使用路由器、交换机或 NFX250 配置内联主动流监控
在数据包转发引擎上实施内联主动流监控。数据包转发引擎执行各种功能,如创建和更新流以及更新流记录。流记录以行业标准 IPFIX 或版本 9 格式发送。
在带有 MS-PIC 或 MS-DPC 的路由器上,IPv4 和 IPv6 分段得到准确处理。流量监控应用程序为每个分段流创建两个流。具有完整第 4 层信息的第一个分段形成第一个包含 5 元组数据的流,随后,与此流相关的所有分段数据包形成另一个流,其中第 4 层字段设置为零。
以下限制和限制适用于内联主动流监控功能:
-
在同一接口上同时配置 sFlow 和内联主动流监控会导致意外行为。因此,请在单独的接口上配置这些功能。
-
在同一接口上同时配置出口端口镜像和内联主动流监控会导致意外行为。因此,请在单独的接口上配置这些功能。
-
入口和出口采样被发送到相同的主机路径队列。队列中的数据包速率在入口和出口采样数据包之间共享。
-
转发类配置无效。导出记录数据包始终被视为控制帧,因此会被推送到网络控制队列。
-
如果多个内联主动流监控防火墙过滤器与一个流匹配,则仅执行第一个过滤器的作。
-
在入口采样中,如果目的端口位于聚合以太网接口上,则输出接口无效。
以下注意事项适用于内联主动流监控实例配置:
-
不支持采样运行长度和剪辑大小。
-
对于内联配置,收集器无法通过管理接口访问,如
fxp0。 -
内联主动流监控不支持
cflowd。因此,内联流监控不支持本地转储选项,该选项仅适用于 cflowd。 -
在 MX 系列路由器上启用新一代服务时,不支持内联主动流监控。
-
支持的收集器数量取决于设备:
-
在 Junos OS 16.2 版和 Junos OS 16.1R3 版及更低版本中,您只能在一个系列下配置一个收集器用于内联主动流监控。从 Junos OS 16.1R4 和 17.2R1 版开始,您最多可以在一个系列下配置四个收集器,用于内联主动流监控。从 Junos OS 演化版 20.3R1 开始,对于 PTX10003 和 PTX10008(使用 JNP10K-LC1201 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器来进行内联主动流监控。从 Junos OS 演化版 20.4R1 开始,对于 PTX10001-36MR 和 PTX10008(使用 JNP10K-LC1202 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器以进行内联主动流监控。从 Junos OS 演化版 21.1R1 开始,对于 PTX10004 路由器,您最多可以配置四个收集器来进行内联主动流监控。数据包转发引擎 (PFE) 可以将流记录、流记录模板、选项数据和选项数据模板数据包导出到所有配置的收集器。要在系列下配置收集器以实现内联主动流监控,请在
[edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output]层次结构级别配置flow-server语句。若要指定最多四个收集器,请最多包含四个flow-server语句。 -
对于所有其他设备上的内联配置,每个系列只能支持一个收集器。
-
内联主动流监控是使用来自四个层级的语句配置的:
-
[edit chassis]—在此级别,您可将采样实例与存在介质接口的 FPC 相关联(MX80 和 MX104 除外 — 请参阅 在 MX80 和 MX104 路由器上配置内联主动流监控)。如果要配置 IPv4 流、IPv6 流或 VPLS 流(仅限 Junos OS)的采样,则可以为每个家族配置流哈希表大小,如下所述。 -
[edit firewall]- 在此级别,您将为要采样的流量系列配置防火墙过滤器。您必须将此过滤器附加到要对其进行流量采样的接口。 -
[edit forwarding-options]- 在此级别,您将配置采样实例并将模板与采样实例相关联。在此级别,您还可以配置流服务器 IP 地址和端口号以及流导出速率。 -
[edit services flow-monitoring]- 在此级别,您将为内联流监控配置模板属性。
在配置内联主动流监控之前,应确保具有足够大小的哈希表,用于 IPv4、IPv6、MPLS 和 VPLS 流采样。(VPLS 流采样仅适用于 Junos OS)。这些表可以使用 1 到 15 个 256K 区域。从 Junos OS 16.1R1 和 15.1F2 版开始,为 IPv4 表分配默认值 1024。Junos OS 16.1 和 15.1F2 之前的版本会为 IPv4 表分配一个默认值 15 个 256K 区域。为 IPv6 表分配默认值 1024,为 VPLS 表分配默认值 1024。当预期的流量需要更大的表时,分配更大的表。
要分配流哈希表,请执行以下作:
要在 MX 系列路由器(MX80 和 MX104 路由器除外)、EX 系列交换机和具有 5 类 FPC 的 T4000 路由器上配置内联主动流监控:
启用内联主动流监控并指定流量的源地址。
[edit forwarding-options sampling instance instance-name family (bridge | inet | inet6 | mpls | vpls ) output] user@host# set inline-jflow source address address
指定要用于采样实例的模板。
[edit forwarding-options sampling instance instance-name family (bridge | inet | inet6 | mpls | vpls ) output flow-server hostname] user@host# set (version9 | version-ipfix) template template-name
配置模板以指定输出属性。
[edit services flow-monitoring] user@host# set (version-ipfix | version9) template template-name
(选答)配置导出活动流的时间间隔。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-active-timeout seconds
(选答)配置将流标记为非活动的活动间隔。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-inactive-timeout seconds
(选答)以数据包数或秒数为单位配置模板刷新率。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set template-refresh-rate (packets packets | seconds seconds)
(选答)以数据包数或秒数为单位配置刷新率。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set option-refresh-rate (packets packets | seconds seconds)
指定模板用于的记录类型。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set (bridge-template | ipv4-template | ipv6-template | mpls-ipv4-template | mpls-template | peer-as-billing-template | vpls-template)
