firewall y una acción para aceptar la instancia de supervisión en línea configurada. Esto asigna la instancia de supervisión en línea al término firewall.

  3. Asigne el filtro de firewall bajo la familia inet o inet6 instrucción utilizando la inline-monitoring-instance instrucción en el nivel jerárquico [edit firewall filter name then]. A partir de Junos OS versión 21.1R1, también puede asignar el filtro de firewall en la familia any, bridge, ccc, mpls, o vpls instrucciones. Para Junos OS Evolved, las bridge familias y vplsno son compatibles; use la ethernet-switch familia en su lugar. Junos OS Evolved también es compatible con , anyccc, inetinet6, y mpls las familias. También puede aplicar alternativamente el filtro de firewall a un filtro de tabla de reenvío con instrucción de entrada o salida para filtrar los paquetes de entrada o salida, respectivamente.

Recordar:

  • El dispositivo debe admitir una longitud máxima de paquete (longitud de clip) de 126 bytes (Junos OS) o 256 bytes (Junos OS evolucionado) para habilitar los servicios de supervisión en línea.

  • No puede configurar más de 16 (Junos OS) o 7 instancias de supervisión en línea (Junos OS evolucionado) debido a la escasez de bits disponibles en el paquete en la ruta de reenvío.

  • Aplique servicios de supervisión en línea solo en una interfaz de recopilador, es decir, la interfaz en la que se puede acceder al recopilador. No debe aplicar supervisión en línea en el tráfico IPFIX, ya que esto genera otro paquete IPFIX para el muestreo, creando así un bucle. Esto incluye el tráfico generado por el servicio de supervisión en línea, como paquetes de plantillas y registros, plantillas de opciones y paquetes de registros de opciones.

  • Cuando el servicio de supervisión en línea está habilitado en interfaces Ethernet (AE) agregadas, los valores de los elementos de información son los siguientes:

    Tabla 2: Valores de elementos de información para interfaces Ethernet agregadas

    Dirección del servicio de monitoreo en línea en la interfaz AE

    Elemento de información-10 (Interfaz entrante)

    Elemento de información-14 (Interfaz de salida)

    Ingreso

    ID SNMP de AE

    0

    Salida

    ID SNMP de AE

    ID SNMP del enlace de miembro

  • Cuando el servicio de supervisión en línea está habilitado en interfaces IRB, los valores de los elementos de información son los siguientes:

    Tabla 3: Valores de elementos de información para interfaces IRB

    Dirección del servicio de monitoreo en línea en la interfaz IRB

    Elemento de información-10 (Interfaz entrante)

    Elemento de información-14 (Interfaz de salida)

    Ingreso

    ID SNMP de IRB

    0

    Salida

    ID SNMP de IRB

    ID SNMP de la interfaz encapsulada de puente VLAN

  • Para dispositivos basados en XL-XM (con chip de búsqueda (XL) y ASIC de almacenamiento en búfer (XM)), la longitud del elemento de información Sección de trama de vínculo de datos en un paquete exportado puede ser menor que la longitud del clip, incluso si la longitud del paquete de salida es mayor que la longitud del clip.

    La longitud del elemento de información Data Link Frame Section se reduce en 'N' número de bytes donde 'N' = (longitud de encapsulación de capa 2 del paquete de entrada - longitud de encapsulación de capa 2 del paquete de salida).

    Por ejemplo, la longitud de encapsulación de capa 2 para el paquete de entrada es mayor que la del paquete de salida cuando el paquete de entrada tiene etiquetas MPLS y el paquete de salida es de tipo IPv4 o IPv6. Cuando el tráfico fluye desde el dispositivo perimetral del proveedor (PE) al dispositivo perimetral del cliente (CE), el paquete de entrada tiene etiquetas VLAN y el paquete de salida no está etiquetado.

    En tales casos, la longitud del clip puede ir más allá de la última ubicación de dirección del cabezal del paquete, generando un PKT_HEAD_SIZE mensaje de registro del sistema. Esto puede provocar la degradación del reenvío de paquetes para el dispositivo.

