- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-NetStream配置
本章节下载: 04-NetStream配置 (321.35 KB)
NetStream技术是一种基于流的统计技术,可以对网络中的业务流量进行统计和分析。它根据IPv4报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、输入接口或输出接口来定义流,七元组相同的报文属于同一条流。NetStream除了可以逐流统计,也可以将多个具有某些相同特征的流聚合成一条聚合流进行统计。
一个典型的NetStream系统由NDE(NetStream Data Exporter,网络流数据输出者)、NSC(NetStream Collector,网络流数据收集者)和NDA(NetStream Data Analyzer,网络流数据分析者)三部分组成。
· NDE
NDE根据七元组对网络流进行分类,提取符合条件的流进行统计,并将统计信息输出给NSC设备。输出前也可对数据进行一些处理,比如聚合。配置了NetStream功能的设备在NetStream系统中担当NDE角色。
· NSC
NSC通常为运行于某种操作系统上的一个应用程序,负责解析来自NDE的报文,把统计数据收集到数据库中,可供NDA进行解析。NSC可以采集多个NDE设备输出的数据。
· NDA
NDA是一个网络流量分析工具,它从NSC中提取统计数据,进行进一步的加工处理,生成报表,为各种业务提供依据(比如流量计费、网络规划,攻击监测)。NDA可以提取多个NSC中的数据。通常,NDA具有图形化用户界面,可以使用户方便地获取、显示和分析收集到的数据。
NSC和NDA可以集成在一台NetStream服务器上。
图1-1 NetStream系统中的设备角色
NetStream流老化是设备向NetStream服务器输出流统计信息的一种手段。当设备开启NetStream功能后,流统计信息首先会被存储在设备的NetStream缓冲区中。当存储在设备上的NetStream流信息老化后,设备会把缓冲区中的流统计信息通过指定版本的NetStream输出报文发送给NetStream服务器,同时清除缓冲区中的对应信息。
NetStream流老化有按时老化和强制老化两种方式。
按时老化分为以下两种方式:
· 流的不活跃老化:从采集到的最后一个报文开始,该流在指定的时间内没有被采集到,那么设备会向NetStream服务器输出该流的统计信息,这种老化称为流的不活跃老化。通过这种老化,可以清除设备上NetStream缓冲区中的无用表项,充分利用统计表项资源。
· 流的活跃老化:从采集到的第一个报文开始,该流在指定的时间内能被采集到。活跃时间超过设定的时长后,需要输出该流的统计信息,这种老化称为流的活跃老化。设备向NetStream服务器输出流的统计信息后,因为该流还存在,所以设备会继续统计该流。这种老化方式是设备定期向NetStream服务器输出流统计信息的一种机制。
强制老化分为以下两种方式:
· 手工强制老化:执行命令强制将NetStream缓冲区中所有流老化、输出,并清空NetStream缓冲区信息。
· 最大数目老化:当NetStream流缓存区中流表项的数目达到指定的最大数目时,强制老化部分流表项或禁止新建流表项。
普通流输出是指所有流的统计信息都要被统计。在流老化后,每条流的统计信息都要输出到NetStream服务器。
普通流输出的优点是,NetStream服务器可以得到每条流的详细统计信息。但其缺点也是很明显的,这种方式增加了网络带宽和设备的CPU占有率,而且为了存储这些信息,需要大量的存储介质空间。
聚合流输出是指设备对与聚合关键项完全相同的流的统计信息进行汇总,从而得到对应的聚合流统计信息,并将该聚合统计信息发送到相应的NetStream服务器。
目前,聚合流输出支持的聚合方式如表1-1所示。系统根据选择的聚合方式的聚合关键项,将聚合关键项相同的多条流的统计信息合并为一条聚合流的统计信息,记录该聚合流的统计信息。这些聚合方式相互独立,可以同时配置。
例如,设备采集到四条TCP流,其目的地址相同、源地址不同、源端口和目的端口均为10。选择表1-1中的“协议-端口聚合”方式,该聚合方式的依据为“协议号、源端口、目的端口”。因为这四条TCP流的源端口、目的端口和协议号相同,所以在聚合流统计表项中只会记录一条聚合流统计信息。设备只将聚合统计信息发送给相应的NetStream服务器。由此可见,聚合的最大好处是可以减少对网络带宽的占用。
|
聚合方式 |
聚合关键项 |
|
自治系统聚合(as) |
源AS号、目的AS号、输入接口索引、输出接口索引 |
|
协议-端口聚合(protocol-port) |
协议号、源端口、目的端口 |
|
源前缀聚合(prefix) |
源AS号、源掩码长度(源IP的掩码长度)、源前缀(源IP的网络地址)、输入接口索引 |
|
目的前缀聚合(destination-prefix) |
目的AS号、目的掩码长度(目的IP的掩码长度)、目的前缀(目的IP的网络地址)、输出接口索引 |
|
源和目的前缀聚合(source-prefix) |
源AS号、目的AS号、源掩码长度、目的掩码长度、源前缀、目的前缀、输入接口索引、输出接口索引 |
|
前缀-端口聚合(prefix-port) |
源前缀、目的前缀、源掩码长度、目的掩码长度、ToS、协议号、源端口、目的端口、输入接口索引、输出接口索引 |
|
服务类型-自治系统聚合(tos-as) |
ToS、源AS号、目的AS号、输入接口索引、输出接口索引 |
|
服务类型-源前缀聚合(tos-source-prefix) |
ToS、源AS号、源前缀、源掩码长度、输入接口索引 |
|
服务类型-目的前缀聚合(tos-destination-prefix) |
ToS、目的AS号、目的掩码长度、目的前缀、输出接口索引 |
|
服务类型-前缀聚合(tos-prefix) |
ToS、源AS号、源前缀、源掩码长度、目的AS号、目的掩码长度、目的前缀、输入接口索引、输出接口索引 |
|
服务类型-协议-端口聚合(tos-protocol-port) |
ToS、协议类型、源端口、目的端口、输入接口索引、输出接口索引 |
|
服务类型-BGP下一跳聚合(tos-bgp-nexthop) |
