配置 Junos 捕获愿景
配置捕获组
捕获组定义 Junos Capture Vision 配置信息的配置文件。静态配置包括有关控制源、内容目标和通知目标的信息。通过使用控制协议与控制源的交互,可以添加动态配置。
要配置捕获组,请在 capture-group
层级添加语句 [edit services dynamic-flow-capture]
:
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
要指定 capture-group
,请为其分配一个唯 client-name
一值,用于将信息与请求控制源相关联。
配置内容目标
您必须为与 DFC PIC 过滤标准匹配的数据包指定目标。要配置内容目标,请在 content-destination
层级添加语句 [edit services dynamic-flow-capture capture-group client-name]
:
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
分配唯content-destination
identifier
一的。您还必须指定其 IP 地址,并可以选择包含附加设置:
address
—DFC PIC 接口在匹配的数据包上附加带有此目标地址的 IP 报头(其自己的 IP 报头和内容完好无损)并将其发送到内容目标。ttl
-IP-IP 报头的生存时间 (TTL) 值。默认情况下,TTL 值为 255。其范围为 0 到 255。拥塞阈值 — 您可以指定每个内容目标带宽限制,以控制 DFC PIC 在拥塞期间产生的流量。阈值分为两对:
hard-limit
和和hard-limit-target
和soft-limit
soft-limit-clear
。您可以选择包括其中一个或两个配对设置。所有四个设置都是 10 秒平均带宽值(以位/秒计算)。通常soft-limit-clear
<soft-limit
<hard-limit-target
<hard-limit
。当内容带宽超过soft-limit
设置时:拥塞通知消息会发送到指向此内容目标的每个控制源
如果为配置
syslog
了控制源,将生成系统日志消息。设置锁定,表示控制源已收到通知。在清除锁定之前,当带宽降到该值以下
soft-limit-clear
时,不会发送其他通知消息。
当带宽超过值时
hard-limit
:Junos Capture Vision 会开始删除标准,直到带宽降到该值以下
hard-limit-target
。对于删除的每个标准,都会将“拥塞”通知发送至该标准的控制源。
如果为配置
syslog
了控制源,将生成一条日志消息。
应用程序使用以下数据评估删除标准:
优先级 — 调整控制源最小优先级后,先清除优先级较低的标准。
带宽 — 首先清除更高的带宽标准。
时间戳 - 首先清除较新的标准。
配置控制源
您可以配置有关控制源的信息,包括允许的源地址和目标以及身份验证密钥值。要配置控制源信息,请在 control-source
层次结构级别添加语句 [edit services dynamic-flow-capture capture-group client-name]
:
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
为语句 control-source
分配唯 identifier
一的。您还可以为以下语句包括值:
allowed-destinations
-此控制源可请求在其控制协议请求中发送匹配数据的一个或多个内容目标标识符。如果未指定任何内容目标,则允许所有可用目标。minimum-priority
-分配给控制源的值,该值被添加到 DTCP ADD 请求中标准优先级,以确定标准的总优先级。值越低,优先级越高。默认情况下,minimum-priority
其值为 0,允许的范围为 0 到 254。notification-targets
—DFC PIC 接口可以记录有关控制协议相关事件和其他事件(如 PIC 启动消息)的信息的一个或多个目标。您可以为每个notification-target
条目配置一个 IPaddress
值和一个用户数据报协议 (UDP)port
编号。service-port
—控制协议请求定向到的 UDP 端口号。未定向到此端口的控制协议请求会被 DFC PIC 接口丢弃。shared-key
—控制源和 DFC PIC 监控平台之间共享的 20 字节身份验证密钥值。source-addresses
—一个或多个允许的 IP 地址,控制源可以从这些地址向 DFC PIC 监控平台发送控制协议请求。这些是 /32 地址。
配置 DFC PIC 接口
您可以指定与在同一捕获组中配置的控制源进行交互的接口。监控服务 III PIC 只能属于一个捕获组,并且只能为每个组配置一个 PIC。
要配置 DFC PIC 接口,请在 interfaces
层级添加语句 [edit services dynamic-flow-capture capture-group client-name]
:
interfaces interface-name;
您可以在层级使用 dfc-
标识符 [edit interfaces]
指定 DFC 接口。您必须在每个 DFC PIC 接口上指定三个 0
逻辑单元、编号、 1
和 2
。您无法配置任何其他逻辑接口。
unit 0
进程控制协议请求和响应。unit 1
接收受监控的数据。unit 2
将匹配的数据包传输至目标地址。
以下示例显示了设置 DFC PIC 接口并拦截 IPv4 和 IPv6 流量所需的配置:
[edit interfaces dfc-0/0/0] unit 0 { family inet { filter { output high; #Firewall filter to route control packets # through 'network-control' forwarding class. Control packets # are loss sensitive. } address 10.1.0.0/32 { # DFC PIC address destination 10.36.100.1; # DFC PIC address used by # the control source to correspond with the # monitoring platform } } unit 1 { # receive data packets on this logical interface family inet; # receive IPv4 traffic for interception family inet6; # receive IPv6 traffic for interception } unit 2 { # send out copies of matched packets on this logical interface family inet; }
