- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
24-NetAnalysis命令
本章节下载: 24-NetAnalysis命令 (389.31 KB)
目 录
1.1.1 display netanalysis udp cache
1.1.2 display netanalysis udp statistics
1.1.3 netanalysis udp identification block
1.1.4 netanalysis udp statistics
1.1.5 netanalysis udp timeout inactive
1.1.6 reset netanalysis udp statistics
1.2.5 display netanalysis unified-flow
1.2.6 display netanalysis unified-flow isdf-detect event-log
1.2.7 display uad detection-result
1.2.10 netanalysis unified-flow
1.2.14 hardware-flow aging-time
1.2.15 hardware-flow delay-threshold
1.2.16 hardware-flow export-interval
1.2.17 ifit color-flag tos-bit
1.2.20 isdf-detect drop-threshold
1.2.22 report-loss-reason enable
1.2.23 reset netanalysis unified-flow
1.2.24 uad enable (interface view)
1.2.25 uad enable (system view)
display netanalysis udp cache命令用来显示NetAnalysis功能中UDP流缓存区的配置和状态信息。
【命令】
display netanalysis udp cache [ destination destination-ip | interface interface-type interface-number | source source-ip | vni vxlan-id ]*
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
destination destination-ip:指定UDP流的服务器端IP地址。
interface interface-type interface-number:指定UDP流的入端口。
source source-ip:指定UDP流的客户端IP地址。
vni vxlan-id:指定UDP流的VXLAN ID,取值范围为1~16777215。
【使用指导】
设备在收到UDP流量时,不会立即向分析器发送NetAnalysis统计信息,而是将统计信息缓存到UDP流缓存区,缓存区内的流统计信息会在UDP流的非活跃老化时间到达后被清除。执行本命令将显示NetAnalysis功能中UDP流缓存区的配置和状态信息。
【举例】
# 显示NetAnalysis功能中UDP流缓冲区配置和状态信息。
<sysname> display netanalysis udp cache source 1.1.1.2 destination 2.2.2.1
NetAnalysis cache information:
-----------------------------------------------------------------------------
Flow created at Direction
Src IP Dst IP Src Port Dst Port
Interface VNI Block Id Block Timestamp
Receive Packets Receive Bytes
-----------------------------------------------------------------------------
01/22/2019 09:08:15 inbound
1.1.1.2 2.2.2.1 1000 2000
XGE3/0/1 N/A 10 100000000
5000 6000000
表1-1 display netanalysis udp cache命令显示信息描述表
|
字段 |
描述 |
|
NetAnalysis cache information |
UDP流缓存区的配置和状态信息 |
|
Flow created at |
UDP流的创建时间 |
|
Direction |
UDP流的方向 |
|
Src IP |
UDP流的源IP地址 |
|
Dst IP |
UDP流的目的IP地址 |
|
Src Port |
UDP流的源端口号 |
|
Dst Port |
UDP流的目的端口号 |
|
Interface |
UDP流的入端口 |
|
VNI |
VXLAN封装的内层UDP报文的VXLAN ID |
|
Block Id |
Block号 |
|
Block Timestamp |
Block的时间戳 |
|
Receive Packets |
UDP流从入端口采集到的该Block内的UDP报文数量 |
|
Receive Bytes |
UDP流从入端口采集到的该Block内的UDP报文的字节数 |
display netanalysis udp statistics命令用来显示NetAnalysis功能中UDP流的统计信息。
【命令】
display netanalysis udp statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示NetAnalysis功能中UDP流的统计信息。
<Sysname> display netanalysis udp statistics
Last statistics resetting time: Never
--------------------------------------------------------------------------------
Received packets: 2833088
--------------------------------------------------------------------------------
Type
Active Aged Created Reported
(Flows) (Flows) (Flows) (Flows)
--------------------------------------------------------------------------------
UDP
4 0 2 20
--------------------------------------------------------------------------------
表1-2 display netanalysis udp statistics命令显示信息描述表
|
字段 |
描述 |
|
Last statistics resetting time |
最近一次UDP流统计信息的清除时间 |
|
Received packets |
设备收到的UDP报文数目 |
|
Type |
流的类型,目前仅支持UDP流 |
|
Active (Flows) |
当前活跃的流数目 |
|
Aged (Flows) |
老化的流数目 |
|
Created (Flows) |
已经创建的流数目 |
|
Reported (Flows) |
发送给分析器的流数目 |
【相关命令】
· reset netanalysis udp statistics
netanalysis udp identification block命令用来配置UDP流量的NetAnalysis统计功能中对UDP流进行分段分析的Block数。
undo netanalysis udp identification block命令用来恢复缺省情况。
【命令】
netanalysis udp identification block block-number
undo netanalysis udp identification block
【缺省情况】
UDP流量的NetAnalysis统计功能中对UDP流进行分段分析的Block数为256。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
block-number:UDP流量的NetAnalysis统计功能中对UDP流进行分段分析的Block数,取值可以为4、8、16、32、64、128和256,单位为个数。
【使用指导】
