Hola
Hoy vamos a desglosar cómo configurar su router Juniper para exportar Netflow (jFlow). Al final del artículo está la configuración utilizando IPFIX (Netflow v10).
Esta es la topología de la red y la información del servidor Netflow
Estos son los pasos necesarios para configurar un router Juniper para exportar Netflow v5
- Configurar el servidor NTP
- Configuración de opciones de reenvío con frecuencia de muestreo
- Configure el Host que recibirá los Flujos procedentes del Router
- Configurar la interfaz para activar Netflow en la interfaz
Vamos con la configuración paso a paso
- Configurar el servidor NTP
Es importante configurar un Servidor NTP ya que los datos de Flows utilizan timestamp de acuerdo a la hora del router, si el router está con un servidor horario diferente los datos no estarán de acuerdo a la hora, generando un desajuste de información.
Es importante que configures al menos 2 servidores NTP y también la zona horaria de tu router.
## Utilización de los servidores del a.ntp.br y b.ntp.br
set system ntp server 200.160.0.8
set system ntp server 200.189.40.8
## Configurar la zona horaria
set system time-zone America/Sao_Paulo
## Forma predeterminada de ver la configuración de Juniper
guilherme@vMX-BGP> show configuration system
sistema {
zona horaria América/Sao_Paulo;
ntp {
servidor 200.160.0.8;
servidor 200.189.40.8;
}
}
2. Configuración de opciones de reenvío con frecuencia de muestreo
La tasa de muestreo para evitar sobrecargar la CPU de su motor de enrutamiento, crea una muestra del tráfico y la exporta, para que el sistema Netflow pueda recibir los datos y aplicar un factor de multiplicación para convertir los datos en números reales.
Para configurar utilice los comandos. El valor ideal de la tasa es en función de la cantidad de tráfico que utiliza, un consejo es importante es utilizar valores superiores a 200 y el análisis de la CPU de su router.
## Aplicando el valor de la Tasa a 500
set forwarding-options sampling input rate 500
## Juniper display form without display-set
opciones de reenvío {
muestreo {
entrada {
tipo 500;
}
3. Configure el Host que recibirá los Flujos procedentes del Router
Para configurar su router para exportar Netflow es necesario informar en qué dirección IP el servidor recibirá los flujos y en qué puerto UDP recibirá ese tráfico.
Para ello, utilice los comandos:
## Exportando a IP 192.168.210.47 en puerto 2055 y usando netflow versión 5
set forwarding-options sampling family inet output flow-server 192.168.210.47 port 2055
set forwarding-options sampling family inet output flow-server 192.168.210.47 version 5
## Mostrar visualización sin configurar
guilherme@vMX-BGP> show configuration forwarding-options
muestreo {
familia inet {
salida {
flow-server 192.168.210.47 {
puerto 2055;
versión 5;
}
}
}
}
4. Configurar la interfaz para activar Netflow en la interfaz
Después de configurar la frecuencia de muestreo y el servidor de flujo, es necesario activar Netflow en la interfaz donde se generarán los datos. Recordando que es necesario configurar el comando dentro de cada unidad.
Para ello, configure las interfaces dentro de cada unidad con el siguiente comando:
### Aplicar el comando de entrada de muestreo
set interfaces ge-0/0/1 unit 0 family inet sampling input
La configuración completa es la siguiente:
guilherme@vMX-BGP> show configuration | display set
set system time-zone America/Sao_Paulo
set system ntp server 200.160.0.8
set system ntp server 200.189.40.8
set interfaces ge-0/0/0 description "Hablar con Netflow
set interfaces ge-0/0/0 unit 0 family inet address 192.168.210.49/24
set interfaces ge-0/0/1 description "INTERFAZ WAN - TRÁNSITO IP
set interfaces ge-0/0/1 unit 0 family inet sampling input
set interfaces ge-0/0/1 unit 0 family inet address 200.200.200.1/30
set forwarding-options sampling input rate 500
set forwarding-options sampling family inet output flow-server 192.168.210.47 port 2055
set forwarding-options sampling family inet output flow-server 192.168.210.47 version 5
## Juniper show form
guilherme@vMX-BGP> mostrar configuración
Última confirmación: 2019-01-30 13:30:01 BRST por guilherme
versión 17.1R2.7;
sistema {
host-name vMX-BGP;
zona horaria América/Sao_Paulo;
ntp {
servidor 200.160.0.8;
servidor 200.189.40.8;
}
}
interfaces {
ge-0/0/0 {
descripción "Hablar con Netflow";
unidad 0 {
familia inet {
dirección 192.168.210.49/24;
}
}
}
ge-0/0/1 {
descripción "INTERFAZ WAN - TRÁNSITO IP";
unidad 0 {
familia inet {
muestreo {
entrada;
}
dirección 200.200.200.1/30;
}
}
}
}
opciones de reenvío {
muestreo {
entrada {
tipo 500;
}
familia inet {
salida {
flow-server 192.168.210.47 {
puerto 2055;
versión 5;
}
}
}
}
}
Para hacerlo aún más fácil tenemos el vídeo que demuestra la configuración de cada comando aplicado en este tutorial
Como extra publicaremos la configuración IPFIX para algunos tipos de routers
Juniper MX204
Configuración para routers como el MX204, puede utilizar IPFIX (Netflow v10). Para configurar el MX204, utilice los comandos cambiando las IP del servidor de flujo y de la dirección de origen.
