Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

基于流的遥测(EX4100、EX4100-F 和 EX4400 系列)

基于流的遥测 (FBT) 支持按流级别的分析,使用内联监控服务创建流、收集流,并使用开放标准 IPFIX 模板将其导出到收集器,以组织流。

FBT概览

您可以为 EX4100、EX4100-F 和 EX4400 系列交换机配置基于流的遥测 (FBT)。FBT 支持按流的级别分析,使用内联监控服务创建流、收集流并将其导出到收集器。借助内联监控服务,您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。流是一系列在接口上具有相同源 IP、目标 IP、源端口、目标端口和协议的数据包。对于每个流程,软件会收集各种参数,并使用开放标准 IPFIX 模板将实际数据包导出到收集器,直到配置的剪辑长度,以组织流程。一旦流没有活动流量,则在配置的非活动超时期限( flow-inactive-timeout 在层次结构级别 template-name配置语句)后,该流将过期。软件按配置的流导出计时器间隔定期导出 IPFIX 数据包。IPFIX 数据包中使用观察域标识符来识别将数据包发送到收集器的线卡。设置好后,软件将根据此处设置的系统值为每个线卡派生一个唯一标识符。

FBT的好处

通过FBT,您可以:

  • 计算数据包、TTL 和 TCP 窗口范围
  • 跟踪和计数拒绝服务 (DoS) 攻击
  • 分析成员 ID 上的 ECMP 组/链路聚合组 (LAG) 的负载分布(仅限 EX4100 和 EX4100-F)
  • 跟踪流量拥塞(仅限 EX4100 和 EX4100-F)
  • 收集有关多媒体流的信息 (仅限 EX4100 和 EX4100-F)
  • 收集有关丢包原因的信息(仅限 EX4100 和 EX4100-F)

FBT 流导出概述

有关示例模板,请参阅 图 1 ,其中显示了信息元素 ID、名称和大小:

图 1:示例 FBT 信息元素模板 Console output showing 21 networking elements with index, ID, description, and size. Includes attributes like DstIPv4, SrcIPv4, L4SrcPort, and PktCount.

图 2 显示了 FBT 的示例 IPFIX 数据模板的格式:

图 2:示例 FBT IPFIX 数据模板 Network packet capture showing IPFIX flows with source and destination IPs, protocol, and vendor-specific info for Juniper Networks.

图 3 显示了为 FBT 导出的示例 IPFIX 流的格式:

图 3:FBT Decoded NetFlow IPFIX packet showing network traffic flow details: source IP 192.168.200.1, destination IP 192.168.100.1, source port 15000, destination port 6068, protocol TCP, 12611 packets, 3228416 bytes transferred, timestamp Jan 1, 1970 05:30:00 IST with export time 0. 导出的 IPFIX 流示例
表 1:元素映射
Element Enterprise 元素 ID 说明

TIMESTAMP_FLOWSTART_VAL

1

指示启动 TCP 流收集的时间戳。

TIMESTAMP_FLOWEND_VAL

2

指示 TCP 流收集结束的时间戳。

TIMESTAMP_NEW_LEARN_VAL

3

在流表中学习新流时的时间戳。

PKT_RANGE_CNTR1_VAL

4

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR2_VAL

5

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR3_VAL

6

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR4_VAL

7

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR5_VAL

8

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR6_VAL

9

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR7_VAL

10

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

PKT_RANGE_CNTR8_VAL

11

提供不同大小类别中的数据包数。用户可以在模板下选择 4 个类别或 6 个类别。系统相应地将数据包分类到不同大小的桶中并进行计数。(计数器轮廓功能)

MIN_PKT_LENGTH_VAL

12

提供大小高于定义大小的数据包数。可配置的大小范围介于 64 到 9000 字节之间。

MAX_PKT_LENGTH_VAL

13

提供大小小于定义大小的数据包数。可配置的大小范围介于 64 到 9000 字节之间。

TCP_WINDOW_RANGE_CNTR_VAL

15

对指定 TCP 窗口范围内的数据包进行计数。

DOS_ATTACK_ID_VAL

16

报告 DDOS 攻击媒介。

TTL_RANGE1_CNTR_VAL

17

提供特定 TTL 值范围内的数据包数。

TTL_RANGE2_CNTR_VAL

18

提供特定 TTL 值范围内的数据包数。

DOS_ATTACK_PKT_CNTR_VAL

19

DDOS 攻击数据包的数量。

CUSTOM_PKT_RANGE_START_VAL

20

提供配置大小范围内的数据包数。您可以通过在[edit services inline-monitoring]层次结构级别配置counter-profile语句来定义介于 64 和 9000 字节之间的大小范围。例如:set services inline-monitoring counter-profile c1 counter p1 counter-type packet-range min-value 1000 max-value 1500.

