本页内容

了解内联监控服务
配置内联监控服务

内联监控服务配置

了解内联监控服务

内联监控服务的优势
内联监控服务功能概述
内联监控服务配置概述
内联监控服务支持和不支持的功能

内联监控服务的优势

灵活 — 内联监控服务允许将不同的内联监控实例映射到不同的防火墙过滤器术语，这与传统采样技术不同，传统采样技术中所有实例都映射到灵活的 PIC 集中器（FPC）。这使您能够灵活地在单个接口上以不同的速率对不同的流量流进行采样。

不受 数据包格式限制 — 传统的流量收集技术依赖于网络元素的数据包解析和聚合。借助内联监控服务，数据包标头被导出到收集器进行进一步处理，但不需要聚合。因此，您可以使用任意数据包字段在收集器处理受监控的数据包。

内联监控服务功能概述

服务提供商和内容提供商通常需要了解流量，以便评估对等协议、检测流量异常和策略违规行为，以及监控网络性能。为了满足这些要求，传统上会使用 JFlow 或 IPFIX 变体导出聚合流量统计信息。

作为替代方法，您可以对数据包内容进行采样，添加元数据信息，并将受监控的数据包导出到收集器。内联监控服务使您能够在运行 Junos OS 演化版的 MX 系列路由器和 PTX 路由器上执行此作。

借助内联监控服务，您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。软件以 IPFIX 格式封装受监控流量，并将配置的剪辑长度为限的实际数据包导出到收集器以进行进一步处理。默认情况下，Junos OS 支持从以太网标头开始的最大裁剪长度为 126 个字节，而 Junos OS 演化版支持从以太网标头开始的最大裁剪长度为 256 个字节。

图 1 展示了 IPFIX 格式规范。

图 1：内联监控 IPFIX 规范 Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

Table of IPFIX Information Elements: ID, Length, Description, and Details. Includes ingressInterface, egressInterface, flowDirection, dataLinkFrameSize, and dataLinkFrameSelection. Describes network data structure with protocol layers like Ethernet and IP.

IPFIX 报头和 IPFIX 有效负载使用 IP 或 UDP 传输层进行封装。导出的 IPFIX 格式包括两个数据记录和两个导出到每个收集器的数据模板：

数据记录 — 包括传入和传出接口、流量方向、数据链路帧部分和数据链路帧大小。仅当导出采样数据包时，此信息才会发送到收集器。

图 2 是 IPFIX 数据记录数据包的示例图示。

选项数据记录 — 包括系统级信息，例如导出进程 ID 和采样间隔。无论是否导出采样数据包，此信息都会定期发送到收集器。

图 3 是 IPFIX 选项数据记录数据包的示例图示。

表 1：IPFIX 选项数据包中的信息元素字段
数量	信息元素 ID	信息元素长度	详情
1	144	4B	观察域 ID - 每个 IPFIX 设备的导出进程的唯一标识符。此字段的目的是限制其他信息元素字段的范围。
2	34	4B	对数据包进行采样的采样间隔。1000 表示对 1000 个数据包中的一个进行采样。

数据模板 — 包括五个信息元素：
- 入口接口
- 出口接口
- 流动方向
- 数据链路帧大小
- 可变数据链路帧选择
图 4 是 IPFIX 数据模板数据包的示例图示。
选项数据模板 — 包括流导出器和采样间隔信息。

图 5 是 IPFIX 选项数据模板数据包的示例图示。

当有新的或更改的内联监控服务配置时，数据模板和选项数据模板的定期导出会立即发送到相应的收集器。

图 2：IPFIX 数据记录 IPFIX Data Record

图 3：IPFIX 选项数据记录 Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

Screenshot of a decoded network packet showing IPFIX version 10, length 28 bytes, timestamp Feb 28, 2019, flow sequence 11, observation domain ID 1342242816, flow set ID 2600, flow set length 12 bytes, template frame 1, flow exporter 1, and sampling interval 1.

图 4：IPFIX 数据模板 Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

Network flow data template showing IPFIX version 10. Timestamp: Feb 28, 2019. FlowSequence: 474. Observation Domain ID: 1342242816. Set ID: 2. Template ID: 2000. Field Count: 5. Fields include INPUT_SNMP, OUTPUT_SNMP, DIRECTION, dataLinkFrameSize, dataLinkFrameSection. Used for network monitoring and traffic analysis.

图 5：IPFIX 选项数据模板 IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

IPFIX message with version 10, length 36 bytes, timestamp Feb 28, 2019, 14:21:10 IST, FlowSequence 11, Observation Domain ID 1342242816. Set includes FlowSet ID for Options Template, Template ID 2600 with fields FLOW_EXPORTER and SAMPLING_INTERVAL. Used for network monitoring and analysis.

