- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
40-NAT-Netstream-策略路由操作
本章节下载 (444.06 KB)
& 说明:
目前S7500系列交换机中的LS81VSNP单板可实现NAT功能,为便于描述,手册当中称之为业务处理板。
如RFC1631所描述,NAT(Network Address Translation网络地址转换)是将IP数据包(Packet)报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT通过使用少量的公有IP地址来替换大量的私有IP地址,实现了私有网络访问公有网络的功能,减缓了可用IP地址空间枯竭的速度。
& 说明:
私有网络IP地址是指内部网络里的主机地址,公有网络IP地址是指在因特网上全球唯一的IP地址。
RFC1918为私有网络预留出了三个IP地址块,如下:
l A类:10.0.0.0~10.255.255.255
l B类:172.16.0.0~172.31.255.255
l C类:192.168.0.0~192.168.255.255
上述三个范围内的IP地址不会被分配到因特网上,因此使用者不必向ISP或NIC注册中心申请而可以在公司或企业内部自由使用。
下面的图1-1描述了一个基本的NAT应用。
如图1-1所示,作为NAT服务器的交换机处于企业内部网络和外部网络的连接处。
当内部PC(IP地址为192.168.1.3)向外部服务器(IP地址为202.120.10.2)发送的数据包(Packet)1通过NAT服务器时,NAT进程查看报头内容,发现该数据包是发往外网的,且符合NAT转换规则,那么它将数据包1的源地址(Source IP address)字段的私有IP地址192.168.1.3转换成可以在Internet上被识别的公有IP地址202.169.10.1,然后将数据包1按要求转发出去,同时在网络地址转换表中记录这一映射;当外部服务器(IP地址为202.120.10.2)给内部PC(初始的目的IP地址为202.169.10.1)发送的应答报文2到达NAT服务器后,NAT进程再次查看报头内容,并查找当前网络地址转换表的记录,用原来的内部PC私有IP地址192.168.1.3替换初始的目的IP地址。
上述的NAT过程对终端(如图1-1中的内部PC和外部服务器)来说是透明的。对外部服务器而言,它认为内部PC的IP地址就是202.169.10.1,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的内部网络。
NAT的优点在于:在“隐私”(Privacy)保护的前提下,为内部主机提供了访问外部网络资源的功能。但它也有一个缺点:如果报文里有IP地址或端口需要进行转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port不能被正确转换。
从图1-1的网络地址转换过程中可以发现,当内部网络访问外部网络时,NAT将会选择一个合适的公有地址来替换内部网络数据包的源地址。在图1-1中选择的是NAT服务器出接口上定义的IP地址。这样所有的内部网络主机访问外部网络时,只拥有这一个公有IP地址。在这种情况下,某一时刻只允许最多一台内部主机访问外部网络,这种情况称为“一对一网络地址转换”。在内部网络的多台主机并发地请求访问外部网络时,“一对一网络地址转换”仅能够实现其中一台主机的访问请求。
NAT也可实现对并发请求的响应。允许NAT服务器拥有多个公有IP地址,当第一台内部主机访问外部网络时,NAT进程选择一个公有地址,并在网络地址转换表中添加记录;当另一台内部主机访问网络时,NAT进程选择另一个公有地址。以此类推,从而满足了多台内部主机并发访问外部网络的请求。这称为“多对多网络地址转换”。
这两种地址转换方式的特点可以参见下面的表1-1。
表1-1 NAT转换形式
|
形式 |
特点 |
|
一对一网络地址转换 |
NAT服务器只拥有一个公有IP地址 某一时刻只允许最多一台内部主机访问外部网络 |
|
多对多网络地址转换 |
NAT服务器拥有多个公有IP地址 可以满足多台内部主机并发访问外部网络的请求 |
& 说明:
NAT服务器拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有的内部主机并不会同时访问外网。公有IP地址的数目,应根据网络高峰期可能访问外网的内部主机数目的统计值来确定。
交换机可以通过定义地址池来实现“多对多网络地址转换”,同时可以利用ACL(访问控制列表)来对网络地址转换进行控制。
(1) 地址池:用于网络地址转换的一些公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际的应用情况,来配置恰当的地址池。在网络地址转换的过程中,NAT进程将会从地址池中挑选出一个地址作为转换后的源地址。
(2) 在实际应用中,我们可能希望只有某些特定的内部主机才具有访问Internet的权利,也即是当NAT进程查看数据包的报头内容时,如果发现源IP地址不在允许访问Internet的地址范围内,它将不会进行网络地址转换。利用与端口的ACL功能相关联的NAT访问规则,就可以对NAT进程进行有效控制,使某些特定的主机才有权利访问Internet。
按照普通的NAT方式,把一个内部主机的地址和一个外部地址一一映射后,在这条映射表项被清除之前,其它内部主机就不能映射到这个外部地址上。
NAPT(Network Address Port Translation,网络地址端口转换)是NAT的一种变形,它允许将多个内部地址映射到同一个公有地址上,达到多台内部主机同时访问外部网络的目的,从而有效节省了公有地址。
NAPT在映射IP地址的同时还对传输层协议端口进行映射,不同的内部地址可以映射到同一个公有地址上,而它们的端口号被映射为该公有地址的不同端口号,也即是说NAPT完成了<私有地址+端口>与<公有地址+端口>之间的转换。
NAPT有时也被称为PAT或Address overloading。
下面的图1-2描述了NAPT的基本原理。
