- play_arrow 流监控和流收集服务
- play_arrow 了解流监控
- play_arrow 使用主动流监控监控流量
- 配置主动流监控
- 主动流监控系统要求
- 主动流监控应用
- 主动流监控 PIC 规格
- 主动流监控概述
- 主动流监控概述
- 示例:在 M、MX 或 T Series 路由器的逻辑系统上配置主动监控
- 示例:在具有 MS-MIC 和 MS-MPC 的 MX 系列路由器上配置流监控
- 使用流监控配置服务接口冗余
- 使用路由器、交换机或 NFX250 配置内联主动流监控
- 在 MX 系列路由器上配置流卸载
- 在 PTX 系列数据包传输路由器上配置主动流监控
- 在 M、MX 和 T Series 路由器上配置主动监控接口
- 收集流记录
- 配置 M、MX 和 T Series 路由器以使用计费组进行丢弃计费
- 配置 M、MX 和 T Series 路由器以使用抽样组进行丢弃计费
- 使用模板配置 M、MX 和 T Series 路由器以进行丢弃计费
- 在 M、MX 和 T Series 路由器上定义防火墙过滤器,以选择流量进行主动流量监控
- 使用监控服务、自适应服务或多服务接口在 M、MX 或 T Series 路由器上处理 IPv4 流量
- 将基于 M、MX 和 T Series 路由引擎的采样复制到多个流服务器
- 将版本 9 流聚合从 M、MX 和 T Series 路由器复制到多个流服务器
- 在 M、MX 和 T Series 路由器上配置基于路由引擎的采样,以便导出到多个流服务器
- 示例:当 M、MX 或 T Series 路由器将数据包转发到原始目标时,将流量复制到 PIC
- 在 M、MX 和 T Series 路由器上为版本 8 记录配置聚合导出计时器
- 示例:M、MX 和 T Series 路由器的采样配置
- 将用于主动流监控的采样实例与特定 FPC、MPC 或 DPC 相关联
- 示例:采样实例配置
- 示例:M、MX 和 T Series 路由器上的采样和丢弃计费配置
- play_arrow 使用被动流监控监控流量
- 被动流监控概述
- T Series、M Series 和 MX 系列路由器的被动流监控系统要求
- 被动流监控 T Series、M Series 和 MX 系列路由器的路由器和软件注意事项
- 了解 T Series、M Series 和 MX 系列路由器上的被动流量监控
- 在 M Series、MX 系列或 T Series 路由器上启用被动流监控
- 配置被动流监控
- 示例:M、MX 和 T Series 路由器上的被动流监控配置
- 在 M、MX 或 T Series 路由器上配置路由表组,以将接口路由添加到转发实例中
- 使用 M、MX 或 T Series 路由器上的 IPSec 和 ES PIC 将加密流量发送到数据包分析器
- 在 M、MX 或 T Series 路由器上应用防火墙过滤器输出接口,将流量端口镜像到 PIC 或流收集服务
- 使用 VRF 实例和监控组监控路由器上的流量
- 在 M、MX 或 T Series 路由器上指定防火墙过滤器,以选择要监控的流量
- 在 M、MX 或 T Series 路由器上配置输入接口、监控服务接口和导出接口
- 在 M、MX 或 T Series 路由器上为受监控的流量建立 VRF 实例
- 在 M、MX 或 T Series 路由器上配置监控组以将流量发送到流服务器
- 在 M、MX 或 T Series 路由器上配置策略选项
- 去除 ATM、基于以太网和 SONET/SDH 路由器接口上的 MPLS 标签
- 使用 M、MX 或 T Series 路由器流收集器接口处理和导出多个流记录
- 示例:在 M、MX 或 T Series 路由器上配置流收集器接口
- play_arrow 使用流收集处理和导出多条记录
- play_arrow 使用 NAT 事件的版本 9 和 IPFIX 模板记录流监控记录
- 了解在 MX 系列路由器或 NFX250 上以流监控格式记录的 NAT 事件日志记录
- 为 NAT44/NAT64 配置主动流监控日志
- 在 MX 系列路由器或 NFX250 上以流监控记录格式配置 NAT 事件的日志生成
- 使用 MX 系列路由器或 NFX250 将不带流量监控格式的系统日志消息导出到外部主机
- 使用 MX 系列路由器或 NFX250 将版本 9 流数据记录导出到日志收集器概述
- 了解如何使用 MX 系列路由器或 NFX250 将 IPFIX 流数据记录导出到日志收集器
- 从 MX 系列路由器或 NFX250 导出的版本 9 流模板与日志的字段值之间的映射
- 从 MX 系列路由器或 NFX250 导出的 IPFIX 流模板和日志的字段值之间的映射
- 通过以流模板格式记录 NAT 操作,监控 MX 系列路由器上的 NAT 事件
- 示例:为 MX 系列路由器上的 NAT 事件配置流监控格式的日志,以便进行故障排除
-
- play_arrow 流捕获服务
- play_arrow 使用 Junos Capture Vision 动态捕获数据包流
- play_arrow 使用 Junos Packet Vision 检测威胁并拦截流量
