02-INT配置
本章节下载: 02-INT配置 (258.63 KB)
INT(In-band Network Telemetry,带内遥测)是一项从设备上采集数据的网络监控技术。设备主动向采集器上送采集数据,提供实时、高速的数据采集功能,达到对网络设备的性能及网络运行情况进行监控的目的。
开启INT功能的网络,被称为INT网络。在该网络中,各节点依次执行如下操作:
(1) 首节点通过在Ingress接口上应用QoS策略,实现将接口上接收到的符合规则的报文镜像到设备内部INT处理器,处理器对报文添加INT标记及时间戳,生成INT报文并发送给中间节点。
(2) 中间节点的Transit接口接收到报文后,根据INT标记自动识别INT报文,并将其上送设备内部INT处理器添加时间戳,然后发送给尾节点。
(3) 尾节点的Egress接口接收到报文后,根据INT标记自动识别INT报文,并将其上送设备内部INT处理器添加时间戳,然后根据指定的IP地址、端口号及VLAN编号对INT报文进行封装,发送给采集器。
(4) 采集器根据INT报文携带的时间戳等信息对链路时延等各项QoS指标进行分析。
在INT网络中,INT报文在尾节点上封装前,报文头中的IP地址并未被修改,与原始报文相同,所以INT报文途经的链路与原始报文相同,最终实现通过INT报文测量链路时延的目的。
图1-1 INT网络
本系列交换机支持作为INT首节点、中间节点和尾节点。
增强型INT功能仅支持在普通网络中部署。
在配置INT功能时,建议先配置中间节点和尾节点,最后配置首节点。
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置当前接口为首节点上的Ingress接口。
telemetry ifa role ingress
缺省情况下,未配置设备接口在INT网络中的角色。
(1) 定义流分类
a. 进入系统视图。
system-view
b. 定义流分类,并进入流分类视图。
traffic classifier classifier-name [ operator { and | or } ]
c. 配置报文匹配规则。
if-match match-criteria
缺省情况下,未定义匹配数据包的规则。
具体规则的配置,请参见“QoS命令”中的if-match命令。
d. 退回系统视图。
quit
(2) 定义流行为
a. 定义流行为,并进入流行为视图。
traffic behavior behavior-name
b. 配置流镜像到INT处理器。
mirror-to ifa-processor [ sampler sampler-name ]
缺省情况下,未配置流镜像到INT处理器。
本命令的详细情况请参见“网络管理和监控命令参考”中的“镜像”。
c. 退回系统视图。
quit
(3) 定义QoS策略
a. 定义QoS策略,并进入QoS策略视图。
qos [ mirroring ] policy policy-name
b. 为流分类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未为流分类指定流行为。
c. 退回系统视图。
quit
(4) 将QoS策略应用在Ingress接口入方向上。
a. 进入接口视图。
interface interface-type interface-number
b. 在接口入方向上应用已创建的QoS策略。
qos apply [ mirroring ] policy policy-name inbound
缺省情况下,未在接口上应用QoS策略。
(5) (可选)显示流镜像到INT处理器的相关配置信息。
display traffic behavior user-defined [ behavior-name ]
(1) 进入系统视图。
system-view
(2) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备接口在INT网络中的角色为transit。
telemetry ifa role transit
缺省情况下,未配置设备接口在INT网络中的角色。
(1) 进入系统视图。
system-view
(2) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备接口在INT网络中的角色为egress。
telemetry ifa role egress
缺省情况下,未配置设备接口在INT网络中的角色。
(1) 进入系统视图。
system-view
(2) 配置INT报文上送采集器时的封装参数。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情况下,未配置INT报文的IP地址、端口号及VLAN编号。
(1) 进入系统视图。
system-view
(2) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
增强型INT功能是对普通型INT功能的优化,主要对如下三方面进行了增强:
· 使用ACL代替QoS策略,简化配置;
· 直接在流量入接口下配置流量动作,代替角色配置;
· 可以采集到尾节点时间戳信息。
增强型INT功能的运行流程如图1-2所示。
· 首节点
原始报文进入入接口,通过ACL对其标记,命中规则的报文被镜像、采样至INT处理器,INT处理器对其插入INT头,生成INT报文。通过内部环回功能将INT报文送回入接口。入接口通过ACL标记出本机环回INT报文,对其加采集信息,查表转发至出接口,出接口收到INT报文后对其加采集信息,发送给INT中间节点。
· 中间节点
INT报文进入入接口,通过ACL标记出INT报文,对命中规则的报文加采集信息,查表转发至出接口,出接口收到INT报文后对其加采集信息,发送给INT尾节点。
· 尾节点
¡ INT报文进入入接口,通过ACL标记出INT报文,命中规则的报文被镜像至INT处理器,INT处理器对其进行封装,然后查表转发至出接口,最后发送给采集器。此部分INT报文携带INT首节点和中间节点的采集信息。
¡ 原始报文进入入接口,通过ACL对其标记,命中规则的报文被镜像、采样至INT处理器,INT处理器对其插入INT头,生成INT报文。通过内部环回功能将INT报文送回入接口。入接口收到环回INT报文,对其加采集信息,查表转发至出接口,出接口收到INT报文,对其加采集信息,发给下一跳设备,由用户网络负责将其送往采集器。此部分INT报文携带INT尾节点的采集信息。
图1-2 增强型INT功能运行示意图
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的原始流量配置镜像至INT处理器动作。
telemetry ifa ifa-id [ acl [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] action mirror-to-processor [ sampler sampler-name ]
缺省情况下,未配置INT动作。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的本地环回INT流量配置添加采集信息动作。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } local-loopback action add-metadata
缺省情况下,未配置INT动作。
