• 文章搜索:

    • 战神图录

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    SecBlade NetStream统计交换机接口流量之独门秘籍

    作者:  |  上传时间:2014-11-26  |  关键字:SecBlade NetStream统计交换机接口流量之独门秘籍

    一、 方案介绍:

    由于Netstream单板与S12500主机之间是松耦合关系,因此所有需要分析的流量都是从S12500镜像到Netstream单板上。但是镜像的流量信息不携带S12500上的接口信息,因此为了能在最终的网管平台上的分析数据中得到S12500的接口信息,提供如下方案:

    1、S12500在镜像的流量中插入一个特殊的标记(DSA-TAG),该标记记录了该接口映射到Netstream单板上的子接口VLANID。

    2、Netstream单板收到带有标记的镜像流量后,对该流量进行统计分析,输出的统计报文中的入接口索引填写了一个子接口的索引,该子接口VLANID等于被镜像流量中携带标记中记录的VLANID。

    3、网管软件接收到该统计报文,根据入接口索引得出相应的子接口VLANID,根据子接口VLANID得出相应的S12500主机上的接口索引。

    二、 组网需求:

    Netstream单板实现对数据流量的统计,并将统计信息以V5/V9格式发给网管软件等进行具体分析。Netstream单板通过收到带有标记的镜像流量后,对该流量进行统计分析,输出带有接口索引的统计报文,上送网管软件。

    三、 组网图:

    四、 配置步骤:

    1. 在S125上获取接口的ChipNum及PhyPort信息。

    [S12500_1-hidecmd]_display driver intf port-info slot 2

    IfName IfIndex LogicPort LocalPort PhyPort Chip

    ……

    GigabitEthernet2/0/11 0x0110000a 114 10 8 0

    GigabitEthernet2/0/12 0x0110000b 115 11 9 0

    ……

    GigabitEthernet2/0/21 0x01100014 124 20 14 0

    GigabitEthernet2/0/22 0x01100015 125 21 15 0

    2. 执行工具软件CalcVlanID,可以直接计算出125机框上需要配置的VLANID:

    其中:SlotNum为槽位号,如上述端口都是2槽位接口;ChipNum、PhyPort信息通过上述的命令获取。

    根据计算出的vlan配置NS板卡上万兆子接口。如vlan264,子接口配置为:

    Ten-GigabitEthernet0/0.264

    3. S125上关键配置说明

    #####################配置内外网匹配感兴趣流####################

    acl number 3000

    rule 0 permit ip

    ###################### 配置流行为 #######################

    traffic classifier mirror operator and

    if-match acl 3000

    traffic behavior mirror

    mirror-to interface Ten-GigabitEthernet5/0/1

    qos policy mirror

    classifier mirror behavior mirror

    ######################125业务接口配置#######################

    #

    interface Bridge-Aggregation1

    port link-type trunk

    port trunk permit vlan all

    #

    interface Bridge-Aggregation2

    port link-type trunk

    port trunk permit vlan all

    #

    interface GigabitEthernet2/0/11

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    qos apply policy mirror inbound

    port link-aggregation group 1

    #

    interface GigabitEthernet2/0/12

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    qos apply policy mirror inbound

    port link-aggregation group 1

    #

    interface GigabitEthernet2/0/21

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    qos apply policy mirror inbound

    port link-aggregation group 2

    #

    interface GigabitEthernet2/0/22

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    qos apply policy mirror inbound

    port link-aggregation group 2

    ######################125内联接口配置#######################

    #

    interface Ten-GigabitEthernet5/0/1

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    port connection-mode extend

    stp disable

    ####################### #125 acsei配置## #######################

    acsei server enable

    4. NS板卡关键配置说明

    注:万兆接口配置的子接口号与125上配置的VLAN ID对应。

    ################配置blackhole模式的inline转发组###############

    #

    inline-interfaces 1 blackhole

    inline-interfaces 2 blackhole

    inline-interfaces 3 blackhole

    inline-interfaces 4 blackhole

    #

    ##########配置SecBlade NS插卡Ten-G接口参数###################

    #

    interface Ten-GigabitEthernet0/0

    port link-mode bridge

    port link-type trunk

    port trunk permit vlan all

    acsei-client enable

    dsa-tag switch

    #

    interface Ten-GigabitEthernet0/0.264

    port link-mode bridge

    ip netstream inbound

    port inline-interfaces 1

    dsa-tag switch

    #

    interface Ten-GigabitEthernet0/0.265

    port link-mode bridge

    ip netstream inbound

    port inline-interfaces 2

    dsa-tag switch

    #

    interface Ten-GigabitEthernet0/0.270

    port link-mode bridge

    ip netstream inbound

    port inline-interfaces 3

    dsa-tag switch

    #

    interface Ten-GigabitEthernet0/0.271

    port link-mode bridge

    ip netstream inbound

    port inline-interfaces 4

    dsa-tag switch

    #

    ################配置SecBlade NS插卡snmp参数##################

    #

    snmp-agent

    snmp-agent local-engineid 800063A203C4CAD9DCF287

    snmp-agent community write public

    snmp-agent community read private

    snmp-agent sys-info version all

    #

    ##############配置SecBlade NS插卡其他参数配置##################

    #

    ip netstream timeout active 1

    ip netstream timeout inactive 10

    ip netstream export host 172.16.0.9 9020

    ip netstream export source interface GigabitEthernet0/1

    #

    ip route-static 172.16.0.0 255.255.0.0 10.255.255.2

    #

    interface GigabitEthernet0/1

    port link-mode route

    ip address 10.255.255.33 255.255.255.0

    #

    vlan 264 to 265

    #

    vlan 270 to 271

    #

    5. NTA组件配置

    添加设备:

    服务器配置:

    增加任务:

    任务添加后:

    五、 结果分析:

    当流量经过交换机的物理口时,流量被镜像到NS板卡,NS板卡将流量信息发送给NTA组件,完成统计任务。

    最终效果:物理口

    最终效果:聚合口

    附录

    NTA接口索引号获得方式:

    可以通过MIB Browser读取节点获得,具体路径为:ifDescr中

    或者通过其他snmp软件读取节点获得:

    相关软件:

    计算Vlan ID的工具:

    读取snmp节点的工具:

    顶端