Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents
keyboard_arrow_right

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Fontes de fluxo

date_range 18-May-22

A JSA pode receber fluxos de muitos tipos diferentes de fontes de fluxo. As fontes de fluxo são classificadas como internas ou externas.

Fontes de fluxo internas

As fontes de fluxo internas coletam pacotes brutos de um dispositivo de toque de rede ou de uma porta de extensão ou espelho conectada a uma placa de interface de rede. Essas fontes fornecem dados brutos de pacotes conforme eles aparecem na rede e os enviam para uma porta de monitoramento em um processador de fluxo JSA, que converte os dados do pacote em registros de fluxo.

As fontes de fluxo internas podem ser lidas por vários tipos. A JSA não mantém toda a carga de pacotes. Em vez disso, captura apenas alguns dos pacotes desde o início da comunicação. Este instantâneo é referido como a captura de carga ou conteúdo.

Figura 1: Captura de pacotes de uma fonte Packet Capture from an Internal Flow Source de fluxo interna

Fontes de fluxo externas

A JSA também oferece suporte a fontes de fluxo externas, como roteadores que enviam protocolos comuns de monitoramento de rede, como NetFlow, IPFIX, sFlow J-Flow e dados Packeteer .

Essas fontes de fluxo externas podem fornecer um nível de visibilidade diferente das fontes de fluxo internas. Por exemplo, os registros do NetFlow podem fornecer tanto a interface do roteador que os pacotes cruzaram, quanto os números recordes de ASN da rede de origem. Ao usar o IPFIX, campos adicionais que não são analisados em campos normalizados podem ser colocados na carga como pares de valor de nome, que podem então ser usados como propriedades personalizadas.

Fontes externas não exigem tanta utilização de CPU para processar, para que você possa enviar diretamente a um processador de fluxo. Nesta configuração, você pode ter um processador de fluxo dedicado, tanto recebendo quanto criando dados de fluxo.

Figura 2: Captura de pacotes de uma fonte Packet Capture from an External Flow Source de fluxo externa

Netflow

NetFlow é uma tecnologia de contabilidade proprietária desenvolvida pela Cisco Systems. O NetFlow monitora fluxos de tráfego por um switch ou roteador e interpreta o cliente, servidor, protocolo e porta que é usado. Ele também conta o número de bytes e pacotes, e envia esses dados para um coletor de NetFlow .

O processo de envio de dados do NetFlow é frequentemente referido como uma Exportação de Dados de NetFlow (NDE).

A JSA aceita as exportações de dados de netflow (NDE) para que funcione como um coletor de NetFlow. O JSA oferece suporte às versões NetFlow 1, 5, 7 e 9.

Embora o NetFlow expanda a quantidade da rede que é monitorada, ela usa um protocolo sem conexão (UDP) para fornecer NDEs. Depois que um NDE é enviado de um switch ou roteador, o registro do NetFlow é eliminado. O UDP não garante a entrega de dados. Como resultado, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar com uma fonte de fluxo de NetFlow .

Para obter mais informações sobre o NetFlow, consulte o site da Cisco.

Configuração da fonte de fluxo de rede

Ao configurar uma fonte de fluxo externa para o NetFlow, você deve fazer as seguintes tarefas:

  • Certifique-se de que as regras de firewall apropriadas estejam configuradas.

    Se você alterar seu parâmetro de porta de monitoramento de fonte de fluxo externo na configuração do processador de fluxo , você também deve atualizar sua configuração de acesso de firewall.

  • Certifique-se de que as portas apropriadas estejam configuradas para o seu processador de fluxo.

Para obter mais informações, veja Configuração de um processador de fluxo.

Modelo de fonte de fluxo de rede

A Juniper sugere que, no mínimo, os seguintes campos estão incluídos no modelo de fonte de fluxo do NetFlow:

  • FIRST_SWITCHED

  • LAST_SWITCHED

  • PROTOCOLO

  • IPV4_SRC_ADDR

  • IPV4_DST_ADDR

  • L4_SRC_PORT

  • L4_DST_PORT

  • IN_BYTES ou OUT_BYTES

  • IN_PKTS ou OUT_PKTS

  • TCP_FLAGS (somente fluxos de TCP)

Campos com suporte

As listas a seguir mostram alguns dos tipos de campos que são suportados para fontes de fluxo de NetFlow.

