Beispiel: Konfigurieren der Flussüberwachung auf einem Router der MX-Serie mit MS-MIC und MS-MPC
Dieses Beispiel zeigt, wie Sie Junos Traffic Vision für die Datenstromüberwachung auf einem Router der MX-Serie mit MS-MIC und MS-MPC konfigurieren können, und enthält die folgenden Abschnitte:
Konfigurieren der Flussüberwachung auf MS-MIC
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.
Sie können das gleiche Verfahren und die gleiche Konfiguration für die Konfiguration der Flussüberwachung auf MS-MPC verwenden.
Aktivieren der Services Interface Card
set interfaces ms-2/0/0 unit 0 family inet
Konfigurieren der Vorlage und der Timer
set services flow-monitoring version9 template template1 set services flow-monitoring version9 template template1 flow-active-timeout 120 set services flow-monitoring version9 template template1 flow-inactive-timeout 60 set services flow-monitoring version9 template template1 ipv4-template set services flow-monitoring version9 template template1 template-refresh-rate packets 100 set services flow-monitoring version9 template template1 template-refresh-rate seconds 600 set services flow-monitoring version9 template template1 option-refresh-rate packets 100 set services flow-monitoring version9 template template1 option-refresh-rate seconds 600
Konfigurieren von Service-Set-Eigenschaften
set services service-set ss1 jflow-rules sampling set services service-set ss1 sampling-service service-interface ms-2/0/0.0
Konfigurieren von Weiterleitungsoptionen und Flow Server-Einstellungen
set forwarding-options sampling input rate 10 set forwarding-options sampling input run-length 18 set forwarding-options sampling family inet output flow-server 10.44.4.3 port 1055 set forwarding-options sampling family inet output flow-server 10.44.4.3 version9 template template1 set forwarding-options sampling family inet output interface ms-2/0/0.0 source-address 203.0.113.1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Die MS-Schnittstelle muss mit dem Familientyp konfiguriert werden, mit dem der Kollektor erreichbar sein soll. Wenn der Kollektor für den Sampling-Verkehr über IPv4 erreichbar ist, müssen Sie die Familie inet unter der MS-Schnittstelle einstellen, auch wenn Sie z.B. nur IPv6- und MPLS-Verkehr abtasten.
Konfigurieren Sie die Dienstschnittstelle.
[edit interfaces] user@router1# set interfaces ms-2/0/0 unit 0 family inet user@router1# set interfaces ms-2/0/0 unit 1 family inet6 user@router1# set interfaces ms-2/0/0 unit 2 family mpls
Konfigurieren Sie die Vorlageneigenschaften und die Zeitgeber für Exportrichtlinien.
[edit services] user@router1# set flow-monitoring version9 template template1 user@router1# set flow-monitoring version9 template template1 flow-active-timeout 120 user@router1# set flow-monitoring version9 template template1 flow-inactive-timeout 60 user@router1# set flow-monitoring version9 template template1 ipv4-template user@router1# set flow-monitoring version9 template template1 template-refresh-rate packets 100 user@router1# set flow-monitoring version9 template template1 template-refresh-rate seconds 600 user@router1# set flow-monitoring version9 template template1 option-refresh-rate packets 100 user@router1# set flow-monitoring version9 template template1 option-refresh-rate seconds 600
Tabelle 1: Kurzreferenz zu wichtigen Konfigurationsanweisungen auf dieser Hierarchieebene Konfigurationsanweisung
Beschreibung
flow-active-timeoutKonfiguriert das Intervall (in Sekunden), nach dem ein aktiver Flow exportiert wird.
Der Bereich liegt zwischen 10 und 600 Sekunden, der Standardwert ist 60 Sekunden.
flow-inactive-timeoutKonfiguriert das Intervall (in Sekunden) der Inaktivität, nach dem ein Flow als inaktiv markiert wird.
