sFlow 监控技术
sFlow 技术概述
sFlow 技术是一种用于高速交换或路由网络的监控技术。sFlow 监控技术会收集网络数据包的样本,并通过 UDP 数据报将其发送到称为 收集器的监控站。您可以在设备上 配置 sFlow 技术,以同时以线速持续监控所有接口上的流量。您必须在每个接口上分别启用 sFlow 监控;您无法使用单个配置语句在所有接口上全局启用 sFlow 监控。Junos OS 支持 RFC 3176, InMon Corporation 的 sFlow 中描述的 sFlow 技术标准:一种监控交换和路由网络 中的流量的方法(请参阅 http://faqs.org/rfcs/rfc3176.html)。
sFlow 技术实施以下两种采样机制:
-
基于数据包的采样 — 从启用 sFlow 技术的接口中从指定数量的数据包中抽样一个数据包。每个数据包的前 128 个字节只会发送至收集器。收集的数据包括以太网、IP 和传输层标头以及其他应用程序级报头(如果存在)。尽管这种类型的采样可能无法捕获不频繁的数据包流,但大多数流量都是随着时间的推移报告的,使收集器能够合理准确地生成网络活动表示。在指定采样率时,您可以配置基于数据包的采样。
-
基于时间的采样 — 从启用 sFlow 技术的接口中按指定间隔对接口统计信息(计数器)进行采样。捕获以太网接口错误等统计信息。您可以在指定轮询间隔时配置基于时间的采样。
sFlow 技术的优势
-
网络分析器等软件工具可以使用 sFlow 来同时持续监控数以万计的交换机或路由器端口。
-
由于 sFlow 使用网络采样(从 n 总数据包数转发一个数据包)进行分析,因此它不涉及资源(例如处理、内存等)。采样在硬件应用专用集成电路 (ASIC) 上完成,因此更简单、更准确。
交换机上的 sFlow 支持
EX 系列
EX 系列交换机采用分布式 sFlow 架构。sFlow 代理有两个独立的采样实体,它们与每个数据包转发引擎相关联。这些采样实体称为子代理。每个子代理都有一个唯一的 ID,可供收集器用于标识数据源。子代理具有自己的独立状态,并将自己的示例数据包转发到 sFlow 代理。sFlow 代理负责将样本打包为数据报,并将其发送到 sFlow 收集器。由于采样分布在子代理之间,收集器与 sFlow 技术关联的协议开销显著降低。
对于 EX9200 交换机和 MX 系列路由器,我们建议为线卡中的所有端口配置相同的采样率。如果配置不同的采样速率,则最低值将用于线卡上的所有端口。
如果是双 VLAN,可能不会报告所有字段。
如果 虚拟机箱 设置中的主要角色分配发生变化,sFlow 技术将继续发挥作用。
QFX 系列
交换机上的 sFlow 技术仅对原始数据包标头进行采样。原始以太网数据包是完整的第 2 层网络帧。
sFlow 监控系统由嵌入在设备(交换机)中的 sFlow 代理和最多四个外部收集器组成。sFlow 代理的两个主要活动是随机采样和统计数据收集。sFlow 代理执行数据包采样并收集接口统计信息,然后将这些信息组合到发送至 sFlow 收集器的 UDP 数据报中。sFlow 收集器可通过管理网络或数据网络连接到交换机。交换机上的软件转发基础架构守护程序 (SFID) 会查找指定收集器 IP 地址的下一跳地址,以确定收集器是否可以通过管理网络或数据网络访问。
每个数据报都包含以下信息:
-
sFlow 代理的 IP 地址
-
样本数量
-
数据包进入代理的接口
-
数据包从代理退出的接口
-
数据包的源接口和目标接口
-
数据包的源和目标 VLAN
您可以在 sFlow 记录中查看收集器上的扩展路由器数据和扩展交换机数据标头。
扩展交换机数据包含字段信息Flow data length (byte), Incoming 802.1Q VLAN, Incoming 802.1p priority, Outgoing 802.1Q VLAN, and Outgoing 802.1p priority
扩展路由器数据包含字段信息Flow data length (byte), Next hop, Next hop source mask, and Next hop destination mask。
sFlow IP-over-IP
从 Junos OS 20.4R1 版开始,您可以使用 sFlow 技术在 QFX5100 和 QFX5200 设备上的物理端口对 IP 流量进行采样。此功能对于具有 IPv4 或 IPv6 流量的 IPv4 外部报头的 IP over-IP 隧道受支持。使用 sFlow 监控技术从 IP-over-IP 隧道随机采样网络数据包,并将样本发送到目标收集器进行监控。充当 IP-over-IP 隧道入口点、传输设备或隧道端点的设备支持 sFlow 采样。 表 1 显示了在用作 IP-over-IP 隧道入口点、传输设备或隧道端点的设备的入口或出口接口对数据包进行采样时报告的字段。|
sFlow 字段 |
隧道入口点 |
传输设备 |
隧道端点 |
|---|---|---|---|
|
Raw packet header |
仅包含有效负载 |
包括有效负载和隧道标头 |
出口:仅包含有效负载 入口:包括有效负载和隧道标头 |
|
Input interface |
传入 IFD SNMP 索引 |
传入 IFD SNMP 索引 |
传入 IFD SNMP 索引 |
|
