- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-NetAnalysis配置
本章节下载: 20-NetAnalysis配置 (573.70 KB)
目 录
2.2 RoCEv2流量NetAnalysis配置限制和指导
2.4 配置RoCEv2流量NetAnalysis功能的工作模式
2.11 开启VXLAN隧道内RoCEv2流量的NetAnalysis统计功能
2.12 开启全局VXLAN隧道内RoCEv2流量的丢包分析功能
2.14.1 RoCEv2流量NetAnalysis统计信息输出配置举例
3.5 配置UDP流量NetAnalysis统计功能中对UDP流进行分段分析的Block数
3.8.1 UDP流量NetAnalysis统计信息输出配置举例
NetAnalysis是一种网络流量监控和分析技术,能够深入分析指定的业务流,提供有关丢包率、时延等性能指标数据。同时,NetAnalysis支持将分析结果发送至网络流分析数据处理器进行进一步分析和展示,以方便网络管理员监控网络运行情况并迅速定位网络故障。
一个典型的NetAnalysis系统由三部分组成:NDE(NetAnalysis Data Exporter,网络流数据输出者)、NAP(NetAnalysis Processor,网络流分析处理器)和NDA(NetAnalysis Data Analyzer,网络流数据分析器)。
· NDE:一般由设备的CPU芯片来承担该功能。NDE通过ACL中所定义的规则来筛选出需要进一步分析的特定业务流量。一旦识别出与ACL规则相匹配的数据流,NDE会将这些数据上送至NAP,以便进行进一步的分析和处理。
· NAP:通常为运行于某种操作系统上的一个应用程序,主要负责接收NDE上送的数据流,并对其进行处理与分析。完成分析后,NAP会将结果发送给NDA。
· NDA:为一个具有图形化界面的网络流量分析工具,旨在简化数据的获取、展示和分析过程,以便用户使用。
如图1-1所示,当业务流途径多台设备时,只要往返方向路径相同,途径的每台设备都能够获取到该业务流的双向流量。这使得可以在这些设备上对有关该业务流的丢包、时延等各种指标信息进行分析。
NDE和NAP通常集成在一台设备上。
图1-1 NetAnalysis系统组成
NetAnalysis的具体工作过程如图1-2所示,分为如下三个步骤:
(1) 在NDE中配置目标业务流,利用部署的ACL规则筛选流量,符合条件的流量被复制并上送至NAP。
(2) NAP对收到的流进行处理,如果业务流可以满足建链要求,则建立流表进行分析;如果业务流不满足建链要求,或超过了设备的处理能力,则丢弃该业务流。有关建链的具体过程,请参见“CM建链过程”。
(3) NAP将分析结果封装成报文后,将其转发给NDA,以供NDA进行分析和展示。
图1-2 NetAnalysis工作过程
RDMA(Remote Direct Memory Access,远程直接内存访问)是一种直接内存访问技术,用于IB(InfiniBand,无限带宽)网络,可以解决网络传输中服务器端数据处理的延迟。RDMA通过网络把数据直接传入计算机的存储区,将数据从一个系统快速移动到远程系统存储器中,而不对操作系统造成任何影响,不需要经过处理器耗时的处理,最终可以达到高带宽、低延迟和低资源利用率的效果。
RoCEv2(RDMA over Converged Ethernet)是一种允许通过以太网使用远程直接内存访问的网络协议,是RDMA在以太网上的应用。该协议广泛用于高性能计算、分布式存储、AI人工智能等TCP/IP场景,以降低CPU的处理和延迟,提升应用的性能。但这些场景下,会出现多个节点向一个节点发送报文的情况,容易造成设备内部队列缓存的瞬时突发拥塞基至丢包,造成时延的增加和吞吐的下降。因此需要采用NetAnalysis技术对RoCEv2流量进行智能流量监控和分析,分析RoCEv2流的丢包、时延和吞吐以及路径信息,实时监控RoCEv2网络状态。
RoCEv2是一种网络层协议,可以实现路由功能,允许不同广播域下的主机通过三层访问。RoCEv2是基于UDP协议封装的,报文格式如图2-1所示。
图2-1 RoCEv2报文格式
RoCEv2报文各字段的含义如下:
· Ethernet header:以太报文头,包括源MAC地址和目的MAC地址。
· IP header:IP报文头,包括源IP地址和目的IP地址。
· UDP Header:UDP报文头,包括源端口号和目的端口号,其中目的端口号为4791。
· InfiniBand Base Transport Header:InfiniBand传输层的头部字段。包含进行NetAnalysis的关键字段。
· IB Payload:消息负载。
· ICRC和FCS:分别对应冗余检测和帧校验。
其中InfiniBand Base Transport Header包含各字段的含义如下:
· Opcode:表示RoCEv2的报文类型,指出报文处于什么操作模式,主要包括:
¡ ConnectMsg模式:此时报文用于建立RoCEv2连接,简称CM(Communication Management)建链。建链成功后,本端和远端之间才能传递数据报文。
¡ Send模式:此时报文用于发给远端,发送端不控制接收端在哪存储数据。
¡ Write模式:此时报文用于写入远端,报文中会指定远端要写入数据的地址、key(关键值)和数据长度。
¡ Read模式:此时报文用于远端读取,报文中会指定远端请求读取数据的地址、key和数据长度。检测吞吐时将对Send、Write和Read模式的RoCEv2报文进行分析。
¡ ACK(Acknowledge)模式:此时报文用于接收端反馈应答消息,依据RoCEv2 ACK报文特有的ACK Extended Transport Header的内容,可以将ACK报文分为普通ACK报文(表示信息成功接收的响应信息)和NAK报文(表示出现了丢包)。
· Dest QP:目的QP,用来标识一条RoCEv2流,相当于RoCEv2报文中的目的端口,是NetAnalysis用来建立RoCEv2流表的关键值。
· PSN:表示RoCEv2报文的序列号,可通过检测PSN是否连续来判断是否存在丢失的数据包,若出现了丢包,就会返回NAK报文。
RDMA的建链方式有基于RoCE报文的CM建链和基于TCP报文自定义字段的TCP建链两种方式。
NetAnalysis功能支持对CM建链报文和TCP建链报文进行智能分析。由于TCP建链方式的流分析过程与CM基本一致,且TCP建链属于用户自定义内容,所以本节只介绍CM建链方式。
图2-2 CM建链过程
如图2-2所示,CM建链的过程为:
(1) 客户端通过向服务器发送Connet Request报文,发出建立RoCEv2连接请求。
(2) 服务器收到Connet Request报文后,会向客户端回复Connect Reply报文,表示确认连接请求。客户端在接收到该回复后,即可确认与对端已经建立了连接。
(3) 客户端通过发送ReadyToUse报文,向服务器确认连接已经准备就绪。服务器收到该报文后,即表示CM建链成功。
设备上开启RoCEv2流量NetAnalysis功能后,NDE会匹配RoCEv2报文中的Opcode字段来获取RoCEv2报文。通过Opcode字段,可以获知报文类型,NAP会依据RoCEv2建链报文中的四元组信息关键值(RoCEv2流的客户端IP地址、RoCEv2流的服务器端IP地址、客户端的QP值、服务器端QP值)形成流表项,从而组成一个RoCEv2流表。
NAP根据NDE后续上送的RoCEv2数据报文,对流表中的一些关键字段进行统计,根据统计结果可以分析出RoCEv2流性能信息(丢包、时延和吞吐以及路径信息等)。流表中的统计内容支持在设备上查看,同时该统计结果会在流老化后输出至NDA,进一步的展示和分析。
RoCEv2流量NetAnalysis流老化是设备向NDA输出流统计信息的一种手段。当设备开启RoCEv2流量NetAnalysis功能后,流统计信息首先会被存储在设备的NetAnalysis缓冲区中。当存储在设备上的NetAnalysis流信息老化后,设备会把缓冲区中的流统计信息输出报文发送给NDA,同时清除缓冲区中的对应信息。
RoCEv2流量NetAnalysis流老化仅支持流的非活跃老化。
由于网络上的流是短时间阵发的,在短时间内就会产生大量的流,而设备的缓存空间容量是一定的,当一条RoCEv2流的非活跃时间(从流最后一个报文流过时间到当前的时间)超过所设置的非活跃老化时间时,设备认为该流处于非活跃状态(流已经断了),这样就需要把当前的流表输出至NDA并从缓存空间中删除,为后面到来的流提供空间,这个过程称为流的非活跃老化。同时删除会话并通知NDA。
RoCEv2流量NetAnalysis统计功能可以与ACL(Access Control List,访问控制列表)配合使用,可以根据ACL规则对经过设备的RoCEv2流量进行匹配,使得RoCEv2流量NetAnalysis功能只统计ACL筛选出的报文。通过这种方式可以使RoCEv2流量NetAnalysis功能只对用户关注的数据进行统计,更能满足用户多样的统计要求。有关ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
仅缺省MDC支持配置RoCEv2流量NetAnalysis,非缺省MDC不支持执行RoCEv2流量NetAnalysis的所有命令。关于MDC的详细介绍请参见“虚拟化技术配置指导”中的“MDC”。RoCEv2流量NetAnalysis统计功能不支持分析IPv6流量。
对于S12500G-AF 系列交换机,RoCEv2流量NetAnalysis统计功能仅支持分析流经SF系列接口板和SG系列接口板的流量。
NetAnalysis配置任务如下:
(1) 配置RoCEv2流量NetAnalysis功能的工作模式
(4) (可选)配置RoCEv2流量的AI ECN功能
(5) (可选)配置RoCEv2流统计信息发送给NDA的时间间隔
(6) (可选)配置RoCEv2报文的采样率
(7) (可选)配置RoCEv2流的非活跃老化时间
(8) (可选)开启VXLAN隧道内RoCEv2流量的NetAnalysis统计功能
(9) (可选)开启全局VXLAN隧道内RoCEv2流量的丢包分析功能
如图2-3所示,为了保证能够正确分析RoCEv2流量,当同一个RoCEv2客户端和服务器端存在多条路径时,建议在客户端和服务器端接入的节点设备(Device C和Device D)上均配置双向模式,在中间节点设备(Device A和Device B)上均配置单向模式。两种模式的工作特点如下:
· 双向模式:设备可以抓取客户端和服务器端之间的双向流量,根据CM建链报文获取用来表示RoCEv2会话的四元组信息,NetAnalysis基于RoCEv2会话统计报文的相关信息,可以统计基于会话的RTT(Round Trip Time,报文往返时延)和丢包数。计算基于会话的RTT时,如果流量在多个单板上转发,则每个单板上都要开启PTP功能,关于PTP的详细介绍,请参见“网络管理和监控配置指导”中的“PTP”。
· 单向模式:设备只能抓取客户端到服务器端之间的单向流量,获取建立RoCEv2流表项的三元组信息,只能基于RoCEv2流表项统计报文的吞吐量,无法统计基于会话的RTT和丢包数。
图2-3 RoCEv2流量NetAnalysis功能的工作模式
在配置NetAnalysis其他功能前,请先通过本命令配置RoCEv2流量NetAnalysis功能的工作模式,否则其他功能不生效。
切换RoCEv2流量NetAnalysis功能的工作模式后,原先模式下所有的NetAnalysis功能相关配置及缓存信息均会被清除,请谨慎操作。
本功能配置为双向模式时,通过netanalysis rocev2 statistics命令指定的高级ACL,其规则需要是双向的。
当指定session参数时,设备会基于会话信息(包括五元组和Opcode字段)对RoCEv2流量进行NetAnalysis统计分析和丢包分析,并将分析结果上送NAP(Net-analysis Processor,网络流分析数据处理器)。此时无法再单独配置RoCEv2流量NetAnalysis统计功能或丢包分析功能。
指定了session参数时,执行netanalysis rocev2 sampling-rate rate命令配置的RoCEv2报文的采样率不生效。
在设备上配置IPCC功能时,如果指定了session参数,会导致IPCC仅能获取部分RoCEv2流表。不建议session参数和IPCC功能同时配置。关于IPCC功能的详细介绍,请参见“智能无损网络”中的“IPCC”。
指定session参数后,设备不支持对VXLAN组网下的RoCEv2流量进行NetAnalysis统计分析和丢包分析。
(1) 进入系统视图。
system-view
(2) 配置RoCEv2流量NetAnalysis功能的工作模式。
netanalysis rocev2 mode { bidir | single } [ session ]
缺省情况下,未配置RoCEv2流量NetAnalysis功能的工作模式,RoCEv2流量NetAnalysis功能处于关闭状态。
开启本功能后,设备会对指定的RoCEv2流量进行NetAnalysis统计分析,并将分析结果上送NAP。指定的RoCEv2流量通过ACL规则进行匹配,规则中指定的deny或permit动作不生效。目前仅支持如下高级ACL规则,不支持的ACL规则会无法生效,导致NAP收不到匹配通过的业务流:
· rule1:仅配置UDP协议和目的IPv4地址;
· rule2:仅配置UDP协议和源IPv4地址;
· rule3:仅配置UDP协议、源IPv4地址和目的IPv4地址。
有关ACL规则配置的详细说明,请参见“ACL和Qos”配置中的“ACL”。
(1) 进入系统视图。
system-view
(2) 开启RoCEv2流量NetAnalysis统计功能NetAnalysis全局统计功能。
netanalysis rocev2 statistic { global | acl name acl-name }
缺省情况下,RoCEv2流量NetAnalysis统计功能处于关闭状态。
在RoCEv2网络中,最重要的是需要保证网络流量零丢包。开启本功能后,设备会对所有入端口的所有RoCEv2流量进行丢包分析。
在开启本功能前,必须先将NetAnalysis智能流量分析功能的工作模式配置为双向模式,否则本功能不生效。
(1) 进入系统视图。
system-view
(2) 开启全局RoCEv2流量丢包统计功能。
netanalysis rocev2 drop global
配置本功能后,设备会在RoCEv2流量的出接口上基于RoCEv2会话统计报文的相关信息并上送给NDA。NDA根据统计到的RoCEv2流量,智能调整无损队列的ECN(Explicit Congestion Notification,显示拥塞通知)门限,从而保障零丢包下的低时延和高吞吐,让无损业务达到最优性能。有关ECN的详细介绍,请参见“ACL和QoS”中的“QoS”。
(1) 进入系统视图。
system-view
(2) 配置RoCEv2流量的AI ECN功能。
netanalysis rocev2 ai-ecn enable
缺省情况下,RoCEv2流量的AI ECN功能处于关闭状态。
设备开启RoCEv2流量的NetAnalysis统计功能后,还需将包含流统计结果的RoCEv2流量统计信息输出给指定的NDA,才能完成流信息的进一步加工和可视化。用户可以根据需要配置RoCEv2流统计信息发送给NDA的时间间隔。
(1) 进入系统视图。
system-view
(2) 配置RoCEv2流统计信息发送给NDA的时间间隔。
netanalysis rocev2 report-interval interval
缺省情况下,RoCEv2流统计信息发送给NDA的时间间隔为10秒。
配置本功能后,设备会对RoCEv2报文按照指定的采样率进行采样。例如,配置RoCEv2报文的采样率为1000,表示在1000个RoCEv2报文中采样1个报文。
配置本功能前,必须先配置RoCEv2流量NetAnalysis功能的工作模式,否则本功能配置失败。
如果在配置RoCEv2流量NetAnalysis功能的工作模式时指定了session参数,则本功能不生效。
(1) 进入系统视图。
system-view
(2) 配置RoCEv2报文的采样率。
netanalysis rocev2 sampling-rate rate
缺省情况下,未配置RoCEv2报文的采样率。
RoCEv2流达到非活跃老化时间后,设备会将该流在流缓存区中的统计信息发送给NDA之后,将该流相关的统计信息删除,将该条流的表项进行老化。
(1) 进入系统视图。
system-view
(2) 配置RoCEv2流的非活跃老化时间。
netanalysis rocev2 timeout inactive seconds
当用户需要了解和优化VXLAN组网的网络性能,提升网络的传输速度和可靠性时,可以配置VXLAN隧道内RoCEv2流量的NetAnalysis统计功能。
通过使用该功能,用户可以对VXLAN隧道边缘节点、中间节点的RoCEv2流量进行NetAnalysis统计分析,统计节点上每个流量的数据特征,包括流量量、带宽、延迟等信息,并将这些分析结果上送。
指定的RoCEv2流量通过ACL规则进行匹配,规则中指定的deny或permit动作不生效。目前仅支持如下高级ACL规则,不支持的ACL规则会无法生效,导致NAP收不到匹配通过的业务流:
· rule1:仅配置UDP协议和目的IPv4地址;
· rule2:仅配置UDP协议和源IPv4地址;
· rule3:仅配置UDP协议、源IPv4地址和目的IPv4地址。
有关ACL规则配置的详细说明,请参见“ACL和QoS”配置中的“ACL”。
本功能仅支持统计同一个数据中心网络内部的VXLAN隧道流量,不支持统计数据中心之间的VXLAN-DCI隧道流量。
对于VXLAN支持M-LAG组网,设备暂不支持开启VXLAN隧道内RoCEv2流量的NetAnalysis统计功能。
(1) 进入系统视图。
system-view
(2) 开启VXLAN隧道中间节点RoCEv2流量的NetAnalysis统计功能。
netanalysis rocev2 vxlan statistics { acl name acl-name | global }
缺省情况下,VXLAN隧道中间节点RoCEv2流量的NetAnalysis统计功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启VXLAN隧道边缘节点RoCEv2流量的NetAnalysis统计功能。
netanalysis rocev2 vxlan-ip statistics { acl name acl-name | global }
缺省情况下,VXLAN隧道边缘节点RoCEv2流量的NetAnalysis统计功能处于关闭状态。
在VXLAN组网的RoCEv2网络中,最重要的是需要保证网络流量零丢包。用户可以配置本功能对VXLAN隧道内中间节点的RoCEv2流量、边缘节点的RoCEv2流量的解封装报文进行丢包分析。
在开启本功能前,必须先将NetAnalysis智能流量分析功能的工作模式配置为双向模式,否则本功能不生效。
本功能仅支持对同一个数据中心网络内部VXLAN隧道的RoCEv2流量进行丢包分析,不支持对数据中心之间VXLAN-DCI隧道的RoCEv2流量进行丢包分析。