该
vpls-template选项仅适用于 IPFIX 模板。从 Junos OS 18.2R1 版开始,
bridge-template该选项可用,vpls-template但已弃用;请改用该bridge-template选项。选项bridge-template(仅限 Junos OS)支持 VPLS 和网桥记录,并且适用于 IPFIX 和版本 9 模板。从 Junos OS 18.4R1 版开始,
mpls-ipv4-template内联流监控选项已弃用。要从 Junos OS 18.4R1 版开始配置 MPLS 记录,请使用选项mpls-template和选项tunnel-observation。步骤 9 中对此进行了说明。从适用于 MX 系列的 Junos OS 18.4R1 版开始,如果要配置任何类型的 MPLS 流记录,请执行以下作:
指定 MPLS 模板。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set mpls-template
配置要创建的 MPLS 流记录的类型。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set tunnel-observation [ipv4 | ipv6]
这些
tunnel-observation值支持创建以下类型的流记录:ipv4—MPLS-IPv4 流ipv6—MPLS-IPv6 流
您可以为
tunnel-observation配置多个值。对于与任何
tunnel-observation值都不匹配的 MPLS 流量类型,将创建普通 MPLS 流记录。例如,如果仅配置ipv4,则 MPLS-IPv6 流量将生成纯 MPLS 流记录。如果未配置
tunnel-observation,则会创建纯 MPLS 流记录。如果在查找 (LU) 卡上运行内联流监控,请启用边带模式以创建 MPLS-IPv6 流记录。
[edit chassis fpc slot-number inline-services] user@host# set use-extended-flow-memory
如果在 LU 卡上运行内联流监控,并且未启用边带模式,则 MPLS-IPv6 流量将生成纯 MPLS 流记录。
(选答)在模板中包括流向值。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-key flow-direction
报告的数据字段包含0x00(入口)或0x01(出口)。如果未包含该
flow-key flow-direction语句,则流向数据字段将包含无效值 0xFF。(选答)在流键的入口和出口方向上都包括 VLAN ID。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-key vlan-id
接口上的入口和出口 VLAN ID 报告不需要此语句。
将采样实例与要实施内联主动流监控的 FPC 相关联。
对于 MX240、MX480、MX960、MX2010、MX2020,请使用以下命令:
[edit ] user@host# set chassis fpc fpc-number sampling-instance instance-name
运行以下 show 命令,确认配置:
user@host# show chassis
fpc 0 { sampling-instance sample-ins1; }
对于 MX5、MX10、MX40 和 MX80,请使用以下命令:
[edit ] user@host# set chassis tfeb slot 0 sampling-instance instance-name
运行以下 show 命令,确认配置:
user@host# show chassis
tfeb { slot 0 { sampling-instance sample-ins1; } }
对于 MX104,请使用以下命令:
[edit ] user@host# set chassis afeb slot 0 sampling-instance instance-name
运行以下 show 命令,确认配置:
user@host# show chassis
afeb { slot 0 { sampling-instance sample-ins1; } }
此示例显示了支持以下方面的 family inet内联主动流监控的实例的采样配置:
[edit]
user@host> show forwarding-options
sampling {
instance {
sample-ins1 {
input {
rate 1;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 10.11.12.13;
}
}
}
}
}
}
以下是输出格式配置:
[edit]
user@host> show services flow-monitoring
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 60;
ipv4-template;
template-refresh-rate {
packets 1000;
seconds 10;
}
option-refresh-rate {
packets 1000;
seconds 10;
}
}
}
}
}
以下示例显示了机箱 fpc0的输出格式配置:
[edit]
user@host> show services flow-monitoring
sampling-instance instance-1; {
inline-services {
flow-table-size {
ipv4-flow-table-size 8;
ipv6-flow-table-size 7;
}
}
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。
[edit forwarding-options sampling instance name family (inet | inet6 | mpls) output]层次结构级别上,使用
flow-server address语句指定目标服务器地址,并使用
inline-jflow source-address address语句指定源地址。
data-record-fields
[edit services flow-monitoring version-ipfix template template-name]配置这些元素。
mpls-ipv4-template 内联流监控选项已弃用。要从 Junos OS 18.4R1 版开始配置 MPLS 记录,请使用选项
mpls-template 和选项
tunnel-observation 。
bridge-flow-table-size 该选项可用,
vpls-flow-table-size 但已弃用;请改用该
bridge-flow-table-size 选项。
bridge-template 该选项可用,
vpls-template 但已弃用;请改用该
bridge-template 选项。