被动流监控 T Series、M Series 和 MX 系列路由器的路由器和软件注意事项

实施被动流监控时，有几个硬件和软件注意事项。在定义监控站的硬件要求时，请记住以下几点：

• 监控站上的输入接口必须是 SONET/SDH 接口（OC3、OC12 或 OC48）、ATM2 IQ 接口（OC3 或 OC12）、4 端口快速以太网接口、带 SFP 的千兆以太网接口（4 端口或 10 端口）或带 XENPAK 的 1 端口 10 千兆以太网接口。

• 要监控单个接口的双向流量，监控站必须有两个 SONET/SDH、ATM2 IQ 或基于以太网的接收端口，每个流量方向一个。在 被动流监控应用程序拓扑中，监控站需要一个端口来监控从路由器 1 流向路由器 2 的流量，第二个端口需要监控从路由器 2 流向路由器 1 的流量。

• 监控服务 PIC 必须安装在 1 类增强型 FPC 插槽中。

• 支持 1 类和 2 类隧道服务 PIC。

• 使用 ES PIC 对流导出进行加密。

• MPC10 和 MPC11 线卡不支持对称散列。如果您希望支持对称散列和被动监控，则应选择其他 MPC 线卡。

• 您只能在物理端口上配置被动监控，而不能在逻辑接口或每个 VLAN 上配置被动监控。您无法在聚合以太网端口或使用以太网封装的端口上配置被动监控。

• IDS 服务器必须直接连接到路由器。您需要将连接到 IDS 服务器的接口配置为链路聚合组 （LAG） 的一部分。您需要配置静态路由以将数据包路由到 IDS 服务器。

定义流量监控策略时，请记住以下几点：

• 监控站仅收集 IPv4 数据包。所有其他数据包格式将被丢弃，不计算在内。

• 您可以设置数据流在监控站终止流并导出流数据之前可以处于非活动状态的时间量。要设置计时器，请在[edit forwarding-options monitoring group-name family inet output]层次结构级别包含语flow-inactive-timeout句。计时器值可以从 15 秒到 1800 秒，默认值为 60 秒。

您还可以将监控站配置为为持续时间超过配置的活动超时时间的流的定期流报告。要设置此活动计时器，请在[edit forwarding-options monitoring group-name family inet output]层次结构级别包含flow-active-timeout语句。计时器值可以从 60 秒到 1800 秒，默认值为 180 秒。

• 如果可能，将多个过期的流一起导出。当满足以下条件之一时，将发送 UDP 数据包：

  • 当当前数据包中包含 30 个流时，将导出这些流。

  • 如果流数少于 30 个，但导出计时器过期，则在计时器过期后一秒导出流。

• TCP 和 UDP 流的考虑方式不同：

  • TCP 流会监视包含 FIN 位和后续确认 （ACK） 的分段，以检测流的结束。或者，TCP 重置 （RST） 也可以指示流的结束。检测到这些 TCP 组合后，流将过期。 FIN+ACK 和 RST 案例涵盖了大多数 TCP 流关闭。对于所有其他流，需要非活动超时。

  • 所有非 TCP 流（如 UDP）都依赖于超时机制进行导出。

• SONET/SDH 接口的默认 MTU 值为 4474 字节;对于千兆以太网和快速以太网接口，则为 1500 字节。如果监控站收到的数据包超过 4474 字节，则将其丢弃;不执行分段。请注意，千兆以太网或快速以太网 PIC 上支持的 MTU 大小可能超过 1500 字节，具体取决于 PIC 的类型。

• 丢弃的任何传入流量都不会转发到数据包分析器。

• 监控站上收集拦截流量的接口必须配置Cisco HDLC或PPP封装。

• 必须始终使用标准接口（例如，遵循通常 interface-name-fpc/pic/slot 格式的接口）将流记录发送到流服务器。监控服务或监控服务 II PIC 生成的流数据不会通过 fxp0 接口传送到服务器。

• 您可以将版本 5 记录发送到多个流服务器。您最多可以配置 8 台服务器，并且流量会以轮询方式在服务器之间实现负载均衡。如果其中一台服务器停止运行，流量将在其余活动服务器之间自动进行负载平衡。要进行配置，请在[edit forwarding-options monitoring group-name output]层次结构级别上最多包含八个flow-server语句。