所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R005C10 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、Packet trace、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
TCP智能流量分析

TCP智能流量分析

由于TCP协议是面向连接的高可靠性协议,当前数据中心90%的业务都由TCP流量承载,一旦网络中的TCP流量出现故障,往往会造成巨大的损失。因此针对TCP流量实现了智能流量分析功能。

当一条指定的TCP业务流往返方向都经过同一个设备,设备的智能流量分析模块在设备的入端口通过ACL规则匹配该业务流,并对匹配通过的TCP流建立智能流量分析流表进行深度分析,可获得丢包、时延、当前的TCP流状态等高精度信息。

基本概念

TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP为了保证不发生丢包,发送端就给每个包指定一个序列号,同时序列号也保证了传送到接收端的包是按序接收的。然后接收端对已成功收到的包发回一个相应的确认(ACK);如果发送端在合理的往返时延RTT内未收到确认,那么对应的数据包就被假设为已丢失,将会被进行重传。TCP报文的格式如图19-3所示:

图19-3 TCP报文格式

其中,主要字段解释如下:

  • Source Port表示源端口,16 bits。
  • Destination Port表示目的端口,16 bits。Source Port和Destination Port都是TCP智能流量分析功能建立流表时使用的关键值。
  • Sequence Number是发送序列号,32 bits。
    • 如果SYN为1,表示客户端正在尝试与服务器建立TCP连接,此时的Sequence Number为TCP报文的初始序列号。

    • 如果SYN为0,表示客户端与服务器之间的TCP连接已建立,此时的Sequence Number是从客户端发送的TCP报文中第一个字节的序列号(取值为初始序列号加1)。

  • Acknowledgment Number是确认序列号,32 bits,只有ACK标志位为1时该字段的值才有效。Sequence和Acknowledgment序列号都是TCP流往返路径不一致时进行智能流量分析的重要匹配参数。
  • 各标志位,标志位是用来分析TCP流状态的重要依据:
    • URG为1表示高优先级数据包,Urgent Pointer字段有效。
    • ACK为1表示Acknowledgment Number字段有效。
    • PSH为1表示是带有PUSH标志的数据,指示接收方应该尽快将这个数据包交给应用层而不用等待缓冲区装满。
    • RST为1表示出现严重差错。可能需要复位TCP连接。
    • SYN为1表示客户端与服务器正在建立TCP连接,并使Sequence Number同步。
    • FIN为1表示没有数据需要发送了,在关闭TCP连接的时候使用。
  • Urgent Pointers是紧急指针,16 bits,只有URG为1时该字段才有效,表示紧急数据相对序列号(Sequence Number字段的值)的偏移。

TCP流匹配

  • TDE上的流匹配

    用户在TDE上配置指定待检测的业务流,并通过下发ACL规则匹配该业务流,匹配通过的将被镜像并上传给TAP。TCP智能流量分析功能不支持的ACL规则会无法下发,导致TAP收不到匹配通过的业务流。同时,TDE会根据用户下发的ACL规则再下发一条匹配回程业务流的规则,将往返路径的业务流均上送给TAP,使TAP可以分析出往返方向的高精度流特征信息。

  • TAP上的流匹配

    使能TCP智能流量分析功能后,TAP会对收到的业务流报文进行建流分析。若TDE上送的报文TAP无法处理,比如为不支持的报文类型或者如果报文数目过多超过了TAP的处理能力,那么TAP会将该报文丢弃。

TCP流分析

智能流量分析是一项基于“流”来提供报文统计分析的技术。得到匹配成功的TCP报文后,TAP会对报文进行分析处理。首先按照五元组依据报文中的关键值形成一条条的流,从而组成一个流表。得到流表以后,对流表中的一些关键字段进行统计,根据统计结果可以分析出该流的各项特征,即各项高精度的业务流信息。

流表中的统计内容在流生存周期内持续统计,且支持在设备上查看。同时该统计结果会在流老化后输出至TDA,进一步的展示和分析。

  • 五元组建流

    目前,TCP智能流量分析支持对TCP报文按照五元组建流。五元组能够唯一确定一个会话。 例如:192.168.1.1 10000 TCP 172.16.1.1 80 就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口号10000,利用TCP协议,和IP地址为172.16.1.1,端口号为80的终端进行连接。

    TCP智能流量分析依据五元组建流的五个关键值见表19-1

    表19-1 五元组形成的流表Key(关键值)

    流表Key

    说明

    ClientPort

    指定TCP流的客户端端口号。

    ClientIP

    指定TCP流的客户端IP地址。目前仅支持IPv4地址。

    • 对于依据SYN报文建立的流表,SIP对应的就是SYN报文的源IP地址;
    • 对于依据TCP中间数据报文建立的流表,SIP对应的就是TAP收到的第一个报文的源IP地址。

