Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de los servicios de supervisión en línea

Descripción de los servicios de monitoreo en línea

Beneficios de los servicios de monitoreo en línea

Flexible: los servicios de supervisión en línea permiten asignar diferentes instancias de supervisión en línea a distintos términos de filtro de firewall, a diferencia de las tecnologías de muestreo tradicionales, en las que todas las instancias se asignan al concentrador de PIC flexible (FPC). Esto le proporciona la flexibilidad de muestrear diferentes flujos de tráfico a diferentes velocidades en una sola interfaz.

Independiente del formato de paquete: las tecnologías tradicionales de recopilación de flujo se basan en el análisis y la agregación de paquetes por parte del elemento de red. Con los servicios de monitoreo en línea, el encabezado del paquete se exporta al recopilador para su posterior procesamiento, pero sin agregación. De este modo, tiene la ventaja de usar campos de paquetes arbitrarios para procesar los paquetes supervisados en el recopilador.

Descripción general de la función de los servicios de monitoreo en línea

Los proveedores de servicios y los proveedores de contenido suelen requerir visibilidad de los flujos de tráfico para evaluar los acuerdos de emparejamiento, detectar anomalías de tráfico e infracciones de políticas, y monitorear el rendimiento de la red. Para cumplir estos requisitos, tradicionalmente exportaría información de estadísticas de flujo agregadas utilizando variantes de JFlow o IPFIX.

Como enfoque alternativo, puede tomar una muestra del contenido del paquete, agregar información de metadatos y exportar los paquetes supervisados a un recopilador. Los servicios de monitoreo en línea le permiten hacer esto en enrutadores de la serie MX y en enrutadores PTX que ejecutan Junos OS evolucionado.

Con los servicios de supervisión en línea, puede supervisar cada paquete IPv4 e IPv6 en las direcciones de entrada y salida de una interfaz. El software encapsula el tráfico monitoreado en un formato IPFIX y exporta el paquete real hasta la longitud de clip configurada a un recopilador para su posterior procesamiento. De forma predeterminada, Junos OS admite una longitud máxima de recorte de 126 bytes a partir del encabezado Ethernet y Junos OS evolucionado admite una longitud máxima de recorte de 256 bytes a partir del encabezado Ethernet.

La Figura 1 ilustra la especificación de formato IPFIX.

Figura 1: Especificación Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP. IPFIX de monitoreo en línea

El encabezado IPFIX y la carga IPFIX se encapsulan mediante la capa de transporte IP o UDP. El formato IPFIX exportado incluye dos registros de datos y dos plantillas de datos que se exportan a cada recopilador:

  • Registro de datos: incluye la interfaz entrante y saliente, la dirección del flujo, la sección del marco de vínculo de datos y el tamaño del marco del vínculo de datos. Esta información se envía al recopilador solo cuando se exportan paquetes de muestra.

    La Figura 2 es una ilustración de ejemplo del paquete de registro de datos IPFIX.

  • Registro de datos de opción: incluye información a nivel del sistema, como la exportación del ID de proceso y el intervalo de muestreo. Esta información se envía al recolector periódicamente, independientemente de si los paquetes de muestreo que se exportan no lo son.

    La Figura 3 es una ilustración de ejemplo del paquete de registro de datos de la opción IPFIX.

    Tabla 1: Campos del elemento de información en el paquete de datos de la opción IPFIX

    Número

    ID del elemento de información

    Longitud del elemento de información

    Detalles

    1

    144

    4B

    ID de dominio de observación: un identificador único del proceso de exportación por dispositivo IPFIX. El propósito de este campo es limitar el alcance de otros campos de elementos de información.

    2

    34

    4B

    Intervalo de muestreo en el que se muestrean los paquetes. 1000 indica que se muestrea uno de los 1000 paquetes.

  • Plantilla de datos: incluye cinco elementos de información:

    • Interfaz de entrada

    • Interfaz de salida

    • Dirección del flujo

    • Tamaño de la trama del vínculo de datos

    • Selección de marco de vínculo de datos variables

    La Figura 4 es una ilustración de ejemplo del paquete de plantilla de datos IPFIX.

  • Plantilla de datos de opciones: incluye información del exportador de flujo y del intervalo de muestreo.

    La Figura 5 es una ilustración de ejemplo del paquete de plantillas de datos de opciones IPFIX.

Cuando hay una configuración de servicios de supervisión en línea nueva o modificada, la exportación periódica de la plantilla de datos y la plantilla de datos de opción se envía inmediatamente a los recopiladores respectivos.