- play_arrow 使用 Flow-Tap 监控数据包流
-
- play_arrow 内联监控服务和带内网络遥测
- play_arrow 内联监控服务
- play_arrow 基于流的遥测
- play_arrow 带内流分析器 2.0
- play_arrow 瞻博网络弹性接口
-
- play_arrow 实时性能监控和视频监控服务
- play_arrow 使用实时性能监控和双向主动监控协议 (TWAMP) 监控流量
- 了解使用探针对 M、T、ACX、MX 和 PTX 系列路由器、EX 和 QFX 交换机进行实时性能监控
- 在 M、MX 和 T Series 路由器以及 EX 系列交换机上配置 RPM 探针
- 了解 EX 和 QFX 交换机上的实时性能监控
- SRX 设备的实时性能监控
- 配置 RPM 接收器服务器
- 限制 M、MX、T 和 PTX 路由器以及 EX 系列交换机上的并发 RPM 探针数量
- 在 MX、M、T 和 PTX 系列路由器以及 EX 系列交换机上配置 RPM 时间戳记
- 配置交换机客户端/服务器的 RPM 时间戳接口(EX 系列)
- 使用 RPM 探针分析 MX 系列路由器上 IPv6 网络的网络效率
- 通过 RPM 配置 BGP 邻接方发现
- 示例:使用 RPM 在 SRX 系列防火墙以及 MX、M、T 和 PTX 系列路由器上配置 BGP 邻居发现
- 跟踪 RPM 操作
- 示例:在 MX、M、T 和 PTX 系列路由器上配置实时性能监控
- 在 MX、M 和 T Series 路由器上启用 RPM 以及为服务 SDK 启用 SRX 防火墙
- 了解双向主动测量协议
- 在 ACX、MX、M、T 和 PTX 系列 路由器、EX 系列 和 QFX10000 系列交换机上配置 TWAMP
- 示例:在 MX 系列路由器上配置 TWAMP 客户端和服务器
- 示例:为 SRX 系列防火墙配置 TWAMP 客户端和服务器
- 了解 TWAMP 自动重启
- 配置 TWAMP 客户端和 TWAMP 服务器在 TWAMP 服务器不可用后自动重新连接
- play_arrow 管理用于吞吐量数据导出的许可证服务器
- play_arrow 使用基于 RFC 2544 的基准测试测试网络设备的性能
- 了解 MX 系列路由器和 SRX 系列防火墙上基于 RFC 2544 的基准测试
- 了解 MX 系列 路由器上 E-LAN 和 E-Line 服务的基于RFC2544基准测试
- MX 系列路由器上支持的基于 RFC 2544 的基准测试声明
- 配置基于 RFC 2544 的基准测试
- 启用对 MX 系列路由器上基于 RFC 2544 的基准测试的支持
- 示例:在 MX104 路由器上为第 3 层 IPv4 服务配置基于 RFC 2544 的基准测试
- 示例:在 MX104 路由器上针对以太网伪线的 UNI 方向配置基于 RFC 2544 的基准测试
- 示例:在 MX104 路由器上配置基于 RFC 2544 的以太网伪线 NNI 方向基准测试
- 示例:在 MX104 路由器上为桥接域中的第 2 层 E-LAN 服务配置基于RFC2544的基准测试
- 示例:配置基准测试以测量使用 VPLS 的 MX104 路由器上 E-LAN 服务的 SLA 参数
- play_arrow 在 ACX 系列上配置基于 RFC 2544 的基准测试
- play_arrow 使用内联视频监控跟踪流媒体流量
-
- play_arrow 配置语句和操作命令
在 PTX 系列路由器上配置内联主动流监控
本主题介绍如何在 PTX 系列路由器上为 IPv4 和 IPv6 流量配置内联主动流监控。
平台和功能支持
表 1 列出了 PTX 系列平台对用于内联主动流监控的各种类型流量的支持。
平台 | 支持 |
---|---|
PTX3000系列 | Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX5000系列 | Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX1000 | Junos OS 17.3R1 — IPv4 和 IPv6 流量(仅限版本 9)。 |
PTX10001-36MR | Junos OS 演化版 20.3R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX10002-60C | Junos OS 18.4R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 19.4R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX10003 | Junos OS 演化版 19.3R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 演化版 20.1R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX10004 | Junos OS 演化版 20.4R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量(IPFIX 和版本 9)。 |
