配置主动流监控
在主动流监控中,路由器既参与监控应用,又参与网络的正常路由功能。尽管监控服务 PIC 最初设计用作脱机被动流监控工具,但它也可以在主动流监控拓扑中使用。
表 1 显示了哪些瞻博网络 PIC 和相应的路由器支持主动流监控。有关瞻博网络 PIC 的详细信息,请参阅路由器对应的 PIC 指南。
PIC 类型和服务 |
M5/M10 |
M7i/M10i |
M20 |
M40e |
M120 |
M160 |
T Series/M320 |
TX 矩阵 |
|---|---|---|---|---|---|---|---|---|
监控服务 PIC:主动流监控 |
是(仅限版本 8) |
是的 |
是的 |
是的 |
不 |
是(仅限版本 8) |
不 |
不 |
监控服务 II PIC:流收集服务 |
不 |
不 |
不 |
是的 |
不 |
是(仅限版本 8) |
不 |
不 |
自适应服务 PIC: 主动流监控 |
是(仅限版本 8) |
是的 |
是的 |
是的 |
不 |
是(仅限版本 8) |
不 |
不 |
自适应服务 II PIC: 主动流监控 |
是(仅限版本 8) |
是的 |
是的 |
是的 |
是的 |
是(仅限版本 8) |
是的 |
是的 |
自适应服务 II PIC:流监测服务 |
不 |
是的 |
是的 |
是的 |
是的 |
不 |
是的 |
不 |
多服务 100 PIC: 主动流监控 |
不 |
是的 |
不 |
是的 |
不 |
不 |
是的 |
是的 |
多服务 400 PIC: 主动流监控 |
不 |
不 |
不 |
是的 |
是的 |
不 |
是的 |
是的 |
多服务 500 PIC: 主动流监控 |
不 |
不 |
不 |
是的 |
是的 |
不 |
是的 |
是的 |
支持 Junos OS 的主动流监控 |
不 |
不 |
不 |
不 |
不 |
不 |
不 |
不 |
可以过滤指定的数据包并将其发送到监控接口。对于监控服务 PIC,接口名称包含 mo- 前缀。对于自适应服务 PIC 和多服务 PIC,接口名称包含 sp- 前缀。
如果从监控服务 PIC 升级到自适应服务 PIC 或多服务 PIC 以进行主动流监控,则必须将监控接口的接口名称从 mo-fpc/pic/port 修改为 sp-fpc/pic/port。
您可以在层次结构级别配置 [edit forwarding-options] 的主要主动流监控作如下:
采样,使用 [edit forwarding-options sampling] 层次结构。此选项从流中某些数据包的副本中提取有限的信息(例如,源和目标 IP 地址),同时将原始数据包转发到预期目标。此选项经过扩展,可通过定义指定采样参数名称的采样实例并将实例绑定到特定数据包转发引擎,基于每个数据包转发引擎定义活动采样。
模板,具有 [edit forwarding-options sampling] 和 [edit services monitoring] 层次结构。通过对版本 5、版本 8 和自定义版本 9 的主动流监控支持,您可以使用模板来组织从采样收集的数据。
使用 [edit forwarding-options accounting] 层次结构放弃计费。此选项隔离不需要的数据包,创建描述数据包的流监控记录,并丢弃数据包而不是转发数据包。
端口镜像,具有 [edit forwarding-options port-mirroring] 层次结构。此选项可创建流中所有数据包的完整副本,并将副本传送到单个目标。
多端口镜像,具有 [edit forwarding-options next-hop-group] 层次结构。此选项允许将所选流量的多个副本传送到多个目标。(多端口镜像需要隧道服务 PIC。)
使用 [edit services flow-tap] 层次结构进行流监测服务处理。此选项将与动态筛选条件匹配的数据包副本发送到一个或多个内容目标。
与被动流监控不同,无需配置监控组。相反,您可以使用采样或丢弃计费将过滤后的数据包发送到监控服务或自适应服务接口(mo- 或 sp-)。 或者,您可以配置端口镜像或多端口镜像,以将数据包定向到其他接口。
这些主动流监控选项提供了可对网络流量流执行的各种作。但是,存在以下限制:
路由器可以在任何时候执行采样 或 端口镜像。
路由器可以同时执行转发 或 丢弃计费。
由于监控服务 PIC、自适应服务 PIC 和多服务 PIC 一次只允许执行一个作,因此可以使用以下配置选项:
采样和转发
采样和丢弃计费
端口镜像和转发
端口镜像和丢弃计费
不同流量集上的采样和端口镜像
要配置主动流监控,请完成以下步骤: