Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

基于流的遥测(EX4100、EX4100-F 和 EX4400 系列)

基于流的遥测 (FBT) 支持按流层级的分析,使用内联监控服务创建流,收集流,然后使用开放标准 IPFIX 模板将其导出到收集器,以组织流。

FBT 概述

您可以为 EX4100、EX4100-F 和 EX4400 系列交换机配置基于流的遥测 (FBT)。FBT 支持按流层级的分析,使用内联监控服务创建流、收集流并将其导出到收集器。借助内联监控服务,您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。流是接口上具有相同源 IP、目标 IP、源端口、目标端口和协议的数据包序列。对于每个流量,软件会收集各种参数,并使用开放标准 IPFIX 模板将配置的剪辑长度的实际数据包导出到收集器中,以组织流量。一旦某个流没有活动流量,该流量将在配置的非活动超时期限后过期( flow-inactive-timeout 在层次结构级别配置该语句的 [edit services inline-monitoring template template-name])。软件会按配置的流导出计时器间隔定期导出 IPFIX 数据包。IPFIX 数据包中使用观察域标识符,以识别哪个线卡将数据包发送到收集器。设置后,软件将根据此处设置的系统值为每个线卡派生唯一标识符。

FBT 的优势

借助 FBT,您可以:

  • 计算数据包、TTL 和 TCP 窗口范围
  • 跟踪和统计拒绝服务 (DoS) 攻击
  • 分析成员 ID 上 ECMP 组/链路聚合组 (LAG) 的负载分布(仅限 EX4100 和 EX4100-F)
  • 跟踪流量拥塞(仅限 EX4100 和 EX4100-F)
  • 收集有关多媒体流的信息(仅限 EX4100 和 EX4100-F)
  • 收集有关丢包原因的信息(仅限 EX4100 和 EX4100-F)

FBT 流导出概述

有关示例模板,请参见 图 1 ,其中显示了信息元素 ID、名称和大小:

图 1:FBT 信息元素模板 Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.示例

图 2 显示了用于 FBT 的示例 IPFIX 数据模板的格式:

图 2:FBT IPFIX 数据模板 Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.示例

图 3 显示了用于 FBT 的示例导出 IPFIX 流的格式:

图 3:用于 FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0. 的导出 IPFIX 流示例
表 1:元素映射
元素 企业元素 ID 说明

TIMESTAMP_FLOWSTART_VAL

1

指示开始 TCP 流收集的时间戳。

TIMESTAMP_FLOWEND_VAL

2

指示 TCP 流收集结束的时间戳。

TIMESTAMP_NEW_LEARN_VAL

3

在流表中学习新流时的时间戳。

PKT_RANGE_CNTR1_VAL

4

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR2_VAL

5

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR3_VAL

6

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR4_VAL

7

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR5_VAL

8

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR6_VAL

9

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR7_VAL

10

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

PKT_RANGE_CNTR8_VAL

11

提供不同大小类别中的数据包数量。用户可以在模板下选择 4 个类别或 6 个类别。系统会相应地将数据包分类到不同大小的桶中并进行计数。(反轮廓功能)

MIN_PKT_LENGTH_VAL

12

提供大小大于定义大小的数据包数。可配置的大小范围介于 64 到 9000 字节之间。

MAX_PKT_LENGTH_VAL

13

提供大小小于定义大小的数据包数。可配置的大小范围介于 64 到 9000 字节之间。

TCP_WINDOW_RANGE_CNTR_VAL

15

对指定 TCP 窗口范围内的数据包进行计数。

DOS_ATTACK_ID_VAL

16

报告 DDOS 攻击媒介。

TTL_RANGE1_CNTR_VAL

17

提供特定 TTL 值范围内的数据包数。

TTL_RANGE2_CNTR_VAL

18

提供特定 TTL 值范围内的数据包数。

DOS_ATTACK_PKT_CNTR_VAL

19

DDOS 攻击数据包数。

CUSTOM_PKT_RANGE_START_VAL

20

提供配置大小范围内的数据包数。您可以通过在层次结构级别配置counter-profile[edit services inline-monitoring]该语句来定义 64 到 9000 字节之间的大小范围。例如: set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500

CUSTOM_TTL_RANGE_START_VAL

30

提供配置的 TTL 范围内的数据包数。您可以通过在层次结构级别配置[edit services inline-monitoring]counter-profile语句来定义 0 到 255 之间的 TTL 范围。例如: set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15