    ServerPort

    指定TCP流的服务器端口号。

    ServerIP

    指定TCP流的服务器IP地址。目前仅支持IPv4地址。

    Protocol

    TCP协议。

  • 流表特征信息

    按照五元组形成TCP智能流量分析流表后,TAP会统计流表中的字段,分析该流的特征信息。

    TAP能够分析的主要特征信息如表19-2所示。

    表19-2 TCP智能流量分析流特征信息

    特征信息

    详细内容

    丢包数量

    支持分别统计往返方向的如下丢包数量:
    • 总丢包数量;
    • 上游丢包数量。

    时延

    支持分别统计双向的报文往返时延(Round Trip Time),该时延为基于双向报文计算的滑动平均时延,精度为纳秒级。

    报文数量

    支持分别统计往返方向的报文数量。

    流状态

    支持分析当前流表中的TCP流状态,统计的流状态有如下几种形式:

    • SYN状态;
    • SYN+ACK状态;
    • ACK状态;
    • TCP连接建立状态;
    • TCP连接终结状态。

    流创建时间

    TCP流创建的时间。

    报文入端口

    支持分别统计往返方向的报文入端口。

    VNI

    支持分别统计往返方向的报文的VXLAN网络标识VNI。

TCP流输出

TCP智能流量分析功能支持用户在设备侧查看TAP分析出的TCP流特征信息,然而要获得可视化的、用户界面友好的分析结果,还是需要将流表发送给TDA处理,目前TDA仅支持FabricInsight,FabricInsight分为FabricInsight采集器和FabricInsight分析器。

图19-4所示,包含流分析结果的智能流量分析流表首先会被存储在设备的缓存区中,当缓存区中的智能流量分析流表达到老化条件时,设备会把缓存区中的智能流量分析流表输出给FabricInsight采集器,再由采集器将内容汇总上送给FabricInsight分析器,完成流特征信息的最终处理和展示。

图19-4 TCP智能流量分析流表输出

流老化是智能分析流表输出到FabricInsight采集器的前提。具体来说,即流表在缓存区中到达了用户设置的老化(aging)时间或老化条件时,就会被设备发送到采集器。TCP智能流量分析流老化分为以下几类,在设备上同时配置多种老化方式后,当某一流满足任一老化条件时,该流老化。

  • 活跃流的老化

    从第一个报文开始,一条流在指定的时间内一直能被采集到。流活跃时间超过设定的时长后,需要输出该流的分析信息,这种老化称为活跃流的老化。该种老化方式主要用于持续时间较长的流量,周期性输出流表内容。

  • 非活跃流的老化

    当流表中的流的最后一条记录时间超过了非活跃老化周期(即在设定时长内统计到的报文数目没有增加),设备会将该流表记录输出至TDA并删除该记录,这种老化称为非活跃的流老化。

    通过这种老化,可以清除设备上智能流量分析缓存区中的无用表项,充分利用统计表项资源。该种老化方式主用于短时流量,流量停止则立即输出流表信息,节省内存空间。

  • 由TCP连接的FIN和RST报文触发老化

    当一条流收到FIN或者RST报文时,意味着该流对应的TCP链接断开,此时可以选择及时输出流表中已有的统计内容,并将该流记录删除以节省流表空间。

    该功能默认不开启,流分析结果按照其他流老化方式进行输出。

实际上,在TAP建流分析的过程中,TAP会使用NetStream V9扩展模板定义智能分析流表中的统计字段。流表达到老化条件后,从设备输出到FabricInsight采集器的过程中,并不是以流表的形式,而是会由TAP将流表中的统计字段添加到NetStream V9扩展模板中进行封装,封装后的报文经转发芯片进行路由查找转发,最终到达采集器。

图19-5所示,智能流量分析系统的输出报文是基于UDP封装的,报文中包括NetStream V9格式的NetStream报文头和一条或多条智能流分析结果。并且对于TCP智能流量分析功能来说,由于其需要与三层远程流镜像功能叠加使用,因此智能流量分析系统输出报文的源IP地址需要设置为远程流镜像功能中的被镜像设备的IP地址。

图19-5 智能流量分析系统输出报文格式

FabricInsight采集器收到智能流量分析系统输出报文后,会依据报文源地址等报文信息对业务流特征信息进行汇总,并上送给FabricInsight分析器,进行可视化的处理。

翻译
下载文档
更新时间:2020-01-09

文档编号:EDOC1100075464

浏览量:12787

下载量:223

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页