PTX10008(使用 JNP10008-SF3 和 JNP10K-LC1201 线卡) | Junos OS 演化版 19.3R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9)。 Junos OS 演化版 20.1R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
PTX10008(使用 JNP10008-SF3 和 JNP10K-LC1202 线卡) | Junos OS 演化版 20.3R1 — IPv4、IPv6、MPLS、MPLS-IPv4 和 MPLS-IPv6 流量(IPFIX 和版本 9)。 |
PTX10008(不带 JNP10008-SF3)和PTX10016 | Junos OS 18.1R1 — IPv4 和 IPv6 流量(IPFIX 和版本 9) Junos OS 18.2R1 — MPLS、MPLS-IPv4 和 MPLS-IPv6 流量。 |
要为 PTX 系列路由器上的 MPLS over UDP 流量配置内联流监控,请参阅 PTX 系列路由器上 MPLS over UDP 流的内联主动流监控。PTX10001-36MR、PTX10003、PTX10004 和 PTX10008(使用 JNP10008-SF3)路由器不支持针对 MPLS over-UDP 流量的内联主动流监控。
从 Junos OS 18.2R1 版开始,您可以在一个系列下配置最多四个收集器,以进行内联主动流监控。在以前版本的 Junos OS 中,您只能在一个系列下配置一个收集器进行内联主动流监控。从 Junos OS 演化版 20.3R1 开始,对于PTX10003和PTX10008(使用 JNP10K-LC1201 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器进行内联主动流监控。从 Junos OS 演化版 20.4R1 开始,对于 PTX10001-36MR 和 PTX10008(使用 JNP10K-LC1202 线卡和 JNP10008-SF3)路由器,您最多可以配置四个收集器进行内联主动流监控。从 Junos OS 演化版 21.1R1 开始,对于PTX10004路由器,您最多可以配置四个收集器进行内联主动流监控。要在系列下配置收集器以进行内联活动流监控,请在层次结构级别配置 flow-server
语句 edit forwarding-options sampling-instance instance-name family (inet | inet6) output
。要指定最多四个收集器,请最多包含四个 flow-server
语句。
内联主动流监控在逻辑 CPU (LCPU) 上实施。流创建、流更新和流记录导出等所有功能均由 LCPU 完成。流记录以 IPFIX 格式或版本 9 格式发送。
从 Junos OS 演化版 21.2R1 和 Junos OS 21.3R1 版开始,不会维护任何流量。每个采样数据包都被视为一个流。收到采样数据包后,将创建流并立即超时为非活动状态,并且软件会将记录导出到收集器。因此,发送到收集器的记录数比以前更高。IPFIX 和版本 9 选项模板数据记录现在在(元素 ID 36)和Flow Inactive Timeout
(元素 ID 37)字段中Flow Active Timeout
包含 0。因此,选项模板数据记录不符合 IPFIX RFC 7011。操作模式命令现在为所有show services accounting flow inline-jflow fpc-slot slot
和Timed Out
字段显示 Active Flows
0。各个Total Flows
字段的值现在等于它们各自的Flow Packets
字段值。各个Flows Inactive Timed Out
字段的值现在等于它们各自的Flow Packets
字段值。层次结构级别的语句[edit services flow-monitoring version version template template-name]
对此无流行为的影响nexthop-learning
因操作系统而异。对于 Junos OS 演化版,我们不建议您配置nexthop-learning
该语句,因为它会减少可处理的数据包数量。对于 Junos OS,您可以将语句配置为nexthop-learning
更改此默认无流量行为,并再次创建和维护流,然后将模板附加到与需要先前行为的 FPC 关联的所有采样实例。
以下限制适用于 Junos OS 和 Junos OS 演化版中的内联主动流监控功能:
PTX10001-36MR、PTX10003、PTX10004 和 PTX10008(使用 JNP10008-SF3)路由器不支持出口 MPLS 过滤器。
PTX10001-36MR 路由器不支持多个 FPC 采样收集,因为它只有 1 个路由引擎。
出口采样不支持真正的传出接口 (OIF) 报告。在 Junos OS 演化版中,GRE 解封装数据包不支持真正的传出接口 (OIF) 报告。
真正传入接口的接口类型字段不是版本 9 模板的一部分,因为版本 9 导出版本中不存在此元素。