set services flow-monitoring version-ipfix template MADE4FLOW flow-active-timeout 60
set services flow-monitoring version-ipfix template MADE4FLOW flow-inactive-timeout 15
set services flow-monitoring version-ipfix template MADE4FLOW template-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW option-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW ipv4-template
set services flow-monitoring version-ipfix template MADE4FLOW-v6 flow-active-timeout 60
set services flow-monitoring version-ipfix template MADE4FLOW-v6 flow-inactive-timeout 15
set services flow-monitoring version-ipfix template MADE4FLOW-v6 template-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW-v6 option-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW-v6 ipv6-template
set chassis fpc 0 sampling-instance MADE4FLOW
set chassis fpc 0 inline-services flow-table-size ipv4-flow-table-size 10
set chassis fpc 0 inline-services flow-table-size ipv6-flow-table-size 5
set forwarding-options sampling instance MADE4FLOW input rate 1000
set forwarding-options sampling instance MADE4FLOW input run-length 0
set forwarding-options sampling instance MADE4FLOW input max-packets-per-second 10000
set forwarding-options sampling instance MADE4FLOW family inet output flow-inactive-timeout 15
set forwarding-options sampling instance MADE4FLOW family inet output flow-active-timeout 60
set forwarding-options sampling instance MADE4FLOW family inet output flow-server 10.1.1.1 port 2055
set forwarding-options sampling instance MADE4FLOW family inet output flow-server 10.1.1.1 autonomous-system-type origin
set forwarding-options sampling instance MADE4FLOW family inet output flow-server 10.1.1.1 version-ipfix template MADE4FLOW
set forwarding-options sampling instance MADE4FLOW family inet output inline-jflow source-address 10.1.1.2
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-inactive-timeout 15
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-active-timeout 60
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-server 10.1.1.1 port 2055
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-server 10.1.1.1 autonomous-system-type origin
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-server 10.1.1.1 version-ipfix template MADE4FLOW-v6
set forwarding-options sampling instance MADE4FLOW family inet6 output inline-jflow source-address 10.1.1.2
### En cada interfaz y cada unidad añada los comandos
set interfaces xe-2/0/0 unit 151 family inet sampling input
set interfaces xe-2/0/0 unit 151 family inet6 sampling input
Juniper MX104
Para configurar el Juniper MX104 utilice los siguientes comandos. Recuerde que MX104 sólo admite la exportación a un servidor Netflow con IPFIX.
set services flow-monitoring version-ipfix template MADE4FLOW flow-active-timeout 60
set services flow-monitoring version-ipfix template MADE4FLOW flow-inactive-timeout 30
set services flow-monitoring version-ipfix template MADE4FLOW template-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW option-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW ipv4-template
set services flow-monitoring version-ipfix template MADE4FLOW-v6 flow-active-timeout 60
set services flow-monitoring version-ipfix template MADE4FLOW-v6 flow-inactive-timeout 30
set services flow-monitoring version-ipfix template MADE4FLOW-v6 template-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW-v6 option-refresh-rate seconds 30
set services flow-monitoring version-ipfix template MADE4FLOW-v6 ipv6-template
set forwarding-options sampling instance MADE4FLOW input rate 500
set forwarding-options sampling instance MADE4FLOW input run-length 0
set forwarding-options sampling instance MADE4FLOW family inet output flow-inactive-timeout 15
set forwarding-options sampling instance MADE4FLOW family inet output flow-active-timeout 60
set forwarding-options sampling instance MADE4FLOW family inet output flow-server 10.1.1.1 port 2055
set forwarding-options sampling instance MADE4FLOW family inet output flow-server 10.1.1.1 version-ipfix template MADE4FLOW
set forwarding-options sampling instance MADE4FLOW family inet output inline-jflow source-address 10.1.1.2
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-inactive-timeout 15
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-active-timeout 60
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-server 10.1.1.1 port 2055
set forwarding-options sampling instance MADE4FLOW family inet6 output flow-server 10.1.1.1 version-ipfix template MADE4FLOW-v6
set forwarding-options sampling instance MADE4FLOW family inet6 output inline-jflow source-address 10.1.1.2
set chassis afeb slot 0 sampling-instance MADE4FLOW
## En cada interfaz de su router use los comandos
set interfaces xe-2/0/0 unit 151 family inet sampling input
set interfaces xe-2/0/0 unit 151 family inet6 sampling input
Si tiene algún router no mencionado aquí, envíe un correo electrónico a: comercial@made4it.com.br y le enviaremos las configuraciones.
Espero haber ayudado y hasta la próxima.
Un gran abrazo.
