《港湾6800E说明书13_流量监控操作.pdf》由会员分享,可在线阅读,更多相关《港湾6800E说明书13_流量监控操作.pdf(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、流量监控操作流量监控操作 目录目录 目录目录 第第 1 章章 镜像镜像.1-11.1 镜像介绍镜像介绍.1-11.2 镜像配置任务序列镜像配置任务序列.1-11.3 镜像举例镜像举例.1-21.4 镜像排错帮助镜像排错帮助.1-2第第 2 章章 RSPAN配置配置.2-12.1 RSPAN简介简介.2-12.2 RSPAN配置任务序列配置任务序列.2-22.3 RSPAN典型案例典型案例.2-32.4 RSPAN排错帮助排错帮助.2-6第第 3 章章 sFlow配置配置.3-13.1 sFlow介绍介绍.3-13.2 sFlow配置任务序列配置任务序列.3-13.3 sFlow举例举例.3-3
2、3.4 sFlow排错帮助排错帮助.3-3第第 4 章章 IPFIX配置配置.4-14.1 IPFIX介绍介绍.4-14.2 IPFIX基本配置基本配置.4-14.3 IPFIX举例举例.4-54.4 IPFIX排错帮助排错帮助.4-7 1 流量监控操作流量监控操作 第第 1 章章 镜像镜像 第第1章 镜像章 镜像 1.1 镜像介绍镜像介绍 镜像功能包括端口镜像功能,CPU 镜像功能,流镜像功能。端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。通常在镜像目的端口处连接一个协议分析仪(如 Sniffer)
3、或者 RMON 监测仪,可以监视和管理网络,并且能诊断网络故障。CPU 镜像功能是指交换机把 CPU 接收或发送的数据帧完全复制给一个端口。流镜像功能是指交换机把端口的指定规则的接收的数据帧完全复制给一个端口,其中指定规则只有为 permit 时流镜像才能生效。机架式交换机支持最多 4 个镜像目的端口,每个板卡上允许设置一个镜像 session 的源或者目的端口,对于盒式交换机目前能设置多个镜像 session。镜像源端口则没有使用上的限制,可以是 1 个也可以是多个,多个源端口可以在相同的 VLAN,也可以在不同 VLAN。目的端口和源端口可以在不同的 VLAN。1.2 镜像配置任务序列镜像
4、配置任务序列 1.指定镜像目的端口 2.指定镜像源端口(CPU)3.指定流镜像源 1.指定镜像目的端口指定镜像目的端口 命令 解释 全局配置模式 monitor session destination interface no monitor session destination interface 指定镜像目的端口;本命令的no 操作为删除镜像目的端口。2.指定镜像源端口(指定镜像源端口(CPU)命令 解释 全局配置模式 monitor session source interface|cpu slot rx|tx|both no monitor session source interf
5、ace|cpu slot 指定镜像源端口;本命令的 no操作为删除镜像源端口。1-1 流量监控操作流量监控操作 第第 1 章章 镜像镜像 3.指定流镜像源指定流镜像源 命令 解释 全局配置模式 monitor session source interface access-group rx|tx|bothno monitor session source interface access-group 指定流镜像源端口及应用规则;本命令的 no 操作为删除流镜像源端口。1.3 镜像举例镜像举例 案例:案例:用户有如下的配置需求:为了在 1 端口监测 7 端口接收的数据帧和 9 端口发出的数据帧,
6、同时还要监测 CPU 接收和发出的数据帧,端口 15 的符合规则 120(源 IP 为 1.2.3.4,目的IP 为 5.6.7.8)的入口的数据帧,通过配置镜像来达到这个目的。配置修改:1:配置 1 端口为该镜像的镜像目的;2:配置 7 端口的入口方向和 9 端口的出口方向为镜像源;3:配置 cpu 为镜像源;4:配置规则 120;5:配置端口 15 的入口绑定规则 120。配置步骤如下:配置步骤如下:Switch(config)#monitor session 4destination interface ethernet 1/1 Switch(config)#monitor sessio
7、n 4 source interface ethernet 1/7 rx Switch(config)#monitor session 4 source interface ethernet 1/9 tx Switch(config)#monitor session 4 source cpu Switch(config)#access-list 120 permit tcp 1.2.3.4 0.0.0.255 5.6.7.8 0.0.0.255 Switch(config)#monitor session 4 source interface ethernet 1/15 access-list
