Aktivieren der passiven Datenstromüberwachung auf Routern der M Series, MX-Serie oder T-Serie
Sie können IPv4-Datenverkehr von einem anderen Router überwachen, wenn Sie die folgenden Komponenten in einem Router der M Serie, MX-Serie oder T-Serie installiert haben:
Monitoring Services, Adaptive Services oder Multiservices-PICs zur Durchführung der Serviceverarbeitung
SONET/SDH, Fast Ethernet oder Gigabit Ethernet PICs als Transitschnittstelle
Auf SONET/SDH-Schnittstellen aktivieren Sie die passive Datenstromüberwachung, indem Sie die passive-monitor-mode
Anweisung auf der Hierarchieebene [Schnittstellen bearbeiten so-fpc/pic/port unit logical-unit-number] einfügen:
[edit interfaces so-fpc/pic/port unit logical-unit-number] passive-monitor-mode;
Auf ATM-Schnittstellen (Asynchronous Transfer Mode), Fast Ethernet oder Gigabit Ethernet aktivieren Sie die passive Datenstromüberwachung, indem Sie die passive-monitor-mode
Anweisung auf der [edit interfaces interface-name]
Hierarchieebene einschließen:
[edit interfaces interface-name] passive-monitor-mode;
Die passive IPv6-Überwachung wird auf Überwachungsdienst-PICs nicht unterstützt. Sie müssen die Portspiegelung so konfigurieren, dass die Pakete von den passiv überwachten Ports an andere Schnittstellen weitergeleitet werden. Schnittstellen, die auf den folgenden FPCs und PIC konfiguriert sind, unterstützen die passive IPv6-Überwachung auf den Routern der Serien T640 und T1600:
Verbesserte Skalierung FPC2
Verbesserte Skalierung FPC3
Enhanced II FPC1
Enhanced II FPC2
Enhanced II FPC3
Verbesserte Skalierung FPC4
Verbesserte Skalierung FPC4.1
10-Gigabit-Ethernet-LAN/WAN PIC mit 4 Ports und XFP (unterstützt sowohl im WAN-PHY- als auch im LAN-PHY-Modus für IPv4- und IPv6-Adressen)
Gigabit-Ethernet-PIC mit SFP
10-Gigabit Ethernet PIC mit XENPAK (Router der T1600-Serie)
SONET/SDH OC192/STM64 PIC (Router der T1600-Serie)
SONET/SDH OC192/STM64 PICs mit XFP (Router der T1600-Serie)
SONET/SDH OC48c/STM16 PIC mit SFP (Router der T1600-Serie)
SONET/SDH OC48/STM16 (Multi-Rate)
SONET/SDH OC12/STM4 (Multi-Rate) PIC mit SFP
Typ 1 SONET/SDH OC3/STM1 (Multi-Rate) PIC mit SFP
Um die Portspiegelung zu konfigurieren, schließen Sie die port-mirroring
Anweisung auf Hierarchieebene [edit forwarding-options]
ein.
Wenn Sie eine Schnittstelle im passiven Überwachungsmodus konfigurieren, verwirft die Packet Forwarding Engine im Hintergrund Pakete, die von dieser Schnittstelle kommen und für den Router selbst bestimmt sind. Der passive Überwachungsmodus verhindert außerdem, dass die Routing-Engine Pakete von dieser Schnittstelle überträgt. Pakete, die von der überwachten Schnittstelle empfangen werden, können an Überwachungsschnittstellen weitergeleitet werden. Wenn Sie die Anweisung passive-monitor-mode
in die Konfiguration aufnehmen:
Die ATM-Schnittstelle ist immer aktiviert, und die Schnittstelle empfängt oder überträgt keine eingehenden Steuerpakete, wie z. B. OAM- (Operation, Administration and Maintenance) und ILMI-Zellen (Interim Local Management Interface).
Die SONET/SDH-Schnittstelle sendet keine Keepalives oder Alarme und nimmt nicht aktiv am Netzwerk teil.
Gigabit- und Fast-Ethernet-Schnittstellen können sowohl die passive Überwachung pro Port als auch die passive Überwachung pro VLAN unterstützen. Der Ziel-MAC-Filter am Empfangsport der Ethernet-Schnittstellen ist deaktiviert.
Ethernet-Kapselungsoptionen sind nicht zulässig.
Ethernet-Schnittstellen unterstützen die
stacked-vlan-tagging
Anweisung nicht sowohl für IPv4- als auch für IPv6-Pakete im passiven Überwachungsmodus.
Auf Überwachungsdienstschnittstellen aktivieren Sie die passive Datenstromüberwachung, indem Sie die family
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number]
einschließen und die inet
Option angeben:
[edit interfaces interface-name unit logical-unit-number] family inet;
Für die Überwachungsdienstschnittstelle können Sie die Eigenschaften der physischen Multiservice-Schnittstelle konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Datenstromüberwachungsschnittstellen.
