Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 Junos 捕获愿景

配置捕获组

捕获组定义 Junos Capture Vision 配置信息的配置文件。静态配置包括有关控制源、内容目标和通知目标的信息。通过使用控制协议与控制源的交互,可以添加动态配置。

要配置捕获组,请在 capture-group 层级添加语句 [edit services dynamic-flow-capture]

要指定 capture-group,请为其分配一个唯 client-name 一值,用于将信息与请求控制源相关联。

配置内容目标

您必须为与 DFC PIC 过滤标准匹配的数据包指定目标。要配置内容目标,请在 content-destination 层级添加语句 [edit services dynamic-flow-capture capture-group client-name]

分配唯content-destinationidentifier一的。您还必须指定其 IP 地址,并可以选择包含附加设置:

  • address—DFC PIC 接口在匹配的数据包上附加带有此目标地址的 IP 报头(其自己的 IP 报头和内容完好无损)并将其发送到内容目标。

  • ttl-IP-IP 报头的生存时间 (TTL) 值。默认情况下,TTL 值为 255。其范围为 0 到 255。

  • 拥塞阈值 — 您可以指定每个内容目标带宽限制,以控制 DFC PIC 在拥塞期间产生的流量。阈值分为两对:hard-limit和和hard-limit-targetsoft-limitsoft-limit-clear。您可以选择包括其中一个或两个配对设置。所有四个设置都是 10 秒平均带宽值(以位/秒计算)。通常soft-limit-clear< soft-limit < hard-limit-target <hard-limit。当内容带宽超过soft-limit设置时:

    1. 拥塞通知消息会发送到指向此内容目标的每个控制源

    2. 如果为配置 syslog了控制源,将生成系统日志消息。

    3. 设置锁定,表示控制源已收到通知。在清除锁定之前,当带宽降到该值以下 soft-limit-clear 时,不会发送其他通知消息。

    当带宽超过值时 hard-limit

    1. Junos Capture Vision 会开始删除标准,直到带宽降到该值以下 hard-limit-target

    2. 对于删除的每个标准,都会将“拥塞”通知发送至该标准的控制源。

    3. 如果为配置 syslog了控制源,将生成一条日志消息。

    应用程序使用以下数据评估删除标准:

    • 优先级 — 调整控制源最小优先级后,先清除优先级较低的标准。

    • 带宽 — 首先清除更高的带宽标准。

    • 时间戳 - 首先清除较新的标准。

配置控制源

您可以配置有关控制源的信息,包括允许的源地址和目标以及身份验证密钥值。要配置控制源信息,请在 control-source 层次结构级别添加语句 [edit services dynamic-flow-capture capture-group client-name]

为语句 control-source 分配唯 identifier一的。您还可以为以下语句包括值:

  • allowed-destinations-此控制源可请求在其控制协议请求中发送匹配数据的一个或多个内容目标标识符。如果未指定任何内容目标,则允许所有可用目标。

  • minimum-priority-分配给控制源的值,该值被添加到 DTCP ADD 请求中标准优先级,以确定标准的总优先级。值越低,优先级越高。默认情况下, minimum-priority 其值为 0,允许的范围为 0 到 254。

  • notification-targets—DFC PIC 接口可以记录有关控制协议相关事件和其他事件(如 PIC 启动消息)的信息的一个或多个目标。您可以为每个 notification-target 条目配置一个 IP address 值和一个用户数据报协议 (UDP) port 编号。

  • service-port—控制协议请求定向到的 UDP 端口号。未定向到此端口的控制协议请求会被 DFC PIC 接口丢弃。

  • shared-key—控制源和 DFC PIC 监控平台之间共享的 20 字节身份验证密钥值。

  • source-addresses—一个或多个允许的 IP 地址,控制源可以从这些地址向 DFC PIC 监控平台发送控制协议请求。这些是 /32 地址。

配置 DFC PIC 接口

您可以指定与在同一捕获组中配置的控制源进行交互的接口。监控服务 III PIC 只能属于一个捕获组,并且只能为每个组配置一个 PIC。

要配置 DFC PIC 接口,请在 interfaces 层级添加语句 [edit services dynamic-flow-capture capture-group client-name]

您可以在层级使用 dfc- 标识符 [edit interfaces] 指定 DFC 接口。您必须在每个 DFC PIC 接口上指定三个 0逻辑单元、编号、 12。您无法配置任何其他逻辑接口。

