在 PTX 系列路由器上配置内联主动流监控
本主题介绍如何在 PTX 系列路由器上为 IPv4 和 IPv6 流量配置内联主动流监控。
平台和功能支持
表 1 列出了 PTX 系列平台对用于内联主动流监控的各种类型流量的支持。
| 平台 |
支持 |
|---|---|
| PTX3000系列 |
Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX5000系列 |
Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX1000 |
Junos OS 17.3R1 — IPv4 和 IPv6 流量(仅限版本 9)。 |
| PTX10001-36MR |
Junos OS 演化版 20.3R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX10002-60C |
Junos OS 18.4R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 19.4R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX10003 |
Junos OS 演化版 19.3R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 演化版 20.1R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX10004 |
Junos OS 演化版 20.4R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量(IPFIX 和版本 9)。 |
| PTX10008(使用 JNP10008-SF3 和 JNP10K-LC1201 线卡) |
Junos OS 演化版 19.3R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 演化版 20.1R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
| PTX10008(使用 JNP10008-SF3 和 JNP10K-LC1202 线卡) |
Junos OS 演化版 20.3R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量(IPFIX 和版本 9)。 |
| PTX10008(不带 JNP10008-SF3)和PTX10016 |
Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
要为 PTX 系列路由器上的 MPLS over UDP 流量配置内联流监控,请参阅 PTX 系列路由器上 MPLS over UDP 流的内联主动流监控。PTX10001-36MR、PTX10003、PTX10004 和 PTX10008(使用 JNP10008-SF3)路由器不支持针对 MPLS over-UDP 流量的内联主动流监控。
从 Junos OS 18.2R1 版开始,您可以在一个系列下配置最多四个收集器,以进行内联主动流监控。在以前版本的 Junos OS 中,您只能在一个系列下配置一个收集器进行内联主动流监控。从 Junos OS 演化版 20.3R1 开始,对于PTX10003和PTX10008(使用 JNP10K-LC1201 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器进行内联主动流监控。从 Junos OS 演化版 20.4R1 开始,对于 PTX10001-36MR 和 PTX10008(使用 JNP10K-LC1202 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器进行内联主动流监控。从 Junos OS 演化版 21.1R1 开始,对于PTX10004路由器,您最多可以配置四个收集器进行内联主动流监控。要在系列下配置收集器以进行内联活动流监控,请在层次结构级别配置 flow-server 语句 edit forwarding-options sampling-instance instance-name family (inet | inet6) output 。要指定最多四个收集器,请最多包含四个 flow-server 语句。
内联主动流监控在逻辑 CPU (LCPU) 上实施。流创建、流更新和流记录导出等所有功能均由 LCPU 完成。流记录以 IPFIX 格式或版本 9 格式发送。
从 Junos OS 演化版 21.2R1 和 Junos OS 21.3R1 版开始,不会维护任何流量。每个采样数据包都被视为一个流。收到采样数据包后,将创建流并立即超时为非活动状态,并且软件会将记录导出到收集器。因此,发送到收集器的记录数比以前更高。IPFIX 和版本 9 选项模板数据记录现在在(元素 ID 36)和Flow Inactive Timeout(元素 ID 37)字段中Flow Active Timeout包含 0。因此,选项模板数据记录不符合 IPFIX RFC 7011。操作模式命令现在为所有show services accounting flow inline-jflow fpc-slot slot和Timed Out字段显示 Active Flows 0。各个Total Flows字段的值现在等于它们各自的Flow Packets字段值。各个Flows Inactive Timed Out字段的值现在等于它们各自的Flow Packets字段值。层次结构级别的语句[edit services flow-monitoring version version template template-name]对此无流行为的影响nexthop-learning因操作系统而异。对于 Junos OS 演化版,我们不建议您配置nexthop-learning该语句,因为它会减少可处理的数据包数量。对于 Junos OS,您可以将语句配置为nexthop-learning更改此默认无流量行为,并再次创建和维护流,然后将模板附加到与需要先前行为的 FPC 关联的所有采样实例。