如果首节点上配置的镜像至INT处理器动作中引用了ACL,则本步骤中引用的ACL需要与上述ACL配置相同的匹配用户流量特征的规则,并增加匹配INT标志位的规则:rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol为tcp或udp。且匹配用户流量特征和INT标志位需要配置在同一条rule命令中,例如:首节点匹配用户流量特征的ACL中规则为rule permit tcp source 10.0.0.3 0,则本命令引用的ACL中的规则需配置为rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
(1) 进入系统视图。
system-view
(2) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的INT流量配置添加采集信息动作。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } action add-metadata
缺省情况下,未配置INT动作。
如果首节点上配置的镜像至INT处理器动作中引用了ACL,则本步骤中引用的ACL需要与上述ACL配置相同的匹配用户流量特征的规则,并增加匹配INT标志位的规则:rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol为tcp或udp。且匹配用户流量特征和INT标志位需要配置在同一条rule命令中,例如:首节点匹配用户流量特征的ACL中规则为rule permit tcp source 10.0.0.3 0,则本命令引用的ACL中的规则需配置为rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
(1) 进入系统视图。
system-view
(2) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
(1) 进入系统视图。
system-view
(2) 配置INT设备的设备ID。
telemetry ifa device-id address
缺省情况下,INT设备未配置设备ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的INT流量配置镜像至INT处理器动作,并丢弃原始INT报文。
telemetry ifa ifa-id acl user-defined { acl-number | name acl-name } action mirror-to-processor drop
缺省情况下,未配置INT动作。
如果首节点上配置的镜像至INT处理器动作中引用了ACL,则本步骤中引用的ACL需要与上述ACL配置相同的匹配用户流量特征的规则,并增加匹配INT标志位的规则:rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol为tcp或udp。且匹配用户流量特征和INT标志位需要配置在同一条rule命令中,例如:首节点匹配用户流量特征的ACL中规则为rule permit tcp source 10.0.0.3 0,则本命令引用的ACL中的规则需配置为rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
(1) 进入系统视图。
system-view
(2) 配置INT报文上送采集器时的封装参数。
telemetry ifa collector source source-address destination dest-address source-port port destination-port port [ vlan vlan-id ]
缺省情况下,未配置INT报文的IP地址、端口号及VLAN编号。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的原始流量配置镜像至INT处理器动作。
telemetry ifa ifa-id [ acl [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] action mirror-to-processor [ sampler sampler-name ]
缺省情况下,未配置INT动作。
如果首节点上配置的镜像至INT处理器动作中引用了ACL,则本步骤中引用的ACL需要与上述ACL配置相同的匹配用户流量特征的规则。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 对接口入方向的本地环回INT流量配置添加采集信息动作。
telemetry ifa ifa-id acl [ user-defined ] { acl-number | name acl-name } local-loopback action add-metadata
缺省情况下,未配置INT动作。
如果尾节点上配置的镜像至INT处理器动作中引用了ACL,则本步骤中引用的ACL需要与上述ACL配置相同的匹配用户流量特征的规则,并增加匹配INT标志位的规则:rule permit protocol ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0,其中protocol为tcp或udp。且匹配用户流量特征和INT标志位需要配置在同一条rule命令中,例如:首节点匹配用户流量特征的ACL中规则为rule permit tcp source 10.0.0.3 0,则本命令引用的ACL中的规则需配置为rule permit tcp source 10.0.0.3 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0。
(4) 进入系统视图。
system-view
(5) 开启INT功能。
telemetry ifa global enable
缺省情况下,INT功能处于开启状态。
在任意视图下执行display命令可以显示INT的运行情况,通过查看显示信息验证配置的效果。
表1-1 INT显示和维护
操作 |
命令 |
显示接口上QoS策略的配置信息和运行情况(本命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS”) |
(独立运行模式) display qos [ mirroring ] policy interface [ interface-type interface-number ] [ slot slot-number ] inbound (IRF模式) display qos [ mirroring ] policy interface [ interface-type interface-number ] [ chassis chassis-number slot slot-number ] inbound |
显示INT的配置信息 |
display telemetry ifa |
用户网络描述如下:
· Device A、Device B和Device C三层互通;
· 采集器经三层网络与Device C的接口HundredGigE1/0/3连接。
在Device A、Device B和Device C上分别配置普通型INT功能,Device C将INT报文上送采集器,供采集器测量链路时延。
(1) IP地址和单播路由协议的具体配置过程略
(2) 配置Device A
# 配置INT设备ID为10.0.0.1。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 10.0.0.1
# 指定流量的入接口HundredGigE1/0/1为Ingress接口。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa role ingress
[DeviceA-HundredGigE1/0/1] quit