对于VXLAN支持M-LAG组网,设备暂不支持开启全局VXLAN隧道内RoCEv2流量的丢包分析功能。
(1) 进入系统视图。
system-view
(2) 开启全局VXLAN隧道中间节点RoCEv2流量的丢包分析功能。
netanalysis rocev2 vxlan drop global
缺省情况下,全局VXLAN隧道中间节点RoCEv2流量丢包分析功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启全局VXLAN隧道边缘节点RoCEv2流量的丢包分析功能。
netanalysis rocev2 vxlan-ip drop global
缺省情况下,全局VXLAN隧道边缘节点RoCEv2流量的丢包分析功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后RoCEv2流量NetAnalysis的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除NetAnalysis的统计信息。
表2-1 RoCEv2流量NetAnalysis显示和维护
|
操作 |
命令 |
|
显示RoCEv2流缓存区的配置和状态信息 |
display netanalysis rocev2 cache [ destination destination-ip | dstvxlan-id dstvxlan-id | source source-ip | srcvxlan-id srcxlan-id ]* |
|
显示RoCEv2流的统计信息 |
display netanalysis rocev2 statistics |
|
清除RoCEv2流的统计信息 |
reset netanalysis rocev2 statistics |
如图2-4所示,在Device上配置RoCEv2流量NetAnalysis功能,要求对客户端和服务器端之间的往返报文进行智能分析,并将RoCEv2流的统计信息输出到NDA。
图2-4 RoCEv2流量NetAnalysis统计信息输出配置组网图
(1) 配置IP地址
请按照图2-4配置各接口的IP地址和子网掩码,具体配置过程略。
(2) 配置RoCEv2流量NetAnalysis统计功能
# 配置RoCEv2流量NetAnalysis功能的工作模式为双向模式。
<Device> system-view
[Device] netanalysis rocev2 mode bidir
# 开启RoCEv2流量NetAnalysis统计功能。
[Device] netanalysis rocev2 statistics global
设备运行一段时间后,查看RoCEv2流的统计信息。
# 查看RoCEv2流缓存区的配置和状态信息。
[Device] display netanalysis rocev2 cache
NOTE:
S2D: source to destination D2S: destination to source
RTT: round trip time RPT: packet throughput in read mode
WPT: packet throughput in write mode SPT: packet throughput in send mode
I: input O: output L: local R: remote
NetAnalysis cache information:
-----------------------------------------------------------------------------
Flow created at Service type
Src IP Src QP S2D RTT S2D RPT S2D SPT/WPT
S2D NAK Pkts S2D Interface(I) S2D Interface(O)
S2D Src VXLAN ID S2D Dst VXLAN ID
Dst IP Dst QP D2S RTT D2S RPT D2S SPT/WPT
D2S NAK Pkts D2S Interface(I) D2S Interface(O)
D2S Src VXLAN ID D2S Dst VXLAN ID
-----------------------------------------------------------------------------
01/22/2019 09:08:15 RC
11.110.2.2 93309 50 11 11
2 Vlan-int100(L) Vlan-int200(L)
10 10
12.110.2.2 85353 50 11 11
8373 Vlan-int200(L) Vlan-int100(L)
10 10
# 查看NetAnalysis功能中RoCEv2流的统计信息。
[Device] display netanalysis rocev2 statistics
Last statistics resetting time: Never
--------------------------------------------------------------------------------
Received packets: 1833088
--------------------------------------------------------------------------------
Type
Active Aged Created Reported
(Sessions) (Sessions) (Sessions) (Sessions)
--------------------------------------------------------------------------------
RoCEv2
2 0 2 10
--------------------------------------------------------------------------------
UDP(User Datagram Protocol,用户数据报协议)是一种无连接的、面向数据报、简单的传输层协议。由于UDP低延迟、高效率等特点,在一些对实时要求性较高、对数据可靠性要求相对较低或者可以保障可靠性的应用中得到广泛应用。采用NetAnalysis技术对UDP流量进行智能流量监控和分析,可以分析UDP流的路径信息,实现监控UDP网络状态。
UDP是一种传输层协议,通过将数据分割成数据报并添加目的端口号和源端口号的方式来传输数据。UDP是基于IP协议封装的,报文格式如图3-1所示。
图3-1 UDP报文格式
UDP报文各字段的含义如下:
· Ethernet Header:以太报文头,包括源MAC地址和目的MAC地址。
· IP Header:IP报文头,其中包含的主要字段含义如下:
¡ Protocol:协议。表示IP报文携带的数据使用的是哪种协议。
¡ Identification:标识。用于标识和识别同一主机上的不同IP数据报文。主机每发送一个UDP报文,Identification字段的值就会加1。
¡ Source IP:源IP地址。
¡ Destination IP:目的IP地址。
· UDP Header:UDP报文头,其中包含的各字段含义如下:
¡ Source Port:源端口号。
¡ Destination Port:目的端口号。
¡ Length:UDP报文的长度。其最小取值为8,单位为bytes,取值为8时表示该UDP报文仅有UDP报文头,没有UDP报文数据。
¡ Checksum:校验和,用于检测UDP报文在传输中的正确性。
· UDP Data:UDP报文数据。
通过对UDP报文序号进行分段,可以将一个UDP流分为多个Block。UDP流量的NetAnalysis统计功能就是基于Block粒度对UDP流进行分析的。
设备上开启UDP流量NetAnalysis功能后,NAP会针对收到的第一个UDP Block中包含的所有UDP报文进行分析,对于非VXLAN报文,根据UDP流的源端口号、UDP的源IP地址、UDP流的目的端口号、UDP流的目的IP地址形成流表项;对于VXLAN报文,根据VXLAN报文内层UDP流的源IP地址、UDP流的目的端口号、UDP流的目的IP地址形成流表项,从而组成一个UDP流表。
根据首个UDP Block建立UDP流表后,NAP会根据NDE后续上送的UDP Block,对流表中的一些关键字段进行统计,根据统计结果可以分析出UDP流信息。流表中的统计内容支持在设备上查看,同时该统计结果会在流老化后输出至NDA,进一步的展示和分析。
UDP流量NetAnalysis流老化是设备向NDA输出流统计信息的一种手段。当设备开启UDP流量NetAnalysis功能后,流统计信息首先会被存储在设备的NetAnalysis缓冲区中。当存储在设备上的NetAnalysis流信息老化后,设备会把缓冲区中的流统计信息输出报文发送给NDA,同时清除缓冲区中的对应信息。
在持续收到一条UDP流的时候,UDP流量NetAnalysis统计功能基于Block粒度周期性对NDA输出流分析结果,当一条UDP流的非活跃时间(从流最后一个报文流过时间到当前的时间)超过所设置的非活跃老化时间时,设备认为该流处于非活跃状态(流已经断了),这样就需要把当前的流表输出至NDA并从缓存空间中删除,为后面到来的流提供空间,这个过程称为流的非活跃老化。
