Permitindo o monitoramento de fluxo passivo em roteadores da Série M, Série MX ou Série T
Você pode monitorar o tráfego IPv4 de outro roteador se tiver os seguintes componentes instalados em um roteador da Série M, Série MX ou Série T:
Serviços de monitoramento, serviços adaptativos ou PICs multisserviços para realizar o processamento de serviços
SONET/SDH, Fast Ethernet ou Gigabit Ethernet PICs como interface de trânsito
Nas interfaces SONET/SDH, você permite o monitoramento de fluxo passivo, incluindo a passive-monitor-mode declaração no nível de hierarquia [de interfaces de edição assimfpc//picportunidadelogical-unit-number]:
[edit interfaces so-fpc/pic/port unit logical-unit-number] passive-monitor-mode;
No modo de transferência assíncronos (ATM), Ethernet rápida ou interfaces Ethernet Gigabit, você permite o monitoramento passivo de fluxo, incluindo a passive-monitor-mode declaração no nível hierárquico [edit interfaces interface-name] :
[edit interfaces interface-name] passive-monitor-mode;
O monitoramento passivo do IPv6 não é suportado em PICs de serviços de monitoramento. Você deve configurar o espelhamento de porta para encaminhar os pacotes das portas monitoradas passivas para outras interfaces. Interfaces configuradas nos seguintes FPCs e pic oferecem suporte ao monitoramento passivo IPv6 nos roteadores da Série T640 e T1600:
FPC2 de escalonamento aprimorado
FPC3 de escalonamento aprimorado
FPC1 aprimorado
FPC2 aprimorado
FPC3 aprimorado
FPC4 de escalonamento aprimorado
Escalabilidade aprimorada FPC4.1
4 portas 10 Gigabit Ethernet LAN/WAN PIC com XFP (suportado tanto no modo WAN-PHY quanto LAN-PHY para endereços IPv4 e IPv6)
Gigabit Ethernet PIC com SFP
Ethernet PIC de 10 Gigabits com XENPAK (roteador da Série T1600)
SONET/SDH OC192/STM64 PIC (roteador da Série T1600)
SONET/SDH OC192/STM64 PICs com XFP (roteador da Série T1600)
SONET/SDH OC48c/STM16 PIC com SFP (roteador da Série T1600)
SONET/SDH OC48/STM16 (multi-taxa)
PIC SONET/SDH OC12/STM4 (Multi-Rate) com SFP
TIPO 1 SONET/SDH OC3/STM1 (Multi-Rate) PIC com SFP
Para configurar o espelhamento de portas, inclua a port-mirroring declaração no nível de [edit forwarding-options] hierarquia.
Quando você configura uma interface no modo de monitoramento passivo, o Mecanismo de encaminhamento de pacotes derruba silenciosamente pacotes vindos dessa interface e destinados ao próprio roteador. O modo de monitoramento passivo também impede o Mecanismo de Roteamento de transmitir qualquer pacote dessa interface. Os pacotes recebidos da interface monitorada podem ser encaminhados para interfaces de monitoramento. Se você incluir a passive-monitor-mode declaração na configuração:
A interface atm está sempre ativa, e a interface não recebe ou transmite pacotes de controle de entrada, como as células de operação, administração e manutenção (OAM) e interface de gerenciamento local provisória (ILMI).
A interface SONET/SDH não envia keepalives ou alarmes e não participa ativamente da rede.
As interfaces Gigabit e Fast Ethernet podem suportar monitoramento passivo por porta e monitoramento passivo por VLAN. O filtro MAC de destino na porta de recebimento das interfaces Ethernet está desativado.
Opções de encapsulamento de ethernet não são permitidas.
As interfaces Ethernet não oferecem suporte à
stacked-vlan-taggingdeclaração para pacotes IPv4 e IPv6 no modo de monitoramento passivo.
Nas interfaces de serviços de monitoramento, você permite o monitoramento passivo de fluxo, incluindo a family declaração no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia, especificando a opção inet :
[edit interfaces interface-name unit logical-unit-number] family inet;
Para a interface de serviços de monitoramento, você pode configurar propriedades de interface física de multisserviços. Para obter mais informações, veja Configuração de interfaces de monitoramento de fluxo.
