内联监控服务配置

内联监控服务的优势

灵活 — 内联监控服务允许将不同的内联监控实例映射到不同的防火墙过滤条件，这与传统采样技术不同，传统采样技术将所有实例映射到灵活 PIC 集中器 （FPC）。这为您提供了在单个接口上以不同速率对不同的流量流进行采样的灵活性。

数据包格式无关 — 传统的流收集技术依赖于网络元素对数据包进行分析和聚合。使用内联监控服务，数据包标头会导出到收集器进行进一步处理，但没有聚合。因此，您可以利用任意数据包字段在收集器处处理受监控的数据包。

内联监控服务功能概述

服务提供商和内容提供商通常需要对流量的可见性，以评估对等协议，检测流量异常和策略违规，以及监控网络性能。为满足这些要求，您传统上会使用 JFlow 或 IPFIX 变体导出聚合流统计信息。

作为另一种方法，您可以对数据包内容进行取样，添加元数据信息，并将受监控的数据包导出到收集器。借助内联监控服务，您可以在 MX 系列路由器和运行 Junos OS Evolved 的 PTX 路由器上做到这一点。

借助内联监控服务，您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。该软件以 IPFIX 格式封装受监控的流量，并将实际数据包导出到收集器，以便进一步处理。默认情况下，Junos OS 支持从以太网标头开始的最大片段长度为 126 个字节，而 Junos OS Evolved 则支持从以太网标头开始的最大片段长度为 256 字节。

图 1 展示了 IPFIX 格式规范。

图 1：内联监控 IPFIX 规格

IPFIX 报头和 IPFIX 有效负载使用 IP 或 UDP 传输层进行封装。导出的 IPFIX 格式包括两条数据记录和两个导出到每个收集器的数据模板：

• 数据记录 — 包括传入和传出接口、流向、数据链路帧部分和数据链路帧大小。仅当导出取样数据包时，此信息才会发送到收集器。

  图 2 是 IPFIX 数据记录数据包的示例图。

• 选项数据记录 — 包括系统级信息，如导出流程 ID 和采样间隔。此信息会定期发送至收集器，无论是否导出采样数据包。

  图 3 是 IPFIX 选项数据记录数据包的示例图。

  表 1：IPFIX 选项数据包中的信息元素字段

  数量	信息元素 ID	信息元素长度	细节
  1	144	4B	观察域 ID - 每个 IPFIX 设备导出进程的唯一标识符。此字段的目的是限制其他信息元素字段的范围。
  2	34	4B	数据包采样的采样间隔。1000 表示已采样 1000 个数据包中的一个。

• 数据模板 — 包括五个信息元素：

  • 入口接口

  • 出口接口

  • 流向

  • 数据链路帧大小

  • 可变数据链路帧选择

  图 4 是 IPFIX 数据模板数据包的示例图。

• 选项数据模板 — 包括流导出和采样间隔信息。

  图 5 是 IPFIX 选项数据模板数据包的示例图。

当出现新的内联监控服务配置或更改的内联监控服务配置时，数据模板和选项数据模板的定期导出会立即发送至各自的收集器。

图 2：IPFIX 数据记录

图 3：IPFIX 选项数据记录

图 4：IPFIX 数据模板

图 5：IPFIX 选项数据模板

内联监控服务配置概述

您最多可以配置 16 个 （Junos OS） 或 7 个 （Junos OS Evolved） 内联监控实例，这些实例支持模板和收集器特定的配置参数。每个内联监控实例最多支持四个收集器（总共最多 64 个收集器），并且，仅适用于 Junos OS，您可以在每个收集器配置下指定不同的采样速率。由于这种灵活性，内联监控服务克服了传统采样技术（如 JFlow、sFlow 和端口镜像）的局限性。

要配置内联监控：

1. 您必须在层次结构级别包含语句inline-monitoring[edit services]。您可以在此处指定模板和内联监控实例参数。您必须在内联监控实例下指定收集器参数。

2. 使用防火墙过滤器术语和接受配置的内联监控实例的操作指定任意匹配条件。这会将内联监控实例映射到防火墙术语。

3. 在 [编辑防火墙过滤器然后] 层次结构级别使用inline-monitoring-instance语句，映射家族inet或inet6语句下的防火墙过滤器name。从 Junos OS 21.1R1 版开始，您还可以在系列any, bridge, ccc, mpls,或vpls语句下映射防火墙过滤器。对于 Junos OS Evolved，bridge不支持和vpls系列;请改为使用ethernet-switch系列。Junos OS Evolved 也支持 anyccc、 、 inet、 inet6、 和mpls系列。您还可以选择将防火墙过滤器应用到带有输入或输出语句的转发表过滤器，以分别过滤入口或出口数据包。

