Configuración de servicios de supervisión en línea
Descripción de los servicios de monitoreo en línea
- Beneficios de los servicios de monitoreo en línea
- Descripción general de la función de los servicios de supervisión en línea
- Descripción general de la configuración de los servicios de supervisión en línea
- Funciones compatibles y no compatibles con servicios de monitoreo en línea
Beneficios de los servicios de monitoreo en línea
Flexible: los servicios de monitoreo en línea permiten asignar diferentes instancias de monitoreo en línea a diferentes términos de filtro de firewall, a diferencia de lo que se hace en las tecnologías de muestreo tradicionales, en las que todas las instancias se asignan al concentrador de PIC flexible (FPC). Esto le proporciona la flexibilidad de tomar muestras de diferentes flujos de tráfico a diferentes velocidades en una sola interfaz.
Agnóstico del formato de paquete: las tecnologías de recopilación de flujo tradicionales se basan en el análisis y la agregación de paquetes por el elemento de red. Con los servicios de supervisión en línea, el encabezado del paquete se exporta al recolector para su posterior procesamiento, pero sin agregación. Por lo tanto, tiene la ventaja de usar campos de paquete arbitrarios para procesar los paquetes supervisados en el recolector.
Descripción general de la función de los servicios de supervisión en línea
Los proveedores de servicios y de contenido suelen requerir visibilidad de los flujos de tráfico para evaluar los acuerdos de emparejamiento, detectar anomalías de tráfico y violaciones de políticas, y supervisar el rendimiento de la red. Para cumplir con estos requisitos, tradicionalmente exportaría información agregada de estadísticas de flujo mediante las variantes JFlow o IPFIX.
Como enfoque alternativo, puede muestrar el contenido del paquete, agregar información de metadatos y exportar los paquetes supervisados a un recopilador. Los servicios de monitoreo en línea le permiten hacer esto en enrutadores serie MX y en enrutadores PTX que ejecutan Junos OS Evolucionado.
Con los servicios de monitoreo en línea, puede supervisar cada paquete IPv4 e IPv6 en las direcciones de entrada y salida de una interfaz. El software encapsula el tráfico supervisado en formato IPFIX y exporta el paquete real hasta la longitud de clip configurada a un recolector para su posterior procesamiento. De forma predeterminada, Junos OS admite una longitud máxima del clip de 126 bytes a partir del encabezado de Ethernet, y Junos OS Evolved admite una longitud de clip máxima de 256 bytes a partir del encabezado de Ethernet.
La Figura 1 muestra la especificación de formato IPFIX.
El encabezado IPFIX y la carga IPFIX se encapsulan mediante la capa de transporte IP o UDP. El formato IPFIX exportado incluye dos registros de datos y dos plantillas de datos que se exportan a cada recopilador:
Registro de datos: incluye interfaz de entrada y salida, dirección del flujo, sección de trama de vínculo de datos y tamaño de trama de vínculo de datos. Esta información solo se envía al recopilador cuando se exportan paquetes de muestra.
La figura 2 es una ilustración de ejemplo del paquete de registro de datos IPFIX.
Registro de datos option: incluye información a nivel del sistema, como el ID de proceso de exportación y el intervalo de toma de muestras. Esta información se envía al recolector periódicamente, independientemente de si los paquetes de toma de muestras no están siendo exportados.
La figura 3 es una ilustración de ejemplo del paquete de registro de datos de la opción IPFIX.
Tabla 1: Campos de elemento de información en el paquete de datos de opción IPFIX Número
ID del elemento Information
Longitud del elemento Information
Detalles
1
144
4B
ID de dominio de observación: un identificador único del proceso de exportación por dispositivo IPFIX. El propósito de este campo es limitar el alcance de otros campos de elementos de información.
2
34
4B
Intervalo de toma de muestras en el que se toman muestras de los paquetes. 1000 indica que se muestra uno de los 1000 paquetes.
Plantilla de datos: incluye cinco elementos de información:
Interfaz de entrada
Interfaz de salida
Dirección del flujo
Tamaño de trama de vínculo de datos
Selección de tramas de vínculo de datos variables
La Figura 4 es una ilustración de ejemplo del paquete de plantilla de datos IPFIX.
Plantilla de datos option: incluye información de intervalos de toma de muestras y exportador de flujo.
