带内流量分析仪 (IFA) 2.0 探头,用于实时流量监测
总结 带内流分析器 (IFA) 2.0 在整个网络中按跳收集数据。将此数据导出到外部收集器以执行本地化或端到端分析。
带内流分析器 2.0
带内流分析器 2.0 概述
带内流分析器 2.0 (IFA 2.0) 是一项功能,可用于在数据包进出网络时对其进行监视和分析。作为网络管理员,您可以使用此功能收集与数据包通过网络的路径以及数据包在每个跃点上花费的时间相关的数据。此数据指示延迟过大和可能的拥塞。此功能通过在数据平面上收集每跃点流数据来帮助您深入了解复杂网络。
IFA 使用探测数据包来收集网络范围的流量数据。IFA 对感兴趣的流进行采样并生成探测数据包。这些数据包代表原始流,具有与原始流相同的特征。这意味着 IFA 数据包在网络中遍历与原始数据包相同的路径,在网络元素中遍历相同的队列。因此,IFA 探测数据包遍历与原始流相同的网络路径,从而遇到类似的延迟和拥塞。
您可以使用带内流分析器 2.0 (IFA 2.0) 收集流数据信息,例如:
- 停留时间(延迟)
- 单跃点延迟
- 每跃点入口端口号
- 每跃点出口端口号
- 收到的数据包时间戳值
- 队列 ID
- 拥塞通知
- 出口端口速度
IFA 2.0在IETF草案中定义,标题为 带内流分析器,draft-kumar-ippm-ifa-02。
好处
- IFA 探测数据包遍历与原始流相同的网络路径,可帮助您监控网络中的故障和性能问题。
- 监控实时流量,从而有助于执行数据包级延迟分析和队列拥塞监控,以优化网络性能。
带内流分析仪流程
IFA 使用以下处理节点( 如图 1 所示)来监视和分析流:
- IFA 发起方节点(也称为入口节点)
- IFA 中转节点
- IFA 终止节点(也称为出口节点)
IFA 2.0 支持同时处理第 3 层 (L3) 和 VXLAN 流,但不能在同一设备上同时为 L3 和 VXLAN 流配置 IFA。流类型选项是互斥的。您可以使用配置语句来 flow-type 设置感兴趣的流类型 — L3 或 VXLAN。 flow-type 仅为 IFA 发起方和 IFA 终止节点(通常是叶节点)配置语句。对于 IFA 传输节点(通常是主干节点),无需配置 flow-type 语句。
表 1 总结了 IFA 处理节点执行的不同功能:
| IFA 节点 | 功能 |
|---|---|
| IFA 发起方节点 | 对感兴趣的流流量(L3 或 VXLAN)进行采样,并通过向每个样本添加 IFA 标头来创建 IFA 副本。 |
| IFA 中转节点 | 标识 IFA 数据包并将其元数据追加到数据包中的元数据堆栈。
|
| IFA 终止节点 |
注意:
IFA 终止功能需要有效的瞻博网络高级遥测功能 (ATF) 许可证。 |
IFA 探测数据包标头
IFA 2.0 探测数据包包含以下内容:
- IFA 标题
- IFA 元数据标头
- IFA 元数据堆栈
图 2 显示了 IFA 发起方节点上的 L3 IFA 2.0 数据包格式:
图 3 显示了 IFA 发起方节点上的 VXLAN IFA 2.0 数据包格式。
使用 VXLAN 时,IFA 报头会使用三遍机制在 VXLAN 封装之后添加。
IFA 标题
IFA 2.0 定义了上层标头 (ULH),类似于 TCP、UDP、通用路由封装 (GRE) 和生成树协议 (STP) 定义 ULH 的方式。IFA ULH 始终是 IP 报头之后的第一个报头,即使还有其他一些 IPv4 扩展报头也是如此。该 NextHdr 字段(即 Protocol Type IFA 报头中的字段)携带原始 IP 报头协议字段值。 图 4 显示了 IFA 标头格式。
| IFA 标题字段 | 说明 |
|---|---|
| IFA 版本 | IFA 标头的版本。在当前的实现中,IFA 版本是 2.0。 |
| Gns | IFA 元数据的全局命名空间 (GNS)。IFA 发起方节点将此字段的值设置为 0xF。 |
| 协议类型 | IP 报头协议类型。此值是从 IP 标头复制的。 |
| 标志 | 闲置。 |
| 最大长度 | 元数据堆栈的最大允许长度(以四个八位位组的倍数为单位)。发起方节点初始化此字段。路径中的每个节点将当前长度与最大长度进行比较。如果当前长度等于或超过最大长度,则传输节点将停止插入元数据。您可以配置此最大允许长度。默认值为 240 个八位字节(表示 30 个跃点)。 |
IFA 元数据标头
IFA 2.0 定义了一个紧凑的 4 字节元数据标头,如图 5 所示。IFA 发起方节点将此标头添加到探测数据包中。
| IFA 元数据标头字段 | 说明 |
|---|---|
| 请求向量 | 指定 GNS 指定的字段的存在。闲置。 |
| 动作矢量 | 指定对 IFA 数据包的节点本地或端到端操作。闲置。 |
| 跳数限制 | 指定 IFA 区域中允许的最大跃点数。发起方节点初始化此字段。跃点限制在每个跃点递减。如果传入数据包的跃点限制为 0,则当前节点不会插入元数据。您可以配置此限制。默认值为 250。 终止节点不执行跃点限制检查。 |
| 当前长度 | 以 4 个八位位组的倍数指定元数据堆栈的当前长度。 |
IFA 元数据堆栈
每个 IFA 跃点都将特定于跃点的元数据插入到 IFA 元数据堆栈中,如图 6 所示。IFA 发起方节点在 L4 标头之后添加元数据标头。
作为传输节点的QFX5220无法将元数据插入 IFA 探测数据包标头的元数据堆栈中。相反,QFX5220会将尾戳添加到 IFA 探测数据包的末尾,其中包含时间戳和其他元数据。有关这些尾戳的详细信息,请参阅 IFA 探测数据包的尾戳(仅限 QFX5220)。
| IFA 元数据堆栈标头字段 | 说明 |
|---|---|
| LNS | 本地命名空间。必须将 LNS 值设置为 1。 |
| 设备 ID | 用户可配置的设备 ID。您可以显式配置设备 ID 或配置 auto 语句。如果配置 auto,则会根据路由器 ID 或管理 IP 地址在内部生成设备 ID。 |
| IP TTL | 每个跃点的 IP 生存时间 (TTL) 值。 |