8、 120 rx 1.4 镜像排错帮助镜像排错帮助 当配置镜像功能出现问题时,请检查是否是如下原因:?镜像目的端口是端口聚合组成员;如果是,请修改端口聚合组。?镜像目的端口的吞吐量小于镜像源端口吞吐量的总和,目的端口无法完全复制源端口的流量;请减少源端口的个数或复制单向的流量,或者选择吞吐量更大的端口作为目的端口。镜像目的端口不能划入Isolate vlan,否则将影响跨VLAN镜像。1-2 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 第第2章 章 RSPAN配置配置 2.1 RSPAN简介简介 端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口。
9、其中被复制的端口称为镜像源端口,复制到的端口称为镜像目的端口。镜像功能的出现,给网管人员诊断网络故障带了很大的方便。但美中不足的是,它只局限于镜像源端口和镜像目的端口处于同一交换机的情况。RSPAN(remote switched port analyzer,远程交换端口分析),即远程端口镜像,突破了镜像源和目的端口必须处于同一交换机的限制,使镜像源端口和镜像目的端口可以在不同的网络设备上,从而方便网管人员对远程交换机设备进行管理。在远程镜像的 vlan 上不能进行业务流的传输。实现了 RSPAN 功能的交换机分为三种:1.源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在 Remot
10、e VLAN上做二层转发,转发给中间交换机或目的交换机。2.中间交换机:网络中处于源交换机和目的交换机之间的交换机,把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。3.目的交换机:远程镜像目的端口所在的交换机,将从 Remote VLAN 接收到的镜像流量通过镜像目的端口转发给监控设备。在配置源交换机的 rspan 镜像时可以采用反射端口或直接镜像到目的端口的方式。在目的交换机端将 RSPAN vlan 上的数据发送到 RSPAN 目的端口。我们采用一般模式和高级模式两种,其中一般作为默认方法,适合一般用户。高级模式,适合高级用户。1.高级模
11、式特性:RSPAN vlan 的数据重定向到 RSPAN 目的端口需要 RSPAN 链路的中间和目的设备支持流的重定向的功能。2.一般模式特性:RSPAN 目的端口划入 RSPAN vlan,这样 RSPAN 的数据直接广播到目的端口。目的端口局限于 RSPAN vlan,源端口不能配置广播抑制。需要小心配置各个 Trunk 端口,防止 RSPAN 数据向其他网络转发。由于采用一般方式,占用资源最少、配置简单。注:默认采用一般模式。采用一般模式时,如果镜像的报文的 MAC 地址是保留地址则无法广播 机架式交换机支持最多 4 个镜像目的端口,每个板卡上允许设置一个镜像 session 的源或者目
12、的端口,对于盒式交换机目前只能设置一个镜像 session。镜像源端口则没有使用上的限制,可以是 1 个也可以是多个,多个源端口可以在相同的 VLAN,也可以在不同 VLAN。目的端口和源端口可以在不同的 VLAN。在使用 RSPAN 功能之前,要先创建专属的 RSPAN vlan,用于转发 RSPAN 数据报文不能在这个 vlan 上承载业务。由于默认情况下所有的端口都属于缺省 vlan,在标记 RSPAN vlan 时禁止将缺省 vlan、动态 vlan、私有 vlan、组播 vlan、配置了三层接口的 vlan 等特殊vlan 配置为 RSPAN vlan。目的端口与 Monitor 相
13、连,该端口必须为 access 端口且属于RSPAN vlan。反射端口必须属于 RSPAN vlan,可以为 RSPAN vlan 的 access 口,或者为trunk 口。端口被配置为 RSPAN 的反射端口之后自动失去与对端的连接并禁止在反射端口上做 loopback 相关的配置,同时其他的业务数据也将无法转发,所以反射端口要求必须是 2-1 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 专用的端口。需要通过配置保证 Remote VLAN 从源交换机到目的交换机的二层互通性。需要注意的问题:1.在源交换机、中间交换机和目的交换机的 RSPAN vlan 上都不能起三
14、层接口,否则镜像后的报文有可能被丢弃而无法到达目的端口。2.在源交换机和中间交换机的 RSPAN 数据传输链路中,交换机输出方向的 Trunk端口的 native vlan 不能设置为 RSPAN vlan,否则 RSPAN tag 在没有到达目的交换机时就会被剥离掉,从而导致 RSPAN 失败。3.在源交换机采用反射端口的镜像方式时,不能把镜像的源端口以 access 或者是trunk 的方式配置为 RSPAN VLAN 的成员端口。采用反射端口做跨板的 cpu tx 方向镜像时,反射端口必须配置为 trunk 端口允许 RSPAN VLAN 的数据通过,并且其 native vlan 不能
