Konfigurieren der Inline-Active-Flow-Überwachung auf Routern der PTX-Serie
In diesem Thema wird beschrieben, wie die aktive Inline-Datenstromüberwachung auf Routern der PTX-Serie für IPv4- und IPv6-Datenverkehr konfiguriert wird.
Plattform- und Funktionsunterstützung
Tabelle 1 listet die Plattformunterstützung der PTX-Serie für verschiedene Datenverkehrstypen für die aktive Inline-Datenstromüberwachung auf.
| Plattform |
Unterstützung |
|---|---|
| PTX3000-Serie |
Junos OS 18.1R1 – IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1 – MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX5000 Serie |
Junos OS 18.1R1 – IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1-, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX1000 |
Junos OS 17.3R1 – IPv4- und IPv6-Datenverkehr (nur Version 9). |
| PTX10001-36MR |
Junos OS Evolved 20.3R1 – IPv4-, IPv6-, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10002-60C |
Junos OS 18.4R1 – IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9). Junos OS 19.4R1 – MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10003 |
Junos OS Evolved 19.3R1 – IPv4- und IPv6-Datenverkehr (IPFIX und Version 9). Junos OS Evolved 20.1R1 – MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10004 |
Junos OS Evolved 20.4R1 – IPv4-, IPv6-, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr (IPFIX und Version 9). |
| PTX10008 (mit der Linecard JNP10008-SF3 und JNP10K-LC1201) |
Junos OS Evolved 19.3R1 – IPv4- und IPv6-Datenverkehr (IPFIX und Version 9). Junos OS Evolved 20.1R1 – MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10008 (mit der Linecard JNP10008-SF3 und JNP10K-LC1202) |
Junos OS Evolved 20.3R1 – IPv4-, IPv6-, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr (IPFIX und Version 9). |
| PTX10008 (ohne JNP10008-SF3) und PTX10016 |
Junos OS 18.1R1 – IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1 – MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
Informationen zum Konfigurieren der Inline-Datenstromüberwachung für MPLS-over-UDP-Datenverkehr auf Routern der PTX-Serie finden Sie unter Inline-Überwachung des aktiven Datenstroms von MPLS-over-UDP-Flows auf Routern der PTX-Serie. Die aktive Inline-Datenstromüberwachung für MPLS-over-UDP-Datenverkehr wird auf den Routern PTX10001-36MR, PTX10003, PTX10004 und PTX10008 (mit dem JNP10008-SF3) nicht unterstützt.
Ab Junos OS Version 18.2R1 können Sie bis zu vier Kollektoren innerhalb einer Produktfamilie für die Inline-Überwachung des aktiven Datenstroms konfigurieren. In früheren Versionen von Junos OS konnten Sie nur einen Collector unter einer Familie für die Inline-Überwachung des aktiven Datenstroms konfigurieren. Ab Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 20.4R1 können Sie für die Router PTX10001-36MR und PTX10008 (mit der Linecard JNP10K-LC1202 und der JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Ab Junos OS Evolved 21.1R1 können Sie für den PTX10004 Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Um einen Kollektor unter einer Familie für die Inline-Überwachung des aktiven Datenflusses zu konfigurieren, konfigurieren Sie die flow-server Anweisung auf Hierarchieebene edit forwarding-options sampling-instance instance-name family (inet | inet6) output . Wenn Sie bis zu vier Kollektoren angeben möchten, schließen Sie bis zu vier flow-server Anweisungen ein.
Die aktive Inline-Datenstromüberwachung ist auf der logischen CPU (LCPU) implementiert. Alle Funktionen wie Flow-Erstellung, Flow-Aktualisierung und Export von Flow-Datensätzen werden von der LCPU übernommen. Die Datenflussdatensätze werden entweder im IPFIX-Format oder im Version 9-Format gesendet.
