- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-IPv6 NetStream配置
本章节下载: 05-IPv6 NetStream配置 (334.59 KB)
目 录
1.7 配置IPv6 NetStream统计接口出方向的IPsec加密的报文功能
1.9 配置IPv6 NetStream输出报文版本9模板的刷新率
1.11.1 配置IPv6 NetStream普通流的统计信息输出
1.11.2 配置IPv6 NetStream聚合流的统计信息输出
IPv6 NetStream技术是一种基于流的统计技术,可以对网络中的业务流量进行统计和分析。它将具有相同特征的报文作为一条流,对各个流进行统计,记录流的统计信息并输出。也可以把多个具有某些相同特征的流聚合成一条聚合流,记录聚合流的统计信息并输出。
一个典型的IPv6 NetStream系统由NDE(NetStream Data Exporter,网络流数据输出者)、NSC(NetStream Collector,网络流数据收集者)和NDA(NetStream Data Analyzer,网络流数据分析者)三部分组成。
· NDE
NDE根据八元组对网络流进行分类,提取符合条件的流进行统计,并将统计信息输出给NSC设备。输出前也可对数据进行一些处理,比如聚合。配置了IPv6 NetStream功能的设备在IPv6 NetStream系统中担当NDE角色。
· NSC
NSC通常为运行于Unix或者Windows上的一个应用程序,负责解析来自NDE的报文,把统计数据收集到数据库中,可供NDA进行解析。NSC可以采集多个NDE设备输出的数据。
· NDA
NDA是一个网络流量分析工具,它从NSC中提取统计数据,进行进一步的加工处理,生成报表,为各种业务提供依据(比如流量计费、网络规划,攻击监测)。NDA可以提取多个NSC中的数据。通常,NDA具有图像化用户界面,可以使用户方便地获取、显示和分析收集到的数据。
NSC和NDA可以集成在一台NetStream服务器上。
图1-1 IPv6 NetStream系统中的设备角色
IPv6 NetStream流老化是设备向NetStream服务器输出流统计信息的一种手段。当设备开启IPv6 NetStream功能后,流统计信息首先会被存储在设备的IPv6 NetStream缓冲区中。当存储在设备上的IPv6 NetStream流统计信息老化后,设备会把缓冲区中的流统计信息通过指定版本的IPv6 NetStream输出报文发送给NetStream服务器,同时清除缓冲区中的对应信息。
IPv6 NetStream流老化有按时老化和强制老化两种方式。
按时老化分为以下两种方式:
· 流的不活跃老化:从采集到的最后一个报文开始,该流在指定的时间内没有被采集到,那么设备会向NetStream服务器输出该流的统计信息,这种老化称为流的不活跃老化。通过这种老化,可以清除设备上IPv6 NetStream缓冲区中的无用表项,充分利用统计表项资源。
· 流的活跃老化:从采集到的第一个报文开始,该流在指定的时间内能被采集到。活跃时间超过设定的时长后,需要输出该流的统计信息,这种老化称为流的活跃老化。设备向NetStream服务器输出流的统计信息后,因为该流还存在,所以设备会继续统计该流。这种老化方式是设备定期向NetStream服务器输出流统计信息的一种机制。
强制老化分为以下两种方式:
· 手工强制老化:执行命令强制将IPv6 NetStream缓冲区中所有流老化、输出,并清空IPv6 NetStream缓冲区信息。
· 最大数目老化:当IPv6 NetStream流缓存区中流表项的数目达到指定的最大数目时,强制老化部分流表项或禁止新建流表项。
普通流输出是指所有流的统计信息都要被统计。在流老化后,每条流的统计信息都要输出到NetStream服务器。
普通流输出的优点是NetStream服务器可以得到每条流的详细统计信息。但是缺点也是很明显的,这种方式增加了网络带宽和设备的CPU占有率,而且为了存储这些信息,需要大量的存储介质空间,而很多情况下,用户并不需要获取所有流的统计信息。
聚合流输出是指设备对与聚合关键项完全相同的流统计信息进行汇总,从而得到对应的聚合流统计信息,并且将该聚合统计信息发送到相应的接收聚合统计信息的NetStream服务器。聚合的最大好处是可以减少对网络带宽的占用。
目前,聚合流输出支持的聚合方式如表1-1所示。系统根据聚合方式的聚合关键项,将聚合关键项相同的多条流统计信息合并为一条聚合流的统计信息,对应一条聚合记录。每种聚合方式相互独立,可以同时配置。
|
聚合方式 |
聚合关键项 |
|
自治系统聚合(as) |
源AS号、目的AS号、输入接口索引、输出接口索引 |
|
协议-端口聚合(protocol-port) |
协议号、源端口、目的端口 |
|
源前缀聚合(prefix) |
源AS号、源掩码长度(源IP的掩码长度)、源前缀(源IP的网络地址)、输入接口索引 |
|
目的前缀聚合(destination-prefix) |
目的AS号、目的掩码长度、目的前缀、输出接口索引 |
|