记得：

• 设备必须支持最大数据包长度（剪辑长度）为 126 字节 （Junos OS） 或 256 字节（Junos OS 演化版），才能启用内联监控服务。

• 由于转发路径中数据包中缺少可用位，您不能配置超过 16 个 （Junos OS） 或 7（Junos OS 演化版）的内联监控实例。

• 仅在收集器接口（即收集器可访问的接口）上应用内联监控服务。您不得对 IPFIX 流量应用内联监控，因为它会生成另一个 IPFIX 数据包进行采样，从而创建环路。这包括内联监控服务生成的流量，例如模板和记录数据包、选项模板和选项记录数据包。

• 在聚合以太网 （AE） 接口上启用内联监控服务时，信息元素值如下所示：

  表 2：聚合以太网接口的信息元素值

  AE 接口上的内联监控服务方向	信息元素-10（传入接口）	信息元素-14（传出接口）
  入口	AE 的 SNMP ID	0
  出口	AE 的 SNMP ID	成员链路的 SNMP ID

• 在 IRB 接口上启用内联监控服务时，信息元素值如下所示：

  表 3：IRB 接口的信息元素值

  IRB 接口上的内联监控服务方向	信息元素-10（传入接口）	信息元素-14（传出接口）
  入口	IRB 的 SNMP ID	0
  出口	IRB 的 SNMP ID	VLAN 桥接封装接口的 SNMP ID

• 对于基于 XL-XM 的设备（带有查找芯片 （XL） 和缓冲 ASIC （XM），导出数据包中数据链路帧部分信息元素的长度可以比片段长度短，即使出口数据包长度大于剪辑长度也是如此。

  数据链路帧部分信息元素的长度减少为 “N” 字节数，其中 “N” = （入口数据包第 2 层封装长度 - 出口数据包第 2 层封装长度）。

  例如，当入口数据包具有 MPLS 标签且出口数据包为 IPv4 或 IPv6 类型时，入口数据包的第 2 层封装长度大于出口数据包的长度。当流量从提供商边缘 （PE） 设备流向客户边缘 （CE） 设备时，入口数据包具有 VLAN 标记，出口数据包未标记。

  在这种情况下，剪辑长度可能会超过数据包头的最后一个地址位置，从而生成 PKT_HEAD_SIZE 系统日志消息。这可能会导致设备的数据包转发降级。

• 如果入口方向有内联监控服务，则 egressInterface （信息元素 ID 14）不会报告输出接口的 SNMP 索引。此信息元素 ID 始终报告值 0，以防入口方向。接收收集器进程应基于 flowDirection （信息元素 ID 61）标识此字段的有效性。

支持和不支持内联监控服务的功能

内联监控服务支持：

• 平滑路由引擎切换

• 不中断服务的软件升级 （ISSU）、不间断软件升级 （NSSU） 和不间断活动路由 （NSR）

• 以太网接口以及集成路由和桥接 （IRB） 接口

• Junos 节点切片

• 从 Junos OS 演化版 22.4R1 开始，为收集器配置 DSCP、转发类或路由实例。

• 从 Junos OS 演化版 22.4R1 开始，配置模板 ID 或选项模板 ID。

内联监控服务目前不支持：

• 配置超过 16 个 （Junos OS） 或 7 （Junos OS Evolved） 的内联监控实例。

• Junos Traffic Vision

• 在 Junos OS 21.1R1 版之前，内联监控实例术语操作仅支持防火墙 inet 过滤器和 inet6 系列防火墙过滤器。从 Junos OS 21.1R1 版开始，它受防火墙 any, bridge, ccc, mpls, 过滤器和 vpls 系列防火墙过滤器的支持。

• IPv6 可寻址收集器

• 虚拟平台

• 逻辑系统

• 配置观察域 ID 和观察云 ID。您只能选择其中一种。

• 用于报告异常的内联监控实例操作不能用于任何其他目的，例如防火墙重新定向操作或常规内联监控操作。

• 用于防火墙重新定向操作的内联监控实例不能用于任何其他目的，例如异常报告或常规内联监控操作。

• 在 Junos OS 演化版 22.4R1 之前，请为收集器配置 DSCP、转发类或路由实例。

• 在 Junos OS 演化版 22.4R1 之前，请配置模板 ID 或选项模板 ID。系统将为您生成这些内容。

• 在同一防火墙过滤器术语（Junos OS 演化版）下配置端口镜像和内联监控服务。

• 在出口方向，配置 SFlow 和异常报告;您只需要选择其中一个（Junos OS Evolved）。