La Figura 5 es una ilustración de ejemplo del paquete de plantilla de datos de la opción IPFIX.
Cuando hay una configuración de servicios de supervisión en línea nueva o cambia, la exportación periódica de la plantilla de datos y de la plantilla de datos de opción se envía inmediatamente a los recolectores respectivos.
Descripción general de la configuración de los servicios de supervisión en línea
Puede configurar un máximo de dieciseis instancias (Junos OS) o siete (Junos OS Evolucionado) que admitan parámetros de configuración específicos de la plantilla y del recolector. Cada instancia de supervisión en línea admite hasta cuatro recolectores (un máximo de 64 recolectores en total) y, solo para Junos OS, puede especificar diferentes velocidades de toma de muestras en cada configuración de recolector. Debido a esta flexibilidad, los servicios de monitoreo en línea superan las limitaciones de las tecnologías de toma de muestras tradicionales, como JFlow, sFlow y el espejado de puertos.
Para configurar la supervisión en línea:
-
Debe incluir la
inline-monitoring
instrucción en el[edit services]
nivel de jerarquía. Aquí se especifican la plantilla y los parámetros de la instancia de supervisión en línea. Debe especificar los parámetros del recopilador en la instancia de supervisión en línea. -
Especifique condiciones de coincidencia arbitraria mediante un término de filtro de firewall y una acción para aceptar la instancia configurada de supervisión en línea. Esto asigna la instancia de monitoreo en línea al término de firewall.
-
Asigne el filtro de firewall bajo la familia
inet
oinet6
instrucción mediante lainline-monitoring-instance
instrucción en el nivel jerárquico de [editar filtro name de firewall entonces]. A partir de Junos OS versión 21.1R1, también puede asignar el filtro de firewall en la familiaany, bridge, ccc, mpls,
ovpls
instrucciones. Para Junos OS evolucionado, no se admiten lasbridge
familias yvpls
; use laethernet-switch
familia en su lugar. Junos OS Evolucionado también admite lasany
ccc
familias,inet
inet6
ympls
. También puede aplicar alternativamente el filtro de firewall a un filtro de tabla de reenvío con instrucción de entrada o salida para filtrar paquetes de entrada o salida, respectivamente.
Recordar:
-
El dispositivo debe admitir una longitud máxima de paquete (longitud del clip) de 126 bytes (Junos OS) o 256 bytes (Junos OS Evolucionado) para habilitar los servicios de supervisión en línea.
-
No puede configurar más de 16 (Junos OS) o 7 (Junos OS Evolucionado) instancias de supervisión en línea debido a la escasez de bits disponibles en el paquete en la ruta de reenvío.
-
Aplique servicios de supervisión en línea solo en una interfaz de recopilador, es decir, la interfaz en la que se puede acceder al recopilador. No debe aplicar la supervisión en línea en el tráfico IPFIX, ya que esto genera otro paquete IPFIX para el muestreo, lo que crea un bucle. Esto incluye el tráfico generado por el servicio de supervisión en línea, como paquetes de plantillas y registros, plantillas de opciones y paquetes de registro de opciones.
-
Cuando se habilita el servicio de supervisión en línea en interfaces Ethernet (AE) agregadas, los valores del elemento de información son los siguientes:
Tabla 2: Valores de elementos de información para interfaces Ethernet agregadas Dirección del servicio de monitoreo en línea en la interfaz AE
Elemento de información 10 (interfaz de entrada)
Elemento de información 14 (interfaz de salida)
Ingreso
ID SNMP de AE
0
Salida
ID SNMP de AE
ID SNMP del vínculo de miembro
-
Cuando el servicio de supervisión en línea está habilitado en interfaces IRB, los valores del elemento de información son los siguientes:
Tabla 3: Valores del elemento information para interfaces IRB Dirección del servicio de monitoreo en línea en la interfaz IRB
Elemento de información 10 (interfaz de entrada)
Elemento de información 14 (interfaz de salida)
Ingreso
ID SNMP de IRB
0
Salida
ID SNMP de IRB
ID SNMP de la interfaz encapsulada de vlan-bridge
-
Para dispositivos basados en XL-XM (con chip de búsqueda (XL) y ASIC de búfer (XM)), la longitud del elemento de información de la sección de trama de vínculo de datos en un paquete exportado puede ser menor que la longitud del clip, incluso si la longitud del paquete de salida es mayor que la longitud del clip.