Der Bereich liegt zwischen 10 und 600 Sekunden, der Standardwert ist 60 Sekunden.
ipv4-template | ipv6-template | mpls-template | mpls-ipv4-template
Gibt den Datenverkehrstyp an, für den die Vorlage verwendet wird.
template-refresh-rateGibt die Aktualisierungsrate der Vorlage entweder als Anzahl der Pakete (Bereich ist 1 bis 480.000 und der Standardwert ist 4800) oder in Sekunden (der Bereich ist 10 bis 600 und der Standardwert ist 600) an.
Da es sich bei der Kommunikation zwischen dem Flow-Generator und dem Flow-Collector um eine unidirektionale Kommunikation handelt, muss der Flow-Generator regelmäßig Aktualisierungen zu Vorlagendefinitionen an den Flow-Collector senden. Der für diese Anweisung konfigurierte Wert steuert die Häufigkeit solcher Updates.
option-refresh-rateGibt die Aktualisierungsrate der Option entweder als Anzahl der Pakete (Bereich ist 1 bis 480.000 und der Standardwert ist 4800) oder in Sekunden (der Bereich ist 10 bis 600 und der Standardwert ist 60) an.
Konfigurieren Sie die Servicesatzeigenschaften.
[edit services] user@router1# set service-set ss1 jflow-rules sampling user@router1# set service-set ss1 sampling-service service-interface ms-2/0/0.0
Tabelle 2: Kurzreferenz zu Konfigurationsanweisungen auf dieser Hierarchieebene Konfigurationsanweisung
Beschreibung
samplingKonfiguriert den Dienstsatz für die Verarbeitung von Probenahme-/Datenstromüberwachungsaktivitäten.
service-interfaceGibt die Dienstschnittstelle an, die dem Dienstsatz zugeordnet ist.
Die hier konfigurierte Schnittstelle sollte mit der unter
[edit forwarding-options sampling family inet output]. Beachten Sie außerdem, dass die Schnittstelle keinem anderen Servicesatz zugeordnet werden sollte.Konfigurieren Sie Weiterleitungsoptionen und Flow-Server-Eigenschaften.
[edit forwarding-options] user@router1# set sampling input rate 10 user@router1# set sampling input run-length 18 user@router1# set sampling family inet output flow-server 10.44.4.3 port 1055 user@router1# set sampling family inet output flow-server 10.44.4.3 version9 template template1 user@router1# set sampling family inet output interface ms-2/0/0.0 source-address 203.0.113.1
Hinweis:Sie können die Stichprobenparameter entweder auf globaler Ebene (wie in diesem Beispiel gezeigt) oder auf FPC-Ebene angeben, indem Sie eine Stichprobeninstanz definieren. Um eine Stichprobeninstanz zu definieren, schließen Sie die Anweisung auf der Hierarchieebene und die Anweisung auf der
[edit chassis fpc number][edit forwarding-options sampling]Hierarchieebene ein, um dieinstancesampling-instanceStichprobeninstanz einer FPC zuzuordnen. Unter der Hierarchieebene[edit forwarding-options sampling instance instance]müssen Sie auch dieinputin diesem Schritt erläuterten und-Konfigurationenoutputeinbeziehen.Tabelle 3: Kurzreferenz zu wichtigen Konfigurationsanweisungen auf dieser Hierarchieebene Konfigurationsanweisung
Beschreibung
rateDas Verhältnis der Anzahl der Pakete, die abgetastet werden sollen. Wenn Sie z. B. eine Rate von 10 angeben, wird jedes zehnte Paket (1 Paket von 10) abgetastet.
Der Bereich liegt zwischen 1 und 16000000 (16M).
run-lengthDie Anzahl der Samples, die auf das initiale Trigger-Ereignis folgen. Auf diese Weise können Sie Samples von Paketen erstellen, die auf die bereits getesteten Pakete folgen.
Der Bereich liegt zwischen 0 und 20, und der Standardwert ist 0.
flow-serverEin Hostsystem zum Erfassen von Stichprobenflüssen im Format der Version 9.
source-addressEine IPv4-Adresse, die als Quelladresse des exportierten Pakets verwendet werden soll.
