CloudEngine 12800, 12800E V200R019C10 配置指南-网络管理与监控
本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、RESTCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、Packet trace配置、丢弃报文捕获配置、路径/连通性探测配置、NetStream配置、sFlow配置、iPCA配置、IOAM配置、Telemetry配置、TWAMP配置、TWAMP Light配置和智能流量分析配置。
UDP智能流量分析
UDP与TCP的主要区别在于UDP是一种无连接的传输层协议,可靠性较差。但是正因为UDP协议简单,控制选项较少,在数据传输过程中延迟小、数据传输效率高,适合对可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。因此,UDP在数据中心网络中的应用也非常广泛。针对UDP流量实现的智能流量分析功能,将对设备经过的UDP流量通过ACL匹配特征报文,上送至TAP后分析其单向流信息,再将分析结果输出TDA进行汇总分析和可视化展示。
基本概念
UDP(User Datagram Protocol,用户数据报协议)是一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。但是如图20-6所示,UDP报文结构简单,因而具有资源消耗小、处理速度快的优点,当强调传输性能而不是传输的完整性时,如:音频和多媒体应用,UDP是最好的选择。在网络中传输的时候,UDP报文是封装在IP数据包中的。
其中,主要字段解释如下:
- UDP报文由报文头和数据组成。UDP报文头很简单,只有8 bytes,由4个字段组成,每个字段的长度都是2 bytes(16 bits):
- Source Port和Destination Port表示源端口和目的端口。
- Length表示UDP报文的长度,其最小值是8,单位为bytes,表示仅有UDP报文头,没有UDP数据。
- Checksum表示校验和,用来检测UDP报文在传输中的正确性,若有错就丢弃。
- UDP报文前面封装的是IP报文头:
- Protocol表示IP报文携带的数据使用的是哪种协议,以便目的主机的IP层能知道要将数据报上交到哪个进程(不同的协议有专门不同的进程处理)。和端口号类似,此处采用协议号,TCP的协议号为6,UDP的协议号为17,ICMP的协议号为1,IGMP的协议号为2。
- Identification是主机发送的每一份数据报的唯一标识,通常每发送一个报文,它的值加一。当IP报文长度超过传输网络的MTU(最大传输单元)时可以进行报文分片,这个标识字段的值被复制到所有数据分片的标识字段中,使得这些分片在达到最终目的地时可以依照标识字段的内容重新组成原先的数据。对于一个UDP流来说,主机每发送一个UDP报文,报文中的Identification字段就会加1,通过Identification字段的值就可以确定UDP报文的序号。由于Identification字段的大小为16 bits,因此一个UDP流中UDP报文的序号最多为0-65535。
UDP流匹配
TDE上的流匹配
UDP智能流量分析模块在设备的入端口采集流量时,设备会根据用户下发的ACL规则对经过设备的流量进行匹配,匹配通过的UDP流将被镜像并上传给TAP。UDP智能流量分析功能不支持的ACL规则会无法下发,导致TAP收不到匹配通过的业务流。
TAP上的流匹配
使能UDP智能流量分析功能后,TAP会对收到的业务流报文进行建流分析。若TDE上送的报文TAP无法处理,比如为不支持的报文类型或者如果报文数目过多超过了TAP的处理能力,那么TAP会将该报文丢弃。
UDP流分析
与TCP智能流量分析功能不同的是,UDP智能流量分析功能是基于Block粒度对UDP流进行建流分析的。依据Identification字段可以确定UDP报文的序号,通过对UDP报文序号进行分段,可以将一个UDP流分为多个Block。缺省情况下,智能流量分析模块将Block数设置为256,即表示将UDP流分为256个Block,又UDP报文序号最多为0-65535,那么序号为0-255的UDP报文即属于第一个Block,如图20-7所示。
得到匹配成功的UDP流后,TAP将针对收到的第一个UDP Block中包含的所有UDP报文进行分析,依据报文中的五元组信息等关键值形成一条条的流,从而组成一个流表。得到流表以后,TAP根据TDE后续上送的UDP Block,对流表中的一些关键字段进行统计,根据统计结果可以分析出UDP流信息。
五元组建流
UDP智能流量分析支持对UDP报文按照五元组建流。五元组能够唯一确定一个UDP会话,建流的五个关键值见表20-3。
流表特征信息
根据首个UDP Block建立智能流量分析流表后,TAP会根据后续的Block内包含的UDP报文统计流表中的字段,分析该流的特征信息。需要注意的是,UDP智能流量分析功能不要求报文往返路径一致,TAP根据UDP Block建立的流表只包含该UDP流的单向信息,双向流特征信息可由TDA汇总所有收到的流分析结果后得到。
TAP能够分析的主要特征信息如表20-4所示。
表20-4 UDP智能流量分析流特征信息特征信息
详细内容
报文数量
支持统计该Block内UDP报文数量。由TDA汇总该信息后,可以判断是否出现了丢包。
报文大小
支持统计该Block内UDP报文的比特数。
时间戳
支持统计该Block的时间戳。由TDA汇总该信息后,可以分析出UDP流的时延。
路径
支持统计UDP报文的入端口信息并上送到TDA,全网配置UDP智能流量分析功能后,即可在TDA上看到相应的UDP流在网络中的实际路径。
说明:监测网络中的UDP流的路径需要全网配置UDP智能流量分析功能。
流创建时间
支持统计UDP智能流量分析流表中流的创建时间。
VNI
支持识别报文的VXLAN网络标识VNI。
UDP流输出
TAP依据TDE上送的UDP报文建立流表后,还需要把包含流分析结果的UDP智能流量分析流表输出给指定的TDA,才能完成流信息的进一步加工和可视化。UDP智能流量分析功能的流输出与TCP智能流量分析功能的流输出基本一致,详细内容请参见TCP流输出。
- 由于依赖首个UDP Block进行流表生成,首个UDP Block流分析结果将不会马上输出至TDA,TAP继续对收到的第二个UDP Block进行分析。
- 当TAP收到第三个Block的时候,首个UDP Block流分析结果将被输出至TDA;
- 当TAP收到第四个Block的时候,第二个UDP Block流分析结果将被输出至TDA。
这样,每隔一个Block,输出一份UDP Block流分析结果,直到触发非活跃流的老化条件:当一条UDP流的非活跃时间(从流最后一个报文流过时间到当前的时间)超过所设置的非活跃老化时间时,设备认为该流处于非活跃状态(流已经断了),这样就需要把当前的流表强制输出至TDA并从缓存空间中删除,为后面到来的流提供空间,这个过程称为非活跃流老化。