Um die Konformität mit der cflowd-Datensatzstruktur zu gewährleisten, müssen Sie die receive-options-packets
und-Anweisungen receive-ttl-exceeded
auf der [edit interfaces interface-name unit logical-unit-number family inet]
Hierarchieebene einschließen:
[edit interfaces interface-name unit logical-unit-number family inet] receive-options-packets; receive-ttl-exceeded;
Passive Datenstromüberwachung für MPLS-gekapselte Pakete
Auf Monitoring-Services-Schnittstellen können Sie MPLS-Pakete verarbeiten, denen keine Label-Werte zugewiesen wurden und die keinen entsprechenden Eintrag in der mpls.0
Routing-Tabelle haben. Auf diese Weise können Sie nicht gekennzeichneten MPLS-Paketen eine Standardroute zuweisen.
Um einen Standardbezeichnungswert für MPLS-Pakete zu konfigurieren, fügen Sie die default-route
Anweisung auf der [edit protocols mpls interface interface-name label-map]
Hierarchieebene ein:
[edit protocols mpls interface interface-name label-map] default-route { (next-hop (address | interface-name | address/interface-name)) | (reject | discard); (pop | (swap <out-label>); class-of-service value; preference preference; type type; }
Weitere Informationen zu statischen Bezeichnungen finden Sie im Benutzerhandbuch für MPLS-Anwendungen.
Entfernen von MPLS-Labels von eingehenden Paketen
Das Junos OS kann nur IPv4-Pakete an ein Monitoring Services-, Adaptive Services- oder Multiservices-PIC weiterleiten. IPv4- und IPv6-Pakete mit MPLS-Labels können nicht an ein Überwachungs-PIC weitergeleitet werden. Wenn Pakete mit MPLS-Labels an das Überwachungs-PIC weitergeleitet werden, werden sie standardmäßig verworfen. Um IPv4- und IPv6-Pakete mit MPLS-Labels zu überwachen, müssen Sie die MPLS-Labels entfernen, sobald die Pakete auf der Schnittstelle eintreffen.
Sie können MPLS-Labels von einem eingehenden Paket entfernen, indem Sie die pop-all-labels
Anweisung auf der [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls]
Hierarchieebene einfügen:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls] pop-all-labels { required-depth [ numbers ]; }
Bei Routern der MX-Serie mit MPCs blendet die Anweisung pop-all-labels
standardmäßig alle Beschriftungen aus, und die required-depth
Anweisung wird ignoriert.
Bei anderen Konfigurationen können Sie bis zu zwei MPLS-Labels von einem eingehenden Paket entfernen. Standardmäßig wird die pop-all-labels
Anweisung für eingehende Pakete mit einer oder zwei Labels wirksam. Sie können die Anzahl der MPLS-Labels angeben, die ein eingehendes Paket aufweisen muss, damit die Anweisung pop-all-labels
wirksam wird, indem Sie die required-depth
Anweisung auf der [edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels]
Hierarchieebene einschließen:
[edit interfaces interface-name (atm-options | fastether-options | gigether-options | sonet-options) mpls pop-all-labels] required-depth [ numbers ];
Die erforderliche Tiefe kann , 1
2
oder [ 1 2 ]
sein. Wenn Sie die required-depth 1
Anweisung einschließen, wird die pop-all-labels
Anweisung nur für eingehende Pakete mit einer Bezeichnung wirksam. Wenn Sie die required-depth 2
Anweisung einschließen, wird die pop-all-labels
Anweisung nur für eingehende Pakete mit zwei Bezeichnungen wirksam. Wenn Sie die required-depth [ 1 2 ]
Anweisung einschließen, wird die pop-all-labels
Anweisung für eingehende Pakete mit einer oder zwei Bezeichnungen wirksam. Eine erforderliche Tiefe von [ 1 2 ]
entspricht dem Standardverhalten der pop-all-labels
Anweisung.
Beachten Sie beim Entfernen von MPLS-Labels von eingehenden Paketen Folgendes:
Die
pop-all-labels
Anweisung hat keine Auswirkungen auf IP-Pakete mit drei oder mehr MPLS-Labels, mit Ausnahme von Routern der MX-Serie mit MPCs.Wenn Sie die MPLS-Labelentfernung aktivieren, müssen Sie alle Ports auf einem PIC mit demselben Label-Popping-Modus und der gleichen erforderlichen Tiefe konfigurieren.
Sie verwenden die
pop-all-labels
Anweisung, um passive Überwachungsanwendungen zu aktivieren, nicht aktive Überwachungsanwendungen.Sie können keine MPLS-Filter oder -Abrechnungen auf die MPLS-Labels anwenden, da die Labels entfernt werden, sobald das Paket auf der Schnittstelle eintrifft.
Auf ATM2-Schnittstellen müssen Sie einen Bezeichnungswert größer als 4095 verwenden, da der untere Bereich von MPLS-Bezeichnungen für die Unterstützung von Label-Switched-Schnittstellen (LSI) und VPLS (Virtual Private LAN Service) reserviert ist. Weitere Informationen finden Sie in der Junos OS VPNs Library for Routing Devices.
