02 实施维护

1、IPFIX推荐的基本功能配置模板

采样基本配置：

ip flow-export destination 192.168.217.76 1111 //指定netflow服务器ip，必配

ip flow-export destination ipv6 2222::2222 2222 //指定netflow服务器ipv6地址，应用于ipv6采样时，选配

ip flow-export source loopback 0 //指定交换机的通信ip

ip flow-export version 10 //指定ipfix流的版本，通常是v9，v10，必配

ip flow-export template refresh-rate 200 //指定模板刷新时间，选配

ip flow-export template timeout-rate 60 //指定模板超时时间，选配

ip flow-cache entries 580000 //指定流缓存，选配

ip flow-cache timeout active 1 //指定活跃流的超时时间，选配

ip flow-cache timeout inactive 10 //指定非活跃流的超时时间，选配

ip flow-top-talkers //指定按照报文数多少来做流排列，显示前50的流，选配

Ruijie(config-flow-top-talkers)# top 50

Ruijie(config-flow-top-talkers)# sort-by packets

在全局采样的基本配置完成后，还需要进行接口相关的采样配置，根据需求的不同，通常分以下两种常见的采样模式：

1）输出流信息的接口类型为物理口的二、三层交换流采样配置

Ruijie# config terminal

Ruijie(config)# ip flow-export interface-type port //输出流信息接口类型为物理口

Ruijie(config)#ip flow layer2-switched enable //二层流也采集，默认只采样三层流

Ruijie(config)# interface gigabitEthernet 1/1

Ruijie(config-if)# ip flow ingress //接口1/1 参加输入采样

Ruijie(config)# interface gigabitEthernet 1/2

Ruijie(config-if)# ip flow ingress //接口1/2 参加输入采样

2）输出流信息的接口类型为VLAN 并且在VLAN 成员口上配置采样

示例：只统计三层流，gigabitEthernet 4/2-3（trunk口）同时属于VLAN 10和VLAN20，只对从4/2 接口出，并且输出为SVI20 的报文进行1：1 采样，其它不采样，配

置如下：

Ruijie# config terminal

Ruijie# ip flow-export interface-type vlan //输出流信息接口类型为vlan口，必配

Ruijie(config)# interface gigabitEthernet 4/2

Ruijie(config-if)# ip flow egress //接口4/2 参加输出采样

Ruijie(config-if)# exit

Ruijie(config)# interface vlan 20

Ruijie(config-if)# ip flow egress //使能SVI 的输出流统计,采样率为1 比1

Ruijie(config-if)# exit

对SVI成员口采样，要求SVI及成员物理口都需要配置采样使能。

2、IPFIX故障的常规排查方法

1）步骤1，使用show version、show version slots查看NMM卡是否正常识别，确认硬件可以正常工作，NMM卡对槽位没有特别要求。

输出信息显示如下：

Slot-9 : M8600-NMM

Cpu 0:

Hardware version : 1.20

Software version : RGOS 10.4(2b3) Release(100306)

BOOT version : 10.4(2b3) Release(95683)

CTRL version : 10.4(2b3) Release(100306)

Cpu 1:

Hardware version : 1.20

Software version : RGOS 10.4(2b3) Release(100306)

BOOT version : 10.4(2b3) Release(95683)

CTRL version : 10.4(2b3) Release(100306)

Ruijie#sh version slo

Dev Slot Port Configured Module Online Module User Status Software Status

--- ---- ---- ---------------------------- ---------------------------- ------------ ---------------

1 1 0 none none none none

1 2 2 M8600-08XFP M8600-08XFP installed ok

1 3 0 none none none none

1 4 0 M8600-NMM M8600-NMM installed ok

1 M1 0 N/A M8614-CM II N/A master

2）步骤2检查配置是否正确，IPFIX的基本配置可以参考上面的推荐示例。

3）步骤3 show IPFIX相关参数，判断IPFIX是否正常工作

IPFIX基本配置完毕后，需要检查IPFIX是否已经正常工作，主要检查Flow是否已经建立，以及流的输出情况。主要看active,如果active 不为0 表示当前ipfix 已经开始工作