Output interface |
传出 IFD SNMP 索引 |
传出 IFD SNMP 索引 |
传出 IFD SNMP 索引 |
QFabric
在 QFabric 系统上,sFlow 技术将每个节点设备上的接口作为一个组进行监控,并根据该接口组上的流量实施二进制回退算法。
在 QFabric 系统上,如果未配置可选参数,则使用以下默认值:
-
代理 ID 是默认分区的管理 IP 地址。
-
源 IP 是默认分区的管理 IP 地址。
此外,QFabric 系统子代理 ID(包含在 sFlow 数据报中)是数据报从中发送到收集器的节点组的 ID。
在 QFabric 系统上,sFlow 技术架构是分布式的。QFabric System Director 设备上定义的全局 sFlow 技术配置分发给接口上配置了 sFlow 采样的节点组。sFlow 代理在每个节点设备上运行一个单独的采样实体,称为 子代理。每个子代理都有自己的独立状态,并将自己的示例信息(数据报)直接转发到 sFlow 收集器。
在 QFabric 系统上,必须能够通过数据网络访问 sFlow 收集器。由于每个节点设备的所有路由都存储在默认路由实例中,因此应将收集器 IP 地址包含在默认路由实例中,以确保收集器可从节点设备访问。
无论流量速率如何或配置的采样间隔如何,只要数据报的大小达到 1500 字节的最大以太网传输单元 (MTU),或者当 250 毫秒计时器到期(以发生于先者为准)时,都发送数据报。计时器可确保收集器接收定期采样的数据。
sFlow 中的基于数据包的采样在硬件中实现。如果流量级别异常高,则硬件产生的样本数将超过它可处理的程度,并且会丢弃额外的样本,从而产生不准确的结果。启用语句 disable-sw-rate-limiter 将禁用软件速率限制算法,并允许硬件采样速率保持在最大采样速率范围内。
EVPN-VXLAN
在 QFX10000 系列交换机上,您可以使用 sFlow 技术对通过 EVPN-VXLAN 传输的已知组播流量进行采样。对于通过 EVPN-VXLAN 或面向核心接口进入交换机并将交换机从面向客户的端口出口的流量的流量,支持对已知组播流量采样。此外,仅在出口方向上支持已知组播流量采样。要对面向客户的端口的已知组播流量启用出口 sFlow 采样,您需要在出口方向的接口上启用 sFlow,就像对标准单播流量采样场景一样。此外,您需要在 egress-multicast enable 层次结构级别包含选项 [edit forwarding options sflow] 。组播流量示例的最大复制速率可使用层级的选项eggress-multicast max-replication-rate rate[edit forwarding options sflow eggress-multicast]进行配置。
当一组支持 sFlow 出口采样的接口订阅到给定组播组并启用出口 sFlow 组播采样选项时,所有接口都将以相同的速率采样。配置的 sFlow 速率的最小值,换言之,此组接口中最积极的采样速率用于对集中的所有接口进行采样。如果单个端口属于多个组播组,则生成不同速率的取样,因为特定组的组播采样取决于该特定组的端口之间最积极的采样速率。
在 EVPN-VXLAN 上,sFlow 支持集中路由桥接 (CRB) 和边缘路由桥接 (ERB) 架构。EVPN-VXLAN 仅支持 IPv4 地址。
| 传入接口和封装 | 传出接口和封装 | 必要抽样内容 | 转发场景 | 元数据 |
|---|---|---|---|---|
| 接入端口 2 层流量 | 网络端口 | 传入第 2 层标头 + 第 2 层有效负载 | 数据包使用 VXLAN 标头封装并转发。 | 传入接口索引或标识符。传出接口索引或标识符 |
| 网络端口 3 层流量 | 接入端口 | 传入第 3 层报头 + VXLAN 报头 + 内部有效负载 | 数据包被解封并转发。 | 传入虚拟隧道端点 (VTEP) 接口索引或标识符。传出接口索引或标识符 |
| 接入端口 2 层流量 | 网络端口 | 传入第 2 层标头 + 第 2 层有效负载 | 数据包使用 VXLAN 标头封装并转发。 | 传入接口索引或标识符。传出接口索引或标识符 |
| 网络端口 3 层流量 | 接入端口 | 内部有效负载 | 数据包被解封并转发。 | 传入 VTEP 接口索引或标识符。传出接口索引或标识符 |
表 3 提供扩展交换机数据和扩展路由数据的元数据信息。
| EVPN-VXLAN | 场景 | 流量类型 | sFlow 接口侧 | VXLAN 隧道类型 | 扩展交换机数据 | 扩展路由数据 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| IIF VLAN | IIF VLAN 优先级 | OIF VLAN | OIF VLAN 优先级 | NH IP | NH SMASK | NH DMASK | |||||
| CRB | 2 层 GW 叶式 | 2 层 | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 |
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 3 层 GW 主干 | 2 层 | 入口 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | |
| 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | ||||
| 交通 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 出口 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | |||
| 否 | 否 | 否 | 否 | 否 | 否 | 否 | 否 | ||||
| 交通 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 3 层流量(Vlan 间案例) | 入口 | 封装 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||
| 开封 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 交通 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 出口 | 封装 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 开封 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| 交通 | 否 | 否 | 否 | 否 | 是 | 是 | 是 | ||||
| ERB | 2 层+ 3 层 | 2 层 | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 |
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 否 | 是 | |||
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 3 层流量(VLAN 间案例) | 入口 | 封装 | 是 | 是 | 否 | 否 | 是 | 是 | 是 | ||
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
| 出口 | 封装 | 是 | 否 | 否 | 否 | 是 | 是 | 是 | |||
| 开封 | 否 | 否 | 是 | 否 | 否 | 否 | 否 | ||||
路由器上的 sFlow 支持
PTX 系列
在 PTX1000 路由器和 QFX10000 系列交换机上,sFlow 技术始终在物理接口级别运行。在一个逻辑接口上启用 sFlow 监控,即可在属于该物理接口的所有逻辑接口上进行监控。
在 PTX1000 路由器、PTX10000 路由器和 QFX10000 系列交换机上,只能在活动逻辑接口上配置 sFlow。show interfaces terse使用命令显示接口的状态信息。如果某个接口的操作状态和管理状态均已启动,则表示为活动接口。
在 PTX10000 路由器、PTX5000 路由器和 QFX10000 系列交换机上,当入口或出口接口是路由实例的一部分,特别是在 ECMP 场景中,sFlow 不会按预期生成示例。
GRE 封装
在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 和 PTX10016 设备上,sFlow 支持为进入 IPv4 或 IPv6 GRE 隧道的流量导出扩展隧道出口结构字段。这使得 sFlow 能够提供有关进入设备的数据包可能被封装到的 GRE 隧道的信息。GRE 隧道可以是 IPv4 或 IPv6。只有在入口方向上启用了 sFlow,其中基于防火墙的 GRE 封装发生在 IPv4 或 IPv6 数据包上时,才支持此功能。
启用入口 sFlow 采样时,以下流量场景支持此功能:
-
采用 IPv4 GRE 封装的传入 IPv4 流量
-
接受 IPv4 GRE 封装的传入 IPv6 流量
-
采用 IPv6 GRE 封装的传入 IPv4 流量
-
采用 IPv6 GRE 封装的传入 IPv6 流量
要了解有关 sFlow 和 sFlow 隧道结构的更多信息,请参阅 sFlow 隧道结构。
表 4 介绍了进入 IPv4 或 IPv6 GRE 隧道的流量的扩展隧道出口结构字段。
| 字段名称 | 价值 |
|---|---|
| 报告的协议 | 0x2f (GRE) |
| 源 IP | 隧道源的 IPv4 或 IPv6 地址 |
| 目标 IP | 隧道目标端点的 IPv4 或 IPv6 地址 |
| 长度 | 0 |
| 源端口 | 0 |
| 目标端口 | 0 |
| tcp 标志 | 0 |
| 优先级 | 0 |
IPv4 和 IPv6 GRE 隧道的扩展结构如下:
/* opaque = flow_data; enterprise = 0; format = 1023 */
struct extended_ipv4_tunnel_egress {
sampled_ipv4 header;
}
/* opaque = flow_data; enterprise = 0; format = 1025 */
struct extended_ipv6_tunnel_egress {
sampled_ipv6 header;
