Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der aktiven Inline-Flussüberwachung mithilfe von Routern, Switches oder NFX250

Die aktive Inline-Datenstromüberwachung ist in der Packet Forwarding Engine implementiert. Die Paketweiterleitungs-Engine führt Funktionen wie das Erstellen und Aktualisieren von Datenflüssen und das Aktualisieren von Datenstromdatensätzen aus. Die Datenstromaufzeichnungen werden im branchenüblichen IPFIX- oder Version 9-Format gesendet.

Auf Routern mit MS-PICs oder MS-DPCs werden IPv4- und IPv6-Fragmente präzise verarbeitet. Die Anwendung zur Flussüberwachung erstellt zwei Datenflüsse für jeden fragmentierten Datenfluss. Das erste Fragment mit den vollständigen Layer-4-Informationen bildet den ersten Flow mit 5-Tupel-Daten, und anschließend bilden alle fragmentierten Pakete, die sich auf diesen Flow beziehen, einen weiteren Flow, bei dem die Layer-4-Felder auf Null gesetzt sind.

Die folgenden Einschränkungen und Einschränkungen gelten für die aktive Inline-Datenstromüberwachungsfunktion:

  • Die Konfiguration von sFlow und aktiver Inline-Datenstromüberwachung auf derselben Schnittstelle führt zu unerwartetem Verhalten. Konfigurieren Sie diese Funktionen daher auf separaten Schnittstellen.

  • Die Konfiguration sowohl der Ausgangsportspiegelung als auch der aktiven Inline-Datenstromüberwachung auf derselben Schnittstelle führt zu unerwartetem Verhalten. Konfigurieren Sie diese Funktionen daher auf separaten Schnittstellen.

  • Eingangs- und Ausgangssampling werden an dieselbe Hostpfadwarteschlange gesendet. Die Paketrate in der Warteschlange wird für alle Eingangs- und Ausgangspakete mit Stichprobe geteilt.

  • Die Weiterleitungsklassenkonfiguration ist nicht effektiv. Exportdatensatzpakete werden immer als Kontrollrahmen betrachtet und als solche in die Netzwerksteuerungswarteschlange verschoben.

  • Wenn mehrere Inline-Firewall-Filter für die aktive Datenstromüberwachung mit einem Datenstrom übereinstimmen, werden nur die Aktionen des ersten Filters ausgeführt.

  • Wenn sich der Zielport bei der Eingangsabtastung auf einer aggregierten Ethernet-Schnittstelle befindet, ist die Ausgabeschnittstelle ungültig.

Die folgenden Überlegungen gelten für die Konfiguration der Inline-Active-Flow-Überwachungsinstanz:

  • Sampling-Lauflänge und Clip-Größe werden nicht unterstützt.

  • Bei Inline-Konfigurationen sind Kollektoren nicht über Verwaltungsschnittstellen erreichbar, z. B fxp0. .

  • Die aktive Inline-Datenstromüberwachung unterstützt keine . cflowd Daher unterstützt die Inline-Flussüberwachung nicht die lokale Dump-Option, die nur mit cflowd verfügbar ist.

  • Die aktive Inline-Datenstromüberwachung wird nicht unterstützt, wenn Sie Next Gen Services auf einem Router der MX-Serie aktivieren.

  • Die Anzahl der unterstützten Kollektoren hängt vom Gerät ab:

    • In Junos OS Version 16.2 und in Junos OS Version 16.1R3 und früher können Sie nur einen Collector unter einer Familie für die Inline-Überwachung des aktiven Datenstroms konfigurieren. Ab Junos OS Version 16.1R4 und 17.2R1 können Sie bis zu vier Kollektoren unter einer Produktfamilie für die Inline-Überwachung des aktiven Datenstroms konfigurieren. Ab Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 20.4R1 können Sie für die Router PTX10001-36MR und PTX10008 (mit der Linecard JNP10K-LC1202 und der JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Ab Junos OS Evolved 21.1R1 können Sie für den PTX10004 Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Die Packet Forwarding Engine (PFE) kann den Datenstromdatensatz, die Datenstromdatensatzvorlage, die Optionsdaten und das Optionsdatenvorlagenpaket an alle konfigurierten Kollektoren exportieren. Um einen Kollektor unter einer Familie für die Inline-Überwachung des aktiven Datenflusses zu konfigurieren, konfigurieren Sie die flow-server Anweisung auf Hierarchieebene [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] . Wenn Sie bis zu vier Kollektoren angeben möchten, schließen Sie bis zu vier flow-server Anweisungen ein.

    • Bei Inline-Konfigurationen auf allen anderen Geräten kann jede Familie nur einen Collector unterstützen.