图1-2 NAPT地址复用示意图
如图1-2所示,四个带有内部地址的数据包到达了作为NAT服务器的交换机:
l 数据包1和数据包2来自同一个内部地址但具有不同的源端口号;
l 数据包3和数据包4来自不同的内部地址但具有相同的源端口号。
通过NAPT映射,四个数据包都被转换成同一个公有地址,但每个数据包被赋予了不同的源端口号,因而仍保留了各报文之间的区别。当回应报文到达NAT服务器时,NAT进程仍然能够根据回应报文的目的地址和端口号来区分该报文应转发到的内部主机。
配置nat outbound规则时,允许直接使用与外部网络相连接的VLAN虚接口地址作为NAT转换后的源地址,这种特性称之为Easy IP。在ISP只提供一个公网接口地址或内部主机地址数量不多等情况下,可以使用Easy IP特性来方便的配置NAT。
NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用。但是在实际应用中,可能需要给外部主机提供一些访问内部设备的机会,比如让外部主机能够访问内部网络中的WWW服务器或者FTP服务器。使用NAT可以灵活地添加内部服务器。
例如:
l 用户可以使用202.169.10.10这个公有地址作为内部WWW服务器的地址;
l 用户可以使用202.110.10.11这个公有地址作为内部FTP服务器的地址;
l 用户可以使用甚至可以使用202.110.10.12:8080这个带上端口号的公有地址作为内部WWW服务器的地址。
Comware NAT平台模块不仅实现了一般的网络地址转换功能,同时提供了完善的网络地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。
NAT可支持的特殊协议包括:ICMP(Internet Control Message Protocol,Internet控制报文协议)、DNS(Domain Name System,域名系统)、ILS(Internet Locator Service,Internet定位服务)、H.323、FTP、NetMeeting 3.01。
如表1-2所示,NAT的配置包括:
表1-2 NAT的配置
|
配置任务 |
详细配置 |
|
配置地址池 |
|
|
配置网络地址转换 |
|
|
配置内部服务器 |
|
|
配置非标准的内部FTP服务器 |
|
|
配置NAT黑名单功能 |
|
|
配置地址转换连接的老化时间 |
|
|
配置NAT安全日志 |
地址池是一些连续的公有IP地址集合。在网络地址转换的过程中,NAT服务器会从地址池当中选择某个IP地址作为转换后的源地址。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置地址池 |
nat address-group group-number start-addr end-addr |
必选 |
注意:
l 地址池长度(地址池中包含的所有公有IP地址数)不能超过256。
l NAT地址池中配置的IP地址与内部网络中的IP地址不能重合。
l NAT地址池中配置的IP地址不能包括网段地址、广播地址等非法地址。
l 当某个地址池和某个ACL进行关联后,该地址池不能再被删除。
通过配置ACL和NAT地址池(或接口地址)的关联,可以将匹配ACL规则的数据包进行网络地址转换,否则只对该报文进行三层转发。当内部网络有数据包要发往外部网络时,首先根据ACL判定是否为允许的数据包,然后再根据转换关联找到与之对应的地址池(或接口地址)进行转换。
将ACL和地址池(或接口地址)进行关联是由nat outbound命令配置的。不同形式的网络地址转换,配置方法稍有不同。
使用下面的命令将ACL和地址池进行关联,同时指定处理NAT业务的业务处理板,实现网络地址转换。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置一对一网络地址转换 |
nat outbound acl-number address-group group-number no-pat slot slot-number |
必选 |
关键字no-pat表示只转换数据包的IP地址而不使用TCP/UDP协议中的端口信息,即只实现内部IP地址和外部IP地址一一对应的NAT转换。
使用下面的命令将ACL和地址池进行关联,可实现NAPT转换。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置NAPT转换 |
nat outbound acl-number address-group group-number slot slot-number |
必选 |
l 选择no-pat:只转换数据包的IP地址而不转换端口,即只实现一一对应的网络地址转换。
l 不选择no-pat:启用了NAPT功能,对数据包的IP地址和端口进行转换,实现多对一的网络地址转换。
注意:
当启用NAPT方式转换时,地址池中的地址个数不能超过3个。
如果网络地址转换命令中不带address-group关键字,则实现了Easy IP的特性,即进行网络地址转换时,直接使用VLAN接口上的IP地址作为转换后的源地址。利用ACL可以控制进行NAT转换的内部网络地址。
表1-6 配置Easy IP特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置地址转换的Easy IP特性 |
nat outbound acl-number slot slot-number |
必选 |
注意:
l 对于NAT功能而言,基本ACL(2000~2999)仅支持源IP地址的过滤项,高级ACL(3000~3999)支持源IP地址和目的IP地址的过滤项。其它ACL过滤项暂不支持。
l 配置了nat outbound规则之后,对已经应用的ACL进行的修改(增删rule规则)无效。
l 同一个VLAN接口下的nat outbound规则,只能配置到同一块业务处理板上。
l 当同一个VLAN接口下配置了多个nat outbound规则时,设备将按照规则绑定的acl-number号的大小顺序来确定优先级:acl-number号大的规则先进行匹配;对于同一个ACL,其内部的rule子规则按照配置的顺序决定优先级:配置编号越小,优先级越高。