Figura 2: Registro de IPFIX Data Record datos IPFIX
Figura 3: Registro de Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1. datos de la opción IPFIX
Figura 4: Plantilla Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis. de datos IPFIX
Figura 5: Plantilla IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis. de datos de la opción IPFIX

Descripción general de la configuración de los servicios de supervisión en línea

Puede configurar un máximo de dieciséis (Junos OS) o siete (Junos OS evolucionado) instancias de monitoreo en línea que admitan parámetros de configuración específicos de la plantilla y del recopilador. Cada instancia de monitoreo en línea admite hasta cuatro recopiladores (máximo de 64 recopiladores en total) y, solo para Junos OS, puede especificar frecuencias de muestreo diferentes en cada configuración de recopilador. Debido a esta flexibilidad, los servicios de monitoreo en línea superan las limitaciones de las tecnologías de muestreo tradicionales, como JFlow, sFlow y la duplicación de puertos.

Para configurar la supervisión en línea:

  1. Debe incluir la inline-monitoring instrucción en el nivel de [edit services] jerarquía. Aquí se especifican los parámetros de plantilla e instancia de monitoreo en línea. Debe especificar los parámetros del recopilador en la instancia de supervisión en línea.

  2. Especifique condiciones de coincidencia arbitrarias mediante un término de filtro de firewall y una acción para aceptar la instancia de supervisión en línea configurada. Esto asigna la instancia de supervisión en línea al término de firewall.

  3. Asigne el filtro de firewall debajo de la familia inet o inet6 instrucción utilizando la inline-monitoring-instance instrucción en el nivel de jerarquía [edit firewall filter name then]. A partir de la versión 21.1R1 de Junos OS, también puede asignar el filtro de firewall en las instrucciones family any, bridge, ccc, mpls, orvpls. Para Junos OS Evolved, las bridge familias y vplsno son compatibles; use la ethernet-switch familia en su lugar. Junos OS Evolved también es compatible con , , inet, y mpls familiasanyccc. inet6 También puede aplicar el filtro de firewall a un filtro de tabla de reenvío con instrucción de entrada o salida para filtrar los paquetes de entrada o salida, respectivamente.

Recuerda:

  • El dispositivo debe admitir una longitud máxima de paquete (longitud de clip) de 126 bytes (Junos OS) o 256 bytes (Junos OS evolucionado) para habilitar los servicios de monitoreo en línea.

  • No puede configurar más de 16 (Junos OS) o 7 (Junos OS evolucionado) instancias de monitoreo en línea debido a la escasez de bits disponibles en el paquete de la ruta de reenvío.

  • Aplique los servicios de supervisión en línea solo en una interfaz de recopilador, es decir, la interfaz en la que se puede acceder al recopilador. No debe aplicar la supervisión en línea en el tráfico IPFIX, ya que esto genera otro paquete IPFIX para el muestreo, creando así un bucle. Esto incluye el tráfico generado por el servicio de monitoreo en línea, como paquetes de plantillas y registros, plantillas de opciones y paquetes de registros de opciones.

  • Cuando el servicio de supervisión en línea está habilitado en interfaces Ethernet agregadas (AE), los valores del elemento de información son los siguientes:

    Tabla 2: Valores de elementos de información para interfaces Ethernet agregadas

    Dirección del servicio de monitoreo en línea en la interfaz de AE

    Elemento de información 10 (interfaz entrante)

    Elemento de información 14 (Interfaz de salida)

    Entrada

    ID SNMP de AE

    0

    Salida

    ID SNMP de AE

    ID SNMP del vínculo de miembro

  • Cuando el servicio de supervisión en línea está habilitado en interfaces IRB, los valores del elemento de información son los siguientes:

    Tabla 3: Valores de elementos de información para interfaces IRB

    Dirección del servicio de monitoreo en línea en la interfaz IRB

    Elemento de información 10 (interfaz entrante)

    Elemento de información 14 (Interfaz de salida)

    Entrada

    ID SNMP de IRB

    0

    Salida

    ID SNMP de IRB

    ID SNMP de interfaz encapsulada de puente VLAN

  • Para dispositivos basados en XL-XM (con chip de búsqueda (XL) y ASIC de almacenamiento en búfer (XM)), la longitud del elemento de información de sección de trama de vínculo de datos en un paquete exportado puede ser menor que la longitud del clip, incluso si la longitud del paquete de salida es mayor que la longitud del clip.