# 创建一个名为samp的采样器,采用随机采样方式,按照2的次方模式采样,采样率为8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 创建类classifier1,匹配目的MAC地址为a08c-fdd7-fd99的报文。
[DeviceA] traffic classifier classifier1
[DeviceA-classifier-classifier1] if-match destination-mac a08c-fdd7-fd99
[DeviceA-classifier-classifier1] quit
# 创建流行为behavior1,动作为流量镜像到INT处理器,并引用采样器samp。
[DeviceA] traffic behavior behavior1
[DeviceA-behavior-behavior1] mirror-to ifa-processor sampler samp
[DeviceA-behavior-behavior1] quit
# 创建QoS策略,命名为ifa1,将流分类classifier1和流行为behavior1进行关联。
[DeviceA] qos policy ifa1
[DeviceA-qospolicy-ifa1] classifier classifier1 behavior behavior1
[DeviceA-qospolicy-ifa1] quit
# 将QoS策略ifa1应用到接口HundredGigE1/0/1的入方向上。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] qos apply policy ifa1 inbound
[DeviceA-HundredGigE1/0/1] quit
# 开启INT功能。
[DeviceA] telemetry ifa global enable
(3) 配置Device B
# 配置INT设备ID为10.0.0.2。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10.0.0.2
# 指定流量的入接口HundredGigE1/0/1为Transit接口。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] telemetry ifa role transit
[DeviceB-HundredGigE1/0/1] quit
# 开启INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置Device C
# 配置INT设备ID为10.0.0.3。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 10.0.0.3
# 指定流量的入接口HundredGigE1/0/1为Egress接口。
[DeviceC] interface hundredgige 1/0/1
[DeviceC-HundredGigE1/0/1] telemetry ifa role egress
[DeviceC-HundredGigE1/0/1] quit
# 配置INT报文上送采集器时的封装参数。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 开启INT功能。
[DeviceC] telemetry ifa global enable
# 查看Device A相关配置是否生效。
[DeviceA] display qos policy interface hundredgige 1/0/1 inbound
Interface: HundredGigE1/0/1
Direction: Inbound
Policy: ifa1
Classifier: c
Operator: AND
Rule(s) :
If-match destination-mac a08c-fdd7-fd99
Behavior: b
Mirroring:
Mirror to the ifa-processor sampler samp
[DeviceA] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.1
Telemetry ifa role:
HundredGigE1/0/1: Ingress
# 查看Device B相关配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.2
Telemetry ifa role:
HundredGigE1/0/1: Transit
# 查看Device C相关配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.3
Telemetry ifa role:
HundredGigE1/0/1: Egress
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
用户网络描述如下:
· Device A、Device B和Device C三层互通;
· 采集器经三层网络与Device C的接口HundredGigE1/0/3连接。
在Device A、Device B和Device C上分别配置增强型INT功能,Device C将携带首节点和中间节采集信息的INT报文上送采集器,同时将携带尾节点采集信息的INT报文与原始报文一同发往用户网络,由用户网络负责将其中的INT报文送往采集器,供采集器测量链路时延。
(1) IP地址和单播路由协议的具体配置过程略
(2) 配置Device A
# 配置INT设备的设备ID为10.0.0.1。
<DeviceA> system-view
[DeviceA] telemetry ifa device-id 10.0.0.1
# 创建一个名为samp的采样器,采用随机采样方式,按照2的次方模式采样,采样率为8。
[DeviceA] sampler samp mode random packet-interval n-power 8
# 创建IPv4基本ACL 2000,并配置规则为匹配源IP地址为192.168.1.2的报文。
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule permit source 192.168.1.2 0
[DeviceA-acl-ipv4-basic-2000] quit
# 对接口HundredGigE1/0/1入方向的原始流量配置镜像至INT处理器动作:引用ACL 2000和采样器samp,对命中ACL规则的原始报文镜像、采样至INT处理器。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
[DeviceA-HundredGigE1/0/1] quit
# 创建用户自定义ACL 5000,并配置规则为匹配源IP地址为192.168.1.2的INT报文。
[DeviceA] acl user-defined 5000
[DeviceA-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceA-acl-user-5000] quit
