本页内容

了解内联监控服务
配置内联监控服务

内联监控服务配置

了解内联监控服务

内联监控服务的优势
内联监控服务功能概述
内联监控服务配置概述
内联监控服务支持和不支持的功能

内联监控服务的优势

灵活 — 内联监控服务允许将不同的内联监控实例映射到不同的防火墙过滤器术语，这与传统采样技术不同，在传统采样技术中，所有实例都映射到灵活的 PIC 集中器（FPC）。这为您提供了在单个接口上以不同速率对不同流量流进行采样的灵活性。

与数据包格式无关 — 传统的流量收集技术依赖于网络元素对数据包的解析和聚合。借助内联监控服务，数据包标头将导出到收集器进行进一步处理，但不会进行聚合。这样，您就可以使用任意数据包字段在收集器处处理受监控的数据包。

内联监控服务功能概述

服务提供商和内容提供商通常需要了解流量情况，以评估对等协议、检测流量异常和策略违规，并监控网络性能。为了满足这些要求，您通常使用 JFlow 或 IPFIX 变体导出聚合流统计信息。

另一种方法是，您可以对数据包内容进行采样，添加元数据信息，并将受监控的数据包导出到收集器。借助内联监控服务，您可以在 MX 系列路由器和运行 Junos OS 演化版的 PTX 路由器上执行此作。

借助内联监控服务，您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。该软件以 IPFIX 格式封装受监控的流量，并将实际数据包导出到收集器，以供进一步处理。默认情况下，Junos OS 支持从以太网标头开始的最大剪辑长度为 126 字节，而 Junos OS 演化版支持从以太网标头开始的最大剪辑长度为 256 字节。

图 1 说明了 IPFIX 格式规范。

图 1：内联监控 IPFIX 规范 Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

IPFIX 报头和 IPFIX 有效负载使用 IP 或 UDP 传输层进行封装。导出的 IPFIX 格式包括两个数据记录和两个数据模板，它们将导出到每个收集器：

数据记录 — 包括传入和传出接口、流向、数据链路帧段和数据链路帧大小。仅当导出采样数据包时，才会将此信息发送到收集器。

图2是IPFIX数据记录数据包的示例图示。

选项数据记录 - 包括系统级信息，例如导出过程 ID 和采样间隔。此信息会定期发送给收集器，无论是否导出采样包。

图3是IPFIX选项数据记录数据包的示例图示。

表 1：IPFIX 选项数据包中的信息元素字段
数	信息元素 ID	信息元素长度	详
1	144	4B	观察域 ID - 每个 IPFIX 设备导出进程的唯一标识符。此字段的目的是限制其他信息元素字段的范围。
2	34	4B	对数据包进行采样的采样间隔。1000 表示对 1000 个数据包中的一个进行采样。

数据模板 - 包括五个信息元素：
- 入口接口
- 出口接口
- 流向
- 数据链路帧大小
- 可变数据链路帧选择
图4是IPFIX数据模板数据包的示例图示。
选项数据模板 - 包括流量导出器和采样间隔信息。

图5是IPFIX选项数据模板数据包的示例图示。

当有新的或更改的内联监控服务配置时，数据模板和选项数据模板的定期导出会立即发送到相应的收集器。

图 2：IPFIX 数据记录 IPFIX Data Record

图 3：IPFIX 选项数据记录 Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

图 4：IPFIX 数据模板 Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

图 5：IPFIX 选项数据模板 IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

内联监控服务配置概述

您最多可以配置 16 个（Junos OS）或 7 个（Junos OS 演化版）内联监控实例，以支持特定于模板和收集器的配置参数。每个内联监控实例最多支持四个收集器（总共最多 64 个收集器），并且，仅对于 Junos OS，您可以在每个收集器配置下指定不同的采样率。由于这种灵活性，内联监控服务克服了传统采样技术的局限性，如 JFlow、sFlow 和端口镜像。