    La longitud del elemento de información de la sección de trama de vínculo de datos se reduce en "N" número de bytes donde "N" = (longitud de encapsulación de capa 2 del paquete de entrada - longitud de encapsulación de capa 2 del paquete de salida).

    Por ejemplo, la longitud de encapsulación de capa 2 para el paquete de entrada es mayor que la del paquete de salida cuando el paquete de entrada tiene etiquetas MPLS y el paquete de salida es de tipo IPv4 o IPv6. Cuando el tráfico fluye desde el dispositivo perimetral del proveedor (PE) al dispositivo perimetral del cliente (CE), el paquete de entrada tiene etiquetas VLAN y el paquete de salida no está etiquetado.

    En tales casos, la longitud del clip puede ir más allá de la última ubicación de dirección del encabezado del paquete, generando un PKT_HEAD_SIZE mensaje de registro del sistema. Esto puede provocar la degradación del reenvío de paquetes del dispositivo.

  • En el caso de servicios de supervisión en línea en la dirección de entrada, el egressInterface (ID de elemento de información 14) no informa del índice SNMP de la interfaz de salida. Este ID de elemento de información siempre notifica el valor cero en caso de dirección de entrada. El proceso del recopilador receptor debe identificar la validez de este campo en función del flowDirection (ID del elemento de información 61).

Funciones compatibles y no compatibles con los servicios de supervisión en línea

Los servicios de monitoreo en línea admiten lo siguiente:

  • Conmutación del motor de enrutamiento elegante

  • Actualización de software en servicio (ISSU), actualización de software sin paradas (NSSU) y enrutamiento activo sin paradas (NSR)

  • Interfaces Ethernet e interfaces de enrutamiento y puente integrados (IRB)

  • División de nodos de Junos

  • A partir de la versión 22.4R1 de Junos OS evolucionado, configurará DSCP, clase de reenvío o instancias de enrutamiento para recopiladores.

  • A partir de la versión 22.4R1 de Junos OS evolucionado, configurará los ID de plantilla o los ID de plantilla de opción.

Los servicios de monitoreo en línea actualmente no admiten:

  • Configurar más de 16 (Junos OS) o 7 (Junos OS evolucionado) instancias de monitoreo en línea.

  • Junos Traffic Vision

  • Antes de Junos OS versión 21.1R1, la acción del término inline-monitoring-instance solo se admite para inet filtros de firewall y inet6 familia. A partir de la versión 21.1R1 de Junos OS, es compatible con los filtros de firewall y vpls familiaany, bridge, ccc, mpls,.

  • Recopiladores direccionables IPv6

  • Plataformas virtuales

  • Sistemas lógicos

  • Configurar tanto el ID de dominio de observación como el ID de nube de observación. Debes elegir solo uno de ellos.

  • Una acción de instancia de supervisión en línea utilizada para los informes de excepciones no se puede utilizar para ningún otro propósito, como una acción de redireccionamiento del firewall o una acción de supervisión en línea normal.

  • Una instancia de supervisión en línea utilizada para una acción de redirección de firewall no se puede utilizar para ningún otro propósito, como informes de excepciones o una acción de supervisión en línea regular.

  • Antes de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recopiladores.

  • Antes de Junos OS Evolved versión 22.4R1, configurar ID de plantilla o ID de plantilla de opción. El sistema los genera por usted.

  • Configuración de servicios de duplicación de puerto y monitoreo en línea bajo el mismo término de filtro de firewall (Junos OS evolucionado).

  • En la dirección de salida, configurar SFlow y los informes de excepciones; debe elegir solo uno de ellos (Junos OS evolucionado).

Configuración de servicios de supervisión en línea

Los servicios de monitoreo en línea pueden monitorear el tráfico IPv4 e IPv6 en las direcciones de entrada y salida. Puede habilitar el monitoreo en línea en enrutadores de la serie MX con MPC (Junos OS) y en enrutadores PTX que ejecutan Junos OS evolucionado.

Puede configurar servicios de supervisión en línea para supervisar diferentes flujos de tráfico a distintas frecuencias de muestreo en la misma unidad lógica de la interfaz. También puede exportar el tamaño del paquete original a un recopilador junto con información sobre el origen de la interfaz para una solución de problemas eficaz.

Antes de configurar

Cuando configure los servicios de supervisión en línea, puede:

  • Configure hasta 16 (Junos OS) o 7 (Junos OS evolucionado) instancias de monitoreo en línea. En cada instancia, puede configurar parámetros específicos de recopilador y plantilla.

