- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-INT配置
本章節下載: 05-INT配置 (384.48 KB)
目 錄
INT(In-band Telemetry,帶內遙測)是一項從設備上采集數據的網絡監控技術。配置了INT功能的設備會主動向采集器上送采集數據,提供實時、高速的數據采集功能,采集器分析收到的采集數據,以達到對網絡設備的性能及網絡運行情況進行監控的目的。
INT網絡由開啟INT功能的設備組成,該網絡中包含一個首節點、若幹中間節點和一個尾節點設備。
圖1-1 INT網絡示意圖
INT功能通過鏡像原始報文、插入INT報文頭和采集信息的方式生成INT報文。INT報文頭和采集信息位於原始IP頭內部,所以INT報文與原始報文含有相同的IP頭,走相同的轉發鏈路,進而對路徑上各節點進行信息采集。
目前設備支持基於TCP報文、UDP報文和VXLAN報文生成INT報文。不同報文中INT報文頭所處位置如圖1-2所示。INT報文頭中高64位就是INT標記,固定填充0xccccccccdddddddd。
圖1-2 INT報文格式
當前INT功能支持普通型INT和靈活型INT。普通型INT和靈活型INT在信息采集方麵沒有差異,但運行機製和配置邏輯稍有不同。
· 普通型INT網絡中:每個節點的設備需要在入接口配置設備在INT網絡中的角色為Ingress、Transit或Egress。首節點通過QoS策略定義數據流,中間節點和尾節點自動識別INT報文並對報文進行相應的INT處理。因此,流量轉發路徑的每個入接口上都隻支持對首節點定義的數據流進行INT處理。
· 靈活型INT網絡中:不需要配置設備在INT網絡中的角色,每個節點的設備都可以通過ACL定義數據流(對於同一條流,首節點匹配原始報文,中間節點和尾節點匹配INT報文),並針對該數據流配置相應的INT處理動作。設備支持在同一接口上通過ACL匹配多條數據流並針對不同的數據流分別配置INT處理動作。
普通型INT的配置較為簡潔,建議優先采用普通型INT。僅當INT節點需要在同一接口對多條數據流進行INT處理的時候采用靈活型INT。
如圖1-3所示,普通型INT中各節點實現功能如下:
· 首節點
流量入接口上通過QoS策略將命中規則的報文鏡像、采樣至設備內部的INT處理器。處理器對其添加INT報文頭,然後將INT報文環回至入接口。入接口根據INT標記自動識別INT報文,添加采集信息,查表轉發。出接口添加采集信息,並發送給中間節點。
· 中間節點
流量入接口根據INT標記自動識別INT報文,添加采集信息,查表轉發。出接口添加采集信息,發送給尾節點。
· 尾節點
流量入接口根據INT標記自動識別INT報文,添加采集信息,上送至INT處理器加封裝後,查表轉發至出接口,發送給采集器。
如圖1-3所示,以同一條流的INT處理為例,靈活型INT中各節點實現功能如下:
· 首節點
入接口通過ACL對原始報文進行篩選,命中規則的報文被鏡像、采樣至設備內部的INT處理器。處理器為其添加INT報文頭,然後將INT報文環回至入接口。入接口通過ACL篩選出本機環回INT報文,對其添加采集信息,查表轉發。出接口添加采集信息,並發送給中間節點。
· 中間節點
入接口通過ACL篩選出INT報文,為命中規則的報文添加采集信息後,查表轉發。出接口添加采集信息,發送給尾節點。
· 尾節點
入接口通過ACL篩選出INT報文,對其進行封裝,然後查表轉發至出接口,發送給采集器。
圖1-3 INT功能組網與處理機製示意圖
普通型INT支持在Underlay網絡和Overlay網絡中部署;靈活型INT僅支持在Underlay網絡中部署。
在配置INT功能時,建議先配置中間節點和尾節點,最後配置首節點。
在尾節點和中間節點上配置接口角色時,如果既在接口視圖下配置了接口角色,又在係統視圖下配置了全局角色(即telemetry ifa role transit-egress命令):
· 對於目的IP是本機的INT流量,全局配置優先生效。
· 對於目的IP不是本機、需要繼續轉發的INT流量,接口配置優先生效。
僅SF係列接口板支持INT功能。
對於VXLAN報文,限製如下:
· INT尾節點不能正確攜帶VXLAN報文出方向的端口、隊列、時延信息。
· 靈活型INT尾節點不支持VXLAN報文。
· 不支持IPv6 Underlay網絡的VXLAN報文
INT不支持采集跨fabric的流量。
已添加INT報文頭的報文,在經過已開啟INT功能的單板時,會自動添加采集信息。
如果設備轉發INT報文的出接口為聚合接口,則INT報文的出接口會被填充為聚合組的ID。
僅設備模式(係統視圖下使用system-working-mode命令配置)為專家模式時,跨板轉發的INT報文才會正確的更新報文出端口信息。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(2) 配置接口角色。請選擇其中一項進行配置。
¡ 對於非VXLAN網絡或VXLAN網絡中的非Border設備,可以依次執行以下命令配置接口的角色為egress。
interface interface-type interface-number
telemetry ifa role egress
quit
配置本步驟後,本接口具備egress能力。接口自動識別INT流量,並對其執行egress動作。
¡ 對於VXLAN網絡中的Border設備,可以執行以下命令配置所有接口的角色為transit-egress。
telemetry ifa role transit-egress
配置本步驟後,所有接口都同時具備transit和egress能力。接口自動識別INT流量,對目的IP是本機的INT流量執行egress動作;對目的IP不是本機、需要繼續轉發的INT流量執行transit動作。
缺省情況下,未配置接口角色。
(3) 配置INT報文上送采集器時的封裝參數。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情況下,未配置INT報文的IP地址、端口號及VLAN編號。
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(2) 配置接口角色。請選擇其中一項進行配置。
¡ 對於非VXLAN網絡或VXLAN網絡中的非Border設備,可以依次執行以下命令配置接口的角色為transit。
interface interface-type interface-number
telemetry ifa role transit
quit
配置本步驟後,本接口僅具備transit能力。接口自動識別INT流量,並對其執行transit動作。
¡ 對於VXLAN網絡中的Border設備,可以執行以下命令配置所有接口為transit-egress。
telemetry ifa role transit-egress
配置本步驟後,所有接口都同時具備transit和egress能力。接口自動識別INT流量,對目的IP是本機的INT流量執行egress動作;對目的IP不是本機、需要繼續轉發的INT流量執行transit動作。
缺省情況下,未配置接口角色。
(3) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(2) 指定Ingress接口。
