通过适用于 vSphere Distributed Switch 的 IPFIX 监控流量

上图显示了在两台不同主机上运行的两个虚拟机之间的通信以及通过 vSphere Distributed Switch 的 IPFIX 功能所监控到的流量。

主机 1 上的流量显示了从主机 1 收集的流量。IPv4 模板中包含与输入端口和输出端口及标准元素相关的额外信息。

ingressInterfaceAttr 文本框 0x02 表示它是连接虚拟机的访问端口。该访问端口号分配给了模板中的 ingressInterface 参数。

egressInterfaceAttr 值 0x03 表示它是 VXLAN 隧道端口，与其关联的端口号为 VMKNic 管理端口。该端口号分配给了模板中的 egressInterface 参数。

另一方面，IPv4 VXLAN 模板中还包含与 VXLAN ID、内部源、目标 IP/端口及协议相关的额外信息。输入接口和输出接口分别为 VXLAN 隧道端口和 dvuplink 端口。

主机 1 上的流量显示了主机 2 上的流量。

主机 1 上的流量中的模板与主机 1 上的流量的模板只是输入属性、输出属性和端口号有所不同。

通过此模板提供的额外信息，可帮助收集器工具供应商将外部 VXLAN 流量与内部虚拟机流量相关联。

与收集器工具供应商相关的信息

通过 vSphere Distributed Switch 上的 IPFIX 支持，可以查看虚拟机流量和 VXLAN 流量。如果您使用任何供应商提供的收集器工具，则可以使用模板中提供的额外信息来在内外部流量与端口连接之间建立关联。

下面部分针对如何解码 VXLAN 模板中所添加的新参数提供了详细信息。IANA 定义 IPFIX 信息元素及其元素 ID。您可以在以下网址找到标准元素 ID 列表：http://www.iana.org/assignments/ipfix/ipfix.xml。

VXLAN 模板中定义的所有新元素都具有新元素 ID。

这些自定义的参数或元素可提供与 VXLAN 流量和内部流量相关的额外信息。以下是新元素及其 ID：

表 1. 自定义参数
元素 ID	参数名称	数据类型	单位
880	tenantProtocol	unsigned8	1 个字节
881	tenantSourceIPv4	ipv4Address	4 个字节
882	tenantDestIPv4	ipv4Address	4 个字节
883	tenantSourceIPv6	ipv6Address	16 个字节
884	tenantDestIPv6	ipv6Address	16 个字节
886	tenantSourcePort	unsigned16	2 个字节
887	tenantDestPort	unsigned16	2 个字节
888	egressInterfaceAttr	unsigned16	2 个字节
889	vxlanExportRole	unsigned8	1 个字节
890	ingressInterfaceAttr	unsigned16	2 个字节

注：以上定义的所有自定义元素都会附加“企业 ID” 。VMware 的企业 ID 是 6876。

下表显示了完整的元素 ID 列表示例。您可以在以下网址找到标准元素 ID 的数据类型和单位：http://www.iana.org/assignments/ipfix/ipfix.xml。