流统就是流量统计,通过抓包分析流入和流出的报文数,是现网故障排查时使用最为广泛的工具之一 。
注意:华为、H3C流统通过流量策略实现,配置的策略不会影响业务。而思科、锐捷、中兴、迈普流统的实现是通过接口下直接调用ACL。所以一定要格外注意ACL添加permit ip any any
STEP1:定义流统策略
在定义ACL之前,先使用display acl all 显示所有ACL的规则信息和报文匹配统计信息。避免出现ACL冲突的情况。
#定义ACL,匹配感兴趣流:
system-view
acl number 3000
rule 0 permit icmp source 1.1.1.1 0 destination 2.2.2.2 0
rule 5 permit icmp source 2.2.2.2 0 destination 1.1.1.1 0
#定义流分类,匹配创建的ACL:
traffic classifier liutong
if-match acl 3000
#定义流行为,开启统计功能:
traffic behavior liutong
statistic enable
#定义流策略,关联流分类和流行为:
traffic policy liutong
classifier liutong behavior liutong
STEP2:在接口下调用策略:
int GigabitEthernet 1/0/5
traffic-policy liutong inbound
traffic-policy liutong outbound
STEP3:查看流量统计信息:
查看入方向:
display traffic-policy statistics interface GigabitEthernet 1/0/5 inbound
查看出方向:
display traffic-policy statistics interface GigabitEthernet 1/0/5 outbound
查看流策略的配置信息:
display traffic policy user-defined liutong
#清除计数:
reset traffic policy statistics interface GigabitEthernet 1/0/5 inbound
V8版本在traffic policy下开启statistic enable。
对匹配的流量一定要尽量精确,避免其他流量影响统计结果。
注意流量双向性和策略下发的方向。
#在创建高级ACL之前,使用display acl all检查已有策略,避免冲突
#创建高级规则IPv4 ACL3001,匹配源为PC的ip地址192.168.0.2,目的地址为192.168.0.1的流量并新增一条将源地址和目的地址调换的规则匹配路由器返回的数据流。
system-view //进入系统视图
[H3C]acl advanced 3001 //创建高级规则IPv4 ACL3001
[H3C-acl-ipv4-adv-3001]rule 0 permit ip source 192.168.0.2 0 destination 192.168.0.1 0
//匹配源为PC的ip地址192.168.0.2,目的地址为192.168.0.1的流量
[H3C-acl-ipv4-adv-3001]rule 5 permit ip source 192.168.0.2 0 destination 192.168.0.1 0
//匹配源为PC的ip地址192.168.0.1,目的地址为192.168.0.2的流量
[H3C-acl-ipv4-adv-3001]rule 5 permit ip source 192.168.0.1 0 destination 192.168.0.2 0
创建流分类1,匹配规则为IPv4 ACL 3001。
[H3C]traffic classifier 1 //创建流分类1
[H3C-classifier-1]if-match acl 3001 //匹配规则为IPv4 ACL 3001
[H3C-classifier-1]quit //退出当前视图
#创建流行为1,动作为记录报文。
[H3C]traffic behavior 1 //创建流行为1
[H3C-behavior-1]accounting packet //动作为记录报文
[H3C-behavior-1]quit //退出当前视图
#创建QoS策略1,将上面已创建的流分类和流行为进行关联。
[H3C]qos policy 1 //创建QoS策略1
[H3C-qospolicy-1]classifier 1 behavior 1 //将流分类1和流行为1进行关联
[H3C-qospolicy-1]quit //退出当前视图
##将QoS策略应用到GigabitEthernet1/0/10端口和GigabitEthernet1/0/12的入方向和出方向。(此处可以根据现场业务情况,调用在终端访问的接口的入方向和服务器连接接口的出方向)
[H3C]int g1/0/10 //进入g1/0/10接口
[H3C-GigabitEthernet1/0/10]qos apply policy 1 inbound //将QoS策略1应用到g1/0/10接口的入方向
[H3C-GigabitEthernet1/0/10]qos apply policy 1 outbound //将QoS策略1应用到g1/0/10接口的出方向
[H3C-GigabitEthernet1/0/10]quit //退出当前视图
[H3C]int g1/0/12 //进入g1/0/12接口
[H3C-GigabitEthernet1/0/12]qos apply policy 1 inbound //将QoS策略1应用到g1/0/12接口的入方向
[H3C-GigabitEthernet1/0/12]qos apply policy 1 outbound //将QoS策略1应用到g1/0/12接口的出方向
[H3C-GigabitEthernet1/0/12]quit //退出当前视图
#查看流通信息
display qos policy interface GigabitEthernet 1/0/12