La longitud del elemento de información de la sección de trama de vínculo de datos se reduce por el número 'N' de bytes donde 'N' = (paquete de entrada Capa 2 longitud de encapsulación - longitud de encapsulación de paquete de salida capa 2).
Por ejemplo, la longitud de encapsulación de capa 2 para el paquete de entrada es mayor que la del paquete de salida cuando el paquete de entrada tiene etiquetas MPLS y el paquete de salida es del tipo IPv4 o IPv6. Cuando el tráfico fluye desde el dispositivo de borde del proveedor (PE) al dispositivo de borde del cliente (CE), el paquete de entrada tiene etiquetas VLAN y el paquete de salida no está etiquetado.
En tales casos, la longitud del clip puede pasar por la última ubicación de dirección del encabezado del paquete, lo que genera un
PKT_HEAD_SIZE
mensaje de registro del sistema. Esto puede provocar la degradación del reenvío de paquetes para el dispositivo. -
En el caso de servicios de supervisión en línea en la dirección de entrada, el
egressInterface
(elemento de información ID 14) no informa el índice SNMP de la interfaz de salida. Este ID de elemento de información siempre informa el valor cero en caso de dirección de entrada. El proceso del recopilador receptor debe identificar la validez de este campo según elflowDirection
(elemento de información ID 61).
Funciones compatibles y no compatibles con servicios de monitoreo en línea
Los servicios de monitoreo en línea admiten:
-
Cambio elegante del motor de enrutamiento
-
Actualización de software en servicio (ISSU), actualización continua de software (NSSU) y enrutamiento activo (NSR) sin interrupciones
-
Interfaces Ethernet e interfaces de enrutamiento y puente integrados (IRB)
-
División de nodos de Junos
-
A partir de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recolectores.
-
A partir de Junos OS Evolved versión 22.4R1, configurando los IDs de plantilla o de opciones.
Los servicios de monitoreo en línea actualmente no admiten:
-
Configuración de más de 16 instancias de monitoreo en línea (Junos OS) o 7 (Junos OS Evolucionado).
-
Junos Traffic Vision
-
Antes de la versión 21.1R1 de Junos OS, la acción de término de instancia de monitoreo en línea solo se admite para
inet
filtros de firewall de familia yinet6
de familia. A partir de Junos OS versión 21.1R1, se admite para los filtros de firewall yvpls
de laany, bridge, ccc, mpls,
familia. -
Recolectores direccionables IPv6
-
Plataformas virtuales
-
Sistemas lógicos
-
Configurar tanto el ID de dominio de observación como el ID de nube de observación. Debe elegir solo uno de ellos.
-
Una acción de instancia de monitoreo en línea utilizada para la generación de informes de excepciones no se puede utilizar para ningún otro propósito, como una acción de reenrutación de firewall o una acción regular de monitoreo en línea.
-
Una instancia de monitoreo en línea utilizada para una acción de reenrutación de firewall no se puede utilizar para ningún otro propósito, como informes de excepciones o una acción regular de monitoreo en línea.
-
Antes de Junos OS Evolved versión 22.4R1, configurar DSCP, clase de reenvío o instancias de enrutamiento para recolectores.
-
Antes de la versión 22.4R1 de Junos OS Evolved, configurar los IDs de plantilla o de opciones. El sistema los genera por usted.
-
Configurar servicios de duplicación de puertos y monitoreo en línea bajo el mismo término de filtro de firewall (Junos OS Evolved).
-
En la dirección de salida, configurar tanto SFlow como informes de excepciones; debe elegir solo uno de ellos (Junos OS Evolucionado).
Configuración de servicios de supervisión en línea
Los servicios de monitoreo en línea pueden monitorear el tráfico IPv4 e IPv6 tanto en direcciones de entrada como de salida. Puede habilitar la supervisión en línea en enrutadores serie MX con MPC (Junos OS) y en enrutadores PTX que ejecutan Junos OS evolucionado.
RESUMEN Puede configurar servicios de monitoreo en línea para supervisar diferentes flujos de tráfico a diferentes velocidades de toma de muestras en la misma unidad lógica de la interfaz. También puede exportar el tamaño del paquete original a un recopilador junto con información sobre el origen de la interfaz para una solución eficaz de problemas.
