流表x-flows：看清路由器数据流转发真面目

颁布功夫：2024-06-12

点击量：756

在日常网络运维过程中，，，，，当遇到丢包或者转发不通时，，，，，往往必要判断报文丢在什么处所，，，，，除了用traceroute蹊径跟踪到数据包终止在具体设备（如路由器）时，，，，，那就必要进一步判断路由器针对该报文的转发情况，，，，，是抛弃了？？？？？？还是发错接口了？？？？？？那么针对全发国际路由器，，，，，就能够使用流表这项技术进行判断。。。。。。。

一、流表简介

    全发国际捷路由器当配置了 NAT、 QOS、 PBR、 ACL 等业务时，，，，，那么就默认开启了 X-flow 流表职能。。。。。。。即当每个数据包达到或者穿过路由器，，，，，路由器凭据这个报文的 6 元组就出产了一条流会话纪录。。。。。。。通过流表技术，，，，，我们就能够用来查看路由器针对该报文的收发情况（好比路由器有充公到？？？？？？有没发出？？？？？？收到几多？？？？？？发出几多？？？？？？）。。。。。。。因而能够作为通讯异常时的定位神器。。。。。。。可通过 show ip fpm flow 来查看当前的流表。。。。。。。通过 clear ip fpm flows 来断根当下的流（顶峰期慎用，，，，，会造成业务闪断）

   下面我们以192.168.33.39这个源IP为例，，，，，来看看路由器针对该数据流的收发情况吧。。。。。。。

每个流会话都蕴含如下 9 个字段，，，，，字段解析：
    Pr：IP 和谈号，，，，，常见的有 ICMP 为 1；；；；；TCP 是 6；；；；；UDP 是 17
    SrcAddr：该数据报文的源 IP 地址
    DstAddr：该数据报文的主张 IP 地址
    SrcPort：该数据报文的源端标语（TCP/UDP 以表的和谈是没有端标语的，，，，，那么设备使用该和谈的其它字段，，，，，作为端标语鉴别。。。。。。。如 ICMP 使用标识位。。。。。。。）
    DstPort：该数据报文的主张端标语
    Vrf：该数据报文地点的 vrf，，，，， 默认全局 vrf 为 0
    SendBytes：发送字节数，，，，，源 IP 发送给主张 IP 的字节数
    RecvBytes：接管字节数，，，，， 主张 IP 回复给源 IP 的字节数
    St：和谈状态

    通过以上可知路，，，，，这条流代表的是，，，，，源192.168.33.49向指标172.18.10.13提议了telnet（指标端口是23），，，，，且源向主张发送了1437个字节，，，，，主张回包了1923个字节。。。。。。。

二、节造面流和转发面流的查看步骤
    凭据设备对数据流的转发类型，，，，，能够分为节造面转发和转发面转发。。。。。。。

    1、节造面转发：数据报文始发或者终止到路由器的，，，，，通常指的和谈类、 治理类报文等。。。。。。。设备对于这类报文产生的流表称之为节造面流表。。。。。。。对于集中式和散布式设备都是在路由器主控（ruijie#）上查看对应的流表，，，，，不用进入到对应线卡查看。。。。。。。

    2、转发面转发： 数据报文流量是穿越路由器的，，，，，通常指的是客户的业务报文等。。。。。。。设备对于这类报文产生的流表称之为转发面流表。。。。。。。对于集中式设备直接在路由器主控（ruijie#）上查看对应的流表；；；；；对于散布式设备，，，，，好比RSR77或77X要通过进入数据包流入、流出的线卡来进行查看。。。。。。。

    散布式设备对转发面的流表查看均要登录线卡进行查看，，，，， 以 RSR77-X 为例：

    步骤 1：首先确定对应线卡的槽位号（通常是接口编号的前 2 位，，，，，好比接口是gi1/0/2，，，，，那么槽位号就是1/0）

    步骤 2： 进入线卡，，，，，以RSR77-X为例，，，，，各线卡进入的方式如下：
    1、 对于SIP1 载版搭配的 FNM 和 DFNM 子线卡，，，，， 统一登录该子卡地点的槽位编号，，，，，
    RSR7708X#vtty 3/1
    [LC3/1]>en
    [LC3/1]#sh ip fpm flow

    2、对于所有的 SIP2 载板上的线卡，，，，， 则统一登录到 SIP2 载板地点的槽位号：
    RSR7708X#vtty 2/0

    [LC2/0]>en

    [LC2/0]#sh ip fpm flow

    3、对于所有的 SIP5-X 载板上的线卡，，，，， 则统一登录到 SIP5-X 载板地点的槽位号：

    RSR7708X#vtty 4/0
    [LC4/0]>en
    [LC4/0]#sh ip fpm flow
    4、对 于 所有的 没 有 SIP1 载 板 的 DFNM 线 卡 ，，，，，则 直接登录该卡的 槽 位 编 号 ，，，，， 比 如 1/0 的DFNM-32GT/16SFP 线卡

     RSR7708X#vtty 1/0
     [LC1/0]>en
     [LC1/0]#sh ip fpm flow
    退出线卡到主控的操作步骤为：按键盘的 CTRL+X组合

