VXLAN 基于流的遥测（QFX5120）

Junos OS 中用于 VXLAN 的基于流的遥测（FBT）可在 IRB 接口上实现按流级的分析，使用内联监控服务创建流，收集流，然后使用开放标准 IP 流信息导出（IPFIX）模板将其导出到收集器，以组织流。

适用于 VXLAN 的 FBT 概述

您可以为 QFX5120 -32C 和 QFX5120-48Y-8C 交换机的 VXLAN 配置基于流的遥测（FBT）。适用于 VXLAN 的 FBT 可为具有集中路由桥接（CRB）或边缘路由桥接（ERB）叠加的 VXLAN 提供内联遥测数据。适用于 VXLAN 的 FBT 可对 IRB 接口进行按流的层级分析，使用内联监控服务创建、收集流并将其导出到收集器。借助内联监控服务，您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。

FBT 对 VXLAN 的好处
流导出概述
限制和注意事项

FBT 对 VXLAN 的好处

借助适用于 VXLAN 的 FBT，您可以为具有 CRB 或 ERB 叠加的 EVPN-VXLAN 架构启用内联遥测数据，从而为您提供有关网络的额外信息源。

具有 CRB 叠加网络的 VXLAN 将核心交换机配置为第 3 层/第 3 层 VXLAN 网关，其中核心交换机上配置了虚拟网络的集成路由和桥接（IRB）接口。相比之下，具有 ERB 叠加网络的 VXLAN 中的核心交换机提供 EVPN 2 类和 5 类路由的传输，并且 IRB 接口配置在分布交换机上。ERB 设计还支持更快的服务器到服务器、园区内流量。因此，与 CRB 叠加相比，使用 ERB 叠加的路由更靠近终端系统。图 1和图 2 显示了这些叠加层的示例拓扑。要详细了解这些 EVPN-VXLAN 架构，请参阅技术入门：园区 EVPN-VXLAN 交换矩阵。

图 1：中央路由桥接（CRB）拓扑 Centrally-Routed Bridging (CRB) Topology

图 2：边缘路由桥接（ERB）拓扑 Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

流导出概述

适用于 VXLAN 的 FBT 使用基于软件的 IPFIX 流导出。（IPFIX 在 RFC 7011 中定义。）流是在接口上具有相同核心参数集的一系列数据包，其中一些参数包括源 IP、目标 IP、源端口、目标端口和协议。这组核心参数称为流密钥，软件使用此密钥来了解流。对于每个流量，软件会收集各种参数，并使用开放标准 IPFIX 模板将配置的剪辑长度的实际数据包导出到收集器中，以组织流量。一旦某个流没有活动流量，该流量将在配置的非活动超时期限后过期（在层次结构级别配置[edit services inline-monitoring template template-name]该flow-inactive-timeout语句）。

对于适用于 VXLAN 的 FBT，流密钥会因监控 IPv4 还是 IPv6 流量而异。表 1 介绍了 IPv4 流量的流密钥，表 2 介绍了 IPv6 流量的流密钥。对于 IPv4 和 IPv6 流量，除了键字段外，流量还包含入口和出口端口、流量开始和结束时间以及字节和数据包计数增量字段。流开始时间是软件学习流的时间戳。流停止时间是最新计数器查询的时间戳。图 3 显示了用于 IPv4 流量的 IPFIX 数据模板示例。

表 1：IPv4 流密钥
字段	字段大小（以字节为单位）
源 IP 地址	4
目标 IP 地址	4
协议（TCP 或 UDP）	1
源端口（TCP 或 UDP）	2
目标端口（TCP 或 UDP）	2
虚拟路由和转发表（VRF）标识符	2
入口端口	1
VXLAN 网络标识符（第 2 层分段 ID）	3

表 2：IPv6 流密钥
字段	字段大小（以字节为单位）
源 IP 地址	4
目标 IP 地址	4
协议（TCP 或 UDP）	1
源端口（TCP 或 UDP）	2
目标端口（TCP 或 UDP）	2
虚拟路由和转发表（VRF）标识符	2

图 3：IPv4 流量

Decoded NetFlow IPFIX packet showing version 10, length 76 bytes, timestamp Jan 24, 2022, flow sequence 1159, observation domain ID 167837696. Data template set with flow set ID 2, length 60 bytes, template ID 65000, field count 13. Fields: source and destination IP addresses, protocol, Layer 4 source and destination ports, ingress and egress interfaces, flow start and end times, packets, bytes. Used for network monitoring and analysis.

的 IPFIX 数据模板示例

限制和注意事项

仅在 Junos OS 上支持适用于 VXLAN 的 FBT。
仅支持 IRB 接口。对于使用 CRB 叠加网络的 EVPN-VXLAN 网络，您只能监控主干上的 IRB 接口。对于使用 ERB 叠加网络的 EVPN-VXLAN 网络，您只能监控叶上的 IRB 接口。
仅支持一个内联监控实例和一个收集器。
收集器必须能够通过网络接口到达，而不仅仅是通过管理接口或环路接口。
无法配置选项模板标识符或转发类。
不支持 IPFIX 选项数据记录和 IPFIX 选项数据模板。
流量学习和跟踪仅基于客户端流量数据，不基于外部隧道标头。流量学习基于软件，每个流量最多需要 10 秒。
在软件学习流并在流表中安装流之前，计数器不会处于活动状态。
软件不会使用 TCP FIN/RST 标志来进行流量老化。
软件要求数据包中有第 3 层标头，并且仅支持 TCP 和 UDP 协议。
如果出口端口位于不同的 VRF 中，则报告的出口端口可能与 LAG、ECMP、广播、组播或未知流量不正确。

为 VXLAN 配置 FBT （QFX5120）

在为 VXLAN 配置 FBT 之前，必须先启用基于软件的 IPFIX 流导出，并且必须在统一转转发表中分配完全匹配内存来了解流。要配置：

提交配置后，系统会提示您重新启动系统。

要为 VXLAN 配置 FBT：

定义 IPFIX 模板。

要配置模板的属性：

在此示例中，非活动流超时周期设置为 10 秒，模板刷新率设置为 30 秒，您已配置模板标识符，并且您使用的是 IPv4 模板：

将模板附加到实例并描述收集器。

适用于 VXLAN 的 FBT 仅支持收集器的 IPv4 地址。要配置实例和收集器，请执行以下作：

在此示例中，您将创建一个名为 template_1创建内联监控实例 i1的模板，并使用 IPv4 地址为收集器 c2 创建配置：

创建防火墙过滤器并配置作 inline-monitoring-instance。

要配置防火墙过滤器，请执行以下作：

在此示例中，您配置一个名为 ipv4_ingress的 IPv4 防火墙过滤器，其术语名称 rule1 包含作 inline-monitoring-instance，并将内联监控实例 i1 映射到该过滤器：

将防火墙过滤器映射到已配置接口的逻辑单元下的家族，以在入口方向上应用内联监控。
要映射防火墙过滤器，请执行以下作：
在此示例中，您将防火墙过滤器映射 ipv4_ingress 到 inet 单元 100 系列：
提交配置。
使用命令监控show services inline-monitoring statistics fpc-slot slot-number 内联监控统计信息。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用功能资源管理器确定您的平台是否支持某个功能。

发布

描述

22.2R1

本页内容

VXLAN 基于流的遥测 （QFX5120）