UDP流量的NetAnalysis统计功能是基于Block粒度对UDP流进行分析的。每条UDP流中存在多个UDP报文,每发送一个UDP报文,报文中的Identification字段就会加1,通过Identification字段的值就可以确定UDP报文的序号。
一个UDP流中UDP报文的序号为0~65535,通过对UDP报文序号进行分段,可以将一个UDP流分为多个Block。例如将Block数设置为128,即表示将UDP流分为128个Block,序号为0~511的UDP报文属于第一个Block。
NAP将针对收到的UDP Block建立流表,并对其中包含的所有UDP报文进行分析。
【举例】
# 配置UDP流量的NetAnalysis统计功能中对UDP流进行分段分析的Block数为64。
<Sysname> system-view
[Sysname] netanalysis udp identification block 64
netanalysis udp statistics命令用来开启UDP流量的NetAnalysis统计功能。
undo netanalysis udp statistics命令用来关闭UDP流量的NetAnalysis统计功能。
【命令】
netanalysis udp statistics [ vxlan { single-tagged | untagged } ] acl name acl-name inbound
undo netanalysis udp statistics inbound
【缺省情况】
UDP流量的NetAnalysis统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
vxlan:表示对匹配VXLAN报文内层信息的报文进行NetAnalysis统计。如果不指定本参数,则不统计匹配VXLAN报文内层信息的报文。
single-tagged:表示对匹配VXLAN报文内层信息中携带一层VLAN Tag的报文进行NetAnalysis统计。如果指定本参数,则UDP流量的NetAnalysis仅支持统计二层VXLAN报文,并且AC(以太网服务实例)的接入模式必须是Ethernet。
untagged:表示对匹配VXLAN报文内层信息中不携带VLAN Tag的报文进行NetAnalysis统计。
acl name acl-name:指定高级ACL的名称。acl-name表示高级ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
inbound:表示对设备入方向上的UDP流量进行NetAnalysis统计。
【使用指导】
开启本功能后,设备会对指定的UDP流量进行NetAnalysis统计分析,并将分析结果上送NAP(Net-analysis Processor,网络流分析数据处理器)。指定的UDP流量通过ACL规则进行匹配,规则中指定的deny或permit动作不生效。目前仅支持如下高级ACL规则,不支持的ACL规则会无法生效,导致NAP收不到匹配通过的业务流:
· rule1:仅配置UDP协议和目的IPv4地址;
· rule2:仅配置UDP协议、目的IPv4地址和UDP目的端口号;
· rule3:仅配置UDP协议、源IPv4地址和目的IPv4地址;
· rule4:仅配置UDP协议、源IPv4地址、目的IPv4地址和UDP目的端口号。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示对设备入端口所有的UDP流量均不进行NetAnalysis统计。
· 在引用的ACL中,ACL规则不支持引用vpn-instance参数,ACL规则对公网报文和VPN报文均生效。
有关ACL规则配置的详细说明,请参见“ACL和Qos”配置中的“ACL”。
UDP流量NetAnalysis统计功能仅支持分析流经SF系列接口板的流量。
不支持对RoCEv2报文(UDP目的端口号为4791)进行UDP流量的NetAnalysis统计。
多次执行本命令,最后一次执行的命令生效。
如果在设备上同时配置如下功能时,仅优先级最高的功能生效,优先级从高到低的顺序为:
· UDP流量NetAnalysis统计
· NetAnalysis统一流量分析
· FGLB方式自适应路由
· NetStream(包括IPv4和IPv6 NetStream)
· MOD和时延监控模式的Flow Group
有关FGLB方式自适应路由功能的详细配置,请参见“三层技术-IP路由配置指导”中的“自适应路由”。有关NetStream、IPv6 NetStream的详细配置,请参见“网络管理和监控配置指导”中的“NetStream”、“IPv6 NetStream”。有关MOD、Flow Group的详细配置,请参见“Telemetry配置指导”中的“MOD”和“Flow Group”。
【举例】
# 开启设备UDP流量的NetAnalysis统计功能,仅对匹配ACL abc的UDP流量进行NetAnalysis统计分析。
<Sysname> system-view
[Sysname] netanalysis udp statistics acl name abc inbound
netanalysis udp timeout inactive命令用来配置UDP流的非活跃老化时间。
undo netanalysis udp timeout inactive命令用来恢复缺省情况。
【命令】
netanalysis udp timeout inactive seconds
undo netanalysis udp timeout inactive
【缺省情况】
UDP流的非活跃老化时间为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:UDP流的非活跃老化时间,取值范围为5~500,单位为秒。
【使用指导】
设备开启UDP流量统计功能后,还需要把包含流统计结果的UDP智能流量统计流表输出给指定的NDA,才能完成流信息的进一步加工和可视化。
UDP流达到非活跃老化时间后,设备会将该流在流缓存区中的统计信息发送给NDA之后,将该流相关的统计信息删除,将该条流的表项进行老化。
【举例】
# 配置UDP流的非活跃老化时间为10秒。
<Sysname> system-view
[Sysname] netanalysis udp timeout inactive 10
reset netanalysis udp statistics命令用来清除NetAnalysis统计功能中UDP流的统计信息。
【命令】
reset netanalysis udp statistics
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
在诊断和定位UDP流量分析功能故障时,需要专门统计某段时间的UDP流信息。此时,可以通过执行本命令先将历史UDP流的统计信息清零。
执行本命令会清零所有NetAnalysis统计功能中历史UDP流的统计信息,并且无法恢复。执行前请确认是否要清零UDP流的统计信息。
【举例】
# 清除NetAnalysis统计功能中UDP流的统计信息。
<Sysname> reset netanalysis udp statistics
【相关命令】
· display netanalysis udp statistics
activate命令用来开启UFA实例的测量功能。
undo activate命令用来关闭UFA实例的测量功能。
【命令】
activate { { flow-analysis | ifit | isdf-detect drop } * | mod }
undo activate
【缺省情况】
UFA实例的测量功能处于关闭状态。
【视图】
UFA实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
flow-analysis:表示开启流分析功能。
ifit:表示开启iFIT功能。
isdf-detect drop:表示开启ISDF丢包检测功能。flow-type为static时,表示对聚合整体流量进行统一的故障检测和路径切换。flow-type为dynamic时,表示对单独五元组流量进行监控和路径切换。
mod:表示开启丢包镜像功能。
【使用指导】
配置本命令前,必须创建UFA实例,并配置过滤流量的规则,否则本命令将配置失败。
配置本命令开启UFA实例的测量功能后,不允许修改UFA实例视图下的配置。如需修改上述配置,请先执行undo activate命令,关闭UFA实例的测量功能。
【举例】
# 开启UFA实例的测量功能。
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] flow ipv4
[Sysname-netanalysis-instance-1] activate flow-analysis
aging-time命令用来配置软件流表的老化时间。