CUSTOM_TTL_RANGE_START_VAL

30

提供配置的 TTL 范围内的数据包数。您可以通过在[edit services inline-monitoring]层次结构级别配置counter-profile语句来定义介于 0 和 255 之间的 TTL 范围。例如:set services inline-monitoring counter-profile c1 counter p1 counter-type ttl-range min-value 10 max-value 15.

CUSTOM_TCP_WINDOW_RANGE_START_VAL

40

提供配置的 TCP 窗口范围内的数据包数。您可以通过在[edit services inline-monitoring]层次结构级别配置counter-profile语句来定义介于 0 和 65535 之间的 TCP 窗口范围。例如:set services inline-monitoring counter-profile c1 counter p1 counter-type tcp-window-range min-value 100 max-value 5000.

INTER_ARRIVAL_TIME

50

入口处两个连续数据包之间的时间差(每个流)。

INTER_DEPARTURE_TIME

51

出口处两个连续数据包之间的时间差(每个流)。

CHIP_DELAY

52

数据包通过 ASIC 所需的时间。

SHARED_POOL_CONGESTION

53

共享池拥塞级别

QUEUE_CONGESTION_LEVEL

54

队列拥塞级别

INGRESS_DROP_REASON

55

数据包在入口处丢弃的原因。

INGRESS_DROP_REASON_PKT_CNTR_VAL

56

在入口处丢弃的数据包数。

EGRESS_DROP_REASON

57

数据包在出口被丢弃的原因。

EGRESS_DROP_REASON_PKT_CNTR_VAL

58

在出口处丢弃的数据包数。

AGGREGATE_INTF_MEMBER_ID

59

链路聚合组 (LAG) 或等价多路径 (ECMP) 组成员的 ID

AGGREGATE_INTF_GROUP_ID

60

链路聚合组 (LAG) 的 ID

MMU_QUEUE_ID

61

指示数据包所属的队列 ID。

UNKNOWN_ID_VAL

254

不适用于客户。瞻博网络内部设备

RESERVED_ID_VAL

255

不适用于客户。瞻博网络内部设备

当您创建新的内联监控服务配置或更改现有配置时,软件会立即将数据模板的定期流导出发送到相应的收集器,而不是等到下一个计划的发送时间。

限制和注意事项

  • 支持 IRB 接口。从 Junos OS 25.2R1 版开始,支持 L2 防火墙过滤器。
  • 仅支持 8 个内联监控实例,每个实例 8 个收集器。
  • 流记录的长度限制为 128 字节。
  • 收集器必须可通过环路接口或网络接口访问,而不仅仅是通过管理接口。

  • 只能在与数据相同的路由实例中配置收集器。不能在其他路由实例中配置收集器。

  • 不能配置选项模板标识符或转发类。
  • 不支持 IPFIX 选项数据记录和 IPFIX 选项数据模板。
  • EX4400 交换机不支持功能配置文件。
  • 如果对功能配置文件配置进行任何更改,则必须重新启动设备。
  • (仅限 EX4100 和 EX4100-F)如果在功能配置文件中为内联监控实例配置任何拥塞或出口功能,则无法为该实例中的模板配置计数器配置文件。
  • (仅限 EX4100 和 EX4100-F)由于拥塞和出口功能会收集大量数据,因此每个内联监控实例只能配置其中的 4 或 5 个功能。
  • (仅限 EX4100 和 EX4100-F)对于组播流跟踪,一个入口副本可以生成多个出口副本。所有副本都可以更新同一条目。因此,您可以跟踪同一组播流的所有副本的聚合结果。

许可证

您必须获得永久许可证才能启用 FBT。要检查您是否有 FBT 许可证,请在作模式下发出 show system license 命令:

对于 EX4100 和 EX4100-F 交换机,您需要许可证 S-EX4100-FBT-P。对于 EX4400 交换机,您需要许可证 S-EX-FBT-P。

丢弃向量(仅限 EX4100 和 EX4100-F)

FBT 可以报告 100 多个丢弃原因。丢弃向量是非常大的向量,太大而无法合理地容纳在流记录中。因此,软件会将丢弃向量组合并压缩为 16 位压缩的丢弃向量,然后将该滴向量传递到流表。16 位压缩的滴向量对应于特定的滴向量组。 表 2表 3 描述了如何将丢弃向量组合在一起以形成特定的 16 位压缩丢弃向量。

