配置主动流监控
在主动流监控中,路由器同时参与监控应用和网络的正常路由功能。尽管监控服务 PIC 最初设计用作脱机被动流监控工具,但它也可以用于主动流监控拓扑。
表 1 显示了哪些瞻博网络 PIC 和相应的路由器支持主动流监控。有关瞻博网络 PIC 的更多信息,请参阅与您的路由器对应的 PIC 指南。
PIC 类型和服务 |
M5/M10 |
M7i/M10i |
M20 |
M40e |
M120 |
M160 |
T Series/M320 |
TX矩阵 |
|---|---|---|---|---|---|---|---|---|
监控服务 PIC:主动流监控 |
是 (仅限版本 8) |
是 |
是 |
是 |
否 |
是(仅限版本 8) |
否 |
否 |
监控服务 II PIC:流量收集服务 |
否 |
否 |
否 |
是 |
否 |
是(仅限版本 8) |
否 |
否 |
自适应服务 PIC: 主动流监控 |
是 (仅限版本 8) |
是 |
是 |
是 |
否 |
是(仅限版本 8) |
否 |
否 |
自适应服务 II PIC: 主动流监控 |
是(仅限版本 8) |
是 |
是 |
是 |
是 |
是(仅限版本 8) |
是 |
是 |
自适应服务 II PIC:流监测服务 |
否 |
是 |
是 |
是 |
是 |
否 |
是 |
否 |
多服务 100 PIC: 主动流监控 |
否 |
是 |
否 |
是 |
否 |
否 |
是 |
是 |
多服务 400 PIC: 主动流监控 |
否 |
否 |
否 |
是 |
是 |
否 |
是 |
是 |
多服务 500 PIC: 主动流监控 |
否 |
否 |
否 |
是 |
是 |
否 |
是 |
是 |
启用 Junos OS 的 主动流监控 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
否 |
可以过滤指定的数据包并将其发送到监控接口。对于监控服务 PIC,接口名称包含 mo- 前缀。对于自适应服务 PIC 和多服务 PIC,接口名称包含 sp- 前缀。
如果从监控服务 PIC 升级到自适应服务 PIC 或多服务 PIC 以进行主动流监控,则必须将监控接口的接口名称从 mo-fpc/pic/port 修改为 sp-fpc/pic/port。
可在层次结构级别配置 [edit forwarding-options] 的主要主动流监控作如下:
采样,使用 [edit forwarding-options sampling] 层次结构。此选项从流中某些数据包的副本中提取有限的信息(如源 IP 地址和目标 IP 地址),而原始数据包则被转发到预期目标。通过定义采样实例(指定采样参数的名称并将实例绑定到特定的数据包转发引擎),此选项将扩展为在每个数据包转发引擎的基础上定义活动采样。
模板,具有 [edit forwarding-options sampling] 和 [edit services monitoring] 层次结构。借助对版本 5、版本 8 和自定义版本 9 的主动流监控支持,您可以使用模板来组织从采样中收集的数据。
丢弃计费,使用 [edit forwarding-options accounting] 层次结构。此选项会隔离不需要用的数据包,创建描述数据包的流监控记录,然后丢弃数据包而不是转发数据包。
端口镜像,具有 [edit forwarding-options port-mirroring] 层次结构。此选项会为流中的所有数据包创建一个完整副本,并将该副本发送到单个目标。
多端口镜像,具有 [edit forwarding-options next-hop-group] 层次结构。此选项允许将选定流量的多个副本传送到多个目标。(多端口镜像需要通道服务 PIC。)
流监测服务处理,具有 [edit services flow-tap] 层次结构。此选项会将符合动态过滤条件的数据包副本发送到一个或多个内容目标。
与被动流监控不同,您不需要配置监控组。相反,您可以使用采样或丢弃计费,将过滤后的数据包发送到监控服务或自适应服务接口(mo- 或 sp-)。 或者,您可以配置端口镜像或多端口镜像,以将数据包定向到其他接口。
这些主动流量监控选项提供了可对网络流量执行的各种作。但是,以下限制适用:
路由器可随时执行采样 或 端口镜像。
路由器可随时执行转发 或 丢弃记账。
由于监控服务 PIC、自适应服务 PIC 和多服务 PIC 一次只允许执行一个作,因此提供以下配置选项:
采样和转发
抽样和丢弃会计
端口镜像和转发
端口镜像和丢弃计费
不同流量集的采样和端口镜像
要配置主动流监控,请完成以下步骤: