01-10 分流配置

文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
437
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
基于 ECMP 的分流
图 10-3 基于 ECMP 的分流组网图
SwitchB
上游分流设备
SwitchC
SwitchA XGE2/0/1
GE1/0/1
在数据转发过程中，交换机针对上述改变源报文属性的三点，分别提供了：设备 在接收到IP报文后在进行三层转发时不关注MAC地址功能、IP报文在三层转发时 源MAC地址和目的MAC地址不变的功能和TTL值不变的功能。
● 流量出端口查询
在业务分流应用场景中，经常需要检查某些特定流量被分流到了哪些服务器，即 在分流设备上是由哪些端口输出的。交换机提供了方便快捷的流量出端口查询方 式，通过用户输入的五元组信息，获取符合五元组信息的流量的出端口信息。
GE1/0/4
GE1/0/2
GE1/0/3
Server1 Server2 Server3 Server4 10.0.1.2/24 10.0.2.2/24 10.0.3.2/24 10.0.4.2/24
基于多 Trunk 的分流
图 10-4 基于多 Trunk 的分流组网图 SwitchB 上游分流设备
License申请方法请参见《S12700, S12700E系列敏捷交换机 License使用指南》中的 “申请License”。
V200R020C00 版本特性支持情况
功能
支持该功能的单板
S12700系列交换机
S12700E系列交换机
基于Eth-Trunk的同 源同宿
ET1D2X12SSA0、 EH1D2L08QX2E、 ET1D2L16QX2H、 ET1D2H02QX2S、 ET1D2H02QX2E、 ET1D2C04HX2E、 ET1D2C04HX2S、 ET1D2C04HX2H、 ET1D2C08HX2H、EA系列、EA1 系列、EC系列、EC1系列、SC系 列、X6E系列、X6S系列
图10-1中SwitchB发送流量到SwitchC经过上游分流设备时，上游分流设备将流量复制 并发送到SwitchA，SwitchA上配置分流功能将流量分成4份分别发送到Server1、 Server2、Server3和Server4上进行处理。
在业务分流过程中，分流设备需要具备以下功能特性：
● 单纤单向通信
----结束
10.4.2 配置单纤单向通信
操作步骤
步骤1 执行命令system-view，进入系统视图。 步骤2 执行命令interface interface-type interface-number，进入接口视图。 步骤3 执行命令undo negotiation auto，配置接口工作在非自协商模式下，即强制模式。
步骤1 配置流分类。具体配置请参见《S12700, S12700E V200R020C00 配置指南 Qos》 MQC配置 中的“配置流分类”。
步骤2 配置重定向。 1. 执行命令system-view，进入系统视图。 2. 执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。 3. 执行命令redirect interface eth-trunk trunk-id，将符合流分类的报文重定向到 指定的一个Eth-Trunk接口。 4. 执行命令quit，返回系统视图。
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
10 分流配置
10 分流配置
说明
设备支持分流功能，该功能主要用于将流量信息分解成适合主机处理的粒度，可能涉及用户某些通信 内容。本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内 方可启用相应的功能。在使用、存储用户通信内容的过程中，您应采取足够的措施以确保用户的通信 内容受到严格保护。
步骤3 配置流策略。具体配置请参见《S12700, S12700E V200R020C00 配置指南 Qos》 MQC配置 中的“配置流策略”。
步骤4 在分流接口入方向应用流策略。 1. 执行命令system-view，进入系统视图。 2. 执行命令interface interface-type interface-number，进入接口视图。 3. 执行命令traffic-policy policy-name inbound，在接口入方向应用流策略。
SwitchC
SwitchA
GE1/0/1 Eth-Trunk1
GE1/0/2
XGE2/0/1
GE1/0/4 Eth-Trunk2 GE1/0/3
Server1 Server2 Server3 Server4
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
10 分流配置 438
b. 三层转发中：IP报文在三层转发时源MAC地址被替换为转发设备的系统MAC 地址，目的MAC地址被替换为下一跳设备的系统MAC地址。
c. 三层转发后：要求网络设备至少将TTL值减少1。TTL是IP报文中的一个值，网 络设备可以根据TTL值来判断数据报文在网络中的时间是否太长而应被丢弃。
文档版本 02 (2021-03-17)
缺省情况下，以太网接口处于自协商模式。 步骤4 执行命令single-fiber enable，配置单纤单向通信。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
440
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
10 分流配置
缺省情况下，未使能单纤单向通信。 ----结束
为了保证报文分析服务器的数据安全，交换机光接口单板提供了单纤通信功能。 用户通过使能发送端单纤通信命令，可以完成两个端口单根光纤单向通信。通过 该功能可以实现分析服务器只接收报文，不外发报文，从而保证了分析服务器的 数据安全。
● 同源同宿
网络流量分析中，仅分析通信双方的单向流量是不够的，往往需要结合通信双方 的双向流量才能全面分析流量包含的信息，因此需要将通信双方的报文分流到同 一台流分析服务器，这就要求分流设备在特定的转发流程中支持同源同宿。同源 同宿指属于同一个网络连接的双向数据报文必须从同一个输出接口输出。
