Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration der aktiven Inline-Datenstromüberwachung mit Routern, Switches oder NFX250

Die aktive Inline-Datenstromüberwachung wird auf der Packet Forwarding Engine implementiert. Die Packet Forwarding Engine führt Funktionen wie das Erstellen und Aktualisieren von Datenströmen und das Aktualisieren von Datenstromdatensätzen aus. Die Datenstromdatensätze werden im branchenüblichen IPFIX- oder Version 9-Format gesendet.

Auf Routern mit MS-PICs oder MS-DPCs werden IPv4- und IPv6-Fragmente korrekt verarbeitet. Die Datenstromüberwachungsanwendung erstellt zwei Datenströme für jeden fragmentierten Datenstrom. Das erste Fragment mit den vollständigen Layer-4-Informationen bildet den ersten Datenfluss mit 5-Tupel-Daten, und anschließend bilden alle fragmentierten Pakete, die sich auf diesen Datenfluss beziehen, einen weiteren Datenstrom, bei dem die Layer-4-Felder auf Null gesetzt sind.

Die folgenden Einschränkungen und Einschränkungen gelten für die Inline-Funktion zur aktiven Datenstromüberwachung:

  • Die Konfiguration von sFlow und Inline-Überwachung des aktiven Datenstroms auf derselben Schnittstelle führt zu unerwartetem Verhalten. Konfigurieren Sie diese Funktionen daher auf separaten Schnittstellen.

  • Die Konfiguration sowohl der ausgehenden Portspiegelung als auch der aktiven Inline-Datenstromüberwachung auf derselben Schnittstelle führt zu unerwartetem Verhalten. Konfigurieren Sie diese Funktionen daher auf separaten Schnittstellen.

  • Eingangs- und Ausgangs-Sampling werden an dieselbe Hostpfad-Warteschlange gesendet. Die Paketrate in der Warteschlange wird für alle eingehenden und ausgehenden Pakete gemeinsam genutzt.

  • Die Konfiguration der Weiterleitungsklasse ist nicht effektiv. Exportdatensatzpakete werden immer als Kontrollrahmen betrachtet und als solche in die Warteschlange für die Netzwerksteuerung verschoben.

  • Wenn mehrere Inline-Firewall-Filter für die aktive Datenstromüberwachung mit einem Flow übereinstimmen, werden nur die Aktionen des ersten Filters ausgeführt.

  • Wenn sich der Zielport beim Ingress Sampling auf einer aggregierten Ethernet-Schnittstelle befindet, ist die Ausgangsschnittstelle ungültig.

Die folgenden Überlegungen gelten für die Konfiguration der Inline-Instanzen für die Überwachung des aktiven Datenstroms:

  • Sampling-Lauflänge und Clip-Größe werden nicht unterstützt.

  • Bei Inlinekonfigurationen sind Kollektoren nicht über Verwaltungsschnittstellen wie fxp0.

  • Die Inline-Überwachung des aktiven Datenstroms wird nicht unterstützt cflowd. Daher unterstützt die Inline-Datenstromüberwachung nicht die Option "Local Dump", die nur mit cflowd verfügbar ist.

  • Die aktive Inline-Datenstromüberwachung wird nicht unterstützt, wenn Sie Services der nächsten Generation auf einem Router der MX-Serie aktivieren.

  • Die Anzahl der unterstützten Kollektoren hängt vom Gerät ab:

    • In Junos OS Version 16.2 und in Junos OS Version 16.1R3 und früher können Sie nur einen Kollektor unter einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Version 16.1R4 und 17.2R1 können Sie bis zu vier Kollektoren unter einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 20.4R1 können Sie für den PTX10001-36MR und die PTX10008-Router (mit der Linecard JNP10K-LC1202 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 21.1R1 können Sie für den PTX10004-Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Die Packet Forwarding Engine (PFE) kann den Datenstromdatensatz, die Datenstromdatensatzvorlage, die Optionsdaten und das Vorlagenpaket für Optionsdaten in alle konfigurierten Kollektoren exportieren. Um einen Kollektor unter einer Familie für die aktive Inline-Flussüberwachung zu konfigurieren, konfigurieren Sie die flow-server Anweisung auf Hierarchieebene [edit forwarding-options sampling instance instance-name family (inet | inet6 | mpls) output] . Wenn Sie bis zu vier Kollektoren angeben möchten, fügen Sie bis zu vier flow-server Anweisungen hinzu.

    • Bei Inline-Konfigurationen auf allen anderen Geräten kann jede Produktfamilie nur einen Kollektor unterstützen.