15、配置为 RSPAN VLAN。4.在使用远程镜像时需注意链路的带宽要满足业务流和镜像流量的需要。名词解释;RSPAN(remote switched port analyzer):远程交换端口分析 RSPAN vlan:专用于 RSPAN 的一个特殊 vlan RSPAN Tag:RSPAN 数据在 MTP 上被打上的一个 Vlan Tag 反射端口:从 RSPAN 源端口到本地目的端口的本地镜像。但这个本地目的端口不直接与中间交换机相连,我们把这个端口叫做反射端口 2.2 RSPAN配置任务序列配置任务序列 1.配置 rspan vlan 2.指定镜像源端口(cpu)3.指定镜像目的端口 4
16、.配置反射端口 5.配置镜像组的 remote vlan 1.配置配置 RSPAN vlan 命令 解释 Vlan 配置模式 remote-span no remote-span 将当前 vlan 配置为 rspan vlan;no 操作为删除 rspan vlan。2.指定镜像源端口指定镜像源端口(CPU)命令 解释 全局配置模式 2-2 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 monitor session source interface|cpu slot rx|tx|both no monitor session source interface|cpu slo
17、t 指定镜像源端口;本命令的 no操作为删除镜像源端口。3.指定镜像目的端口指定镜像目的端口 命令 解释 全局配置模式 monitor session destination interface no monitor session destination interface 指定镜像目的端口;本命令的no 操作为删除镜像目的端口。4.配置反射端口配置反射端口 命令 解释 全局配置模式 monitor session reflector-port no monitor session reflector-port 将端口配置为反射端口,使用no 命令删除反射端口。5.配置镜像组的配置镜像组的
18、remote vlan 命令 解释 全局配置模式 monitor session remote vlan no monitor session remote vlan 配置镜像组的 remote valn,no 操 作 为 删 除 镜 像 组 的remote vlan。2.3 RSPAN典型案例典型案例 在没有 RSPAN 之前,网络管理人员需要带着笔记本电脑跑到各个交换机处,将电脑连接到交换机上,才能检测网络的状况,非常不方便。而有了 RSPAN 功能之后,管理员只需要在网管中心通过 Telnet 做一些简单的配置,就能检测到任何一台交换机(当然,这台交换机需要支持 RSPAN 功能)的运行
19、状况。大大方便了网管人员的管理工作。下图是 RSPAN 功能的一种应用:2-3 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 Source Switch E9 E2 E7 E10 E1 E6 Intermediate SwitchDestination SwitchPC1 Monitor 图2-1 RSPAN 应用示意图 可以采用两种方案:方案一无反射端口,方案二有反射端口:方案一只能固定一个端口与中间交换机连接,方案二源与中间交换机连接端口不固定,比较灵活;两种方案的比较:方案一虽说只能固定一个接口与中间交换机连接,但是它省去了一个反射端口,端口利用率高。方案二通过反射端口
20、,可以将数据报文通过回环在 RSPAN vlan中广播,灵活的与中间交换机通信。以下是采用一般模式转发时各个交换机的配置:方案一:源交换机:源交换机:interface ethernet 1/1 为源端口。interface ethernet 1/2 为目的端口,与中间交换机相连。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/2 Switch(Config-If-Ethernet
21、1/2)#switchport mode trunk Switch(Config-If-Ethernet1/2)#exit Switch(config)#monitor session 1 source interface ethernet1/1 rx Switch(config)#monitor session 1 destination interface ethernet1/2 Switch(config)#monitor session 1 remote vlan 5 中间交换机:中间交换机:interface ethernet1/6 为源端口,与源交换机相连。interface et
