Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

被动流监控 MX 系列路由器的路由器和软件注意事项

实施被动流监控时,需要考虑几个硬件和软件。在定义监控站的硬件要求时,请记住以下几点:

  • 监控站上的输入接口必须是带 SFP 的千兆以太网接口(4 端口或 10 端口)或带 XENPAK 的 1 端口 10 千兆以太网接口。

  • 要监控单个接口的双向流量,监控站必须具有两个基于以太网的接收端口,每个流量方向一个。在 “被动流监控”应用拓扑中,监控站需要一个端口监控从路由器 1 流向路由器 2 的流量,另一个端口用于监控从路由器 2 流向路由器 1 的流量。

  • 监控服务 PIC 必须安装在 1 类增强型 FPC 插槽中。

  • 支持 1 类和 2 类隧道服务 PIC。

  • 使用 ES PIC 对流导出进行加密。

  • MPC10 和 MPC11 线卡不支持对称散列。如果您希望支持对称散列和被动监控,则应选择不同的 MPC 线卡。

  • 您只能在物理端口上配置被动监控,而不能在逻辑接口上或每个 VLAN 上配置被动监控。您无法在聚合以太网端口或采用以太网封装的端口上配置被动监控。

  • IDS 服务器必须直接连接到路由器。您需要将连接到 IDS 服务器的接口配置为链路聚合组 (LAG) 的一部分。您需要配置静态路由以将数据包路由到 IDS 服务器上。

定义流量监控策略时,请记住以下几点:

  • 监控站仅收集 IPv4 数据包。所有其他数据包格式将被丢弃,不计算在内。

  • 您可以设置在监控站终止流并导出流数据之前数据流可以处于非活动状态的时间量。要设置计时器,请在层次结构级别包含flow-inactive-timeout[edit forwarding-options monitoring group-name family inet output]该语句。计时器值可以是 15 秒到 1800 秒,默认值为 60 秒。

您还可以将监控工作站配置为定期收集持续时间超过配置活动超时的流量的流量报告。要设置此活动计时器,请在层次结构级别包含flow-active-timeout[edit forwarding-options monitoring group-name family inet output]该语句。计时器值可以是 60 秒到 1800 秒,默认值为 180 秒。

  • 如果可能,将将多个过期的流一起导出。满足以下条件之一时,将发送 UDP 数据包:

    • 当前数据包中包含 30 个流时,将导出这些流。

    • 如果流量少于 30 个,但导出计时器已过期,则在计时器到期后一秒导出流量。

  • TCP 流和 UDP 流的考虑方式不同:

    • TCP 流会监视包含 FIN 位和后续确认 (ACK) 的分段,以检测流的结束。或者,TCP 重置 (RST) 也可以指示流量的结束。检测到这些 TCP 组合后,数据流将过期。 FIN+ACKRST 案例涵盖大多数 TCP 流闭包。对于所有其他流,需要非活动超时。

    • 所有非 TCP 流(如 UDP)都依赖于超时机制进行导出。

  • 千兆以太网接口的默认 MTU 值为 1500 字节。如果监控站接收到超过 4474 字节的数据包,则将其丢弃;不执行分段。请注意,千兆以太网 PIC 上支持的 MTU 大小可能超过 1500 字节,具体取决于 PIC 的类型。

  • 丢弃的任何传入流量都不会转发到数据包分析器。

  • 监控站上收集拦截流量的接口必须配置 Cisco HDLC 或 PPP 封装。

  • 您必须始终使用标准接口(例如,遵循通常 interface-name-fpc/pic/slot 格式的接口)将流记录发送到流服务器。监控服务或监控服务 II PIC 生成的流数据将不会通过 fxp0 接口传送到服务器。

  • 您可以将版本 5 记录发送到多个流服务器。您最多可以配置八台服务器,并且流流量以轮询方式在服务器之间均衡负载。如果其中一台服务器停止运行,流量将自动在剩余的活动服务器之间进行负载均衡。要进行配置,请在层次结构级别包含[edit forwarding-options monitoring group-name output]最多八flow-server个语句。