} 示例 IPv4 标头结构如下:
/* Packet IP version 4 data */
/* opaque = flow_data; enterprise = 0; format = 3 */
struct sampled_ipv4 {
unsigned int length; /* The length of the IP packet excluding
lower layer encapsulations */
unsigned int protocol; /* IP Protocol type
(for example, TCP = 6, UDP = 17) */
ip_v4 src_ip; /* Source IP Address */
ip_v4 dst_ip; /* Destination IP Address */
unsigned int src_port; /* TCP/UDP source port number or equivalent */
unsigned int dst_port; /* TCP/UDP destination port number or equivalent
unsigned int tcp_flags; /* TCP flags */
unsigned int tos; /* IP type of service */
} 示例 IPv6 标头结构如下:
/* Packet IP Version 6 Data */
/* opaque = flow_data; enterprise = 0; format = 4 */
struct sampled_ipv6 {
unsigned int length; /* The length of the IP packet excluding
lower layer encapsulations */
unsigned int protocol; /* IP next header
(for example, TCP = 6, UDP = 17) */
ip_v6 src_ip; /* Source IP Address */
ip_v6 dst_ip; /* Destination IP Address */
unsigned int src_port; /* TCP/UDP source port number or equivalent */
unsigned int dst_port; /* TCP/UDP destination port number or equivalent*/
unsigned int tcp_flags; /* TCP flags */
unsigned int priority; /* IP priority */
}
sFlow 示例大小
从 PTX 系列设备的 Junos OS 演化版 23.1R1 版本开始,您可以将原始数据包标头的 sFlow 样本大小配置为要作为 sFlow 记录导出到收集器的一部分。样本大小的可配置范围为 128 字节到 512 字节。set protocols sflow sample-size Sample-Size使用命令配置示例大小。如果配置的示例大小大于 实际数据包大小,则导出实际数据包大小。如果未配置示例大小,则导出到收集器的原始数据包标头的默认大小为 128 字节。
在全局 sFlow 配置中配置的示例大小由所有在 sFlow 协议下配置的接口继承。
ACX 系列
sFlow 代理负责监控网络端口,对所有传入数据包进行取样,包括控制流量和到达系统所有端口的流量。
sFlow 技术仅在 ACX5000 系列路由器上受支持,其他 ACX 系列路由器不支持该技术。
ACX5000 系列路由器支持以下 sFlow 功能:
-
基于数据包的采样
注:ACX5448 路由器不支持此功能。
-
基于时间的采样
-
自适应采样
以下 sFlow 技术限制适用于 ACX5000 系列路由器:
-
只能在物理接口下的一个单元上配置入口和出口采样,并且为物理接口(端口)启用了 sFlow。如果未配置物理接口下的设备,则无法启用 sFlow。
-
不支持广播、未知单播和组播 (BUM) 流量的出口采样,因为 source-interface 无法填充 sFlow 数据报中的字段。
-
第 3 层转发时,未填充目标 VLAN 和目标优先级字段。
-
分析器的输出接口上不支持 sFlow 采样。
-
无法为 sFlow 提供 SNMP MIB 支持。
-
无法在 IRB 接口上启用 sFlow。
-
无法在逻辑隧道 (lt-) 和 LSI 接口上启用 sFlow。
路由器的流限制
在路由器上,sFlow 流量采样的限制包括:
-
Trio 芯片组无法为每个系列支持不同的采样速率。因此,每个线卡只能支持一个采样速率。
-
自适应负载平衡按线卡应用,而不是针对线卡下的每个接口。
路由器仅支持在线卡上配置一个采样率(包括入口和出口速率)。为了支持与其他瞻博网络产品的 sFlow 配置兼容,路由器仍接受同一线卡不同接口上的多速率配置。但是,路由器将最低速率作为该线卡所有接口的采样速率。(show sflow interfaces) 命令显示配置的速率和实际(有效)速率。但是,瞻博网络路由器仍然支持不同线卡上的不同速率。
在 Junos OS 演化版中,只能在以太网接口 (et-*) 上为以下 PTX 系列设备配置 sFlow:
-
PTX10003-80C 和 PTX10003-160C
-
PTX10008
-
PTX10001-36MR
-
PTX10004
-
PTX10016
您不能在环路接口 (lo0) 上配置 sFlow。
交换机上的流限制
在交换机上,sFlow 流量采样的限制包括:
-
EX3400、EX4100、EX4300、EX4400 和 QFX5K 系列交换机使用伪出口采样进行出口采样。数据包不是真正的出口示例。它们是未修改的副本,出现在使用出口采样的 sflow 实例设备的入口管道中。
-
在 EX9200 交换机上,sFlow 不支持真正的 OIF(传出接口)。
EX9200 交换机仅支持在 FPC(或线卡)上配置一个采样率(包括入口和出口速率)。为了支持与其他瞻博网络产品的 sFlow 配置兼容,EX9200 交换机仍可在同一 FPC 的不同接口上接受多速率配置。但是,交换机将最低速率作为该 FPC 所有接口的采样速率。(show sflow interfaces) 命令显示配置的速率和实际(有效)速率。但是,EX9200 交换机仍支持不同 FPC 上的不同速率。
路由器和交换机上的自适应采样
自适应采样 是监控网络设备上的整体传入流量速率并为接口提供智能反馈以根据流量状况动态调整接口采样速率的过程。自适应采样可防止 CPU 过载,即使接口上的流量模式发生变化,系统也能保持最佳状态。采样速率是配置出的出口或入口数据包数,其中一个数据包被取样,而自适应采样速率是每个线卡应生成的最大取样数,也就是说,这是赋予自适应采样的限制。示例负载 是指在给定时间点通过网络移动并取样的数据量(或数据包数)。提高采样率时,会减少样本负载,反之亦然。例如,假设配置的采样速率为 2(这意味着对 2 个数据包中的 1 个数据包进行采样),然后将该速率翻倍,使其为 4,或者仅采样 4 个数据包中的 1 个数据包。
您可以在层级配置自适应采样率,即每个线卡 [edit protocols sflow adaptive-sample-rate] 应生成的最大取样数。
为了确保采样的准确性和效率,QFX 系列设备使用自适应 sFlow 采样。自适应采样可监控设备上的整体传入流量速率,并为接口提供反馈,以便根据流量状况动态调整其采样速率。sFlow 代理每 5 秒读取一次接口的统计信息,并识别五个样本数量最大的接口。在独立交换机上,当达到 CPU 处理限制时,会实施二进制回退算法,将前 5 个接口的采样负载减少一半。然后,经过调整的采样速率应用于前五个接口。
即使接口上的流量模式发生变化,使用自适应采样可防止 CPU 过载,并保持设备在最佳级别运行。降低的采样负载将持续到:
-
重新启动设备。
-
您可以配置新的采样率。
-
自适应采样回退功能(如果配置)会增加采样负载,因为生成的采样数小于配置的阈值。
如果未配置特定接口,则优先级列表中下一个接口的 IP 地址将用作代理的 IP 地址。将 IP 地址分配给代理后,在重新启动 sFlow 服务之前,不会修改代理 ID。对于要分配给代理的 IP 地址,必须至少配置一个接口。
考虑
在 QFX 系列上,sFlow 流量采样的局限性包括:
-
入口接口上的 sFlow 采样无法捕获受 CPU 限制的流量。
-
出口接口上的 sFlow 采样不支持广播和组播数据包。
-
出口示例不包含在出口管道中对数据包所做的修改。
-
如果由于防火墙过滤器而丢弃数据包,则丢弃数据包的原因代码不会发送至收集器。
-
入口
out-priority和出口样本上的 VLAN 字段始终设置为 0(零)。 -
您无法在链路聚合组 (LAG) 上配置 sFlow 监控,但可以在 LAG 成员接口上单独进行配置。
-
在 QFX10000 系列交换机上,对于组播组中的一组端口,由于实际采样发生在出口数据包的入口管道中,因此这些端口之间配置的 sFlow 速率的最小或最积极的采样速率用于对该组中的所有端口进行采样。
-
从 Junos OS 19.4 及更高版本开始,在 QFX10000 系列交换机上,如果取样 UDP 数据包的目标端口为 6635,并且数据包不包含有效的 MPLS 标头,则流取样数据包将被损坏或截断。实际数据包已转发。
-
在 QFX10000 系列独立交换机和 QFX 系列虚拟机箱(使用 QFX3500 和 QFX3600 交换机)上,出口防火墙过滤器不会应用于 sFlow 采样数据包。在这些平台上,软件架构与其他 QFX 系列设备上的架构不同,sFlow 数据包由路由引擎(而不是主机上的线卡)发送,并且不会在交换机中传输。出口防火墙过滤器影响通过交换机传输的数据包,但不会影响路由引擎发送的数据包。因此,sFlow 采样数据包始终发送至 sFlow 收集器。
自适应抽样的工作原理
sFlow 代理每隔几秒钟或周期收集一次接口统计信息。根据这些聚合统计数据,计算出该周期每秒平均样本数。周期长度取决于平台:
-
EX 系列和 QFX5K 交换机以及 MX 系列和 PTX 系列路由器每 12 秒一次
-
QFX5K 以外的 QFX 系列交换机每 5 秒一次
如果线卡上所有接口的总采样速率超过自适应采样速率,将启动二进制回退算法,从而减少接口上的采样负载。自适应采样将受影响接口上的采样速率增加一倍,从而将采样负载减少一半。此过程会重复进行,直到给定线卡上的 sFlow 导致 CPU 负载降到可接受的级别。
线卡上的哪些接口参与自适应采样取决于平台:
-
对于 MX 系列路由器和 EX 系列交换机,会调整线卡上所有接口上的采样速率。
-
对于 PTX 系列路由器和 QFX 系列交换机,仅调整线卡上采样率最高的五个接口。
对于所有平台,在达到以下条件之一之前,提高的采样率始终有效:
-
设备已重新启动。
-
配置了新的采样率。
如果启用了自适应采样回退功能,并且由于流量高峰,取样数量增加到配置的采样限制阈值,则自适应采样率将相反。
自适应采样回退
在配置了 自适应采样回退 功能后,当生成的取样数量少于配置 sample-limit-threshold 的值时,使用二进制备份算法来降低采样速率(因此增加了采样负载),而不会影响正常流量。
从 Junos OS 18.3R1 版开始,对于 EX 系列交换机,Junos OS 支持自适应采样回退功能。从 Junos OS 19.1R1 版开始,对于 MX 系列、PTX 系列和 QFX 系列设备,Junos OS 支持自适应采样回退功能。
自适应采样回退默认处于禁用状态。要启用此功能,请将 fallback 和 adaptive-sample-rate sample-limit-threshold 选项包含在层次结构级别中 [edit protocols sflow adaptive-sample-rate] 。
自适应采样发生且线卡性能不佳(即一个周期内生成的取样数量小于语句的配置值 sample-limit-threshold )持续五个周期的自适应采样后,调整后的速率会相反。如果发生反向适配,并且一个周期中产生的样本数量再次小于当前调整速率的一半(因此,连续五个周期),则会发生另一个反向适应。
如果接口已按配置的速率,则不会进行反向调整。
自适应采样限制
自适应示例功能的限制如下:
-
在独立路由器或独立 QFX 系列交换机上,如果在多个接口上配置 sFlow 并采用高采样率,我们建议您将收集器指定在数据网络上,而不是在管理网络上。在管理网络上拥有大量的 sFlow 流量可能会干扰其他管理接口流量。
-
在路由器上,sFlow 不支持平滑重启。正常重启时,自适应采样速率设置为用户配置的采样速率。
-
在速率选择的线卡(支持多种速度)上,会选择采样计数最高的接口进行自适应采样回退。备份算法会选择将自适应采样速率增加到最大次数的那些接口上,然后每五秒降低一次每个接口的采样率。但是,在单速率线卡上,每个线卡仅支持一个采样速率,而自适应采样回退机制会备份线卡所有接口上的采样速率。
sFlow 代理地址分配
sFlow 收集器使用 sFlow 代理的 IP 地址来确定 sFlow 数据源。您可以配置 sFlow 代理的 IP 地址,以确保 sFlow 代理的代理 ID 保持不变。如果未指定要分配给代理的 IP 地址,将根据设备上配置的以下接口优先级顺序,自动将 IP 地址分配给代理:
|
路由器和 EX 系列交换机 |
QFX 系列设备 |
|---|---|
|
|
如果尚未配置上述两个接口,则会将任何第 3 层接口或 路由的 VLAN 接口 (RVI) 的 IP 地址分配给代理。必须至少在交换机上配置一个接口,才能将 IP 地址自动分配给代理。自动分配代理的 IP 地址时,IP 地址是动态的,交换机重新启动时会发生变化。
sFlow 数据可用于提供网络流量可见性信息。您可以显式配置要分配给源数据的 IP 地址(sFlow 数据报)。如果未显式配置该地址,则配置的千兆以太网接口、10 千兆以太网接口或 RVI 的 IP 地址将用作源 IP 地址。
示例:配置 sFlow 技术以监控网络流量
此示例介绍如何配置和使用 sFlow 技术来监控网络流量。
要求
您可以使用 QFX 系列、EX 系列、PTX 系列和 MX 系列设备(例如,使用以下硬件和软件组件):
一台 EX 系列交换机
EX 系列交换机的 Junos OS 9.3 或更高版本
-
一台 MX 系列路由器
-
适用于 MX 系列路由器的 Junos OS 18.1 或更高版本
-
Junos OS 版本 11.3 或更高版本
-
一台 QFX3500 交换机
拓扑
sFlow 代理在交换机上运行。它将接口计数器和流样本组合在一起,并通过网络将其发送至 sFlow 收集器。 图 1 描述了 sFlow 系统的基本元素。
配置
要配置 sFlow 技术,请执行以下操作:
CLI 快速配置
要快速配置 sFlow 技术,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit protocols]
set sflow collector 10.204.32.46 udp-port 5600
set sflow interfaces ge-0/0/0
set sflow polling-interval 20
set sflow sample-rate egress 1000
程序
逐步过程
要配置 sFlow 技术:
配置收集器的 IP 地址和 UDP 端口:
[edit protocols] user@switch# set sflow collector 10.204.32.46 udp-port 5600
注:您最多可以配置 4 个收集器。
默认 UDP 端口为 6343。
在特定接口上启用 sFlow 技术:
[edit protocols sflow] user@switch# set interfaces ge-0/0/0