  • Configure hasta 4 recopiladores direccionables IPv4 en cada instancia de monitoreo en línea. En total, puede configurar hasta 64 recopiladores. Los recolectores pueden ser remotos y en diferentes ubicaciones.

    Para cada recopilador, puede configurar parámetros específicos, como la dirección de origen y destino, etc. El nombre predeterminado de la instancia de enrutamiento en el recopilador es default.inet.

  • Para Junos OS, puede configurar el filtro de firewall o inet6 familia inet con el término acción inline-monitoring-instance inline-monitoring-instance-name . A partir de Junos OS versión 21.1R1, puede configurar any, bridge, ccc, mpls,o vpls familiarizar filtros de firewall con el término acción inline-monitoring-instance inline-monitoring-instance-name . Para Junos OS Evolved, puede configurar los filtros de firewall o any, ccc, ethernet-switch, inet, inet6, mpls family con el término action inline-monitoring-instance inline-monitoring-instance-name.

    Cada término puede admitir una instancia de monitoreo en línea diferente.

  • Adjunte el filtro de firewall de supervisión en línea en la familia de la unidad lógica de la interfaz.

Después de confirmar correctamente la configuración, puede comprobar la implementación de los servicios de supervisión en línea mediante la ejecución del comando show services inline-monitoring statistics fpc-slot desde la CLI.

Nota:

Si un paquete requiere que se apliquen servicios de monitoreo en línea junto con cualquiera de las tecnologías de muestreo tradicionales (como JFlow o SFlow), el motor de reenvío de paquetes realiza tanto los servicios de monitoreo en línea como la tecnología de muestreo tradicional en ese paquete. Actualmente, la duplicación de puertos debe configurarse con un término diferente para Junos OS evolucionado.

La Figura 6 es una ilustración de ejemplo de servicios de monitoreo en línea, donde el tráfico se monitorea a dos frecuencias de muestreo diferentes en la interfaz del dispositivo y se exporta a cuatro recopiladores remotos en un formato de encapsulación IPFIX. Para Junos OS, la frecuencia de muestreo se configura en cada recolector, lo que permite velocidades diferentes para cada recolector. En el caso de Junos OS Evolved, la frecuencia de muestreo se configura en la instancia de supervisión en línea y se aplica a todos los recopiladores configurados para esa instancia.

Figura 6: Servicios Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1. de monitoreo en línea

En este ejemplo, la interfaz et-1/0/0 del dispositivo está configurada con servicios de supervisión en línea. Los detalles de las configuraciones son los siguientes:

  • Hay dos instancias de monitoreo en línea: la instancia 1 y la instancia 2.

  • Hay cuatro recopiladores, dos recopiladores en cada instancia de monitoreo en línea.

    • La instancia 1 tiene el colector-1 y el colector-2.

    • La instancia 2 tiene Collector-101 y Collector-102.

  • Los recopiladores de la instancia 1 tienen una frecuencia de muestreo de 1:10000.

  • Los recopiladores de la instancia 2 tienen una frecuencia de muestreo de 1:1.

  • Los recopiladores de instancia 1 tienen una dirección de origen y destino de 10.1.1.1 y 10.2.2.1, respectivamente.

  • Los recopiladores de instancia 2 tienen una dirección de origen y destino de 10.11.1.1 y 10.12.2.1, respectivamente.

  • Los paquetes se exportan a los recopiladores en un formato encapsulado IPFIX.

Para configurar los servicios de supervisión en línea:

  1. Defina un filtro de firewall para cada instancia de supervisión en línea para atender los servicios de supervisión en línea. Puede configurar un filtro de firewall de familia con el término acción inline-monitoring-instance.

    Para definir un filtro de firewall:

    En este ejemplo, los términos t1 y t2 se configuran para Instance1 e Instance2, respectivamente.

  2. Habilite los servicios de supervisión en línea mediante la configuración de los parámetros asociados de plantilla, instancia y recopilador.
    1. Para configurar la plantilla de servicios de supervisión en línea:

      En este ejemplo, se configuran las plantillas template-1 y template-2.

    2. Para configurar la instancia de supervisión en línea y los parámetros del recopilador:

      Para Junos OS:

      En este ejemplo para Junos OS, la instancia 1 tiene dos recopiladores, el colector 1 y el colector 2, y la instancia 2 tiene dos recopiladores, el colector 101 y el colector 102. Se configuraron diferentes frecuencias de muestreo para ambas instancias.