对于 PTX10003 路由器上的 GRE 隧道流量,物理接口在第 2 层标头中报告,并在流创建过程中被视为密钥之一。因此,当物理接口移入或移出聚合以太网捆绑包时,将创建一个新流,并且旧流将在一段时间不活动后超时。物理接口、逻辑接口或聚合逻辑接口(基于配置)在基于配置的导出记录中报告为传入接口。
对于 PTX10008(使用 JNP10008-SF3)路由器上的 GRE 隧道流量,FTI 接口配置为终止 GRE 隧道。此接口在流创建期间用作密钥之一,而不是物理接口。因此,当物理接口移入或移出聚合以太网捆绑包时,不会创建新的流,因为密钥保持不变。物理接口、逻辑接口或聚合逻辑接口(基于配置)在导出的记录中报告为传入接口。
如何在 PTX 系列路由器上配置内联主动流监控
总结 在此示例中,我们配置了一个 version-ipfix
用于记录 IPv4 和 IPv6 流量的模板。
配置模板以指定输出属性
定义模板并配置模板应记录的流类型。
content_copy zoom_out_map[edit services flow-monitoring] user@host# set version-ipfix template template-name ipv4-template user@host# set version-ipfix template template-name ipv6-template user@host# set version-ipfix template template-name mpls-template
(可选)为模板配置其他输出属性,例如流超时间隔和模板/选项刷新率,以控制流记录。
您可以使用该
template-refresh-rate
选项配置流生成器使用数据包数或秒数将有关模板定义的更新发送到流收集器的频率。content_copy zoom_out_map[edit services flow-monitoring] user@host# set version-ipfix template template-name flow-active-timeout seconds user@host# set version-ipfix template template-name flow-inactive-timeout seconds user@host# set version-ipfix template template-name template-refresh-rate (packets packets | seconds seconds) user@host# set version-ipfix template template-name option-refresh-rate (packets packets | seconds seconds)
- (可选)
如果要监控 MPLS 流,即,如果正在使用的模板是为 MPLS 协议家族配置的,请使用选项
tunnel-observation
标识 MPLS 流的类型。content_copy zoom_out_map[edit services flow-monitoring] user@host# set version-ipfix template template-name tunnel-observation (ipv4 | ipv6 | mpls-over-udp)
(可选)启用下一跃点地址的学习,以便报告真正的传出接口。
注意:从 Junos OS 演化版 21.2R1 开始,建议您不要启用下一跃点地址学习功能,因为这会减少可处理的数据包数量。但是,从 Junos OS 版本 21.3R1 开始,您可以将语句配置为
nexthop-learning
更改默认的无流量行为并再次创建和维护流,然后将模板附加到与需要先前行为的 FPC 关联的所有采样实例。content_copy zoom_out_map[edit services flow-monitoring] user@host# set version-ipfix template template-name nexthop-learning enable
配置采样实例以指定输入属性
定义采样实例并配置要采样的数据包数比率。例如,如果指定速率为 10,则每 10 个数据包(10 个数据包中有 1 个)进行采样。
content_copy zoom_out_map[edit forwarding-options sampling] user@host# set instance instance-name input rate number
最佳实践:我们建议您对 MPLS 流使用 1000 或更高的值。
为采样实例配置协议族,并指定用于发送流量聚合的流收集器。
content_copy zoom_out_map[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname
(可选)指定流收集器的 UDP 端口和用于采样实例的模板。
