流表x-flows：看清路由器数据流转发真面目

颁布功夫：2024-06-12

点击量：756

在日常网络运维过程中，当遇到丢包或者转发不通时，往往必要判断报文丢在什么处所，除了用traceroute蹊径跟踪到数据包终止在具体设备（如路由器）时，那就必要进一步判断路由器针对该报文的转发情况，是抛弃了？还是发错接口了？那么针对iSlot官方网站路由器，就能够使用流表这项技术进行判断。

一、流表简介

iSlot官方网站捷路由器当配置了 NAT、 QOS、 PBR、 ACL 等业务时，那么就默认开启了 X-flow 流表职能。即当每个数据包达到或者穿过路由器，路由器凭据这个报文的 6 元组就出产了一条流会话纪录。通过流表技术，我们就能够用来查看路由器针对该报文的收发情况（好比路由器有充公到？有没发出？收到几多？发出几多？）。因而能够作为通讯异常时的定位神器。可通过 show ip fpm flow 来查看当前的流表。通过 clear ip fpm flows 来断根当下的流（顶峰期慎用，会造成业务闪断）

下面我们以192.168.33.39这个源IP为例，来看看路由器针对该数据流的收发情况吧。
iSlot官方网站 - 引领潮水

每个流会话都蕴含如下 9 个字段，字段解析：
    Pr：IP 和谈号，常见的有 ICMP 为 1；TCP 是 6；UDP 是 17
    SrcAddr：该数据报文的源 IP 地址
    DstAddr：该数据报文的主张 IP 地址
    SrcPort：该数据报文的源端标语（TCP/UDP 以表的和谈是没有端标语的，那么设备使用该和谈的其它字段，作为端标语鉴别。如 ICMP 使用标识位。）
    DstPort：该数据报文的主张端标语
    Vrf：该数据报文地点的 vrf，默认全局 vrf 为 0
    SendBytes：发送字节数，源 IP 发送给主张 IP 的字节数
    RecvBytes：接管字节数，主张 IP 回复给源 IP 的字节数
    St：和谈状态

通过以上可知路，这条流代表的是，源192.168.33.49向指标172.18.10.13提议了telnet（指标端口是23），且源向主张发送了1437个字节，主张回包了1923个字节。

二、节造面流和转发面流的查看步骤
凭据设备对数据流的转发类型，能够分为节造面转发和转发面转发。

1、节造面转发：数据报文始发或者终止到路由器的，通常指的和谈类、治理类报文等。设备对于这类报文产生的流表称之为节造面流表。对于集中式和散布式设备都是在路由器主控（ruijie#）上查看对应的流表，不用进入到对应线卡查看。

2、转发面转发： 数据报文流量是穿越路由器的，通常指的是客户的业务报文等。设备对于这类报文产生的流表称之为转发面流表。对于集中式设备直接在路由器主控（ruijie#）上查看对应的流表；对于散布式设备，好比RSR77或77X要通过进入数据包流入、流出的线卡来进行查看。

散布式设备对转发面的流表查看均要登录线卡进行查看，以 RSR77-X 为例：

步骤 1：首先确定对应线卡的槽位号（通常是接口编号的前 2 位，好比接口是gi1/0/2，那么槽位号就是1/0）

    步骤 2：进入线卡，以RSR77-X为例，各线卡进入的方式如下：
    1、对于SIP1 载版搭配的 FNM 和 DFNM 子线卡，统一登录该子卡地点的槽位编号，
    RSR7708X#vtty 3/1
    [LC3/1]>en
    [LC3/1]#sh ip fpm flow

2、对于所有的 SIP2 载板上的线卡，则统一登录到 SIP2 载板地点的槽位号：
RSR7708X#vtty 2/0

[LC2/0]>en

[LC2/0]#sh ip fpm flow

3、对于所有的 SIP5-X 载板上的线卡，则统一登录到 SIP5-X 载板地点的槽位号：

   RSR7708X#vtty 4/0
    [LC4/0]>en
    [LC4/0]#sh ip fpm flow
    4、对于所有的没有 SIP1 载板的 DFNM 线卡，则直接登录该卡的槽位编号，比如 1/0 的DFNM-32GT/16SFP 线卡

     RSR7708X#vtty 1/0
     [LC1/0]>en
     [LC1/0]#sh ip fpm flow
    退出线卡到主控的操作步骤为：按键盘的 CTRL+X组合

三、常见流表号令的使用注明

号令1：show ip fpm statistics

寓意： 查看设备或者线卡流表总数，或者占用总数的统计
使用场景：当必要查看当前设备或者线卡的流表占用数量情况时，使用该号令。

RSR7708X#show ip fpm statistics
        Flow table capacity: 57344 →主控的流表数量总容量
        FRQ capacity: 1024
        Flow number: 38
        Nat-flow number: 0
        User number: 9
        Defragment context number: 0
        Defragment packet number: 0
        Event count: 0

Slot-1/0 : RSR7708-SRCMI-X-RSR77-SIP5-X —>SIP5-X 线卡的流表统计

Flow table capacity: 2097152 -→该线卡的流表数量总容量【关注】

FRQ capacity: 4096 →吩飕队列长度

Flow number: 36 →当前活跃的流表总量【把稳不要超过总量】

Nat-flow number: 7 →当前活跃的 NAT 流总量【把稳不要超过总量】

User number: 3 →当前用户数【关注】

Defragment context number: 0

Defragment packet number: 0

Event count: 3720 →流事务统计

号令2：show ip fpm users

寓意：统计当前用户的流会话衔接数和针对该ip的最大流限度数

使用场景：当必要查看当前用户有几多条流和最大配置的流会话数量时使用

使用技巧：

1)可通过管路符 | 对用户ip进行过滤，查看特定的用户情况。

2)在散布式设备，好比RSR77-X系列，必要在线卡里面查看

举例：

[LC1/0]#sh ip fpm users

IP-address Active-time(s) Active-Conns Max-Config-Conns

192.13.64.2 147 11 100000

192.168.30.1 1227 3 100000

172.19.1.1 1685 1 100000

172.18.157.32 700747 17 100000

Ip-address ：数据流的源 ip 地址，通常情况下为用户的内网地址

Active-timie：该用户存在数据流的功夫

Active-conns：该用户存在几多条活跃的流，若是过大，可能存在异常攻击

Max-config-conns：配置的该用户最大会话限度，默认是 100000，可通过 ip session filter 进行调整

号令3：show ip fpm users

    寓意：查看当前设备所有的数据流表的转发情况。
    使用场景：当必要查看全数数据流的转发情况下会使用该号令。
    使用技巧：
        1、可通过管路符 | 对单个 ip 或者端标语进行过滤，查看特定的用户情况。
        2、在散布式设备，必要在线卡里面查看，好比 RSR77X
    使用限度：在极简出口解决规划版本中，对管路符操作进行了限度，使用 show ip fpm flows users .x.x.x号令进行包办

举例：

号令4：show ip fpm users x.x.x.x

寓意：显示特定源IP所有的数据流的转发信息
    使用场景：当必要查看当前某个特定流表转发情况时，使用该号令。
    使用限度：该号令在极简出口版本才有支持，通常在对应线卡进行查看。
[LC1/0]#sh ip fpm flows user 192.168.30.1
Pr SrcAddr DstAddr SrcPort DstPort Vrf SendBytes RecvBytes St
17 192.168.30.1 172.18.157.32 64834   1813    0 366618 90096 3
17 192.168.30.1 172.18.157.32 64838   1812    0 387548 95520 3