UDP流量NetAnalysis统计功能可以与ACL(Access Control List,访问控制列表)配合使用,可以根据ACL规则对经过设备的UDP流量进行匹配,使得UDP流量NetAnalysis功能只统计ACL筛选出的报文。通过这种方式可以使UDP流量NetAnalysis功能只对用户关注的数据进行统计,更能满足用户多样的统计要求。有关ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
对于S12500G-AF 系列交换机,UDP流量NetAnalysis统计功能仅支持分析流经SF系列接口板和SG系列接口板的流量。
UDP流量NetAnalysis统计功能不支持分析IPv6流量、不支持分析VLAN RoCEv2流量。
对于分片报文,UDP流量NetAnalysis功能仅支持统计首片报文。
如果在设备上同时配置如下功能时,仅优先级最高的功能生效,优先级从高到低的顺序为:
· UDP流量NetAnalysis统计
· NetStream(包括IPv4和IPv6 NetStream)
· MOD
有关NetStream、IPv6 NetStream的详细配置,请参见“网络管理和监控配置指导”中的“NetStream”、“IPv6 NetStream”。有关MOD的详细配置,请参见“Telemetry配置指导”中的“MOD”。
为保证UDP流量NetAnalysis功能的准确性,在256个block的情况下,建议单条流的流速不超过3000pps,在4个block的情况下,建议单条流的流速不超过20000pps。
本功能不能与RDMA Telemetry功能同时使用,否则会影响RDMA Telemetry功能的实现。有关RDMA Telemetry功能的详细介绍,请参见“Telemetry”中的“RDMA Telemetry”。
NetAnalysis配置任务如下:
(2) (可选)配置UDP流量NetAnalysis统计功能中对UDP流进行分段分析的Block数
(3) (可选)配置UDP流的非活跃老化时间
开启本功能后,设备会对指定的UDP流量进行NetAnalysis统计分析,并将分析结果上送NAP(Net-analysis Processor,网络流分析数据处理器)。指定的UDP流量通过ACL规则进行匹配,规则中指定的deny或permit动作不生效。目前仅支持如下高级ACL规则,不支持的ACL规则会无法生效,导致NAP收不到匹配通过的业务流:
· rule1:仅配置UDP协议和目的IPv4地址;
· rule2:仅配置UDP协议、目的IPv4地址和UDP目的端口号;
· rule3:仅配置UDP协议、源IPv4地址和目的IPv4地址。
· rule4:仅配置UDP协议、源IPv4地址、目的IPv4地址和UDP目的端口号。
有关ACL规则配置的详细说明,请参见“ACL和Qos”配置中的“ACL”。
不支持对RoCEv2报文(UDP目的端口号为4791)进行UDP流量的NetAnalysis统计。
(1) 进入系统视图。
system-view
(2) 开启UDP流量NetAnalysis统计功能。
netanalysis udp statistics [ vxlan { single-tagged | untagged } ] acl name acl-name inbound
缺省情况下,UDP流量NetAnalysis统计功能处于关闭状态。
如果指定single-tagged参数,则UDP流量的NetAnalysis仅支持统计二层VXLAN报文,并且AC(以太网服务实例)的接入模式必须是Ethernet。
UDP流量NetAnalysis统计功能是基于Block粒度对UDP流进行分析的。每条UDP流中存在多个UDP报文,每发送一个UDP报文,报文中的Identification字段就会加1,通过Identification字段的值就可以确定UDP报文的序号。一个UDP流中UDP报文的序号为0~65535,通过对UDP报文序号进行分段,可以将一个UDP流分为多个Block。NAP(Net-analysis Processor,网络流分析数据处理器)将针对收到的UDP Block建立流表,并对其中包含的所有UDP报文进行分析。
(1) 进入系统视图。
system-view
(2) 配置UDP流量的NetAnalysis统计功能中对UDP流进行分段分析的Block数。
netanalysis udp identification block block-number
缺省情况下,UDP流量NetAnalysis统计功能中对UDP流进行分段分析的Block数为256。
开启UDP流量NetAnalysis统计功能后,还需要把包含流统计结果的UDP智能流量统计流表输出给指定NDA(NetAnalysis Data Analyzer,网络流数据分析器),才能完成流信息的进一步加工和可视化。UDP流达到非活跃老化时间后,设备会将该流在流缓存区中的统计信息发送给NDA之后,将该流相关的统计信息删除,将该条流的表项进行老化。
(1) 进入系统视图。
system-view
(2) 配置UDP流的非活跃老化时间。
netanalysis udp timeout inactive seconds
缺省情况下,UDP流的非活跃老化时间为30秒。
在完成上述配置后,在任意视图下执行display命令可以显示配置UDP流量NetAnalysis的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除UDP流量NetAnalysis的统计信息。
表3-1 UDP流量NetAnalysis显示和维护
|
操作 |
命令 |
|
显示UDP流缓存区的配置和状态信息 |
display netanalysis udp cache [ destination destination-ip | interface interface-type interface-number | source source-ip | vni vxlan-id ]* |
|
显示UDP流的统计信息 |
display netanalysis udp statistics |
|
清除UDP流的统计信息 |
reset netanalysis udp statistics |
如图3-2所示,在Device上配置UDP流量NetAnalysis功能,要求对客户端和服务器端之间往返的UDP报文进行智能分析,并将UDP流的统计信息输出到NDA。
图3-2 UDP流量NetAnalysis统计信息输出配置组网图
(1) 配置IP地址
请按照图3-2配置各接口的IP地址和子网掩码,具体配置过程略。
(2) 配置ACL
# 创建一个编号为3001的IPv4高级ACL,指定其名称为abc
<Device> system-view
[Device] acl number 3001 name abc
# 创建该ACL规则为:允许从1.1.1.0/16网段去往2.2.2.0/16网段的UDP报文通过。
[Device-acl-ipv4-adv-3001] rule permit udp source 1.1.1.0 0.0.255.255 destination 2.2.2.0 0.0.255.255
[Device-acl-ipv4-adv-3001] quit
(3) 配置UDP流量NetAnalysis统计功能
# 开启UDP流量NetAnalysis统计功能,对匹配ACL abc的UDP流量进行NetAnalysis统计。
[Device] netanalysis udp statistics acl name abc inbound
设备运行一段时间后,查看UDP流的统计信息。
# 查看UDP流缓存区的配置和状态信息。
<Device> display netanalysis udp cache source 1.1.1.2 destination 2.2.2.2
NetAnalysis cache information:
-----------------------------------------------------------------------------
Flow created at Direction
Src IP Dst IP Src Port Dst Port
Interface VNI Block Id Block Timestamp
Receive Packets Receive Bytes
-----------------------------------------------------------------------------
10/22/2023 09:08:15 inbound
1.1.1.2 2.2.2.2 1000 2000
Vlan-int100 N/A 10 100000000
5000 6000000
# 查看NetAnalysis功能中UDP流的统计信息。
<Device> display netanalysis udp statistics
Last statistics resetting time: Never
--------------------------------------------------------------------------------
Received packets: 2833088
--------------------------------------------------------------------------------
Type
Active Aged Created Reported
(Flows) (Flows) (Flows) (Flows)
--------------------------------------------------------------------------------