此外,您必须将 Junos Capture Vision 配置为在正确的机箱位置的 DFC PIC 上运行。以下示例显示了层级的 [edit chassis]
此配置:
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
配置防火墙过滤器
您可以指定防火墙过滤器,通过网络控制转发类路由控制数据包。控制数据包对丢失敏感。要配置防火墙过滤器,请在层次结构级别使用以下 [edit]
语句:
firewall { family inet { filter high { term all { then forwarding-class network-control; } } } }
配置系统日志记录
默认情况下,控制协议活动记录为单独的系统日志工具 dfc
。要修改记录控制协议活动的文件名或级别,在层次结构级别使用以下语句 [edit syslog]
:
file dfc.log { dfc any; }
要取消日志记录,请将语句 no-syslog
包含在 [edit services dynamic-flow-capture capture-group client-name control-source identifier]
层次结构级别:
no-syslog;
Junos Capture Vision (dfc-
) 接口支持多达 10,000 个过滤标准。当向接口中添加 10,000 多个过滤器时,这些过滤器将被接受,但会生成系统日志消息,表明过滤器已满。
配置 Junos 捕获愿景事件的跟踪选项
通过在层次结构级别包含语句[edit services dynamic-flow-capture]
,traceoptions
可以为 Junos Capture Vision 事件启用跟踪选项。
包括 traceoptions
配置时,您还可以指定跟踪文件名、追踪文件的最大数量、追踪文件的最大大小以及所有用户是否可以读取跟踪文件。
要为 Junos Capture Vision 事件启用跟踪选项,请包括以下层级的配置 [edit services dynamic-flow-capture]
:
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
要禁用对 Junos Capture Vision 事件的跟踪,请 traceoptions
从 [edit services dynamic-flow-capture]
层次结构级别删除配置。
在早于 9.2R1 的 Junos OS 版本中,默认启用对 Junos Capture Vision 的跟踪,并将日志保存到/var/log/dfcd 目录中。
配置阈值
您可以选择为以下情况下指定阈值,其中警告消息会记录在系统日志中:
DFC PIC 接口的输入数据包速率
DFC PIC 接口上的内存使用情况
要配置阈值,请在 input-packet-rate-threshold
层级添加或 pic-memory-threshold
语句 [edit services dynamic-flow-capture capture-group client-name]
:
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
如果未配置这些语句,则不会记录任何阈值消息。为整个捕获组配置阈值设置。
语句的可配置值 input-packet-rate-threshold
范围为 0 到 1 Mpps。PIC 会相应地校准值:监控服务 III PIC 将阈值上限为 300 Kpps,而多服务 400 PIC 使用完全配置的值。语句的值 pic-memory-threshold
范围为 0% 到 100%。
限制数据包的重复数量
您可以选择指定 DFC PIC 允许从单个输入数据包生成的最大重复数据包数。此限制旨在减少数据包发送至多个目标时 PIC 上的负载。达到最大数量后,重复项将发送到具有最高标准类优先级的目标。在优先级相等的类别中,将首先选择具有早期时间戳的标准。
要配置此限制,请在 max-duplicates
层次结构级别添加语句 [edit services dynamic-flow-capture capture-group client-name]
:
max-duplicates number;
您还可以通过在层次结构级别包含 g-max-duplicates
语句 [edit services dynamic-flow-capture]
,对 DFC PIC 应用全局限制:
g-max-duplicates number;
默认情况下,最大重复数设置为 3。允许的值范围为 1 到 64。单个捕获组的设置 max-duplicates
将覆盖全局设置。
此外,您还可以指定应用程序向因达到阈值而被丢弃重复的受影响的控制源发送通知的频率。您可以在与最大重复设置相同的级别配置此设置,在 duplicates-dropped-periodicity
层次结构级别包含语句 [edit services dynamic-flow-capture capture-group client-name]
或在 g-duplicates-dropped-periodicity
层次结构级别包含 [edit services dynamic-flow-capture]
语句:
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
与语句一 g-max-duplicates
样,语句 g-duplicates-dropped-periodicity
会为应用程序全局应用设置,并通过在捕获组级别应用的设置来覆盖。默认情况下,发送通知的频率为 30 秒。