  • En el caso de servicios de monitoreo en línea en la dirección de entrada, el egressInterface (elemento de información ID 14) no informa el índice SNMP de la interfaz de salida. Este ID de elemento de información siempre informa del valor cero en caso de dirección de entrada. El proceso del recopilador receptor debe identificar la validez de este campo basándose en el flowDirection (elemento de información ID 61).

Funciones compatibles y no compatibles con los servicios de monitoreo en línea

Los servicios de monitoreo en línea admiten:

  • Cambio agraciado del motor de enrutamiento

  • Actualización de software en servicio (ISSU), actualización de software sin interrupciones (NSSU) y enrutamiento activo sin paradas (NSR)

  • Interfaces Ethernet e interfaces de enrutamiento y puente integrados (IRB)

  • División de nodos de Junos

  • A partir de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recopiladores.

  • A partir de Junos OS Evolved versión 22.4R1, configure los ID de plantilla o los ID de plantilla de opción.

Los servicios de monitoreo en línea actualmente no admiten:

  • Configuración de más de 16 (Junos OS) o 7 instancias de supervisión en línea (Junos OS evolucionado).

  • Visión de Junos Traffic

  • Antes de Junos OS versión 21.1R1, el término acción de instancia de supervisión en línea solo se admitía para inet los filtros de firewall de inet6 familia. A partir de Junos OS versión 21.1R1, es compatible con los filtros de firewall de la any, bridge, ccc, mpls, familia y vpls .

  • Colectores direccionables IPv6

  • Plataformas virtuales

  • Sistemas lógicos

  • Configurar tanto el ID de dominio de observación como el ID de nube de observación. Debe elegir solo uno de ellos.

  • Una acción de instancia de supervisión en línea utilizada para la notificación de excepciones no se puede utilizar para ningún otro propósito, como una acción de redirección de firewall o una acción regular de supervisión en línea.

  • Una instancia de supervisión en línea utilizada para una acción de redireccionamiento de firewall no se puede utilizar para ningún otro propósito, como informes de excepciones o una acción regular de supervisión en línea.

  • Antes de Junos OS Evolved versión 22.4R1, configuraba DSCP, clase de reenvío o instancias de enrutamiento para recopiladores.

  • Antes de Junos OS Evolved versión 22.4R1, configuraba ID de plantilla o ID de plantilla de opción. El sistema los genera por usted.

  • Configuración de los servicios de creación de reflejo de puertos y supervisión en línea bajo el mismo término de filtro de firewall (Junos OS evolucionado).

  • En la dirección de salida, configurando los informes de SFlow y de excepciones; debe elegir solo uno de ellos (Junos OS evolucionado).

Configuración de servicios de supervisión en línea

Los servicios de monitoreo en línea pueden monitorear el tráfico IPv4 e IPv6 en las direcciones de entrada y salida. Puede habilitar la supervisión en línea en enrutadores de la serie MX con MPC (Junos OS) y en enrutadores PTX que ejecutan Junos OS evolucionado.

Puede configurar servicios de supervisión en línea para supervisar diferentes flujos de tráfico a diferentes velocidades de muestreo en la misma unidad lógica de la interfaz. También puede exportar el tamaño del paquete original a un recopilador junto con información sobre el origen de la interfaz para una solución de problemas eficaz.

Antes de configurar

Al configurar servicios de supervisión en línea, puede:

  • Configure hasta 16 (Junos OS) o 7 (Junos OS evolucionado) instancias de supervisión en línea. En cada instancia, puede configurar parámetros específicos de recopilador y plantilla.

  • Configure hasta 4 recopiladores direccionables IPv4 en cada instancia de monitoreo en línea. En total, puede configurar hasta 64 recopiladores. Los colectores pueden ser remotos y en diferentes ubicaciones.

    Para cada recopilador, puede configurar parámetros específicos, como la dirección de origen y destino, etc. El nombre predeterminado de la instancia de enrutamiento en el recopilador es default.inet.