UDP
4 0 2 20
--------------------------------------------------------------------------------
NetAnalysis统一流量分析功能,是一种针对全网流量的网络流量监控和分析技术。适用于对全网流量进行深入分析,可帮助用户快速感知和准确定位网络故障,提升网络运维效率。当用户需要对网络中的TCP/UDP/VXLAN流量进行深入分析时,可以开启该功能。
开启统一流量分析功能后,设备将对进入设备的TCP/UDP/VXLAN流量进行NetAnalysis统计分析。设备将基于流量的五元组等信息,建立流表并收集流量统计信息,然后将统计结果上传至NAP(网络流分析数据处理器)做进一步处理。NAP可通过分析数据流的转发路径、识别TCP异常以及分析转发丢包等操作,帮助用户更全面地了解网络中的数据流量走向。
NetAnalysis配置任务如下:
(2) (可选)配置ISDF功能
(3) (可选)配置防私接检测功能
开启统一流量分析功能后,设备将对进入设备的TCP/UDP/VXLAN流量进行NetAnalysis统计分析。设备将基于流量的五元组等信息,建立流表并收集流量统计信息,然后将统计结果上传至NAP(网络流分析数据处理器)做进一步处理。NAP可通过分析数据流的转发路径、识别TCP异常以及分析转发丢包等操作,帮助用户更全面地了解网络中的数据流量走向。
目前统一流量分析支持全流分析、随流检测(iFIT)、丢包检测和拥塞上报功能。其中全流分析是一种对网络环境中发生的所有数据流进行全面记录和分析的方法,可以实时或离线分析网络中的每一个数据流,提供详细的流量统计分析结果。通过记录和分析所有流量,可以识别潜在的安全威胁,例如异常流量、恶意攻击等。随流检测(iFIT)是一种在数据流传输过程中,对流量进行实时检测的方法,通过端到端以及逐点测量监测设备之间的丢包时延信息。丢包检测(MOD)是用于监控并识别设备内部网络数据传输过程中丢失数据包的方法,可分析丢包现象产生的原因,如转发异常、ACL deny规则导致的丢包等,通过识别丢包,向分析器上报丢包原因,分析器采取措施来优化网络性能和提高数据传输的可靠性。超大时延上报是监控网络拥塞情况并报告的功能,通过在网络节点开启拥塞功能,可实时监控网络流量,识别网络中出现拥塞的节点和路径,提供流量调控建议或自动进行流量调控,以缓解拥塞情况。向FGLB和分析器上报超大时延流表数据,由分析器进行分析,可以提供流量画像,指导业务转发。
如果在设备上同时配置如下功能时,仅优先级最高的功能生效,优先级从高到低的顺序为:
· UDP流量NetAnalysis统计
· NetAnalysis统一流量分析
· FGLB方式自适应路由
· NetStream(包括IPv4和IPv6 NetStream)
· MOD和时延监控模式的Flow Group
有关FGLB方式自适应路由功能的详细配置,请参见“三层技术-IP路由配置指导”中的“自适应路由”。有关NetStream、IPv6 NetStream的详细配置,请参见“网络管理和监控配置指导”中的“NetStream”、“IPv6 NetStream”。有关MOD、Flow Group的详细配置,请参见“Telemetry配置指导”中的“MOD”和“Flow Group”。
对于S12500G-AF系列交换机,NetAnalysis全流分析功能仅支持分析流经SF系列接口板和SG系列接口板的流量。
activate命令的flow-monitor参数只对IPv4报文生效。
activate命令的flow-monitor参数在设备重启后才能生效,进行设备重启前请评估重启对网络造成的影响,做好相关准备工作。
activate命令的flow-monitor参数不支持匹配VXLAN报文内层封装的以太网数据帧。
配置UFA实例的流类型为静态流后,若需要在设备上开启FGLB方式自适应路由功能,则必须先配置UFA实例过滤流量的规则同时指定过滤IP流量的源IP地址、目的IP地址和协议类型。若指定规则中过滤流量的协议类型为SCTP、TCP或UDP,则需要同时指定源端口号和目的端口号。有关FGLB方式自适应路由功能的详细配置,请参见“三层技术-IP路由配置指导”中的“自适应路由”。
请勿在iFIT绑定的接口上配置接口限速。有关接口限速的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
对于S12500G-AF系列交换机,配置iFIT功能前,请先将系统工作模式切换为专家模式。有关系统工作模式的详细介绍,请参见“基础配置指导”中的“设备管理”。
iFIT功能仅对出端口为物理端口(如以太网接口等)的已知单播流量生效,iFIT功能仅对出端口为逻辑端口(如聚合接口、Tunnel接口等)的流量不生效。若出端口上存在等价路由,不能使用“bind all-interface”命令配置接口的缺省绑定角色为egress或ingress-egress。
iFIT和INT基于同一条流配置时,iFIT功能优先生效。
(1) 进入系统视图。
system-view
(2) 开启NetAnalysis统一流量分析功能,并进入统一流量分析视图。
netanalysis unified-flow
缺省情况下,NetAnalysis统一流量分析功能处于关闭状态。
(3) 配置硬件流表老化时间。
hardware-flow aging-time time-value
缺省情况下,硬件流表老化时间为5000毫秒。
(4) 配置硬件流表导出时间间隔。
hardware-flow export-interval interval
缺省情况下,硬件流表导出时间间隔为1000毫秒。
(5) 配置硬件流表的时延阈值。
hardware-flow delay-threshold threshold-value
缺省情况下,硬件流表的时延阈值为10000纳秒。
(6) 配置软件流表的老化时间。
aging-time time-value
缺省情况下,软件流表的老化时间为30秒。
软件流表的老化时间需大于或等于iFIT的染色周期。同时,建议将iFIT的染色周期设置为30秒及以上。
(7) 配置软件流表的导出时间间隔。
export-interval interval
缺省情况下,软件流表的导出时间间隔为10秒。
(8) 配置隧道报文的检测模式。
flow-tunnel { hybrid | overlay | transmit }
缺省情况下,隧道报文的检测模式为查看隧道外层报文。
仅SF系列接口板支持hybrid和transmit模式。
(9) 配置iFIT染色位。
ifit color-flag tos-bit tos-bit
缺省情况下,未配置iFIT染色位。
全局开启拥塞通知功能后,请不要配置iFIT染色位为6和7,否则ECN功能会受到影响。关于ECN功能的详细介绍,请参见“ACL和QoS配置指导”中的“拥塞避免”。
配置DSCP优先级后可能会与染色位配置冲突,冲突原则如下:将DSCP值转换为6位二进制(如DSCP 56 → 111000),从左至右依次对应染色位0-5。若配置iFIT染色位在DSCP二进制中对应位为1,系统将提示冲突(例:DSCP二进制111000时,配置iFIT染色位为0、1或2时,系统会提示冲突)。
在iFIT与其他功能(如QoS trust dscp override或PFC)同时使用时,应确保iFIT染色所使用的DSCP位不会与相关功能的映射位发生冲突。
¡ 当与QoS trust dscp override同时配置时,iFIT染色会优先修改报文的DSCP值。如果染色DSCP值与QoS优先级映射冲突,可能导致QoS trust dscp override功能异常,影响流量优先级判定。
¡ 当设备开启PFC且端口配置qos trust dscp命令时,若iFIT染色使用的DSCP值与PFC优先级映射冲突,iFIT染色会覆盖原有DSCP优先级,导致PFC功能异常或失效。
本命令与其他涉及DSCP值修改的命令(如qos priority、priority-flow-control dscp-mapping、remark dscp等)同时配置时,iFIT的配置优先级最高,将覆盖其他配置对DSCP值的修改。
(10) 配置iFIT测量周期。
ifit period period-time
缺省情况下,iFIT测量周期为30秒。
(11) 开启丢包原因上报功能。
report-loss-reason enable
缺省情况下,丢包原因上报功能处于开启状态。
(12) 创建UFA实例并进入UFA实例视图。
instance instance-id name instance-name
缺省情况下,不存在UFA实例。
(13) 配置UFA实例中过滤流量的规则。
flow ipv4 [ source-ip src-ip-address [ src-mask-length ] | destination-ip dest-ip-address [ dest-mask-length ] | protocol { { sctp | tcp | udp } [ source-port src-port-number ] [ destination-port dest-port-number ] | protocol-number } ]*
flow ipv6 [ source-ip src-ipv6-address [ src-prefix-length ] | destination-ip dest-ip-address [ dest-prefix-length ] | protocol { { sctp | tcp | udp } [ source-port src-port-number ] [ destination-port dest-port-number ] | protocol-number } ]*
