Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Настройка поколения журналов NAT Событий в формате записей мониторинга потоков на маршрутизаторе серии MX или NFX250

Имейте в виду следующие моменты, когда вы настраиваете возможность создания журналов или записей в формате мониторинга потоков для событий NAT:

  • Одновременное использование возможностей syslog и Jflow может привести к масштабированию, поскольку оба этих механизма используют отдельную инфраструктуру для передачи записей сборщику.

  • Большое количество событий NAT может вызвать соображения масштабируемости из-за платформы мониторинга потоков, которая также требует системных процессов.

  • Инфраструктура журналов мониторинга потоков использует ЦП данных для отправки журналов внешнему серверу потока, что может привести к небольшому влиянию на производительность.

  • Внедрен явный, отдельный максимальный предел числа сообщений мониторинга потоков, создаваемых для событий ошибок NAT. Вы можете контролировать максимальное количество событий ошибок NAT, для которых должны быть записаны журналы в формате мониторинга потоков, включая message-rate-limit messages-per-second вариант на [edit interfaces interface-name services-options jflow-log] уровне иерархии. Эти записи о событиях ошибок NAT создаются тогда, когда адреса для распределения из пула NAT недоступны, когда не доступны порты для распределения абоненту или когда выделенная квота превышена для событий NAT (больше, чем запрашивается настроенный номер портов). Кроме того, вы можете настроить message-rate-limit вариант, который ранее существовал на [edit interfaces interface-name services-options syslog] уровне иерархии, чтобы указать максимальное количество сообщений системного журнала в секунду, которые могут быть отправлены из PIC либо в модуль маршрутизации (локальный), либо на внешний сервер (удаленный).

  • Количество случаев ошибок NAT, таких как «Из портов», «Из адресов» и «Превышение квоты», ограничены. Предел скорости по умолчанию — 10 000 событий в секунду. Эта настройка также настраивается на уровне PIC.

  • Шаблон для регистрации событий NAT соответствует IETF в виде информационных элементов IPFIX для регистрации NAT Events — draft-ietf-behave-ipfix-nat-logging-02.

  • Поддерживается только регистрация на базе UDP, что является ненадежным протоколом.

  • Эта функциональность поддерживается на маршрутизаторах серии MX с помощью пакетов Junos OS Extension-Provider, установленных и настроенных на устройстве, а также на MS-MPCs, MS-PICs и MX-SPC3. Она не поддерживается на ms-DPC с маршрутизаторами серии MX.

  • Передача журналов происходит в четком текстовом формате, аналогично другим сообщениям журналов, которые ТОЧКИ обработки сервисов не шифруются. Предполагается, что транспорт журналов и позиционирование сборщика журналов находятся в защищенном пространстве. Поскольку сообщения не содержат конфиденциальных данных, таких как имя пользователя или пароли, сообщения не приводят к каким-либо рискам безопасности или надежности.

  • Идентации шаблонов от 0 до 255 предназначены для наборов шаблонов, а максимальное количество шаблонов, поддерживаемых для регистрации событий в формате мониторинга потоков, составляет 255. При изменении конфигурации профиля шаблона (изменения в сборщике или версии или деактивации и активации набора сервисов, связанного с шаблоном), определенный шаблон будет исключен из регистрации и перерегистрирован. Однако для инфраструктуры мониторинга потоков требуется 10 минут по умолчанию, так как период задержки для освобождения Идент-шаблонов. В результате при многократной модификации настроек профиля шаблона в течение 10-минутного периода превышен максимальный лимит на ИДЕНТ шаблона 255 и не регистрируется дополнительные шаблоны. В таком случае, когда шаблоны не регистрируются, вам необходимо подождать, пока срок задержки не будет удален из зарегистрированного шаблона за 10 минут до того, как вы выполните какие-либо изменения конфигурации, чтобы шаблоны были зарегистрированы в приложении мониторинга потока. Чтобы проверить, был ли зарегистрирован шаблон, можно использовать show services service-sets statistics jflow-log команду. Если в поле Sent отображается нулевое значение для записей шаблонов, то в нем говорится, что шаблоны успешно зарегистрированы.

  • В сценарии, в котором возможность регистрации событий NAT в формате мониторинга потоков включена на уровне набора сервисов, и если PIC загружается, шаблоны журнала мониторинга потоков регистрируются в приложении мониторинга потоков. Во время регистрации сборщику отправляется первый набор из 12 записей шаблонов. Однако все записи шаблонов могут не достигать сборщика из PIC на маршрутизаторе или не передаваться из маршрутизатора, потому что интерфейс может не быть вверх с точки зрения модуля передачи пакетов. После истечения срока обновления шаблона сборщику отправляется следующий набор записей шаблонов. Например, если время обновления шаблона составляет 60 секунд, только после 60 секунд с момента загрузки PIC, шаблонные записи правильно передаются сборщику.

  • Если при передаче сообщений журналов мониторинга потоков сборщику из PIC никаких проблем не возникает, поле Sent постепенно указывает на регистрацию событий NAT для каждого события. Кроме того, полезность tcpdump на IP-адресе сборщика означает прием пакетов UDP. Если происходит обработка NAT и постепенное расширение значения в Dropped разделе выходных данных show services service-sets statistics jflow-log service-set service-set-name команды, необходимо изучить статистику отладки и счетчики, чтобы определить наличие проблем в сети для передачи сообщений журнала мониторинга потока.