Campos de VLAN

Os seguintes campos de VLAN são compatíveis com o NetFlow:

  • vlanId (Elemento IANA ID 58)

  • postVlanId (Elemento IANA ID 59)

  • dot1qVlanId (Elemento IANA ID 243)

  • Dot1qPriority (IANA Element ID 244)

  • dot1qCustomerVlanId (Elemento IANA ID 245)

  • Dot1qCustomerPriority (IANA Element ID 246)

  • postDot1qVlanId (IANA Element ID 254)

  • postDotqCustomerVlanId (IANA Element ID 255)

  • dot1qDEI (IANA Element ID 388)

  • dot1qCustomerDEI (IANA Element ID 389)

Campos de endereço MAC

Os seguintes campos de endereço MAC são compatíveis com o NetFlow:

  • fonteMacAddress (IANA Element ID 56)

  • pósDestinaçãoMacAddress (IANA Element ID 57)

  • DestinationMacAddress (Elemento IANA ID 80)

  • pósSourceMacAddress (IANA Element ID 81)

IPFIX

A exportação de informações de fluxo de protocolo de Internet (IPFIX) é uma tecnologia de contabilidade que monitora fluxos de tráfego por meio de um switch ou roteador. Ele interpreta o tráfego para determinar o cliente, o servidor, o protocolo e a porta que é usada. Ele também conta o número de bytes e pacotes, e envia esses dados para um coletor de IPFIX.

O processo de envio de dados IPFIX é frequentemente referido como uma Exportação de Dados de NetFlow (NDE), mas o IPFIX fornece mais informações de fluxo e insights mais profundos do que o NetFlow v9.

A JSA aceita NDEs para que ele funcione como um coletor de IPFIX. O IPFIX usa o protocolo de datagrama do usuário (UDP) para fornecer NDEs. Após o envio de um NDE do dispositivo de encaminhamento IPFIX, o registro de IPFIX pode ser eliminado.

Configuração da fonte de fluxo IPFIX

Ao configurar uma fonte de fluxo externa para IPFIX, você deve fazer as seguintes tarefas:

  • Adicione uma fonte de fluxo de NetFlow .

    Nota:

    Seu JSA pode incluir uma fonte de fluxo de NetFlow padrão. Se isso acontecer, o JSA pode usar a fonte de fluxo de NetFlow padrão para processar os fluxos de IPFIX.

    Para confirmar que seu sistema inclui uma fonte de fluxo netflow padrão, na guia Admin , selecione Fontes de fluxo. Se default_Netflow estiver listada na lista de fontes de fluxo, o IPFIX já está configurado.

  • Certifique-se de que as regras de firewall apropriadas estejam configuradas.

    Se você alterar seu parâmetro de porta de monitoramento de fonte de fluxo externo na configuração do processador de fluxo , você também deve atualizar sua configuração de acesso de firewall.

  • Certifique-se de que as portas apropriadas estejam configuradas para o seu processador de fluxo.

Para obter mais informações, veja Configuração de um processador de fluxo.

Modelo de fonte de fluxo IPFIX

Certifique-se de que o modelo de IPFIX da fonte de IPFIX inclua os seguintes Elementos de informação listados em IANA:

  • protocoloIdentificador (4)

  • código-fonteIPv4Address (8)

  • destinationIPv4Address (12)

  • fonteTransportPort (7)

  • destinationTransportPort (11)

  • octetDeltaCount (1) ou postOctetDeltaCount (23)

  • packetDeltaCount (2) ou postPacketDeltaCount (24)

  • tcpControlBits (6) (apenas fluxos TCP).

  • flowStartSeconds (150) ou flowStartMilliseconds (152) ou flowStartDeltaMicroseconds (158)

  • fluxoEndSeconds (151) ou fluxoEndMilliseconds (153) ou fluxoEndDeltaMicroseconds (159)

Campos com suporte

As listas a seguir mostram alguns dos tipos de campos que são suportados para fontes de fluxo IPFIX.