Ergebnis
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show chassis fpc 2Befehle , show interfacesund show forwarding-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@router1# show interfaces
ms-2/0/0 {
unit 0 {
family inet;
}
}
user@router1# show services
flow-monitoring {
version9 {
template template1 {
flow-active-timeout 120;
flow-inactive-timeout 60;
template-refresh-rate {
packets 100;
seconds 600;
}
option-refresh-rate {
packets 100;
seconds 600;
}
ipv4-template;
}
}
}
service-set ss1 {
jflow-rules {
sampling;
}
sampling-service {
service-interface ms-2/0/0.0
}
}
user@router1# show forwarding-options
sampling {
input {
rate 10;
run-length 18;
}
family inet {
output {
flow-server 10.44.4.3 {
port 1055;
version9 {
template {
template1;
}
}
}
interface ms-2/0/0.0 {
source-address 203.0.113.1;
}
}
}
}
Hardware- und Softwareanforderungen
Für dieses Beispiel ist ein Router der MX-Serie erforderlich, der über Folgendes verfügt:
Darauf läuft Junos OS Version 13.2.
Darin ist ein MS-MIC installiert.
Junos Traffic Vision-Unterstützung für MS-MIC und MS-MPC
Junos Traffic Vision (früher bekannt als Jflow) ist der Abrechnungsdienst, der auf MS-MIC und MS-MPC verfügbar ist. Junos Traffic Vision ermöglicht es Benutzern, die auf dem MS-MIC oder MS-MPC empfangenen Pakete nachzuverfolgen und Datenstromdatensätze zu generieren, die Informationen wie die Quelladresse des Pakets, die Zieladresse des Pakets, Paket- und Byteanzahl usw. enthalten. Die Junos Traffic Vision-Implementierung unterbricht den Datenverkehr nicht, sondern erstellt eine Kopie des eingehenden Pakets und sendet diese Kopie an die Service-Schnittstellenkarte, um die Informationen zu analysieren und den Datensatz zu verwalten.
Ab Version 13.2 sind die Junos OS-Erweiterungsanbieterpakete auf einem Multiservices-MIC und MPC (MS-MIC und MS-MPC) vorinstalliert. Die adaptive-services Konfiguration auf Hierarchieebene [edit chassis fpc number pic number] ist auf diesen Karten vorkonfiguriert.
Bevor Sie Junos Traffic Vision auf einem MS-MIC oder einer MS-MPC konfigurieren, müssen Sie einen Firewallfilter erstellen, der als Aktion konfiguriert wurde sample , und diesen auf die Schnittstelle anwenden, auf der Sie den Datenverkehr überwachen möchten. Der Flow-Collector in Junos Traffic Vision-Implementierungen ist ein Gerät zum Sammeln der Flow-Datensätze. Der Datenstromkollektor wird in der Regel außerhalb des Netzwerks bereitgestellt.
Weitere Informationen zum Konfigurieren von Firewall-Filtern finden Sie im Konfigurationshandbuch für Firewall-Filter von Junos OS.
Auf MS-MIC und MS-MPC unterstützt Junos OS Junos Traffic Vision Version 9 (v9). Junos Traffic Vision v9 unterstützt das Sampling von IPv4-, IPv6- und MPLS-Datenverkehr. Eine Service-Interface-Karte ist für die v9-Implementierung unerlässlich und wird daher oft als PIC-basiertes Monitoring bezeichnet.
Sie können die maximale Zeit konfigurieren, für die die Datenstromdatensätze auf der Serviceschnittstellenkarte gespeichert werden. Die Werte für aktives Timeout und inaktives Timeout, die beim Definieren der Vorlage konfiguriert wurden, steuern den Export von Flow-Datensätzen in den Collector. Ein MS-MIC kann maximal 14 Millionen Datenströme speichern, während ein MS-MPC bis zu 30 Millionen Datenströme pro NPU speichern kann.
