使用路由器、交换机或交换机配置内联活动流NFX250
内联主动流监控在 数据包转发引擎 上实施。数据包转发引擎执行创建和更新流以及更新流记录等功能。流记录以行业标准 IPFIX 或版本 9 格式发送。
在应用程序发布版本QFX10002中添加了对使用 ipFIX 模板Junos OS IPFIX 模板17.2R1。从 Junos OS 20.3R1-60C QFX10002 版本开始,您可以为 IPv4 和 IPv6 流量配置内联活动流监控。支持 IPFIX 和版本 9 模板。
在具有 MS-PIC 或 MS-DPC 的路由器上,可以准确处理 IPv4 和 IPv6 分片。流监控应用程序为每个分段的流创建两个流。具有完整第 4 层信息的第一个分片形成了包含 5 元数据的第一个流,随后,与此流相关的所有分段数据包将形成另一个流,第 4 层字段设置为零。
以下注意事项适用于内联流监控实例配置:
不支持采样长度和夹子大小。
对于内联配置,无法通过 访问收集器
fxp0。内联流监控不支持
cflowd。因此,内联流监控不支持本地转储选项,只有 cflowd 才可用。在 MX 系列路由器上启用新一代服务时,不支持内联主动流监控。
支持的收集器数量取决于设备:
在 Junos OS 16.2 版和 Junos OS 及16.1R3 中,只能将一个系列下收集器配置为内联活动流监控。从Junos OS版本16.1R4和17.2R1,您可通过一个系列配置最多四个收集器进行内联活动流监控。从 Junos OS Evolved 20.3R1 开始,对于 PTX10003 和 PTX10008(使用 JNP10K-LC1201 线卡和 JNP10008-SF3)路由器,您配置最多四个收集器用于内联主动流监控。从 Junos OS Evolved 20.4R1 开始,对于 PTX10001-36MR 和 PTX10008(带 JNP10K-LC1202 线卡和 JNP10008-SF3) 路由器,您配置最多四个收集器用于内联主动流监控。从 Junos OS演进的 21.1R1 开始,对于 PTX10004 路由器,您最多可配置四个收集器进行内联主动流监控。服务数据包转发引擎 (PFE) 可以将流记录、流记录模板、选项数据和选项数据模板数据包导出到所有配置的收集器。要配置家族下的收集器用于内联活动流监控,请配置
flow-server层级的edit forwarding-options sampling-instance instance-name family (inet | inet6) output语句。要指定最多四个收集器,请最多包含四个flow-server语句。对于所有其他设备的内联配置,每个系列只能支持一个收集器。
内联活动流监控包含四个层级:
[edit chassis]—在此级别中,您可将采样实例与介质接口存在 FPC 关联(MX80 和 MX104 上除外—请参阅 在 MX80 和 MX104 路由器上配置内联主动流 监控 )。如果配置 IPv4 流、IPv6 流或 VPLS 流的采样(仅 Junos OS),可为每个家族配置流哈希表大小,如下所述。[edit firewall]—在此级别,您可为要采样的流量系列配置防火墙过滤器。您必须将此过滤器连接到要用于采样流量的接口。[edit forwarding-options]—在此级别中,您可配置采样实例并将该模板与采样实例关联。在此级别中,您也可配置流服务器 IP 地址和端口号以及流导出速率。[edit services flow-monitoring]—在此级别,您可为内联流监控配置模板属性。
配置内联主动流监控之前,应确保具有足够规模的散列表,用于 IPv4、IPv6、MPLS和 VPLS 流采样。(VPLS 流采样Junos OS)。这些表可以使用一到十五个 256K 区域。从Junos OS版本16.1R1 15.1F2,IPv4 表被分配一个默认值 1024。在Junos OS 16.1 版和 15.1F2 之前,IPv4 表被分配有一个默认值,为 15 个 256K 区域。IPv6 表被分配为默认值 1024,而 VPLS 表被分配默认值 1024。当预计的流量需要较大表时,请分配较大表。
要分配流哈希表,
要配置 MX 系列路由器(MX80 和 MX104 路由器、EX 系列交换机和带 5 类 FPC 的 T4000 路由器的内联主动流监控:
启用内联活动流监控,并指定流量的源地址。
[edit forwarding-options sampling instance instance-name family (bridge | inet | inet6 | mpls | vpls ) output] user@host# set inline-jflow source address address
指定用于采样实例的模板。
[edit forwarding-options sampling instance instance-name family (bridge | inet | inet6 | mpls | vpls ) output flow-server hostname] user@host# set (version9 | version-ipfix) template template-name
配置模板以指定输出属性。
[edit services flow-monitoring] user@host# set (version-ipfix | version9) template template-name
(可选)配置在之后导出活动流的时间间隔。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-active-timeout seconds
(可选)配置将流标记为非活动的活动间隔。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-inactive-timeout seconds
(可选)以数据包数或秒数配置模板刷新速率。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set template-refresh-rate (packets packets | seconds seconds)
(可选)以数据包数或秒数配置刷新速率。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set option-refresh-rate (packets packets | seconds seconds)