通过配置内部服务器,可以将相应的外部地址、端口等映射到内部服务器上,实现外部网络的主机访问内部服务器的功能。内部服务器与外部网络主机的映射表是由nat server命令配置的。用户需要输入的信息包括:外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。
表1-7 配置内部服务器
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
|
配置一个内部服务器 |
当使用TCP/UDP协议时 |
nat server protocol pro-type global global-addr global-port inside host-addr host-port slot slot-number |
根据实际需要,选择进行配置 |
|
当使用非TCP/UDP协议时 |
nat server protocol pro-type global global-add inside host-addr slot slot-number |
||
|
配置一组连续的内部服务器 |
nat server protocol pro-type global global-addr global-port1 global-port2 inside host-addr1 host-addr2 host-port slot slot-number |
||
注意:
l 一条nat server命令最多可以配置128个内部服务器。
l 在一个VLAN接口下最多可以配置768条nat server命令。
l 在一个VLAN接口下最多可以配置4096个内部服务器
l 系统最多可以配置1024条nat server命令和4096个内部服务器。
在以上的命令当中,参数global-addr和global-port分别表示提供给外部访问的IP地址和服务端口号,参数host-addr和host-port分别表示服务器在内部网络中的IP地址和提供的服务端口号。对于不使用端口号的非TCP/UDP协议,参数global-port和host-port不出现。
参数host-port的取值范围为0~65535,常用的端口号可以用关键字代替。
例如:WWW服务的端口号为80,可以使用www代替;ftp服务的端口号为21,可以使用ftp代替。如果端口号取值为0,可使用关键字any代替,表明内部服务器可以提供任意服务,目前暂不支持。
& 说明:
l 当内部服务器作为ICMP Server时,如果为其配置的公网IP地址与NAT设备上的VLAN接口IP地址重叠,那么在NAT设备上,将无法ping通外部的公网IP地址。但如果ping时以关键字-a指定了源IP地址,则可以规避这个问题。
l 目前暂不支持对同一NAT连接进行两次地址转换处理。
l 内部网络的用户只能通过私网地址访问内部服务器,不能通过该内部服务器对外公布的公网地址进行访问。
l 当用户使用NetMeeting软件或启用内部FTP服务器时,除了要配置nat server命令外,还需要配置nat outbound命令。具体说明请参见1.3.3 配置网络地址转换。
l 当内部服务器支持FTP、TFTP、7001(msn语音)、ILS和H.323等ALG应用时,应同时使用nat outbound命令配置一个同样的内部IP地址和外部IP地址的转换。
与标准的内部FTP服务器不同,非标准的内部FTP服务器可以使用的私网端口有所扩展。
l 在标准的内部FTP服务器的中,公网端口的取值范围为0~12287,私网端口必须使用端口21;
l 在非标准的内部FTP服务器的中,公网端口的取值范围仍然为0~12287,私网端口的取值范围扩展为0~65535。
注意:
对于非标准的内部FTP服务器,私网端口的取值范围为0~65535,但除FTP的默认端口21以外,不能使用其他知名端口,详见命令行提示符。
表1-8 配置非标准的内部FTP服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置非标准的内部FTP服务 |
nat ftp server global global-addr global-port inside host-addr host-port slot slot-number |
必选 |
通过配置NAT的黑名单相关功能,可以控制用户的连接数量和建链速率,设置连接数量和建链速率的控制阈值。NAT的黑名单相关属性是由nat blacklist系列命令配置的。
表1-9 配置NAT的黑名单功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动指定单板的NAT黑名单功能 |
nat blacklist start slot slot-number |
必选 缺省情况下,不启动黑名单功能 |
|
设置黑名单功能的控制模式 |
nat blacklist mode { all | amount | rate } |
必选 |
|
设置连接数量控制阈值 |
nat blacklist limit amount [ source user-ip ] amount-value |
可选 |
|
设置建链速率控制阈值 |
nat blacklist limit rate [ source ip ] cir cir-value [ cbs cbs-value ebs ebs-value ] |
可选 |
|
设置需要采用特殊的建链速率控制方式的用户IP地址 |
nat blacklist limit rate source user-ip |
可选 |
注意:
l 在系统运行过程中,用户每次进行完黑名单配置(除针对具体源IP地址的黑名单配置外)的修改以后,都必须执行一次reset nat session命令。
l 当设备中存在多块业务处理板时,每块业务处理板独立维护各自的黑名单信息,但用户配置的黑名单命令,将对所有启动了黑名单功能的业务处理板同时生效。