a. 進入接口視圖。
interface interface-type interface-number
b. 配置當前接口為Ingress接口。
telemetry ifa role ingress
缺省情況下,未配置設備接口在INT網絡中的角色。
c. 退回係統視圖。
quit
(3) 配置流量鏡像到INT處理器。
a. 請依次執行以下命令配置流分類。
traffic classifier classifier-name [ operator { and | or } ]
if-match match-criteria
quit
具體流分類規則的配置,請參見“QoS命令”中的if-match命令。
b. 請依次執行以下命令配置流行為。
traffic behavior behavior-name
(Underlay網絡)
mirror-to ifa-processor [ sampler sampler-name ]
(Overlay網絡)
mirror-to ifa-processor [ sampler sampler-name ] vxlan
quit
鏡像至INT處理器命令的詳細情況請參見“網絡管理和監控命令參考”中的“鏡像”。
c. 請依次執行以下命令配置QoS策略。
qos [ mirroring ] policy policy-name
classifier classifier-name behavior behavior-name
quit
d. 請依次執行以下命令將QoS策略應用在接口入方向上。
interface interface-type interface-number
qos apply [ mirroring ] policy policy-name inbound
quit
(4) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置尾節點
a. 配置設備ID
b. 配置接口角色
(2) 配置中間節點
a. 配置設備ID
b. 配置接口角色
c. 配置功能狀態
(3) 配置首節點
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(1) 進入係統視圖。
system-view
(2) 配置接口角色。請選擇其中一項進行配置。
· 對於非VXLAN網絡或VXLAN網絡中的非Border設備,可以執行以下命令配置接口的角色為egress。
a. 創建用戶自定義ACL,並進入用戶自定義ACL視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule (user-defined ACL view)命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
注意,首節點上配置的將原始流量鏡像至INT處理器動作中引用了ACL,本規則中要配置與其相同的流量特征匹配項。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的流量配置添加采集信息動作,並丟棄原始INT報文。
telemetry ifa ifa-id [ acl [ ipv6 | mac | user-defined ] { acl-number | name acl-name } action add-metadata drop
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
配置本步驟後,本接口具備egress能力。接口通過ACL識別INT流量,並對其執行egress動作。
· 對於VXLAN網絡中的Border設備,可以執行以下命令配置所有接口的角色為transit-egress。
telemetry ifa role transit-egress
缺省情況下,未配置接口角色。
配置本步驟後,所有接口都同時具備transit和egress能力。接口自動識別INT流量,對目的IP是本機的INT流量執行egress動作,對目的IP不是本機、需要繼續轉發的INT流量執行transit動作。
(1) 進入係統視圖。
system-view
(2) 配置INT報文上送采集器的封裝參數。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情況下,未配置INT報文的IP地址、端口號及VLAN編號。
(3) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(1) 進入係統視圖。
system-view
(2) 配置接口角色。請選擇其中一項進行配置。
· 對於非VXLAN網絡或VXLAN網絡中的非Border設備,可以執行以下命令配置接口的角色為transit。
a. 創建用戶自定義ACL,並進入用戶自定義ACL視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule (user-defined ACL view)命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
注意,首節點上配置的將原始流量鏡像至INT處理器動作中引用了ACL,本規則中要配置與其相同的流量特征匹配項。
c. 退回係統視圖。
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的流量配置添加采集信息動作。
telemetry ifa ifa-id [ acl [ ipv6 | mac | user-defined ] { acl-number | name acl-name } action add-metadata
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
配置本步驟後,本接口具備transit能力。接口通過ACL識別INT流量,並對其執行transit動作。
· 對於VXLAN網絡中的Border設備,可以執行以下命令配置所有接口的角色為transit-egress。
telemetry ifa role transit-egress
缺省情況下,未配置接口角色。
配置本步驟後,所有接口都同時具備transit和egress能力。接口自動識別INT流量,對目的IP是本機的INT流量執行egress動作,對目的IP不是本機、需要繼續轉發的INT流量執行transit動作。
(1) 進入係統視圖。
system-view
(2) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
(1) 配置設備ID。
a. 進入係統視圖。
system-view
b. 配置設備ID。
telemetry ifa device-id address
缺省情況下,INT設備未配置設備ID。
(2) 在流量入接口配置將原始流量鏡像至INT處理器動作。
a. 創建IPv4、二層或用戶自定義ACL,並進入其視圖。
有關acl命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
b. 創建規則。
有關rule命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
