Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

主动流监控概述

使用瞻博网络 M Series 多服务边缘或 T Series 核心路由器或者 EX9200、一系列 PIC(包括监控服务 PIC、自适应服务 [AS] PIC、多服务 PIC 或多服务 DPC)和其他网络硬件,您可以监控流量并导出受监控的流量。监控流量允许您执行以下作:

  • 收集和导出有关网络中源节点和目标节点之间的 IP 版本 4 (IPv4) 流量的详细信息。

  • 对监控接口上的所有传入 IPv4 流量进行采样,并以 cflowd 记录格式显示数据。

  • 对传入流量流执行丢弃计数。

  • 对传出 cflowd 记录和/或拦截的 IPv4 流量进行加密或隧道传输。

  • 将过滤后的流量引导至不同的数据包分析器,并以原始格式(端口镜像)显示数据。

    注意:

    监控服务 PIC、AS PIC 和多服务 PIC 必须安装在 M Series 或 T Series 路由器的增强型灵活 PIC 集中器 (FPC) 上。

    瞻博网络 MX 系列 3D 通用边缘路由器中安装的多服务 DPC 支持相同的功能,但被动监控和流监测功能除外。

尽管监控服务 PIC 最初设计用作脱机被动流监控工具,但它也可以在主动流监控拓扑中使用。相比之下,AS 或多服务 PIC 专为主动流监控而设计。要使用监控服务 PIC、AS PIC 或多服务 PIC 进行主动流监控,必须在 M Series 或 T Series 路由器中安装 PIC。路由器参与监控应用和网络的正常路由功能。

从 Junos OS 11.4 版开始,对主动监控的支持已扩展到在 T Series 和 MX 系列路由器上运行的逻辑系统。逻辑系统是从执行独立路由任务的物理路由器创建的分区。单个路由器中的多个逻辑系统具有自己的接口、策略、实例和路由表,可以执行由多个不同路由器处理的功能。共享服务 PIC 处理来自所有逻辑系统的流量。仅支持版本 9 流、IPv4 和 MPLS 模板。有关在逻辑系统上启用主动监控的示例配置,请参阅 示例:在 M、MX 或 T Series 路由器的逻辑系统上配置主动监控

可以过滤指定的数据包并将其发送到监控接口。对于监控服务 PIC,接口名称包含 mo- 前缀。对于 AS 或多服务 PIC,接口名称包含 sp- 前缀。

注意:

如果从监控服务 PIC 升级到自适应服务或多服务 PIC 以进行主动流监控,则必须将监控接口的名称从 mo-fpc/pic/port 更改为 sp-fpc/pic/port

您可以在层次结构级别配置 [edit forwarding-options] 的主要主动流监控作如下:

  • 采样,使用 [edit forwarding-options sampling] 层次结构。此选项将流量流的副本发送到 AS 或监控服务 PIC,后者从流中的某些数据包中提取有限的信息(例如源和目标 IP 地址)。原始数据包像往常一样转发到预期目的地。

  • 使用 [edit forwarding-options accounting] 层次结构丢弃记帐。此选项隔离不需要的数据包,创建描述数据包的 cflowd 记录,并丢弃数据包而不是转发数据包。

  • 端口镜像与层次结构。 [edit forwarding-options port-mirroring] 此选项可创建流中所有数据包的完整副本,并将副本传送到单个目标。原始数据包将被转发到预期目的地。

  • 多端口镜像,具有 [edit forwarding-options next-hop-group] 层次结构。此选项允许将所选流量的多个副本传送到多个目标。(多端口镜像需要隧道服务 PIC。)

与被动流监控不同,无需配置监控组。相反,您可以使用采样或丢弃计费将过滤后的数据包发送到监控服务或自适应服务接口(mo-sp-)。或者,您可以配置端口镜像或多端口镜像,以将数据包定向到其他接口。

这些主动流监控选项提供了可对网络流量流执行的各种作。但是,存在以下限制:

  • 路由器或交换机可以在任何时候执行采样 or 端口镜像。

  • 路由器或交换机可以在任何时候执行转发 or 丢弃计费。

由于监控服务、AS 和多服务 PIC 一次只允许执行一个作,因此可以使用以下配置选项:

  • 采样和转发

  • 采样和丢弃计费

  • 端口镜像和转发

  • 端口镜像和丢弃计费

  • 不同流量集上的采样和端口镜像

图 1 显示了一个示例拓扑。

图 1:主动监控配置拓扑 Active Monitoring Configuration Topology

图 1 中,来自路由器 1 的流量到达监控路由器的千兆以太网 ge-2/3/0 接口。监控路由器上通向目标路由器 2 的出口接口为 ge-3/0/0,但这可以是任何接口类型(如 SONET、千兆以太网等)。通向 cflowd 服务器的导出接口是 fe-1/0/0。

要启用主动监控,请在接口 ge-2/3/0 上配置具有以下匹配条件的 防火墙过滤器

  • 使用基于过滤器的转发,匹配特定防火墙条件的流量将发送到监控服务 PIC。此流量将被隔离,不会转发到其他路由器。

  • 所有其他流量都通过端口镜像到监控服务 PIC。端口镜像复制每个数据包,并将副本发送到端口镜像下一跃点(此例中为监控服务 PIC)。原始数据包像往常一样从路由器转发出去。

相关主题