12_流量监控操作.pdf

《12_流量监控操作.pdf》由会员分享，可在线阅读，更多相关《12_流量监控操作.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、流量监控操作流量监控操作 目录目录 1 目录目录 第第 1 章章 镜像镜像 .1-11.1 镜像介绍镜像介绍.1-11.2 镜像配置任务序列镜像配置任务序列 .1-11.3 镜像举例镜像举例.1-21.4 镜像排错帮助镜像排错帮助 .1-2第第 2 章章 RSPAN配置配置 .2-12.1 RSPAN简介简介 .2-12.2 RSPAN配置任务序列配置任务序列 .2-22.3 RSPAN典型案例典型案例 .2-32.4 RSPAN排错帮助排错帮助 .2-6第第 3 章章 sFlow配置配置 .3-13.1 sFlow介绍介绍.3-13.2 sFlow配置任务序列配置任务序列 .3-13.3 s

2、Flow举例举例.3-33.4 sFlow排错帮助排错帮助 .3-3 流量监控操作流量监控操作 第第 1 章章 镜像镜像 1-1 第第1章章 镜像镜像 1.1 镜像介绍镜像介绍 镜像功能包括端口镜像功能，流镜像功能。端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口；其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口。通常在镜像目的端口处连接一个协议分析仪（如 Sniffer）或者 RMON 监测仪，可以监视和管理网络，并且能诊断网络故障。流镜像功能是指交换机把端口的指定规则的接收的数据帧完全复制给一个端口，其中指定规则只有为 permit 时流镜像才能生效

3、。机架式交换机支持最多 4 个镜像目的端口，每个板卡上允许设置一个镜像 session 的源或者目的端口，对于盒式交换机目前能设置多个镜像 session。镜像源端口则没有使用上的限制，可以是 1 个也可以是多个，多个源端口可以在相同的 VLAN，也可以在不同 VLAN。目的端口和源端口可以在不同的 VLAN。1.2 镜像配置任务序列镜像配置任务序列 1.指定镜像目的端口 2.指定镜像源端口 3.指定流镜像源 1.指定镜像目的端口指定镜像目的端口 命令 解释 全局配置模式 monitor session destination interface no monitor session dest

4、ination interface 指定镜像目的端口；本命令的no 操作为删除镜像目的端口。2.指定镜像源端口指定镜像源端口 3.指定流镜像指定流镜像源源 命令 解释 全局配置模式 monitor session source interface rx|tx|both no monitor session source interface 指定镜像源端口；本命令的 no操作为删除镜像源端口。流量监控操作流量监控操作 第第 1 章章 镜像镜像 1-2 1.3 镜像举例镜像举例 案例：案例：用户有如下的配置需求：为了在端口 1/0/1 监测端口 1/0/7 接收的数据帧和端口 1/0/9 发出的数

5、据帧，端口 1/0/15 的符合规则 120（源 IP 为 1.2.3.4,目的 IP 为 5.6.7.8）的入口的数据帧，通过配置镜像来达到这个目的。配置修改：配置修改：1：配置端口 1/0/1 为该镜像的镜像目的；2：配置端口 1/0/7 的入口方向和端口 1/0/9 的出口方向为镜像源；3：配置规则 120；4：配置端口 15 的入口绑定规则 120。配置步骤如下：配置步骤如下：Switch(config)#monitor session 4 destination interface ethernet 1/0/1 Switch(config)#monitor session 4 sou

6、rce interface ethernet 1/0/7 rx Switch(config)#monitor session 4 source interface ethernet 1/0/9 tx Switch(config)#access-list 120 permit tcp 1.2.3.4 0.0.0.255 5.6.7.8 0.0.0.255 Switch(config)#monitor session 4 source interface ethernet 1/0/15 access-list 120 rx 1.4 镜像排错帮助镜像排错帮助 当配置镜像功能出现问题时，请检查是否是如

7、下原因：镜像目的端口是端口聚合组成员；如果是，请修改端口聚合组。镜像目的端口的吞吐量小于镜像源端口吞吐量的总和，目的端口无法完全复制源端口的流量；请减少源端口的个数或复制单向的流量，或者选择吞吐量更大的端口作为目的端口。镜像目的端口不能划入Isolate vlan，否则将影响跨VLAN镜像。命令 解释 全局配置模式 monitor session source interface access-group rx|tx|both no monitor session source interface access-group 指定流镜像源端口及应用规则；本命令的 no 操作为删除流镜像源端口。流