# 对接口HundredGigE1/0/1入方向的本地环回INT流量配置添加采集信息动作。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa 2 acl user-defined 5000 local-loopback action add-metadata
[DeviceA-HundredGigE1/0/1] quit
# 开启INT功能。
[DeviceA] telemetry ifa global enable
(3) 配置Device B
# 配置INT设备的设备ID为10.0.0.2。
<DeviceB> system-view
[DeviceB] telemetry ifa device-id 10.0.0.2
# 创建用户自定义ACL 5000,并配置规则为匹配源IP地址为192.168.1.2的INT报文。
[DeviceB] acl user-defined 5000
[DeviceB-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceB-acl-user-5000] quit
# 对接口HundredGigE1/0/1入方向的INT流量配置添加采集信息动作。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] telemetry ifa 1 acl user-defined 5000 action add-metadata
[DeviceB-HundredGigE1/0/1] quit
# 开启INT功能。
[DeviceB] telemetry ifa global enable
(4) 配置Device C
# 配置INT设备的设备ID为10.0.0.3。
<DeviceC> system-view
[DeviceC] telemetry ifa device-id 10.0.0.3
# 创建用户自定义ACL 5000,并配置规则为匹配源IP地址为192.168.1.2的INT报文。
[DeviceC] acl user-defined 5000
[DeviceC-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceC-acl-user-5000] quit
#对接口HundredGigE1/0/1入方向的INT流量配置镜像至INT处理器动作,并丢弃原始INT报文。
[DeviceC] interface hundredgige 1/0/1
[DeviceC-HundredGigE1/0/1] telemetry ifa 1 acl user-defined 5000 action mirror-to-processor drop
[DeviceC-HundredGigE1/0/1] quit
# 配置INT报文上送采集器时的封装参数。
[DeviceC] telemetry ifa collector source 20.0.0.2 destination 30.0.0.1 source-port 12 destination-port 14
# 创建一个名为samp的采样器,采用随机采样方式,按照2的次方模式采样,采样率为8。
[DeviceC] sampler samp mode random packet-interval n-power 8
# 创建IPv4基本ACL 2000,并配置规则为匹配源IP地址为192.168.1.2的报文。
[DeviceC] acl basic 2000
[DeviceC-acl-ipv4-basic-2000] rule permit source 192.168.1.2 0
[DeviceC-acl-ipv4-basic-2000] quit
# 对接口HundredGigE1/0/1入方向的原始流量配置镜像至INT处理器动作:引用ACL 2000和采样器samp,对命中ACL规则的原始报文镜像、采样至INT处理器。
[DeviceC] interface hundredgige 1/0/1
[DeviceC-HundredGigE1/0/1] telemetry ifa 2 acl 2000 action mirror-to-processor sampler samp
[DeviceC-HundredGigE1/0/1] quit
# 创建用户自定义ACL 5000,并配置规则为匹配源IP地址为192.168.1.2的INT报文。
[DeviceA] acl user-defined 5000
[DeviceA-acl-user-5000] rule permit tcp source 192.168.1.2 0 ifa l5 aaaaaaaabbbbbbbb ffffffffffffffff 0
[DeviceA-acl-user-5000] quit
# 对接口HundredGigE1/0/1入方向的本地环回INT流量配置添加采集信息动作。
[DeviceA] interface hundredgige 1/0/1
[DeviceA-HundredGigE1/0/1] telemetry ifa 3 acl user-defined 5000 local-loopback action add-metadata
# 开启INT功能。
[DeviceC] telemetry ifa global enable
# 查看Device A相关配置是否生效。
[DeviceA] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.1
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl 2000 action mirror-to-processor sampler samp
Telemetry ifa 2 acl user-defined 5000 local-loopback action add-metadata
# 查看Device B相关配置是否生效。
[DeviceB] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.2
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl user-defined 5000 action add-metadata
# 查看Device C相关配置是否生效。
[DeviceC] display telemetry ifa
Telemetry ifa status: Enabled
Telemetry ifa device-id: 10.0.0.3
Telemetry ifa action:
HundredGigE1/0/1:
Telemetry ifa 1 acl user-defined 5000 action mirror-to-processor drop
Telemetry ifa 2 acl 2000 action mirror-to-processor sampler samp
Telemetry ifa 3 acl user-defined 5000 local-loopback action add-metadata
Telemetry ifa collector:
Source IP: 20.0.0.2
Destination IP: 30.0.0.1
Source-port: 12
Destination-port: 14
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!