22、hernet1/7 为目的端口,与目的交换机相连,该端口的 native vlan 不能设置为RSPAN vlan,否则镜像后的数据可能无法在目的交换机上正确传输。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/6-7 2-4 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 Switch(Config-If-Port-Range)#switchport mode t
23、runk Switch(Config-If-Port-Range)#exit 目的交换机:目的交换机:interface ethernet1/9 为源端口,与源交换机相连。interface ethernet1/10 为目的端口,与 Monitor 相连,该端口必须为 access 端口且属于RSPAN vlan。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/9 Switch(C
24、onfig-If-Ethernet1/9)#switchport mode trunk Switch(Config-If-Ethernet1/9)#exit Switch(config)#interface ethernet 1/10 Switch(Config-If-Ethernet1/10)#switchport access vlan 5 Switch(Config-If-Ethernet1/10)#exit 方案二:源交换机:源交换机:interface ethernet 1/1 为源端口。interface ethernet 1/2为trunk端口,与中间交换机相连,该端口的nati
25、ve vlan不能为RSPAN vlan。interface ethernet 1/3 为反射端口,也是本地镜像目的端口,反射端口必须属于 RSPAN vlan,可以为 RSPAN vlan 的 access 口,或者为 trunk 口。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/2 Switch(Config-If-Ethernet1/2)#switchport mode t
26、runk Switch(Config-If-Ethernet1/2)#exit Switch(config)#interface ethernet 1/3 Switch(Config-If-Ethernet1/3)#switchport mode trunk Switch(Config-If-Ethernet1/3)#exit Switch(config)#monitor session 1 source interface ethernet1/1 rx Switch(config)#monitor session 1 reflector-port ethernet1/3 Switch(con
27、fig)#monitor session 1 remote vlan 5 中间交换机:中间交换机:interface ethernet1/6 为源端口,与源交换机相连。interface ethernet1/7 为目的端口,与目的交换机相连,该端口的 native vlan 不能设置为 2-5 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-6 RSPAN vlan,否则镜像后的数据可能无法在目的交换机上正确传输。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Conf
28、ig-Vlan5)#exit Switch(config)#interface ethernet 1/6-7 Switch(Config-If-Port-Range)#switchport mode trunk Switch(Config-If-Port-Range)#exit 目的交换机:目的交换机:interface ethernet1/9 为源端口,与源交换机相连。interface ethernet1/10 为目的端口,与 Monitor 相连,该端口必须为 access 端口且属于RSPAN vlan。RSPAN vlan 为 5。Switch(config)#vlan 5 Swit
29、ch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/9 Switch(Config-If-Ethernet11/9)#switchport mode trunk Switch(Config-If-Ethernet1/9)#exit Switch(config)#interface ethernet 1/10 Switch(Config-If-Ethernet1/10)#switchport access vlan 5 Switch(Config-If-Etherne