Die Konfiguration der aktiven Inline-Flussüberwachung erfolgt über Anweisungen aus vier Hierarchieebenen:

  • [edit chassis] —Auf dieser Ebene ordnen Sie die Sampling-Instanz dem FPC zu, auf dem die Medienschnittstelle vorhanden ist (außer bei MX80 und MX104 – siehe Konfigurieren der Inline-Active-Flow-Überwachung auf MX80- und MX104-Routern). Wenn Sie das Sampling von IPv4-Flows, IPv6-Flows oder VPLS-Flows konfigurieren (nur Junos OS), können Sie die Größe der Flow-Hash-Tabelle für jede Familie wie unten beschrieben konfigurieren.

  • [edit firewall]– Auf dieser Ebene konfigurieren Sie einen Firewallfilter für die Datenverkehrsfamilie, die abgetastet werden soll. Sie müssen diesen Filter an die Schnittstelle anfügen, auf der Sie eine Stichprobe des Datenverkehrs erstellen möchten.

  • [edit forwarding-options]– Auf dieser Ebene konfigurieren Sie eine Sampling-Instanz und ordnen die Vorlage der Sampling-Instanz zu. Auf dieser Ebene konfigurieren Sie auch die IP-Adresse und Portnummer des Flow-Servers sowie die Flow-Exportrate.

  • [edit services flow-monitoring] – Auf dieser Ebene konfigurieren Sie die Vorlageneigenschaften für die Inline-Flow-Überwachung.

Bevor Sie die aktive Inline-Datenstromüberwachung konfigurieren, sollten Sie sicherstellen, dass Sie über Hashtabellen mit angemessener Größe für IPv4-, IPv6-, MPLS- und VPLS-Datenflussstichproben verfügen. (VPLS-Flow-Sampling gilt nur für Junos OS) Diese Tabellen können einen bis fünfzehn 256K-Bereiche verwenden. Ab Junos OS Version 16.1R1 und 15.1F2 wird der IPv4-Tabelle der Standardwert 1024 zugewiesen. Vor Junos OS Version 16.1 und 15.1F2 wurde der IPv4-Tabelle ein Standardwert von fünfzehn 256-KB-Bereichen zugewiesen. Der IPv6-Tabelle wird der Standardwert 1024 und der VPLS-Tabelle der Standardwert 1024 zugewiesen. Wenn das erwartete Datenverkehrsvolumen größere Tabellen erfordert, weisen Sie größere Tabellen zu.

So weisen Sie Flow-Hash-Tabellen zu:

  1. Wechseln Sie zur Hierarchieebene [edit chassis fpc 0 inline-services flow-table-size] für Inline-Services auf dem FPC, der die überwachten Flows verarbeitet.
  2. Geben Sie die erforderlichen Größen für die Samplinghashtabellen an.
    Hinweis:

    Ab Junos OS Version 18.2R1 ist die bridge-flow-table-size Option verfügbar und veraltet vpls-flow-table-size . Verwenden Sie stattdessen die bridge-flow-table-size Option. Die bridge-flow-table-size Option unterstützt sowohl VPLS- als auch Bridge-Datensätze.
    Hinweis:

    Die Gesamtzahl der für IPv4, IPv6, MPLS und VPLS verwendeten Einheiten darf 15 nicht überschreiten. Außerdem führt ab Junos OS Version 16.1R1 und 15.1F2 das Ändern der Größe der Flow-Hash-Tabelle nicht automatisch zu einem Neustart des FPC (bei früheren Versionen löst das Ändern der Größe der Flow-Hash-Tabelle einen Neustart des FPC aus).

So konfigurieren Sie die aktive Inline-Datenstromüberwachung auf Routern der MX-Serie (außer MX80- und MX104-Routern), Switches der EX-Serie und T4000-Routern mit FPC-Typ 5:

  1. Aktivieren Sie die aktive Inline-Datenstromüberwachung, und geben Sie die Quelladresse für den Datenverkehr an.

  2. Geben Sie die Vorlage an, die mit der Stichprobeninstanz verwendet werden soll.

  3. Konfigurieren Sie eine Vorlage, um Ausgabeeigenschaften anzugeben.

  4. (Optional) Konfigurieren Sie das Intervall, nach dem ein aktives Schema exportiert wird.

  5. (Optional) Konfigurieren Sie das Aktivitätsintervall, das einen Flow als inaktiv markiert.

  6. (Optional) Konfigurieren Sie die Aktualisierungsrate der Vorlage entweder in der Anzahl der Pakete oder in der Anzahl der Sekunden.

  7. (Optional) Konfigurieren Sie die Aktualisierungsrate entweder in der Anzahl der Pakete oder in der Anzahl der Sekunden.

