交换机上的 sFlow 支持
交换机上的 sFlow 技术仅对原始数据包标头进行采样。原始以太网数据包是完整的第 2 层网络帧。
sFlow 监控系统由嵌入在设备(交换机)中的 sFlow 代理和最多四个外部收集器组成。sFlow 代理的两个主要活动是随机抽样和统计信息收集。sFlow 代理执行数据包采样并收集接口统计信息,然后将信息合并到发送到 sFlow 收集器的 UDP 数据报中。sFlow 收集器可以通过管理网络或数据网络连接到交换机。交换机上的软件转发基础架构守护程序 (SFID) 查找指定收集器 IP 地址的下一跃点地址,以确定是否可通过管理网络或数据网络访问收集器。
每个数据报包含以下信息:
-
sFlow 代理的 IP 地址
-
样本数量
-
数据包进入代理的接口
-
数据包退出代理的接口
-
数据包的源接口和目标接口
-
数据包的源和目标 VLAN
您可以在收集器上查看扩展路由器数据和扩展交换机数据标头作为 sFlow 记录的一部分。
扩展交换机数据包含字段信息Flow data length (byte), Incoming 802.1Q VLAN, Incoming 802.1p priority, Outgoing 802.1Q VLAN, and Outgoing 802.1p priority
扩展路由器数据包含字段信息Flow data length (byte), Next hop, Next hop source mask, and Next hop destination mask。
EX 系列交换机采用分布式 sFlow 架构。sFlow 代理有两个单独的采样实体,它们与每个数据包转发引擎相关联。这些采样实体称为子代理。每个子代理都有一个唯一的 ID,收集器使用该 ID 来标识数据源。子代理具有自己的独立状态,并将自己的样本数据包转发给 sFlow 代理。sFlow 代理负责将样本打包成数据报并将其发送到 sFlow 收集器。由于采样分布在子代理中,因此收集器上与 sFlow 技术相关的协议开销显著减少。
对于 EX9200 交换机和 MX 系列路由器,我们建议您为线卡中的所有端口配置相同的采样率。如果配置不同的采样率,则线卡上的所有端口均使用最低值。
对于双 VLAN,可能不会报告所有字段。
如果 虚拟机箱 设置中的主要角色分配发生更改,sFlow 技术将继续运行。
用于 IP-over-IP 隧道的 sFlow
从 Junos OS 20.4R1 版开始,您可以使用 sFlow 技术对 QFX5100 和 QFX5200 设备上物理端口上的 IP over-IP 流量进行采样。具有承载 IPv4 或 IPv6 流量的 IPv4 外部标头的 IP over IP 隧道支持此功能。使用 sFlow 监控技术从 IP-over-IP 隧道随机采样网络数据包,并将样本发送到目标收集器进行监控。充当 IP-over-IP 隧道入口点、中转设备或隧道端点的设备支持 sFlow 采样。 #id-overview-of-sflow-technology__table-sflow-qfx 显示了在充当 IP-over-IP 隧道入口点、中转设备或隧道端点的设备的入口或出口接口采样数据包时报告的字段。|
sFlow 字段 |
隧道入口点 |
中转装置 |
隧道端点 |
|---|---|---|---|
|
Raw packet header |
仅包括有效负载 |
包括有效负载和隧道标头 |
出口:仅包括有效负载 入口:包括有效负载和隧道标头 |
|
Input interface |
传入 IFD SNMP 索引 |
传入 IFD SNMP 索引 |
传入 IFD SNMP 索引 |
|
Output interface |
传出 IFD SNMP 索引 |
传出 IFD SNMP 索引 |
传出 IFD SNMP 索引 |
用于 QFabric 系统的 sFLow
在 QFabric 系统上,sFlow 技术将每个节点设备上的接口作为一个组进行监控,并根据该接口组上的流量实施二进制退避算法。
在 QFabric 系统上,如果未配置可选参数,则使用以下默认值:
-
代理 ID 是默认分区的管理 IP 地址。
-
源 IP 是默认分区的管理 IP 地址。
此外,QFabric 系统子代理 ID(包含在 sFlow 数据报中)是将数据报发送到收集器的节点组的 ID。
在 QFabric 系统上,sFlow 技术架构是分布式的。在 QFabric 系统 Director 设备上定义的全局 sFlow 技术配置将分发给在其接口上配置了 sFlow 采样的节点组。sFlow 代理在每个节点设备上都有一个单独的采样实体(称为 子代理)。每个子代理都有自己独立的状态,并将自己的样本信息(数据报)直接转发到 sFlow 收集器。
在 QFabric 系统上,sFlow 收集器必须可通过数据网络访问。由于每个节点设备的所有路由都存储在默认路由实例中,因此收集器 IP 地址应包含在默认路由实例中,以确保收集器可从节点设备访问。
无论流量速率或配置的采样间隔如何,只要数据报的大小达到 1500 字节的最大以太网传输单元 (MTU),或者 250 毫秒的计时器到期(以先到者为准),就会发送数据报。计时器可确保收集器接收定期采样的数据。
sFlow 中基于数据包的采样在硬件中实现。如果流量级别异常高,硬件生成的样本数将超出其处理能力,并且会丢弃额外的样本,从而产生不准确的结果。启用该 disable-sw-rate-limiter 语句将禁用软件速率限制算法,并允许硬件采样率保持在最大采样率范围内。
适用于 EVPN-VXLAN 的 sFlow
在 QFX10000 系列交换机上,您可以使用 sFlow 技术对通过 EVPN-VXLAN 传输的已知组播流量进行采样。对于通过 EVPN-VXLAN 或即面向核心的接口进入交换机并从面向客户的端口出换机的流量,支持对已知组播流量进行采样。此外,仅在出口方向支持已知的组播流量采样。要在面向客户的端口上启用已知组播流量的出口 sFlow 采样,您需要在出口方向的接口上启用 sFlow,就像对标准单播流量采样场景所做的那样。此外,还需要在层次结构级别包含[edit forwarding options sflow]该egress-multicast enable选项。组播流量样本的最大复制速率可以使用层次结构级别的选项[edit forwarding options sflow eggress-multicast]进行eggress-multicast max-replication-rate rate配置。