ToS、BGP下一跳地址、输出接口索引 |
· 在统计AS号时,如果流量没有按照BGP的路由表进行转发,则系统无法统计出AS号。
· 在统计BGP下一跳地址时,如果流量没有按照BGP的路由表进行转发,则系统无法统计出BGP下一跳地址。
目前NetStream输出的报文主要有如下版本:
· 版本5:根据七元组产生原始的数据流,不支持聚合流输出,报文格式固定,不易扩展。
· 版本8:支持聚合流输出,报文格式固定,不易扩展。
· 版本9:基于模板方式,模板可在遵循RFC定义的模板格式的前提下自定义。版本9支持聚合流输出,对BGP下一跳信息的统计输出。
NetStream可以与ACL(Access Control List,访问控制列表)配合使用,NetStream只统计ACL筛选出的报文。通过这种方式可以使NetStream只对用户关注的数据进行统计,更能满足用户多样的统计要求。有关ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
与Netstream相关的协议规范有:
RFC 5101:Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5040、F5060、F5080、F5000-AI-20、F5000-AI-40、F5000-V30、F5000-C、F5000-S、F5000-M、F5000-A |
不支持 |
|
F1000-AI-20、F1000-AI-30、F1000-AI-50、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1003-L、F1005-L、F1010-L |
不支持 |
|
F1005、F1010 |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090、F1000-V70、F1000-V90 |
不支持 |
|
F1000-AK1010、F1000-AK1020、F1000-AK1030 |
不支持 |
|
F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140 |
不支持 |
|
F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332 |
不支持 |
|
F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
不支持 |
|
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711 |
不支持 |
|
LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1 |
不支持 |
|
LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSQM2FWDSC0 |
不支持 |
|
vFW1000、vFW2000 |
支持 |
NetStream配置任务如下:
(1) 开启NetStream功能
(2) (可选)配置NetStream过滤功能
(3) (可选)配置NetStream输出报文的格式
(4) (可选)配置NetStream输出报文版本9模板的刷新率
(5) (可选)配置NetStream的VXLAN报文统计功能
(6) (可选)配置NetStream的流老化
b. (可选)配置NetStream聚合流的统计信息输出
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启NetStream功能。
ip netstream { inbound | outbound }
缺省情况下,接口的NetStream功能处于关闭状态。
NetStream过滤使用ACL来对报文进行过滤:
· 如果想通过NetStream只采集特定流的数据,配置ACL 规则允许这些流通过。
· 如果想让NetStream不采集特定流的数据,配置ACL 规则禁止这些流通过。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启NetStream过滤功能。
ip netstream { inbound | outbound } filter acl ipv4-acl-number
缺省情况下,NetStream过滤功能处于关闭状态,即统计流经指定接口的所有IPv4报文。
用户可以通过配置NetStream输出报文的格式,进一步明确需要统计的选项(如确定记录的自治系统号及是否记录BGP下一跳地址)。
当用户选择版本9的NetStream输出报文格式时,用户可以选择是否在流统计信息中记录BGP下一跳地址。
NetStream流统计信息中会记录流的源IP地址及其对应的自治系统号、目的IP地址及其对应的自治系统号。设备会根据用户配置的自治系统参数来确定记录的自治系统号。自治系统参数包括origin-as(起始自治系统)和peer-as(邻接自治系统):
· origin-as表示流统计信息中记录的自治系统号为起始自治系统号。
· peer-as表示流统计信息中记录的自治系统号为邻接自治系统号。
如图1-2所示,有一条数据流从AS 20开始,依次经过AS 21、AS 22、AS 23,到达AS 24。如果配置参数origin-as,那么流统计信息中记录该流的源AS为20,目的AS为24。如果配置参数peer-as,那么流统计信息中记录该流的源AS为21,目的AS为23。
(1) 进入系统视图。
system-view
(2) 配置NetStream统计输出报文版本以及其自治系统选项、BGP下一跳选项。请选择其中一项进行配置。
¡ 配置NetStream版本5的自治系统选项。
ip netstream export version 5 { origin-as | peer-as }
¡ 配置NetStream版本9的自治系统选项和BGP下一跳选项。
ip netstream export version 9 { origin-as | peer-as } [ bgp-nexthop ]
缺省情况下,NetStream统计输出报文使用版本9,记录邻接自治系统(peer-as)信息,不记录BGP下一跳信息。