可以使用nat aging-time命令,对通过CPU处理的ALG(Application Layer Gateway,应用层网关)NAT映射表项和通过NP(Network Processor,网络处理器)处理的NAT映射表项分别设定NAT连接的老化时间。当NAT映射表项的老化定时器到时后,该条映射表项就会被从NAT映射表中删除。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置地址转换连接的老化时间 |
nat aging-time { alg time-value | np slow } slot slot-number |
可选 缺省情况下,ALG的老化时间为120秒;NP启用快速老化定时器,老化时间为120秒 |
安全日志用于记录NAT进程中详细的过程信息。
安全日志记录下的内容包括:
l 地址转换前的源IP地址、源端口号
l 地址转换前的目的IP地址、目的端口号
l 地址转换后的源IP地址、源端口号
l NAT进程的起止时间
启动NAT日志功能的命令是ip userlog nat。
表1-11 启动NAT日志功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动NAT日志功能 |
ip userlog nat slot slot-number acl acl-number |
可选 缺省情况下,不启动NAT日志功能 |
如果某个连接活跃的时间超过了设定的时长,NAT进程将对该连接进行日志记录。设置开始记录NAT连接的时长的命令是ip userlog nat active-time。
表1-12 设置记录NAT连接的时长
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置开始记录NAT连接的时长 |
ip userlog nat active-time minutes |
可选 缺省情况下,不启动该功能 |
设置日志输出报文的目的服务器地址和端口号的命令是ip userlog nat export。
表1-13 设置日志输出报文的目的服务器地址和端口号
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置日志输出报文的目的服务器地址和端口号 |
ip userlog nat export [ slot slot-number ] host ip-address udp-port |
可选 缺省情况下,参数ip-address取值为0.0.0.0,表示不启用日志,参数udp-port取值为0 |
如果指定了单板号slot-number,则此设置仅对指定的单板有效,否则对所有的单板有效。
设置日志输出报文的源IP地址的命令是ip userlog nat export source-ip。
表1-14 设置日志输出报文的源IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置日志输出报文的源IP地址 |
ip userlog nat export source-ip src-address |
可选 缺省情况下,日志报文中的源IP地址为0.0.0.0 |
命令ip userlog nat export version用来设置输出的日志报文的版本。
表1-15 设置输出的日志报文的版本
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置输出的日志报文的版本 |
ip userlog nat export version version-number |
可选 缺省情况下,输出的日志报文的版本为1 |
用户可以选择的进行日志记录的方式有两种:
l 仅在NAT连接删除时进行日志记录;
l 在NAT连接建立和删除时都进行日志记录。
命令ip userlog nat mode flow-begin用来设置在创建连接时就开始记录NAT日志。
表1-16 设置记录NAT日志的方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置在创建连接时开始记录日志 |
ip userlog nat mode flow-begin |
可选 缺省情况下,日志记录方式为仅在NAT连接删除时进行记录 |
在完成上述配置后,在任意视图下执行display命令可以显示网络地址转换配置后的运行情况,通过查看显示信息可以验证配置的效果。
在用户视图下执行reset nat session命令可以清除地址转换的映射表。
表1-17 NAT配置的显示
|
操作 |
命令 |
|
显示地址集的配置信息 |
display nat address-group |
|
显示各种协议的NAT表项老化时间 |
display nat aging-time |
|
显示黑名单的相关配置和运行信息 |
display nat blacklist { all | ip [ ip-address ] slot slot-number } |
|
显示所有的NAT关联表项的配置 |
|
|
显示所有内部服务器信息 |
display nat server |
|
显示当前的地址转换记录统计数据 |
display nat statistics slot slot-number |
|
显示系统日志功能的相关配置和统计信息 |
display ip userlog export slot slot-number |
|
显示当前NAT配置的所有信息 |
display nat all |
|
清除内存和NP中地址转换的映射表 |
reset nat session slot slot-number |
如图1-3所示:
l 某公司的一个内部网络在H3C S3600的连接下,要求通过H3C S7506的地址转换功能连接到广域网,访问Internet;
l 内部网络VLAN2中两台PC的私有地址为192.168.1.2和192.168.1.3;
l 在S7506中,实现NAT功能的业务处理板插在第三槽位;
l NAT地址池里有200.18.2.3~200.18.2.5三个合法的公网IP地址;