8、量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-1 第第2章章 RSPAN配置配置 2.1 RSPAN简介简介 端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口。其中被复制的端口称为镜像源端口，复制到的端口称为镜像目的端口。镜像功能的出现，给网管人员诊断网络故障带了很大的方便。但美中不足的是，它只局限于镜像源端口和镜像目的端口处于同一交换机的情况。RSPAN（remote switched port analyzer，远程交换端口分析），即远程端口镜像，突破了镜像源和目的端口必须处于同一交换机的限制，使镜像源端口和镜像目的端口可以在不同的网络设备

9、上，从而方便网管人员对远程交换机设备进行管理。在远程镜像的 vlan 上不能进行业务流的传输。实现了 RSPAN 功能的交换机分为三种：1.源交换机：被监测的端口所在的交换机，负责将需要镜像的流量在 Remote VLAN上做二层转发，转发给中间交换机或目的交换机。2.中间交换机：网络中处于源交换机和目的交换机之间的交换机，把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连，则不存在中间交换机。3.目的交换机：远程镜像目的端口所在的交换机，将从 Remote VLAN 接收到的镜像流量通过镜像目的端口转发给监控设备。在配置源交换机的 rspan 镜像时可以采用反射端

10、口或直接镜像到目的端口的方式。在目的交换机端将 RSPAN vlan 上的数据发送到 RSPAN 目的端口。我们采用一般模式和高级模式两种，其中一般作为默认方法，适合一般用户。高级模式，适合高级用户。1.高级模式特性：RSPAN vlan 的数据重定向到 RSPAN 目的端口需要 RSPAN 链路的中间和目的设备支持流的重定向的功能。2.一般模式特性：RSPAN 目的端口划入 RSPAN vlan，这样 RSPAN 的数据直接广播到目的端口。目的端口局限于 RSPAN vlan，源端口不能配置广播抑制。需要小心配置各个 Trunk 端口，防止 RSPAN 数据向其他网络转发。由于采用一般方式，

11、占用资源最少、配置简单。注：默认采用一般模式。采用一般模式时，如果镜像的报文的 MAC 地址是保留地址则无法广播 镜像源端口则没有使用上的限制，可以是 1 个也可以是多个，多个源端口可以在相同的 VLAN，也可以在不同 VLAN。目的端口和源端口可以在不同的 VLAN。在使用 RSPAN 功能之前，要先创建专属的 RSPAN vlan，用于转发 RSPAN 数据报文不能在这个 vlan 上承载业务。由于默认情况下所有的端口都属于缺省 vlan，在 标 记 RSPAN vlan 时禁止将缺省 vlan、动态 vlan、私有 vlan、组播 vlan、配置了三层接口的 vlan 等特殊vlan 配

12、置为 RSPAN vlan。目的端口与 Monitor 相连，该端口必须为 access 端口且属于RSPAN vlan。反射端口必须属于 RSPAN vlan，可以为 RSPAN vlan 的 access 口，或者为trunk 口。端口被配置为 RSPAN 的反射端口之后自动失去与对端的连接并禁止在反射端口上做 loopback 相关的配置，同时其他的业务数据也将无法转发，所以反射端口要求必须是专用的端口。需要通过配置保证 Remote VLAN 从源交换机到目的交换机的二层互通性。流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-2 需要注意的问题：1.在源交换机、中间

13、交换机和目的交换机的 RSPAN vlan 上都不能起三层接口，否则镜像后的报文有可能被丢弃而无法到达目的端口。2.在源交换机和中间交换机的 RSPAN 数据传输链路中，交换机输出方向的 Trunk端口的 native vlan 不能设置为 RSPAN vlan，否则 RSPAN tag 在没有到达目的交换机时就会被剥离掉，从而导致 RSPAN 失败。3.在源交换机采用反射端口的镜像方式时，不能把镜像的源端口以 access 或者是trunk 的方式配置为 RSPAN VLAN 的成员端口。4.在使用远程镜像时需注意链路的带宽要满足业务流和镜像流量的需要。名词解释：RSPAN(remote s