三、常见流表号令的使用注明

   号令1：show ip fpm statistics

    寓意： 查看设备或者线卡流表总数，，，，，或者占用总数的统计
    使用场景：当必要查看当前设备或者线卡的流表占用数量情况时，，，，，使用该号令。。。。。。。

       RSR7708X#show ip fpm statistics
        Flow table capacity: 57344 →主控的流表数量总容量
        FRQ capacity: 1024
        Flow number: 38
        Nat-flow number: 0
        User number: 9
        Defragment context number: 0
        Defragment packet number: 0
        Event count: 0

        Slot-1/0 : RSR7708-SRCMI-X-RSR77-SIP5-X —>SIP5-X 线卡的流表统计

        Flow table capacity: 2097152 -→该线卡的流表数量总容量【关注】

        FRQ capacity: 4096 →吩飕队列长度

        Flow number: 36 →当前活跃的流表总量【把稳不要超过总量】

        Nat-flow number: 7 →当前活跃的 NAT 流总量【把稳不要超过总量】

        User number: 3 →当前用户数【关注】

        Defragment context number: 0

        Defragment packet number: 0

        Event count: 3720 →流事务统计

   号令2：show ip fpm users

    寓意：统计当前用户的流会话衔接数和针对该ip的最大流限度数

    使用场景：当必要查看当前用户有几多条流和最大配置的流会话数量时使用   

    使用技巧：

        1)可通过管路符 | 对用户ip进行过滤，，，，，查看特定的用户情况。。。。。。。    

        2)在散布式设备，，，，，好比RSR77-X系列，，，，，必要在线卡里面查看

    举例：    

    [LC1/0]#sh ip fpm users

        IP-address   Active-time(s)  Active-Conns Max-Config-Conns

        192.13.64.2         147            11                    100000

        192.168.30.1       1227            3                    100000

        172.19.1.1            1685           1                    100000

        172.18.157.32      700747      17                   100000

    Ip-address ：数据流的源 ip 地址，，，，， 通常情况下为用户的内网地址

    Active-timie：该用户存在数据流的功夫

    Active-conns：该用户 存在几多条活跃的流，，，，，若是过大，，，，，可能存在异常攻击

    Max-config-conns：配置的该用户最大会话限度，，，，， 默认是 100000，，，，， 可通过 ip session filter 进行调整

   号令3：show ip fpm users

    寓意：查看当前设备所有的数据流表的转发情况。。。。。。。
    使用场景：当必要查看全数数据流的转发情况下会使用该号令。。。。。。。
    使用技巧：
        1、可通过管路符 | 对单个 ip 或者端标语进行过滤，，，，，查看特定的用户情况。。。。。。。
        2、在散布式设备，，，，，必要在线卡里面查看，，，，， 好比 RSR77X
    使用限度：在极简出口解决规划版本中，，，，，对管路符操作进行了限度，，，，，使用 show ip fpm flows users .x.x.x号令进行包办

    举例：
 

   号令4：show ip fpm users x.x.x.x

    寓意：显示特定源IP所有的数据流的转发信息
    使用场景：当必要查看当前某个特定流表转发情况时，，，，，使用该号令。。。。。。。
    使用限度：该号令在极简出口版本才有支持，，，，， 通常在对应线卡进行查看。。。。。。。
[LC1/0]#sh ip fpm flows user 192.168.30.1
Pr  SrcAddr        DstAddr        SrcPort   DstPort Vrf   SendBytes RecvBytes St
17 192.168.30.1 172.18.157.32 64834    1813      0       366618    90096      3
17 192.168.30.1 172.18.157.32 64838    1812      0        387548    95520     3

    解析：192.168.30.1与认证服务器的认证（端口1812）和计费（端口1813）的数据流交互过程。。。。。。。

   号令5： show ip fpm flow filter pr 源ip 掩码 主张ip 掩码

    寓意：查看针对特定源，，，，，特定指标的数据流的转发信息
    使用场景：当必要查看当前某个特定流表转发情况时，，，，，使用该号令。。。。。。。

    号令语法：show ip fpm flow filter ip 和谈号  源地址 掩码 主张地址 掩码

        常见和谈号：icmp =1；；；；；tcp=6；；；；；udp=17

   举例：

要查看源ip是172.18.1.128接见172.18.17.16的TCP数据流。。。。。。。

上图代表，，，，，源172.18.1.128 经过NAT地址转换后源IP地址造成110.1.1.12，，，，，该tcp源端口是36064，，，，，主张端口是23，，，，，发送了5467字节，，，，，接管9301个字节。。。。。。。

其他常见组合技巧：

1）查看肆意源到某个地址好比192.168.1.1的udp流

 Show ip fpm flows filter 17 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255

其中0.0.0.0 代表肆意

    号令6： show ip fpm flow filter pr 源ip 掩码 主张ip 掩码 detail 

     寓意：显示当前用户特定的数据转发的具体信息，，，，，并显示对应的起源接口和发送出口。。。。。。。

     使用场景：在做故障排查或者业务测试的时辰，，，，，当必要查看当前某个特定流表转发从哪个接口进出时，，，，，使 用该号令。。。。。。。 

     使用技巧：针对散布式设备，，，，，通常在对应线卡进行查看数据流的转发。。。。。。。

     举例：

     若是要查看10.20.255.34 接见223.5.5.5这个流的进出接口。。。。。。。

通过上述能够看到，，，，，该报文是从ag2口进入，，，，，ag4口发出。。。。。。。

如有疑难或有关售后问题征询，，，，，可点击进入闪电兔征询

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查