Permitindo o monitoramento passivo de fluxo em roteadores da Série M, Série MX ou Série T
Você pode monitorar o tráfego IPv4 de outro roteador se tiver os seguintes componentes instalados em um roteador da Série M, Série MX ou Série T:
Serviços de monitoramento, serviços adaptativos ou PICs multisserviços para realizar o processamento de serviços
SONET/SDH, Fast Ethernet ou Gigabit Ethernet PICs como interface de trânsito
Nas interfaces SONET/SDH, você permite o monitoramento passivo do fluxo, incluindo a passive-monitor-mode
declaração no nível de hierarquia [editar interfaces so-fpc/pic/port unit logical-unit-number]:
[edit interfaces so-fpc/pic/port unit logical-unit-number] passive-monitor-mode;
No modo de transferência assíncrono (ATM), fast ethernet ou interfaces Ethernet Gigabit, você permite o monitoramento passivo de fluxo, incluindo a passive-monitor-mode
declaração no nível de [edit interfaces interface-name]
hierarquia:
[edit interfaces interface-name] passive-monitor-mode;
O monitoramento passivo IPv6 não é suportado em PICs de serviços de monitoramento. Você deve configurar o espelhamento de porta para encaminhar os pacotes das portas monitoradas passivas para outras interfaces. Interfaces configuradas nos seguintes FPCs e pic suportam monitoramento passivo IPv6 nos roteadores da Série T640 e T1600:
FPC2 de escalonamento aprimorado
FPC3 de escalonamento aprimorado
FPC1 aprimorado
FPC2 aprimorado
FPC3 aprimorado
FPC4 de escalonamento aprimorado
FPC4.1 de escalonamento aprimorado
Ethernet LAN/WAN PIC de 4 portas de 10 Gigabits com XFP (suportado no modo WAN-PHY e LAN-PHY para endereços IPv4 e IPv6)
Gigabit Ethernet PIC com SFP
Ethernet PIC de 10 Gigabits com XENPAK (roteador da Série T1600)
SONET/SDH OC192/STM64 PIC (roteador da Série T1600)
SONET/SDH OC192/STM64 PICs com XFP (roteador da Série T1600)
SONET/SDH OC48c/STM16 PIC com SFP (roteador da Série T1600)
SONET/SDH OC48/STM16 (multi-rate)
SONET/SDH OC12/STM4 (Multi-Rate) PIC com SFP
TIPO 1 SONET/SDH OC3/STM1 (Multi-Rate) PIC com SFP
Para configurar o espelhamento de porta, inclua a port-mirroring
declaração no nível de [edit forwarding-options]
hierarquia.
Quando você configura uma interface no modo de monitoramento passivo, o Mecanismo de Encaminhamento de Pacotes derruba silenciosamente pacotes provenientes dessa interface e destinados ao próprio roteador. O modo de monitoramento passivo também impede o mecanismo de roteamento de transmitir qualquer pacote dessa interface. Os pacotes recebidos da interface monitorada podem ser encaminhados para interfaces de monitoramento. Se você incluir a passive-monitor-mode
declaração na configuração:
A interface atm está sempre ativa, e a interface não recebe ou transmite pacotes de controle de entrada, como as células operação, administração e manutenção (OAM) e interface de gerenciamento local interino (ILMI).
A interface SONET/SDH não envia keepalives ou alarmes e não participa ativamente da rede.
As interfaces Gigabit e Fast Ethernet podem suportar monitoramento passivo por porta e monitoramento passivo por VLAN. O filtro MAC de destino na porta de recebimento das interfaces Ethernet é desativado.
Opções de encapsulamento Ethernet não são permitidas.
As interfaces Ethernet não oferecem suporte à
stacked-vlan-tagging
declaração para pacotes IPv4 e IPv6 em modo de monitoramento passivo.
Nas interfaces de serviços de monitoramento, você permite o monitoramento passivo do fluxo, incluindo a family
declaração no nível da [edit interfaces interface-name unit logical-unit-number]
hierarquia, especificando a opção inet
:
[edit interfaces interface-name unit logical-unit-number] family inet;
Para a interface de serviços de monitoramento, você pode configurar propriedades de interface física de vários serviços. Para obter mais informações, consulte configuração de interfaces de monitoramento de fluxo.
