操作手册-流量监控操作

TOC\o"1-2"\h\z\u第1章镜 1镜像介 1镜像配置任务序 1镜像举 2镜像排错帮 2第2章RSPAN配 1RSPAN简 1RSPAN配置任务序 2RSPAN典型案 3RSPAN排错帮 6第3章sFlow配 1sFlow介 1sFlow配置任务序 1sFlow举 3sFlow排错帮 3第4章IPFIX配 1IPFIX介 1IPFIX基本配 2IPFIX举 5IPFIX排错帮 7第1端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的给另一个端口处连接一个协议分析仪（如Sniffer）或者RMON监测仪，可以监视和管理网络，并且定规则只有为permit时流镜像才能生效。session。镜像源端口则没有使用上的限制，可以是1个也可以是多个，多个源端口可以在相同的VLAN，也可以在不同VLAN。目的端口和源端口可以在不同的VLAN。镜像配置任务序列指定镜像目的端口monitorsession<session>destination interface<interface-number>指定镜像源端口monitorsession<session>source<interface-list>|cpu[slot<slotnum>]}{rx|tx|nomonitorsession<session>source<interface-list>|cpu[slot<slotnum>指定流镜像monitorsession<session>source<interface-list>}access-group<num>{rx|tx|both}nomonitorsession<session>source指定流镜像源端口及应用规no操作为删除案例179端口发出的数据帧，同时还要监测CPU接收和发出的数据帧，端口15的符合规则120（源IP为1.2.3.4,目的IP为5.6.7.8）的的数据帧，通过配置镜像来达到这个目的。4：配置规则Switch(config)#monitorsession4destinationinterfaceethernet1/0/1Switch(config)#monitorsession4sourceinterfaceethernet1/0/7rxSwitch(config)#monitorsession4sourceinterfaceethernet1/0/9txSwitch(config)#monitorsession4sourcecpuSwitch(config)#access-list120permittcp1.2.3.40.0.0.2555.6.7.80.0.0.255Switch(config)#monitorsession4sourceinterfaceethernet1/0/15access-list120rx镜像排错帮助镜像目的端口的吞吐量小于镜像源端口吞吐量的总和，目的端口无法完全源端口的流量；请减少源端口的个数或单向的流量，或者选择吞吐量更大的端口作为目的端口。镜像目的端口不能划入Isolatevlan，否则将影响跨VLAN镜像。第2章RSPAN配RSPAN简介端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的给另一个RSPAN（remoteswitchedportyzer，交换端口分析即端口镜像，突同的网络设备上，从而方便对交换机设备进行管理。在镜像的vlan上不Remote目的交换机：镜像目的端口所在的交换机，将从RemoteVLAN接收到的镜像。的交换机端将RSPANvlan上的数据发送到RSPAN目的端口采用一般模式和高级模。高级模式特性：RSPANvlanRSPANRSPAN链路的一般模式特性：RSPANRSPANvlanRSPAN的数据直接广播RSPANvlan，源端口不能配置广播抑目的端口和源端口可以在不同的VLAN。RSPAN功能之前，要先创建专属的RSPANvlan，用于转RSPAN数据报文不能在这个vlan上承载业务。由于默认情况下所有的端口都属于缺省vlan，在标记RSPANvlan时将缺省vlan、动态vlan、私有vlan、组播vlan、配置了三层接口的vlan等特殊vlanRSPANvlanMonitoraccess端口且属于RSPANvlan。反射RSPANvlan，可RSPANvlanaccess口，或者为trunk口。端口被配置为RSPAN的反射端口之后自动失去与对端的连接并在反射端口loopback相关的配置，同时其他的业务数据也将无法转发，所以反射端口要求必须是在源交换机、中间交换机和目的交换机的RSPANvlan上都不能起三层接口，否在源交换机和中间交换机的RSPAN数据传输链路换机输出方向的Trunk端nativevlan不能设置RSPANvlan，否RSPANtag在没有到达目的交换机时就会被剥离掉，从而导致RSPAN失败。access或者是trunkRSPANVLANcputx方向镜像时，反射端口必须配置为trunk端口允许RSPANVLAN的数据通过，并且其nativevlan不能配置为RSPANVLAN。