注:无法在第 3 层 VLAN 标记的接口上启用 sFlow 技术。
指定 sFlow 代理轮询接口的频率(秒):
[edit protocols sflow] user@switch# set polling-interval 20
注:也可将轮询间隔指定为全局参数。指定 0 您是否不想轮询接口。
指定出口数据包必须采样的速率:
[edit protocols sflow] user@switch# set sample-rate egress 1000
注:您可以指定出口采样率和入口采样率。如果仅 egress 设置采样率,则 ingress 采样率将被禁用。
注:建议在线卡上的所有端口上配置相同的采样速率。如果配置不同的采样速率不同,则所有端口均使用最低值。您仍然可以在不同的线卡上配置不同的速率。
- (可选)指定原始数据包标头的样本大小。样本大小配置适用于 23.1R1 Junos OS 演化版中的 PTX10003-80C、PTX10003-160C、PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 设备。
[edit protocols sflow] user@switch# set sample-size 135
结果
检查配置结果:
[edit protocols sflow]
user@switch# show
polling-interval 20;
sample-rate egress 1000;
collector 10.204.32.46 {
udp-port 5600;
}
interfaces ge-0/0/0.0;
[edit protocols sflow]
user@router# show
polling-interval 20;
source-ip 45.1.1.1;
collector 45.1.1.100;
sample-size 135;验证
要确认配置正确,请执行以下任务:
验证 sFlow 技术配置是否正确
目的
验证 sFlow 技术配置是否正确。
行动
show sflow使用命令:
user@switch> show sflow sFlow: Enabled Sample limit: 300 packets/second Polling interval: 20 seconds Sample rate egress: 1:1000: Enabled Sample rate ingress: 1:2048: Disabled Agent ID: 10.204.96.222
user@router> show sflow sFlow : Enabled Adaptive fallback : False Sample limit : 2000 packets/second Sample limit Threshold : 0 packets/second Polling interval : 20 second Sample rate egress : 1:2048:Disabled Sample rate ingress : 1:2048:Disabled Agent ID : 10.204.96.222 Agent ID IPv6 : No valid agent IPv6 Source IP address : 45.1.1.1 Source IPv6 address : No valid source IPv6 Sample Size : 128 Bytes
无法配置采样限制,并且设置为每个 FPC 每秒 300 个数据包。
含义
输出显示,sFlow 技术已启用,并指定采样限制、轮询间隔和出口采样速率的值。
验证指定接口上是否启用了 sFlow 技术
目的
验证是否已在指定接口上启用 sFlow 技术,并显示采样参数。
行动
show sflow interface使用命令:
user@switch> show sflow interface
Interface Status Sample rate Adapted sample rate Polling-interval
Egress Ingress Egress Ingress Egress Ingress
ge-0/0/0.0 Enabled Disabled 1000 2048 1000 2048 20含义
输出表示,在 ge-0/0/0.0 接口上启用了 sFlow 技术,出口采样率为 1000,入口采样速率为禁用,轮询间隔为 20 秒。
验证 sFlow 收集器配置
目的
验证 sFlow 收集器的配置。
行动
show sflow collector使用命令:
user@switch> show sflow collector Collector Udp-port No. of samples address 10.204.32.46 5600 1000 10.204.32.76 3400 1000
user@router> show sflow collector Collector Udp-port Dscp Forwarding-Class No. of samples address 45.1.1.100 6343 0 best-effort 0
含义
输出显示收集器和 UDP 端口的 IP 地址。它还显示示例数量。
示例:为 QFX10000 交换机的 EVPN-VXLAN 网络配置 sFlow
