- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-Flow Group配置
本章節下載: 03-Flow Group配置 (187.68 KB)
目 錄
Flow Group是一種流表模板。用戶可以為Flow Group指定流表的生成規則,設備依據流表生成規則提取流量特征(這裏指報文頭中的相關信息,例如五元組等),生成流表。
具體工作機製如下:
(1) 創建Flow Group。
(2) 引用ACL:通過ACL對流量進行過濾,Flow Group僅對命中ACL的流量進行流表學習。
(3) 配置流表的生成規則。
(4) (可選)配置流表的老化時間:如果某條表項在老化時間內未收到任何報文,則認為本條表項老化,刪除該條表項。
(5) 應用Flow Group。
圖1-1 流表生成示意圖
Flow Group生成的流表可以作為基礎數據提供給其他功能使用。不同模式的Flow Group為不同功能提供基礎數據:
· 普通MOD模式的Flow Group:為MOD功能提供基礎數據,會占用設備的硬件表項資源,但對CPU造成的負擔較小。
· 簡化版MOD模式的Flow Group:為MOD功能提供基礎數據,會對CPU造成較大負擔,但節省了硬件表項資源。
· 時延監控模式的Flow Group:監控報文轉發時延超過閾值時,會生成流表項,並通過gRPC協議上報事件。該模式下,需要同時配置gRPC Dial-out功能,並在傳感器組內添加采樣路徑telemetryftrace/genevent。關於gRPC的配置,請參見“Telemetry配置指導”中的“gRPC”。
· 普通MOD+時延監控模式的Flow Group:為MOD功能提供基礎數據,同時監控報文轉發時延是否超過閾值。該模式下,需要同時配置MOD功能和gRPC Dial-out功能,並在傳感器組內添加采樣路徑telemetryftrace/genevent。
有關MOD的詳細介紹,請參見“Telemetry配置指導”中的“MOD”。
僅LSCM2係列SC單板、SD和SF係列接口板支持Flow Group功能。
僅SF係列接口板支持時延監控模式的Flow Group。
在配置Flow Group引用的ACL時需要注意:
· 一個Flow Group僅支持引用一個ACL。
· 由於一條流隻能屬於一個Flow Group,所以在配置ACL時請保證不要將同一條流引至多個Flow Group。
有關ACL的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”。
如果需要刪除已應用的Flow Group,必須先取消其應用,再刪除該Flow Group。
設備當前僅支持同時啟用同一種模式的Flow Group。
設備無法通過Flow Group監控報文外層目的端口為4789或6081的VXLAN數據流量,否則Flow Group生成的流表表項信息裏無法正確顯示流量的源和目的端口信息。
Flow Group生成的流表項不會顯示三層以太網子接口或聚合子接口上的流量信息,流量信息會被統計到主接口。
(1) 進入係統視圖。
system-view
(2) 創建Flow Group,並進入Flow Group視圖。
telemetry flow-group group-id [ name group-name ] [ mode { delay-monitor | mod-delay-monitor | simple-mod } ]
缺省情況下,不存在Flow Group。
(3) 引用ACL。
if-match acl [ ipv6 | mac ] { acl-number | name acl-name }
缺省情況下,未引用ACL。
(4) 配置流表的生成規則。
template { destination-ip | destination-port | protocol | source-ip | source-port } *
缺省情況下,未配置流表的生成規則。
對於LSCM2係列SC單板、SD和SF係列接口板,如果在Flow Group視圖下通過if-match acl命令引用了IPv4 ACL,則本命令支持配置的參數為destination-ip、source-ip、inner-destination-ip、inner-source-ip和vxlan-id,其中inner-destination-ip表示VXLAN報文的內層目的IP地址,inner-source-ip表示VXLAN報文的內層源IP地址,vxlan-id表示VXLAN ID。
對於SF係列接口板:
¡ 如果要統計設備轉發的VXLAN報文,則本命令隻能配置非VXLAN相關字段,根據報文的目的IP等信息來生成流表。
¡ 如果要統計設備解封裝的VXLAN報文,則本命令隻能配置VXLAN相關字段。
(5) 退回係統視圖。
quit
(6) (可選)配置流表的老化時間。
telemetry flow-group aging-time aging-time
缺省情況下,流表的老化時間為15分鍾。
(7) (可選)配置流表表項的最大值。
telemetry flow-group max-entry max-entries
缺省情況下,未配置流表表項的最大值。
(8) (可選)配置Flow Group的報文轉發時延閾值。
telemetry flow-group delay-threshold threshold
缺省情況下,未配置Flow Group的報文轉發時延閾值,Flow Group會監控所有報文。如果配置了時延監控模式、普通MOD+時延監控模式的Flow Group,則所有滿足匹配條件的報文都會生成流表項。
本命令僅對時延監控模式、普通MOD+時延監控模式的Flow Group生效。
(9) 應用Flow Group。
telemetry apply flow-group { group-id | name group-name }
缺省情況下,未應用Flow Group。
在完成上述配置後,在任意視圖下執行display命令可以顯示Flow Group配置後的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 Flow Group顯示和維護
|
操作 |
命令 |
|
顯示Flow Group的配置信息和下發狀態 |
(獨立運行模式) display telemetry flow-group [ group-id | name group-name ] [ slot slot-number ] (IRF模式) display telemetry flow-group [ group-id | name group-name ] [ chassis chassis-number slot slot-number ] |
|
顯示Flow Group生成的流表表項信息 |
(獨立運行模式) display telemetry flow-group flow-table [ [ group-id | name group-name ] | delay-monitor | mod ] [ destination-ip { dst-ipv4 | dst-ipv6 } | destination-port dst-port | protocol protocol | source-ip { src-ipv4 | src-ipv6 } | source-port src-port ] * { slot slot-number } (IRF模式) display telemetry flow-group flow-table [ [ group-id | name group-name ] | delay-monitor | mod ] [ destination-ip { dst-ipv4 | dst-ipv6 } | destination-port dst-port | protocol protocol | source-ip { src-ipv4 | src-ipv6 } | source-port src-port ] * { chassis chassis-number slot slot-number } |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
