- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-IPv6 NetStream配置
本章節下載: 05-IPv6 NetStream配置 (334.59 KB)
目 錄
1.7 配置IPv6 NetStream統計接口出方向的IPsec加密的報文功能
1.9 配置IPv6 NetStream輸出報文版本9模板的刷新率
1.11.1 配置IPv6 NetStream普通流的統計信息輸出
1.11.2 配置IPv6 NetStream聚合流的統計信息輸出
IPv6 NetStream技術是一種基於流的統計技術,可以對網絡中的業務流量進行統計和分析。它將具有相同特征的報文作為一條流,對各個流進行統計,記錄流的統計信息並輸出。也可以把多個具有某些相同特征的流聚合成一條聚合流,記錄聚合流的統計信息並輸出。
一個典型的IPv6 NetStream係統由NDE(NetStream Data Exporter,網絡流數據輸出者)、NSC(NetStream Collector,網絡流數據收集者)和NDA(NetStream Data Analyzer,網絡流數據分析者)三部分組成。
· NDE
NDE根據八元組對網絡流進行分類,提取符合條件的流進行統計,並將統計信息輸出給NSC設備。輸出前也可對數據進行一些處理,比如聚合。配置了IPv6 NetStream功能的設備在IPv6 NetStream係統中擔當NDE角色。
· NSC
NSC通常為運行於Unix或者Windows上的一個應用程序,負責解析來自NDE的報文,把統計數據收集到數據庫中,可供NDA進行解析。NSC可以采集多個NDE設備輸出的數據。
· NDA
NDA是一個網絡流量分析工具,它從NSC中提取統計數據,進行進一步的加工處理,生成報表,為各種業務提供依據(比如流量計費、網絡規劃,攻擊監測)。NDA可以提取多個NSC中的數據。通常,NDA具有圖像化用戶界麵,可以使用戶方便地獲取、顯示和分析收集到的數據。
NSC和NDA可以集成在一台NetStream服務器上。
圖1-1 IPv6 NetStream係統中的設備角色
IPv6 NetStream流老化是設備向NetStream服務器輸出流統計信息的一種手段。當設備開啟IPv6 NetStream功能後,流統計信息首先會被存儲在設備的IPv6 NetStream緩衝區中。當存儲在設備上的IPv6 NetStream流統計信息老化後,設備會把緩衝區中的流統計信息通過指定版本的IPv6 NetStream輸出報文發送給NetStream服務器,同時清除緩衝區中的對應信息。
IPv6 NetStream流老化有按時老化和強製老化兩種方式。
按時老化分為以下兩種方式:
· 流的不活躍老化:從采集到的最後一個報文開始,該流在指定的時間內沒有被采集到,那麼設備會向NetStream服務器輸出該流的統計信息,這種老化稱為流的不活躍老化。通過這種老化,可以清除設備上IPv6 NetStream緩衝區中的無用表項,充分利用統計表項資源。
· 流的活躍老化:從采集到的第一個報文開始,該流在指定的時間內能被采集到。活躍時間超過設定的時長後,需要輸出該流的統計信息,這種老化稱為流的活躍老化。設備向NetStream服務器輸出流的統計信息後,因為該流還存在,所以設備會繼續統計該流。這種老化方式是設備定期向NetStream服務器輸出流統計信息的一種機製。
強製老化分為以下兩種方式:
· 手工強製老化:執行命令強製將IPv6 NetStream緩衝區中所有流老化、輸出,並清空IPv6 NetStream緩衝區信息。
· 最大數目老化:當IPv6 NetStream流緩存區中流表項的數目達到指定的最大數目時,強製老化部分流表項或禁止新建流表項。
普通流輸出是指所有流的統計信息都要被統計。在流老化後,每條流的統計信息都要輸出到NetStream服務器。
普通流輸出的優點是NetStream服務器可以得到每條流的詳細統計信息。但是缺點也是很明顯的,這種方式增加了網絡帶寬和設備的CPU占有率,而且為了存儲這些信息,需要大量的存儲介質空間,而很多情況下,用戶並不需要獲取所有流的統計信息。
聚合流輸出是指設備對與聚合關鍵項完全相同的流統計信息進行彙總,從而得到對應的聚合流統計信息,並且將該聚合統計信息發送到相應的接收聚合統計信息的NetStream服務器。聚合的最大好處是可以減少對網絡帶寬的占用。
目前,聚合流輸出支持的聚合方式如表1-1所示。係統根據聚合方式的聚合關鍵項,將聚合關鍵項相同的多條流統計信息合並為一條聚合流的統計信息,對應一條聚合記錄。每種聚合方式相互獨立,可以同時配置。
|
聚合方式 |
聚合關鍵項 |
|
自治係統聚合(as) |
源AS號、目的AS號、輸入接口索引、輸出接口索引 |
|
協議-端口聚合(protocol-port) |
協議號、源端口、目的端口 |
|
源前綴聚合(prefix) |
源AS號、源掩碼長度(源IP的掩碼長度)、源前綴(源IP的網絡地址)、輸入接口索引 |
|
目的前綴聚合(destination-prefix) |
目的AS號、目的掩碼長度、目的前綴、輸出接口索引 |