30、t1/10)#exit 2.4 RSPAN排错帮助排错帮助 当配置 rspan 功能出现问题时,请检查是否是如下原因:?镜像目的端口是否是端口聚合组成员;如果是,请修改端口聚合组;?镜像目的端口的吞吐量小于镜像源端口吞吐量的总和,目的端口无法完全复制源端口的流量;请减少源端口的个数或复制单向的流量,或者选择吞吐量更大的端口作为目的端口。?在源交换机和中间交换机的RSPAN数据传输链路中,交换机输出方向的Trunk端口的native vlan是否设置为RSPAN vlan;如果是,请修改Trunk端口的native vlan。流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 第第3
31、章 章 sFlow配置配置 3.1 sFlow介绍介绍 sFlow(RFC 3176)是基于标准网络导出协议,是由 InMon 公司开发出来的用于监控网络流量信息的协议。其主要操作是由被监视的交换机、路由器把被监控的数据通过采样、统计等操作发送到用于监控的用户端分析器,由分析器对收到的数据进行用户所要求的分析,从而达到监控网络的目的。一个 sFlow 监控系统包括:sFlow 代理、中央数据收集器、和 sFlow 分析器。SFlow代理利用采样技术从交换机设备抓取数据。sFlow 数据收集器用来格式化要转发采样的数据统计到 sFlow 分析器,sFlow 分析器对采样数据进行分析并根据分析结果
32、作出相应的处理措施。这里我们的交换机实现的是 sFlow 系统中的代理和中央数据收集器部分。我们当前实现了针对物理端口的数据采样和统计。我们实现的采样数据类型针对 IPV4 报文类型、IPv6 报文类型进行处理。其它类型的扩展暂不支持。对于非 IPV4 和 IPv6 的报文,我们按照 RFC3176 的要求,采用统一的头(HEADER)模式,在分析其协议类型的基础上,复制报文的头信息。InMon 公司发布的 sFlow 协议目前已经更新到了版本 5,由于 RFC3176 实现的是版本4,而版本之间在结构和报文格式上可能存在一定的不兼容,由于版本 5 还没有成为正式的协议,为与当前的应用软件兼容
33、,我们仍遵照 RFC3176 实现。3.2 sFlow配置任务序列配置任务序列 1.配置配置 sFlow Collector 地址地址 命令 解释 全局配置模式,端口配置模式 sflow destination no sflow destination 配置sFlow分析软件所在主机的IP地址和端口号。对于端口来说,如果端口上有配置 IP地址,则使用端口的配置,否则使用全局的配置。No 命令恢复为默认端口值,删除 IP地址值。2.配置配置 sFlow 代理地址代理地址 命令 解释 全局配置模式 sflow agent-address no sflow agent-address 配置 sFlo
34、w 代理使用的源 IP 地址,no 命令删除该地址。3.配置配置 sFlow 协议优先级协议优先级 命令 解释 全局配置模式 3-1 流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 sflow priority no sflow priority 配置 sFlow 从硬件收报文时的优先级,no 命令恢复为默认值。4.配置配置 sFlow 复制报文数据头长度复制报文数据头长度 命令 解释 端口配置模式 sflow header-len no sflow header-len 配置 sFlow 在数据采样中复制的报文数据头的长度,no 命令恢复为默认值。5.配置配置 sFlow 报
35、文最大允许数据头长度报文最大允许数据头长度 命令 解释 端口配置模式 sflow data-len no sflow data-len 配置 sFlow 在报文中允许的最大数据长度,no 命令恢复为默认值。6.配置配置 sFlow 硬件采样速率硬件采样速率 命令 解释 端口配置模式 sflow rate input|output no sflow rate input|output 配置 sFlow 在硬件采样时的采样速率。No 命令删除采样速率值。7.配置配置 sFlow 统计采样间隔统计采样间隔 命令 解释 端口配置模式 sflow counter-interval no sflow co
36、unter-interval 配置 sFlow 进行统计采样的最大间隔。No 命令删除统计采样间隔值。8.配置配置 sFlow 使用的分析器使用的分析器 命令 解释 全局配置模式 sflow analyzer sflowtrend no sflow analyzer sflowtrend 配置sFlow使用的分析器。no命令删除sflow的分析器。3-2 流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 3.3 sFlow举例举例 sFlow举例举例 SWITCH PC 图 3-1 sFlow 配置拓扑图 图 3-1 sFlow 配置拓扑图 如图所示,SWITCH上的端口1/1以
