本页内容

面向 VXLAN 的 FBT 概述
为 VXLAN 配置 FBT （QFX5120）

VXLAN 基于流的遥测（QFX5120）

Junos OS 中基于流的 VXLAN 遥测（FBT）支持在 IRB 接口上进行按流级别的分析，使用内联监控服务创建流、收集流，并使用开放标准 IP 流信息导出（IPFIX）模板将其导出到收集器，以组织流。

面向 VXLAN 的 FBT 概述

您可以为 QFX5120-32C 和 QFX5120-48Y-8C 交换机的 VXLAN 配置基于流的遥测（FBT）。面向 VXLAN 的 FBT 为具有中央路由桥接（CRB）或边缘路由桥接（ERB）叠加网络的 VXLAN 提供内联遥测数据。适用于 VXLAN 的 FBT 支持对 IRB 接口进行按流的级别分析，使用内联监控服务创建流、收集流并将其导出到收集器。借助内联监控服务，您可以监控接口入口和出口方向上的每个 IPv4 和 IPv6 数据包。

FBT 对 VXLAN 的好处
流导出概述
限制和注意事项

FBT 对 VXLAN 的好处

借助面向 VXLAN 的 FBT，您可以为具有 CRB 或 ERB 叠加网络的 EVPN-VXLAN 架构启用内联遥测数据，从而为您提供有关网络的其他信息来源，

具有 CRB 叠加网络的 VXLAN 的核心交换机可配置为第 3 层 VXLAN 网关，其中虚拟网络的集成路由和桥接（IRB）接口配置在核心交换机上。相比之下，具有 ERB 叠加网络的 VXLAN 中的核心交换机可提供 EVPN 2 类和 5 类路由的传输，并且 IRB 接口配置在分布式交换机上。ERB 设计还支持更快的服务器到服务器、园区内流量。因此，与 CRB 叠加相比，使用 ERB 叠加层时，路由更靠近终端系统。图 1和图 2 显示了这些叠加的示例拓扑。要了解有关这些 EVPN-VXLAN 架构的更多信息，请参阅技术入门：适用于园区的 EVPN-VXLAN 交换矩阵。

图 1：集中路由桥接（CRB）拓扑结构 Centrally-Routed Bridging (CRB) Topology

图 2：边缘路由桥接（ERB）拓扑 Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

Network diagram showing a hierarchical structure: SRX Series Device, WAN Router, Core 1 and Core 2 with IPs 192.168.0.1/32 and 192.168.0.2/32, Distribution 1 and 2 with IPs 192.168.1.1/32 and 192.168.1.2/32, EX4300-VC, EX4300, Mist APs, and ESI connection.

流导出概述

适用于 VXLAN 的 FBT 使用基于软件的 IPFIX 流导出。（IPFIX 在 RFC 7011 中定义。流是一系列数据包，这些数据包在接口上具有相同的核心参数集，其中一些参数包括源 IP、目标 IP、源端口、目标端口和协议。这组核心参数称为流键，软件使用此键来了解流。对于每个流程，软件会收集各种参数，并使用开放标准 IPFIX 模板将实际数据包导出到收集器，直到配置的剪辑长度，以组织流程。一旦流没有活动流量，则在配置的非活动超时期限过后，该流将老化（在[edit services inline-monitoring template template-name]层次结构级别配置flow-inactive-timeout语句）。

对于适用于 VXLAN 的 FBT，流密钥会根据您监控的是 IPv4 还是 IPv6 流量而有所不同。表 1 说明了 IPv4 流量的流密钥，表 2 说明了 IPv6 流量的流密钥。对于 IPv4 和 IPv6 流量，除了键字段外，流还包含入口和出口端口、流开始和结束时间以及字节和数据包计数增量的字段。流开始时间是软件学习流的时间戳。流停止时间是最新计数器查询的时间戳。图 3 显示了 IPv4 流量的 IPFIX 数据模板示例。