c. 退回係統視圖
quit
d. 進入接口視圖。
interface interface-type interface-number
e. 對接口入方向的原始流量配置鏡像至INT處理器動作。
telemetry ifa ifa-id [ acl [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] action mirror-to-processor [ sampler sampler-name ]
缺省情況下,未配置INT動作。
f. 退回係統視圖。
quit
(3) 開啟INT功能。
telemetry ifa global enable
缺省情況下,INT功能處於開啟狀態。
如果網絡管理員希望本節點暫時不向下一節點發送INT報文,則可以開啟全局丟棄INT報文功能。
(1) 進入係統視圖。
system-view
(2) 配置全局丟棄INT報文。
telemetry ifa global packet-drop
缺省情況下,全局丟棄INT報文功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示INT的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 INT顯示和維護
|
操作 |
命令 |
|
顯示接口上QoS策略的配置信息和運行情況 |
(獨立運行模式) display qos [ mirroring ] policy interface [ interface-type interface-number ] [ slot slot-number ] inbound (IRF模式) display qos [ mirroring ] policy interface [ interface-type interface-number ] [ chassis chassis-number slot slot-number ] inbound (本命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”) |
|
顯示INT的配置信息 |
display telemetry ifa |
在Device A、Device B和Device C上分別配置普通型INT功能,Device C將INT報文上送采集器。
(1) IP地址和單播路由協議的具體配置過程略
(2) 配置尾節點Device C
# 配置設備ID為10.0.0.3。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 10.0.0.3
# 指定流量的入接口Ten-GigabitEthernet3/0/1為Egress接口。
[DeviceC] interface ten-gigabitethernet 3/0/1
[DeviceC-Ten-GigabitEthernet3/0/1] telemetry ifa role egress
[DeviceC-Ten-GigabitEthernet3/0/1] quit
# 配置INT報文上送采集器時的封裝參數。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 開啟INT功能。
[DeviceC] telemetry ifa global enable
(3) 配置中間節點Device B
# 配置設備ID為10.0.0.2。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10.0.0.2
# 指定流量的入接口Ten-GigabitEthernet3/0/1為Transit接口。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] telemetry ifa role transit
[DeviceB-Ten-GigabitEthernet3/0/1] quit
# 開啟INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置首節點Device A
# 配置設備ID為10.0.0.1。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 10.0.0.1
# 指定流量的入接口Ten-GigabitEthernet3/0/1為Ingress接口。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] telemetry ifa role ingress
[DeviceA-Ten-GigabitEthernet3/0/1] quit
# 創建一個名為samp的采樣器,采用隨機采樣方式,按照2的次方模式采樣,采樣率為8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 創建類classifier1,匹配目的MAC地址為a08c-fdd7-fd99的報文。
[DeviceA] traffic classifier classifier1
[DeviceA-classifier-classifier1] if-match destination-mac a08c-fdd7-fd99
[DeviceA-classifier-classifier1] quit
# 創建流行為behavior1,動作為流量鏡像到INT處理器,並引用采樣器samp。
[DeviceA] traffic behavior behavior1
[DeviceA-behavior-behavior1] mirror-to ifa-processor sampler samp
[DeviceA-behavior-behavior1] quit
# 創建QoS策略,命名為ifa1,將流分類classifier1和流行為behavior1進行關聯。
[DeviceA] qos policy ifa1
[DeviceA-qospolicy-ifa1] classifier classifier1 behavior behavior1
[DeviceA-qospolicy-ifa1] quit
# 將QoS策略ifa1應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] qos apply policy ifa1 inbound
[DeviceA-Ten-GigabitEthernet3/0/1] quit
# 開啟INT功能。
[DeviceA] telemetry ifa global enable
# 查看Device A相關配置是否生效。
[DeviceA] display qos policy interface ten-gigabitethernet 3/0/1 inbound
Interface: Ten-GigabitEthernet3/0/1
Direction: Inbound
Policy: ifa1
Classifier: classifier1
Operator: AND
Rule(s) :
If-match destination-mac a08c-fdd7-fd99
