Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de servicios de supervisión en línea

Descripción de los servicios de monitoreo en línea

Beneficios de los servicios de monitoreo en línea

Flexible: los servicios de monitoreo en línea permiten asignar diferentes instancias de monitoreo en línea a diferentes términos de filtro de firewall, a diferencia de lo que se hace en las tecnologías de muestreo tradicionales, en las que todas las instancias se asignan al concentrador de PIC flexible (FPC). Esto le proporciona la flexibilidad de tomar muestras de diferentes flujos de tráfico a diferentes velocidades en una sola interfaz.

Agnóstico del formato de paquete: las tecnologías de recopilación de flujo tradicionales se basan en el análisis y la agregación de paquetes por el elemento de red. Con los servicios de supervisión en línea, el encabezado del paquete se exporta al recolector para su posterior procesamiento, pero sin agregación. Por lo tanto, tiene la ventaja de usar campos de paquete arbitrarios para procesar los paquetes supervisados en el recolector.

Descripción general de la función de los servicios de supervisión en línea

Los proveedores de servicios y de contenido suelen requerir visibilidad de los flujos de tráfico para evaluar los acuerdos de emparejamiento, detectar anomalías de tráfico y violaciones de políticas, y supervisar el rendimiento de la red. Para cumplir con estos requisitos, tradicionalmente exportaría información agregada de estadísticas de flujo mediante las variantes JFlow o IPFIX.

Como enfoque alternativo, puede muestrar el contenido del paquete, agregar información de metadatos y exportar los paquetes supervisados a un recopilador. Los servicios de monitoreo en línea le permiten hacer esto en enrutadores serie MX y en enrutadores PTX que ejecutan Junos OS Evolucionado.

Con los servicios de monitoreo en línea, puede supervisar cada paquete IPv4 e IPv6 en las direcciones de entrada y salida de una interfaz. El software encapsula el tráfico supervisado en formato IPFIX y exporta el paquete real hasta la longitud de clip configurada a un recolector para su posterior procesamiento. De forma predeterminada, Junos OS admite una longitud máxima del clip de 126 bytes a partir del encabezado de Ethernet, y Junos OS Evolved admite una longitud de clip máxima de 256 bytes a partir del encabezado de Ethernet.

La Figura 1 muestra la especificación de formato IPFIX.

Figura 1: Especificación Inline Monitoring IPFIX Specification IPFIX de monitoreo en línea

El encabezado IPFIX y la carga IPFIX se encapsulan mediante la capa de transporte IP o UDP. El formato IPFIX exportado incluye dos registros de datos y dos plantillas de datos que se exportan a cada recopilador:

  • Registro de datos: incluye interfaz de entrada y salida, dirección del flujo, sección de trama de vínculo de datos y tamaño de trama de vínculo de datos. Esta información solo se envía al recopilador cuando se exportan paquetes de muestra.

    La figura 2 es una ilustración de ejemplo del paquete de registro de datos IPFIX.

  • Registro de datos option: incluye información a nivel del sistema, como el ID de proceso de exportación y el intervalo de toma de muestras. Esta información se envía al recolector periódicamente, independientemente de si los paquetes de toma de muestras no están siendo exportados.

    La figura 3 es una ilustración de ejemplo del paquete de registro de datos de la opción IPFIX.

    Tabla 1: Campos de elemento de información en el paquete de datos de opción IPFIX

    Número

    ID del elemento Information

    Longitud del elemento Information

    Detalles

    1

    144

    4B

    ID de dominio de observación: un identificador único del proceso de exportación por dispositivo IPFIX. El propósito de este campo es limitar el alcance de otros campos de elementos de información.

    2

    34

    4B

    Intervalo de toma de muestras en el que se toman muestras de los paquetes. 1000 indica que se muestra uno de los 1000 paquetes.

  • Plantilla de datos: incluye cinco elementos de información:

    • Interfaz de entrada

    • Interfaz de salida

    • Dirección del flujo

    • Tamaño de trama de vínculo de datos

    • Selección de tramas de vínculo de datos variables

    La Figura 4 es una ilustración de ejemplo del paquete de plantilla de datos IPFIX.

  • Plantilla de datos option: incluye información de intervalos de toma de muestras y exportador de flujo.

    La Figura 5 es una ilustración de ejemplo del paquete de plantilla de datos de la opción IPFIX.

