配置动态流捕获
配置捕获组
捕获组用于定义动态流捕获 (DFC) 的配置文件。静态配置包括有关控制源、内容目标和通知目标的信息。通过使用控制协议与控制源交互来添加动态配置。
要配置捕获组,请在层次结构级别包含[edit services dynamic-flow-capture]该capture-group语句:
capture-group client-name { content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; } control-source identifier { allowed-destinations [ destinations ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; } duplicates-dropped-periodicity seconds; input-packet-rate-threshold rate; interfaces interface-name; max-duplicates number; pic-memory-threshold percentage percentage; }
要指定 capture-group,请为其分配一个唯一性 client-name ,以便将信息与请求控制源相关联。
配置内容目标
您必须为符合 DFC PIC 过滤条件的数据包指定目的地址。要配置内容目标,请在层次结构级别包含[edit services dynamic-flow-capture capture-group client-name]以下content-destination语句:
content-destination identifier { address address; hard-limit bandwidth; hard-limit-target bandwidth; soft-limit bandwidth; soft-limit-clear bandwidth; ttl hops; }
分配 content-destination 一个唯一的 identifier.还必须指定其 IP 地址,并且可以选择添加其他设置:
address— DFC PIC 接口在匹配的数据包上附加包含此目标地址的 IP 报头(其自己的 IP 报头和内容保持不变),并将其发送到内容目标。ttl— IP-IP 报头的生存时间 (TTL) 值。默认情况下,TTL 值为 255。其范围为 0 到 255。拥塞阈值 — 您可以指定每个内容的目标带宽限制,以控制 DFC PIC 在拥塞期间产生的流量。阈值排列成两对:
hard-limit和hard-limit-target、 和soft-limitsoft-limit-clear。您可以选择包括这些配对设置中的一个或两个。所有四个设置都是 10 秒平均带宽值,以位/秒为单位。通常soft-limit-clear<soft-limit<hard-limit-target<hard-limit。当内容带宽超过soft-limit设置时:拥塞通知消息将发送到指向此内容目标的条件的每个控制源
如果控制源配置
syslog为 ,则会生成一条系统日志消息。设置了闩锁,表示已通知控制源。在清除闩锁之前,当带宽低于该
soft-limit-clear值时,不会发送其他通知消息。
当带宽超过以下
hard-limit值时:软件开始删除条件,直到带宽低于该
hard-limit-target值。对于删除的每个条件,将向该条件的控制源发送 CongestionDelete 通知。
如果控制源配置
syslog为 ,则会生成一条日志消息。
应用程序使用以下数据评估删除标准:
优先级 — 在调整控制源最低优先级后,首先清除较低优先级标准。
带宽 — 首先清除较高的带宽标准。
时间戳 - 首先清除较新的条件。
配置控制源
您可以配置有关控制源的信息,包括允许的源地址和目标以及身份验证密钥值。要配置控制源信息,请在层次结构级别包含[edit services dynamic-flow-capture capture-group client-name]以下control-source语句:
control-source identifier { allowed-destinations [ destination-identifiers ]; minimum-priority value; no-syslog; notification-targets address port port-number; service-port port-number; shared-key value; source-addresses [ addresses ]; }
为语句分配 control-source 一个唯一的 identifier。您还可以为以下语句添加值:
allowed-destinations—此控制源可以请求在其控制协议请求中向其发送匹配数据的一个或多个内容目标标识符。如果未指定任何内容目标,则允许所有可用目标。minimum-priority- 分配给控制源的值,该值添加到 DTCP ADD 请求中条件的优先级中,用于确定条件的总优先级。值越低,优先级越高。默认情况下,值minimum-priority为 0,允许的范围为 0 到 254。notification-targets— DFC PIC 接口可以记录到的一个或多个目标,有关控制协议相关事件和其他事件(如 PIC 启动消息)的信息。您可以使用一个 IPaddress值和一个用户数据报协议 (UDP)port编号为每个notification-target条目配置一个。service-port— 控制协议请求定向到的 UDP 端口号。未定向到此端口的控制协议请求将被 DFC PIC 接口丢弃。shared-key— 控制源和 DFC PIC 监控平台之间共享的 20 字节身份验证密钥值。source-addresses— 一个或多个允许的 IP 地址,控制源可从中向 DFC PIC 监控平台发送控制协议请求。这些是 /32 地址。
配置 DFC PIC 接口
您可以指定与同一捕获组中配置的控制源交互的接口。监控服务 III PIC 只能属于一个捕获组,并且您只能为每个组配置一个 PIC。
要配置 DFC PIC 接口,请在层次结构级别包含[edit services dynamic-flow-capture capture-group client-name]该interfaces语句:
interfaces interface-name;
在层次结构级别使用[edit interfaces]标识符指定 dfc- DFC 接口。您必须在每个 DFC PIC 接口上指定三个逻辑单元,编号为 0、 和 12。您无法配置任何其他逻辑接口。
unit 0进程控制协议请求和响应。unit 1接收受监控的数据。unit 2将匹配的数据包传输到目标地址。
以下示例显示了设置 DFC PIC 接口并拦截 IPv4 和 IPv6 流量所需的配置:
[edit interfaces dfc-0/0/0]
