配置 Junos Capture Vision
配置捕获组
捕获组定义 Junos Capture Vision 配置信息的配置文件。静态配置包括有关控制源、内容目标和通知目标的信息。通过使用控制协议与控制源交互来添加动态配置。
要配置捕获组,请在[edit services dynamic-flow-capture]层次结构级别包含语capture-group句:
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
若要指定 capture-group,请为其分配一个唯一 client-name 值,用于将信息与请求控件源相关联。
配置内容目标
您必须为符合 DFC PIC 过滤条件的数据包指定目标。要配置内容目标,请在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含content-destination语句:
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
分配 content-destination 唯一的 identifier.您还必须指定其 IP 地址,并且可以选择包含其他设置:
address— DFC PIC 接口在匹配的数据包上附加一个带有此目标地址的 IP 报头(其自己的 IP 报头和内容保持不变),并将其发送到内容目标。ttl—IP-IP 报头的生存时间 (TTL) 值。默认情况下,TTL 值为 255。其范围为 0 到 255。拥塞阈值 — 您可以指定每个内容的目标带宽限制,以控制 DFC PIC 在拥塞期间产生的流量。阈值排列成两对:
hard-limit和hard-limit-target、 和soft-limitsoft-limit-clear。您可以选择包含这些配对设置中的一个或两个。所有四个设置都是 10 秒平均带宽值,以位/秒为单位。通常soft-limit-clear<soft-limit<hard-limit-target<hard-limit.当内容带宽超过设置时soft-limit:拥塞通知消息将发送到指向此内容目标的条件的每个控制源
如果控制源配置为
syslog,则会生成系统日志消息。设置了闩锁,表示已通知控制源。在清除闩锁之前,当带宽低于该
soft-limit-clear值时,不会发送其他通知消息。
当带宽超过
hard-limit该值时:Junos Capture Vision 开始删除条件,直到带宽降至该值以下
hard-limit-target。对于删除的每个条件,都会向该条件的控制源发送 CongestionDelete 通知。
如果控制源配置为
syslog,则会生成日志消息。
应用程序使用以下数据评估删除标准:
优先级 - 在调整控制源最小优先级后,首先清除优先级较低的条件。
带宽 — 首先清除带宽条件较高。
时间戳 - 首先清除较新的条件。
配置控制源
您可以配置有关控制源的信息,包括允许的源地址和目标以及身份验证密钥值。要配置控制源信息,请在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含语control-source句:
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
为语句分配 control-source 唯一的 identifier.您还可以包含以下语句的值:
allowed-destinations- 一个或多个内容目标标识符,此控制源可请求在其控制协议请求中将匹配数据发送到该标识符。如果未指定任何内容目标,则允许所有可用目标。minimum-priority- 分配给控制源的值,该值被添加到 DTCP ADD 请求中条件的优先级中,以确定条件的总优先级。该值越小,优先级越高。默认情况下,minimum-priority其值为 0,允许的范围为 0 到 254。notification-targets- 一个或多个目标,DFC PIC 接口可以记录有关控制协议相关事件和其他事件(如 PIC 引导消息)的信息。您可以使用 IPaddress值和用户数据报协议 (UDP)port编号配置每个notification-target条目。service-port- 控制协议请求定向到的 UDP 端口号。DFC PIC 接口会丢弃未定向到此端口的控制协议请求。shared-key—在控制源和 DFC PIC 监控平台之间共享的 20 字节身份验证密钥值。source-addresses- 一个或多个允许的 IP 地址,控制源可从这些地址向 DFC PIC 监控平台发送控制协议请求。这些是 /32 地址。
配置 DFC PIC 接口
指定与同一捕获组中配置的控制源交互的接口。监控服务 III PIC 只能属于一个捕获组,并且只能为每个组配置一个 PIC。
要配置 DFC PIC 接口,请在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含以下interfaces语句:
interfaces interface-name;
您可以使用层[edit interfaces]级的dfc-标识符指定 DFC 接口。您必须在每个 DFC PIC 接口上指定三个逻辑单元,编号为 0、 1和 2。您无法配置任何其他逻辑接口。
unit 0进程控制协议请求和响应。unit 1接收受监控的数据。unit 2将匹配的数据包传输到目标地址。
以下示例显示了设置 DFC PIC 接口并拦截 IPv4 和 IPv6 流量所需的配置:
[edit interfaces dfc-0/0/0]