内联监控服务配置概述

您最多可以配置 16 个（Junos OS）或 7 个（Junos OS 演化版）内联监控实例，这些实例支持特定于模板和收集器的配置参数。每个内联监控实例最多支持四个收集器（总共最多 64 个收集器），仅对于 Junos OS，您可以在每个收集器配置下指定不同的采样率。由于这种灵活性，内联监控服务克服了传统采样技术（如 JFlow、sFlow 和端口镜像）的局限性。

要配置内联监控：

您必须在层次结构级别包含[edit services]该inline-monitoring语句。在这里，您可以指定模板和内联监控实例参数。您必须在内联监控实例下指定收集器参数。
使用防火墙过滤器术语和作指定任意匹配条件，以接受配置的内联监控实例。这会将内联监控实例映射到防火墙术语。
在层次结构级别使用 [edit firewall filter name then] 语句将inline-monitoring-instance防火墙过滤器映射到家族inet或inet6语句下。从 Junos OS 21.1R1 版开始，您还可以在家族any, bridge, ccc, mpls,或vpls语句下映射防火墙过滤器。对于 Junos OS 演化版，不支持和 bridge vpls家族;请改用ethernet-switch家族。Junos OS Evolved 也支持 any、 inet6cccinet和mpls家族。您也可以使用输入或输出语句将防火墙过滤器应用于转发表过滤器，以分别过滤入口或出口数据包。

记住：

设备必须支持 126 字节（Junos OS）或 256 字节（Junos OS 演化版）的最大数据包长度（裁剪长度），才能启用内联监控服务。
由于转发路径中数据包中的可用位数稀缺，因此配置的内联监控实例不能超过 16 个（Junos OS）或 7 个（Junos OS 演化版）。
仅在收集器接口（即可访问收集器的接口）上应用内联监控服务。您不得对 IPFIX 流量应用内联监控，因为这会生成另一个 IPFIX 数据包进行采样，从而形成环路。这包括内联监控服务生成的流量，例如模板和记录数据包、选项模板和选项记录数据包。

在聚合以太网（AE）接口上启用内联监控服务后，信息元素值如下所示：

表 2：聚合以太网接口的信息元素值
AE接口上的内联监控服务方向	信息元素 10（传入接口）	信息元素 14（传出接口）
入口	AE 的 SNMP ID	0
出口	AE 的 SNMP ID	成员链路的 SNMP ID

在 IRB 接口上启用内联监控服务后，信息元素值如下：

表 3：IRB 接口的信息元素值
IRB 接口上的内联监控服务方向	信息元素 10（传入接口）	信息元素 14（传出接口）
入口	IRB 的 SNMP ID	0
出口	IRB 的 SNMP ID	VLAN 网桥封装接口的 SNMP ID

对于基于 XL-XM 的设备（带有查找芯片（XL）和缓冲 ASIC （XM）），即使出口数据包长度大于裁剪长度，导出数据包中数据链路帧部分信息元素的长度也可以短于裁剪长度。

数据链路帧部分信息元素的长度减少为“N”字节数，其中“N”=（入口数据包第 2 层封装长度 - 出口数据包第 2 层封装长度）。

例如，当入口数据包具有 MPLS 标签且出口数据包为 IPv4 或 IPv6 类型时，入口数据包的第 2 层封装长度大于出口数据包的封装长度。当流量从提供商边缘（PE）设备流向客户边缘（客户边缘）设备时，入口数据包具有 VLAN 标记，而出口数据包未标记。

在这种情况下，剪辑长度可能会超过数据包头的最后一个地址位置，从而生成系统 PKT_HEAD_SIZE 日志消息。这可能会导致设备的数据包转发性能降级。
在入口方向上进行内联监控服务时， egressInterface （信息元素 ID 14）不报告输出接口的 SNMP 索引。如果是入口方向，此信息元素 ID 始终报告值为零。接收收集器进程应根据（信息元素 ID 61）标识 flowDirection 此字段的有效性。

内联监控服务支持和不支持的功能

内联监控服务支持：

平滑路由引擎切换
不中断服务的软件升级（ISSU）、不间断软件升级（NSSU）和不间断主动路由（NSR）
以太网接口以及集成路由和桥接（IRB）接口
Junos 节点切片
从 Junos OS 演化版 22.4R1 开始，可为收集器配置 DSCP、转发类或路由实例。
从 Junos OS 演化版 22.4R1 开始，配置模板 ID 或选项模板 ID。