Cuando hay una configuración de servicios de supervisión en línea nueva o cambia, la exportación periódica de la plantilla de datos y de la plantilla de datos de opción se envía inmediatamente a los recolectores respectivos.

Figura 2: Registro IPFIX Data Record de datos IPFIX
Figura 3: Registro IPFIX Option Data Record de datos de la opción IPFIX
Figura 4: Plantilla IPFIX Data Template de datos IPFIX
Figura 5: Plantilla IPFIX Option Data Template de datos de opción IPFIX

Descripción general de la configuración de los servicios de supervisión en línea

Puede configurar un máximo de dieciseis instancias (Junos OS) o siete (Junos OS Evolucionado) que admitan parámetros de configuración específicos de la plantilla y del recolector. Cada instancia de supervisión en línea admite hasta cuatro recolectores (un máximo de 64 recolectores en total) y, solo para Junos OS, puede especificar diferentes velocidades de toma de muestras en cada configuración de recolector. Debido a esta flexibilidad, los servicios de monitoreo en línea superan las limitaciones de las tecnologías de toma de muestras tradicionales, como JFlow, sFlow y el espejado de puertos.

Para configurar la supervisión en línea:

  1. Debe incluir la inline-monitoring instrucción en el [edit services] nivel de jerarquía. Aquí se especifican la plantilla y los parámetros de la instancia de supervisión en línea. Debe especificar los parámetros del recopilador en la instancia de supervisión en línea.

  2. Especifique condiciones de coincidencia arbitraria mediante un término de filtro de firewall y una acción para aceptar la instancia configurada de supervisión en línea. Esto asigna la instancia de monitoreo en línea al término de firewall.

  3. Asigne el filtro de firewall bajo la familia inet o inet6 instrucción mediante la inline-monitoring-instance instrucción en el nivel jerárquico de [editar filtro name de firewall entonces]. A partir de Junos OS versión 21.1R1, también puede asignar el filtro de firewall en la familia any, bridge, ccc, mpls, o vpls instrucciones. Para Junos OS evolucionado, no se admiten las bridge familias yvpls; use la ethernet-switch familia en su lugar. Junos OS Evolucionado también admite las anycccfamilias, inetinet6ympls. También puede aplicar alternativamente el filtro de firewall a un filtro de tabla de reenvío con instrucción de entrada o salida para filtrar paquetes de entrada o salida, respectivamente.

Recordar:

  • El dispositivo debe admitir una longitud máxima de paquete (longitud del clip) de 126 bytes (Junos OS) o 256 bytes (Junos OS Evolucionado) para habilitar los servicios de supervisión en línea.

  • No puede configurar más de 16 (Junos OS) o 7 (Junos OS Evolucionado) instancias de supervisión en línea debido a la escasez de bits disponibles en el paquete en la ruta de reenvío.

  • Aplique servicios de supervisión en línea solo en una interfaz de recopilador, es decir, la interfaz en la que se puede acceder al recopilador. No debe aplicar la supervisión en línea en el tráfico IPFIX, ya que esto genera otro paquete IPFIX para el muestreo, lo que crea un bucle. Esto incluye el tráfico generado por el servicio de supervisión en línea, como paquetes de plantillas y registros, plantillas de opciones y paquetes de registro de opciones.

  • Cuando se habilita el servicio de supervisión en línea en interfaces Ethernet (AE) agregadas, los valores del elemento de información son los siguientes:

    Tabla 2: Valores de elementos de información para interfaces Ethernet agregadas

    Dirección del servicio de monitoreo en línea en la interfaz AE

    Elemento de información 10 (interfaz de entrada)

    Elemento de información 14 (interfaz de salida)

    Ingreso

    ID SNMP de AE

    0

    Salida

    ID SNMP de AE

    ID SNMP del vínculo de miembro

  • Cuando el servicio de supervisión en línea está habilitado en interfaces IRB, los valores del elemento de información son los siguientes:

    Tabla 3: Valores del elemento information para interfaces IRB

    Dirección del servicio de monitoreo en línea en la interfaz IRB

    Elemento de información 10 (interfaz de entrada)

    Elemento de información 14 (interfaz de salida)

    Ingreso

    ID SNMP de IRB

    0

    Salida

    ID SNMP de IRB

    ID SNMP de la interfaz encapsulada de vlan-bridge

  • Para dispositivos basados en XL-XM (con chip de búsqueda (XL) y ASIC de búfer (XM)), la longitud del elemento de información de la sección de trama de vínculo de datos en un paquete exportado puede ser menor que la longitud del clip, incluso si la longitud del paquete de salida es mayor que la longitud del clip.