  8. Geben Sie den Datensatztyp an, für den die Vorlage verwendet wird.

    Die vpls-template Option gilt nur für IPFIX-Vorlagen.

    Ab Junos OS Version 18.2R1 ist die bridge-template Option verfügbar und veraltet vpls-template . Verwenden Sie stattdessen die bridge-template Option. Die bridge-template Option (nur Junos OS) unterstützt sowohl VPLS- als auch Bridge-Datensätze und gilt sowohl für IPFIX- als auch für Version9-Vorlagen.

    Ab Junos OS Version 18.4R1 ist die Option für die mpls-ipv4-template Inline-Datenstromüberwachung veraltet. Verwenden Sie zum Konfigurieren von MPLS-Einträgen ab Junos OS Version 18.4R1 die mpls-template Option und die tunnel-observation Option. Dies wird in Schritt 9 beschrieben.

  9. Wenn Sie ab Junos OS Version 18.4R1 für die MX-Serie MPLS-Datenströme konfigurieren, gehen Sie wie folgt vor:

    1. Geben Sie die MPLS-Vorlage an.

    2. Konfigurieren Sie den Typ der zu erstellenden MPLS-Datenstromdatensätze.

      Die tunnel-observation Werte ermöglichen die Erstellung der folgenden Arten von Bewegungsdatensätzen:

      • ipv4—MPLS-IPv4-Datenströme

      • ipv6—MPLS-IPv6-Datenströme

      Sie können mehrere Werte für tunnel-observationkonfigurieren.

      Für einen MPLS-Datenverkehrstyp, der mit keinem der tunnel-observation Werte übereinstimmt, werden einfache MPLS-Datenstromdatensätze erstellt. Wenn Sie z. B. nur konfigurieren ipv4, führt der MPLS-IPv6-Datenverkehr zu einfachen MPLS-Datenstromdatensätzen.

      Wenn Sie dies nicht konfigurieren tunnel-observation, werden einfache MPLS-Datenstromdatensätze erstellt.

    3. Wenn Sie die Inline-Datenstromüberwachung auf einer Lookup-Karte (LU) ausführen, aktivieren Sie den Seitenbandmodus, um MPLS-IPv6-Datenstromdatensätze zu erstellen.

      Wenn Sie die Inline-Datenstromüberwachung auf einer LU-Karte ausführen und den Seitenbandmodus nicht aktivieren, führt MPLS-IPv6-Datenverkehr zu einfachen MPLS-Datenstromdatensätzen.

  10. (Optional) Fügen Sie den Wert für die Fließrichtung in die Vorlage ein.

    Das gemeldete Datenfeld enthält 0x00 (Eingang) oder 0x01 (Ausgang). Wenn Sie die flow-key flow-direction Anweisung nicht einschließen, enthält das Datenfeld für die Fließrichtung den ungültigen Wert 0xFF.

  11. (Optional) Fügen Sie VLAN-IDs sowohl in der Eingangs- als auch in der Ausgangsrichtung in den Datenstromschlüssel ein.

    Diese Anweisung ist für eingehende und ausgehende VLAN-ID-Berichte zu Schnittstellen nicht erforderlich.

  12. Ordnen Sie die Stichprobeninstanz dem FPC zu, auf dem Sie die aktive Inline-Flussüberwachung implementieren möchten.

    Verwenden Sie für MX240, MX480, MX960, MX2010, MX2020 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

    Verwenden Sie für MX5, MX10, MX40 und MX80 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

    Verwenden Sie für MX104 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

Dieses Beispiel zeigt die Sampling-Konfiguration für eine Instance, die die aktive Inline-Datenflussüberwachung unterstützt auf family inet:

Hier ist die Konfiguration des Ausgabeformats:

Das folgende Beispiel zeigt die Konfiguration des Ausgabeformats für Chassis fpc0:

Zugehörige Dokumentation

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
23.4R1-S1-EVO
Ab Junos OS Evolved 23.4R1-S1 für den ACX7332-Router unterstützen wir das Ingress- und Egress-Sampling von IPv4- und IPv6-Datenverkehr auf aggregierten Ethernet- und IRB-Schnittstellen sowie Schnittstellen, die nicht standardmäßigen VRFs zugeordnet sind, sowohl für das IPFIX- als auch für das Version 9-Exportformat. Sie können bis zu vier IPv4-Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
23.4R1-EVO
Ab Junos OS Evolved 23.4R1 für die Router ACX7024X und ACX7348 unterstützen wir das Ein- und Ausgangs-Sampling von IPv4- und IPv6-Datenverkehr auf aggregierten Ethernet- und IRB-Schnittstellen und Schnittstellen, die nicht standardmäßigen VRFs zugeordnet sind, sowohl für das IPFIX- als auch für das Version 9-Exportformat. Sie können bis zu vier IPv4-Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
23.1R1-EVO
Ab Junos OS Evolved Version 23.1R1 unterstützen wir für die Router PTX10001-36MR, PTX10003 und PTX10004 sowie für die Router PTX10008 und PTX10016 (mit der Linecard JNP10K-LC1201 oder JNP10K-LC1202 und den Routern JNP10008-SF3) IPv6-Adressen für IPFIX- und Version 9-Collectors. Sie können entweder IPv4- oder IPv6-Kollektoren für jede Familie innerhalb einer Stichprobeninstanz konfigurieren. Sie können nicht beides für dieselbe Familie angeben. Sie können bis zu vier Kollektoren für jede Familie angeben. Die Adresse des Zielservers geben Sie mit der flow-server address Anweisung und die Quelladresse mit der inline-jflow source-address address Anweisung auf Hierarchieebene [edit forwarding-options sampling instance name family (inet | inet6 | mpls) output] an.
23.1R1-EVO
Ab Junos OS Evolved 23.1R1 für die Router ACX7100 und ACX7509 unterstützen wir das Ein- und Ausgangs-Sampling von IPv4- und IPv6-Datenverkehr auf aggregierten Ethernet- und IRB-Schnittstellen und Schnittstellen, die nicht standardmäßigen VRFs zugeordnet sind, sowohl für das IPFIX- als auch für das Version 9-Exportformat. Sie können bis zu vier IPv4-Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
21.4R1-EVO
Ab Junos OS Evolved Version 21.4R1 für die PTX-Serie können Sie BGP-Community- und AS-Pfadinformationen mithilfe der IPFIX-Informationselemente (IP Flow Information Export) 483 bis 491, 16 und 17 gemäß den RFCs 8549 und 6313 exportieren. Inhaltsanbieter können diese Informationen verwenden, um einen Transitdienstleister zu identifizieren, der die Qualität des Dienstes verschlechtert. Diese Elemente konfigurieren Sie mit der Anweisung data-record-fields auf Hierarchieebene [edit services flow-monitoring version-ipfix template template-name] .
21.1R1-EVO
Ab Junos OS Evolved 21.1R1 können Sie für den PTX10004 Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
20.4R1-EVO
Beginnend mit Junos OS Evolved 20.4R1 können Sie für die Router PTX10001-36MR und PTX10008 (mit der Linecard JNP10K-LC1202 und der JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
20.3R1-EVO
Ab Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
19.3R2
Die aktive Inline-Datenstromüberwachung wird nicht unterstützt, wenn Sie Next Gen Services auf einem Router der MX-Serie aktivieren.
18.4R1
Ab Junos OS Version 18.4R1 ist die Option für die mpls-ipv4-template Inline-Datenstromüberwachung veraltet. Verwenden Sie zum Konfigurieren von MPLS-Einträgen ab Junos OS Version 18.4R1 die mpls-template Option und die tunnel-observation Option.
18.2R1
Ab Junos OS Version 20.3R1 für QFX10002-60C-Switches können Sie die aktive Inline-Datenstromüberwachung für IPv4- und IPv6-Datenverkehr konfigurieren. Es werden sowohl IPFIX- als auch Version-9-Vorlagen unterstützt.
18.2R1
Ab Junos OS Version 18.2R1 ist die bridge-flow-table-size Option verfügbar und veraltet vpls-flow-table-size . Verwenden Sie stattdessen die bridge-flow-table-size Option.
18.2R1
Ab Junos OS Version 18.2R1 ist die bridge-template Option verfügbar und veraltet vpls-template . Verwenden Sie stattdessen die bridge-template Option.
17.2R1
Ab Junos OS Version 17.2R1 für QFX10002 Switches haben wir Unterstützung für die aktive Inline-Datenstromüberwachung mit IPFIX-Vorlagen hinzugefügt.
16.1R4
In Junos OS Version 16.2 und in Junos OS Version 16.1R3 und früher können Sie nur einen Collector unter einer Familie für die Inline-Überwachung des aktiven Datenstroms konfigurieren. Ab Junos OS Version 16.1R4 und 17.2R1 können Sie bis zu vier Kollektoren unter einer Produktfamilie für die Inline-Überwachung des aktiven Datenstroms konfigurieren.
16.1R1
Außerdem führt ab Junos OS Version 16.1R1 und 15.1F2 das Ändern der Größe der Flow-Hash-Tabelle nicht automatisch zu einem Neustart der FPC.
16.1R1
Ab Junos OS Version 16.1R1 und 15.1F2 wird der IPv4-Tabelle der Standardwert 1024 zugewiesen.