内联监控服务目前不支持：

配置超过 16 个（Junos OS）或 7 个以上（Junos OS 演化版）内联监控实例。
Junos Traffic Vision
在 Junos OS 21.1R1 版之前，只有和 inet6 系列防火墙过滤器支持 inet inline-monitoring-instance 术语作。从 Junos OS 21.1R1 版开始，和vpls系列防火墙过滤器都支持any, bridge, ccc, mpls,它。
IPv6 可寻址收集器
虚拟平台
逻辑系统
同时配置观察域 ID 和观察云 ID。您必须只选择其中一个。
用于异常报告的内联监控实例作不能用于任何其他目的，例如防火墙重定向作或常规内联监控作。
用于防火墙重定向作的内联监控实例不能用于任何其他目的，例如异常报告或常规内联监控作。
在 Junos OS 演化版 22.4R1 之前，可为收集器配置 DSCP、转发类或路由实例。
在 Junos OS 演化版 22.4R1 之前，配置模板 ID 或选项模板 ID。系统会为您生成这些内容。
在同一防火墙过滤器术语（Junos OS 演化版）下配置端口镜像和内联监控服务。
在出口方向上，同时配置SFlow和异常报告;您只能选择其中一个（Junos OS 演化版）。

配置内联监控服务

内联监控服务可以监控入口和出口方向上的 IPv4 和 IPv6 流量。您可以在带有 MPC 的 MX 系列路由器（Junos OS）和运行 Junos OS 演化版的 PTX 路由器上启用内联监控。

您可以配置内联监控服务，以便在接口的同一逻辑单元上以不同的采样率监控不同的流量流。您还可以将原始数据包大小连同有关接口来源的信息导出到收集器，以便进行有效故障排除。

配置之前

配置内联监控服务时，您可以：

配置多达 16 个（Junos OS）或 7 个（Junos OS 演化版）内联监控实例。在每个实例下，您可以配置特定的收集器和模板参数。
在每个内联监控实例下配置最多 4 个 IPv4 可寻址收集器。总共最多可配置 64 个收集器。收集器可以位于远程，也可以位于不同位置。

对于每个收集器，您可以配置特定参数，例如源地址和目标地址等。收集器的默认路由实例名称为 default.inet。
对于 Junos OS，您可以使用inet术语作 inline-monitoring-instance inline-monitoring-instance-name 配置或inet6家族防火墙过滤器。从 Junos OS 21.1R1 版开始，您可以使用any, bridge, ccc, mpls,术语 action inline-monitoring-instance inline-monitoring-instance-name 配置或vpls系列防火墙过滤器。对于 Junos OS 演化版，您可以使用any, ccc, ethernet-switch, inet, inet6,术语 action inline-monitoring-instance inline-monitoring-instance-name配置 or mpls 系列防火墙过滤器。

每个术语可以支持不同的内联监控实例。
在接口逻辑单元的家族下附加内联监控防火墙过滤器。

成功提交配置后，可以通过从 CLI 发出 show services inline-monitoring statistics fpc-slot 命令来验证内联监控服务的实施情况。

注意：

如果数据包需要将内联监控服务与任何传统采样技术（如 JFlow 或 SFlow）一起应用，则数据包转发引擎会对该数据包执行内联监控服务和传统采样技术。目前，端口镜像必须使用 Junos OS Evolved 的不同术语进行配置。

图 6 是内联监控服务的示例图示，其中流量在设备接口上以两种不同的采样率进行监控，并以 IPFIX 封装格式导出到四个远程收集器。对于 Junos OS，您可以在每个收集器上配置采样速率，为每个收集器提供不同的速率。对于 Junos OS 演化版，您可以在内联监控实例上配置采样率，该采样率将应用于为该实例配置的所有收集器。

图 6：内联监控服务 Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

Network flow collection using IPFIX format with two collector instances. Instance 1: Sampling rate 1:10,000. Instance 2: Sampling rate 1:1. Source IPs 10.1.1.1, 10.11.1.1. Destination IPs 10.2.2.1, 10.12.2.1.

在此示例中，设备的 et-1/0/0 接口配置了内联监控服务。配置详情如下：

有两个内联监控实例 — 实例 1 和实例 2。
有四个收集器，每个内联监控实例下有两个收集器。
- 实例 1 有 Collector-1 和 Collector-2。
- 实例 2 有 Collector-101 和 Collector-102。
实例 1 上的收集器的采样率为 1：10000。
实例 2 上的收集器的采样率为 1：1。
实例 1 收集器的源地址和目标地址分别为 10.1.1.1 和 10.2.2.1。
实例 2 收集器的源地址和目标地址分别为 10.11.1.1 和 10.12.2.1。
数据包以 IPFIX 封装格式导出到收集器。

要配置内联监控服务：

为每个内联监控实例定义防火墙过滤器，以便为内联监控服务提供服务。您可以使用术语 action inline-monitoring-instance配置家族防火墙过滤器。