Antes de configurar
Cuando configure los servicios de monitoreo en línea, puede:
-
Configure hasta 16 instancias de monitoreo en línea (Junos OS) o 7 (Junos OS Evolucionado). En cada instancia, puede configurar parámetros específicos de recopilador y plantilla.
-
Configure hasta 4 recolectores direccionables IPv4 en cada instancia de supervisión en línea. En total, puede configurar hasta 64 recolectores. Los recolectores pueden ser remotos y en diferentes ubicaciones.
Para cada recopilador, puede configurar parámetros específicos, como la dirección de origen y destino, entre otros. El nombre predeterminado de la instancia de enrutamiento en el recopilador es
default.inet
. -
Para Junos OS, puede configurar el filtro de firewall de familia
inet
oinet6
con el término accióninline-monitoring-instance inline-monitoring-instance-name
. A partir de Junos OS versión 21.1R1, puede configurarany, bridge, ccc, mpls,
filtros de firewall de familia convpls
el término accióninline-monitoring-instance inline-monitoring-instance-name
. Para Junos OS Evolucionado, puede configurar los filtros de firewall de laany, ccc, ethernet-switch, inet, inet6,
familia ompls
con el término acción en la instancia inline-monitoring-instance-namede supervisión en línea.Cada término puede admitir una instancia de monitoreo en línea diferente.
-
Conecte el filtro de firewall de supervisión en línea en la familia de la unidad lógica de la interfaz.
Después de confirmar correctamente la configuración, puede verificar la implementación de los servicios de supervisión en línea mediante la emisión del comando fpc-slot de estadísticas de monitoreo de los servicios show desde la CLI.
Si un paquete requiere que se apliquen servicios de monitoreo en línea junto con cualquiera de las tecnologías de toma de muestras tradicionales (como JFlow o SFlow), el motor de reenvío de paquetes realiza servicios de monitoreo en línea y la tecnología de toma de muestras tradicional en ese paquete. Actualmente, la duplicación de puertos se debe configurar con un término diferente para Junos OS Evolucionado.
La Figura 6 es una muestra de los servicios de monitoreo en línea, en los que el tráfico se monitorea a dos velocidades de muestreo diferentes en la interfaz del dispositivo, y se exporta a cuatro recolectores remotos en un formato de encapsulación IPFIX. Para Junos OS, configure la velocidad de toma de muestras en cada recopilador, lo que permite diferentes velocidades para cada recopilador. Para Junos OS Evolucionado, configure la velocidad de toma de muestras en la instancia de supervisión en línea y se aplica a todos los recolectores configurados para esa instancia.
En este ejemplo, la interfaz et-1/0/0 del dispositivo se configura con servicios de supervisión en línea. Los detalles de las configuraciones son los siguientes:
-
Hay dos instancias de monitoreo en línea: instancia 1 e instancia 2.
-
Hay cuatro recolectores, dos en cada instancia de monitoreo en línea.
-
La instancia 1 tiene Collector-1 y Collector-2.
-
La instancia 2 tiene Collector-101 y Collector-102.
-
-
Los recolectores de la instancia 1 tienen una velocidad de muestreo de 1:10000.
-
Los recolectores de la instancia 2 tienen una velocidad de toma de muestras de 1:1.
-
Los recolectores de la instancia 1 tienen una dirección de origen y destino de 10.1.1.1 y 10.2.2.1, respectivamente.
-
Los recolectores de instancia 2 tienen una dirección de origen y destino de 10.11.1.1 y 10.12.2.1, respectivamente.
-
Los paquetes se exportan a los recolectores en formato encapsulado IPFIX.
Para configurar los servicios de monitoreo en línea:
any, ccc, ethernet-switch, inet, inet6,
firewall de familia o
mpls
con el término acción en línea-monitoreo-instancia
inline-monitoring-instance-name.
any, ccc, ethernet-switch, inet, inet6,
firewall de familia o
mpls
con el término acción en línea-monitoreo-instancia
inline-monitoring-instance-name.
vpls
de la
any, bridge, ccc, mpls,
familia con el término acción en la instancia
inline-monitoring-instance-namede monitoreo en línea.