Para conformidade com a estrutura de registro de cflowd, você deve incluir as declarações e receive-ttl-exceeded
as receive-options-packets
declarações no nível de [edit interfaces interface-name unit logical-unit-number family inet]
hierarquia:
[edit interfaces interface-name unit logical-unit-number family inet] receive-options-packets; receive-ttl-exceeded;
Monitoramento de fluxo passivo para pacotes encapsulados MPLS
Nas interfaces de serviços de monitoramento, você pode processar pacotes MPLS que não foram atribuídos valores de rótulo e não têm nenhuma entrada correspondente na mpls.0
tabela de roteamento. Isso permite que você atribua uma rota padrão a pacotes MPLS não rotulados.
Para configurar um valor de rótulo padrão para pacotes MPLS, inclua a default-route
declaração no nível de [edit protocols mpls interface interface-name label-map]
hierarquia:
[edit protocols mpls interface interface-name label-map] default-route { (next-hop (address | interface-name | address/interface-name)) | (reject | discard); (pop | (swap <out-label>); class-of-service value; preference preference; type type; }
Para obter mais informações sobre rótulos estáticos, consulte o guia de usuário de aplicativos MPLS.
Removendo rótulos MPLS de pacotes de entrada
O Junos OS pode encaminhar apenas pacotes IPv4 para um PIC de serviços de monitoramento, serviços adaptativos ou multisserviços. Pacotes IPv4 e IPv6 com rótulos MPLS não podem ser encaminhados para um PIC de monitoramento. Por padrão, se os pacotes com rótulos MPLS forem encaminhados ao PIC de monitoramento, eles serão descartados. Para monitorar pacotes IPv4 e IPv6 com rótulos MPLS, você deve remover os rótulos MPLS conforme os pacotes chegam na interface.
Você pode remover rótulos MPLS de um pacote de entrada, incluindo a pop-all-labels
declaração no nível de [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls]
hierarquia:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls] pop-all-labels { required-depth [ numbers ]; }
Para roteadores da Série MX com MPCs, a pop-all-labels
declaração coloca todos os rótulos por padrão e a required-depth
declaração é ignorada.
Para outras configurações, você pode remover até dois rótulos MPLS de um pacote de entrada. Por padrão, a pop-all-labels
declaração entra em vigor para pacotes de entrada com um ou dois rótulos. Você pode especificar o número de rótulos MPLS que um pacote de entrada deve ter para que a pop-all-labels
declaração entre em vigor, incluindo a required-depth
declaração no nível de [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels]
hierarquia:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels] required-depth [ numbers ];
A profundidade necessária pode ser 1
, 2
ou [ 1 2 ]
. Se você incluir a required-depth 1
declaração, a pop-all-labels
declaração entra em vigor para pacotes de entrada com apenas um rótulo. Se você incluir a required-depth 2
declaração, a pop-all-labels
declaração entra em vigor para pacotes de entrada com dois rótulos apenas. Se você incluir a required-depth [ 1 2 ]
declaração, a pop-all-labels
declaração entra em vigor para pacotes de entrada com um ou dois rótulos. Uma profundidade [ 1 2 ]
necessária é equivalente ao comportamento padrão da pop-all-labels
declaração.
Ao remover rótulos MPLS dos pacotes recebidos, observe o seguinte:
A
pop-all-labels
declaração não afeta pacotes IP com três ou mais rótulos MPLS, exceto roteadores da Série MX com MPCs.Quando você habilita a remoção de rótulos MPLS, você deve configurar todas as portas em um PIC com o mesmo modo de estalar rótulos e profundidade necessária.
Você usa a
pop-all-labels
declaração para permitir aplicativos de monitoramento passivos, não aplicativos de monitoramento ativos.Você não pode aplicar filtros MPLS ou contabilidade nos rótulos MPLS porque os rótulos são removidos assim que o pacote chega na interface.
Nas interfaces ATM2, você deve usar um valor de rótulo superior a 4095, porque a menor variedade de rótulos MPLS está reservada para interface comutada por rótulos (LSI) e suporte a serviços de LAN privada virtual (VPLS). Para obter mais informações, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.