建议查看完毕后，执行clear ip flow cache清除流记录，重新执行show ip flow cache查看是否有新的流生成。

Router# show ip flow cache

IP Flow Switching Cache, 4456448 bytes

3 active, 65533 inactive, 820628747 added

0 flow alloc failures

Exporting flows to 1.1.15.1 (2057)

820563238 flows exported in 34485239 udp datagrams, 0 failed

Last clearing of statistics 00:00:03

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow

TCP-BGP 71 0.0 1 49 0.0 2.5 15.8

UDP-other 17 0.0 1 328 0.0 0.0 15.7

ICMP 18966 6.7 10 28 72.9 0.1 22.9

Total: 19054 6.7 10 28 72.9 0.1 22.9

SrcIf SrcIPAddress DstIf DstIPAddress Pr TOS Flgs Pkts

Port Msk AS Port Msk AS NextHop B/Pk Active

Et1/1 52.52.52.1 Fd4/0 42.42.42.1 01 55 10 3748

0000 /8 50 0000 /8 40 202.120.130.2 28 17.8

Et1/2 52.52.52.1 Fd4/0 42.42.42.1 01 CC 10 3568

0000 /8 50 0000 /8 40 202.120.130.2 28 17.8

Et1/2 10.1.3.2 Fd4/0 42.42.42.1 01 C0 10 1124

0000 /0 0 0000 /8 40 202.120.130.2 28 17.8

......

bytes：基本流记录表占用的内存大小。

active：当前正在使用的流记录表项个数。1个流对应1个流记录表项。

inactive：配置的基本流记录表中有多少流记录表项未分配使用。

added：在此次记录期间，共创建了多少个流记录表项。（开机一直到2的32方后归零）

flow alloc failures：流表项分配失败计数。

Exporting flows to：IPFIX基本流记录报文输出目的IP（UDP端口号）。

flow exported in udp datagram：共有多少个流记录表项通过多少个UDP报文输出。

failed：IPFIX报文输出的失败计数。

Last clearing of statistics：从上一次执行clear ip flow stats起，过了多长时间，格式为HH:MM:SS，超过24小时，还要增加天数显示：DD days HH:MM:SS。

protocol：常用的IP协议与端口号。

Total Flows：从上一次执行clear ip flow stats后，属于protocol类型的流记录表项个数。

Flows/Sec：从上一次执行clear ip flow stats后，属于protocol类型的平均每秒创建的流记录表项数，为Total Flows / Last clearing of statistics

Packets/Flow：从上一次执行clear ip flow stats后，属于protocol类型的平均每个流记录表项的报文数。

Bytes/Pkt：从上一次执行clear ip flow stats后，属于protocol类型的平均每个报文的字节数。

Packets/Sec：从上一次执行clear ip flow stats后，属于protocol类型的平均每秒报文数。

Active(Sec)/Flow：平均每个流的活跃时间。从上一次执行clear ip flow stats后，属于protocol类型的已老化的基本流记录表项中，每个流的最后一个报文与第一个报文的时间差的和，除以Total Flows。

Idle(sec)/Flow：平均每个流的非活跃时间。从上一次执行clear ip flow stats后，基本流记录表项中，属于protocol类型的每个流的最后一个报文时间与收到“show ip flow cache”请求的时间差的和，除以Total Flows。

show ip flow export

29689 flows exported in 23307 udp datagrams

0 flows failed to export

0 messages failed to export

看看流的输出信息，注意看有没有流输出，多少个报文输出，输出有没有失败？同时注意：

Exporting flows to 203.193.155.208 (9996)