l VLAN10接口的IP地址为200.18.2.2,子网掩码为255.255.255.252;
l 各个网段之间已配置了静态路由,保证路由可达。
图1-3 NAT配置组网图
(1) 进行H3C S3600的配置。
# 在连接内部网络用户的一端,创建VLAN2和接口,配置IP地址。
<H3C> system-view
[H3C] vlan 2
[H3C-vlan2] port ethernet1/0/1 to ethernet1/0/2
[H3C-vlan2] quit
[H3C] interface vlan-interface 2
[H3C-vlan-interface2] ip address 192.168.1.1 255.255.255.0
# 在连接H3C S7506的一端,创建VLAN3和接口,配置IP地址。
[H3C] vlan 3
[H3C-vlan3] port ethernet1/0/24
[H3C-vlan3] quit
[H3C] interface vlan-interface 3
[H3C-vlan-interface3] ip address 192.168.2.1 255.255.255.252
(2) 进行H3C S7506的配置。
# 在连接H3C S3600的一端,创建VLAN3和接口,配置IP地址。
[H3C] vlan 3
[H3C-vlan3] port ethernet2/0/1
[H3C-vlan3] quit
[H3C] interface vlan-interface 3
[H3C-vlan-interface3] ip address 192.168.2.2 255.255.255.252
# 在连接到Internet的一端,创建VLAN10和接口,配置IP地址。
[H3C] vlan 10
[H3C-vlan10] port ethernet3/0/1
[H3C-vlan10] quit
[H3C] interface vlan-interface 10
[H3C-vlan-interface10] ip address 200.18.2.2 255.255.255.252
# 配置ACL规则。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source any
# 配置标识为0的NAT地址池。
[H3C] nat address-group 0 200.18.2.3 200.18.2.5
# 将ACL和地址池关联起来。
[H3C] interface vlan-interface 10
[H3C-vlan-interface10] nat outbound 2000 address-group 0 slot 3
& 说明:
目前S7500系列交换机中的LS81VSNP单板可实现NetStream功能,为便于描述,手册当中称之为业务处理板。
NetStream提供报文统计功能,它根据报文的目的IP地址、目的端口号、源IP地址、源端口号、协议号和ToS来区分流信息,并针对不同的流信息进行独立的数据统计。
下面的图2-1描述了一个基本的NetStream数据采集和分析过程。
图2-1 NetStream数据采集和分析过程
NetStream数据采集和分析过程如下:
(1) 交换机把采集到的流的详细信息定期发送给NSC(NetStream Collector,网络流数据收集器);
(2) 信息由NSC初步处理后,发送给NDA(NetStream Data Analyzer,网络流数据分析器);
(3) NDA对数据进行分析,分析结果用于计费和网络规划等。
启用NetStream功能后,流信息首先被存储在NetStream缓冲区中进行统计,当到达设定的老化(aging)时间后,系统就将流统计信息通过NetStream统计输出报文(即,流信息经过UDP封装以后产生的报文)发送给NSC,并将该流信息删除。
(1) 进行老化的方式有两种:
l 按活跃时间老化:当一条流的活跃时间(从流创建起到当前时间)超过所配置的时限时,流信息将被老化。
l 按不活跃时间老化:当一条流的不活跃时间(从最后一个报文流过到当前时间)超过所配置的时限时,流信息将被老化。
(2) NetStream使用三种版本(版本5、版本8和版本9)的NetStream统计输出报文来发送老化后的流信息。
& 说明:
如果用户配置了NetStream聚合方式,系统将按照配置的聚合规则对流信息进行分类、合并后生成聚合信息,再通过NetStream统计输出报文发送。
目前系统只支持配置为版本5或版本9:
l 如果配置为版本5:系统将通过版本5的NetStream统计输出报文发送老化后的普通流信息,使用版本8的NetStream统计输出报文发送聚合后的流信息(为简化描述,下文中不再单独出现版本8的报文描述,对于提到的版本5的报文,都请按照此原则为准);
l 如果配置为版本9:系统将通过版本9的NetStream统计输出报文发送老化后的所有流信息。
NetStream的配置包括以下内容:
表2-1 NetStream的配置
|
配置项 |
详细配置 |
|
启动NetStream统计功能 |
|
|
进入NetStream聚合视图 |
|
|
使能当前聚合视图对应的聚合方式 |
|
|
配置统计输出报文的地址信息 |
|
|
配置统计输出报文的版本号和自治系统选项 |
|
|
配置统计输出报文的DSCP值 |
|
|
配置NetStream老化时间 |
|
|
配置版本9报文模板的更新方式 |
& 说明:
目前系统不支持同时启用NetStream功能和L3+流量计费功能。
命令ip netstream inbound/outbound用来把源接口板上的入/出报文镜像到业务处理板上,并启动NetStream统计功能。
表2-2 启动NetStream统计功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动NetStream统计功能 |
ip netstream inbound source srcslot-number to dstslot-number [ acl acl-number ] 或ip netstream outbound source srcslot-number to dstslot-number |
