Konfigurieren der aktiven Inline-Durchflussüberwachung auf Routern der PTX-Serie
In diesem Thema wird beschrieben, wie die aktive Inline-Datenstromüberwachung auf Routern der PTX-Serie für IPv4- und IPv6-Datenverkehr konfiguriert wird.
Unterstützung von Plattformen und Funktionen
Tabelle 1 listet die Plattformunterstützung der PTX-Serie für verschiedene Datenverkehrstypen für die aktive Inline-Datenstromüberwachung auf.
| Bahnsteig |
Unterstützen |
|---|---|
| PTX3000 Serie |
Junos OS 18.1R1—IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1—MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX5000 Serie |
Junos OS 18.1R1—IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX1000 |
Junos OS 17.3R1—IPv4- und IPv6-Datenverkehr (nur Version 9). |
| PTX10001-36MR |
Junos OS Evolved 20.3R1—IPv4, IPv6, MPLS, MPLS-IPv4 und MPLS-IPv6 Datenverkehr. |
| PTX10002-60C |
Junos OS 18.4R1—IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9). Junos OS 19.4R1—MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10003 |
Junos OS Evolved 19.3R1—IPv4- und IPv6-Datenverkehr (IPFIX und Version 9). Junos OS Evolved 20.1R1—MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10004 |
Junos OS Evolved 20.4R1—IPv4, IPv6, MPLS, MPLS-IPv4 und MPLS-IPv6 Datenverkehr (IPFIX und Version 9). |
| PTX10008 (mit dem JNP10008-SF3 und der JNP10K-LC1201-Linecard) |
Junos OS Evolved 19.3R1—IPv4- und IPv6-Datenverkehr (IPFIX und Version 9). Junos OS Evolved 20.1R1—MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
| PTX10008 (mit dem JNP10008-SF3 und der JNP10K-LC1202-Linecard) |
Junos OS Evolved 20.3R1—IPv4-, IPv6-, MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr (IPFIX und Version 9). |
| PTX10008 (ohne JNP10008-SF3) und PTX10016 |
Junos OS 18.1R1—IPv4- und IPv6-Datenverkehr (sowohl IPFIX als auch Version 9) Junos OS 18.2R1—MPLS-, MPLS-IPv4- und MPLS-IPv6-Datenverkehr. |
VRF-Unterstützung: Ab Junos OS Evolved 24.2R1 unterstützen wir den Export von IPFIX- oder Version 9-Datensätzen von Inline-Paketen mit aktiver Datenstromüberwachung an Collectors, die über folgende Kanäle erreichbar sind:
-
Schnittstellen, die zur mgmt_junos VRF-Instanz gehören.
-
WAN-Ports, die zur nicht standardmäßigen VRF-Instanz gehören.
Sie konfigurieren diese Funktion mithilfe der routing-instance Konfigurationsanweisung auf Hierarchieebene[edit forwarding-options sampling instance name family type output flow-server IP-address]. Sie müssen sicherstellen, dass die Kollektoren über die Verwaltungsschnittstelle erreichbar sind. Wir unterstützen maximal vier Kollektoren für jeden Typ von VRF-Instanz. Sie können Kollektoren für beide Typen von VRF-Instanzen in derselben Samplingkonfiguration konfigurieren. Die Kollektoren, die über die VRF-Instanz mgmt_junos erreichbar sind, und die Kollektoren, die über die WAN-Ports erreichbar sind, können jedoch nicht unter derselben Familie koexistieren, da Sie nur eine Quell-IP-Adresse pro Familie angeben können. Sie können Kollektoren, inet6 Kollektoren oder eine Mischung aus den beiden Typen angebeninet. Informationen zum Konfigurieren der mgmt_junos VRF-Instanz finden Sie unter Verwaltungsschnittstelle in einer nicht standardmäßigen Instanz.