In Junos Traffic Vision-Konfigurationen, die das Junos OS extension-provider-Paket verwenden, führt das Ändern der folgenden Anweisungen nach dem Initiieren der Datenstromüberwachung dazu, dass alle vorhandenen Datenströme ablaufen:
Auf den
[edit forwarding-options sampling instance instance-name family (inet |inet6 |mpls) output]Hierarchieebenen und[edit forwarding-options sampling family (inet |inet6 |mpls) output]gilt Folgendes:flow-server ip-addressflow-server port port-numberflow-server template template
Auf den
[edit services flow-monitoring version9 template template-name mpls-ipv4-template]Hierarchieebenen und[edit services flow-monitoring version9 template template-name mpls-template]gilt Folgendes:label-position
Da diese Änderungen die laufende Datenflussüberwachung unterbrechen können, wird empfohlen, diese Werte nicht zu ändern, nachdem die Datenflussüberwachung auf einem Gerät initiiert wurde. Die Änderungen, die an diesen Konfigurationsanweisungen vorgenommen werden, wenn die Datenstromüberwachung ausgeführt wird, gelten nur für die neu erstellten Datenflüsse.
Beachten Sie außerdem, dass diese Änderungen die Datenstromüberwachung auf Geräten, auf denen die Jflow-Konfiguration mit dem Junos OS Layer 2-Services-Paket ausgeführt wird, nicht unterbrechen. Aber auch bei einer auf Layer-2-Servicepaketen basierenden Konfiguration werden die Änderungen nur auf die neu erstellten Flows angewendet. Die vorhandenen Schemata verwenden weiterhin die ursprünglichen Einstellungen.
Wenn Junos Traffic Vision auf dem MS-MIC und MS-MPC konfiguriert ist, werden die Next-Hop-Adresse und die ausgehenden Schnittstellen in den IPv4- und IPv6-Datenstromdatensätzen falsch angezeigt, wenn das Ziel des abgetasteten Datenstroms über mehrere Pfade erreichbar ist.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Junos Traffic Vision-Konfiguration
- Anzeigen der Schemadetails
- Anzeigen von Details zu Fehlern, die auf der Services-Schnittstelle aufgetreten sind
Überprüfen der Junos Traffic Vision-Konfiguration
Zweck
Stellen Sie sicher, dass Junos Traffic Vision auf dem Router aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show services accounting status Befehl ein.
user@router1> show services accounting status Service Accounting interface: ms-2/0/0 Export format: 9, Route record count: 2093 IFL to SNMP index count: 35, AS count: 2 Configuration set: Yes, Route record set: Yes, IFL SNMP map set: Yes
Bedeutung
Zeigt die Service-Schnittstelle an, auf der die Überwachung konfiguriert ist, und gibt auch Informationen über das verwendete Exportformat (in diesem Fall Version 9).
Anzeigen der Schemadetails
Zweck
Zeigen Sie die Flow-Details auf der Schnittstelle an, die für die Flow-Überwachung konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show services accounting flow Befehl ein.
user@router1> show services accounting flow
Flow information
Service Accounting interface: ms-2/0/0, Local interface index: 229
Flow packets: 220693, Flow bytes: 24276230
Flow packets 10-second rate: 99, Flow bytes 10-second rate: 10998
Active flows: 10, Total flows: 12
Flows exported: 199, Flows packets exported: 718
Flows inactive timed out: 2, Flows active timed out: 199
Anzeigen von Details zu Fehlern, die auf der Services-Schnittstelle aufgetreten sind
Zweck
Zeigen Sie Details zu Fehlern (falls vorhanden) auf der Schnittstelle an, die für die Datenstromüberwachung konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show services accounting errors Befehl ein.
user@router1> show services accounting errors
Error information
Service Accounting interface: ms-2/0/0
Service sets dropped: 0, Active timeout failures: 0
Export packet failures: 0, Flow creation failures: 0
Memory overload: No