什麼是 IPFIX?

IPFIX 是用於匯出流程資訊的 IETF 通訊協定。流量定義為在特定期間內傳輸且共用 5 元組值 (來源 IP 位址、來源連接埠、目的地 IP 位址、目的地連接埠和通訊協定) 的一組封包。流量資訊可能包含時間戳記、封包/位元組計數、輸入/輸出介面、TCP 旗標、VXLAN 識別碼、封裝的流量資訊等內容。這通常稱為 Netflow。但是,IPFIX 是標準的 IETF 通訊協定。

VDS 匯出哪些流量資訊?

可將 vSphere 環境中的 VDS 設定為使用 IPFIX 匯出流程資訊。在附加到 VDS 的所有連接埠群組上啟用流量監控。如果封包到達 VDS 的連接埠 X 並從連接埠 Y 結束,則在連接埠 Y 上啟用流量監控時,便會發出相應的流量記錄。每個流量記錄的方向設定為「出口」。

vRealize Network Insight 如何使用 IPFIX?

vRealize Network Insight 會使用 VMware VDS IPFIX 收集網路流量資料。每個工作階段具有兩個路徑。例如:工作階段 A↔C 具有 A→C 封包和 C→A 封包。若要分析任何工作階段的完整資訊,需要有關這兩個方向的封包的 IPFIX 資料。請參閱下圖,其中 VM-A 連線至 DVPG-A,並與 VM-C 進行通訊。此處 DVPG-A 僅提供有關 C→A 封包的資料,而 DVPG-Uplink 提供有關 A→C 封包的資料。若要取得 A 的完整流量資訊,應在 DVPG-A、DVPG-uplink 上啟用 IPFIX。

如何疑難排解 vRealize Network Insight 流量收集?

  1. 請確保特定的 VDS 及其 DVPG 和上行內容已啟用 Netflow 監控,並且收集器 IP 位址是 vRealize Network Insight 收集器的 IP 位址。
  2. IPFIX Netflow 封包被防火牆 (NSX、虛擬或實體) 捨棄。請確保在 ESXi 主機和 vRealize Network Insight 收集器之間的路由中可能存在的任何防火牆,都允許傳送到 vRealize Network Insight 收集器 IP 上 UDP 連接埠 2055 的 Netflow 封包。
  3. ESXi 主機已停止傳送 IPFIX Netflow 封包。如果無法連線到 UDP 連接埠 2055,ESXi 主機將在一段時間後停止傳送 Netflow 封包。這可能是由於防火牆捨棄封包所致。
  4. 由於網路路由問題,ESXi 主機無法連線到 vRealize Network Insight 收集器。請確保 ESXi 主機和 vRealize Network Insight 收集器之間存在正確路由。

應瞭解哪些與 IPFIX 相關的 VMware 知識庫文章?

VMware ESXi 6.0 Update 1:2135956

何時將服務視為共用?

通訊協定 連接埠
DNS 53
Bootpc 68
Kerberos 88
Pop3 110
sunrpc 111
NTP 123
map 143
Imap3 220
SMTP 25
LDAP 389
IGMPv3Lite 465
syslog 514
Submission 587
syslog-conn 601
LDAPS 636
IMAPS 993
POP3S 995
NFS 2049
MSFT-GC 3268
MSFT-GC-SSL 3269