源和目的前缀聚合(source-prefix) |
源AS号、目的AS号、源掩码长度(源IP的掩码长度)、目的掩码长度、源前缀(源IP的网络地址)、目的前缀、输入接口索引、输出接口索引 |
|
BGP下一跳聚合(bgp-nexthop) |
BGP下一跳地址、输出接口索引 |
· 在统计AS域号时,如果流量没有按照BGP的路由表进行转发,则系统无法统计出AS域号。
· 在统计BGP下一跳地址时,如果流量没有按照BGP的路由表进行转发,则系统无法统计出BGP下一跳地址。
目前IPv6 NetStream输出的报文为版本9:基于模板方式,模板可在遵循RFC定义的模板格式的前提下自定义。版本9支持聚合流输出,对BGP下一跳信息的统计输出。
IPv6 NetStream可以与ACL(Access Control List,访问控制列表)配合使用,IPv6 NetStream只统计符合ACL筛选出的报文。通过这种方式可以使IPv6 NetStream只对用户关注的数据进行统计,更能满足用户多样的统计要求。有关ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
IPv6 NetStream可以与Sampler(采样器)配合使用。通过设定适当的采样间隔,不但减少了统计的报文数量,也可以保证收集到的统计信息基本正确地反映整个网络流的状况。另外,采样还可以减小对设备转发性能造成的影响。有关Sampler的详细介绍,请参加“网络管理和监控配置指导”中的“Sampler”。
与IPv6 Netstream相关的协议规范有:
RFC 5101:Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
|
F5000-V系列 |
F5000-V30 |
不支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
不支持 |
|
插卡 |
LSCM2FWDSD0、LSPM6FWD、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1 |
不支持 |
|
IM-NGFWX-IV、LSCM1FWDSD0、LSPM6FWDB、LSQM1FWDSC0、LSUM1FWDEC0、LSWM1FWD0、LSXM1FWDF1 |
支持 |
|
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
IPv6 NetStream配置任务如下:
(2) (可选)配置IPv6 NetStream过滤功能
(3) (可选)配置IPv6 NetStream采样功能
(4) (可选)配置IPv6 NetStream统计接口出方向的IPsec加密的报文功能
(5) (可选)配置IPv6 NetStream输出报文格式
(6) (可选)配置IPv6 NetStream输出报文版本9模板的刷新率
(7) (可选)配置IPv6 NetStream的流老化
b. (可选)配置IPv6 NetStream聚合流的统计信息输出
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口的IPv6 NetStream功能。
ipv6 netstream { inbound | outbound }
缺省情况下,IPv6 NetStream功能处于关闭状态。
IPv6 NetStream过滤使用ACL来对报文进行过滤:
· 如果想通过IPv6 NetStream只采集特定流的数据,配置ACL规则允许这些流通过。
· 如果想让IPv6 NetStream不采集特定流的数据,配置ACL规则禁止这些流通过。
如果在设备上同时配置IPv6 NetStream过滤和采样功能,设备会先过滤报文,然后进行采样。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv6 NetStream过滤功能。
ipv6 netstream { inbound | outbound } filter acl ipv6-acl-number
缺省情况下,过滤功能处于关闭状态,此时统计流经指定接口的所有IPv6报文。
设备开启NetStream功能后,缺省情况下不会对流量进行采样,即对所有业务流量都进行统计和分析,此时会消耗大量设备硬件资源,使CPU利用率过高。建议在满足NetStream收集到的统计信息能基本反映整个网络的状况的前提下,开启NetStream采样功能并配置合适的采样率,避免过多的设备硬件资源消耗对设备转发性能造成影响。采样器中的rate值设置的越大,对设备性能的影响就越小。
如果在设备上同时配置过滤和采样,设备会先过滤后采样报文。
(1) 进入系统视图。
system-view
(2) 创建采样器。
sampler sampler-name mode { fixed | random } packet-interval n-power rate
关于采样器的详细介绍请参见“网络管理和监控配置指导”中的“Sampler”。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启IPv6 NetStream采样功能。