要配置内联监控，请执行以下作：

您必须在[edit services]层次结构级别包含inline-monitoring语句。您可以在此处指定模板和内联监控实例参数。您必须在内联监控实例下指定收集器参数。
使用防火墙过滤器术语和作来指定任意匹配条件，以接受配置的内联监控实例。这会将内联监控实例映射到防火墙术语。
在 inline-monitoring-instance [edit firewall filter name then] 层次结构级别使用语句将防火墙过滤器映射到系列inet或inet6语句下。从 Junos OS 21.1R1 版开始，您还可以将防火墙过滤器映射到系列any, bridge, ccc, mpls,或vpls语句下。对于 Junos OS 演化版，bridge不支持和 vpls系列;请改用系列ethernet-switch。Junos OS 演化版还支持any、ccc、inetinet6、和mpls家族。您也可以将防火墙过滤器应用于带有输入或输出语句的转发表过滤器，以分别过滤入口和出口数据包。

记得：

设备必须支持的最大数据包长度（剪辑长度）为 126 字节（Junos OS）或 256 字节（Junos OS 演化版），才能启用内联监控服务。
您无法配置超过 16 个（Junos OS）或 7 个（Junos OS 演化版）内联监控实例，因为转发路径中的数据包中可用的位数稀缺。
仅在收集器接口（即可访问收集器的接口）上应用内联监控服务。您不得对 IPFIX 流量应用内联监控，因为这会生成另一个 IPFIX 数据包进行采样，从而形成环路。这包括内联监控服务生成的流量，例如模板和记录数据包、选项模板和选项记录数据包。

在聚合以太网（AE）接口上启用内联监控服务时，信息元素值如下所示：

表 2：聚合以太网接口的信息元素值
AE 接口上的内联监控服务方向	信息元素-10（传入接口）	信息元素-14（传出接口）
入口	AE 的 SNMP ID	0
出口	AE 的 SNMP ID	成员链路的 SNMP ID

在 IRB 接口上启用内联监控服务时，信息元素值如下所示：

表 3：IRB 接口的信息元素值
IRB 接口上的内联监控服务方向	信息元素-10（传入接口）	信息元素-14（传出接口）
入口	IRB 的 SNMP ID	0
出口	IRB 的 SNMP ID	VLAN 网桥封装接口的 SNMP ID

对于基于 XL-XM 的设备（使用查找芯片（XL）和缓冲 ASIC （XM）），即使出口数据包长度大于剪辑长度，导出的数据包中数据链路帧部分信息元素的长度也可以短于剪辑长度。

数据链路帧部分信息元素的长度减少 'N' 个字节数，其中 'N' = （入口数据包第 2 层封装长度 - 出口数据包第 2 层封装长度）。

例如，当入口数据包具有 MPLS 标签且出口数据包为 IPv4 或 IPv6 类型时，入口数据包的第 2 层封装长度大于出口数据包的封装长度。当流量从提供商边缘（PE）设备流向客户边缘（CE）设备时，入口数据包具有 VLAN 标记，而出口数据包不带标记。

在这种情况下，剪辑长度可能会超过数据包磁头的最后一个地址位置，从而生成 PKT_HEAD_SIZE 系统日志消息。这可能会导致设备的数据包转发质量下降。
如果入口方向上有内联监控服务， egressInterface （信息元素 ID 14）不会报告输出接口的 SNMP 索引。在入口方向的情况下，此信息元素 ID 始终报告值为零。接收收集器进程应根据（ flowDirection 信息元素 ID 61）标识此字段的有效性。

内联监控服务支持和不支持的功能

内联监控服务支持：

平滑路由引擎切换
不中断服务的软件升级（ISSU）、不间断软件升级（NSSU）和不间断活动路由（NSR）
以太网接口以及集成路由和桥接（IRB）接口
Junos 节点切片
从 Junos OS 演化版 22.4R1 开始，为收集器配置 DSCP、转发类或路由实例。
从 Junos OS 演化版 22.4R1 开始，配置模板 ID 或选项模板 ID。

