Configuración de la supervisión de flujo activo en línea para usar plantillas de flujo IPFIX en enrutadores serie MX, vMX y T, conmutadores serie EX, dispositivos serie NFX y firewalls serie SRX
El uso de IPFIX le permite definir una plantilla de registro de flujo adecuada para el tráfico IPv4 o IPv6. Las plantillas se transmiten al recopilador periódicamente y el recopilador no afecta a la configuración del enrutador. Puede definir la frecuencia de actualización de la plantilla, el tiempo de espera activo de flujo y el tiempo de espera inactivo.
Si se envían registros de flujo para varias familias de protocolos (por ejemplo, para IPv4 e IPv6), cada flujo de familia de protocolos tiene un ID de dominio de observación único. Las siguientes secciones contienen información adicional:
A partir de Junos OS versión 17.3R1, las plantillas de flujo IPFIX se admiten en conmutadores QFX10002.
A partir de Junos OS versión 17.4R1, las plantillas de flujo IPFIX se admiten en conmutadores QFX10008 y QFX10016.
A partir de Junos OS versión 19.4R1, las plantillas de flujo IPFIX se admiten en dispositivos SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800, firewall virtual vSRX y vSRX3.0.
A partir de Junos OS versión 20.1R1, las plantillas de flujo IPFIX son compatibles con dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
A partir de Junos OS versión 20.4R1, las plantillas de flujo IPFIX son compatibles con dispositivos NFX150, NFX250 NextGen y NFX350.
(Solo firewalls SRX) La monitorización activa del flujo en línea actúa sobre un flujo con respecto a la sesión. Cuando la descarga de servicios (SOF), PMI o ambos están habilitados para una sesión determinada, no se admite la supervisión de flujo activo en línea para esa sesión. Si una sesión es manejada por PMI o SOF, entonces la supervisión de flujo activo en línea se deshabilita para ese flujo.
Configuración de las propiedades de la plantilla IPFIX
Para definir las plantillas IPFIX, incluya las siguientes instrucciones en el nivel de [edit services flow-monitoring version-ipfix] jerarquía:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
Los siguientes detalles se aplican a las instrucciones de configuración:
-
Asigne a cada plantilla un nombre único incluyendo la
template template-nameinstrucción. -
A continuación, especifique cada plantilla para el tipo de tráfico adecuado incluyendo el
ipv4-templateoipv6-template. -
Dentro de la definición de plantilla, puede incluir opcionalmente valores para las
flow-active-timeoutinstrucciones yflow-inactive-timeout. Estas instrucciones tienen valores predeterminados y de rango específicos cuando se utilizan en definiciones de plantilla; El valor predeterminado es de 60 segundos y el intervalo es de 10 a 600 segundos. -
También puede incluir la configuración de las instrucciones y
template-refresh-ratedentro de una definición deoption-refresh-rateplantilla. Para ambas propiedades, puede incluir un valor de temporizador (en segundos) o un recuento de paquetes (en número de paquetes). Para lasecondsopción, el valor predeterminado es 600 y el intervalo es de 10 a 600. Para lapacketsopción, el valor predeterminado es 4800 y el intervalo es de 1 a 480.000. -
Para filtrar el tráfico IPv6 en una interfaz multimedia, se admite la siguiente configuración:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
Restricciones
Las siguientes restricciones se aplican a las plantillas IPFIX:
-
No se muestrea el tráfico del motor de enrutamiento saliente. Se aplica un filtro de firewall como resultado en la interfaz de salida, que muestrea los paquetes y exporta los datos. Para el tráfico de tránsito, el muestreo de salida funciona correctamente. Para el tráfico interno, el siguiente salto se instala en el motor de reenvío de paquetes, pero los paquetes de muestra no se exportan.
-
Los flujos solo se crean una vez completada la operación de resincronización del registro de ruta, que tarda 120 segundos.
-
El campo ID de VLAN se actualiza cuando se crea un nuevo registro de flujo y, por lo tanto, es posible que cualquier cambio en el ID de VLAN después de que se haya creado el registro no se actualice en el registro.
