帮助我们改善您的体验。

让我们了解您的想法。

您是否能抽出两分钟的时间完成一份问卷调查?

close
keyboard_arrow_left
list Table of Contents

机器翻译对您有帮助吗?

starstarstarstarstar
Go to English page
免责声明:

我们将使用第三方机器翻译软件翻译本页面。瞻博网络虽已做出相当大的努力提供高质量译文,但无法保证其准确性。如果对译文信息的准确性有任何疑问,请参阅英文版本. 可下载的 PDF 仅提供英文版.

基于流的 VXLAN 遥测 (QFX5120)

date_range 16-Dec-22

总结 Junos OS 中 VXLAN 的基于流的遥测 (FBT) 可在 IRB 接口上实现按流级别的分析,使用内联监控服务创建、收集流,并导出到收集器,并使用开放标准 IP 流信息导出 (IPFIX) 模板来组织流。

适用于 VXLAN 的 FBT 概述

您可以为 QFX5120 -32C 和 QFX5120-48y-8c 交换机的 VXLAN 配置基于流的遥测 (FBT)。适用于 VXLAN 的 FBT 可为具有集中路由桥接 (CRB) 或边缘路由桥接 (ERB) 叠加的 VXLAN 提供内联遥测数据。适用于 VXLAN 的 FBT 支持 IRB 接口的按流级别分析,使用内联监控服务创建、收集流并导出到收集器。借助内联监控服务,您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。

FBT 对于 VXLAN 的优势

借助适用于 VXLAN 的 FBT,可以为具有 CRB 或 ERB 叠加的 EVPN-VXLAN 架构启用内联遥测数据,从而为您提供有关网络的额外信息源

具有 CRB 叠加功能的 VXLAN 将核心交换机配置为第 3 层 VXLAN 网关,核心交换机上配置了虚拟网络的集成路由和桥接 (IRB) 接口。相比之下,具有 ERB 叠加的 VXLAN 中的核心交换机可提供 EVPN 2 类和 5 类路由的传输,而 IRB 接口配置在分布式交换机上。ERB 设计还支持更快的服务器到服务器、园区内流量。因此,使用 ERB 叠加时,与使用 CRB 叠加相比,路由更靠近终端系统。 图 1图 2 显示了这些叠加的示例拓扑。要了解有关这些 EVPN-VXLAN 架构的更多信息,请参阅 技术入门:适用于园区的 EVPN-VXLAN 交换矩阵

图 1:集中路由桥接 (CRB) 拓扑 Centrally-Routed Bridging (CRB) Topology
图 2:边缘路由桥接 (ERB) 拓扑 Edge-Routed Bridging (ERB) Topology

流导出概述

适用于 VXLAN 的 FBT 使用基于软件的 IPFIX 流导出。(IPFIX 在 RFC 7011 中定义。)流是接口上具有相同核心参数集的数据包序列,其中有些是源 IP、目标 IP、源端口、目标端口和协议。这个核心参数集称为流密钥,软件使用此密钥来了解流。对于每个流,软件会收集各种参数,并使用开放标准 IPFIX 模板将实际数据包导出到收集器,以组织流。一旦流没有活动流量,流就会在配置的非活动超时期之后老化(在[edit services inline-monitoring template template-name]层次结构级别配置flow-inactive-timeout语句)。

对于 VXLAN 的 FBT,流密钥因您监控 IPv4 还是 IPv6 流量而异。 表 1 介绍了 IPv4 流量的流密钥, 表 2 介绍了 IPv6 流量的流密钥。对于 IPv4 和 IPv6 流量,除了键字段外,流还包含入口和出口端口、流开始和结束时间以及字节和数据包计数 delta 的字段。流开始时间是软件学习流时的时间戳。流停止时间是最新计数器查询的时间戳。 图 3 显示了用于 IPv4 流量的示例 IPFIX 数据模板。

表 1:IPv4 流密钥
字段 大小(单位字节)

源 IP 地址

4

目标 IP 地址

4

协议(TCP 或 UDP)

1

源端口(TCP 或 UDP)

2

目标端口(TCP 或 UDP)

2

虚拟路由和转发表 (VRF) 标识符

2

入口端口

1

VXLAN 网络标识符(第 2 层分段 ID)

3
表 2:IPv6 流密钥
字段 大小(单位字节)

源 IP 地址

4

目标 IP 地址

4

协议(TCP 或 UDP)

1

源端口(TCP 或 UDP)

2

目标端口(TCP 或 UDP)

2

虚拟路由和转发表 (VRF) 标识符

2
图 3:IPv4 流量 Sample IPFIX Data Template for IPv4 Traffic IPFIX 数据模板示例

限制和警告

  • 仅适用于 Junos OS,支持用于 VXLAN 的 FBT。

  • 仅支持 IRB 接口。对于具有 CRB 叠加的 EVPN-VXLAN 网络,您只能监控主干上的 IRB 接口。对于具有 ERB 叠加的 EVPN-VXLAN 网络,您只能监控枝叶上的 IRB 接口。

  • 仅支持一个内联监控实例和一个收集器。

  • 收集器必须通过网络接口访问,而不仅仅是通过管理接口或环路接口。

  • 您无法配置选项模板标识符或转发类。

  • 不支持 IPFIX 选项数据记录和 IPFIX 选项数据模板。

  • 流学习和跟踪仅基于客户端流量数据,而非外部隧道标头。流学习基于软件,每流最多需要 10 秒。

  • 在软件学习流并将流安装到流表中之前,计数器才会处于活动状态。

  • 软件不会使用 TCP FIN/RST 标记进行流老化。

  • 该软件需要在数据包中具有第 3 层标头,并且仅支持 TCP 和 UDP 协议。

  • 如果出口端口位于不同的 VRF 中,则报告出口端口在 LAG、ECMP、广播、组播或未知流量中可能不正确。

为 VXLAN 配置 FBT (QFX5120)

