配置内联主动流监控,以便在 MX、vMX 和 T Series 路由器、EX 系列交换机、NFX 系列设备和 SRX 系列防火墙上使用 IPFIX 流模板
使用 IPFIX,您可以定义适用于 IPv4 流量或 IPv6 流量的流记录模板。模板会定期传输到收集器,收集器不会影响路由器配置。您可以定义模板刷新率、流活动超时和非活动超时。
如果要为多个协议系列(例如,IPv4 和 IPv6)发送流记录,则每个协议系列流都有一个唯一的观察域 ID。以下部分包含其他信息:
从 Junos OS 17.3R1 版开始,QFX10002交换机支持 IPFIX 流模板。
从 Junos OS 17.4R1 版开始,QFX10008 和 QFX10016 交换机支持 IPFIX 流模板。
从 Junos OS 版本 19.4R1 开始,SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 虚拟防火墙 和 vSRX3.0 设备支持 IPFIX 流模板。
从 Junos OS 20.1R1 版开始,SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备支持 IPFIX 流模板。
从 Junos OS 20.4R1 版开始,NFX150、NFX250 NextGen 和 NFX350 设备支持 IPFIX 流模板。
(仅限 SRX 防火墙)内联主动流监控根据会话对流执行作。当为给定会话启用了服务卸载 (SOF) 和/或 PMI 时,该会话不支持内联主动流监控。如果会话由 PMI 或 SOF 处理,则将禁用该流的内联主动流监控。
配置 IPFIX 模板属性
要定义 IPFIX 模板,请在 [edit services flow-monitoring version-ipfix] 层次结构级别包括以下语句:
[edit services flow-monitoring version-ipfix] template template-name { options-template-id template-id observation-domain-id flow-active-timeout seconds; flow-inactive-timeout seconds; option-refresh-rate packets packets seconds seconds; template-refresh-rate packets packets seconds seconds; (ipv4-template | ipv6-template); }
以下详细信息适用于配置语句:
-
您可以通过包含
template template-name语句来为每个模板分配一个唯一的名称。 -
然后,您可以通过包含
ipv4-template或ipv6-template来为适当的流量类型指定每个模板。 -
在模板定义中,可以选择包含和
flow-inactive-timeout语句的值flow-active-timeout。这些语句在模板定义中使用时具有特定的默认值和范围值;默认值为 60 秒,范围为 10 到 600 秒。 -
还可以在模板定义中包括 和
template-refresh-rate语句的设置option-refresh-rate。对于这两个属性,可以包括计时器值(以秒为单位)或数据包计数(以数据包数为单位)。对于选项seconds,默认值为 600,范围为 10 到 600。对于选项packets,默认值为 4800,范围为 1 到 480,000。 -
要过滤介质接口上的 IPv6 流量,支持以下配置:
interfaces interface-name { unit 0 { family inet6 { sampling { input; output; } } } }
限制
以下限制适用于 IPFIX 模板:
-
未对出站路由引擎流量进行采样。防火墙过滤器将作为出口接口的输出应用,用于对数据包进行采样并导出数据。对于传输流量,出口采样工作正常。对于内部流量,下一跃点安装在数据包转发引擎中,但不会导出采样数据包。
-
只有在路由记录重新同步作完成(需要 120 秒)后,才会创建流。
-
VLAN ID 字段将在创建新流记录时更新,因此,创建记录后 VLAN ID 的任何更改可能不会在记录中更新。
自定义 IPFIX 流模板的模板 ID、观察域 ID 和源 ID
从 Junos OS 14.1 版开始,您可以定义适用于 IPv4 流量、IPv6 流量、MPLS 流量、IPv4 和 MPLS 流量组合或对等方 AS 计费流量的 IPFIX 流记录模板。模板和模板中包含的字段会定期传输到收集器,收集器无需了解路由器配置。您可以指定版本 9 和 IPFIX 模板的唯一标识符。模板的标识符在传输会话和观察域的组合中在本地是唯一的。模板 ID 0 到 255 是为模板集、选项模板集和其他集保留的,以供将来使用。数据集的模板 ID 编号为 256 到 65535。通常,模板中的此信息元素或字段用于定义模板中其他信息元素的特征或属性。重新启动模板导出过程后,可以重新分配模板 ID。
所有具有 MPC 的路由器都支持此功能来配置模板 ID、选项模板 ID、观察域 ID 和源 ID。
相应的数据集和选项数据集分别在 set ID 字段中包含模板 ID 和选项模板 ID 的值。此方法使收集器能够将数据记录与模板记录进行匹配。
有关为版本 9 和 IPFIX 流指定源 ID、观察域 ID、模板 ID 和选项模板 ID 的更多信息,请参阅 为版本 9 和 IPFIX 流配置观察域 ID 和源 ID ,以及 为版本 9 和 IPFIX 流配置模板 ID 和选项模板 ID。
IPFIX 模板
有关 IPFIX IPv4 和 IPv6 模板中包含的字段定义的信息,请参阅 IPFIX 和版本 9 模板。
验证
IPFIX 支持以下 show 命令:
-
show services accounting flow inline-jflow fpc-slot fpc-slot -