unit 0 {
family inet {
filter {
output high; #Firewall filter to route control packets
# through 'network-control' forwarding class. Control packets
# are loss sensitive.
}
address 10.1.0.0/32 { # DFC PIC address
destination 10.36.100.1; # DFC PIC address used by
# the control source to correspond with the
# monitoring platform
}
}
unit 1 { # receive data packets on this logical interface
family inet; # receive IPv4 traffic for interception
family inet6; # receive IPv6 traffic for interception
}
unit 2 { # send out copies of matched packets on this logical interface
family inet;
}
此外,您必须将 Junos Capture Vision 配置为在正确的机箱位置的 DFC PIC 上运行。以下示例在 [edit chassis] 层次结构级别显示了此配置:
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
配置防火墙过滤器
您可以指定防火墙过滤器,以便通过网络控制转发类路由控制数据包。控制数据包对丢包敏感。要配置防火墙过滤器,请在 [edit] 层次结构级别包含以下语句:
firewall {
family inet {
filter high {
term all {
then forwarding-class network-control;
}
}
}
}
配置系统日志记录
默认情况下,控制协议活动记录为单独的系统日志工具 dfc。要修改记录控制协议活动的文件名或级别,请在 [edit syslog] 层次结构级别包括以下语句:
file dfc.log {
dfc any;
}
要取消日志记录,请在[edit services dynamic-flow-capture capture-group client-name control-source identifier]层次结构级别包含语no-syslog句:
no-syslog;
Junos Capture Vision (dfc-) 接口支持多达 10,000 个过滤条件。当向接口添加的过滤器超过 10,000 个时,过滤器将被接受,但会生成系统日志消息,指示过滤器已满。
配置 Junos Capture Vision 事件的跟踪选项
您可以通过在[edit services dynamic-flow-capture]层次结构级别包含traceoptions语句来为 Junos Capture Vision 事件启用跟踪选项。
包含 traceoptions 配置时,还可以指定跟踪文件名、最大跟踪文件数、跟踪文件的最大大小以及跟踪文件是否可被所有用户读取。
要为 Junos Capture Vision 事件启用跟踪选项,请在 [edit services dynamic-flow-capture] 层次结构级别包括以下配置:
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
要禁用对 Junos Capture Vision 事件的跟踪,请从[edit services dynamic-flow-capture]层次结构级别中删除配置traceoptions。
在早于 9.2R1 的 Junos OS 版本中,默认情况下会启用对 Junos Capture Vision 的跟踪,并将日志保存到 /var/log/dfcd 目录中。
配置阈值
您可以选择性地为以下情况指定阈值,在这些情况下,警告消息将记录在系统日志中:
向 DFC PIC 接口输入数据包速率
DFC PIC 接口上的内存使用情况
要配置阈值,请在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含 input-packet-rate-threshold 或 pic-memory-threshold 语句:
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
如果未配置这些语句,则不会记录阈值消息。阈值设置是为整个捕获组配置的。
语句的可配置值 input-packet-rate-threshold 范围为 0 到 1 Mpps。PIC 相应地校准值;监控服务 III PIC 将阈值上限为 300 Kpps,多服务 400 PIC 使用完全配置值。语句的值 pic-memory-threshold 范围为 0% 到 100%。
限制数据包的重复数
您可以选择性地指定允许 DFC PIC 从单个输入数据包生成的最大重复数据包数。此限制旨在减少将数据包发送到多个目标时 PIC 上的负载。当达到最大数量时,重复项将发送到具有最高标准类优先级的目标。在优先级相等的类中,首先选择具有较早时间戳的条件。
要配置此限制,请在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含语max-duplicates句:
max-duplicates number;
您还可以通过在[edit services dynamic-flow-capture]层次结构级别包含g-max-duplicates语句,全局对 DFC PIC 应用限制:
g-max-duplicates number;
默认情况下,最大重复项数设置为 3。允许的值范围为 1 到 64。单个捕获组的 max-duplicates 设置将覆盖全局设置。
此外,还可以指定应用程序向受影响的控制源发送通知的频率,即由于已达到阈值而删除重复项。您可以通过在[edit services dynamic-flow-capture capture-group client-name]层次结构级别包含语句或g-duplicates-dropped-periodicity在[edit services dynamic-flow-capture]层次结构级别包含duplicates-dropped-periodicity语句,在与最大重复数设置相同的级别上配置此设置:
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
与语句一样 g-max-duplicates ,语 g-duplicates-dropped-periodicity 句为应用程序全局应用设置,并由在捕获组级别应用的设置覆盖。默认情况下,发送通知的频率为 30 秒。