MPLS-over-UDP-Unterstützung: Informationen zum Konfigurieren der Inline-Datenstromüberwachung für MPLS-over-UDP-Datenverkehr auf Routern der PTX-Serie finden Sie unter Inline-Überwachung aktiver Datenstromüberwachung von MPLS-over-UDP-Datenströmen auf Routern der PTX-Serie. Die aktive Inline-Datenstromüberwachung für MPLS-over-UDP-Datenverkehr wird auf den Routern PTX10001-36MR, PTX10003, PTX10004 und PTX10008 (mit JNP10008-SF3) nicht unterstützt.
Sammler: Ab Junos OS Version 18.2R1 können Sie bis zu vier Kollektoren einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren. In früheren Versionen von Junos OS konnten Sie nur einen Kollektor unter einer Produktfamilie für die aktive Inline-Datenstromüberwachung konfigurieren. Ab Junos OS Evolved 20.3R1 können Sie für die Router PTX10003 und PTX10008 (mit der Linecard JNP10K-LC1201 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 20.4R1 können Sie für den PTX10001-36MR und die PTX10008-Router (mit der Linecard JNP10K-LC1202 und dem JNP10008-SF3) bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Beginnend mit Junos OS Evolved 21.1R1 können Sie für den PTX10004-Router bis zu vier Kollektoren für die aktive Inline-Datenstromüberwachung konfigurieren. Um einen Kollektor unter einer Familie für die aktive Inline-Flussüberwachung zu konfigurieren, konfigurieren Sie die flow-server Anweisung auf Hierarchieebene edit forwarding-options sampling-instance instance-name family (inet | inet6) output . Wenn Sie bis zu vier Kollektoren angeben möchten, fügen Sie bis zu vier flow-server Anweisungen hinzu.
Linecard CPU: Die aktive Inline-Durchflussüberwachung ist auf der Linecard-CPU (LCPU) implementiert. Alle Funktionen wie die Erstellung von Datenströmen, die Aktualisierung von Datenströmen und der Export von Datensätzen werden von der LCPU ausgeführt. Die Datenströme werden entweder im IPFIX-Format oder im Format Version 9 gesendet.
Fließt: Ab Junos OS Evolved Version 21.2R1 und Junos OS Version 21.3R1 werden keine Flows mehr beibehalten. Jedes abgetastete Paket wird als Datenstrom betrachtet. Wenn das abgetastete Paket empfangen wird, wird der Datenfluss erstellt und sofort als inaktiv abgebrochen, und die Software exportiert einen Datensatz in den Collector. Daher ist die Anzahl der Datensätze, die an den Collector gesendet werden, höher als zuvor. Der IPFIX- und Version 9-Vorlagendatensatz enthält nun 0 in den Flow Active Timeout Feldern (Element-ID 36) und Flow Inactive Timeout (Element-ID 37). Daher ist der Datensatz der Optionsvorlage nicht mit IPFIX RFC 7011 konform. Der Befehl für den show services accounting flow inline-jflow fpc-slot slot Active Flows Timed Out Betriebsmodus zeigt nun für alle und-Felder 0 an. Die Werte der verschiedenen Total Flows Felder entsprechen nun den jeweiligen Flow Packets Feldwerten. Die Werte der verschiedenen Flows Inactive Timed Out Felder entsprechen nun den jeweiligen Flow Packets Feldwerten. Die Auswirkung der nexthop-learning Anweisung auf Hierarchieebene [edit services flow-monitoring version version template template-name] auf dieses No-Flow-Verhalten variiert je nach Betriebssystem. Für Junos OS Evolved wird davon abgeraten, die nexthop-learning Anweisung zu konfigurieren, da dadurch die Anzahl der zu verarbeitenden Pakete reduziert wird. Für Junos OS können Sie die Anweisung so konfigurieren, dass dieses nexthop-learning standardmäßige No-Flow-Verhalten geändert und erneut Flows erstellt und verwaltet werden. Anschließend können Sie die Vorlage an alle Sampling-Instanzen anhängen, die FPCs zugeordnet sind und das vorherige Verhalten erfordern.
Einschränkungen und Einschränkungen
Die folgenden Einschränkungen gelten für die Inline-Funktion zur aktiven Datenstromüberwachung in Junos OS und Junos OS Evolved:
-
MPLS-Filter für ausgehenden Datenverkehr werden auf den Routern PTX10001-36MR, PTX10003, PTX10004 und PTX10008 (mit JNP10008-SF3) nicht unterstützt.