内联监控服务目前不支持：

配置 16 个以上（Junos OS）或 7 个以上（Junos OS 演化版）内联监控实例。
Junos Traffic Vision
在 Junos OS 21.1R1 版之前，只有inetinet6家族防火墙过滤器支持内联监控实例术语作。从 Junos OS 21.1R1 版开始，该系列防火墙过滤器支持any, bridge, ccc, mpls,和vpls系列防火墙过滤器。
IPv6 可寻址收集器
虚拟平台
逻辑系统
配置观察域 ID 和观察云 ID。您只能选择其中之一。
用于异常报告的内联监控实例作不能用于任何其他目的，例如防火墙重定向作或常规内联监控作。
用于防火墙重定向作的内联监控实例不能用于任何其他目的，例如异常报告或常规内联监控作。
Junos OS 演化版 22.4R1 之前的版本，为收集器配置 DSCP、转发类或路由实例。
Junos OS 演化版 22.4R1 之前的版本，配置模板 ID 或选项模板 ID。系统会为您生成这些内容。
在同一防火墙过滤器术语（Junos OS Evolved）下配置端口镜像和内联监控服务。
在出口方向上，同时配置SFlow和异常上报;您只能选择其中之一（Junos OS Evolved）。

配置内联监控服务

内联监控服务可以监控入口和出口方向上的 IPv4 和 IPv6 流量。您可以在配备 MPC （Junos OS）的 MX 系列路由器和运行 Junos OS 演化版的 PTX 路由器上启用内联监控。

您可以配置内联监控服务，以监控接口同一逻辑单元上以不同采样率的不同流量流。您还可以将原始数据包大小以及接口源信息导出到收集器，以便进行有效的故障排除。

配置之前

配置内联监控服务时，您可以：

最多可配置 16 个（Junos OS）或 7 个（Junos OS 演化版）内联监控实例。在每个实例下，您都可以配置特定的收集器和模板参数。
在每个内联监控实例下最多配置 4 个 IPv4 可寻址收集器。总共最多可以配置 64 个收集器。收集器可以位于远程，并且位于不同的位置。

对于每个收集器，可以配置特定参数，例如源地址和目标地址等。收集器上的默认路由实例名称为 default.inet。
对于 Junos OS，可以使用inet术语 action inline-monitoring-instance inline-monitoring-instance-name 配置或inet6系列防火墙过滤器。从 Junos OS 21.1R1 版开始，您可以使用any, bridge, ccc, mpls,术语 action inline-monitoring-instance inline-monitoring-instance-name 配置或vpls系列防火墙过滤器。对于 Junos OS 演化版，可以使用any, ccc, ethernet-switch, inet, inet6,术语 action inline-monitoring-instance inline-monitoring-instance-name配置或mpls系列防火墙过滤器。

每个术语都可以支持不同的内联监视实例。
将内联监控防火墙过滤器附加到接口逻辑单元的家族下。

成功提交配置后，可以通过从 CLI 发出 show services inline-monitoring statistics fpc-slot 命令来验证内联监控服务的实现。

注意：

如果数据包需要应用内联监控服务以及任何传统采样技术（如 JFlow 或 SFlow），则数据包转发引擎将对该数据包执行内联监控服务和传统采样技术。目前，必须为 Junos OS 演化版使用不同的术语来配置端口镜像。

图 6 是内联监控服务的示例图示，其中流量在设备接口上以两种不同的采样率进行监控，并以 IPFIX 封装格式导出到四个远程收集器。对于 Junos OS，您可以在每个收集器上配置采样率，从而允许每个收集器使用不同的采样率。对于 Junos OS 演化版，您可以在内联监控实例上配置采样率，该采样率将应用于为该实例配置的所有收集器。

图 6：内联监控服务 Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

在本示例中，设备的 et-1/0/0 接口配置了内联监控服务。具体配置如下：

有两个内联监控实例：实例 1 和实例 2。
有四个收集器，每个内联监控实例下有两个收集器。
- 实例 1 有 Collector-1 和 Collector-2。
- 实例 2 有 Collector-101 和 Collector-102。
实例 1 上的收集器的采样率为 1：10000。
实例 2 上的收集器的采样率为 1：1。
实例 1 收集器的源地址和目标地址分别为 10.1.1.1 和 10.2.2.1。
实例 2 收集器的源地址和目标地址分别为 10.11.1.1 和 10.12.2.1。
数据包以 IPFIX 封装格式导出到收集器。

要配置内联监控服务，请执行以下作：

为每个内联监控实例定义防火墙过滤器，以便为内联监控服务提供服务。您可以使用术语 action inline-monitoring-instance配置系列防火墙过滤器。