Die folgenden ATM-Verkapselungstypen werden auf Schnittstellen mit MPLS-Label-Entfernung nicht unterstützt:
atm-ccc-cell-relay
atm-ccc-vc-mux
atm-mlppp-llc
atm-tcc-snap
atm-tcc-vc-mux
ether-over-atm-llc
ether-vpls-over-atm-llc
Beispiel: Aktivieren der passiven IPv4-Datenstromüberwachung
Das folgende Beispiel zeigt eine vollständige Konfiguration für die Aktivierung der passiven Datenstromüberwachung auf einer Ethernet-Schnittstelle.
In diesem Beispiel kann die Gigabit-Ethernet-Schnittstelle alle Ethernet-Pakete aufnehmen. Er entfernt blind VLAN-Tags (falls vorhanden) und bis zu zwei MPLS-Labels und leitet IPv4-Pakete an die Überwachungsschnittstelle weiter. Mit dieser Konfiguration können IPv4-, VLAN+IPv4-, VLAN+MPLS+IPv4- und VLAN+MPLS+MPLS+IPv4-gekennzeichnete Pakete überwacht werden.
Die Fast-Ethernet-Schnittstelle kann nur Pakete mit der VLAN-ID 100 akzeptieren. Alle anderen Pakete werden verworfen. Mit dieser Konfiguration können VLANs (ID=100)+IPv4, VLANs (ID=100)+MPLS+IPv4 und VLAN-Pakete (ID=100)+MPLS+MPLS+IPv4 überwacht werden.
[edit firewall] family inet { filter input-monitoring-filter { term def { then { count counter; accept; } } } } [edit interfaces] ge-0/0/0 { passive-monitor-mode; gigether-options { mpls { pop-all-labels; } } unit 0 { family inet { filter { input input-monitoring-filter; } } } } fe-0/1/0 { passive-monitor-mode; vlan-tagging; fastether-options { mpls { pop-all-labels required-depth [ 1 2 ]; } } unit 0 { vlan-id 100; family inet { filter { input input-monitoring-filter; } } } } mo-1/0/0 { unit 0 { family inet { receive-options-packets; receive-ttl-exceeded; } } unit 1 { family inet; } } [edit forwarding-options] monitoring mon1 { family inet { output { export-format cflowd-version-5; cflowd 192.0.2.2 port 2055; interface mo-1/0/0.0 { source-address 192.0.2.1; } } } } [edit routing-instances] monitoring-vrf { instance-type vrf; interface ge-0/0/0.0; interface fe-0/1/0.0; interface mo-1/0/0.1; route-distinguisher 68:1; vrf-import monitoring-vrf-import; vrf-export monitoring-vrf-export; routing-options { static { route 0.0.0.0/0 next-hop mo-1/0/0.1; } } } [edit policy-options] policy-statement monitoring-vrf-import { then { reject; } } policy-statement monitoring-vrf-export { then { reject; } }
Beispiel: Aktivieren der passiven IPv6-Datenstromüberwachung
Das folgende Beispiel zeigt eine vollständige Konfiguration für die Aktivierung der passiven IPv6-Datenstromüberwachung auf einer Ethernet-Schnittstelle.
In diesem Beispiel kann die Gigabit-Ethernet-Schnittstelle alle Ethernet-Pakete aufnehmen. Er entfernt blind VLAN-Tags (falls vorhanden) und bis zu zwei MPLS-Labels und leitet IPv6-Pakete an die Überwachungsschnittstelle weiter. Bei dieser Konfiguration kann die Gigabit-Ethernet-Schnittstelle IPv6-, VLAN+IPv6-, VLAN+MPLS+IPv6- und VLAN+MPLS+MPLS+IPv6-gekennzeichnete Pakete überwachen.
Die VLAN-getaggte Gigabit-Ethernet-Schnittstelle kann nur Pakete mit der VLAN-ID 100 akzeptieren. Alle anderen Pakete werden verworfen. Mit dieser Konfiguration können VLANs (ID=100)+IPv6, VLANs (ID=100)+MPLS+IPv6 und VLAN-Pakete (ID=100)+MPLS+MPLS+IPv6 überwacht werden.
[edit interfaces] xe-0/1/0 { passive-monitor-mode; unit 0 { family inet6 { filter { input port-mirror6; } address 2001:db8::1/128; } } } xe-0/1/2 { passive-monitor-mode; vlan-tagging; unit 0 { vlan-id 100; family inet6 { filter { input port-mirror6; } } } } xe-0/1/1 { unit 0 { family inet6 { address 2001:db8::1/128; } } } [edit firewall] family inet6 { filter port-mirror6 { term term2 { then { count count_pm; port-mirror; accept; } } } } [edit forwarding options] port-mirroring { input { rate 1; } family inet6 { output { interface xe-0/1/1.0 { next-hop 2001:db8::3; } no-filter-check; } } }