Os seguintes tipos de encapsulamento ATM não são suportados em interfaces com a remoção de rótulos MPLS:
atm-ccc-cell-relay
atm-ccc-vc-mux
atm-mlppp-llc
atm-tcc-snap
atm-tcc-vc-mux
ether-over-atm-llc
ether-vpls-over-atm-llc
Exemplo: habilitar o monitoramento passivo de fluxo IPv4
O exemplo a seguir mostra uma configuração completa para permitir o monitoramento de fluxo passivo em uma interface Ethernet.
Neste exemplo, a interface Gigabit Ethernet pode aceitar todos os pacotes Ethernet. Ele tira tags VLAN (se houver alguma) e até dois rótulos MPLS cegamente, e passa pacotes IPv4 para a interface de monitoramento. Com essa configuração, ele pode monitorar pacotes rotulados IPv4, VLAN+IPv4, VLAN+MPLS+IPv4 e VLAN+MPLS+MPLS+IPv4.
A interface Fast Ethernet só pode aceitar pacotes com VLAN ID 100. Todos os outros pacotes são descartados. Com essa configuração, ele pode monitorar VLAN (ID=100)+IPv4, VLAN (ID=100)+MPLS+IPv4 e VLAN (ID=100)+MPLS+MPLS+IPv4 com pacotes rotulados.
[edit firewall] family inet { filter input-monitoring-filter { term def { then { count counter; accept; } } } } [edit interfaces] ge-0/0/0 { passive-monitor-mode; gigether-options { mpls { pop-all-labels; } } unit 0 { family inet { filter { input input-monitoring-filter; } } } } fe-0/1/0 { passive-monitor-mode; vlan-tagging; fastether-options { mpls { pop-all-labels required-depth [ 1 2 ]; } } unit 0 { vlan-id 100; family inet { filter { input input-monitoring-filter; } } } } mo-1/0/0 { unit 0 { family inet { receive-options-packets; receive-ttl-exceeded; } } unit 1 { family inet; } } [edit forwarding-options] monitoring mon1 { family inet { output { export-format cflowd-version-5; cflowd 192.0.2.2 port 2055; interface mo-1/0/0.0 { source-address 192.0.2.1; } } } } [edit routing-instances] monitoring-vrf { instance-type vrf; interface ge-0/0/0.0; interface fe-0/1/0.0; interface mo-1/0/0.1; route-distinguisher 68:1; vrf-import monitoring-vrf-import; vrf-export monitoring-vrf-export; routing-options { static { route 0.0.0.0/0 next-hop mo-1/0/0.1; } } } [edit policy-options] policy-statement monitoring-vrf-import { then { reject; } } policy-statement monitoring-vrf-export { then { reject; } }
Exemplo: habilitar o monitoramento passivo de fluxo IPv6
O exemplo a seguir mostra uma configuração completa para permitir o monitoramento de fluxo passivo IPv6 em uma interface Ethernet.
Neste exemplo, a interface Gigabit Ethernet pode aceitar todos os pacotes Ethernet. Ele tira tags VLAN (se houver alguma) e até dois rótulos MPLS cegamente, e passa pacotes IPv6 para a interface de monitoramento. Com essa configuração, a interface Gigabit Ethernet pode monitorar pacotes rotulados IPv6, VLAN+IPv6, VLAN+MPLS+IPv6 e VLAN+MPLS+MPLS+IPv6.
A interface Ethernet Gigabit marcada por vlan pode aceitar apenas pacotes com VLAN ID 100. Todos os outros pacotes são descartados. Com essa configuração, ele pode monitorar VLAN (ID=100)+IPv6, VLAN (ID=100)+MPLS+IPv6 e VLAN (ID=100)+MPLS+MPLS+IPv6 com pacotes rotulados.
[edit interfaces] xe-0/1/0 { passive-monitor-mode; unit 0 { family inet6 { filter { input port-mirror6; } address 2001:db8::1/128; } } } xe-0/1/2 { passive-monitor-mode; vlan-tagging; unit 0 { vlan-id 100; family inet6 { filter { input port-mirror6; } } } } xe-0/1/1 { unit 0 { family inet6 { address 2001:db8::1/128; } } } [edit firewall] family inet6 { filter port-mirror6 { term term2 { then { count count_pm; port-mirror; accept; } } } } [edit forwarding options] port-mirroring { input { rate 1; } family inet6 { output { interface xe-0/1/1.0 { next-hop 2001:db8::3; } no-filter-check; } } }