要定义防火墙过滤器，请执行以下作：

在此示例中，分别为 Instance1 和 Instance2 配置了术语 t1 和 t2。

通过配置关联的模板、实例和收集器参数来启用内联监控服务。

要配置内联监控服务模板，请执行以下作：

在此示例中，配置了模板 template-1 和 template-2。

要配置内联监视实例和收集器参数，请执行以下作：

对于 Junos OS：

在此 Junos OS 示例中，实例 1 有两个收集器（collector-1 和 collector-2），实例 2 有两个收集器（collector-101 和collector-102）。为两个实例配置了不同的采样率。

对于 Junos OS 演化版：

在此示例中，对于 Junos OS 演化版，实例 1 有两个收集器（collector-1 和 collector-2），实例 2 有两个收集器（collector-101 和 collector-102）。为两个实例配置了不同的采样率。

将防火墙过滤器映射到接口逻辑单元的族下，以在入口或出口方向应用内联监控。

或者，您可以通过使用输入或输出语句将防火墙过滤器映射到转转发表过滤器来应用内联监控，以分别过滤入口或出口数据包。

要连接防火墙过滤器，请执行以下作：

在此示例中，内联监控过滤器连接到 et-1/0/0 的单元 0 的家族 inet。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用功能浏览器查看您使用的平台是否支持某项功能。

释放

描述

23.4R1-EVO

内联监控服务（使用 JNP10K-LC1201 或 JNP10K-LC1202 线卡的PTX10003路由器）— 从 Junos OS 演化版 23.4R1 开始，您可以在 PTX10003 路由器上配置内联监控服务以报告异常。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置或 mpls系列防火墙过滤器。

22.4R1-EVO

内联监控服务（PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器，使用 JNP10K-LC1201 或 JNP10K-LC1202 线卡） - 从 Junos OS 演化版 22.4R1 开始，您可以在 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上配置内联监控服务，以对数据包进行采样、添加元数据并将数据包导出到配置的剪辑长度到 IPFIX 收集器以供进一步处理。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置或 mpls系列防火墙过滤器。

22.3R1

内联监控服务（MX304 路由器） - 从 Junos OS 22.3R1 版开始，您可以在 MX304 路由器上配置内联监控服务。

22.2R1-EVO

内联监控服务（PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器，使用 JNP10K-LC1201 或 JNP10K-LC1202 线卡） - 从 Junos OS 演化版 22.1R1 开始，您可以在 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上配置内联监控服务以报告异常。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置或 mpls系列防火墙过滤器。

21.4R1

内联监控服务（MX10008路由器的 LC9600 线卡） - 从 Junos OS 21.4R1 版本开始，您可以在包含 LC9600 线卡的MX10008路由器上配置内联监控服务。

21.2R1

支持用于内联监控服务的第 2 层和任意防火墙过滤器系列（带有 MPC10E 和 MPC11E 线卡的 MX 系列）—从 Junos OS 21.2R1 版开始，您可以使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 any, bridge, ccc, mpls,或 vpls系列防火墙过滤器。

21.2R1

内联监控服务（用于 MX10008 和 MX10016 路由器的 LC480 线卡 - 从 Junos OS 21.2R1 版开始，您可以在包含 LC480 线卡的 MX10008 和 MX10016 路由器上配置内联监控服务。

21.1R1

支持用于内联监控服务的第 2 层和任何防火墙过滤器系列（带有 MPC 的 MX 系列，不包括 MPC10E 和 MPC11E 线卡）—从 Junos OS 21.1R1 版开始，您可以使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 any、bridge、ccc、mpls 或 vpls 系列防火墙过滤器。

20.4R1

内联监控服务（适用于 MX 系列路由器的 MPC10E 和 MPC11E 线卡） - 从 Junos OS 20.4R1 版开始，您可以在包含 MPC10E 和 MPC11E 线卡的 MX 系列路由器上配置内联监控服务。

19.4R1

内联监控服务（带 MPC 的 MX 系列，不包括 MPC10E 和 MPC11E 线卡） - 从 Junos OS 19.4R1 版开始，您可以配置一种新的监控技术，以便灵活地在同一接口上以不同的采样率监控不同的流量流。您还可以将数据包导出至配置的剪辑长度，以 IP 流信息导出（IPFIX）格式导出到收集器。IPFIX 格式包含有关受监控数据包的重要元数据信息，以便在收集器上进一步处理。