undo aging-time命令用来恢复缺省情况。
【命令】
aging-time time-value
undo aging-time
【缺省情况】
软件流表的老化时间为30秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:表示软件流表的老化时间,单位为秒,老化时间为整数值,取值范围5~500。
【使用指导】
当一条流的非活跃时间超过本命令配置的老化时间时,统计该流的软件流表将被删除。
多次执行本命令,最后一次执行的命令生效。
本命令配置的软件流表老化时间,需要大于hardware-flow aging-time命令配置的硬件流表老化时间。
.【举例】
# 配置软件流表的老化时间为50秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] aging-time 50
bind all-interface命令用来配置接口的缺省绑定角色。
undo bind all-interface命令用来恢复缺省情况。
【命令】
bind all-interface { egress | ingress | ingress-egress [ bidirectional-flow ] | transit [ bidirectional-flow ] }
undo bind all-interface
【缺省情况】
未配置接口的缺省绑定角色。
【视图】
UFA实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
egress:表示绑定的接口角色为流量出节点,该角色具有报文去染色功能。指定本参数后,设备将测量接口的出方向流量。
ingress:表示绑定的接口角色为流量入节点,该角色有报文染色功能。指定本参数后,设备将测量接口的入方向流量。
ingress-egress:表示绑定的接口角色为流量出入节点,该角色同时具有报文染色和去染色功能。指定本参数后,设备将测量接口的出入方向流量。进入该角色接口的流量将进行染色,从该角色接口出的流量将进行去染色。
transit:表示绑定的接口角色为流量中间节点,此角色仅用于报文统计。
bidirectional-flow:指定过滤流量为双向流。若未指定本参数,则表示过滤流量为单向流。
【使用指导】
当用户未配置接口的绑定角色(通过bind interface命令配置)时,设备将使用本命令配置的接口缺省绑定角色。当本命令和bind interface命令同时配置时,以bind interface命令配置为准。
配置本命令将接口与指定的角色绑定后,设备将根据接口的绑定角色,测量经过该接口,且满足UFA实例下配置的过滤规则的流量。
【举例】
# 配置接口的缺省绑定角色为流量出节点。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] flow ipv4 source-ip 10.1.1.1 24 destination-ip 10.2.2.2 24
[Sysname-netanalysis-instance-1] bind all-interface egress
【相关命令】
· bind interface
bind interface命令用来配置接口的绑定角色。
undo bind interface命令用来恢复缺省情况。
【命令】
bind interface interface-type interface-number { egress | ingress | ingress-egress [ bidirectional-flow ] | transit [ bidirectional-flow ] }
undo bind interface [ interface-type interface-number ]
【缺省情况】
未配置接口的绑定角色。
【视图】
UFA实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface-type interface-number:表示接口类型和接口编号。
egress:表示绑定的接口角色为流量出节点,该角色具有报文去染色功能。指定本参数后,设备将测量接口的出方向流量。
ingress:表示绑定的接口角色为流量入节点,该角色有报文染色功能。指定本参数后,设备将测量接口的入方向流量。
ingress-egress:表示绑定的接口角色为流量出入节点,该角色同时具有报文染色和去染色功能。指定本参数后,设备将测量接口的出入方向流量。进入该角色接口的流量将进行染色,从该角色接口出的流量将进行去染色。
transit:表示绑定的接口角色为流量中间节点,此角色仅用于报文统计。
bidirectional-flow:指定过滤流量为双向流。若未指定本参数,则表示过滤流量为单向流。
【使用指导】
配置本命令将接口与指定的角色绑定后,设备将根据接口的绑定角色,测量经过该接口,且满足UFA实例下配置的过滤规则的流量。
当本命令和bind all-interface命令同时配置时,以本命令配置为准。
执行undo bind interface命令时,若不指定interface-type interface-number参数,则表示取消UFA过滤规则与所有接口的绑定关系。
本功能仅支持绑定二层物理口和三层物理接口。
【举例】
# 配置接口Gigabitethernet 1/0/1的绑定角色为流量出节点。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] flow ipv4 source-ip 10.1.1.1 24 destination-ip 10.2.2.2 24
[Sysname-netanalysis-instance-1] bind interface gigabitethernet 1/0/1 egress
display netanalysis unified-flow命令用来显示UFA的流表信息。
【命令】
(独立运行模式)
display netanalysis unified-flow ipv4 [ destination-ip dest-ip-address [ dest-mask-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ip src-ip-address [ src-mask-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* slot slot-number
display netanalysis unified-flow ipv6 [ destination-ipv6 dest-ipv6-address [ dest-prefix-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ipv6 src-ipv6-address [ src-prefix-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* slot slot-number
(IRF模式)
display netanalysis unified-flow ipv4 [ destination-ip dest-ip-address [ dest-mask-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ip src-ip-address [ src-mask-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* chassis chassis-number slot slot-number
display netanalysis unified-flow ipv6 [ destination-ipv6 dest-ipv6-address [ dest-prefix-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ipv6 src-ipv6-address [ src-prefix-length ] | vlan-id vlan-id-value | vxlan-id vxlan-id-value ]* chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ipv4:显示IPv4类型的UFA流表信息。
ipv6:显示IPv6类型的UFA流表信息。
destination-ip dest-ip-address:指定规则中过滤IP流量的目的IP地址,IPv4地址为点分十进制格式。
dest-mask-length:指定规则中过滤IPv4流量的目的IPv4地址的掩码长度,取值范围为1~31。若不指定该参数时,则表示精确匹配目的IPv4地址。