| 出口端口速度 | 编码范围为 0–10Gbps、1–25Gbps、2–40Gbps、3–50Gbps、4–100Gbps、5–200Gbps、6–400Gbps。 出口端口速度与 IFA 元数据对应。例如,当出口端口速度为 10Gbps 时,IFA 数据包的速度字段设置为 0。 |
| 拥塞 | 指示数据包是否遇到拥塞。您必须在出口端口上启用显式拥塞通知 (ECN)。 |
| 队列 ID | 出口端口队列 ID。 |
| Rx 时间戳秒数 | 收到的数据包时间戳值(以秒为单位)。收集器负责从这些 20 位值中检索时间 (ToD)。20 位秒将每 12 天环绕一次。收集器必须在环绕时间内定期同步 ToD,并将其与元数据中的 20 位一起用于派生 32 位 Rx Timestamp Seconds 值。 |
| 出口端口号 | 出口硬件 (ASIC) 端口号。 |
| 入口端口号 | 入口硬件端口号。 |
| Rx 时间戳纳米秒 | 收到的时间戳值(以纳秒为单位)。 |
| 停留时间 纳米秒 | 单跃点延迟(以纳秒为单位)。对于QFX5120,停留时间计算为 0x3B9ACA00(1 秒,以纳秒为单位)+ TX_NSEC - RX_NSEC。(每个数据包都会额外增加一秒钟,以避免环绕式处理。相反,对于QFX5130、QFX5220和QFX5700,停留时间将更新为实际值。 |
IFA 探测数据包的尾戳(仅限 QFX5220)
作为传输节点的QFX5220无法将元数据插入 IFA 探测数据包标头的元数据堆栈中。相反,QFX5220会将尾戳添加到 IFA 探测数据包的末尾,其中包含时间戳和其他元数据。该QFX5220总共添加 28 个字节的元数据作为尾戳。收到 IFA 探测数据包后,IFA 终止节点使用元数据中的 TTL 值来标识尾戳数(即两个QFX5120或QFX5130设备之间路径上的QFX5220跃点数)。然后将尾戳转换为正确的元数据格式,并插入到元数据堆栈中的正确位置,以便元数据按中转节点添加它们的顺序显示。完成后,IFA 终止节点将数据以 IPFIX 格式导出到配置的外部收集器。
由于无法将元数据插入堆栈,IFA 元数据堆栈字段 IP TTL 和 QFX5220 Egress Port Speed Congestion 在收集器处接收的值为 0。您必须将收集器配置为忽略QFX5220中这些不支持的字段。
尾戳包括 14 字节的入口 (Rx) 尾戳和 14 字节的出口 (Tx) 尾戳。图 7 和 图 8 提供了有关这些时间戳格式的详细信息。
IFA 节点上支持的功能
表 5 列出了 IFA 节点支持的功能。
| IFA 节点 | 支持的功能 |
|---|---|
| IFA 发起人 | 流量和接口类型:
|
| IFA过境 | 标识 IFA 数据包,附加其元数据并转发它。 |
| IFA 终止 |
|
IFA 2.0 配置的限制
在运行 Junos OS 的设备上配置 IFA 2.0 之前,必须注意以下限制:
-
协议编号 — IFA 2.0 使用实验协议编号 253。如果交换机收到协议编号为 253 的任何流量,这些数据包将命中 IFA 传输过滤器。在这种情况下,QFX5220会向这些数据包添加一个 28 字节的尾戳。对于 QFX5130 和 QFX5700 交换机,即使数据包命中过滤器,也不会将 IFA 元数据添加到数据包中。但是,IFA的过境统计数据确实是递增的。
-
过滤器资源分配 - 如果系统中的过滤器硬件资源已耗尽,则 IFA 功能不起作用,因为它需要过滤器资源。您可以监控系统日志 (syslog) 中的过滤器空间耗尽错误。
-
第 2 层和 BUM 流量 — 第 2 层交换流量和广播、未知单播和组播 (BUM) 流量不支持 IFA 2.0。
-
IFA 第 3 层和 VXLAN 流
- IFA 2.0 支持同时处理 L3 和 VXLAN 流,但不能在同一设备上同时为 L3 和 VXLAN 流配置 IFA。这些
flow-type选项是互斥的。您可以使用配置语句来flow-type设置感兴趣的流类型 — L3 或 VXLAN。此限制仅适用于 IFA 发起方和终止节点(通常是叶节点)。对于 IFA 传输节点(通常是主干节点),不需要配置流类型。 - 对于 VXLAN IFA 流,终止节点的出口端口相关元数据(包括出口端口号、速度、队列 ID 和拥塞)不正确。建议您忽略 VXLAN 流的终止节点出口端口相关元数据。
- IFA 流类型(L3 或 VXLAN)更改需要卸下并重新配置 IFA 过滤器。如果流类型不匹配(例如,配置为 VXLAN,
flow-type而传入流量为 L3,反之亦然),我们无法保证 IFA 行为(IFA 探测数据包可能使用无效字段启动)。
- IFA 2.0 支持同时处理 L3 和 VXLAN 流,但不能在同一设备上同时为 L3 和 VXLAN 流配置 IFA。这些
-
IFA 发起方节点
- L4 报头 (UDP/TCP) 对于 IFA 启动是必需的。
- 如果出口端口配置为充当链路聚合组 (LAG)(将枝叶连接到主干的链路),则 VXLAN 流的 IFA 启动将不起作用。
- 不能为 IFA 启动器的端口上的不同流配置不同的采样速率。端口内的所有流应具有相同的采样率。
-
IFA 传输节点 — 运行 Junos OS 和 Junos OS 演化版的设备不支持元数据堆栈的最大长度检查。配置选项以
hop-limit限制在传输节点上插入元数据。QFX5220无法执行跃点限制检查以插入尾戳。QFX5220也无法将元数据插入 IFA 探测数据包标头的元数据堆栈中;相反,QFX 5220 会在 IFA 探测数据包的末尾附加一个尾戳。QFX5220 仅支持 18 位
Rx Seconds Timestamp的值。QFX5130 和 QFX5700支持 20 位Rx Seconds Timestamp值。该
Residence Time Nano Seconds字段将更新为QFX5220、QFX5130和QFX5700传输节点上的实际值,但在QFX5120传输节点上,会将 1 秒 (1000000000 ns) 与实际停留时间一起相加。 -
IFA 终止节点
- 您只能在终止节点上配置单个 IPv4 收集器。