14、witched port analyzer)：远程交换端口分析。RSPAN vlan：专用于 RSPAN 的一个特殊 vlan。RSPAN Tag：RSPAN 数据在 MTP 上被打上的一个 Vlan Tag。反射端口：从 RSPAN 源端口到本地目的端口的本地镜像。但这个本地目的端口不直接与中间交换机相连，我们把这个端口叫做反射端口。2.2 RSPAN配置任务序列配置任务序列 1.配置 rspan vlan 2.指定镜像源端口 3.指定镜像目的端口 4.配置反射端口 5.配置镜像组的 remote vlan 1.配置配置 RSPAN vlan 2.指定镜像源端口指定镜像源端口 3.指定镜像目

15、的端口指定镜像目的端口 命令 解释 全局配置模式 命令 解释 Vlan 配置模式 remote-span no remote-span 将当前 vlan 配置为 rspan vlan；no 操作为删除 rspan vlan。命令 解释 全局配置模式 monitor session source interface rx|tx|both no monitor session source interface 指定镜像源端口；本命令的 no操作为删除镜像源端口。流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-3 monitor session destination inter

16、face no monitor session destination interface 指定镜像目的端口；本命令的no 操作为删除镜像目的端口。4.配置反射端口配置反射端口 5.配置镜像组的配置镜像组的 remote vlan 2.3 RSPAN典型案例典型案例 在没有 RSPAN 之前，网络管理人员需要带着笔记本电脑跑到各个交换机处，将电脑连接到交换机上，才能检测网络的状况，非常不方便。而有了 RSPAN 功能之后，管理员只需要在网管中心通过 Telnet 做一些简单的配置，就能检测到任何一台交换机（当然，这台交换机需要支持 RSPAN 功能）的运行状况。大大方便了网管人员的管理工作。下

17、图是 RSPAN 功能的一种应用：图2-1 RSPAN 应用示意图 可以采用两种方案：方案一无反射端口，方案二有反射端口：方案一只能固定一个端口与中间交换机连接，方案二源与中间交换机连接端口不固定，比较灵活；两种方案的比较：方案一虽说只能固定一个接口与中间交换机连接，但是它省去了一个反射端口，端口利用率高。方案二通过反射端口，可以将数据报文通过回环在 RSPAN vlan中广播，灵活的与中间交换机通信。命令 解释 全局配置模式 monitor session reflector-port no monitor session reflector-port 将端口配置为反射端口，使用no 命令删

18、除反射端口。命令 解释 全局配置模式 monitor session remote vlan no monitor session remote vlan 配置镜像组的 remote valn，no 操 作 为 删 除 镜 像 组 的remote vlan。Source Switch E1 E2 E6 E7 E9 E10 Intermediate Switch Destination Switch PC1 Monitor 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-4 以下是采用一般模式转发时各个交换机的配置：方案一：源交换机：源交换机：interface ethern

19、et 1/0/1 为源端口。interface ethernet 1/0/2 为目的端口，与中间交换机相连。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/2 Switch(Config-If-Ethernet1/0/2)#switchport mode trunk Switch(Config-If-Ethernet1/0/2)#exit Switch(config)#moni

20、tor session 1 source interface ethernet1/0/1 rx Switch(config)#monitor session 1 destination interface ethernet1/0/2 Switch(config)#monitor session 1 remote vlan 5 中间交换机：中间交换机：interface ethernet1/0/6 为源端口，与源交换机相连。interface ethernet1/0/7 为目的端口，与目的交换机相连，该端口的 native vlan 不能设置为RSPAN vlan，否则镜像后的数据可能无法在目的

21、交换机上正确传输。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/6-7 Switch(Config-If-Port-Range)#switchport mode trunk Switch(Config-If-Port-Range)#exit 目的交换机：目的交换机：interface ethernet1/0/9 为源端口，与源交换机相连。interface ethernet1

22、/0/10 为目的端口，与 Monitor 相连，该端口必须为 access 端口且属于RSPAN vlan。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/9 Switch(Config-If-Ethernet1/0/9)#switchport mode trunk Switch(Config-If-Ethernet1/0/9)#exit Switch(config)#int