destination-ipv6 dest-ipv6-address:指定规则中过滤IP流量的目的IPv6地址。
dest-prefix-length:指定规则中过滤IPv6流量的目的IPv6地址的前缀长度,取值范围为1~127。若不指定该参数时,则表示精确匹配目的IPv6地址。
protocol:指定规则中过滤流量的协议号。
sctp:指定规则中过滤流量的协议类型为SCTP。
tcp:指定规则中过滤流量的协议类型为TCP。
udp:指定规则中过滤流量的协议类型为UDP。
protocol-number:指定规则中过滤流量的协议号,取值范围为0~254,但不能为6、17和132。
source-port src-port-number:指定规则中过滤流量的源端口号,取值范围为1~65535。若不指定该参数时,则表示规则中对源端口号无限制。
destination-port dest-port-number:指定规则中过滤流量的目的端口号,取值范围为1~65535。若不指定该参数时,则表示规则中对目的端口号无限制。
source-ip src-ip-address:指定规则中过滤IP流量的源IP地址,IPv4地址为点分十进制格式。
src-mask-length:指定规则中过滤IPv4流量的源IPv4地址的掩码长度,取值范围为1~31。若不指定该参数时,则表示精确匹配源IPv4地址。
source-ipv6 src-ipv6-address:指定规则中过滤IP流量的源IP地址,IPv4地址为点分十进制格式。
src-prefix-length:指定规则中过滤IPv6流量的源IPv6地址的前缀长度,取值范围为1~127。若不指定该参数时,则表示精确匹配源IPv6地址。
vxlan-id vxlan-id-value:指定VXLAN ID,取值范围为0~16777215。
vlan-id vxlan-id-value:指定VLAN ID,取值范围为0~4094。
slot slot-number:显示指定单板上的UFA流表信息,slot-number表示单板所在槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的UFA流表信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
本命令仅支持显示开启流分析功能的UFA的流表信息。
【举例】
# 显示IPv4类型的UFA流表信息。
<Sysname> display netanalysis unified-flow ipv4 slot 1
Source IP/mask : 192.168.0.10/32
Destination IP/mask : 100.1.1.23/32
Source port : 20
Destination port : 30
Protocol : tcp
VNI : --
VLAN : --
# 显示指定五元组的IPv4类型的UFA流表信息。
<Sysname> display netanalysis unified-flow ipv4 source-ip 192.168.0.10 destination-ip 100.1.1.23 protocol 16 source-port 20 destination-port 30 slot 1
Direction : Inbound
Instance ID : 1
Source IP/mask : 192.168.0.10/32
Destination IP/mask : 100.1.1.23/32
Source port : 20
Destination port : 30
Protocol : 16
VNI : --
VLAN : --
VPN instance : --
Start time (sec) : 2025-02-07 09:54:53 (1738922093)
End time (sec) : 2025-02-07 09:55:30 (1738922130)
Input packets : 97569
Input bytes : 12488832
Output packets : 97569
Output bytes : 12488832
Current TTL : 0
Min TTL : 5
Max TTL : 5
Discarded packets : 0
Discarded bytes : 0
Discard reason : 0
Abnormal reason : 0
Cross chip : True
Current delay : 498ns
Average delay : 532ns
Min delay : 411ns
Max delay : 607ns
Average jitter : 60ns
Min jitter : 0ns
Max jitter : 120ns
Interface name : HundredGigE1/0/2
Main interface name : --
--------------------------------------------------------------------------------------------------------------
Role Period ID Color Packet count Byte count Timestamp(sec,nsec) IfName
--------------------------------------------------------------------------------------------------------------
Ingress 173892212 1 97569 12488832 1738922121,0 HundredGigE1/0/2
Ingress 173892211 0 99716 12763648 1738922111,0 HundredGigE1/0/2
--------------------------------------------------------------------------------------------------------------
表1-3 display netanalysis unified-flow命令显示信息描述表
|
字段 |
描述 |
|
Direction |
流方向 |
|
Instance ID |
UFA实例的编号,代表优先级,值越小优先级越高 |
|
Source IP/mask |
目标流的源IP地址及其掩码长度 |
|
Destination IP/mask |
目标流的目的IP地址及其掩码长度 |
|
Source port |
目标流的源端口,无效值显示为-- |
|
Destination port |
目标流的目的端口,无效值显示为-- |
|
Protocol |
目标流的协议号,取值包括: · 0~5、7~16、18~131、133~254中的任意整数:表示除UDP、TCP和SCTP外的协议的编号 · udp:UDP协议 · tcp:TCP协议 · sctp:SCTP协议 · --:表示无效值 |
|
VNI |
(暂不支持)UFA目标流绑定的VXLAN信息,仅普通模式显示 |
|
VLAN |
(暂不支持)UFA目标流绑定的VLAN信息,仅普通模式显示 |
|
VPN Instance |
(暂不支持)UFA流绑定的VPN名称,仅普通模式显示 |
|
Start time (sec) |
流开始时间,对于不同报文的含义不同: · 对于TCP报文,表示收到SYN报文时间。 · 对于UDP/RoCEv2报文,表示收到首个报文时间。 · 对于VXLAN报文,表示收到首个报文时间。 |
|
End time (sec) |
流结束时间,对于不同报文的含义不同: · 对于TCP报文,表示收到FIN报文时间。 · 对于UDP/RoCEv2报文:收到最后一个报文时间。 · 对于VXLAN报文:收到最后一个报文时间。 |
|
Input packets |
入方向芯片报文统计,仅普通流表模式显示 |
|
Input bytes |
入方向芯片字节数统计,仅普通流表模式显示 |
|
Output packest |
出方向芯片报文统计,仅普通流表模式显示 |
|
Output bytes |
出方向芯片字节数统计,仅普通流表模式显示 |
|
Current TTL |
(暂不支持)当前TTL值,仅普通流表模式显示 |
|
Min TTL |
最小TTL值,仅普通流表模式显示 |
|
Max TTL |
最大TTL值,仅普通流表模式显示 |
|
Discarded packets |
丢包计数 |
|
Discarded bytes |
丢包字节数,仅开启mod场景下支持 |
|
Discard reason |
丢包原因 |
|
Abnormal reason |
异常原因 |
|
Cross chip |
是否跨芯片标志,取值包括: · True:表示跨芯片 · False:表示不跨芯片 |