必选 缺省情况下,NetStream统计功能未启动 |
注意:
NetStream配置仅对ACL中动作为permit的子规则有效。
命令ip netstream aggregation用来进入NetStream的聚合视图。
目前,交换机共支持五种聚合方式:
表2-3 NetStream的五种聚合方式
|
聚合方式 |
分类依据 |
|
自治系统聚合(AS) |
源AS号、目的AS号,输出接口索引 |
|
协议-端口聚合(protocol-port) |
协议号、源端口、目的端口 |
|
源前缀聚合(source-prefix) |
源AS号、源地址掩码长度、源前缀 |
|
目的前缀聚合(destination-prefix) |
目的AS号、目的地址掩码长度、目的前缀、输出接口索引 |
|
源和目的前缀聚合(prefix) |
源AS号、目的AS号、源地址掩码长度、目的地址掩码长度、源前缀、目的前缀、输出接口索引 |
系统以所选择的聚合方式作为分类依据,将符合对应聚合方式的多条流信息合并为一条聚合流,对应一条聚合记录。五种聚合方式相互独立,可以同时配置。
表2-4 进入NetStream聚合视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入NetStream聚合视图 |
ip netstream aggregation { as | protocol-port | destination-prefix | prefix | source-prefix } |
必选 |
命令enable用来使能当前聚合视图对应的聚合方式。
表2-5 使能当前聚合视图对应的聚合方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入NetStream聚合视图 |
ip netstream aggregation { as | protocol-port | destination-prefix | prefix | source-prefix } |
- |
|
使能当前聚合视图对应的聚合方式 |
enable |
可选 缺省情况下,不使能任何聚合模式 |
流信息在超出设定的老化时间后被强制老化,老化后的信息通过NetStream统计输出报文发送给NSC。ip netstream export host命令用来配置NetStream统计输出报文的目的主机NSC的地址和UDP端口号;ip netstream export source命令用来配置NetStream统计输出报文的源IP,该IP地址将作为NetStream统计输出报文的源地址。
表2-6 配置统计输出报文的地址信息
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
配置统计输出报文的目的主机地址和UDP端口号 |
全局配置 |
ip netstream export host ip-address udp-port |
可选 缺省情况下: l 系统视图下目的地址为0.0.0.0,目的端口号为0 l 聚合视图下目的地址和目的端口为系统视图下所配置的值 |
|
NetStream聚合视图下的配置 |
ip netstream aggregation { as | protocol-port | destination-prefix | prefix | source-prefix } |
||
|
ip netstream export host ip-address udp-port |
|||
|
配置统计输出报文的源IP地址 |
全局配置 |
ip netstream export source ip-address |
可选 缺省情况下,源IP为0.0.0.0,表示采用统计报文输出的接口IP作为源IP |
|
NetStream聚合视图下的配置 |
ip netstream aggregation { as | protocol-port | destination-prefix | prefix | source-prefix } |
||
|
ip netstream export source ip-address |
|||
命令ip netstream export version用来配置统计输出报文的版本号和自治系统选项。目前交换机能支持进行配置的报文版本号为版本5和版本9。
版本5和版本9的NetStream统计输出报文支持BGP的自治系统选项。用户可以选择是以起始自治系统号(origin-as)还是以相邻最近的自治系统号(peer-as)作为给定IP地址所在的自治系统号。
表2-7 配置统计输出报文的版本号和自治系统选项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置统计输出报文的版本号和自治系统选项 |
ip netstream export version version-number [ origin-as | peer-as ] |
可选 缺省情况下,NetStream统计输出报文的版本号为5,自治系统选项为peer-as |
命令ip netstream export dscp用来配置NetStream统计输出报文的DSCP(Differentiated Services Code Point,差别服务类型编码点)值,系统将按照该值对统计输出报文进行分类。
表2-8 配置统计输出报文的DSCP值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置NetStream统计输出报文的DSCP |
ip netstream export dscp dscp-value |
可选 缺省情况下,dscp-value值为0 |
流信息被缓存在NetStream cache中进行统计,当到达设定的老化时间后,系统就将统计信息用NetStream统计输出报文发送给NSC,并将该流信息删除。
进行老化的方式有两种:
l 按活跃时间老化:当一条流的活跃时间(从流创建起到当前时间)超过所配置的时限时,流信息将被老化。
l 按不活跃时间老化:当一条流的不活跃时间(从最后一个报文流过到当前时间)超过所配置的时限时,流信息将被老化。
表2-9 配置NetStream老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置NetStream活跃老化时间 |
ip netstream timeout active minutes |
可选 缺省情况下,流的活跃老化时间为30分钟 |
|
配置NetStream不活跃老化时间 |
ip netstream timeout inactive seconds |
可选 缺省情况下,NetStream流的不活跃老化时间为60秒 |
注意:
配置老化时间时,活跃老化时间的单位是分钟,而不活跃老化时间的单位是秒。
当系统发送版本9的NetStream统计输出报文后,NSC根据报文中附带的模板(template)来识别报文中的各个信息字段,但模板在一段时间之后可能会发生变化,系统需要根据一定的规则对模板进行更新。
系统进行模板更新的方式有两种:
l 按报文数量更新(配置ip netstream template refresh命令):当发送的报文数量超过所配置的阈值时,系统会向NSC再发送一个最新的模板;
l 按老化时间更新(配置ip netstream template timeout命令):当发送报文的时间超过所配置的老化时间后,系统会向NSC再发送一个最新的模板,并重新开始计时。
表2-10 配置版本9报文模板的更新方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置系统更新template的报文数量阈值 |
ip netstream template refresh packets |
可选 缺省情况下,template的报文数量阈值为20 packets |
|
配置template的老化时间 |
ip netstream template timeout minutes |
可选 缺省情况下,template老化时间为30分钟 |
完成上述配置后,在任意视图下执行相应的display命令可以显示NetStream配置后的运行情况,通过查看显示信息可以验证配置的效果。
在用户视图下执行reset ip netstream statistics命令可以清除指定单板的NetStream统计信息。
表2-11 NetStream配置的显示和调试
|
操作 |
命令 |
|
显示NetStream缓存区的配置和状态信息 |
display ip netstream cache slot slot-number |
|
显示NetStream统计输出报文的信息 |
display ip netstream export slot slot-number |
|
清除NetStream统计信息,同时将流缓存区中所有流信息老化 |
reset ip netstream statistics slot slot-number |
如图1-3所示,在交换机SwitchA上配置NetStream,对接收的报文进行统计。
实现Netstream功能的业务处理板插在交换机的5号槽位。
图2-2 H3C S7506 NetStream配置组网图
# 在5号槽的单板上启动NetStream,统计3号槽接口板上的入报文。
<H3C>system-view
[H3C] ip netstream inbound source 3 to 5
# 在5号槽的单板上启动NetStream,统计2号槽接口板上的入报文,并过滤源地址为192.168.0.5的报文。
[H3C] acl number 2003
[H3C-acl-basic-2003] rule permit source 192.168.0.5 0
[H3C] ip netstream inbound source 2 to 5 acl 2003
# 配置NetStream统计输出报文的源IP。
[H3C] vlan 20
[H3C-vlan20] port GigabitEthernet2/0/5
[H3C-vlan20] quit
[H3C] interface vlan-interface 20
[H3C-vlan-interface20] ip address 12.110.2.1 24
[H3C-vlan-interface20] quit
[H3C] ip netstream export source 12.110.2.1
# 配置NetStream统计输出报文的目的地址和目的端口号。
[H3C] ip netstream export host 12.110.2.2 9991
# 显示配置后NetStream的运行情况。
[H3C] display ip netstream cache slot 5
IP netstream cache information in slot 5
Stream active timeout(minute) : 30
Stream inactive timeout(second): 60
Active stream entry : 1
Stream entry been counted : 100
Last statistics reset time : 8/10/2004, 15:42:12
Protocol Total Packets Stream Packets
Streams /Sec /Sec /stream
UDP-other 93 713510 0 43984487
UDP-NetBios 7 0 0 1
Total 100 713510 0 40905573
# 显示配置后NetStream的统计报文输出情况。
[H3C] display ip netstream export slot 5
IP netstream export information in slot 5
IP netstream is enabled in slot : 2
IP netstream is enabled in slot : 3