Personalización del ID de plantilla, el ID de dominio de observación y el ID de origen para plantillas de flujo IPFIX
A partir de Junos OS versión 14.1, puede definir una plantilla de registro de flujo IPFIX adecuada para tráfico IPv4, tráfico IPv6, tráfico MPLS, una combinación de tráfico IPv4 y MPLS, o tráfico de facturación de AS par. Las plantillas y los campos incluidos en la plantilla se transmiten al recopilador periódicamente, y el recopilador no necesita conocer la configuración del enrutador. Puede especificar el identificador único para las plantillas versión 9 e IPFIX. El identificador de una plantilla es único localmente dentro de una combinación de una sesión de transporte y un dominio de observación. Los ID de plantilla del 0 al 255 están reservados para conjuntos de plantillas, conjuntos de plantillas de opciones y otros conjuntos para uso futuro. Los ID de plantilla de los conjuntos de datos se numeran del 256 al 65535. Normalmente, este elemento o campo de información de la plantilla se utiliza para definir las características o propiedades de otros elementos de información de una plantilla. Después de reiniciar el proceso de exportación de plantillas, puede reasignar ID de plantilla.
Esta funcionalidad para configurar el ID de plantilla, el ID de plantilla de opciones, el ID de dominio de observación y el ID de origen es compatible con todos los enrutadores con MPC.
Los conjuntos de datos y los conjuntos de datos de opciones correspondientes contienen el valor de los ID de plantilla y los ID de plantilla de opciones, respectivamente, en el campo ID de conjunto. Este método permite al recopilador hacer coincidir un registro de datos con un registro de plantilla.
Para obtener más información acerca de cómo especificar el ID de origen, el ID de dominio de observación, el ID de plantilla y el ID de plantilla de opciones para la versión 9 y los flujos IPFIX, consulte Configurar el ID de dominio de observación y el ID de origen para la versión 9 y los flujos IPFIX y Configurar el ID de plantilla y las opciones del ID de plantilla para la versión 9 y los flujos IPFIX.
Plantillas IPFIX
Para obtener información acerca de las definiciones de los campos incluidos en las plantillas IPFIX IPv4 e IPv6, consulte Plantillas IPFIX y versión 9.
Verificación
Los siguientes comandos show son compatibles con IPFIX:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
Ejemplo: configuración de plantillas de flujo IPFIX y muestreo de flujo
En el ejemplo siguiente se muestra una configuración de plantilla IPFIX:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
En el ejemplo siguiente se aplica la plantilla IPFIX para habilitar el muestreo de tráfico para la facturación:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
Ejemplo: configuración de plantillas de flujo y muestreo de flujo de supervisión activa de flujo versión 9 en línea
En el ejemplo siguiente se muestra la configuración de la plantilla IPv4 de Active Flow Monitoring versión 9 en línea:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
En el ejemplo siguiente se muestra la configuración de la plantilla IPv6 de Active Flow Monitoring versión 9 en línea:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
En el ejemplo siguiente se muestra la configuración de tráfico de muestreo y exportación de IPv4 de Active Flow Monitoring versión 9 en línea:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
En el ejemplo siguiente se muestra la configuración de tráfico de muestreo y exportación de IPv6 de Active Flow Monitoring versión 9 en línea:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
En el ejemplo siguiente se muestra el enlace de interfaz de muestreo de Active Flow Monitoring versión 9 en línea (mediante interfaz):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
En el ejemplo siguiente se muestra el enlace de interfaz de muestreo de Active Flow Monitoring versión 9 en línea con filtro de firewall (mediante filtros):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
Ejemplo: configuración de plantillas de flujo IPFIX y muestreo de flujo
En el ejemplo siguiente se muestra la configuración de la plantilla IPFIX IPv4:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
En el ejemplo siguiente se muestra la configuración de la plantilla IPFIX IPv6:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
En el siguiente ejemplo se muestra el tráfico de muestreo IPv4 IPFIX y la configuración de exportación:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
En el siguiente ejemplo se muestra el tráfico de muestreo IPFIX IPv6 y la configuración de exportación:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.