Behavior: behavior1
Mirroring:
Mirror to the ifa-processor sampler samp
[DeviceA] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.1
Telemetry ifa role:
Ten-GigabitEthernet3/0/1: Ingress
# 查看Device B相關配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.2
Telemetry ifa role:
Ten-GigabitEthernet3/0/1: Transit
# 查看Device C相關配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.3
Telemetry ifa role:
Ten-GigabitEthernet3/0/1: Egress
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
在Device A、Device B和Device C上分別配置靈活型INT功能,Device C將INT報文送往采集器。
(1) IP地址和單播路由協議的具體配置過程略
(2) 配置尾節點Device C
# 配置設備ID為10.0.0.3。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 10.0.0.3
# 創建用戶自定義ACL 5000,並配置規則為匹配源IP地址為192.168.1.2的INT報文。
[DeviceC] acl user-defined 5000
[DeviceC-acl-user-5000] rule permit tcp source 192.168.1.2 0
[DeviceC-acl-user-5000] rule permit udp source 192.168.1.2 0
[DeviceC-acl-user-5000] quit
# 對接口Ten-GigabitEthernet3/0/1入方向的INT流量配置添加采集信息動作,並丟棄原始INT報文。
[DeviceC] interface ten-gigabitethernet 3/0/1
[DeviceC-Ten-GigabitEthernet3/0/1] telemetry ifa 1 acl user-defined 5000 action add-metadata drop
[DeviceC-Ten-GigabitEthernet3/0/1] quit
# 配置INT報文上送采集器時的封裝參數。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 開啟INT功能。
[DeviceC] telemetry ifa global enable
(3) 配置中間節點Device B
# 配置設備ID為10.0.0.2。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10.0.0.2
# 創建用戶自定義ACL 5000,並配置規則為匹配源IP地址為192.168.1.2的INT報文。
[DeviceB] acl user-defined 5000
[DeviceB-acl-user-5000] rule permit tcp source 192.168.1.2 0
[DeviceB-acl-user-5000] rule permit udp source 192.168.1.2 0
[DeviceB-acl-user-5000] quit
# 對接口Ten-GigabitEthernet3/0/1入方向的INT流量配置添加采集信息動作。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] telemetry ifa 1 acl user-defined 5000 action add-metadata
[DeviceB-Ten-GigabitEthernet3/0/1] quit
# 開啟INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置首節點Device A
# 配置設備ID為10.0.0.1。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 10.0.0.1
# 創建一個名為samp的采樣器,采用隨機采樣方式,按照2的次方模式采樣,采樣率為8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 創建IPv4基本ACL 2000,並配置規則為匹配源IP地址為192.168.1.2的報文。
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule permit source 192.168.1.2 0
[DeviceA-acl-ipv4-basic-2000] quit
# 對接口Ten-GigabitEthernet3/0/1入方向的原始流量配置鏡像至INT處理器動作:引用ACL 2000和采樣器samp,對命中ACL規則的原始報文鏡像、采樣至INT處理器。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
[DeviceA-Ten-GigabitEthernet3/0/1] quit
# 開啟INT功能。
[DeviceA] telemetry ifa global enable
# 查看Device A相關配置是否生效。
[DeviceA] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.1
Telemetry ifa action:
Ten-GigabitEthernet3/0/1:
Telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
# 查看Device B相關配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.2
Telemetry ifa action:
Ten-GigabitEthernet3/0/1:
Telemetry ifa 1 acl user-defined 5000 action add-metadata
# 查看Device C相關配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status : Enabled
Telemetry ifa packet-drop : Disabled
Telemetry ifa device-id : 10.0.0.3
Telemetry ifa action:
Ten-GigabitEthernet3/0/1:
Telemetry ifa 1 acl user-defined 5000 action add-metadata drop
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