Para estar em conformidade com a estrutura de registro de cflowd, você deve incluir as declarações e receive-ttl-exceeded as receive-options-packets [edit interfaces interface-name unit logical-unit-number family inet] declarações no nível hierárquicos:
[edit interfaces interface-name unit logical-unit-number family inet] receive-options-packets; receive-ttl-exceeded;
Monitoramento de fluxo passivo para pacotes encapsulados MPLS
Nas interfaces de serviços de monitoramento, você pode processar pacotes MPLS que não foram atribuídos valores de rótulo e não têm nenhuma entrada correspondente na mpls.0 tabela de roteamento. Isso permite que você atribua uma rota padrão a pacotes MPLS não rotulados.
Para configurar um valor de rótulo padrão para pacotes MPLS, inclua a default-route declaração no nível de [edit protocols mpls interface interface-name label-map] hierarquia:
[edit protocols mpls interface interface-name label-map]
default-route {
(next-hop (address | interface-name | address/interface-name)) | (reject | discard);
(pop | (swap <out-label>);
class-of-service value;
preference preference;
type type;
}
Para obter mais informações sobre rótulos estáticos, consulte o Guia de usuário de aplicativos MPLS.
Removendo rótulos MPLS de pacotes de entrada
O Junos OS pode encaminhar apenas pacotes IPv4 para serviços de monitoramento, serviços adaptativos ou PIC de multisserviços. Os pacotes IPv4 e IPv6 com rótulos MPLS não podem ser encaminhados para um PIC de monitoramento. Por padrão, se os pacotes com rótulos MPLS forem encaminhados para o PIC de monitoramento, eles serão descartados. Para monitorar pacotes IPv4 e IPv6 com rótulos MPLS, você deve remover os rótulos MPLS à medida que os pacotes chegam na interface.
Você pode remover rótulos MPLS de um pacote de entrada, incluindo a pop-all-labels declaração no [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls] nível de hierarquia:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls] pop-all-labels { required-depth [ numbers ]; }
Para roteadores da Série MX com MPCs, a pop-all-labels declaração coloca todas as etiquetas por padrão e a required-depth declaração é ignorada.
Para outras configurações, você pode remover até duas etiquetas MPLS de um pacote de entrada. Por padrão, a pop-all-labels declaração entra em vigor para pacotes de entrada com uma ou duas etiquetas. Você pode especificar o número de rótulos MPLS que um pacote de entrada deve ter para que a pop-all-labels declaração entre em vigor, incluindo a required-depth declaração no [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels] nível de hierarquia:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels] required-depth [ numbers ];
A profundidade necessária pode ser 1, 2ou [ 1 2 ]. Se você incluir a required-depth 1 declaração, a pop-all-labels declaração entra em vigor para pacotes de entrada com apenas um rótulo. Se você incluir a required-depth 2 declaração, a pop-all-labels declaração entra em vigor para pacotes de entrada apenas com duas etiquetas. Se você incluir a required-depth [ 1 2 ] declaração, a pop-all-labels declaração entra em vigor para pacotes de entrada com uma ou duas etiquetas. Uma profundidade [ 1 2 ] necessária equivale ao comportamento padrão da pop-all-labels declaração.
Ao remover as etiquetas MPLS dos pacotes de entrada, observe o seguinte:
A
pop-all-labelsdeclaração não tem efeito sobre pacotes IP com três ou mais rótulos MPLS, exceto para roteadores da Série MX com MPCs.Ao ativar a remoção de rótulos MPLS, você deve configurar todas as portas em um PIC com o mesmo modo de estalo de rótulo e profundidade necessária.
Você usa a
pop-all-labelsdeclaração para permitir aplicativos de monitoramento passivos, não aplicativos de monitoramento ativos.Você não pode aplicar filtros MPLS ou contabilidade nas etiquetas MPLS porque os rótulos são removidos assim que o pacote chega na interface.
Nas interfaces ATM2, você deve usar um valor de rótulo superior a 4095 porque a menor gama de rótulos MPLS é reservada para interface comutada por rótulos (LSI) e suporte a serviços de LAN privada virtual (VPLS). Para obter mais informações, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.