23、erface ethernet 1/0/10 Switch(Config-If-Ethernet1/0/10)#switchport access vlan 5 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配置 2-5 Switch(Config-If-Ethernet1/0/10)#exit 方案二：源交换机：源交换机：interface ethernet 1/0/1 为源端口。interface ethernet 1/0/2 为 trunk 端口，与中间交换机相连，该端口的 native vlan 不能为RSPAN vlan。interface ethernet 1/0/3

24、为反射端口，也是本地镜像目的端口，反射端口必须属于 RSPAN vlan，可以为 RSPAN vlan 的 access 口，或者为 trunk 口。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/2 Switch(Config-If-Ethernet1/0/2)#switchport mode trunk Switch(Config-If-Ethernet1/0/2)#exi

25、t Switch(config)#interface ethernet 1/0/3 Switch(Config-If-Ethernet1/0/3)#switchport mode trunk Switch(Config-If-Ethernet1/0/3)#exit Switch(config)#monitor session 1 source interface ethernet1/0/1 rx Switch(config)#monitor session 1 reflector-port ethernet1/0/3 Switch(config)#monitor session 1 remot

26、e vlan 5 中中间交换机：间交换机：interface ethernet1/0/6 为源端口，与源交换机相连。interface ethernet1/0/7 为目的端口，与目的交换机相连，该端口的 native vlan 不能设置为RSPAN vlan，否则镜像后的数据可能无法在目的交换机上正确传输。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/6-7 Switch(C

27、onfig-If-Port-Range)#switchport mode trunk Switch(Config-If-Port-Range)#exit 目的交换机：目的交换机：interface ethernet1/0/9 为源端口，与源交换机相连。interface ethernet1/0/10 为目的端口，与 Monitor 相连，该端口必须为 access 端口且属于RSPAN vlan。RSPAN vlan 为 5。Switch(config)#vlan 5 Switch(Config-Vlan5)#remote-span 流量监控操作流量监控操作 第第 2 章章 RSPAN 配置配

28、置 2-6 Switch(Config-Vlan5)#exit Switch(config)#interface ethernet 1/0/9 Switch(Config-If-Ethernet11/0/9)#switchport mode trunk Switch(Config-If-Ethernet1/0/9)#exit Switch(config)#interface ethernet 1/0/10 Switch(Config-If-Ethernet1/0/10)#switchport access vlan 5 Switch(Config-If-Ethernet1/0/10)#exit

29、 2.4 RSPAN排错帮助排错帮助 当配置 rspan 功能出现问题时，请检查是否是如下原因：镜像目的端口是否是端口聚合组成员；如果是，请修改端口聚合组；镜像目的端口的吞吐量小于镜像源端口吞吐量的总和，目的端口无法完全复制源端口的流量；请减少源端口的个数或复制单向的流量，或者选择吞吐量更大的端口作为目的端口。在源交换机和中间交换机的RSPAN数据传输链路中，交换机输出方向的Trunk端口的native vlan是否设置为RSPAN vlan；如果是，请修改Trunk端口的native vlan。流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 3-1 第第3章章 sFlow配置

30、配置 3.1 sFlow介绍介绍 sFlow（RFC 3176）是基于标准网络导出协议，是由 InMon 公司开发出来的用于监控网络流量信息的协议。其主要操作是由被监视的交换机、路由器把被监控的数据通过采样、统计等操作发送到用于监控的用户端分析器，由分析器对收到的数据进行用户所要求的分析，从而达到监控网络的目的。一个 sFlow 监控系统包括：sFlow 代理、中央数据收集器、和 sFlow 分析器。SFlow代理利用采样技术从交换机设备抓取数据。sFlow 数据收集器用来格式化要转发采样的数据统计到 sFlow 分析器，sFlow 分析器对采样数据进行分析并根据分析结果作出相应的处理措施。这

31、里我们的交换机实现的是 sFlow 系统中的代理和中央数据收集器部分。我们当前实现了针对物理端口的数据采样和统计。我们实现的采样数据类型针对 IPV4 报文类型、IPv6 报文类型进行处理。其它类型的扩展暂不支持。对于非 IPV4 和 IPv6 的报文，我们按照 RFC3176 的要求，采用统一的头（HEADER）模式，在分析其协议类型的基础上，复制报文的头信息。InMon 公司发布的 sFlow 协议目前已经更新到了版本 5，由于 RFC3176 实现的是版本4，而版本之间在结构和报文格式上可能存在一定的不兼容，由于版本 5 还没有成为正式的协议，为与当前的应用软件兼容，我们仍遵照 RFC3