Para adicionar suporte a campos de IPFIX adicionais que não são mostrados pela JSA, você pode usar a API /api/ariel/taggedfields para criar um novo campo de tags.

Campos de VLAN

Os seguintes campos de VLAN têm suporte para IPFIX:

  • vlanId (Elemento IANA ID 58)

  • postVlanId (Elemento IANA ID 59)

  • dot1qVlanId (Elemento IANA ID 243)

  • Dot1qPriority (IANA Element ID 244)

  • dot1qCustomerVlanId (Elemento IANA ID 245)

  • Dot1qCustomerPriority (IANA Element ID 246)

  • postDot1qVlanId (IANA Element ID 254)

  • postDot1qCustomerVlanId (IANA Element ID 255)

  • dot1qDEI (IANA Element ID 388)

  • dot1qCustomerDEI (IANA Element ID 389)

Campos de endereço MAC

Os seguintes campos de endereço MAC são suportados para IPFIX:

  • fonteMacAddress (IANA Element ID 56)

  • pósDestinaçãoMacAddress (IANA Element ID 57)

  • DestinationMacAddress (Elemento IANA ID 80)

  • pósSourceMacAddress (IANA Element ID 81)

Campos de tradução de endereços de rede (NAT)

Os campos a seguir são suportados para tradução de endereços de rede (NAT) e tradução de porta de endereço de rede (NAPT):

  • postNATSourceIPv4Address (IANA Element ID 225)

  • pós-NATDestinaçãoIPv4Address (Elemento IANA ID 226)

  • postNAPTSourceTransport (IANA Element ID 227)

  • pósNAPTDestinationTransport (IANA Element ID 228)

Campos MPLS

Os seguintes campos MPLS são suportados para IPFIX:

  • mplsTopLabelOtipo (Elemento IANA 46)

  • mplsTopLabelIPv4Address (Elemento IANA 47)

  • mplsTopLabelStackSection (Elemento IANA 70)

  • mplsLabelStackSection2 (Elemento IANA 71)

  • mplsLabelStackSection3 (Elemento IANA 72)

  • mplsLabelStackSection4 (Elemento IANA 73)

  • mplsLabelStackSection5 (Elemento IANA 74)

  • mplsLabelStackSection6 (Elemento IANA 75)

  • mplsLabelStackSection7 (Elemento IANA 76)

  • mplsLabelStackSection8 (Elemento IANA 77)

  • mplsLabelStackSection9 (Elemento IANA 78)

  • mplsLabelStackSection10 (Elemento IANA 79)

  • mplsVpnRouteDistinguisher (Elemento IANA 90)

  • mplsTopLabelPrefixLength (Elemento IANA 91)

  • mplsTopLabelIPv6Address (Elemento IANA 140)

  • mplsPayloadLength (Elemento IANA 194)

  • mplsTopLabelTTL (Elemento IANA 200)

  • mplsLabelStackLength (Elemento IANA 201)

  • mplsLabelStackDepth (Elemento IANA 202)

  • mplsTopLabelExp (Elemento IANA 203)

  • postMplsTopLabelExp (Elemento IANA 237)

  • pseudoWireType (Elemento IANA 250)

  • pseudoWireControlWord (Elemento IANA 251)

  • mplsLabelStackSection (Elemento IANA 316)

  • mplsPayloadPacketSection (Elemento IANA 317)

  • secçãoOffset (Elemento IANA 409)

  • secçãoExportadosOctets (Elemento IANA 410)

sFlow

sFlow é um padrão de vários fornecedores e usuários para a tecnologia de amostragem que fornece monitoramento contínuo de fluxos de tráfego no nível de aplicativos em todas as interfaces simultaneamente.

Um sFlow combina contadores de interface e amostras de fluxo em datagramas de sFlow que são enviados por toda a rede a um coletor de sFlow . o tráfego de sFlow é baseado em dados amostrados e, portanto, pode não representar todo o tráfego de rede.

