T 系列、M 系列和 MX 系列路由器的被动流监控路由器和软件注意事项

实施被动流监控时，有几个硬件和软件注意事项。定义监控站的硬件要求时，请记住以下几点：

• 监控站上的输入接口必须是 SONET/SDH 接口（OC3、OC12 或 OC48）、ATM2 IQ 接口（OC3 或 OC12）、4 端口快速以太网接口、带 SFP 的千兆以太网接口（4 端口或 10 端口）或带 XENPAK 的 1 端口 10 千兆以太网接口。

• 要监控单个接口的双向流量，监控站必须具有两个 SONET/SDH、ATM2 IQ 或基于以太网的接收端口，每个流量方向一个。在被动流监控 应用程序拓扑中，监控站需要一个端口来监控从路由器 1 流向路由器 2 的流量，第二个端口来监控从路由器 2 流向路由器 1 的流量。

• 监控服务 PIC 必须安装在 1 类增强型 FPC 插槽中。

• 支持 1 类和 2 类隧道服务 PIC。

• 使用 ES PIC 加密流导出。

• MPC10 和 MPC11 线卡不支持对称散列。如果您希望支持对称散列和被动监控，则应选择其他 MPC 线卡。

• 您只能在物理端口上配置被动监控，而不能在逻辑接口上或按 VLAN 配置被动监控。您无法在聚合以太网端口或具有以太网封装的端口上配置被动监控。

• IDS 服务器必须直接连接到路由器。您需要将连接到 IDS 服务器的接口配置为链路聚合组 （LAG） 的一部分。您需要配置静态路由以将数据包路由到 IDS 服务器上。

定义流量监控策略时，请记住以下几点：

• 监控站仅收集 IPv4 数据包。所有其他数据包格式将被丢弃且不计算在内。

• 您可以设置在监控站终止数据流并导出流数据之前数据流可以处于非活动状态的时间量。要设置计时器，请在层次结构级别包含 flow-inactive-timeout 语句 [edit forwarding-options monitoring group-name family inet output] 。计时器值可以从 15 秒到 1800 秒，默认值为 60 秒。

您还可以将监控站配置为收集持续时间超过配置的活动超时的流的定期流报告。若要设置此活动计时器，请在层次结构级别包含flow-active-timeout[edit forwarding-options monitoring group-name family inet output]语句。计时器值可以从 60 秒到 1800 秒，默认值为 180 秒。

• 如果可能，会将多个过期的流一起导出。当满足以下条件之一时，将发送 UDP 数据包：

  • 当当前数据包中包含 30 个流时，将导出这些流。

  • 如果流少于 30 个，但导出计时器过期，则在计时器过期一秒后导出流。

• TCP 和 UDP 流的考虑方式不同：

  • TCP 流监视包含 FIN 位和后续确认 （ACK） 的段，以检测流的结束。或者，TCP 重置 （RST） 也可以指示流的结束。检测到这些 TCP 组合时，流将过期。 FIN+ACK 和 RST 案例涵盖了大多数 TCP 流闭包。对于所有其他流，需要非活动超时。

  • 所有非 TCP 流（如 UDP）都依赖于导出超时机制。

• SONET/SDH 接口的默认 MTU 值为 4474 字节;对于千兆以太网和快速以太网接口，它是 1500 字节。如果监控站收到超过 4474 字节的数据包，则将其丢弃;不执行任何分段。请注意，千兆以太网或快速以太网 PIC 上支持的 MTU 大小可能超过 1500 字节，具体取决于 PIC 的类型。

• 丢弃的任何传入流量都不会转发到数据包分析器。

• 监控站上收集截获流量的接口必须使用 Cisco HDLC 或 PPP 封装进行配置。

• 您必须始终使用标准接口（例如，遵循通常 interface-name-fpc/pic/slot 格式的接口）将流记录发送到流服务器。监控服务或监控服务 II PIC 生成的流数据不会通过 fxp0 接口传递到服务器。

• 您可以将版本 5 记录发送到多个流服务器。您最多可以配置 8 台服务器，并以轮询方式在服务器之间均衡流流量。如果其中一台服务器停止运行，流流量会自动在其余活动服务器之间进行负载平衡。要进行配置，请在层次结构级别最多包含 8 flow-server 个语句 [edit forwarding-options monitoring group-name output] 。