-
Der PTX10001-36MR-Router unterstützt keine mehrfache FPC-Stichprobenerfassung, da er nur 1 Routing-Engine hat.
-
Die OIF-Berichterstellung (True Outgoing Interface) wird für Ausgangsstichproben nicht unterstützt. In Junos OS Evolved wird die Berichterstattung über echte ausgehende Schnittstellen (OIF) für entkapselte GRE-Pakete nicht unterstützt.
-
Das Feld für den Schnittstellentyp für die echte eingehende Schnittstelle ist nicht Teil der Vorlage der Version 9, da dieses Element in der Exportversion der Version 9 nicht vorhanden ist.
-
Für GRE-Tunneldatenverkehr auf PTX10003 Routern wird die physische Schnittstelle im Layer-2-Header gemeldet und bei der Flow-Erstellung als einer der Schlüssel betrachtet. Wenn also physische Schnittstellen in das aggregierte Ethernet-Bundle hinein- oder herausverschoben werden, wird ein neuer Datenfluss erstellt, und die alten Datenströme werden nach einer gewissen Zeit der Inaktivität abgebrochen. Die physische Schnittstelle, die logische Schnittstelle oder die aggregierte logische Schnittstelle (basierend auf der Konfiguration) wird in Exportdatensätzen basierend auf der Konfiguration als eingehende Schnittstelle gemeldet.
Für GRE-Tunneldatenverkehr auf PTX10008 (mit den JNP10008-SF3)-Routern wird eine FTI-Schnittstelle so konfiguriert, dass ein GRE-Tunnel beendet wird. Diese Schnittstelle wird während der Flow-Erstellung anstelle der physischen Schnittstelle als einer der Schlüssel verwendet. Wenn also eine physische Schnittstelle in ein aggregiertes Ethernet-Bundle hinein- oder herausbewegt wird, wird kein neuer Datenfluss erstellt, da der Schlüssel unverändert bleibt. Die physische Schnittstelle, die logische Schnittstelle oder die aggregierte logische Schnittstelle (basierend auf der Konfiguration) wird in exportierten Datensätzen als eingehende Schnittstelle gemeldet.
So konfigurieren Sie die aktive Inline-Datenstromüberwachung auf Routern der PTX-Serie
In diesem Beispiel konfigurieren wir eine version-ipfix Vorlage zum Aufzeichnen von IPv4- und IPv6-Datenverkehrsflüssen.
- Konfigurieren einer Vorlage zum Angeben von Ausgabeeigenschaften
- Konfigurieren einer Samplinginstanz zum Angeben von Eingabeeigenschaften
- Zuweisen der Sampling-Instanz zu einem FPC
- Konfigurieren eines Firewallfilters zum Akzeptieren und Testen von Flows
- Zuweisen des Firewall-Filters zu einer Schnittstelle
- Ergebnisse einer Beispielkonfiguration
Konfigurieren einer Vorlage zum Angeben von Ausgabeeigenschaften
-
Definieren Sie die Vorlage und konfigurieren Sie den Typ des Flows, den die Vorlage aufzeichnen soll.
[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
-
(Optional) Konfigurieren Sie zusätzliche Ausgabeeigenschaften für die Vorlage, z. B. das Zeitüberschreitungsintervall für den Datenfluss und die Aktualisierungsraten von Vorlagen/Optionen, um die Datensätze zu steuern.
Sie können die
template-refresh-rateOption verwenden, um die Häufigkeit zu konfigurieren, mit der der Flow-Generator Aktualisierungen über Vorlagendefinitionen an den Flow-Collector sendet, indem Sie entweder die Anzahl der Pakete oder Sekunden verwenden.[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (Optional)
Wenn Sie MPLS-Datenströme überwachen, d. h., wenn die verwendete Vorlage für die MPLS-Protokollfamilie konfiguriert ist, verwenden Sie die
tunnel-observationOption, um die Typen von MPLS-Datenströmen zu identifizieren.[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
-
(Optional) Aktivieren Sie das Erlernen von Next-Hop-Adressen, damit die tatsächliche ausgehende Schnittstelle gemeldet wird.