content_copy zoom_out_map[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname port port-number user@host# set instance instance-name family (inet | inet6 | mpls) flow-server hostname version-ipfix template template-name
配置采样数据包的内联处理。
content_copy zoom_out_map[edit forwarding-options sampling] user@host# set instance instance-name family (inet | inet6 | mpls) output inline-jflow source-address address
将采样实例分配给 FPC
将采样实例分配给要在其上实施流监控的 FPC。
content_copy zoom_out_map[edit chassis] user@host# set fpc slot-number sampling-instance instance-name
配置防火墙过滤器以接受和采样流
为协议系列配置防火墙过滤器并启用流量采样。
content_copy zoom_out_map[edit firewall] user@host# set family (inet | inet6 | mpls) filter filter-name user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then accept user@host# set family (inet | inet6 | mpls) filter filter-name term term-name then sample
将防火墙过滤器分配给接口
将输入防火墙过滤器分配给要监控的接口。
content_copy zoom_out_map[edit interfaces] user@host# set interface-name unit unit-number family (inet |inet6 | mpls) filter input filter-name
示例配置的结果
以下是支持在线family inet
family inet6
流监控的实例的采样配置示例:
[edit chassis] fpc 0 { sampling-instance sample-1; }
[edit services] flow-monitoring { version-ipfix { template test-template { flow-active-timeout 30; flow-inactive-timeout 60; nexthop-learning { enable; } template-refresh-rate { seconds 10; } ipv4-template; } template v6 { ipv6-template; } } }
[edit interfaces] et-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; output ipv4-filter; } address 192.168.100.10/24; } } } et-1/0/2 { unit 0 { family inet6 { filter { input ipv6-filter; output ipv6-filter; } address 2001:db8:0:2::1/64; } } } lo0 { unit 0 { family inet { address 192.168.100.1/32; } } }
[edit forwarding-options] sampling { instance sample-1{ ipv4 { input { rate 10; } family inet { output { flow-server 10.208.174.127 { port 2055; version-ipfix { template { test-template; } } } inline-jflow { source-address 192.168.100.1; } } } family inet6 { output { flow-server 10.208.174.127 { port 2055; version-ipfix { template { v6; } } } inline-jflow { source-address 192.168.100.1; } } } } } }
[edit firewall] family inet { filter ipv4-filter { term ipv4-accept { then { accept; sample; } } } } family inet6 { filter ipv6-filter { term ipv6-accept { then { accept; sample; } } } }
您可以使用 show services 记帐 流命令来验证活动流统计信息。
更改历史记录表
功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能 。