指定模板用于的记录类型。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set (bridge-template | ipv4-template | ipv6-template | mpls-ipv4-template | mpls-template | peer-as-billing-template | vpls-template)
选项
vpls-template仅适用于 IPFIX 模板。从Junos OS版本18.2R1,
bridge-templatevpls-template选项可用,且选项已弃用;改为使用bridge-template选项。选项bridge-template(仅Junos OS)支持 VPLS 和桥接记录,适用于 IPFIX 和 version9 模板。从版本Junos OS开始
mpls-ipv4-template18.4R1,选项已弃用于内联流监控。要MPLS版本Junos OS记录18.4R1,请使用mpls-template选项和tunnel-observation选项。步骤 9 中介绍了这一点。从Junos OS MX 系列18.4R1版本开始,如果要配置任何类型的 MPLS 流记录,请执行以下操作:
指定MPLS模板。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set mpls-template
配置要创建的MPLS记录的类型。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set tunnel-observation [ipv4 | ipv6]
这些值
tunnel-observation允许创建以下类型的流记录:ipv4—MPLS-IPv4 流ipv6—MPLS-IPv6 流
您可以为 配置多个值
tunnel-observation。对于不MPLS
tunnel-observation任何值的流量类型,将创建纯MPLS流记录。例如,如果仅配置ipv4,MPLS-IPv6 流量将产生纯MPLS流记录。如果不配置,将创建
tunnel-observation纯MPLS流记录。如果您在查找 (LU) 卡上运行内联流监控,则启用侧带模式以创建MPLS-IPv6 流记录。
[edit chassis fpc slot-number inline-services] user@host# set use-extended-flow-memory
如果在 LU 卡上运行内联流监控,并且未启用侧带模式,MPLS-IPv6 流量将纯MPLS流记录。
(可选)在模板中包括流方向值。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-key flow-direction
报告的数据字段包含0x00(入口)或0x01(出口)。如果没有包含 语句
flow-key flow-direction,则流方向数据字段包含无效值0xFF。(可选)在流密钥的入口和出口方向上都包括 VLAN ID。
[edit services flow-monitoring (version-ipfix | version9) template template-name] user@host# set flow-key vlan-id
接口上的入口和出口 VLAN ID 报告不需要此语句。
将采样实例与要实施内联主动流监控的 FPC 关联。
对于MX240,MX480、MX960、MX2010、MX2020,请使用以下命令:
[edit ] user@host# set chassis fpc fpc-number sampling-instance instance-name
运行以下 show 命令以确认配置:
user@host# show chassis
fpc 0 { sampling-instance sample-ins1; }
对于MX5、MX10、MX40 和 MX80,请使用以下命令:
[edit ] user@host# set chassis tfeb slot 0 sampling-instance instance-name
运行以下 show 命令以确认配置:
user@host# show chassis
tfeb { slot 0 { sampling-instance sample-ins1; } }
对于MX104,请使用以下命令:
[edit ] user@host# set chassis afeb slot 0 sampling-instance instance-name
运行以下 show 命令以确认配置:
user@host# show chassis
afeb { slot 0 { sampling-instance sample-ins1; } }
此示例显示了在以下情况下支持内联活动流监控的实例的采样配置 family inet:
[edit]
user@host> show forwarding-options
sampling {
instance {
sample-ins1 {
input {
rate 1;
}
family inet {
output {
flow-server 192.0.2.2 {
port 2055;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 10.11.12.13;
}
}
}
}
}
}
下面是输出格式配置:
[edit]
user@host> show services flow-monitoring
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 60;
ipv4-template;
template-refresh-rate {
packets 1000;
seconds 10;
}
option-refresh-rate {
packets 1000;
seconds 10;
}
}
}
}
}
以下示例显示机箱的输出格式配置 fpc0:
[edit]
user@host> show services flow-monitoring
sampling-instance instance-1; {
inline-services {
flow-table-size {
ipv4-flow-table-size 8;
ipv6-flow-table-size 7;
}
}
}