  • Para Junos OS, puede configurar el filtro de firewall de inet familia o inet6 con el término acción inline-monitoring-instance inline-monitoring-instance-name . A partir de Junos OS versión 21.1R1, puede configurar any, bridge, ccc, mpls,o vpls familia filtros de firewall con el término acción inline-monitoring-instance inline-monitoring-instance-name . Para Junos OS Evolved, puede configurar los filtros de firewall de la any, ccc, ethernet-switch, inet, inet6, familia o mpls con el término action inline-monitoring-instance inline-monitoring-instance-name.

    Cada término puede admitir una instancia de supervisión en línea diferente.

  • Adjunte el filtro de firewall de supervisión en línea bajo la familia de la unidad lógica de la interfaz.

Después de confirmar correctamente la configuración, puede comprobar la implementación de los servicios de supervisión en línea emitiendo el comando show services inline-monitoring statistics fpc-slot desde la CLI.

Nota:

Si un paquete requiere que se apliquen servicios de monitoreo en línea junto con cualquiera de las tecnologías de muestreo tradicionales (como JFlow o SFlow), el motor de reenvío de paquetes realiza servicios de monitoreo en línea y la tecnología de muestreo tradicional en ese paquete. Actualmente, la duplicación de puertos debe configurarse con un término diferente para Junos OS Evolved.

La figura 6 es una ilustración de ejemplo de servicios de monitoreo en línea, donde el tráfico se monitorea a dos velocidades de muestreo diferentes en la interfaz del dispositivo y se exporta a cuatro recolectores remotos en un formato de encapsulación IPFIX. Para Junos OS, se configura la frecuencia de muestreo en cada recopilador, lo que permite diferentes velocidades para cada recopilador. Para Junos OS Evolved, configure la frecuencia de muestreo en la instancia de supervisión en línea y se aplica a todos los recopiladores configurados para esa instancia.

Figura 6: Servicios Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1. de monitoreo en línea

En este ejemplo, la interfaz et-1/0/0 del dispositivo está configurada con servicios de monitoreo en línea. Los detalles de las configuraciones son los siguientes:

  • Hay dos instancias de monitoreo en línea: la instancia 1 y la instancia 2.

  • Hay cuatro recolectores, dos recolectores en cada instancia de monitoreo en línea.

    • La instancia 1 tiene Collector-1 y Collector-2.

    • La instancia 2 tiene Collector-101 y Collector-102.

  • Los recopiladores de la instancia 1 tienen una frecuencia de muestreo de 1:10000.

  • Los recolectores de la instancia 2 tienen una frecuencia de muestreo de 1:1.

  • Los recopiladores de la instancia 1 tienen una dirección de origen y destino de 10.1.1.1 y 10.2.2.1, respectivamente.

  • Los recopiladores de la instancia 2 tienen una dirección de origen y destino de 10.11.1.1 y 10.12.2.1, respectivamente.

  • Los paquetes se exportan a los recolectores en un formato encapsulado IPFIX.

Para configurar servicios de supervisión en línea:

  1. Defina un filtro de firewall para cada instancia de supervisión en línea para dar servicio a los servicios de supervisión en línea. Puede configurar un filtro de firewall de familia con el término acción inline-monitoring-instance.

    Para definir un filtro de firewall:

    En este ejemplo, los términos t1 y t2 se configuran para Instance1 y Instance2, respectivamente.

  2. Habilite los servicios de supervisión en línea mediante la configuración de los parámetros asociados de plantilla, instancia y recopilador.
    1. Para configurar la plantilla de servicios de supervisión en línea:

      En este ejemplo, se configuran las plantillas 1 y 2.

    2. Para configurar la instancia de supervisión en línea y los parámetros del recopilador:

      Para Junos OS:

      En este ejemplo para Junos OS, la instancia 1 tiene dos recopiladores, el recopilador 1 y el recopilador 2, y la instancia 2 tiene dos recopiladores, el recopilador 101 y el recopilador 102. Se han configurado diferentes frecuencias de muestreo para ambas instancias.