- 终止节点元数据的队列 ID 为 47。此队列 ID 保留用于 IFA 数据包导出。
- 终止节点不执行跃点限制检查。即使传入的 IFA 数据包已
hop-limit设置为 0,终止节点也会插入元数据并将跃点限制减少 1,这会将hop-limit值重置为 255。
使用注意事项
以下是与 IFA 2.0 相关的使用注意事项:
- 采样的 IFA 数据包在发起方节点上出口时具有额外的 40 个字节(4 字节 IFA 标头 + 4 字节 IFA 元数据标头 + 32 字节元数据)。在后续 IFA 节点上,每个跃点都会插入 32 字节 IFA 元数据。由于将每跃点元数据插入到 IFA 数据包中,数据包大小在每个跃点后都会增加。您必须沿网络路径相应地配置接口的最大传输单元 (MTU)。如果 IFA 区域具有大量中转节点,则必须注意 MTU。或者,您可以在发起方节点上配置该
hop-limit选项,以确保 IFA 数据包的大小永远不会超过指定的 MTU 值。 - 要选择感兴趣的流,可以使用源 IP 地址、目标 IP 地址、源端口、目标端口和协议匹配限定符的任意组合。IFA 2.0 不支持任何其他比赛限定符。
- 您必须为 IFA 区域中的每个跃点配置唯一的设备 ID。如果已配置设备
autoID 选项,则会根据路由器 ID 或管理 IP 地址的最后 20 位生成设备 ID。 - 如果已将采样率
aggressive配置为 ,则出口端口可能会因 IFA 副本较多而遇到拥塞。当 IFA 副本发送到芯片处理器进行 IPFIX 导出时,此端口拥塞可能会在终止节点上造成拥塞。我们建议您相应地选择采样率。 - 配置 IFA 2.0 启动器时,将为环路端口创建内部镜像会话。因此,用户可配置的镜像会话数量从 4 个减少到 3 个。
- 终止节点接受最大为 9000 字节的 IFA 数据包(包括 IFA 标头)。在终止节点上,多个 IFA 接收的数据包将合并为单个 IPFIX 导出数据包。您最多可以在单个 IPFIX 导出数据包中组合 10 个 IFA 记录。默认情况下,作为 IPFIX 导出的一部分,最多导出 256 个字节的原始流数据包以及 IFA 标头。单个 IPFIX 数据包的最大大小为 9000 字节。您必须在收集器端口上正确配置 MTU。由于单个 IPFIX 数据包的最大大小为 9000 字节,因此 IPFIX 数据包的最大剪辑长度等于或小于:9000 字节 -(IFA 标头长度 + IFA 元数据标头长度 + IFA 元数据堆栈长度)。
- 我们建议您在 IFA 区域中仅使用 IFA 感知(支持)设备。我们无法保证无法识别 IFA 的设备的正确 IFA 行为。
配置带内流分析器 2.0
IFA 是一种带内网络遥测 (INT),允许您通过数据平面收集有关网络状态的信息。
要配置 IFA 2.0 以监控网络的故障、性能问题并收集数据进行分析,您需要首先配置 IFA 角色。您可以在支持 IFA 功能的 Junos OS 设备上配置 IFA 角色。以下 QFX 交换机支持 IFA 2.0 功能:
-
运行 Junos OS 的 QFX5120-32C、QFX5120-48Y、QFX5120-48T 和 QFX5120-48YM
-
QFX5130-32CD,运行 Junos OS 演化版(仅限传输节点角色)
-
QFX5220-32CD 和 QFX5220-128C,运行 Junos OS 演化版(仅限传输节点角色)
-
QFX5700,运行 Junos OS 演化版(仅限传输节点角色)
有关 Junos OS 首次支持设备的时间的信息,请参阅本主题末尾的版本历史记录表。
以下是为 IFA 角色配置 Junos OS 设备的一些准则:
- 您可以使用相同型号的交换机或不同的交换机为特定 IFA 流扮演 IFA 角色(发起方、传输、终止)。
- 您可以使用同一设备为不同的流执行所有三个不同的 IFA 角色。
- 在 IFA 流中,传输 IFA 角色是可选的。
图 11 说明了在 Junos OS 设备上配置 IFA 节点的示例场景。在此方案中,支持 IFA 功能的不同 Junos OS 设备在单个 IFA 流中扮演不同的 IFA 角色。
以下是配置 IFA 节点的一些准则:
- 您只能通过防火墙过滤器配置在接口上启用 IFA 配置。
- 您只能在端口上的入口方向上应用 IFA 过滤器。
表 6 汇总了 IFA 启动器、中转和终止节点的配置。
| IFA 配置参数配置 | 语句 | IFA 角色 |
|---|---|---|
| (必填)配置设备 ID | user@host# set services inband-flow-telemetry device-id (<1 - 1048575> | auto) |
IFA 发起方、中转和终止节点的强制配置。 |
| (可选,仅限 QFX5120-48YM 或 QFX5220)配置更准确的时钟源 | user@host# set services inband-flow-telemetry clock-source (ntp|ptp) |
IFA 发起方、中转和终止节点。 |
| (可选)IFA 最大元数据堆栈长度 | user@host# set services inband-flow-telemetry meta-data-stack-length <8 - 255> 默认值:240(对于 30 个跃点) |
IFA 发起方节点 |
| (可选)IFA 最大跃点限制 | user@host# set services inband-flow-telemetry hop-limit <1 - 250> 默认值 :250 |
IFA 发起方节点 |
| (可选)没有 IPv6 地址匹配 | user@host# set services inband-flow-telemetry no-ipv6-address-match |
IFA 启动器/终止节点 |
| (必填)IFA 流型 | user@host# set services inband-flow-telemetry flow-type (l3 | vxlan) |