Anmerkung:Ab Junos OS Evolved 21.2R1 wird nicht empfohlen, das Lernen von Next-Hop-Adressen zu aktivieren, da dies die Anzahl der zu verarbeitenden Pakete verringert. Ab Junos OS Version 21.3R1 können Sie die
nexthop-learningAnweisung jedoch so konfigurieren, dass das standardmäßige No-Flow-Verhalten geändert wird, erneut Flows erstellt und verwaltet werden. Anschließend können Sie die Vorlage an alle Sampling-Instanzen anhängen, die FPCs zugeordnet sind und das vorherige Verhalten erfordern.[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
Konfigurieren einer Samplinginstanz zum Angeben von Eingabeeigenschaften
-
Definieren Sie die Sampling-Instanz, und konfigurieren Sie das Verhältnis der Anzahl der Pakete, die abgetastet werden sollen. Wenn Sie z. B. eine Rate von 10 angeben, wird jedes zehnte Paket (1 von 10 Paketen) abgetastet.
[edit forwarding-options sampling] user@host# set instance instance-name input rate number
Beste Praxis:Es wird empfohlen, für MPLS-Flows einen Wert von 1000 oder höher zu verwenden.
-
Konfigurieren Sie die Protokollfamilie für die Samplinginstanz, und geben Sie einen Datenstromsammler an, um die Datenverkehrsaggregate zu senden.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
-
(Optional) Geben Sie den UDP-Port für den Flow-Kollektor und die Vorlage an, die mit der Sampling-Instanz verwendet werden soll.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
-
Konfigurieren Sie die Inline-Verarbeitung der abgetasteten Pakete.
[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
Zuweisen der Sampling-Instanz zu einem FPC
-
Ordnen Sie die Sampling-Instanz dem FPC zu, auf dem Sie das Flow-Monitoring implementieren möchten.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
Konfigurieren eines Firewallfilters zum Akzeptieren und Testen von Flows
-
Konfigurieren Sie den Firewall-Filter für die Protokollfamilie und aktivieren Sie die Stichprobenerstellung für Datenverkehrsströme.
[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
Zuweisen des Firewall-Filters zu einer Schnittstelle
-
Weisen Sie den Eingangs-Firewall-Filter der Schnittstelle zu, die Sie überwachen möchten.
[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
Ergebnisse einer Beispielkonfiguration
Im Folgenden finden Sie ein Beispiel für die Sampling-Konfiguration für eine Instanz, die die Inline-Datenstromüberwachung ein- family inet und weiter family inet6unterstützt:
[edit chassis]
fpc 0 {
sampling-instance sample-1;
}
[edit services]
flow-monitoring {
version-ipfix {
template test-template {
flow-active-timeout 30;
flow-inactive-timeout 60;
nexthop-learning {
enable;
}
template-refresh-rate {
seconds 10;
}
ipv4-template;
}
template v6 {
ipv6-template;
}
}
}
[edit interfaces]
et-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
output ipv4-filter;
}
address 192.168.100.10/24;
}
}
}
et-1/0/2 {
unit 0 {
family inet6 {
filter {
input ipv6-filter;
output ipv6-filter;
}
address 2001:db8:0:2::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
}
}
}
[edit forwarding-options]
sampling {
instance sample-1{
ipv4 {
input {
rate 10;
}
family inet {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
test-template;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
family inet6 {
output {
flow-server 10.208.174.127 {
port 2055;
version-ipfix {
template {
v6;
}
}
}
inline-jflow {
source-address 192.168.100.1;
}
}
}
}
}
}
[edit firewall]
family inet {
filter ipv4-filter {
term ipv4-accept {
then {
accept;
sample;
}
}
}
}
family inet6 {
filter ipv6-filter {
term ipv6-accept {
then {
accept;
sample;
}
}
}
}
Sie können den Befehl show services accounting flow verwenden, um aktive Flow-Statistiken zu überprüfen.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.