• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C S12500-X SFlow采集流量翻倍问题案例分析

  • 0关注
  • 0收藏 1402浏览
粉丝: 关注:

H3C S12500-X SFlow采集流量翻倍问题案例分析

一、   组网:

 

二、   问题描述:

客户采用SNMP网管和自己研发的SFlow软件分别对S12500-X的端口流量进行监控,结果发现SFlow监控到的流量不准确,从监控图上看到SNMP监控到的流量和端口实际流量是匹配的,但是SFlow监控到的流量与实际流量不符,显示为实际流量的两倍。而同网当中采用同样的SFlow软件采集S12500的设备流量则是准确的,因此怀疑S12500-XSFlow软件配合有问题。

三、   过程分析:

客户在S12500-X上所有的端口都配置了SFlow的两种功能,一种是sampling-rate,一种是counter。根据协议的定义,sampling-rate是用来跟踪流量细节,counter用来监控端口的流速,也即是SNMP获取的端口速率一致。但是客户自己开发的软件,计算端口流速时,不是根据标准的counter而是根据sampling-rate自己软件模拟计算的,并非按照counter来统计实现。

其端口配置如下:

interface Ten-GigabitEthernet0/0/23

 port link-mode route

 flow-interval 30

 ip address 10.1.1.1 255.255.255.252

sflow flow collector 1

 sflow sampling-rate 30000

 sflow counter collector 1

 sflow counter interval 30

interface Ten-GigabitEthernet0/0/47

 port link-mode route

 flow-interval 30

 ip address 20.1.1.1 255.255.255.252

sflow flow collector 1

 sflow sampling-rate 30000

 sflow counter collector 1

 sflow counter interval 30

 流量计算过程简单的描述如下:

如上示意图,S12500-X上,报文从23端口入,47端口出来。客户在这两个端口都配置了sampling-rate。由于SFlow是双向统计,因此S12500-X23端口入的时候发送一份SFlow报文给服务器,47端口出的时候也发送一份给服务器。

 SFlow报文部分关键字段截图如下:

在入端口23SFlow统计的报文是:

source id index 23表示该SFlow报文统计的是23端口的报文,

input interface value 23表示这个报文从23端口进入交换机,由于这个是入端口的报文,还没找到出端口,所以output interface value 0.

在出端口47上,发送给服务器的SFlow关键字段截图如下:

source id index 47表示该SFlow报文统计的是47端口的报文,

input interface value 23表示这个报文从23端口进入交换机,

output interface value 47.表示这个是47端口出方向的报文。

按照正常的实现逻辑,SFlow采样哪个端口,应该按照source id index 47 来计算。但是客户的软件是根据input interface value 来计算。这样就出问题:一个报文从23进入,由于有input interface value 23的数值,这样被服务器计算一次,而在47端口出时,由于有input interface value 23信息,又被统计一次,所以一个报文被统计两次,这样统计出来的流量就多一倍了。

接着解释现场为何12500没有问题?

根据12500的抓报文,我们发现由于12500的芯片在出方向,没有带上入端口信息,其SFlow报文的关键字段如下图所示:

可以看到出方向的input interface value0,这样客户的软件就无法统计上,也就是恰好不能重复统计了。

所以问题的本质上是S12500-X的芯片特性更为强大,在出端口能带入报文的端口信息,而客户的软件没有区分端口的出入方向就出现双重统计。

S12500由于芯片在出方向不能带入端口信息而恰好没有问题。

根据协议的要求,定义了报文的input interface value 字段,就要求能携带该信息,而且在电信运营商的骨干网络上,往往只在上行链路上配置SFlowS12500-X能逆向查源端口的能力就能满足客户的监控要求。

实际上客户软件的计算方法不妥,应该根据source id index 来确定报文的源端口,再根据input interface value或者output interface vlan来确认报文的出入方向,就能准确地计算出报文在端口的出入情况。

四、   解决方法:

根据我们的分析情况,针对此类问题解决方法有两个:

1、 客户修改软件实现,按照标准来统计流量信息。

2、 S12500-X侧去适应客户的软件实现,去掉携带的源端口信息。

针对此问题局点,因为客户软件修改复杂,因此我们采用了第2种解决方案。


若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作