|
Current delay |
当前芯片时延,仅普通流表模式显示 |
|
Average delay |
平均芯片时延,仅普通流表模式显示 |
|
Min delay |
最小芯片时延,仅普通流表模式显示 |
|
Max delay |
最大芯片时延,仅普通流表模式显示 |
|
Average jitter |
平均芯片抖动,仅普通流表模式显示 |
|
Min jitter |
(暂不支持)最小芯片抖动,仅普通流表模式显示 |
|
Max jitter |
最大芯片抖动,仅普通流表模式显示 |
|
Interface name |
UFA目标流绑定的接口,仅普通模式显示 |
|
Main interface name |
UFA目标流绑定的主接口(子接口情况),仅普通模式显示 |
|
Role |
IFIT缺省绑定的接口角色,取值包括: · ingress:流量入节点 · egress:流量出节点 · ingress-egress:流量出入节点 · transit:流量中间节点 |
|
Period ID |
IFIT周期ID |
|
Loss |
IFIT染色周期 |
|
Packet count |
IFIT丢包计数 |
|
Byte count |
IFIT丢包字节数 |
|
Timestamp(sec,nsec) |
IFIT时戳(秒级,纳秒级) |
|
IfName |
IFIT绑定接口信息,仅普通流表模式显示 |
display netanalysis unified-flow isdf-detect event-log命令用来显示静默故障事件。
【命令】
display netanalysis unified-flow isdf-detect event-log
【视图】
任意视图
【缺省用户角色】
network-operator
mdc-admin
mdc-operator
【使用指导】
本命令用于显示开启静默故障检测功能后的静默故障事件。
【举例】
# 显示静默故障事件。
<Sysname> display netanalysis unified-flow isdf-detect event-log
Time (sec) : 2025-08-06 20:14:36 (1754511276137)
Source IP : 2.2.2.2
Destination IP : 1.1.1.1
Protocol : TCP
Source port : 2000
Destination port : 1000
Input interface : GigabitEthernet2/0/1
Output interface : GigabitEthernet2/0/2
表1-4 display netanalysis unified-flow isdf-detect event-log命令显示信息描述表
|
字段 |
描述 |
|
Time (sec) |
故障发送的时间 |
|
Source IP |
目标流的源IP地址 |
|
Destination IP |
目标流的目的IP地址 |
|
Protocol |
目标流的协议号,取值包括: · 0~5、7~16、18~131、133~254中的任意整数:表示除UDP、TCP和SCTP外的协议的编号 · UDP:UDP协议 · TCP:TCP协议 · SCTP:SCTP协议 · -:表示无效值 |
|
Source port |
目标流的源端口,无效值显示为-- |
|
Destination port |
目标流的目的端口,无效值显示为-- |
|
Input interface |
故障流的入方向接口编号 |
|
Output interface |
故障流的出方向接口编号 |
display uad detection-result命令用来显示防私接的检测结果。
【命令】
display uad detection-result [ interface-type interface-number | interface-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface-type interface-number:接口类型和接口编号。
interface-name:接口名称。
【使用指导】
执行本命令时,若未指定任何参数,则表示显示所有接口的防私接检测结果。
执行本命令时,每种防私接类型最多支持4096条防私接结果。
【举例】
# 显示防私接的检测结果。
<Sysname> display uad detection-result GE1/0/1
Interface MAC IP address VLAN UA-type Detected at
GE1/0/1 00e0-fc00-0001 10.136.112.32 -- Router 2022-10-15T20:13:16
表1-5 命令显示信息描述表
|
字段 |
描述 |
|
Interface |
接口信息 |
|
MAC |
私接终端的MAC地址 |
|
IP address |
私接终端的IP地址,该字段在防私接Hub场景中显示为“--” |
|
VLAN |
私接终端的VLAN ID,该字段在防私接路由器场景中显示为“--” |
|
UA-type |
防私接的设备类型,取值包括: · Hub:防私接Hub · Router:防私接路由器 |
|
Detected at |
防私接检测的时间 |
exclude interface命令用来配置例外接口,对该接口的报文不做iFIT检测分析处理。
undo exclude interface命令用来恢复缺省情况。
【命令】
exclude interface interface-type interface-number
undo exclude interface [ interface-type interface-number ]
【缺省情况】
未配置例外接口。
【视图】
UFA实例视图
【缺省用户角色】
mdc-admin
【参数】
interface interface-type interface-number:指定接口类型和接口编号。
【使用指导】
在某些特殊场景下,当用户不需要对某个接口进行iFIT检测分析时,可以配置本功能。
执行undo exclude interface命令时,若未指定interface-type interface-number参数,则表示删除所有例外接口。
多次执行本命令,可以配置多个例外接口。
【举例】
# 配置例外接口Gigabitethernet 1/0/1,对该接口的报文不做iFIT检测分析。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] exclude interface Gigabitethernet 1/0/1
export-interval命令用来配置软件流表的导出时间间隔。
undo export-interval命令用来恢复缺省情况。
【命令】
export-interval interval
undo export-interval
【缺省情况】
软件流表的导出时间间隔为10秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:表示软件流表的导出时间间隔,单位为秒,时间间隔为整数值,取值范围10~1800。
【使用指导】
配置本命令后,设备软件流表的流量数据将按照本命令配置的导出时间间隔,定期发送至分析器进行流量分析。
本命令配置的软件流表导出时间需要大于hardware-flow export interval命令配置的硬件流表导出时间。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置软件流表的导出时间间隔为50秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] export-interval 50
netanalysis unified-flow命令用来开启NetAnalysis统一流量分析功能,并进入统一流量分析视图。如果统一流量分析视图已经存在,则直接进入统一流量分析视图。
undo netanalysis unified-flow命令用来关闭NetAnalysis统一流量分析功能。
【命令】
netanalysis unified-flow
undo netanalysis unified-flow
【缺省情况】
NetAnalysis统一流量分析功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
NetAnalysis统一流量分析功能,是一种针对全网流量的网络流量监控和分析技术。适用于对全网流量进行深入分析,可帮助用户快速感知和准确定位网络故障,提升网络运维效率。当用户需要对网络中的TCP/UDP/VXLAN流量进行深入分析时,可以开启该功能。