Exporting using source IP address 192.168.196.44

Version 10 flow records

输出的目的地址，输出的原地址，输出格式的version是否和预期相符？如输出失败请检查到NetFlow服务器通讯是否正常。输出失败还包括如下可能：

1.IPFIX没有启用。

2.IPFIX 没有配置输出目的地址。

3.IPFIX没有配置输出原地址。

4）步骤4 IPFIX捉包确认

IPFIX目前支持最多输出流到2台服务器，我们可以将某PC设置为流输出服务器，并在PC上使用Wireshark进行捉包确认流信息是否已经正确输出。

流捉包截图如下：

5）步骤5

在经过以上步骤排查仍然未能解决问题，则可以拨打4008111000获取支持，收集以下信息连同前面的操作信息一同反馈给工程师处理。

Show version

Show version slots

Show ip flow cache（多次）

Show ip flow interface

Show interface xx

Show interface xx counter

Show ip flow export（多次）

Show log

IPFIX服务器捉包

3、IPFIX功能同端口镜像（SPAN）共用时的一些注意点

1）在S8600交换机上SPAN 及IPFIX 功能都会消耗镜像资源，当镜像资源不足时，会导致配置使能端口的IPFIX 流采样功能失败。

2）在一个端口上，镜像和采样方向相同时不能同时配置，方向不同时可以同时配置，例如：入镜像（rx）和入采样（ingress）不能同时配置，或者出镜像（tx）和出采样（egress）也不能同时配置；但是入镜像和出采样可以同时配置，或者入采样和出镜像可以同时配置。

3）当一块交换卡配置了一个带镜像输出源口时（source interface xx tx），不允许在该交换卡的任何端口上再配置IPFIX 流输出（egress）统计功能。

4）一个接口配置为镜像的目的口，该接口不能配置出采样。

4、IPFIX配置egress采样时报The port enable ipfix fail because of hardware错误

ip flow-cache entries 580000

ip flow-cache timeout active 1

ip flow-cache timeout inactive 10

ip flow-export template timeout-rate 1

ip flow-export template refresh-rate 600

ip flow-export version 9

ip flow-export destination 1.1.1.1 9996

monitor session 1 destination interface GigabitEthernet 2/3

monitor session 1 source interface GigabitEthernet 2/1 both

Ruijie(config)#int g2/9

Ruijie(config-if-GigabitEthernet 2/9)#ip flow ingress

Ruijie(config-if-GigabitEthernet 2/9)#ip flow egress

The port enable ipfix fail because of hardware

该故障就是由于限制：“当一块交换卡配置了一个带镜像输出源口时（source interface xx tx），不允许在该交换卡的任何端口上再配置IPFIX 流输出统计功能”引起的。GigabitEthernet 2/1 both配置了双向镜像（那就肯定包含tx）。

采用如下规避方法，SPAN中只配置RX方向的镜像：

monitor session 1 destination interface GigabitEthernet 2/3

monitor session 1 source interface GigabitEthernet 2/1 rx

interface GigabitEthernet 2/9

ip flow egress

ip flow ingress

5、IPFIX卡，增大采样率是否会减少发往netflow的包数量或者降低发送频率

采样配置

Core-ACTIVE(config)#flow-sampler-map ruijie

Core-ACTIVE(config-sampler)#mode random one-out-of 500 //500:1的采样率

Core-ACTIVE(config-if-TenGigabitEthernet 1/1/1)#flow-sampler ruijie

1）86-IPFIX功能这块，增大采样率是不会减少往netflow 软件的发包的数量的，也不会降低发包频率；

2）比如86上面针对采样口的报文，有10000条流，每条流有自己的统计报文结果，如果是1:1，那么就是一条流里的所有报文都做统计计数，如果是1000:1的采样率，那么就是一条流里的报文做1000:1的统计计数，但是10000条流的记录肯定都是要统计的，都是要把报文发给netflow，不会减少发包的数量。