IFA 启动器和终止节点的强制配置。IFA 传输节点不需要此配置。 |
| IFA 抽样 | user@host# set services inband-flow-telemetry profile ifa-profile-name sample-rate <1-16777215> |
IFA 发起方节点 |
| 收集器信息 | user@host# set services inband-flow-telemetry profile ifa-profile-name collector source-address IP-address user@host# set services inband-flow-telemetry profile ifa-profile-name collector destination-address IP-address user@host# set services inband-flow-telemetry profile ifa-profile-name collector destination-port port-number user@host# set services inband-flow-telemetry profile ifa-profile-name collector maximum-clip-length length user@host# set services inband-flow-telemetry profile ifa-profile-name collector mtu size |
IFA 终止节点 |
| 用于 L3 流量的 IFA 过滤器 | 例如: user@host# set firewall family inet filter f1 term t1 from match-condition user@host# set firewall family inet filter f1 term t1 then inband-flow-telemetry-init p1 user@host# set firewall family inet filter f1 term t2 from match-condition user@host# set firewall family inet filter f1 term t2 then inband-flow-telemetry-terminate p2 user@host# set interfaces (interface-name | wildcard) unit 0 family inet filter input f1 |
IFA 启动器/终止节点 |
| 用于 VXLAN 流的 IFA 过滤器 | 例如: user@host# set firewall family ethernet-switching filter f1 term term1 from match-condition user@host# set firewall family ethernet-switching filter f1 term t1 then inband-flow-telemetry-init p1 user@host# set firewall family ethernet-switching filter f1 term t2 from match-condition user@host# set firewall family ethernet-switching filter f1 term t2 then inband-flow-telemetry-terminate p2 user@host# set interfaces (interface-name | wildcard) unit 0 family ethernet-switching filter input f1 |
IFA 启动器/终止节点 |
配置 IFA 启动器节点
要将设备配置为 IFA 2.0 启动器,请执行以下操作:
配置 IFA 传输节点
要将设备配置为 IFA 中转节点:
auto 的值device-id。如果 配置为 device-id auto,则 将从device-id路由器 ID 或管理 IP 地址内部生成。
user@host# set services inband-flow-telemetry device-id (id-number | auto)
例如:
user@host# set services inband-flow-telemetry device-id 10001
配置 IFA 终止节点
要将设备配置为 IFA 终止节点,请执行以下操作:
查看带内流分析器统计信息
您可以查看以下 IFA 相关信息:
- 使用操作模式命令的
show services inband-flow-telemetry statsIFA 统计信息。 - 使用操作模式命令的
show services inband-flow-telemetry globalIFA 全局参数。 - 使用操作模式命令配置 IFA 配置
show services inband-flow-telemetry profile的配置文件。
您可以使用操作模式命令清除 clear inband-flow-telemetry stats IFA 统计信息。
IFA 统计信息直接从 PFE 检索,不会在路由引擎中维护。因此,PFE 进程重新启动会清除 IFA 统计信息,路由引擎进程重新启动不会影响 IFA 统计信息。
示例 - 配置带内流分析器 2.0 以进行流量监控
使用此示例在 QFX 系列交换机上配置 IFA 2.0 节点,以便分析第 3 层或 VXLAN 流量。 图 12 显示了在支持 IFA 2.0 功能的 QFX 系列交换机上配置 IFA 2.0 的拓扑。在此拓扑中,VXLAN 流量在发起方受到监控,并在终止节点收集数据以进行分析。
分析 VXLAN 流量的拓扑
要求
此示例使用以下硬件和软件组件:
- 一台 QFX5120-32C 交换机作为主干节点
- 两台 QFX5120-48Y 交换机作为叶节点