    La longitud del elemento de información de la sección de trama de vínculo de datos se reduce por el número 'N' de bytes donde 'N' = (paquete de entrada Capa 2 longitud de encapsulación - longitud de encapsulación de paquete de salida capa 2).

    Por ejemplo, la longitud de encapsulación de capa 2 para el paquete de entrada es mayor que la del paquete de salida cuando el paquete de entrada tiene etiquetas MPLS y el paquete de salida es del tipo IPv4 o IPv6. Cuando el tráfico fluye desde el dispositivo de borde del proveedor (PE) al dispositivo de borde del cliente (CE), el paquete de entrada tiene etiquetas VLAN y el paquete de salida no está etiquetado.

    En tales casos, la longitud del clip puede pasar por la última ubicación de dirección del encabezado del paquete, lo que genera un PKT_HEAD_SIZE mensaje de registro del sistema. Esto puede provocar la degradación del reenvío de paquetes para el dispositivo.

  • En el caso de servicios de supervisión en línea en la dirección de entrada, el egressInterface (elemento de información ID 14) no informa el índice SNMP de la interfaz de salida. Este ID de elemento de información siempre informa el valor cero en caso de dirección de entrada. El proceso del recopilador receptor debe identificar la validez de este campo según el flowDirection (elemento de información ID 61).

Funciones compatibles y no compatibles con servicios de monitoreo en línea

Los servicios de monitoreo en línea admiten:

  • Cambio elegante del motor de enrutamiento

  • Actualización de software en servicio (ISSU), actualización continua de software (NSSU) y enrutamiento activo (NSR) sin interrupciones

  • Interfaces Ethernet e interfaces de enrutamiento y puente integrados (IRB)

  • División de nodos de Junos

  • A partir de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recolectores.

  • A partir de Junos OS Evolved versión 22.4R1, configurando los IDs de plantilla o de opciones.

Los servicios de monitoreo en línea actualmente no admiten:

  • Configuración de más de 16 instancias de monitoreo en línea (Junos OS) o 7 (Junos OS Evolucionado).

  • Junos Traffic Vision

  • Antes de la versión 21.1R1 de Junos OS, la acción de término de instancia de monitoreo en línea solo se admite para inet filtros de firewall de familia y inet6 de familia. A partir de Junos OS versión 21.1R1, se admite para los filtros de firewall y vpls de la any, bridge, ccc, mpls, familia.

  • Recolectores direccionables IPv6

  • Plataformas virtuales

  • Sistemas lógicos

  • Configurar tanto el ID de dominio de observación como el ID de nube de observación. Debe elegir solo uno de ellos.

  • Una acción de instancia de monitoreo en línea utilizada para la generación de informes de excepciones no se puede utilizar para ningún otro propósito, como una acción de reenrutación de firewall o una acción regular de monitoreo en línea.

  • Una instancia de monitoreo en línea utilizada para una acción de reenrutación de firewall no se puede utilizar para ningún otro propósito, como informes de excepciones o una acción regular de monitoreo en línea.

  • Antes de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recolectores.

  • Antes de la versión 22.4R1 de Junos OS Evolved, configurar los IDs de plantilla o de opciones. El sistema los genera por usted.

  • Configurar servicios de duplicación de puertos y monitoreo en línea bajo el mismo término de filtro de firewall (Junos OS Evolved).

  • En la dirección de salida, configurar tanto SFlow como informes de excepciones; debe elegir solo uno de ellos (Junos OS Evolucionado).

Configuración de servicios de supervisión en línea

Los servicios de monitoreo en línea pueden monitorear el tráfico IPv4 e IPv6 tanto en direcciones de entrada como de salida. Puede habilitar la supervisión en línea en enrutadores serie MX con MPC (Junos OS) y en enrutadores PTX que ejecutan Junos OS evolucionado.

RESUMEN Puede configurar servicios de monitoreo en línea para supervisar diferentes flujos de tráfico a diferentes velocidades de toma de muestras en la misma unidad lógica de la interfaz. También puede exportar el tamaño del paquete original a un recopilador junto con información sobre el origen de la interfaz para una solución eficaz de problemas.