flow any-ip
缺省情况下,未配置UFA实例中过滤流量的规则。
当flow-type配置为static时,若需执行activate isdf-detect drop命令,该命令不支持配置IP网段。
flow any-ip会匹配并识别所有IP流量,当配置了指定转发流量进行故障识别及切换功能时,不建议使用。
(14) 配置UFA实例中的流类型。
flow-type { dynamic [ ip-pair ] | static }
缺省情况下,UFA实例中的流量类型为动态流。
仅SF系列接口板和SG系列接口板支持ip-pair参数。
(15) 配置接口的绑定角色。
bind interface interface-type interface-number { egress | ingress | ingress-egress [ bidirectional-flow ] | transit [ bidirectional-flow ] }
缺省情况下,未配置接口的绑定角色。
(16) 配置接口的缺省绑定角色。
bind all-interface { egress | ingress | ingress-egress [ bidirectional-flow ] | transit [ bidirectional-flow ] }
缺省情况下,未配置接口的缺省绑定角色。
(17) 开启UFA实例的测量功能。
activate { { flow-analysis | flow-monitor | ifit | isdf-detect drop } * | mod }
缺省情况下,UFA实例的测量功能处于关闭状态。
当参数选择isdf-detect drop时:
¡ flow-type为static时,表示对聚合整体流量进行统一的故障检测和路径切换。
¡ flow-type为dynamic时,表示对单独五元组流量进行监控和路径切换。
(18) 配置例外接口,对该接口的报文不做UFA检测分析处理。
exclude interface interface-type interface-number
缺省情况下,未配置例外接口。
当网络链路发生故障时,基于控制平面动态路由协议(如BGP、OSPF)的传统路由收敛技术,路由收敛时间可达百毫秒级,难以满足在线交易、智能驾驶等业务对网络性能的严苛要求。为此,ISDF技术应运而生。
ISDF(Instant Silent-fault Detection and Failover,快速静默故障感知与恢复)是一种完全基于数据平面的故障感知和恢复技术。ISDF实现了从依赖控制平面的协议交互收敛方式,到基于数据平面的实时故障感知与快速换路收敛方式的技术演进。该技术采用数据面故障检测、远程故障通告和快速路径切换机制,实现毫秒级网络收敛,显著提升网络可靠性和数据传输效率。
路径切换不支持下一跳地址为 link-local、全零、组播或环回地址的配置下发。
故障检测与流量切换功能仅适用于 spine 与 leaf 直连的场景,即检测丢包的设备必须与执行路径切换的设备直接相连。
(1) 进入系统视图。
system-view
(2) 开启NetAnalysis统一流量分析功能,并进入统一流量分析视图。
netanalysis unified-flow
缺省情况下,NetAnalysis统一流量分析功能处于关闭状态。
(3) 配置静默故障检测的测量周期。
isdf-detect period period-time
缺省情况下,静默故障检测的测量周期为3000毫秒。
静默故障检测的周期配置为1s时,建议将硬件导出时间配置为200ms。
(4) 配置静默故障检测的丢包百分比阈值。
isdf-detect drop-threshold percent
缺省情况下,静默故障检测的丢包百分比阈值为30。
防私接Hub和防私接路由器的检测机制有所不同,具体如下:
· 防私接Hub:在私接Hub的场景中,可以通过检测单接口下是否存在多个IP地址和MAC地址进行判断。由于正常情况下,一个用户接口仅对应一个IP地址和MAC地址,当系统检测到某个用户接口下存在多个IP地址和MAC地址交叉出现时,则会判定此种情况为私接Hub设备。
· 防私接路由器:在私接路由器的场景中,可以通过检测TTL值判断是否存在私接。TTL的初始值一般为128、64、255、32、1等,经过一个路由设备后,TTL值会减1。当设备检测到用户报文的TTL值不是初始值,则认为存在私接路由器行为。
系统视图下,配置uad enable命令后,设备的所有接口将开启防私接检测功能,检测设备接口下是否存在私接Hub或路由器设备的情况。当设备检测到存在私接行为后,设备将通知控制器,由控制器对私接设备进行相应的处理。
在设备接口下配置uad enable命令后,该接口将开启防私接检测功能,包括防私接Hub和防私接路由器。
当系统视图下的防私接检测功能处于开启状态(执行uad enable命令)时,可以在接口视图下执行undo uad enable命令,关闭某个接口的防私接检测功能。当系统视图下的防私接检测功能处于关闭状态(执行undo uad enable命令)时,本命令不生效。
(1) 进入系统视图。
system-view
(2) 开启防私接检测功能。
uad enable { unauthorized-hub | unauthorized-router }
缺省情况下,防私接检测功能处于关闭状态。
(3) 进入三层接口视图。
interface interface-type interface-number
(4) 开启接口防私接检测功能。
uad enable
缺省情况下,接口防私接检测功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置UFA流量NetAnalysis的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除UFA流量NetAnalysis的统计信息。
表4-1 UFA流量NetAnalysis显示和维护
|
操作 |
命令 |
|
显示UFA的流表信息 |
(独立运行模式) display netanalysis unified-flow ipv4 [ destination-ip dest-ip-address [ dest-mask-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ip src-ip-address [ src-mask-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* slot slot-number display netanalysis unified-flow ipv6 [ destination-ipv6 dest-ipv6-address [ dest-prefix-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ipv6 src-ipv6-address [ src-prefix-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* slot slot-number (IRF模式) display netanalysis unified-flow ipv4 [ destination-ip dest-ip-address [ dest-mask-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ip src-ip-address [ src-mask-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* chassis chassis-number slot slot-number display netanalysis unified-flow ipv6 [ destination-ipv6 dest-ipv6-address [ dest-prefix-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ipv6 src-ipv6-address [ src-prefix-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* chassis chassis-number slot slot-number |
|
显示静默故障事件 |
display netanalysis unified-flow isdf-detect event-log |
|
清除UFA流表信息 |
(独立运行模式) reset netanalysis unified-flow { ipv4 | ipv6 } slot slot-number (IRF模式) reset netanalysis unified-flow { ipv4 | ipv6 } chassis chassis-number slot slot-number |
如图4-1所示,在Device A、Device B和Device C上分别配置NetAnalysis统一流量分析功能,要求对客户端和服务器端之间往返的报文进行统一流量分析。设备通过开启iFit检测功能,实现对客户端和服务器之间的流量进行iFit检测分析。
图4-1 开启iFit检测功能配置组网图
表4-2 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
Ten-GigabitEthernet3/0/1 |
|
Interface2 |
Ten-GigabitEthernet3/0/2 |