- Junos OS 21.4R1 版
先决条件
此示例假设您已经有一个基于 EVPN-VXLAN 的网络,并希望在 QFX 交换机上启用流量监控。
开始之前
- 确保您了解 EVPN 和 VXLAN 的工作原理。请参阅 示例:在 EVPN-VXLAN 环境中配置 IRB 接口,以便为数据中心内的主机提供第 3 层连接 ,以及 桥接叠加设计和实施 ,以详细了解 EVPN-VXLAN。
- 要使 IFA 终止节点配置生效,您需要拥有有效的高级遥测功能 (ATF) 许可证。
概述
在此示例中,您将其中一个 QFX5120-48Y 交换机(叶 1)配置为启动器节点,将 QFX5120-32C 交换机配置为中转节点,将第二个 QFX5120-48Y 交换机(叶 2)配置为终止节点。VXLAN 流量从主机 1 流向主机 2。通过在入口和出口节点上配置 IFA,您可以监控网络操作并识别性能问题。
QFX5120-32C 用作连接 QFX5120-48Y 叶节点的主干。在终止节点上,您可以使用 IPv4 收集器应用程序以 IPFIX 格式收集采样流量。
配置
在此示例中,您将在交换机上配置以下功能:
- 将叶 1 配置为启动器节点,并配置与启动器相关的属性,如全局设备标识符和采样率。使用 function 操作
inband-flow-telemetry-init配置 IFA 配置文件和防火墙过滤器,并将 IFA 防火墙过滤器绑定到接口。 - 将 QFX5120-32C 主干交换机配置为具有全局设备标识符的中转节点。配置全局设备标识符时,主干设备会添加 IFA 元数据并转发 IFA 探测数据包。
- 将叶 2 配置为终止节点。使用收集器信息配置 IFA 配置文件,将操作
inband-flow-telemetry-terminate配置为 ,并将 IFA 防火墙过滤器绑定到接口。
CLI 快速配置
要在 QFX 系列设备上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。
QFX5120-48Y 交换机上的配置(叶 1 — IFA 启动器节点)
回想一下,在此示例中,您将 IFA 添加到预配置的 EVPN-VXLAN 基准。此处显示的配置侧重于将 IFA 添加到基线所需的增量。我们展示了一些现有配置,以最好地展示IFA增量与基线的关系。
set services inband-flow-telemetry device-id 15000 set services inband-flow-telemetry meta-data-stack-length 100 set services inband-flow-telemetry hop-limit 4 set services inband-flow-telemetry flow-type vxlan set services inband-flow-telemetry profile ifa_profile_host1 sample-rate 1 set interfaces et-0/0/51:0 unit 0 family ethernet-switching filter input f_init set firewall family ethernet-switching filter f_init term t1 from ip-protocol udp set firewall family ethernet-switching filter f_init term t1 from ip-protocol tcp set firewall family ethernet-switching filter f_init term t1 then inband-flow-telemetry-init ifa_profile_host1 set firewall family ethernet-switching filter f_init term t1 then count ifa_stats set firewall family ethernet-switching filter f_init term t1 then accept set firewall family ethernet-switching filter f_init term t2 then count non_ifa_stats set firewall family ethernet-switching filter f_init term t2 then accept
QFX5120-32C 交换机(IFA 传输节点)上的配置
set services inband-flow-telemetry device-id 15001
QFX5120-48Y 交换机上的配置(叶 2 — IFA 终止节点)
set services inband-flow-telemetry device-id 15002 set services inband-flow-telemetry meta-data-stack-length 100 set services inband-flow-telemetry hop-limit 5 set services inband-flow-telemetry flow-type vxlan set services inband-flow-telemetry profile p_term collector source-address 172.16.3.1 set services inband-flow-telemetry profile p_term collector destination-address 172.16.3.2 set services inband-flow-telemetry profile p_term collector destination-port 3055 set interfaces xe-0/0/18 unit 0 family inet filter input f_term set interfaces xe-0/0/45 description To_Collector set interfaces xe-0/0/45 unit 0 family inet address 172.16.3.1/24 set firewall family inet filter f_term term ifa then inband-flow-telemetry-terminate p_term set firewall family inet filter f_term term ifa then count ifa_term set firewall family inet filter f_term term other then count non_ifa_term set firewall family inet filter f_term term other then accept