单纤单向通信功能（即single-fiber enable命令）不能和MAC SWAP环回测试功 能同时配置，否则功能无法生效。
基于Eth-Trunk的同源同宿功能（即load-balance diffluence命令）与基于ECMP 的同源同宿功能（即ecmp load-balance diffluence命令）不能同时配置，否则 系统会提示出错。
版权所有 © 华为技术有限公司
436
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
10 分流配置
然而在分流业务中，为了确保流量分析的正确性，需要尽可能的将网络中的流量 原封不动的发送给流分析服务器，这就要求分流设备在数据转发过程中确保报文 数据完整性，不能更改报文的任何属性数据。
X6E系列、X6EK系列、 X6H系列、X6S系列
基于ECMP的同源同 所有单板 宿
所有单板
VLANIF接口在接收 到IP报文后在进行三 层转发时不关注 MAC地址
E系列、S系列
不支持
IP报文在三层转发时 源MAC地址和目的 MAC地址不变
E系列、S系列
不支持
IP报文在三层转发时 E系列（ET1D2X48SEC0除外）、S 不支持
10.2 分流应用场景
基于 Eth-Trunk 的分流
图 10-2 基于 Eth-Trunk 的分流组网图 SwitchB 上游分流设备 SwitchC
SwitchA GE1/0/1
XGE2/0/1 GE1/0/4 Eth-Trunk1
GE1/0/2
GE1/0/3
Server1 Server2 Server3 Server4
TTL不变
系列
单纤单向通信
请参见single-fiber enable命令
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
439
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
10 分流配置
说明 如需了解交换机软件配套详细信息，请点击硬件查询工具。
特性依赖和限制
10.4.3 配置分流策略
背景信息
通过配置分流策略，交换机根据报文的DSCP值、协议类型、IP地址、端口号、分片报 文的类型以及时间段等参数对报文进行分类，并将需要进行分析的报文重定向到EthTrunk。
请在需要配置分流策略的交换机上进行如下配置，并在与分光器连接的交换机接口上 应用流策略。
操作步骤
● ●
● ● ●
分流特性只在光接口板支持，电接口板不支持。以上分流特性的单板支持情况都 是指光接口板。
配置数据完整性功能后，该设备不能进行二层转发，只能进行三层转发，因此实 际组网中如需使用分流特性，请单独配置分流交换机（此交换机上不建议配置其 他特性）。
交换机加载License并使用load-balance diffluence命令使能分流功能后，所有接 口下自动生成mac-address learning disable的配置，关闭MAC地址学习功能。
----结束
10.4.4 检查基于 Eth-Trunk 进行分流的配置结果
操作步骤
● 执行命令display trunkmembership eth-trunk trunk-id，查看Eth-Trunk的成员 接口信息。
10.1 分流简介 10.2 分流应用场景 10.3 分流配置注意事项 10.4 配置基于Eth-Trunk的分流 10.5 配置基于ECMP的分流 10.6 配置基于多Trunk的分流 10.7 查看指定报文的出接口 10.8 分流配置举例
10.1 分流简介
由于现在骨干网络链路的带宽通常都很宽，远远超过单台主机设备的分析处理能力。 如果将从网络中获取的流量信息转发到某一单台主机设备进行分析处理，是不切合实 际的。因此分流设备需要具有将流量信息分解成适合主机处理的粒度的能力，即分流 能力。分流功能的实现如图10-1所示。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
435
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
图 10-1 分流功能实现组网图
SwitchB 上游分流设备 SwitchC
10 分流配置
SwitchA
流量信息
Server1 Server2 Server3 Server4
● 数据完整性
设备在进行三层转发的过程中，以下三种情况均会改变源报文的部分属性：
a. 三层转发前：分流设备在接收源报文后需要做一次目的MAC地址的替换工 作。
说明
通常情况下设备在接收到IP报文后检查报文的目的MAC地址是否与设备的系统MAC地址一 致，如果一致，则进行三层转发；如果不一致，则丢弃报文。然而作为网络中的业务报文 的目的MAC地址必定与分流设备的系统MAC地址不同，因此，分流设备在接收源报文后 需要做一次目的MAC地址的替换工作，以防止业务报文被丢弃。
S12700, S12700E 系列敏捷交换机 配置指南-网络管理与监控
10 分流配置
10.3 分流配置注意事项
涉及网元
需要上游分流设备和流量处理服务器配合使用。
License 支持
S12700系列交换机的分流功能使用License控制（基于ECMP的同源同宿功能除外）， 缺省情况下，新购买的S12700系列交换机的分流功能未打开。如果需要使用S12700系 列交换机的分流功能，请联系设备经销商申请并购买License。如果没有License，分流 相关命令可以在设备上配置，但是分流功能不能实现。S12700E系列交换机的分流功 能无需获得License许可即可应用。
10.4 配置基于 Eth-Trunk 的分流
前置任务
在配置基于Eth-Trunk的分流之前，需完成Eth-Trunk的创建，以及Eth-Trunk成员口的 添加。
10.4.1 配置基于 Eth-Trunk 的同源同宿功能
பைடு நூலகம்
操作步骤
步骤1 执行命令system-view，进入系统视图。 步骤2 执行命令interface eth-trunk trunk-id，进入Eth-Trunk接口视图。 步骤3 执行命令load-balance diffluence，配置Eth-Trunk接口基于同源同宿的分流功能。