#清除计数
reset counters interface GigabitEthernet 2/0/1
STEP1:定义ACL,匹配双向感兴趣流:
Ruijie#configure terminal
Ruijie(config)ip access-list extend 100
permit ip host 10.1.1.1 host 20.1.1.2
permit ip any any
ip access-list extend 101
permit ip host 20.1.1.2 host 10.1.1.1
permit ip any any 必须加上
STEP2:开启ACL计数,默认关:
ip access-list counter 100
ip access-list counter 101
STEP3:接口下调用ACL:
int g0/2
ip access-list 100 out
ip access-list 101 in
STEP4:查看统计信息:
show access-lists
ip access-list extended 100
10 permit ip host 10.1.1.1 host 20.1.1.2 (100 match)
100 permit ip any any (25373 matchs)
#清除计数:
clear access-list counters 100
Switch> 用户模式 enable(简写en进特权模式;exit重新进入交换机命令界面)
Switch# 特权模式(使能模式; exit返回特权模式)
Switch(config# 全局配置模式(conf t 由特权模式进入)
ip access-list liutong
permit ip 192.168.2.0/24 any
permit ip any any 必须要加
statistics per-entry
interface ethernet 2/1
ip access-group liutong in //用于2层或PO口,只能in
ip port access-group liutong in //用户3层口,可以in,可以out
#查看流量统计
show ip access-lists liutong
#清除计数:
clear ip access-list counters
show run #检查当前运行配置中是否有和当前运行的配置相冲突
configure terminal
ipv4-access-list test
rule 2 permit icmp 32.101.73.49 0.0.0.0 32.1.198.36 0.0.0.0
rule 3 permit icmp 32.1.198.36 0.0.0.0 32.101.73.49 0.0.0.0
rule 1000 permit any 必须要加上
exit
interface xlgei-0/1/1/21.2001 #进入响应的子接口或者主接口
ipv4-access-group egress test
ipv4-access-group ingress test
exit
pm-qos
traffic-statistics ipv4-access-list test rule-id 2 pkt-type all statistics-type packet
traffic-statistics ipv4-access-list test rule-id 3 pkt-type all statistics-type packet
查看流量统计结果
show traffic-statistics ipv4-access-list test rule-id 2
show traffic-statistics ipv4-access-list test rule-id 3
清空流量统计计数
clear traffic-sta ipv4-access-list test rule-id 2
clear traffic-sta ipv4-access-list test rule-id 3
配置动作组
show running-config #采集配置,检查是否存在于下面冲突的配置
configure terminal
l3-action-group-name count #配置入方向的动作组
count all-colors
exit
egr-action-group count_out #配置出方向的动作组
count all-colors
exit
配置名称为test的ip扩展acl
ip access-list extended test
permit ip host 131.44.1.2 0.0.0.0 host 192.168.1.100 0.0.0.0 l3-action-group-name count_out
permit ip host 192.168.1.100 0.0.0.0 host 131.44.1.2 0.0.0.0 egr-action-group count
permit ip any any 必须要加
exit
interface gigabitethernet 0/1
ip access-group test in
ip access-group test out
查看流量统计信息
show traffic-count inst-interface gigabitethernet 0/1 ip-in
show traffic-count inst-interface gigabitethernet 0/1 ip-out
acl 3333
rule permit source X.X.X.X 0 destination X.X.X.X 0
#进入诊断试图,开启流统:
diag
firewall statistic acl 3333 enable
#查看统计结果:
display firewall statistic acl
#做完调试后,需要关闭流统的功能,因为长时间开启流统的功能会影响防火墙的性能。
undo firewall statistic
#删除先前计数:
reset firewall statistic acl all