      Para Junos OS Evolved:

      En este ejemplo, para Junos OS Evolved, la instancia 1 tiene dos recopiladores, el recopilador 1 y el colector 2, y la instancia 2 tiene dos recopiladores, el recopilador 101 y el recopilador 102. Se han configurado diferentes frecuencias de muestreo para ambas instancias.

  3. Asigne el filtro de firewall bajo la familia de la unidad lógica de la interfaz para aplicar supervisión en línea en la dirección de entrada o salida.

    Como alternativa, puede aplicar la supervisión en línea asignando el filtro de firewall a un filtro de tabla de reenvío con una instrucción de entrada o salida para filtrar los paquetes de entrada o salida, respectivamente.

    Para adjuntar el filtro de firewall:

    En este ejemplo, el filtro de monitoreo en línea está conectado a la familia inet de la unidad 0 de et-1/0/0.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
23,4R1-EVO
Servicios de supervisión en línea (enrutador PTX10003 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de Junos OS Evolved versión 23.4R1, puede configurar servicios de supervisión en línea en el enrutador PTX10003 para notificar excepciones. También puede configurar los filtros de firewall de any, ccc, ethernet-switch, inet, inet6, la familia o mpls con el término action inline-monitoring-instance inline-monitoring-instance-name.
22.4R1-EVO
Servicios de monitoreo en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de Junos OS Evolved versión 22.4R1, puede configurar servicios de supervisión en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para muestrear paquetes, agregar metadatos y exportar los paquetes hasta la longitud de clip configurada a un recopilador IPFIX para su posterior procesamiento. También puede configurar los filtros de firewall de any, ccc, ethernet-switch, inet, inet6, la familia o mpls con el término action inline-monitoring-instance inline-monitoring-instance-name.
22.3R1
Servicios de supervisión en línea (enrutadores MX304): a partir de Junos OS versión 22.3R1, puede configurar servicios de supervisión en línea en el enrutador MX304.
22.2R1-EVO
Servicios de supervisión en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de Junos OS Evolved versión 22.1R1, puede configurar servicios de supervisión en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para notificar excepciones. También puede configurar los filtros de firewall de any, ccc, ethernet-switch, inet, inet6, la familia o mpls con el término action inline-monitoring-instance inline-monitoring-instance-name.
21.4R1
Servicios de supervisión en línea (tarjeta de línea LC9600 para el enrutador MX10008): a partir de Junos OS versión 21.4R1, puede configurar servicios de supervisión en línea en enrutadores MX10008 que contengan la tarjeta de línea LC9600.
21.2R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de supervisión en línea (serie MX con tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 21.2R1, puede configurar los filtros de firewall de la any, bridge, ccc, mpls, familia o vpls con el término action inline-monitoring-instance inline-monitoring-instance-name.
21.2R1
Servicios de supervisión en línea (tarjeta de línea LC480 para enrutadores MX10008 y MX10016: a partir de Junos OS versión 21.2R1, puede configurar servicios de supervisión en línea en enrutadores MX10008 y MX10016 que contengan la tarjeta de línea LC480.
21.1R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de supervisión en línea (serie MX con MPC excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 21.1R1, puede configurar los filtros de firewall de las familias cualquiera, puente, CCC, MPLS o VPLS con el término action inline-monitoring-instance inline-monitoring-instance-name.
20.4R1
Servicios de supervisión en línea (tarjetas de línea MPC10E y MPC11E para enrutadores serie MX): a partir de Junos OS versión 20.4R1, puede configurar servicios de supervisión en línea en enrutadores serie MX que contengan las tarjetas de línea MPC10E y MPC11E.
19.4R1
Servicios de supervisión en línea (serie MX con MPC excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 19.4R1, puede configurar una nueva tecnología de supervisión que proporcione la flexibilidad necesaria para supervisar diferentes flujos de tráfico a diferentes frecuencias de muestreo en la misma interfaz. También puede exportar el paquete hasta la longitud de clip configurada a un recopilador en formato de exportación de información de flujo IP (IPFIX). El formato IPFIX incluye información importante de metadatos sobre los paquetes supervisados para su posterior procesamiento en el recopilador.