表 2:入口丢弃向量组 (仅限 EX4100 和 EX4100-F)
组 ID 丢弃原因
1

MMU丢弃
2

TCAM、PVLAN
3

DoS 攻击或 LAG 环路失败
4

VLAN ID 无效、TPID 无效或端口不在 VLAN 中
5

生成树协议 (STP) 转发、桥接协议数据单元 (BPDU)、协议、CML

6

源路由、L2 源丢弃、L2 目标丢弃、L3 禁用等。
7

L3 TTL、L3 报头、L2 报头、L3 源查找未命中、L3 目标查找未命中
8

ECMP 解析、风暴控制、入口组播、入口下一跳错误
表 3:出口丢弃向量组(仅限 EX4100 和 EX4100-F)
组 ID 丢弃原因
1

MMU 单播流量
2

MMU 加权随机早期检测 (WRED) 单播流量
3

MMU RQE
4

MMU 组播流量
5

出口 TTL、stgblock
6

出口字段处理器丢弃
7

IPMC 丢弃
8

出口服务质量 (QoS) 控制下降

配置 FBT(EX4100、EX4100-F 和 EX4400 系列)

FBT 支持按流的级别分析,使用内联监控服务创建流、收集流并将其导出到收集器。流是一系列在接口上具有相同源 IP、目标 IP、源端口、目标端口和协议的数据包。对于每个流,使用开放标准 IPFIX 模板收集各种参数并将其发送到收集器,以组织流。一旦流没有活动流量,则在配置的非活动超时期限( flow-inactive-timeout 在层次结构级别 template-name配置语句)后,该流将过期。软件按配置的流导出计时器间隔定期导出 IPFIX 数据包。IPFIX 数据包中使用观察域标识符来识别将数据包发送到收集器的线卡。设置好后,软件将根据此处设置的系统值为每个线卡派生一个唯一标识符。

要配置基于流的遥测,请执行以下作:

  1. 定义 IPFIX 模板。

    要配置模板的属性,请执行以下作:

    在此示例中,非活动流超时时间设置为 10 秒,观察域 ID 设置为 25,模板刷新率设置为 30 秒,并且您已配置模板标识符

  2. 将模板附加到实例并描述收集器。

    要配置实例和收集器,请执行以下作:

    在此示例中,您将创建一个名为 template_1, 创建内联监控实例 i1的模板,并为收集器 c2创建配置:

  3. 创建防火墙过滤器并配置作inline-monitoring-instance

    要配置防火墙过滤器,请执行以下作:

    在此示例中,您将配置一个名为 ipv4_ingress的 IPv4 防火墙过滤器,其术语名称 rule1 包含作 inline-monitoring-instance,并将内联监控实例 i1 映射到该过滤器:

  4. 将防火墙过滤器映射到已配置接口的逻辑单元下的家族,以在入口方向上应用内联监控。

    要映射防火墙过滤器,请执行以下作:

    在此示例中,您会将 ipv4_ingress 防火墙过滤器映射到 inet 物理接口 et-0/0/1 的逻辑接口 0 家族:

  5. (可选)配置采样配置文件和速率,配置要将其计数器导出到收集器的配置文件,配置流速和突发大小,并为基于流的遥测启用安全分析:

    要配置流监控属性,请执行以下作:

    在此示例中,采样配置文件设置为 Random,采样速率设置为每 512 个字节,计数器配置文件设置为 Per_flow_6_counters,流速设置为 100000 kbps,突发大小设置为 2048 字节,并启用安全分析:

  6. (仅限可选 EX4100 和 EX4100-F 交换机)配置功能配置文件,以便在数据包通过交换机时收集有关数据包的更多数据。

    例如,您可以监控拥塞情况或收集有关丢包原因的信息。您可以在此处或上一步中启用安全分析。要配置功能配置文件,请执行以下作:

    必须重新启动系统才能使功能配置文件生效。由于聚合接口分布监控、拥塞和出口功能需要收集大量数据,因此每个内联监控实例只能配置其中的 4 或 5 个功能。配置这些功能的语句包括:

    • aggregate-intf-member-id

    • egress-drop-reason

    • inter-departure-time

    • queue-congestion-level

    • shared-pool-congestion

    提交配置并重新启动系统后,使用 show services inline-monitoring feature-profile-mapping fpc-slot slot-number 命令验证功能是否已配置成功。

  7. 提交配置后,使用show services inline-monitoring statistics fpc-slot slot-number 命令监控内联监视统计信息。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
22.2R1
您现在可以为 EX4100 和 EX4100-F 系列交换机配置基于流的遥测 (FBT),并配置其他项目以使用 feature-profile name features 语句在 [edit inline-monitoring] 层次结构级别跟踪流。
21.1R1
您可以为 EX4400 系列交换机配置基于流的遥测 (FBT)。FBT 支持按流的级别分析,使用内联监控服务创建流、收集流并将其导出到收集器。