|
源和目的前綴聚合(source-prefix) |
源AS號、目的AS號、源掩碼長度(源IP的掩碼長度)、目的掩碼長度、源前綴(源IP的網絡地址)、目的前綴、輸入接口索引、輸出接口索引 |
|
BGP下一跳聚合(bgp-nexthop) |
BGP下一跳地址、輸出接口索引 |
· 在統計AS域號時,如果流量沒有按照BGP的路由表進行轉發,則係統無法統計出AS域號。
· 在統計BGP下一跳地址時,如果流量沒有按照BGP的路由表進行轉發,則係統無法統計出BGP下一跳地址。
目前IPv6 NetStream輸出的報文為版本9:基於模板方式,模板可在遵循RFC定義的模板格式的前提下自定義。版本9支持聚合流輸出,對BGP下一跳信息的統計輸出。
IPv6 NetStream可以與ACL(Access Control List,訪問控製列表)配合使用,IPv6 NetStream隻統計符合ACL篩選出的報文。通過這種方式可以使IPv6 NetStream隻對用戶關注的數據進行統計,更能滿足用戶多樣的統計要求。有關ACL的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”。
IPv6 NetStream可以與Sampler(采樣器)配合使用。通過設定適當的采樣間隔,不但減少了統計的報文數量,也可以保證收集到的統計信息基本正確地反映整個網絡流的狀況。另外,采樣還可以減小對設備轉發性能造成的影響。有關Sampler的詳細介紹,請參加“網絡管理和監控配置指導”中的“Sampler”。
與IPv6 Netstream相關的協議規範有:
RFC 5101:Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
不支持 |
|
插卡 |
LSCM2FWDSD0、LSPM6FWD、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1 |
不支持 |
|
IM-NGFWX-IV、LSCM1FWDSD0、LSPM6FWDB、LSQM1FWDSC0、LSUM1FWDEC0、LSWM1FWD0、LSXM1FWDF1 |
支持 |
|
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
IPv6 NetStream配置任務如下:
(2) (可選)配置IPv6 NetStream過濾功能
(3) (可選)配置IPv6 NetStream采樣功能
(4) (可選)配置IPv6 NetStream統計接口出方向的IPsec加密的報文功能
(5) (可選)配置IPv6 NetStream輸出報文格式
(6) (可選)配置IPv6 NetStream輸出報文版本9模板的刷新率
(7) (可選)配置IPv6 NetStream的流老化
b. (可選)配置IPv6 NetStream聚合流的統計信息輸出
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟接口的IPv6 NetStream功能。
ipv6 netstream { inbound | outbound }
缺省情況下,IPv6 NetStream功能處於關閉狀態。
IPv6 NetStream過濾使用ACL來對報文進行過濾:
· 如果想通過IPv6 NetStream隻采集特定流的數據,配置ACL規則允許這些流通過。
· 如果想讓IPv6 NetStream不采集特定流的數據,配置ACL規則禁止這些流通過。
如果在設備上同時配置IPv6 NetStream過濾和采樣功能,設備會先過濾報文,然後進行采樣。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟IPv6 NetStream過濾功能。
ipv6 netstream { inbound | outbound } filter acl ipv6-acl-number
缺省情況下,過濾功能處於關閉狀態,此時統計流經指定接口的所有IPv6報文。
設備開啟NetStream功能後,缺省情況下不會對流量進行采樣,即對所有業務流量都進行統計和分析,此時會消耗大量設備硬件資源,使CPU利用率過高。建議在滿足NetStream收集到的統計信息能基本反映整個網絡的狀況的前提下,開啟NetStream采樣功能並配置合適的采樣率,避免過多的設備硬件資源消耗對設備轉發性能造成影響。采樣器中的rate值設置的越大,對設備性能的影響就越小。
如果在設備上同時配置過濾和采樣,設備會先過濾後采樣報文。
(1) 進入係統視圖。
system-view
(2) 創建采樣器。
sampler sampler-name mode { fixed | random } packet-interval n-power rate
關於采樣器的詳細介紹請參見“網絡管理和監控配置指導”中的“Sampler”。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟IPv6 NetStream采樣功能。