开启统一流量分析功能后,设备将对进入设备的TCP/UDP/VXLAN流量进行NetAnalysis统计分析。设备将基于流量的五元组等信息,建立流表并收集流量统计信息,然后将统计结果上传至NAP(网络流分析数据处理器)做进一步处理。NAP可通过分析数据流的转发路径、识别TCP异常以及分析转发丢包等操作,帮助用户更全面地了解网络中的数据流量走向。
如果在设备上同时配置如下功能时,仅优先级最高的功能生效,优先级从高到低的顺序为:
· UDP流量NetAnalysis统计
· NetAnalysis统一流量分析
· FGLB方式自适应路由
· NetStream(包括IPv4和IPv6 NetStream)
· MOD和时延监控模式的Flow Group
有关FGLB方式自适应路由功能的详细配置,请参见“三层技术-IP路由配置指导”中的“自适应路由”。有关NetStream、IPv6 NetStream的详细配置,请参见“网络管理和监控配置指导”中的“NetStream”、“IPv6 NetStream”。有关MOD、Flow Group的详细配置,请参见“Telemetry配置指导”中的“MOD”和“Flow Group”。
【举例】
# 开启NetAnalysis统一流量分析功能,并进入统一流量分析视图。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow]
flow命令用来配置UFA实例中过滤流量的规则。
undo flow命令用来取消UFA实例中过滤流量的规则。
【命令】
flow any-ip
flow ipv4 [ destination-ip dest-ip-address [ dest-mask-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ip src-ip-address [ src-mask-length ] ]*
flow ipv6 [ destination-ipv6 dest-ipv6-address [ dest-prefix-length ] | protocol { protocol-number | { sctp | tcp | udp } [ destination-port dest-port-number | source-port src-port-number ]* } | source-ipv6 src-ipv6-address [ src-prefix-length ] ]*
undo flow
【缺省情况】
未配置UFA实例中过滤流量的规则。
【视图】
UFA实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
any-ip:匹配所有IP流量,包含IPv4和IPv6。一个UFA实例下仅能够配置一条。
ipv4:指定规则中过滤的流量为IPv4流量。
ipv6:指定规则中过滤的流量为IPv6流量。
destination-ip dest-ip-address:指定规则中过滤IP流量的目的IP地址,IPv4地址为点分十进制格式。
dest-mask-length:指定规则中过滤IPv4流量的目的IPv4地址的掩码长度,取值范围为1~31。若不指定该参数时,则表示精确匹配目的IPv4地址。
destination-ipv6 dest-ipv6-address:指定规则中过滤IP流量的目的IPv6地址。
dest-prefix-length:指定规则中过滤IPv6流量的目的IPv6地址的前缀长度,取值范围为1~127。若不指定该参数时,则表示精确匹配目的IPv6地址。
protocol:指定规则中过滤流量的协议类型。
sctp:指定规则中过滤流量的协议类型为SCTP。
tcp:指定规则中过滤流量的协议类型为TCP。
udp:指定规则中过滤流量的协议类型为UDP。
destination-port dest-port-number:指定规则中过滤流量的目的端口号,取值范围为1~65535。若不指定该参数时,则表示规则中对目的端口号无限制。
source-port src-port-number:指定规则中过滤流量的源端口号,取值范围为1~65535。若不指定该参数时,则表示规则中对源端口号无限制。
protocol-number:指定规则中过滤流量的协议类型为除TCP和UDP之外的其他协议,取值范围为0~254,但不能为6、17和132。
source-ip src-ip-address:指定规则中过滤IP流量的源IP地址,IPv4地址为点分十进制格式。
src-mask-length:指定规则中过滤IPv4流量的源IPv4地址的掩码长度,取值范围为1~31。若不指定该参数时,则表示精确匹配源IPv4地址。
source-ipv6 src-ipv6-address:指定规则中过滤IP流量的源IP地址,IPv4地址为点分十进制格式。
src-prefix-length:指定规则中过滤IPv6流量的源IPv6地址的前缀长度,取值范围为1~127。若不指定该参数时,则表示精确匹配源IPv6地址。
【使用指导】
本命令配置的过滤流量的规则是UFA测量的对象,是实施测量的关键要素,每次测量前都必须在所有测量节点配置。执行本命令,可以为UFA测量实例配置过滤流量的特征。
源IP地址和目的IP地址不能为广播或组播地址。
一个UFA实例下只能配置一条规则。同一个UFA实例下多次执行本命令,最后一次执行的命令生效。
当flow-type配置为static时,若需执行activate isdf-detect drop命令,则该命令不支持配置IP网段。
flow any-ip会匹配并识别所有IP流量,当配置了指定转发流量进行故障识别及切换功能时,不建议使用该命令。
【举例】
# 配置UFA过滤流量的规则。
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] flow ipv4 source-ip 10.10.10.1 24 destination-ip 10.10.10.2 24
flow-tunnel命令用来配置隧道报文的检测模式。
undo flow-tunnel命令用来恢复缺省情况。
【命令】
flow-tunnel { hybrid | overlay | transmit }
undo flow-tunnel
【缺省情况】
隧道报文的检测模式为查看隧道外层报文。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hybrid:表示查看隧道内层和外层报文。
overlay:表示查看隧道外层报文。
transmit:表示查看隧道内层报文。
【使用指导】
本功能仅支持VXLAN隧道。
缺省情况下,设备的Netanalysis统一流量分析功能仅能够查看隧道外层报文。配置本功能后,Netanalysis统一流量分析功能支持查看隧道内层报文、外层报文,以及同时查看隧道内层和外层报文。当配置为hybrid检测模式时,匹配报文优先按照内层去生成流表,如果内层未生成流表,则去匹配外层。
仅SF系列接口板支持hybrid和transmit模式。
当配置为hybrid或transmit模式时,在实例中不支持匹配IPv6地址。
【举例】
# 配置隧道报文查看模式为查看内层报文。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] flow-tunnel transmit
flow-type命令用来配置UFA实例中的流类型。
undo flow-type命令用来恢复缺省情况。
【命令】
flow-type { dynamic [ ip-pair ] | static }
undo flow-type
【缺省情况】
UFA实例中的流量类型为动态流。
【视图】
UFA实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dynamic:表示动态流,即精确匹配流规则。
ip-pair:表示基于IP对生成动态流。
static:表示静态流,即模糊匹配流规则。
【使用指导】
动态流模式适用于需要精确统计每一个具体流的场景,静态流模式适用于需要模糊统计某一个网段流的场景。
用户创建UFA实例后,可以在UFA实例下配置流的类型,不同类型流的分析模式不同:
· 动态流:配置流类型为动态流后,设备将根据flow命令配置的过滤规则,对符合规则的所有流均生成流数据。例如,若配置的规则为一个网段,则该网段内所有流均会生成各自的流数据。
· 静态流:配置流类型为静态流后,设备将根据flow命令配置的过滤规则,对符合规则的流,仅生成一条流数据。例如,若配置的规则为一个网段,则设备将属于同一网段的流仅生成一条流数据。
【举例】
# 配置UFA实例中的流类型为静态流。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1] flow-type static
【相关命令】
· flow
