03-Flow Group配置
本章节下载: 03-Flow Group配置 (188.23 KB)
目 录
Flow Group是一种流表模板。用户可以为Flow Group指定流表的生成规则,设备依据流表生成规则提取流量特征(这里指报文头中的相关信息,例如五元组等),生成流表。
具体工作机制如下:
(1) 创建Flow Group。
(2) 引用ACL:通过ACL对流量进行过滤,Flow Group仅对命中ACL的流量进行流表学习。
(3) 配置流表的生成规则。
(4) (可选)配置流表的老化时间:如果某条表项在老化时间内未收到任何报文,则认为本条表项老化,删除该条表项。
(5) 应用Flow Group。
图1-1 流表生成示意图
Flow Group生成的流表可以作为基础数据提供给其他功能使用。不同模式的Flow Group为不同功能提供基础数据:
· 普通MOD模式的Flow Group:为MOD功能提供基础数据,会占用设备的硬件表项资源,但对CPU造成的负担较小。
· 简化版MOD模式的Flow Group:为MOD功能提供基础数据,会对CPU造成较大负担,但节省了硬件表项资源。
· 时延监控模式的Flow Group:监控报文转发时延超过阈值时,会生成流表项,并通过gRPC协议上报事件。该模式下,需要同时配置gRPC Dial-out功能,并在传感器组内添加采样路径telemetryftrace/genevent。关于gRPC的配置,请参见“Telemetry配置指导”中的“gRPC”。
· 普通MOD+时延监控模式的Flow Group:为MOD功能提供基础数据,同时监控报文转发时延是否超过阈值。该模式下,需要同时配置MOD功能和gRPC Dial-out功能,并在传感器组内添加采样路径telemetryftrace/genevent。
有关MOD的详细介绍,请参见“Telemetry配置指导”中的“MOD”。
对于S12500G-AF S系列交换机,仅SF系列接口板支持时延监控模式的Flow Group。
在配置Flow Group引用的ACL时需要注意:
· 一个Flow Group仅支持引用一个ACL。
· 由于一条流只能属于一个Flow Group,所以在配置ACL时请保证不要将同一条流引至多个Flow Group。
有关ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
如果需要删除已应用的Flow Group,必须先取消其应用,再删除该Flow Group。
设备当前仅支持同时启用同一种模式的Flow Group。
设备无法通过Flow Group监控报文外层目的端口为4789或6081的VXLAN数据流量,否则Flow Group生成的流表表项信息里无法正确显示流量的源和目的端口信息。
Flow Group生成的流表项不会显示三层以太网子接口或聚合子接口上的流量信息,流量信息会被统计到主接口。
(1) 进入系统视图。
system-view
(2) 创建Flow Group,并进入Flow Group视图。
telemetry flow-group group-id [ name group-name ] [ mode { delay-monitor | mod-delay-monitor | simple-mod } ]
缺省情况下,不存在Flow Group。
(3) 引用ACL。
if-match acl [ ipv6 | mac ] { acl-number | name acl-name }
缺省情况下,未引用ACL。
(4) 配置流表的生成规则。
template { destination-ip | destination-port | protocol | source-ip | source-port | vxlan { inner-destination-ip | inner-destination-port | inner-protocol | inner-source-ip | inner-source-port | vxlan-id } * } *
缺省情况下,未配置流表的生成规则。
对于SF系列接口板,如果在Flow Group视图下通过if-match acl命令引用了IPv4 ACL,则本命令支持配置的参数为destination-ip、source-ip、inner-destination-ip、inner-source-ip和vxlan-id,其中inner-destination-ip表示VXLAN报文的内层目的IP地址,inner-source-ip表示VXLAN报文的内层源IP地址,vxlan-id表示VXLAN ID。
对于SF系列接口板:
¡ 如果要统计设备转发的VXLAN报文,则本命令只能配置非VXLAN相关字段,根据报文的目的IP等信息来生成流表。
¡ 如果要统计设备解封装的VXLAN报文,则本命令只能配置VXLAN相关字段。
(5) 退回系统视图。
quit
(6) (可选)配置流表的老化时间。
telemetry flow-group aging-time aging-time
缺省情况下,流表的老化时间为15分钟。
(7) (可选)配置流表表项的最大值。
telemetry flow-group max-entry max-entries
缺省情况下,未配置流表表项的最大值。
(8) (可选)配置Flow Group的报文转发时延阈值。
telemetry flow-group delay-threshold threshold
缺省情况下,未配置Flow Group的报文转发时延阈值,Flow Group会监控所有报文。如果配置了时延监控模式、普通MOD+时延监控模式的Flow Group,则所有满足匹配条件的报文都会生成流表项。
本命令仅对时延监控模式、普通MOD+时延监控模式的Flow Group生效。
(9) 应用Flow Group。
telemetry apply flow-group { group-id | name group-name }
缺省情况下,未应用Flow Group。
在完成上述配置后,在任意视图下执行display命令可以显示Flow Group配置后的运行情况,通过查看显示信息验证配置的效果。
表1-1 Flow Group显示和维护
操作 |
命令 |
显示Flow Group的配置信息和下发状态 |
(独立运行模式) display telemetry flow-group [ group-id | name group-name ] [ slot slot-number ] (IRF模式) display telemetry flow-group [ group-id | name group-name ] [ chassis chassis-number slot slot-number ] |
显示Flow Group生成的流表表项信息 |
(独立运行模式) display telemetry flow-group flow-table [ [ group-id | name group-name ] | delay-monitor | mod ] [ destination-ip { dst-ipv4 | dst-ipv6 } | destination-port dst-port | protocol protocol | source-ip { src-ipv4 | src-ipv6 } | source-port src-port | vxlan [ inner-destination-ip { dst-ipv4 | dst-ipv6 } | inner-destination-port dst-port | inner-protocol protocol | inner-source-ip { src-ipv4 | src-ipv6 } | inner-source-port src-port | vxlan-id vxlan-id ] * ] * { slot slot-number } (IRF模式) display telemetry flow-group flow-table [ [ group-id | name group-name ] | delay-monitor | mod ] [ destination-ip { dst-ipv4 | dst-ipv6 } | destination-port dst-port | protocol protocol | source-ip { src-ipv4 | src-ipv6 } | source-port src-port | vxlan [ inner-destination-ip { dst-ipv4 | dst-ipv6 } | inner-destination-port dst-port | inner-protocol protocol | inner-source-ip { src-ipv4 | src-ipv6 } | inner-source-port src-port | vxlan-id vxlan-id ] * ] * { chassis chassis-number slot slot-number } |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!