3）采样率的更改不会降低86的处理性能，也不会减少往netflow的发包数量，也就是不会降低服务器的处理性能，只会影响软件最终的一个统计比例，计算比例。

6、IPFIX卡，如何减少发往netflow的报文数量，或者降低发送频率

1）减少netflow的监控的设备，或者是减少S86上面的采样的端口；

2）增大86上面的流老化的活跃时间，与不活跃时间，这样可以增大86流输出的时间，也就是降低了发送的频率，应该可以降低netflow的处理性能

参考命令：

Ruijie(config)#ip flow timeout active 60

Ruijie(config)#ip flow timeout inactive 600

a、流老化，活跃的时间参数尝试调整为最大，先测试这个功能是否生效，可以减轻netflow处理的压力，所以需要极端的数值，如果观察到有减轻，那么在去寻求性能与发送时间的一个合理值，在做调整。这个调整不会影响86上面其他的功能，建议记录调整前的数值，然后观察调整后1h的，记录数值，做对比。

b、调整流老化时间是有功能性效果的，但是是否可以达到实质性的作用，比如降低到5Kpps的性能，那么需要实际现场测试为准，因为这个受限于客户实际网络流量的数据模型

3）可以尝试配置流聚合模式。

一个流聚合模式，就是通过其定义的特定关键字段，对主模式的流进行重新的聚合产生新的流，可以理解为将原来比如要发送的1000条流信息，现在根据他们的一些参数，比如源ip相同，可以做聚合，只发送一条信息给netflow，这份报文里面将详细携带细节的流信息，应该可以缓解发包的强度，但是具体的效果还是以现场测试为准，毕竟是实际的流量模型有很大的关系。

参考命令如下：

a、先将原来设备上关于主模式的流输出的这两条配置删除，其他配置保留

ip flow-export version 9

ip flow-export destination x.x.x.x 9996

b、增加，基于源前缀的流聚合配置，如果观察效果不明显，可以配置基于目的前缀的流聚合，或者其他参数，但是只能选择一种

ip flow-aggregation cache source-prefix

export version 9

export destination x.x.x.x 9996

cache entries 131072

cache timeout active 50

cache timeout inactive 500

enabled //一定要敲enabled

7、IPFIX接口采样率的推荐配置模板

Ruijie# config terminal

Ruijie(config)# ip flow-export interface-type port

Ruijie(config)# flow-sampler-map one-tenth //配置一个one-tenth名字的sampler-map

Ruijie(config-sampler)# mode random one-out-of 10 //配置一个one-tenth 的sampler-map 随机采样率为10 比1

Ruijie(config)# interface gigabitEthernet 4/2

Ruijie(config-if)# ip flow egress //使能接口4/2 的输出流统计,采样率为1 比1

Ruijie(config-if)# exit

Ruijie(config)# interface gigabitEthernet 4/3

Ruijie(config-if)# ip flow ingress //使能接口4/3 的输入流统计,采样率为1 比1

Ruijie(config-if)# exit

Ruijie(config)# interface gigabitEthernet 4/4

Ruijie(config-if)# flow-sampler one-tenth egress //使能接口4/4 的输出流统计,采样率为10 比1

Ruijie(config-if)# ip flow ingress //使能接口4/4 的输入流统计,采样率为1 比1

Ruijie(config-if)# exit

Ruijie(config)# interface gigabitEthernet 4/5

Ruijie(config-if)# flow-sampler one-tenth egress //使能接口4/5 的输出流统计,采样率为10 比1

Ruijie(config-if)# flow-sampler one-tenth //使能接口4/5 的输入流统计,采样率为10 比1（默认为入采样，没有ingress参数）

8、S5750E/P，S6000系列交换机是否支持IPFIX

从10.4（3b16）版本开始，S5750E/P，S6000系列交换机都支持IPFIX的流采用，不过需要注意的是，流表项条目有限，输入最大1500条，输出最大500条，所以部署的时候需评估下实际网络环境的流数量