）

表 1：IPv4 流密钥
字段	字段大小（以字节为单位
源 IP 地址	4
目标 IP 地址	4
协议（TCP 或 UDP）	1
源端口（TCP 或 UDP）	2
目标端口（TCP 或 UDP）	2
虚拟路由和转发表（VRF）标识符	2
入口端口	1
VXLAN 网络标识符（第 2 层分段 ID）	3

）

表 2：IPv6 流密钥
字段	字段大小（以字节为单位
源 IP 地址	4
目标 IP 地址	4
协议（TCP 或 UDP）	1
源端口（TCP 或 UDP）	2
目标端口（TCP 或 UDP）	2
虚拟路由和转发表（VRF）标识符	2

图 3：IPv4 流量

Decoded NetFlow IPFIX packet showing version 10, length 76 bytes, timestamp Jan 24, 2022, flow sequence 1159, observation domain ID 167837696. Data template set with flow set ID 2, length 60 bytes, template ID 65000, field count 13. Fields: source and destination IP addresses, protocol, Layer 4 source and destination ports, ingress and egress interfaces, flow start and end times, packets, bytes. Used for network monitoring and analysis.

的 IPFIX 数据模板示例

限制和注意事项

仅 Junos OS 支持用于 VXLAN 的 FBT。
仅支持 IRB 接口。对于具有 CRB 叠加网络的 EVPN-VXLAN 网络，您只能监控主干上的 IRB 接口。对于采用 ERB 叠加网络的 EVPN-VXLAN 网络，您只能监控分叶上的 IRB 接口。
仅支持一个内联监控实例和一个收集器。
收集器必须可通过网络接口访问，而不仅仅是通过管理接口或环路接口。
不能配置选项模板标识符或转发类。
不支持 IPFIX 选项数据记录和 IPFIX 选项数据模板。
流学习和跟踪仅基于客户端流量数据，而不基于外部隧道标头。流学习以软件为基础，每个流最多需要 10 秒。
在软件学习流并将流安装到流表中之前，计数器不会处于活动状态。
该软件不使用 TCP FIN/RST 标志进行流老化。
该软件要求数据包中有一个第 3 层标头，并且仅支持 TCP 和 UDP 协议。
如果出口端口位于不同的 VRF 中，则对于 LAG、ECMP、广播、组播或未知流量，报告的出口端口可能不正确。

为 VXLAN 配置 FBT （QFX5120）

在为 VXLAN 配置 FBT 之前，必须先启用基于软件的 IPFIX 流导出，并且必须在统一转转发表中分配完全匹配的内存来学习流。要配置：

提交配置后，系统将提示您重新启动系统。

要为 VXLAN 配置 FBT，请执行以下作：

定义 IPFIX 模板。

要配置模板的属性，请执行以下作：

在此示例中，非活动流超时期限设置为 10 秒，模板刷新率设置为 30 秒，您已配置模板标识符，并且正在使用 IPv4 模板：

将模板附加到实例并描述收集器。

VXLAN 的 FBT 仅支持收集器的 IPv4 地址。要配置实例和收集器，请执行以下作：

在此示例中，您将创建一个名为 template_1、创建内联监控实例 i1并使用 IPv4 地址为收集器 c2 创建配置的模板：

创建防火墙过滤器并配置作inline-monitoring-instance。

要配置防火墙过滤器，请执行以下作：

在此示例中，您将配置一个名为 ipv4_ingress的 IPv4 防火墙过滤器，其术语名称 rule1 包含作 inline-monitoring-instance，并将内联监控实例 i1 映射到该过滤器：

将防火墙过滤器映射到已配置接口的逻辑单元下的家族，以在入口方向上应用内联监控。

要映射防火墙过滤器，请执行以下作：

在此示例中，您将防火墙过滤器映射 ipv4_ingress 到 inet 单元 100 的系列：

提交配置。
使用show services inline-monitoring statistics fpc-slot slot-number 命令监视内联监视统计信息。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用功能浏览器查看您使用的平台是否支持某项功能。

释放

描述

22.2R1