Version 5 export information
Stream source address : 12.110.2.1
Stream destination IP(UDP) : 12.110.2.2 (9991)
Exported stream number : 103
Exported UDP datagram number(failed number): 102(0)
& 说明:
目前S7500系列交换机中的LS81VSNP单板可实现策略路由功能,为便于描述,手册当中称之为业务处理板。
普通的路由机制根据报文的目的IP地址来决定一个报文的下一跳信息。策略路由提供了一种更加灵活的确定报文下一跳的机制。根据用户配置,设备在转发报文时可以不仅根据目的IP地址,而且可以根据源IP地址,源、目的端口号,甚至报文的协议类型等信息来确定下一跳。
S7500系列交换机的策略路由通过报文重定向实现,用户可以通过traffic-redirect命令为匹配特定ACL的报文重新选择路由,将其转发到指定VLAN接口或者其他IP地址。
策略路由的配置包括:
表3-1 策略路由的配置
|
操作 |
命令 |
|
定义ACL |
acl |
|
定义子规则 |
rule |
|
配置入接口报文的重定向 |
traffic-redirect inbound ip-group |
|
配置出接口报文的重定向 |
traffic-redirect outbound ip-group |
ACL的相关配置操作参见ACL模块。
表3-2 配置报文重定向
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入VLAN视图 |
vlan vlan-id |
- |
|
|
对匹配ACL规则的入接口报文进行策略路由重定向 |
将报文重定向到指定的VLAN接口 |
traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] interface vlan-interface interface-number [ remark { dscp dscp | { precedence precedence | tos tos}* } ] slot slot-number |
根据实际需要,选择进行配置 |
|
将报文重定向到指定的IP地址 |
traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] next-hop ipaddr &1-3 [ remark { dscp dscp | { precedence precedence | tos tos}* } ] slot slot-number |
||
|
对匹配ACL规则的出接口报文进行策略路由重定向 |
将报文重定向到指定的VLAN接口 |
traffic-redirect outbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] interface vlan-interface interface-number [ remark { dscp dscp | { precedence precedence | tos tos }*} ] slot slot-number |
|
|
将报文重定向到指定的IP地址 |
traffic-redirect outbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] next-hop ipaddr &1-3 [ remark { dscp dscp | { precedence precedence | tos tos } *} ] slot slot-number |
||
& 说明:
策略路由配置仅对ACL中动作为permit的子规则有效。
关于命令的详细描述,请参见本章对应的命令手册。
在完成上述配置后,在任意视图下执行display命令都可以显示配置后策略路由的运行情况。用户可以通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示策略路由的参数设置 |
display qos-vlan [ vlan-id ] traffic-redirect |
相关命令显示信息及说明请参见命令手册。
如图3-1下所示:
l 业务处理板在槽位5
l Host 1的IP地址为1.0.0.1,Host 2的IP地址为2.0.0.1
l 要求将Host 1发出的报文的下一跳都定义为2.0.0.1
注意:
GE2/0/1和GE2/0/2所在VLAN接口必须分别与Host 1和Host 2的IP地址在同一网段。
(1) 定义PC报文的流规则。
# 进入基于数字标识的基本ACL视图,用2000标识。
<H3C S7500>system-view
[H3C S7500] acl number 2000
# 定义Host 1报文的流分类规则。
[H3C S7500-acl-basic-2000] rule 0 permit source 1.0.0.1 0
[H3C S7500-acl-basic-2000] quit
(2) 改变Host 1发出的报文的下一跳。
# 将Host 1发出的报文下一跳都定义为2.0.0.1。
[H3C S7500] vlan 2
[H3C S7500-vlan2] traffic-redirect inbound ip-group 2000 rule 0 next-hop 2.0.0.1 slot 5
[H3C S7500-vlan2] quit
# 显示VLAN2接口配置的策略路由项。
[H3C S7500] display qos-vlan 2 traffic-redirect
Vlan 2 traffic-redirect
Inbound:
Matches: Acl 2000 rule 0 running
Redirected to: next-hop 2.0.0.1 slot 5
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