此示例可在 QFX10000 系列交换机上通过 IPv4 底层配置 EVPN-VXLAN 流量的 sFlow 监控。
要求
此示例使用以下硬件和软件组件:
- QFX10002-60C、QFX10002、QFX10008 或 QFX10016 交换机。
- Junos OS 21.3R1、21.2R2 及更高版本。
此示例假设您已经具有基于 IPv4 底层网络的 EVPN-VXLAN,并希望在 QFX10000 交换机上启用 sFlow 监控。
概述和拓扑
在此示例中,您通过 IPv4 底层对现有和工作 EVPN-VXLAN 网络流量启用 sFlow 检测。
拓扑
Figure 2 描述了具有 IPv4 底层的 EVPN-VXLAN 网络环境中的 sFlow 支持。在此拓扑中,sFlow 代理执行数据包采样并收集接口统计信息,然后将这些信息组合到发送至 sFlow 收集器的 UDP 数据报中。您可以通过管理网络或数据网络将 sFlow 收集器连接到交换机。交换机上的 sFlow 程序会查找指定收集器 IP 地址的下一跃点地址,以确定收集器是可以通过管理网络还是数据网络访问。
您应该在配置 VTEP(虚拟端口)的硬件交换机的物理端口和逻辑接口上配置 sFlow,而不是在 VTEP 本身上。在面向交换矩阵的接口上配置 sFlow 时,将采样底层流量和 VXLAN 流量。您可以在拓扑中提到的任何 R0、R1 或 R2 设备上配置 sFlow。
有关 EVPN-VXLAN 基本配置的信息,请参阅 示例:在 EVPN-VXLAN 集中路由桥接叠加中将 QFX10000 交换机配置为第 3 层 VXLAN 网关。
配置
使用以下步骤在采用 EVPN-VXLAN 网络的 QFX10000 交换机上配置 sFlow 技术:
CLI 快速配置
要在 QFX10000 交换机上快速配置此示例,请将以下命令复制粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。
[edit protocols sflow] set polling-interval 20 set sample-rate ingress 10 set source-ip 10.1.12.0 set collector 10.102.70.200set interfaces et-0/0/1.1 sample-rate ingress 100 egress 100
逐步过程
要配置 sFlow 技术:
-
指定 sFlow 代理轮询接口的频率(秒):
[edit protocols sflow] user@switch# set polling-interval 0
-
指定必须采样入口数据包的速率:
[edit protocols sflow] user@switch# set sample-rate ingress 100
-
配置源 IP 地址:
[edit protocols sflow] user@switch# set source-ip 10.1.12.0
-
配置收集器的 IP 地址:
[edit protocols sflow] user@switch# set collector 192.168.200.100
-
在特定接口上启用 sFlow 技术:
[edit protocols sflow] user@switch# set interfaces et-0/0/1.1 sample rate ingress 100 egress 100
-
提交配置:
[edit protocols sflow] user@switch# commit
结果
检查配置结果:
[edit]
user@switch# show protocols sflow
agent-id 10.1.12.0/24;
polling-interval 0;
sample-rate {
ingress 16000;
egress 16000;
}
collector 192.168.200.100;
interfaces et-0/0/54.1 {
sample-rate {
ingress 100;
egress 100;
}
}
interfaces et-0/0/56.0;
interfaces et-0/0/57.1 {
sample-rate {
ingress 100;
egress 100;
}
}
验证
确认 sFlow 配置已启用且正确无误。
验证配置的 sFlow 技术
目的
验证是否已为 EVPN-VXLAN 网络启用 sFlow 监控。
行动
在操作模式下,输入 show protocols sflow 命令。
user@switch> show protocols sflow sFlow : Enabled Adaptive fallback : Disabled Sample limit : 300 packets/second Sample limit Threshold : 0 packets/second Polling interval : 0 second Sample rate egress : 1:2048: Disabled Sample rate ingress : 1:100: Enabled Agent ID : 10.1.12.0/24 Source IP address : 10.1.12.0