      Para Junos OS evolucionado:

      En este ejemplo, para Junos OS evolucionado, la Instancia1 tiene dos recopiladores, el colector-1 y el colector-2, y la Instancia2 tiene dos recopiladores, el colector-101 y el colector-102. Se configuraron diferentes frecuencias de muestreo para ambas instancias.

  3. Asigne el filtro de firewall en la familia de la unidad lógica de la interfaz para aplicar la supervisión en línea en la dirección de entrada o salida.

    Como alternativa, puede aplicar la supervisión en línea asignando el filtro de firewall a un filtro de tabla de reenvío con una instrucción de entrada o salida para filtrar los paquetes de entrada o salida, respectivamente.

    Para conectar el filtro de firewall:

    En este ejemplo, el filtro de supervisión en línea se adjunta al inet de familia de la unidad 0 de et-1/0/0.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
23.4R1-EVO
Servicios de monitoreo en línea (enrutador PTX10003 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de Junos OS Evolved versión 23.4R1, puede configurar los servicios de monitoreo en línea en el enrutador PTX10003 para informar excepciones. También puede configurar los filtros de firewall o any, ccc, ethernet-switch, inet, inet6, mpls family con el término action inline-monitoring-instance inline-monitoring-instance-name.
22.4R1-EVO
Servicios de monitoreo en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de la versión 22 de Junos OS evolucionado. 4R1, puede configurar servicios de monitoreo en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para paquetes de muestra, agregar metadatos y exportar los paquetes hasta la longitud de clip configurada a un recopilador IPFIX para su posterior procesamiento. También puede configurar los filtros de firewall o any, ccc, ethernet-switch, inet, inet6, mpls family con el término action inline-monitoring-instance inline-monitoring-instance-name.
22.3R1
Servicios de supervisión en línea (enrutadores MX304): a partir de la versión 22.3R1 de Junos OS, puede configurar los servicios de supervisión en línea en el enrutador MX304.
22.2R1-EVO
Servicios de monitoreo en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1202): a partir de la versión 22.1R1 de Junos OS evolucionado, puede configurar servicios de monitoreo en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para informar excepciones. También puede configurar los filtros de firewall o any, ccc, ethernet-switch, inet, inet6, mpls family con el término action inline-monitoring-instance inline-monitoring-instance-name.
21.4R1
Servicios de supervisión en línea (tarjeta de línea LC9600 para el enrutador MX10008): a partir de la versión 21.4R1 de Junos OS, puede configurar servicios de supervisión en línea en enrutadores MX10008 que contengan la tarjeta de línea LC9600.
21.2R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de monitoreo en línea (serie MX con tarjetas de línea MPC10E y MPC11E): a partir de la versión 21.2R1 de Junos OS, puede configurar los filtros de firewall o family any, bridge, ccc, mpls, vpls con el término acción inline-monitoring-instance inline-monitoring-instance-name.
21.2R1
Servicios de supervisión en línea (tarjeta de línea LC480 para enrutadores MX10008 y MX10016) - A partir de la versión 21.2R1 de Junos OS, puede configurar servicios de supervisión en línea en enrutadores MX10008 y MX10016 que contengan la tarjeta de línea LC480.
21.1R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de monitoreo en línea (serie MX con MPC excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de la versión 21.1R1 de Junos OS, puede configurar los filtros de firewall de familia cualquiera, puente, CCC, MPLS o VPLS con el término acción inline-monitoring-instance inline-monitoring-instance-name.
20.4R1
Servicios de supervisión en línea (tarjetas de línea MPC10E y MPC11E para enrutadores de la serie MX) - A partir de la versión 20.4R1 de Junos OS, puede configurar los servicios de supervisión en línea en enrutadores de la serie MX que contengan las tarjetas de línea MPC10E y MPC11E.
19.4R1
Servicios de monitoreo en línea (serie MX con MPC, excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de la versión 19.4R1 de Junos OS, puede configurar una nueva tecnología de monitoreo que proporcione la flexibilidad para monitorear diferentes flujos de tráfico a diferentes frecuencias de muestreo en la misma interfaz. También puede exportar el paquete hasta la longitud de clip configurada a un recopilador en un formato de exportación de información de flujo IP (IPFIX). El formato IPFIX incluye información importante de metadatos sobre los paquetes supervisados para su posterior procesamiento en el recopilador.