Os seguintes tipos de encapsulamento atm não são suportados em interfaces com a remoção de rótulo MPLS:
atm-ccc-cell-relayatm-ccc-vc-muxatm-mlppp-llcatm-tcc-snapatm-tcc-vc-muxether-over-atm-llcether-vpls-over-atm-llc
Exemplo: habilitação do monitoramento passivo de fluxo IPv4
O exemplo a seguir mostra uma configuração completa para permitir o monitoramento de fluxo passivo em uma interface Ethernet.
Neste exemplo, a interface Gigabit Ethernet pode aceitar todos os pacotes Ethernet. Ele tira tags de VLAN (se houver alguma) e até duas etiquetas MPLS cegamente, e passa pacotes IPv4 para a interface de monitoramento. Com essa configuração, ele pode monitorar pacotes rotulados IPv4, VLAN+IPv4, VLAN+MPLS+IPv4 e VLAN+MPLS+MPLS+IPv4.
A interface Fast Ethernet pode aceitar apenas pacotes com VLAN ID 100. Todos os outros pacotes foram descartados. Com essa configuração, ele pode monitorar VLAN (ID=100)+IPv4, VLAN (ID=100)+MPLS+IPv4 e VLAN (ID=100)+MPLS+MPLS+IPv4 com pacotes rotulados.
[edit firewall]
family inet {
filter input-monitoring-filter {
term def {
then {
count counter;
accept;
}
}
}
}
[edit interfaces]
ge-0/0/0 {
passive-monitor-mode;
gigether-options {
mpls {
pop-all-labels;
}
}
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
fe-0/1/0 {
passive-monitor-mode;
vlan-tagging;
fastether-options {
mpls {
pop-all-labels required-depth [ 1 2 ];
}
}
unit 0 {
vlan-id 100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
mo-1/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
[edit forwarding-options]
monitoring mon1 {
family inet {
output {
export-format cflowd-version-5;
cflowd 192.0.2.2 port 2055;
interface mo-1/0/0.0 {
source-address 192.0.2.1;
}
}
}
}
[edit routing-instances]
monitoring-vrf {
instance-type vrf;
interface ge-0/0/0.0;
interface fe-0/1/0.0;
interface mo-1/0/0.1;
route-distinguisher 68:1;
vrf-import monitoring-vrf-import;
vrf-export monitoring-vrf-export;
routing-options {
static {
route 0.0.0.0/0 next-hop mo-1/0/0.1;
}
}
}
[edit policy-options]
policy-statement monitoring-vrf-import {
then {
reject;
}
}
policy-statement monitoring-vrf-export {
then {
reject;
}
}
Exemplo: habilitação do monitoramento passivo de fluxo IPv6
O exemplo a seguir mostra uma configuração completa para permitir o monitoramento de fluxo passivo IPv6 em uma interface Ethernet.
Neste exemplo, a interface Gigabit Ethernet pode aceitar todos os pacotes Ethernet. Ele tira tags de VLAN (se houver alguma) e até duas etiquetas MPLS cegamente, e passa pacotes IPv6 para a interface de monitoramento. Com essa configuração, a interface Gigabit Ethernet pode monitorar pacotes rotulados IPv6, VLAN+IPv6, VLAN+MPLS+IPv6 e VLAN+MPLS+MPLS+IPv6.
A interface Gigabit Ethernet com tag vlan pode aceitar apenas pacotes com VLAN ID 100. Todos os outros pacotes foram descartados. Com essa configuração, ele pode monitorar VLAN (ID=100)+IPv6, VLAN (ID=100)+MPLS+IPv6 e VLAN (ID=100)+MPLS+MPLS+IPv6 em pacotes rotulados.
[edit interfaces]
xe-0/1/0 {
passive-monitor-mode;
unit 0 {
family inet6 {
filter {
input port-mirror6;
}
address 2001:db8::1/128;
}
}
}
xe-0/1/2 {
passive-monitor-mode;
vlan-tagging;
unit 0 {
vlan-id 100;
family inet6 {
filter {
input port-mirror6;
}
}
}
}
xe-0/1/1 {
unit 0 {
family inet6 {
address 2001:db8::1/128;
}
}
}
[edit firewall]
family inet6 {
filter port-mirror6 {
term term2 {
then {
count count_pm;
port-mirror;
accept;
}
}
}
}
[edit forwarding options]
port-mirroring {
input {
rate 1;
}
family inet6 {
output {
interface xe-0/1/1.0 {
next-hop 2001:db8::3;
}
no-filter-check;
}
}
}