Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

主动流监控概述

通过使用瞻博网络 M 系列多服务边缘或 T 系列核心路由器或 EX9200、精选的 PIC(包括监控服务 PIC、自适应服务 [AS] PIC、多服务 PIC 或多服务 DPC)和其他网络硬件,您可以监控流量并导出受监控的流量。通过监控流量,您可以执行以下操作:

  • 收集并导出有关网络中源节点和目标节点之间的 IP 版本 4 (IPv4) 流量的详细信息。

  • 采样监控接口上的所有传入 IPv4 流量,并采用 cflowd 记录格式显示数据。

  • 对传入流量执行丢弃核算。

  • 加密或隧道传出 cflowd 记录、拦截的 IPv4 流量或两者。

  • 将过滤后的流量直接传输到不同的数据包分析器,并按其原始格式(端口镜像)显示数据。

    注意:

    监控服务 PIC、AS PIC 和多服务 PIC 必须安装在 M 系列或 T 系列路由器中的增强型灵活 PIC 集中器 (FPC) 上。

    瞻博网络 MX 系列 3D 通用边缘路由器中安装的多服务 DPC 除了被动监控和流插功能之外,支持相同的功能。

尽管监控服务 PIC 最初设计为用作离线被动流监控工具,但它也可用于主动流监控拓扑。相比之下,AS 或多服务 PIC 专为主动流量监控而设计。要使用监控服务 PIC、AS PIC 或多服务 PIC 进行活动流监控,必须在 M 系列或 T 系列路由器中安装 PIC。路由器既参与监控应用,也参与网络的常规路由功能。

从 Junos OS 11.4 版开始,对主动监控的支持已扩展到在 T 系列和 MX 系列路由器上运行的逻辑系统。逻辑系统是从物理路由器创建的分区,用于执行独立路由任务。单个路由器中的多个逻辑系统都有自己的接口、策略、实例和路由表,可以执行由多个不同的路由器处理的功能。共享服务 PIC 处理来自所有逻辑系统的流。仅支持版本 9 流、IPv4 和 MPLS 模板。有关在逻辑系统上启用主动监控的示例配置,请参阅示例 :在 M、MX 或 T 系列路由器的 逻辑系统上配置主动监控。

可以过滤指定的数据包并将其发送到监控接口。对于监控服务 PIC,接口名称包含 mo- 前缀。对于 AS 或多服务 PIC,接口名称包含 sp- 前缀。

注意:

如果从监控服务 PIC 升级到自适应服务或多服务 PIC 以实现活动流监控,则必须将监控接口的名称从 mo-fpc//portpic 更改为 sp-fpc/pic/port

您可以在层级配置 [edit forwarding-options] 的主要活动流监控操作如下:

  • 采样,使用 [edit forwarding-options sampling] 层次结构。此选项会将流量流的副本发送至 AS 或监控服务 PIC,后者将从流中的某些数据包中提取有限信息(例如,源和目标 IP 地址)。原始数据包会像往常一样转发到预期的目的地。

  • 丢弃层次结构中的 [edit forwarding-options accounting] 计费。此选项可隔离不需要的数据包,创建描述数据包的 cflowd 记录,并丢弃数据包,而不是转发。

  • 端口镜像,使用 [edit forwarding-options port-mirroring] 层次结构。此选项可对流中的所有数据包创建一个完整副本,并将该副本交付到单个目标位置。原始数据包将被转发到预期的目标位置。

  • 多端口镜像,采用 [edit forwarding-options next-hop-group] 层次结构。此选项允许将选定流量的多个副本传递到多个目标。(多端口镜像需要隧道服务 PIC。)

与被动流监控不同,您不需要配置监控组。相反,您可以通过采样或丢弃计费将过滤后的数据包发送到监控服务或自适应服务接口(mo-sp-)。或者,您可以配置端口镜像或多个端口镜像,以将数据包定向到其他接口。

这些主动流量监控选项可提供对网络流量执行的各种操作。但是,以下限制适用:

  • 路由器或交换机可随时执行采样 or 端口镜像。

  • 路由器或交换机可随时执行转发 or 丢弃计费。

由于监控服务、AS 和多服务 PIC 允许在任何一次执行一个操作,因此使用以下配置选项:

  • 采样和转发

  • 采样和丢弃计费

  • 端口镜像和转发

  • 端口镜像和丢弃计费

  • 不同流量集上的采样和端口镜像

图 1 显示了一个示例拓扑。

图 1:主动监控配置拓扑 Active Monitoring Configuration Topology

图 1 中,来自路由器 1 的流量抵达监控路由器的千兆以太网 ge-2/3/0 接口。通向目标路由器 2 的监控路由器上的出口接口为 ge-3/0/0,但这可以是任何接口类型(例如 SONET、千兆以太网等)。通向 cflowd 服务器的导出接口为 fe-1/0/0。

要启用主动监控,请在接口 ge-2/3/0 上使用以下匹配条件配置 防火墙过滤器

  • 匹配某些防火墙条件的流量将使用基于过滤器的转发发送到监控服务 PIC。此流量将被隔离,不会转发到其他路由器。

  • 所有其他流量都端口镜像到监控服务 PIC。端口镜像会复制每个数据包,并将副本发送到端口镜像下一跃点(此情况下为监控服务 PIC)。原始数据包会像往常一样转发出路由器。

相关文档