Ab Junos OS Evolved Version 21.2R1 und Junos OS Version 21.3R1 werden keine Flows verwaltet. Jedes abgetastete Paket wird als Datenfluss betrachtet. Wenn das abgetastete Paket empfangen wird, wird der Datenfluss erstellt und sofort als inaktiv überschritten, und die Software exportiert einen Datensatz an den Collector. Daher ist die Anzahl der Datensätze, die an den Collector gesendet werden, höher als zuvor. Der Vorlagendatensatz für IPFIX- und Version 9-Optionen enthält jetzt 0 in den Flow Active Timeout Feldern (Element-ID 36) und Flow Inactive Timeout (Element-ID 37). Daher ist der Optionsvorlagendatensatz nicht konform mit IPFIX RFC 7011. Der show services accounting flow inline-jflow fpc-slot slot Befehl "Betriebsmodus" zeigt jetzt 0 für alle Active Flows Felder und Timed Out an. Die Werte der verschiedenen Total Flows Felder entsprechen nun den jeweiligen Flow Packets Feldwerten. Die Werte der verschiedenen Flows Inactive Timed Out Felder entsprechen nun den jeweiligen Flow Packets Feldwerten. Die Auswirkung der nexthop-learning Anweisung auf Hierarchieebene [edit services flow-monitoring version version template template-name] auf dieses No-Flow-Verhalten variiert je nach Betriebssystem. Für Junos OS Evolved wird davon abgeraten, die nexthop-learning Anweisung zu konfigurieren, da dadurch die Anzahl der Pakete, die verarbeitet werden können, verringert wird. Für Junos OS können Sie die nexthop-learning Anweisung so konfigurieren, dass dieses standardmäßige No-Flow-Verhalten geändert wird, und erneut Flows erstellt und verwaltet werden, um dann die Vorlage an alle Sampling-Instances anzufügen, die FPCs zugeordnet sind, die das vorherige Verhalten erfordern.
Die folgenden Einschränkungen und Einschränkungen gelten für die Inline-Funktion zur Überwachung des aktiven Datenstroms in Junos OS und Junos OS Evolved:
-
Ausgangs-MPLS-Filter werden auf den Routern PTX10001-36MR, PTX10003, PTX10004 und PTX10008 (mit dem JNP10008-SF3) nicht unterstützt.
-
Der PTX10001-36MR-Router unterstützt keine mehrfache FPC-Stichprobenerfassung, da er nur über 1 Routing-Engine verfügt.
-
Die OIF-Berichterstellung (True Outbound Interface) wird für das Ausgangs-Sampling nicht unterstützt. In Junos OS Evolved wird die OIF-Berichterstellung (True Outbound Interface) für entkapselte GRE-Pakete nicht unterstützt.
-
Das Feld für den Schnittstellentyp für die echte eingehende Schnittstelle ist nicht Teil der Vorlage für Version 9, da dieses Element in der Exportversion der Version 9 nicht vorhanden ist.
-
Bei GRE-Tunneldatenverkehr auf PTX10003-Routern wird die physische Schnittstelle im Layer-2-Header gemeldet und bei der Datenstromerstellung als einer der Schlüssel betrachtet. Wenn also physische Schnittstellen in das aggregierte Ethernet-Bundle hinein oder aus dem aggregierten Ethernet-Bundle verschoben werden, wird ein neuer Datenfluss erstellt, und für die alten Datenströme tritt nach einer gewissen Zeit der Inaktivität eine Zeitüberschreitung auf. Die physische Schnittstelle, die logische Schnittstelle oder die aggregierte logische Schnittstelle (basierend auf der Konfiguration) wird in Exportdatensätzen basierend auf der Konfiguration als eingehende Schnittstelle gemeldet.
Für den GRE-Tunnel-Datenverkehr auf PTX10008-Routern (mit dem JNP10008-SF3) ist eine FTI-Schnittstelle so konfiguriert, dass ein GRE-Tunnel beendet wird. Diese Schnittstelle wird während der Schemaerstellung als einer der Schlüssel anstelle der physischen Schnittstelle verwendet. Wenn also eine physische Schnittstelle in ein aggregiertes Ethernet-Bündel hinein oder aus diesem verschoben wird, wird kein neuer Datenfluss erstellt, da der Schlüssel unverändert bleibt. Die physische Schnittstelle, die logische Schnittstelle oder die aggregierte logische Schnittstelle (basierend auf der Konfiguration) wird in exportierten Datensätzen als eingehende Schnittstelle gemeldet.
So konfigurieren Sie die Inline-Überwachung des aktiven Datenstroms auf Routern der PTX-Serie
ZUSAMMENFASSUNG In diesem Beispiel konfigurieren wir eine Vorlage für die Aufzeichnung von version-ipfix IPv4- und IPv6-Datenverkehrsflüssen.