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceA] netanalysis unified-flow
[DeviceA-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceA-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择开启iFit检测功能。
[DeviceA-netanalysis-unified-flow] instance 1 name a
[DeviceA-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceA-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/1 ingress
[DeviceA-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/2 transit
[DeviceA-netanalysis-instance-1] activate ifit
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceB] netanalysis unified-flow
[DeviceB-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceB-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择启iFit检测功能。
[DeviceB-netanalysis-unified-flow] instance 1 name a
[DeviceB-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceB-netanalysis-instance-1] bind all-interface transit
[DeviceB-netanalysis-instance-1] activate ifit
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceC] netanalysis unified-flow
[DeviceC-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceC-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择开启iFit检测功能。
[DeviceC-netanalysis-unified-flow] instance 1 name a
[DeviceC-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceC-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/1 transit
[DeviceC-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/2 egress
[DeviceC-netanalysis-instance-1] activate ifit
设备运行一段时间后,查看流量的统计信息。
# 在Device A上查看IPv4类型的UFA流表信息。
<DeviceA> display netanalysis unified-flow ipv4
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source Port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
# 在Device A上查看指定的IPv4类型的UFA流表信息。
<DeviceA> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Ingress 174049063 1 20000 2560000 1740490630,0 Ten-GigabitEthernet3/0/1
Ingress 174049062 0 20006 2560007 1740490620,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049063 1 20000 2560000 1740490630,0 Ten-GigabitEthernet3/0/2
Transit 174049062 0 20005 2560006 1740490620,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
# 在Device B上查看指定的IPv4类型的UFA流表信息。
<DeviceB> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049063 1 20000 2560000 1740490630,0 Ten-GigabitEthernet3/0/1
Transit 174049062 0 20006 2560007 1740490620,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049063 1 20000 2560000 1740490630,0 Ten-GigabitEthernet3/0/2
Transit 174049062 0 20005 2560006 1740490620,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
# 在Device C上查看指定的IPv4类型的UFA流表信息。
<DeviceC> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip
4.4.4.2
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Egress 174049438 0 20000 2560000 1740494380,0 Ten-GigabitEthernet3/0/2
Egress 174049437 1 20005 2560006 1740494370,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049438 0 20000 2560000 1740494380,0 Ten-GigabitEthernet3/0/1
Transit 174049437 1 20005 2560006 1740494370,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
如图4-2所示,在Device A、Device B和Device C上分别配置NetAnalysis统一流量分析功能,要求对客户端和服务器端之间往返的报文进行统一流量分析。设备通过开启全流分析和iFit检测功能,实现对客户端和服务器之间的流量进行全面深入的分析。
图4-2 同时开启全流分析和iFit检测功能配置组网图
表4-3 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
Ten-GigabitEthernet3/0/1 |
|
Interface2 |
Ten-GigabitEthernet3/0/2 |
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceA] netanalysis unified-flow
[DeviceA-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceA-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择同时开启全流分析和iFit检测功能。
[DeviceA-netanalysis-unified-flow] instance 1 name a
[DeviceA-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceA-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/1 ingress
[DeviceA-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/2 transit
[DeviceA-netanalysis-instance-1] activate flow-analysis ifit
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceB] netanalysis unified-flow
[DeviceB-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceB-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择同时开启全流分析和iFit检测功能。
[DeviceB-netanalysis-unified-flow] instance 1 name a
[DeviceB-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceB-netanalysis-instance-1] bind all-interface transit