分步过程
将 QFX5120-48Y 交换机(叶 1)配置为启动器节点
IFA 发起方节点为流执行以下功能:
- 根据配置对感兴趣的流量进行采样。
- 通过向每个样本添加 IFA 标头,将流量转换为 IFA 流。
- 使用发起方节点元数据更新数据包。
-
配置 IFA 启动器节点属性。流量类型配置为发起方节点的 VXLAN。请注意,您必须为发起方和终止节点(L3 或 VXLAN)配置相同的流类型。与此示例一样,如果为发起方节点配置 VXLAN 流量类型,请确保也为终止节点配置 VXLAN 流量类型。
[edit] user@host# set services inband-flow-telemetry device-id 15000 user@host# set services inband-flow-telemetry meta-data-stack-length 100 user@host# set services inband-flow-telemetry hop-limit 4 user@host# set services inband-flow-telemetry flow-type vxlan user@host# set services inband-flow-telemetry profile ifa_profile_host1 sample-rate 1
sample-rate,将对入口端口接收的每个数据包进行采样。如果您更喜欢不太积极的采样,请增加该sample-rate值。 -
将过滤器绑定到发起方节点入口接口。
[edit] user@host# set interfaces et-0/0/51:0 unit 0 family ethernet-switching filter input f_init
-
创建防火墙以控制 IFA 采样。首先定义应采样的主机流量类型。在此示例中,您希望对 UDP 和 TCP 流量流执行分析。在此示例中,您将配置名为
f_init的防火墙过滤器,名称为term1。[edit] user@host# set firewall family ethernet-switching filter f_init term t1 from ip-protocol udp user@host# set firewall family ethernet-switching filter f_init term t1 from ip-protocol tcp user@host# set firewall family ethernet-switching filter f_init term t1 then accept
通过将操作修饰符
inband-flow-telemetry-init添加到 t1 术语,可以将筛选器配置为执行 IFA 采样。请注意,带内流量遥测配置文件ifa_profile_host1链接到过滤器:user@host# set firewall family ethernet-switching filter f_init term t1 then inband-flow-telemetry-init ifa_profile_host1 user@host# set firewall family ethernet-switching filter f_init term t1 then count ifa_stats user@host# set firewall family ethernet-switching filter f_init term t2 then count non_ifa_stats user@host# set firewall family ethernet-switching filter f_init term t2 then accept
将 QFX5120-32C 交换机配置为中转节点
IFA 中转节点将中转节点元数据插入指定 VXLAN 流的 IFA 数据包中。
配置中转节点 QFX5120-32C 交换机的全局设备标识符。
user@host# set services inband-flow-telemetry device-id 15001
将 QFX5120-48Y 交换机(叶 2)配置为终止节点
IFA 终止节点对流执行以下操作:
- 在 IFA 数据包中插入终止节点元数据。
- 对一个或多个元数据段执行本地分析功能,例如,停留时间阈值突破、拥塞通知等。
- 在克隆流量的情况下筛选 IFA 流。
- 将数据包的副本或报告发送到收集器。
- 删除 IFA 标头并在实时流量时转发数据包。
-
配置终止节点相关属性,例如全局设备标识符和流类型。
user@host# set services inband-flow-telemetry device-id 15002 user@host# set services inband-flow-telemetry meta-data-stack-length 100 user@host# set services inband-flow-telemetry hop-limit 5 user@host# set services inband-flow-telemetry flow-type vxlan