CUSTOM_TCP_WINDOW_RANGE_START_VAL

40

提供配置的 TCP 窗口范围内的数据包数。您可以通过在层次结构级别配置[edit services inline-monitoring]counter-profile语句来定义 0 到 65535 之间的 TCP 窗口范围。例如: set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000

INTER_ARRIVAL_TIME

50

入口处两个连续数据包之间的时差(每个流)。

INTER_DEPARTURE_TIME

51

出口时(每个流)两个连续数据包之间的时差。

CHIP_DELAY

52

数据包传输 ASIC 所需的时间量。

SHARED_POOL_CONGESTION

53

共享池拥塞级别

QUEUE_CONGESTION_LEVEL

54

队列拥塞级别

INGRESS_DROP_REASON

55

数据包在入口处被丢弃的原因。

INGRESS_DROP_REASON_PKT_CNTR_VAL

56

入口处丢弃的数据包数。

EGRESS_DROP_REASON

57

数据包在出口时被丢弃的原因。

EGRESS_DROP_REASON_PKT_CNTR_VAL

58

出口时丢弃的数据包数。

AGGREGATE_INTF_MEMBER_ID

59

链路聚合组 (LAG) 或等价多路径 (ECMP) 组成员的 ID

AGGREGATE_INTF_GROUP_ID

60

链路聚合组 (LAG) 的 ID

MMU_QUEUE_ID

61

指示数据包所属的队列 ID。

UNKNOWN_ID_VAL

254

不适用于客户。内部到瞻博网络

RESERVED_ID_VAL

255

不适用于客户。内部到瞻博网络

当您创建新的内联监控服务配置或更改现有配置时,软件会立即将数据模板的定期流导出发送到相应的收集器,而不是等到下一个计划的发送时间。

限制和注意事项

  • 支持 IRB 接口。从 Junos OS 25.2R1 版开始,支持 L2 防火墙过滤器。
  • 每个实例仅支持 8 个内联监控实例和 8 个收集器。
  • 流记录的长度限制为 128 个字节。
  • 收集器必须能够通过环路接口或网络接口到达,而不仅可以通过管理接口。

  • 只能在与数据相同的路由实例中配置收集器。您不能在不同的路由实例中配置收集器。

  • 无法配置选项模板标识符或转发类。
  • 不支持 IPFIX 选项数据记录和 IPFIX 选项数据模板。
  • EX4400 交换机不支持功能配置文件。
  • 如果对功能配置文件配置进行任何更改,则必须重新启动设备。
  • (仅限 EX4100 和 EX4100-F)如果在内联监控实例的功能配置文件中配置任何拥塞或出口功能,则无法为该实例中的模板配置计数器配置文件。
  • (仅限 EX4100 和 EX4100-F)由于拥塞和出口功能会收集大量数据,因此每个内联监控实例只能配置 4 或 5 个此类功能。
  • (仅限 EX4100 和 EX4100-F)对于组播流跟踪,一个入口副本可以产生多个出口副本。所有副本都可以更新同一个条目。因此,您可以跟踪同一组播流的所有副本的聚合结果。

许可证

必须获得永久许可证才能启用 FBT。要检查您是否有 FBT 许可证,请在作模式下发出命令 show system license

对于 EX4100 和 EX4100-F 交换机,您需要许可证 S-EX4100-FBT-P。对于 EX4400 交换机,您需要许可证 S-EX-FBT-P。

丢弃矢量(仅限 EX4100 和 EX4100-F)

FBT 可以报告 100 多个丢弃原因。丢弃矢量是非常大的矢量,太大而无法在流记录中合理容纳。因此,软件将滴向量分组并压缩为 16 位压缩的滴向量,然后将该滴向量传递到流表。16 位压缩丢弃向量对应于特定的丢弃向量组。 表 2表 3 描述了如何将丢弃矢量组合在一起以形成特定的 16 位压缩丢包矢量。

表 2:入口丢弃矢量组(仅限 EX4100 和 EX4100-F)
组 ID 丢弃原因
1

MMU 丢弃
2

TCAM、PVLAN
3

DoS 攻击或 LAG 环路失败
4

VLAN ID 无效、TPID 无效或端口不在 VLAN 中
5

生成树协议 (STP) 转发、桥接协议数据单元 (BPDU)、协议、CML

6

源路由、L2 源放弃、L2 目标放弃、L3 禁用等。
7

L3 TTL、L3 标头、L2 标头、L3 源查找未命中、L3 目标查找未命中
8

ECMP 解析、风暴控制、入口组播、入口下一跳错误
表 3:出口丢弃矢量组(仅限 EX4100 和 EX4100-F)
组 ID 丢弃原因
1

MMU 单播流量
2

MMU 加权随机早期检测 (WRED) 单播流量
3

MMU RQE
4

MMU 组播流量
5

出口 TTL,stgblock
6

出口字段处理器丢弃
7

IPMC 丢弃
8

出口服务质量 (QoS) 控制下降

配置 FBT(EX4100、EX4100-F 和 EX4400 系列)

FBT 支持按流层级的分析,使用内联监控服务创建流、收集流并将其导出到收集器。流是接口上具有相同源 IP、目标 IP、源端口、目标端口和协议的数据包序列。对于每个流量,系统会收集各种参数,然后使用开放标准 IPFIX 模板发送到收集器,以组织流量。一旦某个流没有活动流量,该流量将在配置的非活动超时期限后过期( flow-inactive-timeout 在层次结构级别配置该语句的 [edit services inline-monitoring template template-name])。软件会按配置的流导出计时器间隔定期导出 IPFIX 数据包。IPFIX 数据包中使用观察域标识符,以识别哪个线卡将数据包发送到收集器。设置后,软件将根据此处设置的系统值为每个线卡派生唯一标识符。

要配置基于流的遥测:

  1. 定义 IPFIX 模板。

    要配置模板的属性:

    在此示例中,非活动流超时期设置为 10 秒,观察域 ID 设置为 25,模板刷新率设置为 30 秒,并且您已配置模板标识符

  2. 模板附加到实例并描述收集器。

    要配置实例和收集器,请执行以下作:

    在此示例中,您将创建一个模板,其名称 template_1为 创建内联监控实例 i1,并为收集器 c2创建配置:

  3. 创建防火墙过滤器并配置作 inline-monitoring-instance

    要配置防火墙过滤器,请执行以下作:

    在此示例中,您配置一个名为 ipv4_ingress的 IPv4 防火墙过滤器,其术语名称 rule1 包含作 inline-monitoring-instance,并将内联监控实例 i1 映射到该过滤器:

  4. 防火墙过滤器映射到已配置接口的逻辑单元下的家族,以在入口方向上应用内联监控。

    要映射防火墙过滤器,请执行以下作:

    在此示例中,您将防火墙过滤器映射 ipv4_ingressinet 物理接口 et-0/0/1 的逻辑接口 0 家族:

  5. (可选)配置采样配置文件和速率,配置要将计数器导出到收集器的配置文件,配置流速和突发大小,并为基于流的遥测启用安全分析:

    要配置流监控属性,请执行以下作:

    在此示例中,采样配置文件设置为随机,采样速率设置为每512个字节,计数器配置文件设置为Per_flow_6_counters,流速设置为100000 kbps,突发大小设置为2048字节,并启用安全分析:

  6. (仅限可选 EX4100 和 EX4100-F 交换机)配置功能配置文件,以便在数据包通过交换机时收集更多数据。

    例如,您可以监控拥塞或收集有关丢包原因的信息。您可以在此处或上一步中启用安全分析。要配置功能配置文件:

    您必须重新启动系统,功能配置文件才会生效。由于聚合接口分布监控、拥塞和出口功能会收集大量数据,因此每个内联监控实例只能配置 4 或 5 个这样的功能。配置这些功能的语句包括:

    • aggregate-intf-member-id

    • egress-drop-reason

    • inter-departure-time

    • queue-congestion-level

    • shared-pool-congestion

    提交配置并重新启动系统后,使用命令 show services inline-monitoring feature-profile-mapping fpc-slot slot-number 验证功能配置是否已成功。

  7. 提交配置后,使用命令监控show services inline-monitoring statistics fpc-slot slot-number 内联监控统计信息。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
22.2R1
您现在可以为 EX4100 和 EX4100-F 系列交换机配置基于流的遥测 (FBT),并在层次结构级别使用 [edit inline-monitoring]feature-profile name features句配置要跟踪流量的其他项目。
21.1R1
您可以为 EX4400 系列交换机配置基于流的遥测 (FBT)。FBT 支持按流层级的分析,使用内联监控服务创建流、收集流并将其导出到收集器。