Inline-Überwachung des aktiven Durchflusses an IRB-Schnittstellen
Sie können eine aktive Inline-Datenstromüberwachung für IPv4- und IPv6-Datenverkehr auf den IRB-Schnittstellen (Integrated Routing and Bridging) auf Routern der PTX-Serie durchführen.
Überblick
Auf Routern der PTX-Serie können Sie eine aktive Inline-Datenstromüberwachung für IPv4- und IPv6-Datenverkehr auf den integrierten Routing- und Bridging-Schnittstellen (IRB) durchführen. Sowohl IPFIX- als auch Version-9-Vorlagen für die Datenstromüberwachung werden unterstützt. Eine Beschreibung der Felder, die in den Vorlagen enthalten sind, finden Sie unter Grundlegendes zur Inline-Überwachung des aktiven Datenstroms.
Grundlegendes zur aktiven Inline-Durchflussüberwachung an IRB-Schnittstellen
Sie können die Inline-Überwachung des aktiven Datenstroms aktivieren, indem Sie die IPFIX- oder V9-Vorlagen auf IRB-Schnittstellen konfigurieren.
- Sampling auf einer IRB-Schnittstelle, wobei der Datenverkehr zu einem getunnelten Core geroutet wird
- Layer-2-Bridging und Layer-3-IP-Routing auf einer IRB-Schnittstelle
Sampling auf einer IRB-Schnittstelle, wobei der Datenverkehr zu einem getunnelten Core geroutet wird
Abbildung 1 zeigt die Abtastung an einer IRB-Schnittstelle, bei der der Datenverkehr zu einem getunnelten Core (hauptsächlich einem MPLS-Tunnel) geleitet wird. Die Pakete werden in irb.10 eingegeben, für das Sie Eingangs-Sampling aktivieren können. Die Pakete können an einen nächsten Hop weitergeleitet werden, der nicht Teil eines benutzerdefinierten VLANs ist.
leitet
Layer-2-Bridging und Layer-3-IP-Routing auf einer IRB-Schnittstelle
Abbildung 2 veranschaulicht die Topologie, bei der Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützt werden.
PC1 und PC2 sind in VLAN ROT (ID 10) und PC3 in VLAN BLAU (ID 20).
Für Datenverkehr, der von PC1 zu PC3 oder von PC2 zu PC3 übertragen wird, muss eine IRB-Schnittstelle mit einer logischen Einheit mit einer Adresse im Subnetz für VLAN RED und einer logischen Einheit mit einer Adresse im Subnetz für VLAN BLUE konfiguriert werden. Der Switch leitet automatisch Routen an diese Subnetze weiter und nutzt diese Routen zum Weiterleiten des Datenverkehrs zwischen VLANs. Wenn der Datenverkehr von VLAN ROT zu VLAN BLAU fließt, können Sie Eingangs-Sampling auf irb.10 und Ausgangs-Sampling auf irb.20 konfigurieren.
Abbildung 3 veranschaulicht die Abtastung in einer Topologie, in der Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützt werden. Die Schnittstellen et-0/0/36.0 und irb.10 gehören zur VLAN-ID 10. Die Schnittstellen et-0/0/48 und irb.20 gehören zur VLAN-ID 20. Pakete treten in irb.10 ein und werden am irb.20 verlassen. Daher können Sie das Eingangs-Sampling auf irb.10 und das Ausgangs-Sampling auf irb.20 konfigurieren.
Konfiguration der aktiven Inline-Durchflussüberwachung auf IRB-Schnittstellen auf Routern der PTX-Serie
- Konfigurieren der Vorlage zum Angeben von Ausgabeeigenschaften
- Konfigurieren der Samplinginstanz
- Zuweisen der Sampling-Instanz zu einem FPC
- Konfigurieren eines Firewallfilters
- Verknüpfen Sie eine Layer-3-Schnittstelle mit dem VLAN, um den Datenverkehr zu routen
- Weisen Sie der überwachten Schnittstelle den Firewall-Filter zu
Konfigurieren der Vorlage zum Angeben von Ausgabeeigenschaften
Konfigurieren Sie eine Vorlage, um die Ausgabeeigenschaften für die Flow-Datensätze anzugeben:
Konfigurieren der Samplinginstanz
Konfigurieren einer Samplinginstanz:
Zuweisen der Sampling-Instanz zu einem FPC
Ordnen Sie die Sampling-Instanz dem FPC zu, auf dem Sie das Flow-Monitoring implementieren möchten.
[edit chassis]
user@host# set fpc slot-number sampling-instance instance-name
Zum Beispiel:
[edit chassis]
user@host# set fpc 0 sampling-instance s1
Konfigurieren eines Firewallfilters
Konfigurieren Sie einen Firewallfilter, um die Datenverkehrsfamilie anzugeben, die akzeptiert und abgetastet werden soll.
Verknüpfen Sie eine Layer-3-Schnittstelle mit dem VLAN, um den Datenverkehr zu routen
Weisen Sie dem VLAN die IRB-Schnittstelle zu.
[edit vlans vlan-name]
user@host# set vlan-name vlan-id vlan-id-number
user@host# set vlan-name l3-interface l3-interface-name
.logical-interface-number
Zum Beispiel:
[edit vlans vlan-name]
user@host# set vlan10 vlan-id 10
user@host# set vlan10 l3-interface irb.10
Wenn Sie beispielsweise die Inline-Datenstromüberwachung mit IRB konfigurieren und gleichzeitig Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützen (siehe Abbildung 3):
[edit vlans vlan-name]
user@host# set vlan-10 vlan-id 10
user@host# set vlan-10 l3-interface irb.10
user@host# set vlan-20 vlan-id 20
user@host# set vlan-20 l3-interface irb.20
Weisen Sie der überwachten Schnittstelle den Firewall-Filter zu
Weisen Sie den Eingangs-Firewall-Filter der Schnittstelle zu, die Sie überwachen möchten. Konfigurieren Sie außerdem die VLANs, für die die Schnittstelle Datenverkehr übertragen kann.
[edit interfaces]
user@host# set interface-name unit logical-unit-number family (inet | inet6 | mpls) filter input filter-name
address
Wenn Sie beispielsweise die Inline-Datenstromüberwachung mit IRB konfigurieren und gleichzeitig Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle unterstützen (siehe Abbildung 3):
[edit interfaces]
user@host# set et-0/0/36 unit 0 family ethernet-switching vlan members vlan10
user@host# set et-0/0/48 unit 0 family ethernet-switching vlan members vlan20
user@host# set et-0/0/60 unit 0 family inet address 10.10.10.1
user@host# set irb unit 1 family inet filter input f2
user@host# set irb unit 1 family inet address 10.1.1.1
user@host# set irb unit 2 family inet address 10.20.1.1
user@host# set irb unit 1 family inet address 10.1.1.1
user@host# set irb unit 2 family inet filter output f2
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.