示例:为 MX 系列路由器上的 NAT 事件配置流监控格式的日志,以便进行故障排除
您可以将 MX 系列路由器与 MS-MPC、MS-MIC 和 MX-SPC3 进行配置,以便使用 Junos Traffic Vision(以前称为 Jflow)版本 9 或 IPFIX(版本 10)模板格式来记录网络地址转换 (NAT) 事件。这种为 NAT 事件(如 NAT44 和 NAT64 会话创建和删除以及 NAT44 和 NAT64 绑定信息库事件)生成流监控记录的方法,能够实现 NAT 流量的内聚和简化分析以及 NAT 相关问题的故障排除。
在设备上安装并配置了 Junos OS 扩展提供程序包的 MX 系列路由器,以及 MS-MPC、MS-PIC 和 MX-SPC3 上,支持此功能。配备 MX 系列路由器的 MS-DPC 不支持此功能。
此示例介绍如何在 MS-MIC、MS-MPC 和 MX-SPC3 的服务集级别为服务集级别的 NAT 事件以流监视格式配置流监视日志生成,并包含以下部分:
此配置示例用于接口样式服务集。
要求
此示例使用以下硬件和软件组件:
一台带有 MS-MPC、MS-MIC 或 MX-SPC3 的 MX 系列路由器
Junos OS 14.2R2 或更高版本(适用于 MX 系列路由器)
使用流模板生成日志消息,以便对 MS-MPC、MS-MIC 和 MX-SPC3 执行 NAT作
您可以配置以流监控格式记录 NAT 事件日志记录消息的机制。您可以为具有 MS-MPC、MS-MIC 或 MX-SPC3 的 MX 系列路由器上的特定 NAT 服务创建模板配置文件,也可以为适用于所有 NAT 服务的服务集创建模板配置文件。您必须定义模板配置文件,以特定流模板格式生成流监控日志,并将模板配置文件附加到服务集。您必须配置一个收集器或一组收集器,它们是从服务 PIC 或导出器接收 NAT 事件日志消息的主机。您需要将模板配置文件与收集器相关联。配置文件定义流监控记录模板的特征,例如流监控的版本(版本 9 或 IPFIX)、刷新率(以数据包或秒为单位),以及必须将流记录发送到收集器的服务或应用程序类型(在本例中为 NAT)。
假设一个示例部署,其中定义了两个收集器 c1 和 c2。这些收集器分为两组。收集器组 cg1 包含 c1 和 c2,收集器组 cg2 包含 c2。定义了两个名为 t1 和 t2 的模板配置文件。配置文件 t1 和 t2 分别与收集器 c1 和 c2 相关联。
这些配置文件描述用于传输日志的属性或属性,例如要使用的流模板格式、必须刷新的日志的速率以及必须将日志发送到指定收集器的服务或事件(如 NAT)。
配置
要为 NAT 事件启用流监控日志功能并配置日志到收集器的传输,请执行以下任务:
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [edit] 层级的 CLI 中:
配置服务集属性
set services service-set sset_0 interface-service service-interface ms-5/0/0.0
在接口上应用流监控日志服务
set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
为服务集启用和配置流监控日志
set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 set services jflow-log collector-group cg1 collector [ c1 c2 ] set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20 set services jflow-log template-profile t1 collector-group cg1
将模板配置文件与服务集相关联
set services service-set sset_0 jflow-log template-profile t1
程序
分步过程
要为 NAT 事件配置流监控模板日志的生成和传输:
创建服务集属性。
[edit] user@host# set services service-set sset_0 interface-service service-interface ms-5/0/0.0
定义要在接口上应用的流监控日志服务。
[edit] user@host# set interfaces ms-5/0/0 services-options jflow-log message-rate-limit 50000
配置收集器和收集器组。
[edit] user@host# set services jflow-log collector c1 destination-address 192.0.2.3 destination-port 1 source-ip 198.51.100.1 user@host# set services jflow-log collector c2 destination-address 203.0.113.5 destination-port 3 source-ip 198.51.100.2 user@host# set services jflow-log collector-group cg1 collector [ c1 c2 ] user@host# set services jflow-log collector-group cg2 collector c2
配置模板配置文件并将模板配置文件与收集器相关联。
[edit] user@host# set services jflow-log template-profile t1 collector c1 version ipfix template-type nat refresh-rate packets 20 seconds 20 user@host# set services jflow-log template-profile t2 collector c2 version v9 template-type nat refresh-rate packets 20 seconds 20
将模板配置文件与服务集相关联。
[edit] user @ host# set services service-set sset_0 jflow-log template-profile t1
结果
在配置模式下,输入show servicesshow services jflow-log、和show services service-set sset_0 jflow-log命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show services
service-set sset_0 {
interface-service {
service-interface ms-5/0/0;
}
}
[edit interfaces]
ms-5/0/0 {
services-options {
jflow-log {
message-rate-limit 50000;
}
}
}
user@host# show services jflow-log
collector c1 {
destination-address 192.0.2.3;
destination-port 1;
source-ip 198.51.100.1;
}
collector c2 {
destination-address 203.0.113.5;
destination-port 3;
source-ip 198.51.100.2;
}
collector-group cg1 {
collector [ c2 c1 ];
}
collector-group cg2 {
collector c2;
}
template-profile t2 {
collector c2;
template-type nat;
referesh-rate packets 20 seconds 20;
version v9;
}
template-profile t1 {
collector c1;
template-type nat;
referesh-rate packets 20 seconds 20;
version ipfix;
}
[edit]
user@host# show services service-set sset_0 jflow-log
template-profile t2;
验证
要确认配置工作正常,请执行以下作:
验证是否已生成流监控日志并已发送到收集器
目的
验证是否以定义的模板格式(如 IPFIX 或版本 9)生成流监控日志消息,并将其传输到为不同的 NAT作配置的收集器。
行动
在作模式下,使用命令 show services service-sets statistics jflow-log :
user@host> show services service-sets statistics jflow-log
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 36
Dropped: 0
Data records:
Sent: 2
Dropped: 0
在作模式下,使用命令 show services service-sets statistics jflow-log detail :
user@host> show services service-sets statistics jflow-log detail
Interface: ms-5/0/0
Rate limit: 1000
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
Service-set: sset_0
Unresolvable collectors: 0
Template records:
Sent: 48
Dropped: 0
Data records:
Sent: 4
Dropped: 0
NAT44 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 4
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Session logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 BIB logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Address Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT Port Exhausted logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Quota Exceeded logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 Address Bind logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT44 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
NAT64 PBA logs:
Template records:
Sent: 4
Dropped: 0 (socket send error: 0, no memory: 0)
Data records:
Sent: 0
Dropped: 0 (invalid data: 0, no memory: 0, above rate limit: 0)
意义
输出显示,将为不同的 NAT 事件生成与指定服务集和接口关联的流监控格式的日志消息。