以下限制适用于 Junos OS 和 Junos OS 演化版中的内联主动流监控功能:
-
PTX10001-36MR、PTX10003、PTX10004 和 PTX10008(使用 JNP10008-SF3)路由器不支持出口 MPLS 过滤器。
-
PTX10001-36MR 路由器不支持多个 FPC 采样收集,因为它只有 1 个路由引擎。
-
出口采样不支持真正的传出接口 (OIF) 报告。在 Junos OS 演化版中,GRE 解封装数据包不支持真正的传出接口 (OIF) 报告。
-
真正传入接口的接口类型字段不是版本 9 模板的一部分,因为版本 9 导出版本中不存在此元素。
-
对于 PTX10003 路由器上的 GRE 隧道流量,物理接口在第 2 层标头中报告,并在流创建过程中被视为密钥之一。因此,当物理接口移入或移出聚合以太网捆绑包时,将创建一个新流,并且旧流将在一段时间不活动后超时。物理接口、逻辑接口或聚合逻辑接口(基于配置)在基于配置的导出记录中报告为传入接口。
对于 PTX10008(使用 JNP10008-SF3)路由器上的 GRE 隧道流量,FTI 接口配置为终止 GRE 隧道。此接口在流创建期间用作密钥之一,而不是物理接口。因此,当物理接口移入或移出聚合以太网捆绑包时,不会创建新的流,因为密钥保持不变。物理接口、逻辑接口或聚合逻辑接口(基于配置)在导出的记录中报告为传入接口。
如何在 PTX 系列路由器上配置内联主动流监控
总结 在此示例中,我们配置了一个 version-ipfix 用于记录 IPv4 和 IPv6 流量的模板。
配置模板以指定输出属性
-
定义模板并配置模板应记录的流类型。
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(可选)为模板配置其他输出属性,例如流超时间隔和模板/选项刷新率,以控制流记录。
您可以使用该
template-refresh-rate选项配置流生成器使用数据包数或秒数将有关模板定义的更新发送到流收集器的频率。[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (可选)
如果要监控 MPLS 流,即,如果正在使用的模板是为 MPLS 协议家族配置的,请使用选项
tunnel-observation标识 MPLS 流的类型。[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(可选)启用下一跃点地址的学习,以便报告真正的传出接口。
注意:从 Junos OS 演化版 21.2R1 开始,建议您不要启用下一跃点地址学习功能,因为这会减少可处理的数据包数量。但是,从 Junos OS 版本 21.3R1 开始,您可以将语句配置为
nexthop-learning更改默认的无流量行为并再次创建和维护流,然后将模板附加到与需要先前行为的 FPC 关联的所有采样实例。[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
配置采样实例以指定输入属性
-
定义采样实例并配置要采样的数据包数比率。例如,如果指定速率为 10,则每 10 个数据包(10 个数据包中有 1 个)进行采样。
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
最佳实践:我们建议您对 MPLS 流使用 1000 或更高的值。
-
为采样实例配置协议族,并指定用于发送流量聚合的流收集器。
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(可选)指定流收集器的 UDP 端口和用于采样实例的模板。
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
配置采样数据包的内联处理。
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
将采样实例分配给 FPC
-
将采样实例分配给要在其上实施流监控的 FPC。
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
配置防火墙过滤器以接受和采样流
-
为协议系列配置防火墙过滤器并启用流量采样。
[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
将防火墙过滤器分配给接口
-
将输入防火墙过滤器分配给要监控的接口。
[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
示例配置的结果
以下是支持在线family inetfamily inet6流监控的实例的采样配置示例:
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance sample-1{
ipv4 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
您可以使用 show services 记帐 流命令来验证活动流统计信息。
更改历史记录表
功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能 。