hardware-flow aging-time命令用来配置硬件流表老化时间。
undo hardware-flow aging-time命令用来恢复缺省情况。
【命令】
hardware-flow aging-time time-value
undo hardware-flow aging-time
【缺省情况】
硬件流表老化时间为5000毫秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-value:表示硬件流表老化时间,单位为毫秒,时间为整数值,取值范围为1000~300000。
【使用指导】
当设备检测到符合要求的流时,会将流统计到硬件流表中。若该流的非活跃时间超过本命令配置的老化时间时,统计该流的硬件流表将被删除。
多次执行本命令,最后一次执行的命令生效。
本命令配置的硬件流表老化时间,需要小于aging-time命令配置的软件流表老化时间和ifit period命令配置的iFIT测量周期。
【举例】
# 配置硬件流表老化时间为2000毫秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] hardware-flow aging-time 2000
hardware-flow delay-threshold命令用来配置硬件流表的时延阈值。
undo hardware-flow delay-threshold命令用来恢复缺省情况。
【命令】
hardware-flow delay-threshold threshold-value
undo hardware-flow delay-threshold
【缺省情况】
硬件流表的时延阈值为10000纳秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
threshold-value:表示硬件流表的时延阈值,单位为纳秒,阈值为整数,取值范围为100~1000000000。
【使用指导】
设备对符合要求的流量进行统计,并生成硬件流表。若设备检测到该流的延迟时间超过本命令配置的时延阈值,则会立即将硬件流表的数据上送至软件流表,并立即通知分析器对流量数据进行分析。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置硬件流表的时延阈值为500纳秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] hardware-flow delay-threshold 500
hardware-flow export-interval命令用来配置硬件流表导出时间间隔。
undo hardware-flow export-interval命令用来恢复缺省情况。
【命令】
hardware-flow export-interval interval
undo hardware-flow export-interval
【缺省情况】
硬件流表导出时间间隔为1000毫秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval:表示硬件流表导出时间间隔,单位为毫秒,时间为整数值,取值范围为100~1000。
【使用指导】
开启Netanalysis功能后,设备会对符合要求的流量进行统计,并生成硬件流表。设备会按本命令配置的导出时间,将硬件流表中的数据上送至软件流表进行缓存。软件流表中的数据会定期上送至分析器进行分析处理。
本命令配置的硬件流表导出时间,需要小于export-interval命令配置的软件流表导出时间。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置硬件流表输出时间为100毫秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] hardware-flow export-interval 100
【相关命令】
· export-interval
· ifit period
ifit color-flag tos-bit命令用来配置iFIT染色位。
undo ifit color-flag tos-bit用来恢复缺省情况。
【命令】
ifit color-flag tos-bit tos-bit
undo ifit color-flag tos-bit
【缺省情况】
未配置iFIT染色位。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
tos-bit:表示iFIT染色位,取值范围为0~7。
【使用指导】
iFIT使用IPv4报文头中ToS(Type of Service,服务类型)字段的0~7位作为染色位,通过将染色位按周期交替设置为1和0,将目标流和普通业务流量区别开来。在IPv6环境中,iFIT使用IPv6报文中的Traffic Class字段的0~7位为染色位。
ToS字段包含8位,0~5为DSCP位,用于提供差分服务,6~7为保留位。当使用第5位作为染色位时,建议不要将ToS字段中的第5位用于DSCP提供差分服务,以免导致丢包统计不准确。
全局开启拥塞通知功能后,请不要配置iFIT染色位为6和7,否则ECN功能会受到影响。关于ECN功能的详细介绍,请参见“ACL和QoS配置指导”中的“拥塞避免”。
配置DSCP优先级后可能会与染色位配置冲突,冲突原则如下:将DSCP值转换为6位二进制(如DSCP 56 → 111000),从左至右依次对应染色位0-5。若配置iFIT染色位在DSCP二进制中对应位为1,系统将提示冲突(例:DSCP二进制111000时,配置iFIT染色位为0、1或2时,系统会提示冲突)。
在iFIT与其他功能(如QoS trust dscp override或PFC)同时使用时,应确保iFIT染色所使用的DSCP位不会与相关功能的映射位发生冲突。
· 当与QoS trust dscp override同时配置时,iFIT染色会优先修改报文的DSCP值。如果染色DSCP值与QoS优先级映射冲突,可能导致QoS trust dscp override功能异常,影响流量优先级判定。
· 当设备开启PFC且端口配置qos trust dscp命令时,若iFIT染色使用的DSCP值与PFC优先级映射冲突,iFIT染色会覆盖原有DSCP优先级,导致PFC功能异常或失效。
本命令与其他涉及DSCP值修改的命令(如qos priority、priority-flow-control dscp-mapping、remark dscp等)同时配置时,iFIT的配置优先级最高,将覆盖其他配置对DSCP值的修改。
【举例】
# 配置iFIT染色标记位。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] ifit color-flag tos-bit 3
ifit period命令用来配置iFIT测量周期。
undo ifit period命令用来恢复缺省情况。
【命令】
ifit period period-time
undo ifit period
【缺省情况】
iFIT测量周期为30秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
period-time:iFIT测量周期,取值为10、30、60、300,单位为秒。
【使用指导】
iFIT按周期统计性能参数:
· 发送端记录每个发送周期内首个iFIT报文的发送时间,并统计每个发送周期内接口发送的iFIT报文个数。发送周期=测量周期。
· 接收端记录每个接收周期内首个iFIT报文的接收时间,并统计每个接收周期内接口接收的iFIT报文个数。由于网络存在延时,为了最大程度地避免网络延时与乱序对统计结果的不良影响,接收周期=(1+1/3)个测量周期。
如果入节点到出节点的网络传输时延较大,大于1/3个测量周期,例如将测量周期配置为1秒,而网络传输时延大于1/3秒(333毫秒),则可能会影响iFIT丢包统计结果的准确性,因为iFIT会将超过接收周期到达的报文认定为丢包。此时,可以将测量周期修改为一个更大的值。
本命令配置的iFIT测量周期,需要大于hardware-flow aging-time命令配置的硬件流表老化时间。
【举例】
# 配置iFIT测量周期为10秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] ifit period 10
instance命令用来创建UFA实例并进入UFA实例视图。如果指定的UFA实例已存在,则直接进入该UFA实例的视图。
undo instance命令用来删除UFA实例。
【命令】
instance instance-id name instance-name
undo instance instance-id
【缺省情况】
不存在UFA实例。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
