Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:将流量复制到 PIC,而 M、MX 或 T 系列路由器将数据包转发到原始目标

通过流量采样,您可以将流量复制到物理接口卡 (PIC),同时路由器将数据包转发到其原始目的地。此示例介绍如何将路由器配置为使用取样进程在路由引擎上执行 采样 。对于此方法,您可以使用包含 then sample 语句的匹配术语来配置过滤器(输入或输出)。此外,对于基于 VPN 路由和转发 (VRF) 路由引擎的采样,请配置映射到某个接口的 VRF 路由实例。每个 VRF 实例都与一个转发表相对应。接口上的路由会进入相应的转发表。

对于基于 VRF 路由引擎的采样,内核会根据收到的数据包的入口接口索引查询正确的 VRF 路由表。对于在 VRF 中配置的接口,取样的数据包包含正确的输入和输出接口 SNMP 索引、源和目标 AS 编号,以及源和目标掩码。

注意:

在 Junos OS 10.1 版中,基于 VRF 路由引擎的采样仅在 IPv4 流量上进行。您不能在 IPv6 流量或 MPLS 标签交换路径上使用基于路由引擎的采样。

此示例介绍如何在四路由器拓扑中的一个路由器上配置和验证基于 VRF 路由引擎的采样。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 10.1 或更高版本

  • M 系列、MX 系列或 T 系列路由器

在路由器上配置基于 VRF 路由引擎的采样之前,请确保配置采样的路由器之间有活动连接。此外,您需要了解 VRF 来配置构成采样配置基础的接口和路由实例:并了解 BGP、MPLS 和 OSPF 协议以配置网络中的其他路由器以启动采样配置。

概述和拓扑

此示例中的场景说明了在四路由器网络中 PE1 路由器上配置的基于 VRF 路由引擎的采样。CE 路由器使用 BGP 作为路由协议,与 PE 路由器通信。MPLS LSP 在 PE 路由器之间传递流量。来自 CE1 路由器的数据包在 PE1 路由器上取样。常规流量会转发到原始目标(CE2 路由器)。

拓扑

图 1:基于路由引擎的采样网络拓扑 Routing Engine-Based Sampling Network Topology

配置

在此配置示例中,基于 VRF 路由引擎的采样配置在 PE1 路由器上,该路由器对通过接口的流量和 VRF 中配置的路由进行采样。包括其他三个路由器上的配置,以显示在网络环境中工作的 PE1 路由器上的采样配置。

要为网络示例配置基于 VRF 路由引擎的采样,请执行以下操作:

配置 CE1 路由器

逐步过程

在这一步中,将为 CE1 路由器配置接口、路由选项、协议和策略选项。要配置 CE1 路由器:

  1. 配置一个带有两个 IP 地址的接口。一个地址用于传输 PE1 路由器的流量;另一个地址是检查流量是否流向 CE2 路由器:

  2. 配置自治系统,在 BGP 对等方之间建立连接:

  3. 将 BGP 配置为 CE 路由器和 PE 路由器之间的路由协议:

  4. 配置确保 CE 路由器交换路由信息的策略。在此示例中,路由器 CE1 与路由器 CE2 交换路由信息:

结果

以下输出显示 CE1 路由器的配置:

配置 PE1 路由器

逐步过程

在这一步中,您将配置包含语句的 then sample 匹配术语的过滤器,并将过滤器应用于入口接口。您还可以使用导入和导出策略配置 VRF 路由实例。此外,您还可以为 PE1 路由器配置接口、转发选项、路由选项、协议和策略选项。要配置 PE1 路由器:

  1. 创建应用于要取样的逻辑接口的 fw 防火墙过滤器:

  2. 配置两个接口,一个接口用于连接到 CE1 路由器 (ge-2/0/2),另一个用于连接到 PE2 路由器 (ge-2/0/0):

  3. 在连接到 PE2 路由器 (ge-2/0/0) 的接口上启用 MPLS:

  4. 在连接到 CE1 路由器的接口上,应用防火墙配置中配置的 fw 过滤器:

  5. 配置管理 (fxp0) 和环路 (lo0) 接口:

  6. 配置 /var/log 目录中的取样日志文件以记录流量采样:

  7. 指定流量采样的采样速率和阈值:

  8. 指定活动和非活动流期,以及发送受监控信息的路由器 (198.51.100.2):

  9. 配置自治系统,在 BGP 对等方之间建立连接:

  10. 配置 RSVP 以支持 PE 路由器之间的 MPLS 标签交换路径 (LSP):

  11. 配置从 PE1 路由器到 PE2 路由器的 MPLS LSP:

  12. 为 PE 路由器配置内部 BGP 组。包括该 family inet-vpn unicast 语句,使 BGP 能够携带网络层可访问性信息 (NLRI) 参数,并使 BGP 对等方仅携带单播路由进行转发:

  13. 将 OSPF 配置为内部网关协议 (IGP)并计算 MPLS LSP:

  14. 创建在策略选项配置中应用的扩展社区:

  15. 定义在路由实例配置中的语句中vrf-export应用的 vpna 导出路由策略。此外,应用从中学习路由的 vpna-comm 社区:

  16. 定义路由实例配置中的语句中vrf-import应用的 vpna 导入路由策略。此外,应用从中学习路由的 vpna-comm 社区:

  17. 配置 VRF 路由实例,以便从提供商边缘提供商边缘 (PE-PE) 会话接收的路由可以导入实例的任何 VRF 辅助路由表中:

结果

检查 PE1 路由器的配置结果:

配置 PE2 路由器

逐步过程

在这一步中,您将配置包含语句的 then sample 匹配术语的过滤器,并将过滤器应用于入口接口。您还可以使用导入和导出策略配置 VRF 路由实例。此外,您还可以为 PE2 路由器配置接口、转发选项、路由选项、协议和策略选项。要配置 PE2 路由器:

  1. 创建应用于要取样的逻辑接口的 fw 防火墙过滤器:

  2. 配置两个接口,一个接口连接到 CE2 路由器 (ge-3/1/2),另一个连接到 PE1 路由器 (ge-3/1/0):

  3. 在连接到 PE1 路由器 (ge-3/1/0) 的接口上启用 MPLS:

  4. 在连接到 CE2 路由器的接口上,应用防火墙配置中配置的 fw 过滤器:

  5. 配置 /var/log 目录中的取样日志文件以记录流量采样:

  6. 指定流量采样的采样速率和阈值:

  7. 指定活动和非活动流期,以及发送受监控信息的路由器 (198.51.100.2):

  8. 配置自治系统,在 BGP 对等方之间建立连接:

  9. 配置 RSVP 以支持 PE 路由器之间的 MPLS 标签交换路径 (LSP):

  10. 配置从 PE2 路由器到 PE1 路由器的 MPLS LSP:

  11. 为 PE 路由器配置内部 BGP 组。包括该 family inet-vpn unicast 语句,使 BGP 能够携带网络层可访问性信息 (NLRI) 参数,并使 BGP 对等方仅携带单播路由进行转发:

  12. 将 OSPF 配置为内部网关协议 (IGP)并计算 MPLS LSP:

  13. 创建在策略选项配置中应用的扩展社区:

  14. 定义在路由实例配置中的语句中vrf-export应用的 vpna 导出路由策略。此外,应用从中学习路由的 vpna-comm 社区:

  15. 定义路由实例配置中的语句中vrf-import应用的 vpna 导入路由策略。此外,应用从中学习路由的 vpna-comm 社区:

  16. 配置 VRF 路由实例,以便从提供商边缘提供商边缘 (PE-PE) 会话接收的路由可以导入实例的任何 VRF 辅助路由表中:

结果

检查 PE2 路由器的配置结果:

配置 CE2 路由器

逐步过程

在这一步中,您将为 CE2 路由器配置接口、路由选项、协议和策略选项。要配置 CE2 路由器:

  1. 配置一个带有两个 IP 地址的接口。一个地址用于传输 PE2 路由器的流量,另一个地址用于检查流量是否来自 CE1 路由器:

  2. 配置自治系统,在 BGP 对等方之间建立连接:

  3. 将 BGP 配置为 CE 和 PE 路由器之间的路由协议:

  4. 配置确保 CE 路由器交换路由信息的策略。在此示例中,路由器 CE2 与路由器 CE1 交换路由信息:

结果

以下输出显示 CE2 路由器的配置:

验证

完成四个路由器的配置后,可以验证流量是否从 CE1 路由器流向 CE2 路由器,并观察来自两个位置的取样流量。要确认配置工作正常,请执行以下任务:

验证 CE 路由器之间的流量

目的

ping 使用命令验证 CE 路由器之间的流量。

行动

从 CE1 路由器,向 ping CE2 路由器发出命令:

意义

命令的 ping 输出显示 ping 命令已成功。流量在 CE 路由器之间流动。

验证取样流量

目的

您可以使用 CLI 中的命令观察取样流量,或者使用命令从路由器 shell 观察tail –f /var/log/sampled取样流量show log sampled。此外,您还可以在流流流中收集日志。两个命令的输出和流收集器中都显示相同的信息。有关使用流收集器的信息,请参阅“向流收集器接口发送 cflowd 记录”和“示例:在 M、MX 或 T 系列路由器上配置流收集器接口”。

行动

从 PE1 路由器,使用 show log sampled 命令:

意义

命令的 show log sampled 输出显示 PE1 路由器上传入和传出接口的正确 SNMP 索引。此外,两个 CE 路由器的自治系统的源地址和目标地址是正确的。

交叉验证取样流量

目的

您还可以使用 show interface interface-name-fpc/pic/port.unit-number | match SNMP 命令和 show route route-name detail 命令,仔细检查取样流量是否为正确的流量。

行动

以下输出是 “验证取样流量” 任务中输出的交叉检查:

意义

命令的show interfaces ge-2/0/2.0 | match SNMP输出显示,如果Index 字段的值 (503) 与“验证取样流量”任务中命令的show log sampled输出相同,则 SNMP 表示正在采样预期的流量。

命令的show route 10.4.4.4 detail输出显示,源地址 10.4.4.4、源掩码 (16) 和源 AS (65000) 与“验证取样流量”任务中命令的show log sampled输出值相同,表示正在采样预期的流量。