unit 0 {
family inet {
filter {
output high; #Firewall filter to route control packets
# through 'network-control' forwarding class. Control packets
# are loss sensitive.
}
address 10.1.0.0/32 { # DFC PIC address
destination 10.36.100.1; # DFC PIC address used by
# the control source to correspond with the
# monitoring platform
}
}
unit 1 { # receive data packets on this logical interface
family inet; # receive IPv4 traffic for interception
family inet6; # receive IPv6 traffic for interception
}
unit 2 { # send out copies of matched packets on this logical interface
family inet;
}
此外,您必须将动态流捕获配置为在正确机箱位置的 DFC PIC 上运行。以下示例在层次结构级别显示了此配置 [edit chassis] :
fpc 0 { pic 0 { monitoring-services application dynamic-flow-capture; } }
配置防火墙过滤器
您可以指定防火墙过滤器,通过网络控制转发类路由控制数据包。控制数据包对丢失敏感。要配置防火墙过滤器,请在 [edit] 层次结构级别包含以下语句:
firewall {
family inet {
filter high {
term all {
then forwarding-class network-control;
}
}
}
}
配置系统日志记录
默认情况下,控制协议活动记录为单独的系统日志设施 dfc。要修改记录控制协议活动的文件名或级别,请在 [edit syslog] 层次结构级别包含以下语句:
file dfc.log {
dfc any;
}
要取消日志记录,请在层次结构级别包含[edit services dynamic-flow-capture capture-group client-name control-source identifier]该no-syslog语句:
no-syslog;
动态流捕获 (dfc-) 接口支持多达 10,000 个过滤条件。当向接口添加的过滤器超过 10,000 个时,过滤器会被接受,但会生成系统日志消息,指示过滤器已满。
为动态流捕获事件配置跟踪选项
您可以通过在层次结构级别包含traceoptions[edit services dynamic-flow-capture]语句来启用动态流捕获事件的跟踪选项。
包括 traceoptions 配置时,还可以指定跟踪文件名、最大跟踪文件数、跟踪文件的最大大小以及所有用户是否可以读取跟踪文件。
要为动态流捕获事件启用跟踪选项,请在 [edit services dynamic-flow-capture] 层次结构级别添加以下配置:
traceoptions{ file filename <files number> <size size> <world-readable | non-world-readable>; }
要禁用动态流捕获事件跟踪,请从层级中[edit services dynamic-flow-capture]删除配置traceoptions。
配置阈值
您可以选择为以下在系统日志中记录警告消息的情况指定阈值:
DFC PIC 接口的输入数据包速率
DFC PIC 接口上的内存使用情况
要配置阈值,请在层次结构级别包括 input-packet-rate-threshold [edit services dynamic-flow-capture capture-group client-name] or pic-memory-threshold 语句:
input-packet-rate-threshold rate; pic-memory-threshold percentage percentage;
如果未配置这些语句,则不会记录阈值消息。阈值设置是为整个捕获组配置的。
语 input-packet-rate-threshold 句的可配置值范围为 0 到 1 Mpps。PIC 相应地校准该值;监控服务 III PIC 将阈值上限为 300 Kpps,而多服务 400 PIC 则使用完整配置值。语句的 pic-memory-threshold 值范围为 0 到 100%。
限制数据包的重复数
您可以选择性地指定 DFC PIC 允许从单个输入数据包生成的最大重复数据包数。此限制旨在减少将数据包发送到多个目标时 PIC 上的负载。当达到最大数量时,重复项将发送到具有最高标准类优先级的目标。在优先级相同的类中,首先选择具有较早时间戳的条件。
要配置此限制,请在层次结构级别包含[edit services dynamic-flow-capture capture-group client-name]该max-duplicates语句:
max-duplicates number;
您还可以通过在层次结构级别包含[edit services dynamic-flow-capture]语句来g-max-duplicates全局应用 DFC PIC 限制:
g-max-duplicates number;
默认情况下,最大重复数设置为 3。允许的值范围为 1 到 64。单个捕获组的设置 max-duplicates 将覆盖全局设置。
此外,还可以指定应用程序向受影响的控制源发送通知的频率,说明由于已达到阈值而删除重复项。通过在 duplicates-dropped-periodicity 层次结构级别包含 [edit services dynamic-flow-capture capture-group client-name] 语句或 g-duplicates-dropped-periodicity 在层次结构级别添加 [edit services dynamic-flow-capture] 语句,可以在与最大重复数设置相同的级别上配置此设置:
duplicates-dropped-periodicity seconds; g-duplicates-dropped-periodicity seconds;
与语句一样 g-max-duplicates ,该 g-duplicates-dropped-periodicity 语句为应用程序全局应用该设置,并被在捕获组级别应用的设置覆盖。默认情况下,发送通知的频率为 30 秒。