32、176 实现。3.2 sFlow配置任务序列配置任务序列 1.配置配置 sFlow Collector 地址地址 命令 解释 全局配置模式，端口配置模式 sflow destination no sflow destination 配置sFlow分析软件所在主机的 IP地址和端口号。对于端口来说，如果端口上有配置 IP地址，则使用端口的配置，否则使用全局的配置。No 命令恢复为默认端口值，删除 IP地址值。2.配置配置 sFlow 代理地址代理地址 命令 解释 全局配置模式 sflow agent-address no sflow agent-address 配置 sFlow 代理使用的源 I

33、P 地址，no 命令删除该地址。3.配置配置 sFlow 协议优协议优先级先级 流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 3-2 命令 解释 全局配置模式 sflow priority no sflow priority 配置 sFlow 从硬件收报文时的优先级，no 命令恢复为默认值。4.配置配置 sFlow 复制报文数据头长度复制报文数据头长度 命令 解释 端口配置模式 sflow header-len no sflow header-len 配置 sFlow 在数据采样中复制的报文数据头的长度，no 命令恢复为默认值。5.配置配置 sFlow 报文最大允许数据头长度

34、报文最大允许数据头长度 命令 解释 端口配置模式 sflow data-len no sflow data-len 配置 sFlow 在报文中允许的最大数据长度，no 命令恢复为默认值。6.配置配置 sFlow 硬件采样速率硬件采样速率 命令 解释 端口配置模式 sflow rate input|output no sflow rate input|output 配置 sFlow 在硬件采样时的采样速率。No 命令删除采样速率值。7.配置配置 sFlow 统计采样间隔统计采样间隔 命令 解释 端口配置模式 sflow counter-interval no sflow counter-inte

35、rval 配置 sFlow 进行统计采样的最大间隔。No 命令删除统计采样间隔值。8.配置配置 sFlow 使用的分析器使用的分析器 命令 解释 全局配置模式 sflow analyzer sflowtrend no sflow analyzer sflowtrend 配置 sFlow 使用的分析器。no 命令删除 sflow的分析器。流量监控操作流量监控操作 第第 3 章章 sFlow 配置配置 3-3 3.3 sFlow举例举例 图 3-1 sFlow 配置拓扑图 如图所示，SWITCH 上的端口 1/0/1 以及 1/0/2 上启动 sFlow 采样，假定 PC 上安装了sFlow 分析

36、器软件，PC 地址为 192.168.1.200，SWITCH 上与 PC 相连的三层接口的地址为 192.168.1.100，SWITCH 上配置了一个地址为 10.1.144.2 的 loopback 接口。以下是sFlow 的配置 配置步骤如下：配置步骤如下：switch#config switch(config)#sflow agent-address 10.1.144.2 switch(config)#sflow destination 192.168.1.200 switch(config)#sflow priority 1 switch(config)#in e1/0/1 swi

37、tch(Config-If-Ethernet1/0/1)#sflow rate input 10000 switch(Config-If-Ethernet1/0/1)#sflow rate output 10000 switch(Config-If-Ethernet1/0/1)#sflow counter-interval 20 switch(Config-If-Ethernet1/0/1)#exit switch(config)#in e1/0/2 switch(Config-If-Ethernet1/0/2)#sflow rate input 20000 switch(Config-If-

38、Ethernet1/0/2)#sflow rate output 20000 switch(Config-If-Ethernet1/0/2)#sflow counter-interval 40 3.4 sFlow排错帮助排错帮助 在配置、使用 sFlow 功能时，可能会由于物理连接、配置错误等原因导致 sFlow 未能正常运行。因此，用户应注意以下要点：应该保证物理连接的正确无误；保证全局配置模式或者接口配置模式下所配置的sFlow分析器地址是可达的；如果要求流采样，必须保证配置了接口下的采样速率；如果要求统计采样，必须保证配置了接口下的统计采样间隔。如果使用检查尝试仍无法解决，请联系本公司技术服务中心。SWITCH PC