版本9是基于模板方式的、支持自定义格式的输出报文版本(即可以决定输出报文的内容)。由于NetStream服务器不会永久保存模板,所以设备需要定期通知NetStream服务器最新的版本9模板格式。用户可以根据实际情况,配置版本9模板的刷新率(包括包刷新率和时间刷新率),及时更新模板。当同时配置包刷新率和时间刷新率时,只要满足任意一个刷新条件,设备就会将激活的模板发送给NetStream服务器。
(1) 进入系统视图。
system-view
(2) 配置NetStream统计输出报文版本9模板的刷新率。
ip netstream export v9-template refresh-rate { packet packets | time minutes }
缺省情况下,每隔20个包刷新一次版本9模板;每隔30分钟刷新一次版本9模板。
开启NetStream的VXLAN报文统计功能后,NetStream将统计与配置的目的UDP端口号相同的VXLAN报文中的VNI信息。
(1) 进入系统视图。
system-view
(2) 开启VXLAN报文统计功能。
ip netstream vxlan udp-port port-number
缺省情况下,VXLAN报文统计功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置流的活跃老化时间。
ip netstream timeout active minutes
缺省情况下,流的活跃老化时间为30分钟。
(3) 配置流的不活跃老化时间。
ip netstream timeout inactive seconds
缺省情况下,流的不活跃老化时间为30秒。
(1) 进入系统视图。
system-view
(2) 配置NetStream流缓存区中流表项的最大数目。
ip netstream max-entry max-entries
缺省情况下,NetStream流缓存区中流表项的最大数目为100000。
(3) 退回用户视图。
quit
(4) 将流缓存区中所有流强制老化,并清除NetStream缓冲区的状态信息和输出报文信息。
reset ip netstream statistics
(1) 进入系统视图。
system-view
(2) 配置NetStream普通流统计信息输出的目的地址和目的UDP端口号。
ip netstream export host ip-address udp-port [ vpn-instance vpn-instance-name ]
缺省情况下,系统视图下未配置目的地址和目的UDP端口号。
(3) (可选)配置NetStream统计输出报文的源接口。
ip netstream export source interface interface-type interface-number
缺省情况下,采用统计输出报文的出接口(即与服务器相连的接口)作为源接口。
建议使用网管口作为源接口与服务器相连,并向服务器输出统计信息。
(4) (可选)配置输出速率限制。
ip netstream export rate rate
缺省情况下,NetStream统计输出报文的输出速率不受限制。
缺省情况下,设备会通过软件对与聚合关键项完全相同的流的统计信息进行汇总。
在聚合视图下,用户配置的NetStream统计输出报文的输出属性,仅对聚合报文生效;而系统视图下的配置对普通报文生效,并且当聚合视图下未配置以上属性时,也会对聚合报文生效。
如果设备上配置了聚合,并配置输出报文版本为V5,则聚合流统计信息采用V8版本输出。
(1) 进入系统视图。
system-view
(2) 进入NetStream聚合视图并指定流聚合方式。
ip netstream aggregation { as | destination-prefix | prefix | prefix-port | protocol-port | source-prefix | tos-as | tos-bgp-nexthop | tos-destination-prefix | tos-prefix | tos-protocol-port | tos-source-prefix }
缺省情况下,未配置NetStream流聚合方式。
(3) 开启聚合视图对应的聚合功能。
enable
缺省情况下,NetStream聚合功能处于关闭状态。
(4) 配置NetStream聚合流统计信息输出的目的地址和目的UDP端口号。
ip netstream export host ip-address udp-port [ vpn-instance vpn-instance-name ]
缺省情况下,聚合视图下未配置目的地址和目的UDP端口号。
为了减少对网络带宽的占用,可以只在聚合视图下配置本命令,此时设备只会输出聚合流信息。
(5) (可选)配置NetStream聚合统计信息输出的源接口。系统会将NetStream统计输出报文的源IP地址设置为该接口的IP地址。
ip netstream export source interface interface-type interface-number
缺省情况下,采用统计输出报文的出接口IP地址作为源接口的IP地址。
不同聚合视图下可以配置不同的源接口。
聚合视图下若未配置源接口,则使用系统视图下的配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后NetStream的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除NetStream的统计信息。
表1-2 NetStream显示和维护
|
操作 |
命令 |
|
查看NetStream流表项信息 |
display ip netstream cache [ verbose ] [ type { ip | ipl2 | l2 } ] [ destination destination-ip | destination-port destination-port | interface interface-type interface-number | protocol protocol | source source-ip | source-port source-port ] * [ arrived-time start-date start-time end-date end-time ] [ slot slot-number ] |