Antes de configurar

Cuando configure los servicios de monitoreo en línea, puede:

  • Configure hasta 16 instancias de monitoreo en línea (Junos OS) o 7 (Junos OS Evolucionado). En cada instancia, puede configurar parámetros específicos de recopilador y plantilla.

  • Configure hasta 4 recolectores direccionables IPv4 en cada instancia de supervisión en línea. En total, puede configurar hasta 64 recolectores. Los recolectores pueden ser remotos y en diferentes ubicaciones.

    Para cada recopilador, puede configurar parámetros específicos, como la dirección de origen y destino, entre otros. El nombre predeterminado de la instancia de enrutamiento en el recopilador es default.inet.

  • Para Junos OS, puede configurar el filtro de firewall de familia inet o inet6 con el término acción inline-monitoring-instance inline-monitoring-instance-name. A partir de Junos OS versión 21.1R1, puede configurar any, bridge, ccc, mpls,filtros de firewall de familia con vpls el término acción inline-monitoring-instance inline-monitoring-instance-name. Para Junos OS Evolucionado, puede configurar los filtros de firewall de la any, ccc, ethernet-switch, inet, inet6, familia o mpls con el término acción en la instancia inline-monitoring-instance-namede supervisión en línea.

    Cada término puede admitir una instancia de monitoreo en línea diferente.

  • Conecte el filtro de firewall de supervisión en línea en la familia de la unidad lógica de la interfaz.

Después de confirmar correctamente la configuración, puede verificar la implementación de los servicios de supervisión en línea mediante la emisión del comando fpc-slot de estadísticas de monitoreo de los servicios show desde la CLI.

Nota:

Si un paquete requiere que se apliquen servicios de monitoreo en línea junto con cualquiera de las tecnologías de toma de muestras tradicionales (como JFlow o SFlow), el motor de reenvío de paquetes realiza servicios de monitoreo en línea y la tecnología de toma de muestras tradicional en ese paquete. Actualmente, la duplicación de puertos se debe configurar con un término diferente para Junos OS Evolucionado.

La Figura 6 es una muestra de los servicios de monitoreo en línea, en los que el tráfico se monitorea a dos velocidades de muestreo diferentes en la interfaz del dispositivo, y se exporta a cuatro recolectores remotos en un formato de encapsulación IPFIX. Para Junos OS, configure la velocidad de toma de muestras en cada recopilador, lo que permite diferentes velocidades para cada recopilador. Para Junos OS Evolucionado, configure la velocidad de toma de muestras en la instancia de supervisión en línea y se aplica a todos los recolectores configurados para esa instancia.

Figura 6: Servicios Inline Monitoring Services de monitoreo en línea

En este ejemplo, la interfaz et-1/0/0 del dispositivo se configura con servicios de supervisión en línea. Los detalles de las configuraciones son los siguientes:

  • Hay dos instancias de monitoreo en línea: instancia 1 e instancia 2.

  • Hay cuatro recolectores, dos en cada instancia de monitoreo en línea.

    • La instancia 1 tiene Collector-1 y Collector-2.

    • La instancia 2 tiene Collector-101 y Collector-102.

  • Los recolectores de la instancia 1 tienen una velocidad de muestreo de 1:10000.

  • Los recolectores de la instancia 2 tienen una velocidad de toma de muestras de 1:1.

  • Los recolectores de la instancia 1 tienen una dirección de origen y destino de 10.1.1.1 y 10.2.2.1, respectivamente.

  • Los recolectores de instancia 2 tienen una dirección de origen y destino de 10.11.1.1 y 10.12.2.1, respectivamente.

  • Los paquetes se exportan a los recolectores en formato encapsulado IPFIX.

Para configurar los servicios de monitoreo en línea:

  1. Defina un filtro de firewall para cada instancia de monitoreo en línea para prestar servicio a los servicios de monitoreo en línea. Puede configurar un filtro de firewall de familia con el término acción inline-monitoring-instance.

    Para definir un filtro de firewall:

    En este ejemplo, los términos t1 y t2 se configuran para Instance1 e Instance2, respectivamente.

  2. Habilite los servicios de supervisión en línea mediante la configuración de los parámetros de la plantilla, la instancia y el recopilador asociados.
    1. Para configurar la plantilla de servicios de supervisión en línea:

      En este ejemplo, se configuran las plantillas template-1 y template-2.