[DeviceB-netanalysis-instance-1] activate flow-analysis ifit
(1) 配置IP地址
请按照组网图配置各接口的IP地址和子网掩码,并配置路由保证网络互通,具体配置过程略。
(2) 配置NetAnalysis统一流量分析功能
# 开启NetAnalysis统一流量分析功能,并配置iFit染色位和染色周期。
[DeviceC] netanalysis unified-flow
[DeviceC-netanalysis-unified-flow] ifit color-flag tos-bit 0
[DeviceC-netanalysis-unified-flow] ifit period 10
# 创建UFA实例,并配置过滤流量的规则、接口的绑定角色。最后开启UFA实例的测量功能,选择同时开启全流分析和iFit检测功能。
[DeviceC-netanalysis-unified-flow] instance 1 name a
[DeviceC-netanalysis-instance-1] flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
[DeviceC-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/1 transit
[DeviceC-netanalysis-instance-1] bind interface Ten-GigabitEthernet3/0/2 egress
[DeviceC-netanalysis-instance-1] activate flow-analysis ifit
设备运行一段时间后,查看流量的统计信息。
# 在Device A上查看IPv4类型的UFA流表信息。
<DeviceA> display netanalysis unified-flow ipv4
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source Port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
# 在Device A上查看指定的IPv4类型的UFA流表信息。
<DeviceA> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:37:07 (1740418627)
End time (sec) : 2025-02-24 17:46:07 (1740419167)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/1
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Ingress 174041916 0 40000 5120000 1740419160,0 Ten-GigabitEthernet3/0/1
Ingress 174041915 1 40000 5120000 1740419150,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:37:07 (1740418627)
End time (sec) : 2025-02-24 17:46:07 (1740419167)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/2
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174041916 0 40000 5120000 1740419160,0 Ten-GigabitEthernet3/0/2
Transit 174041915 1 40005 5120006 1740419150,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
# 在Device B上查看指定的IPv4类型的UFA流表信息。
<DeviceB> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:46:07 (1740419167)
End time (sec) : 2025-02-25 14:33:07 (1740493987)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/2
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049398 0 40000 5120000 1740493980,0 Ten-GigabitEthernet3/0/2
Transit 174049397 1 40005 5120006 1740493970,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:46:07 (1740419167)
End time (sec) : 2025-02-25 14:33:07 (1740493987)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/1
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049398 0 40000 5120000 1740493980,0 Ten-GigabitEthernet3/0/1
Transit 174049397 1 40005 5120006 1740493970,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
# 在Device C上查看指定的IPv4类型的UFA流表信息。
<DeviceC> display netanalysis unified-flow ipv4 source-ip 1.1.1.1 destination-ip 4.4.4.2
Direction : Outbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:46:07 (1740419167)
End time (sec) : 2025-02-25 14:33:07 (1740493987)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/2
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Egress 174049398 0 40000 5120000 1740493980,0 Ten-GigabitEthernet3/0/2
Egress 174049397 1 40005 5120006 1740493970,0 Ten-GigabitEthernet3/0/2
--------------------------------------------------------------------------------------------------------------
Direction : Inbound
Instance ID : 1
Source IP/mask : 1.1.1.1/32
Destination IP/mask : 4.4.4.2/32
Source port : --
Destination port : --
Protocol : 253
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-24 17:46:07 (1740419167)
End time (sec) : 2025-02-25 14:33:07 (1740493987)
Input packets : 20000
Input bytes : 2560000
Output packets : 20000
Output bytes : 2560000
Current TTL : 0
Min TTL : 253
Max TTL : 255
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnomral reason : 0
Cross chip : True
Current delay : 1120ns
Average delay : 1152ns
Min delay : 1120ns
Max delay : 1184ns
Average jitter : 32ns
Min jitter : 0ns
Max jitter : 64ns
Interface name : Ten-GigabitEthernet3/0/1
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Transit 174049398 0 40000 5120000 1740493980,0 Ten-GigabitEthernet3/0/1
Transit 174049397 1 40005 5120006 1740493970,0 Ten-GigabitEthernet3/0/1
--------------------------------------------------------------------------------------------------------------
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