； yzer)：交换端口分RSPANvlan：于RSPAN的一个特殊RSPAN配置任务序列将当前vlan配置为vlan；no操作为删除rspan指定镜像源端口monitorsession<session>source<interface-list>|cpu[slot<slotnum>]}{rx|tx|nomonitorsession<session>source<interface-list>|cpu[slot指定镜像目的端口monitorsession<session>destination interface<interface-number>配置反射端 nomonitorsession<session>reflector-monitorsession<session>remotevlannomonitorsession<session>remoteremotevaln，no操作为删除镜像组的remotevlanRSPAN典型案例而有了RSPAN功能之后，管理员只需要在中心通过net做一些简单的配置，就能了的管理工作。下图是RSPAN功能的一种应用：SourceSource 源交换机：RSPANvlan5Switch(config)#vlan5Switch(config)#monitorsession1sourceinterfaceethernet1/0/1rxSwitch(config)#monitorsession1destinationinterfaceethernet1/0/2Switch(config)#monitorsession1remotevlan5中间交换机：RSPANvlan为5。Switch(config)#vlan5Switch(Config-If-Port-Range)#switchportmodetrunk目的交换机：RSPANvlan。RSPANvlan5。Switch(config)#vlan5Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#switchportaccessvlan5interfaceethernet1/0/2trunknativevlaninterfaceethernet1/0/3RSPANvlan，可以为RSPANvlanaccess口，或者为trunk口。RSPANvlan5Switch(config)#vlan5Switch(config)#interfaceethernet1/0/3Switch(config)#monitorsession1sourceinterfaceethernet1/0/1rxSwitch(config)#monitorsession1reflector-portethernet1/0/3Switch(config)#monitorsession1remotevlan5中间交换机：RSPANvlan为5。Switch(config)#vlan5Switch(config)#interfaceethernet1/0/6-7Switch(Config-If-Port-Range)#switchportmodetrunk目的交换机：RSPANvlan。RSPANvlan为5。Switch(config)#interfaceethernet1/0/10Switch(Config-If-Ethernet1/0/10)#switchportaccessvlan5RSPAN排错帮助在源交换机和中间交换机的RSPAN数据传输链路换机输出方向的Trunk端口第3sFlow配说明sFlow介绍sFlow（RFC3176）是基于标准网络导出协议，是由InMon公司开发出来的用于网络流量信息的协议。其主要操作是由被监视的交换机、路由器把被的数据通过采样统计等操作发送到用于的用户端分析器，由分析器对收到的数据进行用户所要求的分析，从而达到网络的目的。一个sFlow系统包括：sFlow、数据收集器、和sFlow分析器。SFlow统计到sFlow分析器，sFlow分析器对采样数据进行分析并根据分析结果作出相应的处理措施。这里的交换机实现的是sFlow系统中的和数据收集器部分。不支持。对于非IPV4和IPv6的报文，按照RFC3176的要求，采用的（HEADER）模式，在分析其协议类型的基础上，报文的头信息InMon公司发布sFlow协议目前已经更新5，由RFC3176实现的是版4，而版本之间在结构和报文格式上可能存在一定的不兼容，由于版本5还没有成为正式的协议，为与当前的应用兼容，仍遵照RFC3176实现。sFlow配置任务序列 destination<collector-配置sFlow所在主机的IP地址和端配置。No nosflowagent-配置sFlow使用的源IP地址，no命令配置sFlow协议优先级nosflow配置sFlow报文数据头长nosflowheader-配置sFlow报文最大允许数据头长nosflowdata-配置sFlow硬件采样速率sflowrate{input<input-rate>|nosflowrate[input|配置sFlow统计采样间隔nosflowcounter-配置sFlow使用的分析器sflowyzernosflowyzersFlow举例 3-1sFlowsFlow分析器，PC地址为192.168.1.200，SWITCH上与PC相连的三层接口的地址192.168.1.100，SWITCH10.1.144.2loopback接口。