使用收集器相关信息配置 IFA 配置文件。
user@host# set services inband-flow-telemetry profile p_term collector source-address 172.16.3.1 user@host# set services inband-flow-telemetry profile p_term collector destination-address 172.16.3.2 user@host# set services inband-flow-telemetry profile p_term collector destination-port 3055
-
配置用于终止节点叶 2 的收集器接口。
user@host# set interfaces xe-0/0/45 unit 0 family inet address 172.16.3.1/24
将防火墙过滤器应用于预配置接口,以激活叶 2 上的带内流量遥测出口处理。
在此示例中,您将防火墙过滤器映射到f-terminet物理接口 xe-0/0/18 的逻辑接口 0 系列:user@host# set interfaces xe-0/0/18 unit 0 family inet filter input f_term
-
创建防火墙过滤器并配置操作
inband-flow-telemetry-terminate。在此示例中,您将配置名为
f-term的防火墙过滤器,其术语名称t1包含操作inband-flow-telemetry-terminate,并将带内流量遥测终止配置文件映射到该过滤器p_term:user@host# set firewall family inet filter f_term term t1 then count ifa_term user@host# set firewall family inet filter f_term term t1 then inband-flow-telemetry-terminate p_term user@host# set firewall family inet filter f_term term t1 then accept user@host# set firewall family inet filter f_term term other then count non_ifa_term user@host# set firewall family inet filter f_term term other then accept
结果
QFX5120-48Y 交换机(叶 1 — IFA 启动器节点)的结果
在操作模式下,输入 show configuration services、 show configuration interfaces和 show configuration firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
输出显示预先存在的 EVPN-VXLAN 基准的部分内容,为添加 IFA 所需的配置增量提供上下文。
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15000;
}
meta-data-stack-length 100;
hop-limit 4;
flow-type vxlan;
profile {
ifa_profile_host1 {
sample-rate 1;
}
}
}
[edit]
user@host> show configuration interfaces
[output truncated]
xe-0/0/44 {
description Connected_to_Spine1;
unit 0 {
family inet {
address 10.100.13.1/24;
}
}
}
et-0/0/51:0 {
description Connected_to_Host1_vlan_101;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 101;
}
filter {
input f_init;
}
}
}
}
[output truncated]
[edit]
user@host> show configuration firewall
family ethernet-switching {
filter f_init {
term t1 {
from {
ip-protocol [ udp tcp ];
}
then {
accept;
inband-flow-telemetry-init ifa_profile_host1;
count ifa_stats;
}
}
term t2 {
then {
accept;
count non_ifa_stats;
}
}
}
}
在设备上配置完功能后,从配置模式输入 commit 。
QFX5120-32C 交换机(IFA 传输节点)的结果
在操作模式下,输入 show configuration services和 show configuration interfaces 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15001;
}
}
在设备上配置完功能后,从配置模式输入 commit 。
QFX5120-48Y 交换机(叶 1 — IFA 终止节点)的结果
在操作模式下,输入 show configuration services、 show configuration interfaces和 show configuration firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host> show configuration services
inband-flow-telemetry {
device-id {
15002;
}
