Настройка отправки Jflow в Juniper SRX
Завершя историю про Juniper JFLOW многострадальный, и как его все-таки настроить.
Входные данные: кластер (это важно) из двух Juniper SRX550. Версия софта – не сильно древняя (у меня 12.1X45, еще полгода назад рекомендованная джунипером для этой линейки).
Т.к. у меня кластер, то flow v9 сразу отметается (в KB четко сказано, что v9 в кластерной конфигурации не поддерживается), т.е. остается v5 (v8 я не рассматривал даже).
Как я уже говорил , работать оно будет только из default VR, это надо учесть.
Собственно, настройка проста до безобразия. На всякий случай, добавляем static-route к вашему flow-collector.
set routing-options static route 172.30.16.187/32 next-hop 172.30.2.1
В качестве исходящего интерфейса я использую fxp0 с адресом 172.30.2.241
Настраиваем правила flow. Для тестов рекомендуется выставлять rate = 1. Для продакшена rate = 100.
set forwarding-options sampling input rate 1
set forwarding-options sampling input run-length 0
set forwarding-options sampling family inet output flow-server 172.30.16.187 port 9995
set forwarding-options sampling family inet output flow-server 172.30.16.187 version 5
Правило packet-filter, которое нужно повесить на интерфейс, который мы хотим мониторить.
set firewall family inet filter JFLOW term 0 then count JFLOW
set firewall family inet filter JFLOW term 0 then sample
set firewall family inet filter JFLOW term 0 then accept
set services flow-monitoring
Сам интерфейс. Вешаем только на input, дабы один и тот же трафик не считать два раза.
set interfaces reth1 unit 669 family inet filter input JFLOW
KB говорит, что High-End серия SRX поддерживает отправку Flow из VR, но, за неимением такового, проверить не могу.
Достаточно интересный документ, описывающий принцип работы JFLOW и схему обработки трафика.