以下是sFlow的配置配置步骤如下：switch(config)#sflowagent-address10.1.144.2switch(config)#sflowdestination192.168.1.200switch(config)#sflowpriority1switch(config)#inswitch(Config-If-Ethernet1/0/1)#sflowrateinput10000switch(Config-If-Ethernet1/0/1)#sflowrateoutput10000switch(Config-If-Ethernet1/0/1)#sflowcounter-interval20switch(Config-If-Ethernet1/0/1)#exitswitch(config)#inswitch(Config-If-Ethernet1/0/2)#sflowrateinput20000switch(Config-If-Ethernet1/0/2)#sflowrateoutput20000switch(Config-If-Ethernet1/0/2)#sflowcounter-interval40sFlow排错保证全局配置模式或者接口配置模式下所配置的sFlow如果要求统计采样，必须保证配置了接口下的统计采样间隔。第4IPFIX配说明IPFIX介绍IPFIX全称IPFlowInformationExportIP流信息输出，它是IETFCiscoNetFlowVersion9制定的用于网络中流信息测量的标准协议，它使网络中流量统计信息的目前网络界基于流(Flow)的分析技术主要有NetFlowsFlow和IPFIXNetFlow是CiscoIETFIPFIX是基于标准网络导出协议，是由InMon公司开发出来的用于网络流量信息的协议。它是固定的，不能扩展，sFlow的实时性较强，具备突出的第2-7层信息的描述能力。而IPFIX可FX和sw模存斥。机或者路由器可以同时支持这两个功能，用户可以根据实际需要来选择不同的流量统计方IPFIX配置匹配规ipfixrecord<name>noipfixrecord<name>matchdatalinkvlan{id|nomatchdatalinkvlan{id|matchdatalinkmac{destination-addressL2nomatchdatalinkmac{destination-matchdatalinkether-select{ipv4|命令不配置时，matchnoselect{ipv4|matchip{protocol|tos|destination-port|nomatchip{protocol|tos|destination-|source-portIP报文（IPv4IPv6报文protocol（IPv6next-header字段）nomatchipv4-mask设置匹配IPv4报文的源/目的地址掩码长（需要与selectipv4命令nomatchipv6-prefix设置匹配IPv6报文的源/缀长（需要selectipv6命令配matchipv6flow-设置IPv6报文的流关键字为collectcounter{bytes|nocollectcounter{bytes|packets}collecttimestampsys-uptime{|last}nocollecttimestampsys-uptime{|sys-uptimesys-uptime配置采样规则ipfixsampler<name>noipfixsampler<name>创建sampler，并进sampler配定的sampler。norate1/（N+1配置输出规ipfixexporter创建新exporter，并进入指定的exporter。ipv4destination<ipv4-address>ipv6destination<ipv6-address>源/IPv6源/transport{udp|tcp|sctp}[destination-no持UDP协议。udptemplate{timeout-rate<seconds>|refresh-rate<packets>}noudpUDP协议下模板重传参数，可配置规ipfixmonitor<name>noipfixmonitor<name>monitormonitor配置monitor。record{<name>|default-set[ipv4]|[ipv6]|[l2]|[ipv4-ipv6]|[ipv4-l2]|[ipv6-l2]}no1record或者是预exporter<name>setpacket-type{ipv4|ipv6|nosetpacket-type{ipv4|ipv6|deal{non-discard|discard|all}nodealcache{entries<entries>|timeout<active-time>|inactive<inactive-time>}|type{normal|tcp-end-detect}} cache{entries<entries>|{active<active-time>|inactive<inactive-time>}|type{normal|tcp-end-detect}}将配置应用到端口 [sampler<sampler-name>]{input|output}noipfix