meta-data-stack-length 100;
hop-limit 5;
flow-type vxlan;
profile {
p_term {
collector {
source-address 172.16.3.1;
destination-address 172.16.3.2;
destination-port 3055;
}
}
}
}
[edit]
user@host> show configuration interfaces
[edit]
user@host> show configuration interfaces
[output truncated]
xe-0/0/18 {
description Connected_to_Spine1;
unit 0 {
family inet {
filter {
input f_term;
}
address 10.100.12.1/24;
}
}
}
xe-0/0/44 {
description Connected_to_Host2_vlan_101;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 101;
}
}
}
}
xe-0/0/45 {
description To_Collector;
mtu 9200;
unit 0 {
family inet {
address 172.16.3.1/24;
}
}
}
[output truncated]
[edit]
user@host> show configuration firewall
family inet {
filter f_term {
term t1 {
then {
count ifa_term_c;
inband-flow-telemetry-terminate p_term;
accept;
}
}
term other {
then {
count non_ifa_term;
accept;
}
}
}
}
在设备上配置完功能后,从配置模式输入 commit 。
验证
验证IFA统计数据
Purpose
显示启动器节点上的 IFA 统计信息。
Action
在操作模式下,输入 show services inband-flow-telemetry stats 命令。
IFA Init Packets : 70989449712 IFA Transit Packets : 0 IFA Terminate Rx Packets : 0 IFA Terminate Tx Packets : 0
验证 IFA 全局配置
Purpose
显示在启动器节点上配置的 IFA 全局参数。
Action
在操作模式下,输入 show services inband-flow-telemetry global 命令。
Global Device ID : 15000 Meta-data Stack Length : 100 Hop Limit : 4 Flow Type : vxlan
验证 IFA 资料
Purpose
显示在启动器节点上配置的 IFA 配置文件。
Action
在操作模式下,输入 show services inband-flow-telemetry profile 命令。
Profile Name : ifa_profile_host1 Sample rate : 1 Source Address : 0.0.0.0 Destination Address : 0.0.0.0 Destination Port : 0
验证IFA统计数据
Purpose
显示中转节点上的 IFA 统计信息。
Action
在操作模式下,输入 show services inband-flow-telemetry stats 命令。
IFA Init Packets : 0 IFA Transit Packets : 26057387140 IFA Terminate Rx Packets : 0 IFA Terminate Tx Packets : 0
验证 IFA 全局配置
Purpose
显示在传输节点上配置的 IFA 全局参数。
Action
在操作模式下,输入 show services inband-flow-telemetry global 命令。
Global Device ID : 15001 Meta-data Stack Length : 240 Hop Limit : 250 Flow Type : NA
验证IFA统计数据
Purpose
显示终止节点上的 IFA 统计信息。
Action
在操作模式下,输入 show services inband-flow-telemetry stats 命令。
IFA Init Packets : 0 IFA Transit Packets : 373569 IFA Terminate Rx Packets : 374448690 IFA Terminate Tx Packets : 41605188
验证 IFA 全局配置
Purpose
显示在终止节点上配置的 IFA 全局参数。
Action
在操作模式下,输入 show services inband-flow-telemetry global 命令。
Global Device ID : 15002 Meta-data Stack Length : 100 Hop Limit : 5 Flow Type : vxlan
验证 IFA 资料
Purpose
显示在终止节点上配置的 IFA 配置文件。
Action
在操作模式下,输入 show services inband-flow-telemetry profile 命令。
Profile Name : p_term Sample rate : 0 Source Address : 172.16.3.1 Destination Address : 172.16.3.2 Destination Port : 3055
参见
更改历史记录表
功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能 。