当一组启用了 sFlow 出口采样的接口订阅到给定组播组并启用出口 sFlow 组播采样选项时,将按相同的速率对所有接口进行采样。配置的 sFlow 速率的最小值,换句话说,这组接口中最激进的采样率用于跨集中所有接口进行采样。如果单个端口是多个组播组的一部分,则该端口将以不同的速率生成样本,因为特定组的组播采样取决于该特定组的端口中最积极的采样速率。
在 EVPN-VXLAN 上,sFlow 支持集中路由桥接 (CRB) 和边缘路由桥接 (ERB) 架构。EVPN-VXLAN 仅支持 IPv4 地址。
| 传入接口和封装 | 传出接口和封装 | 必需的采样内容 | 转发方案 | 元数据 |
|---|---|---|---|---|
| 接入端口第 2 层流量 | 网络端口 | 传入第 2 层标头 + 第 2 层有效负载 | 数据包使用 VXLAN 标头封装并转发。 | 传入接口索引或标识符。传出接口索引或标识符 |
| 网络端口第 3 层流量 | 接入端口 | 传入第 3 层报头 + VXLAN 报头 + 内部有效负载 | 数据包将被解封装并转发。 | 传入虚拟隧道端点 (VTEP) 接口索引或标识符。传出接口索引或标识符 |
| 接入端口第 2 层流量 | 网络端口 | 传入第 2 层标头 + 第 2 层有效负载 | 数据包使用 VXLAN 标头封装并转发。 | 传入接口索引或标识符。传出接口索引或标识符 |
| 网络端口第 3 层流量 | 接入端口 | 内部有效载荷 | 数据包将被解封装并转发。 | 传入 VTEP 接口索引或标识符。传出接口索引或标识符 |
#id-overview-of-sflow-technology__extended-router-metadata 提供扩展交换机数据和扩展路由数据的元数据信息。
| EVPN-VXLAN | 场景 | 流量类型 | sFlow 接口端 | VXLAN 隧道类型 | 扩展交换机数据 | 扩展路由数据 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| IIF VLAN | IIF VLAN 优先级 | OIF VLAN | OIF VLAN 优先级 | 新罕布什尔州知识产权 | NH SMASK | NH DMASK | |||||
| CRB | 第 2 层 GW 叶式 | 2 层 | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 |
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 第 3 层 GW 主干 | 2 层 | 入口 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | |
| 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | ||||
| 通过 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 出口 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | |||
| 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | ||||
| 通过 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 第 3 层流量(VLAN 间案例) | 入口 | 封装 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||
| 去盖 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 通过 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 出口 | 封装 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 去盖 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 通过 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 再培训局 | 第 2 层 + 第 3 层 | 2 层 | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 |
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 否 | 是 | |||
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 第 3 层流量(VLAN 间案例) | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 | ||
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 去盖 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
交换机上的 sFlow 限制
在交换机上,sFlow 流量采样的限制包括:
-
EX3400、EX4100、EX4300、EX4400 和 QFX5K 系列交换机使用伪出口采样进行出口采样。数据包不是真正的出口样本。它们是未修改的副本,因为它们出现在使用出口采样的 sflow 实例设备的入口管道中。
-
在 QFX5130-32CD 和 QFX5700 设备上,出口 sFlow 使用入口管道数据包,这与使用原始源和目标 IP 地址的其他 QFX 系列设备不同。出口接口上的采样数据包会显示 VXLAN 报头以及入口 VXLAN 的源 IP 地址和目标 IP 地址。
QFX5130-32CD 和 QFX5700 设备的出口采样数据包显示来自前置 VXLAN 隧道的 VXLAN 端点的 IP 地址。该命令
show interfaces vtep extensive显示采样数据包通过 VXLAN VTEP 接口路由。这不是真正的出口采样。 -
在 EX9200 交换机上,sFlow 不支持真正的 OIF(传出接口)。
EX9200 交换机仅支持在 FPC(或线卡)上配置一种采样速率(包括入口和出口速率)。为了支持与其他瞻博网络产品的 sFlow 配置兼容,EX9200 交换机仍接受同一 FPC 的不同接口上的多速率配置。但是,交换机会将最低速率编程为该 FPC 的所有接口的采样速率。(show sflow interfaces) 命令显示配置的速率和实际(有效)速率。但是,EX9200 交换机仍支持不同 FPC 上的不同速率。