ipv6 netstream { inbound | outbound } sampler sampler-name
缺省情况下,IPv6 NetStream采样功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口出方向的IPv6 NetStream功能。
ipv6 netstream outbound
缺省情况下,接口的出方向的IPv6 NetStream功能处于关闭状态。
(4) 开启IPv6 NetStream统计接口出方向的IPsec加密前的报文功能,并关闭IPv6 NetStream统计接口出方向的IPsec加密后的报文功能。
ipv6 netstream ipsec raw-packet
缺省情况下,IPv6 NetStream统计接口出方向的IPSec加密前的报文功能处于关闭状态,IPv6 NetStream统计接口出方向的IPSec加密后的报文功能处于开启状态。
用户可以通过配置IPv6 NetStream输出报文的格式,进一步明确需要统计的选项(如确定记录的自治系统号及是否记录BGP下一跳地址)。
IPv6 NetStream统计输出报文还支持BGP下一跳选项,用户可以选择是否在流信息中记录BGP下一跳地址。
IPv6 NetStream流统计信息中会记录流的源IP地址及其对应的自治系统号、目的IP地址及其对应的自治系统号。设备会根据用户配置的自治系统参数来确定记录的自治系统号。自治系统参数包括origin-as(起始自治系统)和peer-as(邻接自治系统):
· origin-as表示流统计信息中记录的自治系统号为起始自治系统号。
· peer-as表示流统计信息中记录的自治系统号为邻接自治系统号。
如图1-2所示,有一条数据流从AS 20开始,依次经过AS 21、AS 22、AS 23,到达AS 24。如果配置参数origin-as,那么流统计信息中记录该流的源AS为20,目的AS为24。如果配置参数peer-as,那么流统计信息中记录该流的源AS为21,目的AS为23。
(1) 进入系统视图。
system-view
(2) 配置IPv6 NetStream统计输出报文版本9以及其自治系统选项、BGP下一跳选项。请选择其中一项进行配置。
ipv6 netstream export version 9 { origin-as | peer-as } [ bgp-nexthop ]
缺省情况下,IPv6 NetStream统计输出报文使用版本9,记录邻接自治系统(peer-as)信息,不记录BGP下一跳信息。
版本9是基于模板方式的、支持自定义格式的输出报文版本(即可以决定输出报文的内容)。由于NetStream服务器不会永久保存模板,所以设备需要定期通知NetStream服务器最新的版本9模板格式。用户可以根据实际情况,配置版本9模板的刷新率(包括包刷新率和时间刷新率),及时更新模板。当同时配置包刷新率和时间刷新率时,只要满足任意一个刷新条件,设备就会将激活的模板发送给NetStream服务器。
(1) 进入系统视图。
system-view
(2) 配置IPv6 NetStream统计输出报文版本9模板的刷新率。
ipv6 netstream export v9-template refresh-rate { packet packets | time minutes }
缺省情况下,每隔20个包刷新一次版本9模板;每隔30分钟刷新一次版本9模板。
(1) 进入系统视图。
system-view
(2) 配置流的活跃老化时间。
ipv6 netstream timeout active minutes
缺省情况下,流的活跃老化时间为30分钟。
(3) 配置流的不活跃老化时间。
ipv6 netstream timeout inactive seconds
缺省情况下,流的不活跃老化时间为30秒。
(1) 进入系统视图。
system-view
(2) 配置IPv6 NetStream流缓存区中流表项的最大数目及达到最大数目时的处理方式。
ipv6 netstream max-entry { max-entries | aging | disable-caching }
本命令的缺省情况与设备型号有关,具体请参见命令参考。
(3) 退回用户视图。
quit
(4) 将流缓存区中所有流强制老化,并清除IPv6 NetStream缓冲区的状态信息和输出报文信息。
reset ipv6 netstream statistics
(1) 进入系统视图。
system-view
(2) 配置IPv6 NetStream普通流统计信息输出的目的地址和目的UDP端口号。
ipv6 netstream export host { ipv4-address | ipv6-address } udp-port [ vpn-instance vpn-instance-name ]
缺省情况下,系统视图下未配置目的地址和目的UDP端口号。
(3) (可选)配置IPv6 NetStream统计输出报文的源接口。