ipv6 netstream { inbound | outbound } sampler sampler-name
缺省情況下,IPv6 NetStream采樣功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟接口出方向的IPv6 NetStream功能。
ipv6 netstream outbound
缺省情況下,接口的出方向的IPv6 NetStream功能處於關閉狀態。
(4) 開啟IPv6 NetStream統計接口出方向的IPsec加密前的報文功能,並關閉IPv6 NetStream統計接口出方向的IPsec加密後的報文功能。
ipv6 netstream ipsec raw-packet
缺省情況下,IPv6 NetStream統計接口出方向的IPSec加密前的報文功能處於關閉狀態,IPv6 NetStream統計接口出方向的IPSec加密後的報文功能處於開啟狀態。
用戶可以通過配置IPv6 NetStream輸出報文的格式,進一步明確需要統計的選項(如確定記錄的自治係統號及是否記錄BGP下一跳地址)。
IPv6 NetStream統計輸出報文還支持BGP下一跳選項,用戶可以選擇是否在流信息中記錄BGP下一跳地址。
IPv6 NetStream流統計信息中會記錄流的源IP地址及其對應的自治係統號、目的IP地址及其對應的自治係統號。設備會根據用戶配置的自治係統參數來確定記錄的自治係統號。自治係統參數包括origin-as(起始自治係統)和peer-as(鄰接自治係統):
· origin-as表示流統計信息中記錄的自治係統號為起始自治係統號。
· peer-as表示流統計信息中記錄的自治係統號為鄰接自治係統號。
如圖1-2所示,有一條數據流從AS 20開始,依次經過AS 21、AS 22、AS 23,到達AS 24。如果配置參數origin-as,那麼流統計信息中記錄該流的源AS為20,目的AS為24。如果配置參數peer-as,那麼流統計信息中記錄該流的源AS為21,目的AS為23。
(1) 進入係統視圖。
system-view
(2) 配置IPv6 NetStream統計輸出報文版本9以及其自治係統選項、BGP下一跳選項。請選擇其中一項進行配置。
ipv6 netstream export version 9 { origin-as | peer-as } [ bgp-nexthop ]
缺省情況下,IPv6 NetStream統計輸出報文使用版本9,記錄鄰接自治係統(peer-as)信息,不記錄BGP下一跳信息。
版本9是基於模板方式的、支持自定義格式的輸出報文版本(即可以決定輸出報文的內容)。由於NetStream服務器不會永久保存模板,所以設備需要定期通知NetStream服務器最新的版本9模板格式。用戶可以根據實際情況,配置版本9模板的刷新率(包括包刷新率和時間刷新率),及時更新模板。當同時配置包刷新率和時間刷新率時,隻要滿足任意一個刷新條件,設備就會將激活的模板發送給NetStream服務器。
(1) 進入係統視圖。
system-view
(2) 配置IPv6 NetStream統計輸出報文版本9模板的刷新率。
ipv6 netstream export v9-template refresh-rate { packet packets | time minutes }
缺省情況下,每隔20個包刷新一次版本9模板;每隔30分鍾刷新一次版本9模板。
(1) 進入係統視圖。
system-view
(2) 配置流的活躍老化時間。
ipv6 netstream timeout active minutes
缺省情況下,流的活躍老化時間為30分鍾。
(3) 配置流的不活躍老化時間。
ipv6 netstream timeout inactive seconds
缺省情況下,流的不活躍老化時間為30秒。
(1) 進入係統視圖。
system-view
(2) 配置IPv6 NetStream流緩存區中流表項的最大數目及達到最大數目時的處理方式。
ipv6 netstream max-entry { max-entries | aging | disable-caching }
本命令的缺省情況與設備型號有關,具體請參見命令參考。
(3) 退回用戶視圖。
quit
(4) 將流緩存區中所有流強製老化,並清除IPv6 NetStream緩衝區的狀態信息和輸出報文信息。
reset ipv6 netstream statistics
(1) 進入係統視圖。
system-view
(2) 配置IPv6 NetStream普通流統計信息輸出的目的地址和目的UDP端口號。
ipv6 netstream export host { ipv4-address | ipv6-address } udp-port [ vpn-instance vpn-instance-name ]
缺省情況下,係統視圖下未配置目的地址和目的UDP端口號。
(3) (可選)配置IPv6 NetStream統計輸出報文的源接口。
ipv6 netstream export source interface interface-type interface-number