show services accounting errors inline-jflow fpc-slot fpc-slot -
show services accounting status inline-jflow fpc-slot fpc-slot
示例:配置 IPFIX 流模板和流采样
以下示例显示了 IPFIX 模板配置:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 70;
template-refresh-rate seconds 30;
option-refresh-rate seconds 30;
ipv4-template;
}
}
}
}
chassis;
fpc 0 {
sampling-instance s1;
}
以下示例应用 IPFIX 模板以启用对流量进行采样以进行计费:
forwarding-options {
sampling {
instance {
s1 {
input {
rate 10;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 198.51.100.1;
}
}
}
}
}
}
}
示例:配置内联主动流监控版本 9 流模板和流采样
以下示例显示内联主动流监控版本 9 IPv4 模板配置:
services {
flow-monitoring {
version9 {
template ipv4-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
ipv4-template;
}
}
}
}
以下示例显示内联主动流监控版本 9 IPv6 模板配置:
services {
flow-monitoring {
version9 {
template ipv6-v9 {
flow-active-timeout 60;
flow-inactive-timeout 15;
template-refresh-rate {
packets 1000;
}
option-refresh-rate {
seconds 100;
}
Ipv6-template;
}
}
}
}
以下示例显示内联主动流监控版本 9 IPv4 采样流量和导出配置:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 2055;
version9 {
template {
ipv4-v9;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
以下示例显示内联主动流监控版本 9 IPv6 采样流量和导出配置:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-v9;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
以下示例显示了内联主动流监控版本 9 采样接口绑定(使用接口):
interfaces {
ge-0/0/0 {
unit 0 {
family inet { // 'inet6' for IPv6 protocol
sampling {
input;
output;
}
}
}
}
以下示例显示了内联主动流监控版本 9 采样接口与防火墙过滤器绑定(使用过滤器):
firewall {
family inet { // 'inet6' for IPv6 protocol
filter ipv4_sample {
term default {
then {
accept;
sample;
}
}
}
}
示例:配置 IPFIX 流模板和流采样
以下示例显示了 IPFIX IPv4 模板配置:
flow-monitoring {
version-ipfix {
template ipv4-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
ipv4-template;
}
}
}
以下示例显示了 IPFIX IPv6 模板配置:
flow-monitoring {
version-ipfix {
template ipv6-ipfix {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 1000;
seconds 30;
}
option-refresh-rate {
packets 500;
seconds 60;
}
Ipv6-template;
}
}
}
以下示例显示了 IPFIX IPv4 采样流量和导出配置:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 10.207.18.113 {
port 4739;
version-ipfix {
template {
ipv4-ipfix;
}
}
}
inline-jflow {
source-address 10.207.18.232;
flow-export-rate 2;
}
}
}
}
}
}
}
以下示例显示 IPFIX IPv6 采样流量和导出配置:
forwarding-options {
sampling {
traceoptions {
file testsample size 1g world-readable;
flag all;
}
instance {
sample-ins1 {
input {
rate 1;
run-length 0;
}
family inet {
output {
flow-server 2001::2 {
port 4739;
version9 {
template {
ipv6-ipfix;
}
}
}
inline-jflow {
source-address 2001::1;
flow-export-rate 2;
}
}
}
}
}
}
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。