37、及1/2上启动sFlow 采样,假定PC上安装了sFlow分析器软件,PC 地址为 192.168.1.200,SWITCH 上与 PC 相连的三层接口的地址为192.168.1.100,SWITCH 上配置了一个地址为 10.1.144.2 的 loopback 接口。以下是 sFlow的配置 如图所示,SWITCH上的端口1/1以及1/2上启动sFlow 采样,假定PC上安装了sFlow分析器软件,PC 地址为 192.168.1.200,SWITCH 上与 PC 相连的三层接口的地址为192.168.1.100,SWITCH 上配置了一个地址为 10.1.144.2 的 loopback
38、 接口。以下是 sFlow的配置 配置步骤如下:配置步骤如下:配置步骤如下:配置步骤如下:switch#config switch#config switch(config)#sflow agent-address 10.1.144.2 switch(config)#sflow agent-address 10.1.144.2 switch(config)#sflow destination 192.168.1.200 switch(config)#sflow destination 192.168.1.200 switch(config)#sflow priority 1 switch(co
39、nfig)#sflow priority 1 switch(config)#in e1/1 switch(config)#in e1/1 switch(Config-If-Ethernet1/1)#sflow rate input 10000 switch(Config-If-Ethernet1/1)#sflow rate input 10000 switch(Config-If-Ethernet1/1)#sflow rate output 10000 switch(Config-If-Ethernet1/1)#sflow rate output 10000 switch(Config-If-
40、Ethernet1/1)#sflow counter-interval 20 switch(Config-If-Ethernet1/1)#sflow counter-interval 20 switch(Config-If-Ethernet1/1)#exit switch(Config-If-Ethernet1/1)#exit switch(config)#in e1/2 switch(config)#in e1/2 switch(Config-If-Ethernet1/2)#sflow rate input 20000 switch(Config-If-Ethernet1/2)#sflow
41、rate input 20000 switch(Config-If-Ethernet1/2)#sflow rate output 20000 switch(Config-If-Ethernet1/2)#sflow rate output 20000 switch(Config-If-Ethernet1/2)#sflow counter-interval 40 switch(Config-If-Ethernet1/2)#sflow counter-interval 40 3.4 sFlow排错帮助排错帮助 3.4 sFlow排错帮助排错帮助 在配置、使用 sFlow 功能时,可能会由于物理连接、
42、配置错误等原因导致 sFlow 未能正常运行。因此,用户应注意以下要点:在配置、使用 sFlow 功能时,可能会由于物理连接、配置错误等原因导致 sFlow 未能正常运行。因此,用户应注意以下要点:?应该保证物理连接的正确无误;?应该保证物理连接的正确无误;?保证全局配置模式或者接口配置模式下所配置的sFlow分析器地址是可达的;?保证全局配置模式或者接口配置模式下所配置的sFlow分析器地址是可达的;?如果要求流采样,必须保证配置了接口下的采样速率;?如果要求流采样,必须保证配置了接口下的采样速率;?如果要求统计采样,必须保证配置了接口下的统计采样间隔。?如果要求统计采样,必须保证配置了接口
43、下的统计采样间隔。如果使用检查尝试仍无法解决,请联系本公司技术服务中心。如果使用检查尝试仍无法解决,请联系本公司技术服务中心。3-3 流量监控操作流量监控操作 第第 4 章章 IPFIX 配置配置 第第4章 章 IPFIX配置配置 4.1 IPFIX介绍介绍 IPFIX 全称为 IP Flow Information Export,即 IP 流信息输出,它是由 IETF 根据 Cisco NetFlow Version9 制定的用于网络中流信息测量的标准协议,它使网络中流量统计信息的格式标准化。其主要操作是由被监控的交换机或者路由器根据用户的监控需求,把被监控的数据流进行分类、统计,生成不同的