Die Konfiguration der aktiven Inline-Datenstromüberwachung erfolgt anhand von Anweisungen aus vier Hierarchieebenen:

  • [edit chassis] – Auf dieser Ebene verknüpfen Sie die Sampling-Instanz mit dem FPC, auf dem die Medienschnittstelle vorhanden ist (außer bei MX80 und MX104 – siehe Konfigurieren der aktiven Inline-Datenstromüberwachung auf MX80- und MX104-Routern). Wenn Sie das Sampling von IPv4-Datenströmen, IPv6-Datenströmen oder VPLS-Datenströmen konfigurieren (nur Junos OS), können Sie die Größe der Datenfluss-Hash-Tabelle für jede Produktfamilie konfigurieren, wie unten beschrieben.

  • [edit firewall]: Auf dieser Ebene konfigurieren Sie einen Firewall-Filter für die Datenverkehrsfamilie, die abgetastet werden soll. Sie müssen diesen Filter an die Schnittstelle anfügen, auf der Sie den Datenverkehr prüfen möchten.

  • [edit forwarding-options]– Auf dieser Ebene konfigurieren Sie eine Sampling-Instanz und ordnen die Vorlage der Sampling-Instanz zu. Auf dieser Ebene konfigurieren Sie auch die IP-Adresse und Portnummer des Flow-Servers sowie die Flow-Exportrate.

  • [edit services flow-monitoring] – Auf dieser Ebene konfigurieren Sie die Vorlageneigenschaften für die Inline-Datenstromüberwachung.

Bevor Sie die Inline-Überwachung des aktiven Datenstroms konfigurieren, sollten Sie sicherstellen, dass Sie über ausreichend große Hashtabellen für IPv4-, IPv6-, MPLS- und VPLS-Datenstromstichproben verfügen. (VPLS-Durchflussabtastung gilt nur für Junos OS). Diese Tabellen können einen bis fünfzehn 256K-Bereiche verwenden. Ab Junos OS Version 16.1R1 und 15.1F2 wird der IPv4-Tabelle der Standardwert 1024 zugewiesen. Vor Junos OS-Versionen 16.1 und 15.1F2 wurde der IPv4-Tabelle ein Standardwert von fünfzehn 256-KB-Bereichen zugewiesen. Der IPv6-Tabelle wird der Standardwert 1024 und der VPLS-Tabelle der Standardwert 1024 zugewiesen. Wenn das erwartete Datenverkehrsvolumen größere Tabellen erfordert, weisen Sie größere Tabellen zu.

So weisen Sie Flow-Hash-Tabellen zu:

  1. Wechseln Sie zur Hierarchieebene [edit chassis fpc 0 inline-services flow-table-size] für Inline-Services auf dem FPC, der die überwachten Flows verarbeitet.
  2. Geben Sie die erforderlichen Größen für die Sampling-Hashtabellen an.
    Anmerkung:

    Ab Junos OS Version 18.2R1 ist die bridge-flow-table-size Option verfügbar und veraltet vpls-flow-table-size . Verwenden Sie stattdessen die bridge-flow-table-size Option. Die bridge-flow-table-size Option unterstützt sowohl VPLS- als auch Bridge-Datensätze.
    Anmerkung:

    Ab Junos OS Version 17.3R1 variiert die maximal unterstützte Datenflusstabellengröße je nach Linecard-Typ. Unter flow-table-size erfahren Sie, wie die Größe je nach Linecard-Typ variiert.

    Außerdem wird ab Junos OS Version 16.1R1 und 15.1F2 durch eine Änderung der Größe der Flow-Hash-Tabelle der FPC nicht automatisch neu gestartet (bei früheren Versionen löst eine Änderung der Größe der Flow-Hash-Tabelle einen Neustart des FPC aus).

So konfigurieren Sie die aktive Inline-Datenstromüberwachung auf Routern der MX-Serie (mit Ausnahme von Routern der MX80- und MX104-Serie), Switches der EX-Serie und T4000-Routern mit FPC vom Typ 5:

  1. Aktivieren Sie die Inline-Überwachung des aktiven Datenstroms, und geben Sie die Quelladresse für den Datenverkehr an.

  2. Geben Sie die Vorlage an, die mit der Samplinginstanz verwendet werden soll.

  3. Konfigurieren Sie eine Vorlage, um Ausgabeeigenschaften anzugeben.

  4. (Optional) Konfigurieren Sie das Intervall, nach dem ein aktiver Flow exportiert wird.

  5. (Optional) Konfigurieren Sie das Aktivitätsintervall, das einen Flow als inaktiv markiert.

  6. (Optional) Konfigurieren Sie die Aktualisierungsrate der Vorlage entweder in der Anzahl der Pakete oder in der Anzahl der Sekunden.

  7. (Optional) Konfigurieren Sie die Aktualisierungsrate entweder in der Anzahl der Pakete oder in der Anzahl der Sekunden.