- Konfigurieren einer Vorlage zum Angeben von Ausgabeeigenschaften
- Konfigurieren einer Samplinginstanz zum Angeben von Eingabeeigenschaften
- Zuweisen der Stichprobeninstanz zu einem FPC
- Konfigurieren eines Firewallfilters zum Akzeptieren und Prüfen von Datenströmen
- Zuweisen des Firewall-Filters zu einer Schnittstelle
- Ergebnisse einer Beispielkonfiguration
Konfigurieren einer Vorlage zum Angeben von Ausgabeeigenschaften
-
Definieren Sie die Vorlage, und konfigurieren Sie den Typ des Flows, den die Vorlage aufzeichnen soll.
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(Optional) Konfigurieren Sie zusätzliche Ausgabeeigenschaften für die Vorlage, z. B. das Intervall für das Zeitüberschreiten des Datenflusses und die Aktualisierungsraten für Vorlagen/Optionen, um die Datensätze zu steuern.
Sie können die
template-refresh-rateOption verwenden, um die Häufigkeit zu konfigurieren, mit der der Datenstromgenerator Aktualisierungen zu Vorlagendefinitionen an den Datenstromkollektor sendet, entweder anhand der Anzahl der Pakete oder der Sekunden.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (Optional)
Wenn Sie MPLS-Datenflüsse überwachen, d. h., wenn die verwendete Vorlage für die MPLS-Protokollfamilie konfiguriert ist, verwenden Sie die
tunnel-observationOption, um die Typen von MPLS-Datenflüssen zu identifizieren.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(Optional) Aktivieren Sie das Erlernen von Next-Hop-Adressen, damit die tatsächliche ausgehende Schnittstelle gemeldet wird.
Hinweis:Ab Junos OS Evolved 21.2R1 wird davon abgeraten, das Erlernen von Next-Hop-Adressen zu aktivieren, da dadurch die Anzahl der zu verarbeitenden Pakete reduziert wird. Ab Junos OS Version 21.3R1 können Sie die
nexthop-learningAnweisung jedoch so konfigurieren, dass das standardmäßige No-Flow-Verhalten geändert wird, erneut Flows erstellt und verwaltet werden, und dann die Vorlage an alle Sampling-Instances anfügen, die FPCs zugeordnet sind, die das vorherige Verhalten erfordern.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
Konfigurieren einer Samplinginstanz zum Angeben von Eingabeeigenschaften
-
Definieren Sie die Samplinginstanz und konfigurieren Sie das Verhältnis der Anzahl der Pakete, die abgetastet werden sollen. Wenn Sie z. B. eine Rate von 10 angeben, wird jedes zehnte Paket (1 Paket von 10) abgetastet.
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
Bewährte Methode:Es wird empfohlen, für MPLS-Flows einen Wert von 1000 oder höher zu verwenden.
-
Konfigurieren Sie die Protokollfamilie für die Sampling-Instanz, und geben Sie einen Datenstromkollektor an, an den die Datenverkehrsaggregate gesendet werden sollen.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(Optional) Geben Sie den UDP-Port für den Datenstromkollektor und die Vorlage an, die mit der Stichprobeninstanz verwendet werden soll.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
Konfigurieren Sie die Inline-Verarbeitung der Stichprobenpakete.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
Zuweisen der Stichprobeninstanz zu einem FPC
-
Ordnen Sie die Stichprobeninstanz dem FPC zu, auf dem Sie die Flussüberwachung implementieren möchten.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
Konfigurieren eines Firewallfilters zum Akzeptieren und Prüfen von Datenströmen
-
Konfigurieren Sie den Firewallfilter für die Protokollfamilie, und aktivieren Sie das Sampling von Datenverkehrsflüssen.
[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
Zuweisen des Firewall-Filters zu einer Schnittstelle
-
Weisen Sie den Eingabe-Firewall-Filter der Schnittstelle zu, die Sie überwachen möchten.
[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
Ergebnisse einer Beispielkonfiguration
Im Folgenden finden Sie ein Beispiel für die Sampling-Konfiguration für eine Instance, die die Inline-Flussüberwachung aktiviert family inet und aktiviert family inet6unterstützt:
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance sample-1{
ipv4 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
Sie können den Befehl show services accounting flow verwenden, um aktive Flow-Statistiken zu überprüfen.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.