  • unit 0 进程控制协议请求和响应。

  • unit 1 接收受监控的数据。

  • unit 2 将匹配的数据包传输至目标地址。

以下示例显示了设置 DFC PIC 接口并拦截 IPv4 和 IPv6 流量所需的配置:

此外,您必须将 Junos Capture Vision 配置为在正确的机箱位置的 DFC PIC 上运行。以下示例显示了层级的 [edit chassis] 此配置:

配置防火墙过滤器

您可以指定防火墙过滤器,通过网络控制转发类路由控制数据包。控制数据包对丢失敏感。要配置防火墙过滤器,请在层次结构级别使用以下 [edit] 语句:

配置系统日志记录

默认情况下,控制协议活动记录为单独的系统日志工具 dfc。要修改记录控制协议活动的文件名或级别,在层次结构级别使用以下语句 [edit syslog]

要取消日志记录,请将语句 no-syslog 包含在 [edit services dynamic-flow-capture capture-group client-name control-source identifier] 层次结构级别:

注意:

Junos Capture Vision (dfc-) 接口支持多达 10,000 个过滤标准。当向接口中添加 10,000 多个过滤器时,这些过滤器将被接受,但会生成系统日志消息,表明过滤器已满。

配置 Junos 捕获愿景事件的跟踪选项

通过在层次结构级别包含语句[edit services dynamic-flow-capture]traceoptions可以为 Junos Capture Vision 事件启用跟踪选项。

包括 traceoptions 配置时,您还可以指定跟踪文件名、追踪文件的最大数量、追踪文件的最大大小以及所有用户是否可以读取跟踪文件。

要为 Junos Capture Vision 事件启用跟踪选项,请包括以下层级的配置 [edit services dynamic-flow-capture]

要禁用对 Junos Capture Vision 事件的跟踪,请 traceoptions[edit services dynamic-flow-capture] 层次结构级别删除配置。

注意:

在早于 9.2R1 的 Junos OS 版本中,默认启用对 Junos Capture Vision 的跟踪,并将日志保存到/var/log/dfcd 目录中。

配置阈值

您可以选择为以下情况下指定阈值,其中警告消息会记录在系统日志中:

  • DFC PIC 接口的输入数据包速率

  • DFC PIC 接口上的内存使用情况

要配置阈值,请在 input-packet-rate-threshold 层级添加或 pic-memory-threshold 语句 [edit services dynamic-flow-capture capture-group client-name]

如果未配置这些语句,则不会记录任何阈值消息。为整个捕获组配置阈值设置。

语句的可配置值 input-packet-rate-threshold 范围为 0 到 1 Mpps。PIC 会相应地校准值:监控服务 III PIC 将阈值上限为 300 Kpps,而多服务 400 PIC 使用完全配置的值。语句的值 pic-memory-threshold 范围为 0% 到 100%。

限制数据包的重复数量

您可以选择指定 DFC PIC 允许从单个输入数据包生成的最大重复数据包数。此限制旨在减少数据包发送至多个目标时 PIC 上的负载。达到最大数量后,重复项将发送到具有最高标准类优先级的目标。在优先级相等的类别中,将首先选择具有早期时间戳的标准。

要配置此限制,请在 max-duplicates 层次结构级别添加语句 [edit services dynamic-flow-capture capture-group client-name]

您还可以通过在层次结构级别包含 g-max-duplicates 语句 [edit services dynamic-flow-capture] ,对 DFC PIC 应用全局限制:

默认情况下,最大重复数设置为 3。允许的值范围为 1 到 64。单个捕获组的设置 max-duplicates 将覆盖全局设置。

此外,您还可以指定应用程序向因达到阈值而被丢弃重复的受影响的控制源发送通知的频率。您可以在与最大重复设置相同的级别配置此设置,在 duplicates-dropped-periodicity 层次结构级别包含语句 [edit services dynamic-flow-capture capture-group client-name] 或在 g-duplicates-dropped-periodicity 层次结构级别包含 [edit services dynamic-flow-capture] 语句:

与语句一 g-max-duplicates 样,语句 g-duplicates-dropped-periodicity 会为应用程序全局应用设置,并通过在捕获组级别应用的设置来覆盖。默认情况下,发送通知的频率为 30 秒。