缺省情況下,采用統計輸出報文的出接口(即與服務器相連的接口)作為源接口。
建議使用網管口作為源接口與服務器相連,並向服務器輸出統計信息。
(4) (可選)配置輸出速率限製。
ipv6 netstream export rate rate
缺省情況下,IPv6 NetStream統計輸出報文的輸出速率不受限製。
設備會通過軟件對與聚合關鍵項完全相同的流的統計信息進行彙總。
在聚合視圖下,用戶配置的IPv6 NetStream統計輸出報文的輸出屬性,僅對聚合報文生效;而係統視圖下的配置對普通報文生效,並且當聚合視圖下未配置以上屬性時,也會對聚合報文生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6 NetStream聚合視圖並指定流聚合方式。
ipv6 netstream aggregation { as | bgp-nexthop | destination-prefix | prefix | protocol-port | source-prefix }
缺省情況下,未配置IPv6 NetStream流聚合方式。
(3) 開啟聚合視圖對應的聚合功能。
enable
缺省情況下,當前聚合視圖對應的聚合功能處於關閉狀態。
(4) 配置IPv6 NetStream聚合統計信息輸出的目的地址和目的UDP端口號。
ipv6 netstream export host { ipv4-address | ipv6-address } udp-port [ vpn-instance vpn-instance-name ]
缺省情況下,未配置目的地址和目的UDP端口號。
為了減少對網絡帶寬的占用,可以隻在聚合視圖下配置本命令,此時設備隻會輸出聚合流信息。
(5) (可選)配置IPv6 NetStream聚合統計信息輸出的源接口,係統會將IPv6 NetStream統計輸出報文的源IPv6地址設置為該接口的IPv6地址。
ipv6 netstream export source interface interface-type interface-number
缺省情況下,采用統計輸出報文的出接口IPv6地址作為源接口的IPv6地址。
不同聚合視圖下可以配置不同的源接口。
聚合視圖下若未配置源接口,則使用係統視圖下的配置。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IPv6 NetStream的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IPv6 NetStream的統計信息。
表1-2 IPv6 NetStream顯示和維護
|
操作 |
命令 |
|
查看IPv6 NetStream流表項信息 |
display ipv6 netstream cache [ verbose ] [ type { ip | ipl2 | l2 } ] [ destination destination-ip | destination-port destination-port | interface interface-type interface-number | protocol protocol | source source-ip | source-port source-port ] * [ arrived-time start-date start-time end-date end-time ] [ slot slot-number ] |
|
查看保存到本地的IPv6 Netstream流表項信息 |
display ipv6 netstream cache archive [ verbose ] [ type { ip | ipl2 | l2 } ] [ destination destination-ip | destination-port destination-port | interface interface-type interface-number | protocol protocol | source source-ip | source-port source-port ] * [ arrived-time start-date start-time end-date end-time ] [ slot slot-number ] |
|
查看IPv6 NetStream統計輸出報文信息 |
display ipv6 netstream export |
|
查看IPv6 NetStream模板的配置和狀態信息 |
display ipv6 netstream template [ slot slot-number ] |
|
將流緩存區中所有流強製老化,並清除IPv6 NetStream緩衝區的狀態信息和輸出報文信息 |
reset ipv6 netstream statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
