- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-INT配置
本章節下載: 04-INT配置 (322.04 KB)
INT(In-band Telemetry,帶內遙測)是一項從設備上采集數據的網絡監控技術。配置了INT功能的設備會主動向采集器上送采集數據,提供實時、高速的數據采集功能,采集器分析收到的采集數據,以達到對網絡設備的性能及網絡運行情況進行監控的目的。
INT網絡由開啟INT功能的設備組成,該網絡中包含一個首節點、若幹中間節點和一個尾節點設備。
圖1-1 INT網絡示意圖
INT功能通過鏡像原始報文、插入INT報文頭和采集信息的方式生成INT報文。INT報文頭和采集信息位於原始IP頭內部,所以INT報文與原始報文含有相同的IP頭,走相同的轉發鏈路,進而對路徑上各節點進行信息采集。
目前設備支持基於TCP報文、UDP報文和VXLAN報文生成INT報文。不同報文中INT報文頭所處位置如圖1-2所示。INT報文頭中高64位就是INT標記,固定填充0xaaaaaaaabbbbbbbb。
圖1-2 INT報文格式
當前INT功能支持普通型INT和靈活型INT。普通型INT和靈活型INT在信息采集方麵沒有差異,但運行機製和配置邏輯稍有不同。
· 普通型INT網絡中:每個節點的設備需要在入接口配置設備在INT網絡中的角色為Ingress、Transit或Egress。首節點通過QoS策略定義數據流,中間節點和尾節點自動識別INT報文並對報文進行相應的INT處理。因此,流量轉發路徑的每個入接口上都隻支持對首節點定義的數據流進行INT處理。
· 靈活型INT網絡中:不需要配置設備在INT網絡中的角色,每個節點的設備都可以通過ACL定義數據流(對於同一條流,首節點匹配原始報文,中間節點和尾節點匹配INT報文),並針對該數據流配置相應的INT處理動作。設備支持在同一接口上通過ACL匹配多條數據流並針對不同的數據流分別配置INT處理動作。
普通型INT的配置較為簡潔,建議優先采用普通型INT。僅當INT節點需要在同一接口對多條數據流進行INT處理的時候采用靈活型INT。
如圖1-3所示,普通型INT中各節點實現功能如下:
· 首節點
流量入接口上通過QoS策略將命中規則的報文鏡像、采樣至設備內部的INT處理器。處理器對其添加INT報文頭,然後將INT報文環回至入接口。入接口根據INT標記自動識別INT報文,添加采集信息,查表轉發。出接口添加采集信息,並發送給中間節點。
· 中間節點
流量入接口根據INT標記自動識別INT報文,添加采集信息,查表轉發。出接口添加采集信息,發送給尾節點。
· 尾節點
流量入接口根據INT標記自動識別INT報文,添加采集信息,上送至INT處理器加封裝後,查表轉發至出接口,發送給采集器。
如圖1-3所示,以同一條流的INT處理為例,靈活型INT中各節點實現功能如下:
· 首節點
入接口通過ACL對原始報文進行篩選,命中規則的報文被鏡像、采樣至設備內部的INT處理器。處理器為其添加INT報文頭,然後將INT報文環回至入接口。入接口通過ACL篩選出本機環回INT報文,對其添加采集信息,查表轉發。出接口添加采集信息,並發送給中間節點。
· 中間節點
入接口通過ACL篩選出INT報文,為命中規則的報文添加采集信息後,查表轉發至出接口,出接口為INT報文添加采集信息,發送給尾節點。
· 尾節點
入接口通過ACL篩選出INT報文,命中規則的報文被鏡像至INT處理器,處理器對其進行封裝,然後查表轉發至出接口,發送給采集器。
圖1-3 INT功能組網與處理機製示意圖
在配置INT功能時,建議先配置中間節點和尾節點,最後配置首節點。
為保證INT功能的正常使用,建議通過INT采集的原始報文字節數不大於9904。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 指定Egress接口。
a. 進入接口視圖。
interface interface-type interface-number
b. 配置當前接口為Egress接口。
telemetry ifa role egress
缺省情況下,未配置設備接口在INT網絡中的角色。
c. 退回係統視圖。
quit
(3) 配置INT報文上送采集器時的封裝參數。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情況下,未配置INT報文的IP地址、端口號及VLAN編號。
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 指定Transit接口。
a. 進入接口視圖。
interface interface-type interface-number
b. 配置當前接口為Transit接口。
telemetry ifa role transit
缺省情況下,未配置設備接口在INT網絡中的角色。
c. 退回係統視圖。
quit
(3) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 指定Ingress接口。
a. 進入接口視圖。
interface interface-type interface-number
b. 配置當前接口為Ingress接口。
telemetry ifa role ingress
缺省情況下,未配置設備接口在INT網絡中的角色。
c. 退回係統視圖。
quit
(3) 配置流量鏡像到INT處理器。
a. 請依次執行以下命令配置流分類。
traffic classifier classifier-name [ operator { and | or } ]
if-match match-criteria
quit
具體流分類規則的配置,請參見“QoS命令”中的if-match命令。
b. 請依次執行以下命令配置流行為。
traffic behavior behavior-name
mirror-to ifa-processor [ sampler sampler-name ]
quit
鏡像至INT處理器命令的詳細情況請參見“網絡管理和監控命令參考”中的“鏡像”。
c. 請依次執行以下命令配置QoS策略。
qos [ mirroring ] policy policy-name
classifier classifier-name behavior behavior-name
quit
d. 請依次執行以下命令將QoS策略應用在接口入方向上。
interface interface-type interface-number
qos apply [ mirroring ] policy policy-name inbound
quit
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 在流量入接口配置將INT流量鏡像至INT處理器動作,並丟棄原始INT報文。
a. 創建用戶自定義ACL,並進入用戶自定義ACL視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule (user-defined ACL view)命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
注意,本規則中需要配置如下兩種內容,且必須配置在同一條規則中。第一,首節點上配置的將原始流量鏡像至INT處理器動作中引用了ACL,本規則中要配置與其相同的流量特征匹配項。第二,本規則中還要配置INT標誌(rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol為tcp或udp)。例如,首節點上配置的鏡像至INT處理器動作引用的ACL中,規則為rule permit tcp source 10.0.0.3 0,則本規則需配置為rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的INT流量配置鏡像至INT處理器動作,並丟棄原始INT報文。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } action mirror-to-processor drop
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
(3) 配置INT報文上送采集器的封裝參數。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情況下,未配置INT報文的IP地址、端口號及VLAN編號。
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 在流量入接口配置對INT流量添加采集信息動作。