  8. Geben Sie den Datensatztyp an, für den die Vorlage verwendet wird.

    Die vpls-template Option gilt nur für IPFIX-Vorlagen.

    Ab Junos OS Version 18.2R1 ist die bridge-template Option verfügbar und veraltet vpls-template . Verwenden Sie stattdessen die bridge-template Option. Die bridge-template Option (nur Junos OS) unterstützt sowohl VPLS- als auch Bridge-Datensätze und ist sowohl für IPFIX- als auch für Version9-Vorlagen vorgesehen.

    Ab Junos OS Version 18.4R1 ist die Option für die mpls-ipv4-template Inline-Datenstromüberwachung veraltet. Verwenden Sie die mpls-template Option und die tunnel-observation Option, um MPLS-Datensätze ab Junos OS Version 18.4R1 zu konfigurieren. Dies wird in Schritt 9 beschrieben.

  9. Führen Sie ab Junos OS Version 18.4R1 für die MX-Serie die folgenden Schritte aus, wenn Sie einen beliebigen Typ von MPLS-Datenstromdatensätzen konfigurieren:

    1. Geben Sie die MPLS-Vorlage an.

    2. Konfigurieren Sie den Typ der zu erstellenden MPLS-Datenströme.

      Die tunnel-observation Werte ermöglichen die Erstellung der folgenden Arten von Flussdatensätzen:

      • ipv4—MPLS-IPv4-Datenströme

      • ipv6—MPLS-IPv6-Datenströme

      Sie können mehrere Werte für tunnel-observationkonfigurieren.

      Für einen MPLS-Datenverkehrstyp, der mit keinem der tunnel-observation Werte übereinstimmt, werden einfache MPLS-Datenstromdatensätze erstellt. Wenn Sie z. B. nur konfigurieren ipv4, führt der MPLS-IPv6-Datenverkehr zu einfachen MPLS-Datenstromdatensätzen.

      Wenn Sie keine Konfiguration tunnel-observationvornehmen, werden einfache MPLS-Datenströme erstellt.

    3. Wenn Sie die Inline-Datenstromüberwachung auf einer LU-Karte (Lookup) ausführen, aktivieren Sie den Seitenbandmodus, um MPLS-IPv6-Datenstromdatensätze zu erstellen.

      Wenn Sie die Inline-Datenstromüberwachung auf einer LU-Karte ausführen und den Seitenbandmodus nicht aktivieren, führt der MPLS-IPv6-Datenverkehr zu einfachen MPLS-Datenstromdatensätzen.

  10. (Optional) Fügen Sie den Wert für die Fließrichtung in die Vorlage ein.

    Das gemeldete Datenfeld enthält 0x00 (Ingress) oder 0x01 (Egress). Wenn Sie die Anweisung nicht einschließen, enthält das Datenfeld für die flow-key flow-direction Fließrichtung den ungültigen Wert 0xFF.

  11. (Optional) Schließen Sie VLAN-IDs sowohl in Eingangs- als auch in Ausgangsrichtung in den Datenflussschlüssel ein.

    Diese Anweisung ist für die Berichterstattung über Ingress- und Ausgangs-VLAN-IDs an Schnittstellen nicht erforderlich.

  12. Ordnen Sie die Sampling-Instanz dem FPC zu, für den Sie die Inline-Überwachung des aktiven Datenstroms implementieren möchten.

    Verwenden Sie für MX240, MX480, MX960, MX2010, MX2020 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

    Verwenden Sie für MX5, MX10, MX40 und MX80 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

    Verwenden Sie für MX104 den folgenden Befehl:

    1. Bestätigen Sie die Konfiguration, indem Sie den folgenden show-Befehl ausführen:

Dieses Beispiel zeigt die Sampling-Konfiguration für eine Instanz, die die Inline-Überwachung des aktiven Datenstroms unterstützt family inet:

Hier ist die Konfiguration des Ausgabeformats:

Das folgende Beispiel zeigt die Konfiguration des Ausgabeformats für das Chassis fpc0:

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
23.4R1-EVO
Beginnend mit Junos OS Evolved 23.4R1 für die ACX7024X-, ACX7332- und ACX7348-Router unterstützen wir das Ingress- und Egress-Sampling von IPv4- und IPv6-Datenverkehr auf aggregierten Ethernet- und IRB-Schnittstellen sowohl für das IPFIX- als auch für das Version 9-Exportformat. Sie können bis zu vier IPv4-Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Sie können Stichproben für Datenverkehr erstellen, der nicht standardmäßigen VRFs zugeordnet ist, aber Sie können keine IPFIX- oder V9-Datensätze dieser abgetasteten Pakete über ein nicht standardmäßiges VRF oder ein Verwaltungs-VRF exportieren.
23.1R1-EVO
Ab Junos OS Evolved Version 23.1R1 unterstützen wir für die Router PTX10001-36MR, PTX10003 und PTX10004 sowie für die PTX10008- und PTX10016-Router (mit der JNP10K-LC1201 oder der JNP10K-LC1202-Linecard und der JNP10008-SF3)-Router IPv6-Adressen für IPFIX- und Version-9-Kollektoren. Sie können entweder IPv4- oder IPv6-Kollektoren für jede Familie innerhalb einer Samplinginstanz konfigurieren. Sie können nicht beide für dieselbe Familie angeben. Sie können bis zu vier Kollektoren für jede Familie angeben. Die Zielserveradresse geben Sie mit der flow-server address Anweisung und die Quelladresse mit der inline-jflow source-address address Anweisung auf Hierarchieebene [edit forwarding-options sampling instance name family (inet | inet6 | mpls) output] an.
23.1R1-EVO
Beginnend mit Junos OS Evolved 23.1R1 für die ACX7100- und ACX7509-Router unterstützen wir das Ingress- und Egress-Sampling von IPv4- und IPv6-Datenverkehr auf aggregierten Ethernet- und IRB-Schnittstellen sowohl für das IPFIX- als auch für das Version 9-Exportformat. Sie können bis zu vier IPv4-Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Sie können Stichproben für Datenverkehr erstellen, der nicht standardmäßigen VRFs zugeordnet ist, aber Sie können keine IPFIX- oder V9-Datensätze dieser abgetasteten Pakete über ein nicht standardmäßiges VRF oder ein Verwaltungs-VRF exportieren.
21.4R1-EVO
Ab Junos OS Evolved Version 21.4R1 für die PTX-Serie können Sie BGP-Community- und AS-Pfadinformationen mithilfe der IPFIX-Informationselemente 483 bis 491, 16 und 17 gemäß RFCs 8549 und 6313 exportieren. Inhalteanbieter können diese Informationen nutzen, um einen Transitdiensteanbieter zu identifizieren, der die Qualität des Dienstes verschlechtert. Diese Elemente konfigurieren Sie mit der Anweisung data-record-fields auf Hierarchieebene [edit services flow-monitoring version-ipfix template template-name] .
21.1R1-EVO
Beginnend mit Junos OS Evolved 21.1R1 können Sie für den PTX10004-Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
20.4R1-EVO
Beginnend mit Junos OS Evolved 20.4R1 können Sie für den PTX10001-36MR und die PTX10008-Router (mit der Linecard JNP10K-LC1202 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
20.3R1-EVO
Beginnend mit Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren.
19.3R2
Die aktive Inline-Datenstromüberwachung wird nicht unterstützt, wenn Sie Services der nächsten Generation auf einem Router der MX-Serie aktivieren.
18.4R1
Ab Junos OS Version 18.4R1 ist die Option für die mpls-ipv4-template Inline-Datenstromüberwachung veraltet. Verwenden Sie die mpls-template Option und die tunnel-observation Option, um MPLS-Datensätze ab Junos OS Version 18.4R1 zu konfigurieren.
18.2R1
Ab Junos OS Version 20.3R1 für QFX10002-60C-Switches können Sie Inline-Überwachung des aktiven Datenstroms für IPv4- und IPv6-Datenverkehr konfigurieren. Sowohl IPFIX- als auch Version-9-Vorlagen werden unterstützt.
18.2R1
Ab Junos OS Version 18.2R1 ist die bridge-flow-table-size Option verfügbar und veraltet vpls-flow-table-size . Verwenden Sie stattdessen die bridge-flow-table-size Option.
18.2R1
Ab Junos OS Version 18.2R1 ist die bridge-template Option verfügbar und veraltet vpls-template . Verwenden Sie stattdessen die bridge-template Option.
17.2R1
Ab Junos OS Version 17.2R1 für QFX10002-Switches haben wir Unterstützung für die Inline-Überwachung des aktiven Datenstroms mit IPFIX-Vorlagen hinzugefügt.
16.1R4
In Junos OS Version 16.2 und in Junos OS Version 16.1R3 und früher können Sie nur einen Kollektor unter einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Version 16.1R4 und 17.2R1 können Sie bis zu vier Kollektoren unter einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren.
16.1R1
Außerdem wird ab Junos OS Version 16.1R1 und 15.1F2 durch Ändern der Größe der Flow-Hash-Tabelle der FPC nicht automatisch neu gestartet.
16.1R1
Ab Junos OS Version 16.1R1 und 15.1F2 wird der IPv4-Tabelle der Standardwert 1024 zugewiesen.