44、流记录,然后发送到用于监控的用户端的收集器,由收集器对收集到的流记录进行分析和存储,通过记录和分析网络中这些流量的特征,如流量持续时间、流量中报文平均长度等,我们可以了解到当前网络的应用情况,并根据这些信息对网络进行优化,安全检测,流量计费,从而达到监控网络流量的目的。该协议可以工作在任何厂家的网络设备和管理系统平台之上,而且 IPFIX 的数据输出格式是基于模板的,具有很强可扩展性,如果流量监控的要求发生改变,网络管理员也不必升级网络设备软件或管理工具。目前网络界基于流(Flow)的分析技术主要有NetFlow、sFlow和IPFIX。NetFlow是Cisco公司独有的技术,它既是一种流量
45、分析协议,又是一种流交换技术,而 IETF 制定的 IPFIX规范,则是基于 NetFlow V9 设计的,它使得网络中流量统计信息的格式趋于标准化。sFlow是基于标准网络导出协议,是由 InMon 公司开发出来的用于监控网络流量信息的协议。它采用数据流随机采样技术把采样数据发送到用于监控的用户端分析器,由分析器对收到的数据进行用户所要求的分析,从而达到监控网络的目的。和 IPFIX 相比,sFlow 更像是一种简单的数据采样,更容易支持高速接口,它能提供给分析器更多的报文信息,但报文输出格式是固定的,不能扩展,sFlow 的实时性较强,具备突出的第 2-7 层信息的描述能力。而 IPFIX
46、可以通过用户的配置把不同的报文流进行分类统计,主要关注报文的头部信息,提供路由器的三层信息。另外,用户可以灵活的配置想要获取的报文内容,同时也可以设定数据输出的模板格式,具有很强的可扩展性。基于上面的分析,sFlow 主要考虑用于那些对统计结果要求不是特别准确,用户需要关心报文内容的应用环境或者网络流量比较大的环境中。IPFIX 主要用于需要精确统计和对流量进行分类统计的应用环境中,比如需要对服务类型进行分类统计。IPFIX 是在支持特定芯片的板卡上实现的,和 sFlow 模块不存在互斥关系。因此,交换机或者路由器可以同时支持这两个功能,用户可以根据实际需要来选择不同的流量统计方法。4.2 I
47、PFIX基本配置基本配置 IPFIX 配置任务序列如下:1.配置匹配规则 1)设置 l2 报文流记录匹配关键字 4-1 流量监控操作流量监控操作 第第 4 章章 IPFIX 配置配置 2)设置 IPv4 报文流记录匹配关键字 3)设置 IPv6 报文流记录匹配关键字 4)设置流记录的非关键字 2.配置采样规则 3.配置输出规则 4.配置监控规则 1)选择匹配关键字 2)选择输出地址 3)选择监控报文类型 4)设置监控相关参数 5.将配置应用到端口 1.配置匹配规则配置匹配规则 命令 解释 全局配置模式 ipfix record no ipfix record 创建新 record,并进入 re
48、cord 配置模式;本命令的 no 操作为删除指定的 record。match datalink vlan id|priority no match datalink vlan id|priority match datalink mac destination-address|source-address no match datalink mac destination-address|source-address match datalink ether-type no match datalink ether-type 设置 L2 报文的流记录关键字,当需要多个关键字时,可进行多次配置
49、。L2 报文关键字有:vlan-id vlan-priority dst-mac-address src-mac-address ether-type select ipv4|ipv6 no select ipv4|ipv6 选择流记录匹配关键字的类型。(该命 令 不 配 置 时,match ip/match ipv4-mask/match ipv6-prefix命令的配置不生效)4-2 流量监控操作流量监控操作 第第 4 章章 IPFIX 配置配置 match ip protocol|tos|destination-port|source-port no match ip protocol|
50、tos|destination-port|source-port|设置 IP 报文(对 IPv4 及 IPv6 报文均生效)的流记录关键字,当需要多个关键字时,可进行多次配置。该命令设置的报文关键字有:protocol(对 IPv6 而言,是匹配next-header 字段)tos destination-port source-port match ipv4-mask destination source no match ipv4-mask 设置匹配IPv4报文的源/目的地址掩码长度。(需要与 select ipv4 命令配合使用)match ipv6-prefix destination