a. 創建用戶自定義ACL,並進入用戶自定義ACL視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule (user-defined ACL view)命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
注意,本規則中需要配置如下兩種內容,且必須配置在同一條規則中。第一,首節點上配置的將原始流量鏡像至INT處理器動作中引用了ACL,本規則中要配置與其相同的流量特征匹配項。第二,本規則中還要配置INT標誌(rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol為tcp或udp)。例如,首節點上配置的鏡像至INT處理器動作引用的ACL中,規則為rule permit tcp source 10.0.0.3 0,則本規則需配置為rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的INT流量配置添加采集信息動作。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } action add-metadata
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
(3) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id numeral
缺省情況下,INT設備未配置設備ID。
(2) 在流量入接口配置將原始流量鏡像至INT處理器動作。
a. 創建IPv4、二層或用戶自定義ACL,並進入其視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的原始流量配置鏡像至INT處理器動作。
telemetry ifa ifa-id [ acl [ mac | user-defined ] { acl-number | name acl-name } ] action mirror-to-processor [ sampler sampler-name ]
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
(3) 在流量入接口配置對本地環回INT流量添加采集信息動作。
a. 創建用戶自定義ACL,並進入用戶自定義ACL視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule (user-defined ACL view)命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
注意,本規則中需要配置如下兩種內容,且必須配置在同一條規則中。第一,步驟(2)中配置的將原始流量鏡像至INT處理器動作中引用了ACL,本規則中要配置與其相同的流量特征匹配項。第二,本規則中還要配置INT標誌(rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol為tcp或udp)。例如,步驟(2)中引用的ACL中,規則為rule permit tcp source 10.0.0.3 0,則本規則需配置為rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的本地環回INT流量配置添加采集信息動作。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } local-loopback action add-metadata
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
如果網絡管理員希望本節點暫時不向下一節點發送INT報文,則可以開啟全局丟棄INT報文功能。
(1) 進入係統視圖。
system-view
(2) 配置全局丟棄INT報文。
telemetry ifa global packet-drop
缺省情況下,全局丟棄INT報文功能處於關閉狀態。
可在任意視圖下執行以下命令:
· 顯示接口上QoS策略的配置信息和運行情況。
display qos [ mirroring ] policy interface [ interface-type interface-number ] [ slot slot-number ] inbound
· 顯示INT的配置信息
display telemetry ifa
在Device A、Device B和Device C上分別配置普通型INT功能,Device C將INT報文上送采集器。
缺省情況下,本設備的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
(1) IP地址和單播路由協議的具體配置過程略
(2) 配置尾節點Device C
# 配置設備ID為11。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 11
# 指定流量的入接口HundredGigE1/0/1為Egress接口。
[DeviceC] interface hundredgige 1/0/1
[DeviceC-HundredGigE1/0/1] telemetry ifa role egress
[DeviceC-HundredGigE1/0/1] quit
# 配置INT報文上送采集器時的封裝參數。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 開啟INT功能。
[DeviceC] telemetry ifa global enable
(3) 配置中間節點Device B
# 配置設備ID為10。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10
# 指定流量的入接口HundredGigE1/0/1為Transit接口。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] telemetry ifa role transit
[DeviceB-HundredGigE1/0/1] quit
# 開啟INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置首節點Device A
# 配置設備ID為9。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 9
# 指定流量的入接口HundredGigE1/0/1為Ingress接口。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa role ingress
[DeviceA-HundredGigE1/0/1] quit
# 創建一個名為samp的采樣器,采用隨機采樣方式,按照2的次方模式采樣,采樣率為8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 創建類classifier1,匹配目的MAC地址為a08c-fdd7-fd99的報文。
[DeviceA] traffic classifier classifier1
[DeviceA-classifier-classifier1] if-match destination-mac a08c-fdd7-fd99
[DeviceA-classifier-classifier1] quit
# 創建流行為behavior1,動作為流量鏡像到INT處理器,並引用采樣器samp。
[DeviceA] traffic behavior behavior1
[DeviceA-behavior-behavior1] mirror-to ifa-processor sampler samp
[DeviceA-behavior-behavior1] quit
# 創建QoS策略,命名為ifa1,將流分類classifier1和流行為behavior1進行關聯。
[DeviceA] qos policy ifa1
[DeviceA-qospolicy-ifa1] classifier classifier1 behavior behavior1
[DeviceA-qospolicy-ifa1] quit
# 將QoS策略ifa1應用到接口HundredGigE1/0/1的入方向上。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] qos apply policy ifa1 inbound
[DeviceA-HundredGigE1/0/1] quit
