Inline Active Flow Monitoring auf IRB-Schnittstellen
Sie können aktive Inline-Datenstromüberwachung für IPv4- und IPv6-Datenverkehr auf den integrierten Routing- und Bridging-Schnittstellen (IRB) auf Routern der PTX-Serie durchführen.
Übersicht
Auf Routern der PTX-Serie können Sie inline aktive Datenstromüberwachung für IPv4- und IPv6-Datenverkehr auf den integrierten Routing- und Bridging-Schnittstellen (IRB) durchführen. Sowohl IPFIX- als auch Version 9-Vorlagen für die Datenstromüberwachung werden unterstützt. Eine Beschreibung der Felder, die in den Vorlagen enthalten sind, finden Sie unter Verstehen der Inline-Überwachung des aktiven Datenstroms.
Inline Active Flow Monitoring auf IRB-Schnittstellen verstehen
Sie können die aktive Inline-Datenstromüberwachung aktivieren, indem Sie die IPFIX- oder V9-Vorlagen auf IRB-Schnittstellen konfigurieren.
- Sampling auf einer IRB-Schnittstelle mit Datenverkehr, der an einen Tunnelled Core geleitet wird
- Layer 2 Bridging und Layer 3 IP-Routing auf einer IRB-Schnittstelle
Sampling auf einer IRB-Schnittstelle mit Datenverkehr, der an einen Tunnelled Core geleitet wird
Abbildung 1 veranschaulicht das Sampling auf einer IRB-Schnittstelle, bei der der Datenverkehr an einen tunnelierten Core, hauptsächlich einen MPLS-Tunnel, geleitet wird. Die Pakete geben irb.10 ein, auf dem Sie die Eingangs-Sampling aktivieren können. Die Pakete können an einen nächsten Hop weitergeleitet werden, der nicht Teil eines benutzerdefinierten VLANs ist.
Layer 2 Bridging und Layer 3 IP-Routing auf einer IRB-Schnittstelle
Abbildung 2 veranschaulicht die Topologie, in der Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützt werden.
PC1 und PC2 befinden sich im roten VLAN (ID 10) und PC3 im blauen VLAN (ID 20).
Für Datenverkehr, der von PC1 zu PC3 oder von PC2 zu PC3 verlagert wird, muss eine IRB-Schnittstelle mit einer logischen Einheit mit einer Adresse im Subnetz für VLAN RED und einer logischen Einheit mit einer Adresse im Subnetz für VLAN BLUE konfiguriert werden. Der Switch leitet Routen automatisch zu diesen Subnetzen und verwendet diese Routen, um den Datenverkehr zwischen VLANs weiterzuleiten. Wenn Der Datenverkehr von VLAN RED zu VLAN BLUE fließt, können Sie die Eingangs-Sampling für irb.10 und das Egress-Sampling auf irb.20 konfigurieren.
Abbildung 3 veranschaulicht das Sampling in einer Topologie, in der Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützt werden. Die Schnittstellen et-0/0/36.0 und irb.10 gehören zur VLAN-ID 2. Die Schnittstellen et-0/0/48 und irb.20 gehören zur VLAN-ID 3. Pakete werden in irb.10 eingegeben und auf irb.20 beendet. Daher können Sie die Eingangs-Sampling für irb.10 und die Ausgangs-Sampling auf irb.20 konfigurieren.
unterstützt
Konfigurieren von Inline Active Flow Monitoring auf IRB-Schnittstellen auf Routern der PTX-Serie
- Konfigurieren der Vorlage zur Angabe von Ausgabeeigenschaften
- Konfigurieren der Sampling-Instanz
- Zuweisen der Sampling-Instanz zu einer FPC
- Konfigurieren eines Firewall-Filters
- Zuordnen einer Layer-3-Schnittstelle mit dem VLAN zum Routen des Datenverkehrs
- Zuweisen des Firewall-Filters zur überwachten Schnittstelle
Konfigurieren der Vorlage zur Angabe von Ausgabeeigenschaften
Konfigurieren Sie eine Vorlage, um die Ausgabeeigenschaften für die Datenstromsätze anzugeben:
Konfigurieren der Sampling-Instanz
Konfigurieren einer Sampling-Instanz:
Zuweisen der Sampling-Instanz zu einer FPC
Weisen Sie die Sampling-Instanz der FPC zu, auf der Die Datenstromüberwachung implementiert werden soll.
[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
Zum Beispiel:
[edit chassis] user@host# set fpc 0 sampling-instance s1
Konfigurieren eines Firewall-Filters
Konfigurieren Sie einen Firewall-Filter, um die Familie des Datenverkehrs anzugeben, der akzeptiert und getestet werden soll.
Zuordnen einer Layer-3-Schnittstelle mit dem VLAN zum Routen des Datenverkehrs
Weisen Sie die IRB-Schnittstelle dem VLAN zu.
[edit vlans vlan-name] user@host# set vlan-name vlan-id vlan-id-number user@host# set vlan-name l3-interface l3-interface-name .logical-interface-number
Zum Beispiel:
[edit vlans vlan-name] user@host# set vlan2 vlan-id 2 user@host# set vlan2 l3-interface irb.10
Wenn Sie beispielsweise die Inline-Datenstromüberwachung mit IRB konfigurieren und gleichzeitig Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützen (siehe Abbildung 3):
[edit vlans vlan-name] user@host# set vlan-2 vlan-id 2 user@host# set vlan-2 l3-interface irb.10 user@host# set vlan-3 vlan-id 3 user@host# set vlan-3 l3-interface irb.20
Zuweisen des Firewall-Filters zur überwachten Schnittstelle
Weisen Sie den Eingabe-Firewall-Filter der Schnittstelle zu, die Sie überwachen möchten. Konfigurieren Sie auch die VLANs, für die die Schnittstelle Datenverkehr übertragen kann.
[edit interfaces] user@host# set interface-name unit logical-unit-number family (inet | inet6 | mpls) filter input filter-name address
Wenn Sie beispielsweise die Inline-Datenstromüberwachung mit IRB konfigurieren und gleichzeitig Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützen (siehe Abbildung 3):
[edit interfaces] user@host# set et-0/0/36 unit 0 family ethernet-switching vlan members vlan2 user@host# set et-0/0/48 unit 0 family ethernet-switching vlan members vlan3 user@host# set et-0/0/60 unit 0 family inet address 10.10.10.1 user@host# set irb unit 1 family inet filter input f2 user@host# set irb unit 1 family inet address 10.1.1.1 user@host# set irb unit 2 family inet address 10.20.1.1 user@host# set irb unit 1 family inet address 10.1.1.1 user@host# set irb unit 2 family inet filter output f2