    2. Para configurar parámetros de instancia y recolector de monitoreo en línea:

      Para Junos OS:

      En este ejemplo para Junos OS, Instance1 tiene dos recolectores, collector-1 y collector-2, e Instance2 tiene dos recopiladores, collector-101 y collector-102. Se han configurado diferentes velocidades de toma de muestras para ambas instancias.

      Para Junos OS evolucionado:

      En este ejemplo, para Junos OS Evolved, Instance1 tiene dos recolectores, collector-1 y collector-2, e Instance2 tiene dos recolectores, collector-101 y collector-102. Se han configurado diferentes velocidades de toma de muestras para ambas instancias.

  3. Asigne el filtro de firewall bajo la familia de la unidad lógica de la interfaz para aplicar la supervisión en línea en la dirección de entrada o salida.

    Alternativamente, puede aplicar la supervisión en línea mediante la asignación del filtro de firewall a un filtro de tabla de reenvío con una instrucción de entrada o salida para filtrar paquetes de entrada o salida, respectivamente.

    Para adjuntar el filtro de firewall:

    En este ejemplo, el filtro de monitoreo en línea se adjunta al inet de familia de la unidad 0 de et-1/0/0.

Tabla de historial de versiones
Lanzamiento
Descripción
22.4R1-EVO
Servicios de monitoreo en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas de línea JNP10K-LC1201 o JNP10K-LC1203) - A partir de Junos OS Evolved versión 22.4R1, puede configurar servicios de monitoreo en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para muestras de paquetes, agregar metadatos y exportar los paquetes hasta la longitud de clip configurada a un recopilador IPFIX para un procesamiento posterior. También puede configurar los filtros de any, ccc, ethernet-switch, inet, inet6, firewall de familia o mpls con el término acción en línea-monitoreo-instancia inline-monitoring-instance-name.
22.3R1
Servicios de monitoreo en línea (enrutadores MX304): a partir de Junos OS versión 22.3R1, puede configurar servicios de monitoreo en línea en el enrutador MX304.
22.2R1-EVO
Servicios de monitoreo en línea (enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con las tarjetas JNP10K-LC1201 o JNP10K-LC1203) : a partir de Junos OS Evolved versión 22.1R1, puede configurar servicios de supervisión en línea en los enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 para informar excepciones. También puede configurar los filtros de any, ccc, ethernet-switch, inet, inet6, firewall de familia o mpls con el término acción en línea-monitoreo-instancia inline-monitoring-instance-name.
21.4R1
Servicios de supervisión en línea (tarjeta de línea LC9600 para el enrutador MX10008): a partir de Junos OS versión 21.4R1, puede configurar servicios de supervisión en línea en enrutadores MX10008 que contengan la tarjeta de línea LC9600.
21.2R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de supervisión en línea (serie MX con tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 21.2R1, puede configurar los filtros de firewall o vpls de la any, bridge, ccc, mpls, familia con el término acción en la instancia inline-monitoring-instance-namede monitoreo en línea.
21.2R1
Servicios de supervisión en línea (tarjeta de línea LC480 para enrutadores MX10008 y MX10016: a partir de Junos OS versión 21.2R1, puede configurar servicios de supervisión en línea en enrutadores MX10008 y MX10016 que contienen la tarjeta de línea LC480.
21.1R1
Compatibilidad con la capa 2 y cualquier familia de filtros de firewall para servicios de monitoreo en línea (serie MX con MPC excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 21.1R1, puede configurar los filtros de firewall de la familia any, bridge, ccc, mpls o vpls con el término action inline-monitoring-instance inline-monitoring-instance-name.
20.4R1
Servicios de monitoreo en línea (tarjetas de línea MPC10E y MPC11E para enrutadores serie MX: a partir de Junos OS versión 20.4R1, puede configurar servicios de monitoreo en línea en enrutadores serie MX que contienen las tarjetas de línea MPC10E y MPC11E.
19.4R1
Servicios de monitoreo en línea (serie MX con MPC excluyendo las tarjetas de línea MPC10E y MPC11E): a partir de Junos OS versión 19.4R1, puede configurar una nueva tecnología de monitoreo que ofrezca flexibilidad para supervisar diferentes flujos de tráfico a diferentes velocidades de toma de muestras en la misma interfaz. También puede exportar el paquete hasta la longitud configurada del clip a un recopilador en un formato de exportación de información de flujo IP (IPFIX). El formato IPFIX incluye información de metadatos importantes sobre los paquetes supervisados para su posterior procesamiento en el recolector.