# 開啟INT功能。
[DeviceA] telemetry ifa global enable
# 查看Device A相關配置是否生效。
[DeviceA] display qos policy interface hundredgige 1/0/1 inbound
Interface: HundredGigE1/0/1
Direction: Inbound
Policy: ifa1
Classifier: classifier1
Operator: AND
Rule(s) :
If-match destination-mac a08c-fdd7-fd99
Behavior: behavior1
Mirroring:
Mirror to the ifa-processor sampler samp
[DeviceA] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 9
Telemetry ifa role:
HundredGigE1/0/1: Ingress
# 查看Device B相關配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 10
Telemetry ifa role:
HundredGigE1/0/1: Transit
# 查看Device C相關配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 11
Telemetry ifa role:
HundredGigE1/0/1: Egress
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
在Device A、Device B和Device C上分別配置靈活型INT功能,Device C將INT報文送往采集器。
缺省情況下,本設備的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
(1) IP地址和單播路由協議的具體配置過程略
(2) 配置尾節點Device C
# 配置設備ID為11。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 11
# 創建用戶自定義ACL 5000,並配置規則為匹配源IP地址為192.168.1.2的INT報文。
[DeviceC] acl user-defined 5000
[DeviceC-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceC-acl-user-5000] rule permit udp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceC-acl-user-5000] quit
# 對接口HundredGigE1/0/1入方向的INT流量配置鏡像至INT處理器動作,並丟棄原始INT報文。
[DeviceC] interface hundredgige 1/0/1
[DeviceC-HundredGigE1/0/1] telemetry ifa 1 acl user-defined 5000 action mirror-to-processor drop
[DeviceC-HundredGigE1/0/1] quit
# 配置INT報文上送采集器時的封裝參數。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 開啟INT功能。
[DeviceC] telemetry ifa global enable
(3) 配置中間節點Device B
# 配置設備ID為10。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10
# 創建用戶自定義ACL 5000,並配置規則為匹配源IP地址為192.168.1.2的INT報文。
[DeviceB] acl user-defined 5000
[DeviceB-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceB-acl-user-5000] rule permit udp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceB-acl-user-5000] quit
# 對接口HundredGigE1/0/1入方向的INT流量配置添加采集信息動作。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] telemetry ifa 1 acl user-defined 5000 action add-metadata
[DeviceB-HundredGigE1/0/1] quit
# 開啟INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置首節點Device A
# 配置設備ID為9。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 9
# 創建一個名為samp的采樣器,采用隨機采樣方式,按照2的次方模式采樣,采樣率為8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 創建IPv4基本ACL 2000,並配置規則為匹配源IP地址為192.168.1.2的報文。
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule permit source 192.168.1.2 0
[DeviceA-acl-ipv4-basic-2000] quit
# 對接口HundredGigE1/0/1入方向的原始流量配置鏡像至INT處理器動作:引用ACL 2000和采樣器samp,對命中ACL規則的原始報文鏡像、采樣至INT處理器。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
[DeviceA-HundredGigE1/0/1] quit
# 創建用戶自定義ACL 5000,並配置規則為匹配源IP地址為192.168.1.2的INT報文。
[DeviceA] acl user-defined 5000
[DeviceA-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceA-acl-user-5000] rule permit udp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceA-acl-user-5000] quit
# 對接口HundredGigE1/0/1入方向的本地環回INT流量配置添加采集信息動作。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa 2 acl user-defined 5000 local-loopback action add-metadata
[DeviceA-HundredGigE1/0/1] quit
# 開啟INT功能。
[DeviceA] telemetry ifa global enable
# 查看Device A相關配置是否生效。
[DeviceA] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 9
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
Telemetry ifa 2 acl user-defined 5000 local-loopback action add-metadata
# 查看Device B相關配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 10
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl user-defined 5000 action add-metadata
# 查看Device C相關配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id: 11
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl user-defined 5000 action mirror-to-processor drop
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