您可以为 QFX5120 -32C 和 QFX5120-48y-8c 交换机的 VXLAN 配置基于流的遥测 (FBT)。适用于 VXLAN 的 FBT 可为具有集中路由桥接 (CRB) 或边缘路由桥接 (ERB) 叠加的 VXLAN 提供内联遥测数据。适用于 VXLAN 的 FBT 支持 IRB 接口的按流级别分析,使用内联监控服务创建、收集流并导出到收集器。借助内联监控服务,您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。

为 VXLAN 配置 FBT 之前,必须先启用基于软件的 IPFIX 流导出,并在统一转发表中分配完全匹配的内存,才能学习流。要配置:

content_copy zoom_out_map
user@host# set system packet-forwarding-options ipfix-sw-mode
user@host# set chassis forwarding-options em-hw-profile
user@host# commit

提交配置后,系统将提示您重新启动系统。

要为 VXLAN 配置 FBT:

  1. 定义 IPFIX 模板。

    要配置模板的属性:

    content_copy zoom_out_map
    user@host# set services inline-monitoring template template_1 flow-inactive-timeout seconds
    user@host# set services inline-monitoring template template_1 template-refresh-rate template-refresh-rate
    user@host# set services inline-monitoring template template_1 template-identifier template-identifier
    user@host# set services inline-monitoring template template_1 template-type (ipv4-template | ipv6-template)

    在此示例中,非活动流超时期设置为 10 秒,模板刷新速率设置为 30 秒,配置了模板标识符,并且正在使用 IPv4 模板:

    content_copy zoom_out_map
    user@host# set services inline-monitoring template template_1 flow-inactive-timeout 10
    user@host# set services inline-monitoring template template_1 template-refresh-rate 10
    user@host# set services inline-monitoring template template_1 template-identifier 1200
    user@host# set services inline-monitoring template template_1 template-type ipv4-template
  2. 将模板附加到实例并描述收集器。

    用于 VXLAN 的 FBT 仅支持收集器的 IPv4 地址。要配置实例和收集器:

    content_copy zoom_out_map
    user@host# set services inline-monitoring instance instance-name template-name template-name
    user@host# set services inline-monitoring instance instance-name collector collector-name source-address (IPv4-address)
    user@host# set services inline-monitoring instance instance-name collector collector-name destination-address (IPv4-address)
    user@host# set services inline-monitoring instance instance-name collector collector-name dscp dscp-bits
    user@host# set services inline-monitoring instance instance-name collector collector-name destination-port port

    在此示例中,您将创建一个名称 template_1为的模板,创建一个内联监控实例 i1,然后使用 IPv4 地址为收集器 c2 创建配置:

    content_copy zoom_out_map
    user@host# set services inline-monitoring instance i1 template-name template_1
    user@host# set services inline-monitoring instance i1 collector c2 source-address 10.11.12.1
    user@host# set services inline-monitoring instance i1 collector c2 destination-address 10.11.12.2
    user@host# set services inline-monitoring instance i1 collector c2 dscp 21
    user@host# set services inline-monitoring instance i1 collector c2 destination-port 2055
  3. 创建防火墙过滤器并配置操作inline-monitoring-instance

    要配置防火墙过滤器:

    content_copy zoom_out_map
    user@host# set firewall family inet filter filter-name term term-name from source-address (IPv4-source-address | IPv6-source-address)
    user@host# set firewall family inet filter filter-name term term-name from destination-address (IPv4-destination-address | IPv6-destination-address)
    user@host# set firewall family inet filter filter-name term term-name then inline-monitoring-instance instance-name
    user@host# set firewall family inet filter filter-name term term-name then accept

    在此示例中,您将配置名为的 IPv4 防火墙过滤器 ipv4_ingress,其中术语名称 rule1 包含操作 inline-monitoring-instance,并将内联监控实例 i1 映射到它:

    content_copy zoom_out_map
    user@host# set firewall family inet filter ipv4_ingress term rule1 from source-address 10.11.12.1
    user@host# set firewall family inet filter ipv4_ingress term rule1 from destination-address 10.11.12.2
    user@host# set firewall family inet filter ipv4_ingress term rule1 then inline-monitoring-instance i1
    user@host# set firewall family inet filter ipv4_ingress term rule1 then accept
  4. 将防火墙过滤器映射到已配置接口逻辑单元下的系列,从而在入口方向应用内联监控。

    要映射防火墙过滤器:

    content_copy zoom_out_map
    user@host# set interfaces irb unit unit-number family inet filter input filter-name

    在此示例中,您将防火墙过滤器映射到ipv4_ingressinet单元 100 系列:

    content_copy zoom_out_map
    user@host# set interface irb unit 100 family inet filter input ipv4_ingress
  5. 提交配置。
  6. 使用show services inline-monitoring statistics fpc-slot slot-number命令监控内联监控统计信息。
版本历史记录表
释放
描述
22.2R1
您可以为 QFX5120 -32C 和 QFX5120-48y-8c 交换机的 VXLAN 配置基于流的遥测 (FBT)。适用于 VXLAN 的 FBT 可为具有集中路由桥接 (CRB) 或边缘路由桥接 (ERB) 叠加的 VXLAN 提供内联遥测数据。适用于 VXLAN 的 FBT 支持 IRB 接口的按流级别分析,使用内联监控服务创建、收集流并导出到收集器。
external-footer-nav