ipv6 netstream export source interface interface-type interface-number
缺省情况下,采用统计输出报文的出接口(即与服务器相连的接口)作为源接口。
建议使用网管口作为源接口与服务器相连,并向服务器输出统计信息。
(4) (可选)配置输出速率限制。
ipv6 netstream export rate rate
缺省情况下,IPv6 NetStream统计输出报文的输出速率不受限制。
设备会通过软件对与聚合关键项完全相同的流的统计信息进行汇总。
在聚合视图下,用户配置的IPv6 NetStream统计输出报文的输出属性,仅对聚合报文生效;而系统视图下的配置对普通报文生效,并且当聚合视图下未配置以上属性时,也会对聚合报文生效。
(1) 进入系统视图。
system-view
(2) 进入IPv6 NetStream聚合视图并指定流聚合方式。
ipv6 netstream aggregation { as | bgp-nexthop | destination-prefix | prefix | protocol-port | source-prefix }
缺省情况下,未配置IPv6 NetStream流聚合方式。
(3) 开启聚合视图对应的聚合功能。
enable
缺省情况下,当前聚合视图对应的聚合功能处于关闭状态。
(4) 配置IPv6 NetStream聚合统计信息输出的目的地址和目的UDP端口号。
ipv6 netstream export host { ipv4-address | ipv6-address } udp-port [ vpn-instance vpn-instance-name ]
缺省情况下,未配置目的地址和目的UDP端口号。
为了减少对网络带宽的占用,可以只在聚合视图下配置本命令,此时设备只会输出聚合流信息。
(5) (可选)配置IPv6 NetStream聚合统计信息输出的源接口,系统会将IPv6 NetStream统计输出报文的源IPv6地址设置为该接口的IPv6地址。
ipv6 netstream export source interface interface-type interface-number
缺省情况下,采用统计输出报文的出接口IPv6地址作为源接口的IPv6地址。
不同聚合视图下可以配置不同的源接口。
聚合视图下若未配置源接口,则使用系统视图下的配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPv6 NetStream的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPv6 NetStream的统计信息。
表1-2 IPv6 NetStream显示和维护
|
操作 |
命令 |
|
查看IPv6 NetStream流表项信息 |
display ipv6 netstream cache [ verbose ] [ type { ip | ipl2 | l2 } ] [ destination destination-ip | destination-port destination-port | interface interface-type interface-number | protocol protocol | source source-ip | source-port source-port ] * [ arrived-time start-date start-time end-date end-time ] [ slot slot-number ] |
|
查看保存到本地的IPv6 Netstream流表项信息 |
display ipv6 netstream cache archive [ verbose ] [ type { ip | ipl2 | l2 } ] [ destination destination-ip | destination-port destination-port | interface interface-type interface-number | protocol protocol | source source-ip | source-port source-port ] * [ arrived-time start-date start-time end-date end-time ] [ slot slot-number ] |
|
查看IPv6 NetStream统计输出报文信息 |
display ipv6 netstream export |
|
查看IPv6 NetStream模板的配置和状态信息 |
display ipv6 netstream template [ slot slot-number ] |
|
将流缓存区中所有流强制老化,并清除IPv6 NetStream缓冲区的状态信息和输出报文信息 |
reset ipv6 netstream statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
