Завершя историю про Juniper JFLOW многострадальный, и как его все-таки настроить.
Входные данные: кластер (это важно) из двух Juniper SRX550. Версия софта — не сильно древняя (у меня 12.1X45, еще полгода назад рекомендованная джунипером для этой линейки).
Т.к. у меня кластер, то flow v9 сразу отметается (в KB четко сказано, что v9 в кластерной конфигурации не поддерживается), т.е. остается v5 (v8 я не рассматривал даже).
Как я уже говорил , работать оно будет только из default VR, это надо учесть.
Собственно, настройка проста до безобразия. На всякий случай, добавляем static-route к вашему flow-collector.
1 | set routing-options static route 172.30.16.187/32 next-hop 172.30.2.1 |
В качестве исходящего интерфейса я использую fxp0 с адресом 172.30.2.241
Настраиваем правила flow. Для тестов рекомендуется выставлять rate = 1. Для продакшена rate = 100.
1 2 3 4 | set forwarding-options sampling input rate 1 set forwarding-options sampling input run-length 0 set forwarding-options sampling family inet output flow-server 172.30.16.187 port 9995 set forwarding-options sampling family inet output flow-server 172.30.16.187 version 5 |
Правило packet-filter, которое нужно повесить на интерфейс, который мы хотим мониторить.
1 2 3 4 | set firewall family inet filter JFLOW term 0 then count JFLOW set firewall family inet filter JFLOW term 0 then sample set firewall family inet filter JFLOW term 0 then accept set services flow-monitoring |
Сам интерфейс. Вешаем только на input, дабы один и тот же трафик не считать два раза.
1 | set interfaces reth1 unit 669 family inet filter input JFLOW |
KB говорит, что High-End серия SRX поддерживает отправку Flow из VR, но, за неимением такового, проверить не могу.
Достаточно интересный документ, описывающий принцип работы JFLOW и схему обработки трафика.