|
查看NetStream统计输出报文信息 |
display ip netstream export |
|
查看NetStream模板的配置和状态信息 |
display ip netstream template [ slot slot-number ] |
|
将流缓存区中所有流强制老化,输出报文信息,并清空NetStream缓冲区的状态信息 |
reset ip netstream statistics |
基于会话的NetStream用来对基于会话的业务流量进行统计和分析并使用NetStream版本9对报文进行输出。有关会话的详细介绍,请参见“安全配置指导”中的“会话管理”。
基于会话的NetStream对聚合关键项完全相同的会话进行汇总并统计的过程称为聚合。支持的聚合方式如表2-1所示。系统根据选择的聚合方式的聚合关键项,将聚合关键项相同的多条会话合并为一条聚合的统计信息,发送给服务器。
表2-1 基于会话的NetStream支持的聚合方式
|
聚合方式 |
聚合关键项 |
|
应用聚合(app) |
会话的应用层协议ID |
|
应用加通道聚合(app-profile) |
会话的应用层协议ID和带宽策略规则ID |
|
应用加用户聚合(app-user) |
会话的应用层协议ID和用户IP地址 |
当设备开启基于会话的NetStream功能后,生成的统计信息存储在设备的NetStream缓冲区中,根据用户指定的基于会话的NetStream表项的老化时间发送给服务器,输出后会自动清除缓冲区的统计信息。在尚未达到用户指定的基于会话的NetStream表项的老化时间,但NetStream缓冲区已无足够剩余存储空间的情况下,设备将停止对新增会话信息进行统计,但依旧对已有会话信息进行统计。
如下情况也会触发基于会话的NetStream表项的输出:
· 统计的会话本身已经老化。
· 统计的会话被管理员手动删除。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5040、F5060、F5080、F5000-AI-20、F5000-AI-40、F5000-V30、F5000-C、F5000-S、F5000-M、F5000-A |
支持 |
|
F1000-AI-20、F1000-AI-30、F1000-AI-50、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1003-L、F1005-L、F1010-L |
支持 |
|
F1005、F1010 |
支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090、F1000-V70、F1000-V90 |
支持 |
|
F1000-AK1010、F1000-AK1020、F1000-AK1030 |
支持 |
|
F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140 |
支持 |
|
F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332 |
支持 |
|
F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710 |
支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711 |
支持 |
|
LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1 |
支持 |
|
LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSQM2FWDSC0 |
支持 |
|
vFW1000、vFW2000 |
不支持 |
基于会话的NetStream必须在开启DPI功能后才能生效。有DPI的详细介绍,请参见“DPI深度安全指导”中的“DPI深度安全概述”。
(1) 进入系统视图。
system-view
(2) 开启基于会话的NetStream功能。
session-based netstream enable
缺省情况下,基于会话的NetStream功能处于关闭状态。
(3) 配置基于会话的NetStream的聚合方式。
session-based netstream aggregation { app | app-profile | app-user } *
缺省情况下,未配置任何基于会话的NetStream的聚合方式。
(4) 配置基于会话的NetStream输出报文的目的地址和目的UDP端口号。
session-based netstream export host ip-address udp-port [ vpn-instance vpn-instance-name ]
缺省情况下,未配置基于会话的NetStream输出报文的目的地址和目的UDP端口号。
(5) (可选)配置基于会话的NetStream输出报文的源地址。
session-based netstream export source ip ip-address
缺省情况下,采用输出报文的出接口(即与服务器相连的接口)的主IP地址作为源地址。
(6) (可选)配置基于会话的NetStream统计信息表项的老化时间。
session-based netstream timeout minutes
缺省情况下,基于会话的NetStream统计信息表项的老化时间为5分钟。
在完成上述配置后,在任意视图下执行display命令可以显示配置后基于会话的NetStream的运行情况,通过查看显示信息验证配置的效果。
表2-2 基于会话的NetStream的显示和维护
|
操作 |
命令 |
|
显示基于会话的NetStream的统计信息 |
display session-based netstream aggregation-cache { app | app-profile | app-user } * |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