instance-id:表示UFA实例的ID,ID值代表优先级,值越小优先级越高,取值范围1~2048。
name instance-name:指定UFA实例的名称,其中instance-name为1~63个字符的字符串,区分大小写。
【使用指导】
UFA(Unified Flow Analysis,统一流量分析),是一种针对全网流量的网络流量监控和分析技术。适用于对全网流量进行深入分析,可帮助用户快速感知和准确定位网络故障,提升网络运维效率。UFA可用于测量网络中的时延和丢包情况,用户需要在测量网络的节点上创建实例。实例视图下可以配置过滤流量的规则,一个实例对应一条规则,当需要配置多条规则时,可创建多个实例。
【举例】
# 创建ID为1,名称为abc的UFA实例,并进入UFA实例视图。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] instance 1 name abc
[Sysname-netanalysis-instance-1]
【相关命令】
· display system interval netanalysis instance-info
isdf-detect drop-threshold命令用来配置静默故障检测的丢包百分比阈值。
undo isdf-detect drop-threshold命令用来恢复缺省情况。
【命令】
isdf-detect drop-threshold percent
undo isdf-detect drop-threshold
【缺省情况】
静默故障检测的丢包百分比阈值为30。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
percent:表示静默故障检测的丢包百分比阈值,取值范围为1~100。
【使用指导】
设备对符合过滤规则的流量进行统计,并生成硬件流表,若设备检测到该流的丢包百分比阈值超过本命令配置的丢包阈值,则会立即产生静默故障的事件并通知ISDF模块。ISDF模块收到通知后,会采取相应的措施,从而实现静默故障感知和恢复。
【举例】
# 配置静默故障检测的丢包百分比阈值为50。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] isdf-detect drop-threshold 50
isdf-detect period命令用来配置静默故障检测的测量周期。
undo isdf-detect period命令用来恢复缺省情况。
【命令】
isdf-detect period period-time
undo isdf-detect period
【缺省情况】
静默故障检测的测量周期为3000毫秒。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
period-time:表示静默故障检测的测量周期,单位为毫秒,取值范围为1000~300000。
【使用指导】
配置本功能后,设备将根据指定的测量周期对流量进行检测,管理员可以根据网络的实际情况,进行合理的配置。
静默故障检测的周期配置为1s时,建议将硬件导出时间配置为200ms。
【举例】
# 配置静默故障检测的测量周期为2000毫秒。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] isdf-detect period 2000
report-loss-reason enable命令用来开启丢包原因上报功能。
undo report-loss-reason enable命令用来关闭丢包原因上报功能。
【命令】
report-loss-reason enable
undo report-loss-reason enable
【缺省情况】
丢包原因上报功能处于开启状态。
【视图】
统一流量分析视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
当分析器不需要设备上报丢包原因时,管理员可以通过本命令行关闭丢包原因上报功能。关闭本功能后,设备将不会向分析器上报丢包数、丢包字节数和丢包原因,同时通过display netanalysis unified-flow命令查看上述三类数据均显示为0。
【举例】
# 配置关闭丢包原因上送的功能。
<Sysname> system-view
[Sysname] netanalysis unified-flow
[Sysname-netanalysis-unified-flow] undo report-loss-reason enable
reset netanalysis unified-flow命令用来清除UFA流表信息。
【命令】
(独立运行模式)
reset netanalysis unified-flow { ipv4 | ipv6 } slot slot-number
(IRF模式)
reset netanalysis unified-flow { ipv4 | ipv6 } chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
slot slot-number:清除指定单板上的UFA流表信息,slot-number表示单板所在槽位号。(独立运行模式)
chassis chassis-number slot slot-numbe:清除指定成员设备上指定单板的UFA流表信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【举例】
# 清除IPv4类型的UFA流表信息。
<Sysname> reset netanalysis unified-flow ipv4 slot 1
uad enable命令用来开启接口防私接检测功能。
undo uad enable命令用来关闭接口防私接检测功能。
【命令】
uad enable
undo uad enable
【缺省情况】
接口防私接检测功能处于开启状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
在设备接口下配置本命令后,该接口将开启防私接检测功能,包括防私接Hub和路由器。
当系统视图下的防私接检测功能处于开启状态(执行uad enable命令)时,可以在接口视图下执行undo uad enable命令,关闭某个接口的防私接检测功能。当系统视图下的防私接检测功能处于关闭状态(执行undo uad enable命令)时,本命令不生效。
【举例】
# 开启接口防私接检测功能。
<Sysname> system-view
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet 1/0/1] uad enable
【相关命令】
· display uad detection-result
· uad enable
uad enable命令用来开启防私接检测功能。
undo uad enable命令用来关闭防私接检测功能。
【命令】
uad enable { unauthorized-hub | unauthorized-router }
undo uad enable { unauthorized-hub | unauthorized-router }
【缺省情况】
防私接检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
unauthorized-hub:表示防私接检测的设备类型为Hub。
unauthorized-router:表示防私接检测的设备类型为路由器。
【使用指导】
配置本命令后,设备的所有接口将开启防私接检测功能,检测设备接口下是否存在私接Hub或路由器设备的情况。当设备检测到存在私接行为后,设备将通知控制器,由控制器对私接设备进行相应的处理。
防私接Hub和防私接路由器的检测机制有所不同,具体如下:
· 防私接Hub:在私接Hub的场景中,可以通过检测单接口下是否存在多个IP地址和MAC地址进行判断。由于正常情况下,一个用户接口仅对应一个IP地址和MAC地址,当系统检测到某个用户接口下存在多个IP地址和MAC地址交叉出现时,则会判定此种情况为私接Hub设备。
· 防私接路由器:在私接路由器的场景中,可以通过检测TTL值判断是否存在私接。TTL的初始值一般为128、64、255、32、1等,经过一个路由设备后,TTL值会减1。当设备检测到用户报文的TTL值不是初始值,则认为存在私接路由器行为。
【举例】
# 开启防私接Hub检测功能。
<Sysname> system-view
[Sysname] uad enable unauthorized-hub
【相关命令】
· dis uad detection-result
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