O JSA oferece suporte a fontes de fluxo para as versões sFlow 2, 4 e 5.

o sFlow usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro de sFlow é expurgado. O UDP não garante a entrega dos dados. Como tal, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo de sFlow .

Para obter mais informações, veja o site do sFlow.

Configuração da fonte de fluxo de fluxo

Ao configurar uma fonte de fluxo externa para sFlow, você deve fazer as seguintes tarefas:

  • Certifique-se de que as regras de firewall apropriadas estejam configuradas.

  • Certifique-se de que as portas apropriadas estejam configuradas.

Para obter mais informações, veja Configuração de um processador de fluxo.

J-Flow

J-Flow é uma tecnologia de contabilidade proprietária usada pela Juniper Networks que permite coletar estatísticas de fluxo de tráfego IP.

O J-Flow permite que você exporte dados para uma porta UDP em um coletor J-Flow. Você também pode habilitar o J-Flow em um roteador ou interface de rede para coletar estatísticas de rede para locais específicos em sua rede.

O J-Flow usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro J-Flow é expurgado. O UDP não garante a entrega dos dados. Como tal, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo J-Flow . O tráfego J-Flow é baseado em dados amostrados e, portanto, pode não representar todo o tráfego de rede.

Para obter mais informações sobre o J-Flow, consulte o site da Juniper Networks.

Configuração da fonte de fluxo J-Flow

Ao configurar uma fonte de fluxo externa para o J-Flow, você deve fazer as seguintes tarefas:

  • Certifique-se de que as regras de firewall apropriadas estejam configuradas.

  • Certifique-se de que as portas apropriadas estejam configuradas.

Para obter mais informações, veja Configuração de um processador de fluxo.

Campos VLAN com suporte

Os seguintes campos de VLAN são suportados para J-Flow:

  • vlanId

  • postVlanId

  • dot1qVlanId

  • dot1qPriority

  • dot1qCustomerVlanId

  • Dot1qCustomerPriority

  • dot1qDEI

  • dot1qCustomerDEI

  • postDot1qVlanId

  • postDotqCustomerVlanId

Packeteer

Os dispositivos Packeteer coletam, agregam e armazenam dados de desempenho da rede.

Depois de configurar uma fonte de fluxo externa para Packeteer, você pode enviar informações de fluxo de um dispositivo Packeteer para o JSA.

O Packeteer usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro packeteer é expurgado. Como o UDP não garante a entrega dos dados, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais, e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo packeteer .

Configuração de fonte de fluxo de packeteer

Para configurar o Packeteer como uma fonte de fluxo externa, você deve fazer as seguintes tarefas:

  • Certifique-se de que as regras de firewall apropriadas estejam configuradas.

  • Certifique-se de configurar dispositivos Packeteer para exportar registros detalhados do fluxo e configurar o Processador de Fluxo como destino para a exportação de dados.

  • Certifique-se de que as portas apropriadas estejam configuradas.

  • Certifique-se de que os IDs de classe dos dispositivos Packeteer podem ser detectados automaticamente pelo processador de fluxo.

Para obter mais informações, veja Configuração de um processador de fluxo.

Interface de rede

A JSA pode monitorar pacotes que chegam em qualquer placa de interface de rede instalada em seu sistema. A placa de interface de rede deve ser instalada para o JSA para mostrá-la na lista de fontes de fluxo configuráveis baseadas em pacotes.

Ao configurar a fonte de fluxo da Interface de Rede , configure apenas uma fonte de log para cada interface Ethernet. Para filtrar o tráfego de rede que entra na fonte de fluxo, especifique um filtro de pacotes de Berkeley (BPF) no campo string de filtro .

Depois que a fonte de fluxo estiver configurada e as alterações forem implantadas, você pode visualizar o tráfego de rede na guia Atividade de Rede .

Você pode personalizar a maneira como a JSA processa o tráfego de rede. Por exemplo, você pode configurar a forma como os aplicativos são detectados, limiares de superfluxo, configuração de direção de fluxo e hierarquia de rede. Você também pode escrever regras, realizar consultas e filtrar o tráfego de rede.

Para obter mais informações, veja Configuração de um processador de fluxo.

external-footer-nav