要定义防火墙过滤器，请执行以下作：

在本例中，Instance1 和 Instance2 分别配置了术语 t1 和 t2。

通过配置关联的模板、实例和收集器参数来启用内联监控服务。

要配置内联监控服务模板：

在此示例中，配置了模板 template-1 和 template-2。

要配置内联监控实例和收集器参数：

对于 Junos OS：

在此 Junos OS 示例中，Instance1 有两个收集器：collector-1 和 collector-2，Instance2 有两个收集器：collector-101 和 collector-102。为两个实例配置了不同的采样率。

对于 Junos OS 演化版：

在此示例中，对于 Junos OS Evolved，Instance1 有两个收集器：collector-1 和 collector-2，Instance2 有两个收集器：collector-101 和 collector-102。为两个实例配置了不同的采样率。

将防火墙过滤器映射到接口逻辑单元家族下，以便在入口或出口方向上应用内联监控。
或者，您可以通过将防火墙过滤器映射到转转发表过滤器来应用内联监控，并使用输入或输出语句分别过滤入口或出口数据包。

要附加防火墙过滤器，请执行以下作：
在本例中，内联监控滤波器连接到 et-1/0/0 的单元 0 的系列。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用功能资源管理器确定您的平台是否支持某个功能。

发布

描述

23.4R1-EVO

内联监控服务（配备 JNP10K-LC1201 或 JNP10K-LC1202 线卡的 PTX10003 路由器）—从 Junos OS 演化版 23.4R1 开始，您可以在 PTX10003 路由器上配置内联监控服务以报告异常。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 or mpls 系列防火墙过滤器。

22.4R1-EVO

内联监控服务（配备 JNP10K-LC1201 或 JNP10K-LC1202 线卡的内联监控服务（PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器） - 从 Junos OS 演化版 22 开始。 4R1，您可以在 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上配置内联监控服务，以便对数据包进行采样、添加元数据，并将数据包导出到配置的剪辑长度以供 IPFIX 收集器进行进一步处理。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 or mpls 系列防火墙过滤器。

22.3R1

内联监控服务（MX304 路由器） - 从 Junos OS 22.3R1 版开始，您可以在 MX304 路由器上配置内联监控服务。

22.2R1-EVO

内联监控服务（配备 JNP10K-LC1201 或 JNP10K-LC1202 线卡的 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器） - 从 Junos OS 演化版 22.1R1 开始，您可以在 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上配置内联监控服务以报告异常。您还可以 any, ccc, ethernet-switch, inet, inet6,使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 or mpls 系列防火墙过滤器。

21.4R1

内联监控服务（用于 MX10008 路由器的 LC9600 线卡） - 从 Junos OS 21.4R1 版开始，您可以在包含 LC9600 线卡的 MX10008 路由器上配置内联监控服务。

21.2R1

支持用于内联监控服务的第 2 层和任何防火墙过滤器家族（带 MPC10E 和 MPC11E 线卡的 MX 系列） — 从 Junos OS 21.2R1 版开始，您可以使用 any, bridge, ccc, mpls,术语 action inline-monitoring-instance inline-monitoring-instance-name配置 or vpls 系列防火墙过滤器。

21.2R1

内联监控服务（用于 MX10008 和 MX10016 路由器的 LC480 线卡 - 从 Junos OS 21.2R1 版开始，您可以在包含 LC480 线卡的 MX10008 和 MX10016 路由器上配置内联监控服务。

21.1R1

支持用于内联监控服务的第 2 层和任何防火墙过滤器系列（带 MPC 的 MX 系列，不包括 MPC10E 和 MPC11E 线卡）—从 Junos OS 21.1R1 版开始，您可以使用术语 action inline-monitoring-instance inline-monitoring-instance-name配置 any、bridge、ccc、mpls 或 vpls 系列防火墙过滤器。

20.4R1

内联监控服务（用于 MX 系列路由器的 MPC10E 和 MPC11E 线卡） - 从 Junos OS 20.4R1 版开始，您可以在包含 MPC10E 和 MPC11E 线卡的 MX 系列路由器上配置内联监控服务。

19.4R1

内联监控服务（带 MPC，不包括 MPC10E 和 MPC11E 线卡的 MX 系列） - 从 Junos OS 19.4R1 版开始，您可以配置一种新的监控技术，该技术可以灵活地在同一接口上以不同的采样率监控不同的流量流。您还可以将配置的剪辑长度的数据包以 IP 流信息导出（IPFIX）格式导出到收集器中。IPFIX 格式包含有关受监控数据包的重要元数据信息，以便在收集器进行进一步处理。