- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-ACFP配置
本章節下載: 02-ACFP配置 (178.18 KB)
數據通信的基礎網絡主要由路由器和交換機組成,由這些設備完成數據報文的轉發。隨著數據網絡的逐步發展,數據網絡上運行的業務越來越多,但是傳統的路由器、交換機並不適合處理很多新興業務,因此產生了一些專門處理某些業務的產品,如防火牆、IDS(Intrusion Detection System,入侵檢測係統)、IPS(Intrusion Prevention System,入侵防禦係統)等安全產品及語音、無線等產品。
為了更好地支撐新興業務,傳統網絡設備(這裏指路由器、交換機)生產廠家紛紛推出多種專用業務板(卡),或者提供一套軟硬件接口,允許其他廠家提供板(卡)或者設備的硬件或軟件,插入或連接到傳統網絡設備上,協作處理這些業務,從而能發揮各廠家在各自領域的優勢,更有效地支撐新興業務,同時減少用戶投資。OAA(Open Application Architecture,開放應用架構)就是基於該思想而提出的開放業務架構,它能夠讓眾多不同廠商生產的設備和軟件集成在一起,象一台設備那樣工作,為客戶提供一體化的解決方案。
ACFP(Application Control Forwarding Protocol,應用控製轉發協議)是基於OAA架構設計的應用控製轉發協議。路由器或交換機收到報文後,通過匹配ACFP的聯動策略規則,將報文鏡像或重定向給ACFP客戶端對報文做各種不同的業務處理。
圖1-1 ACFP體係結構示意圖
如圖1-1所示,ACFP體係可以分成三部分:
l 路由交換部件:是路由器和交換機的主體部分,這部分有著完整的路由器或交換機的功能,也是用戶管理控製的核心,此部分稱為ACFP server;
l 獨立業務部件:是可以開放給第三方合作開發的主體,主要用來提供各種獨特的業務服務功能,此部分稱為ACFP client;
l 接口連接部件:是路由交換部件和獨立業務部件的接口連接體,通過這個部件將兩個不同廠商的設備連接在一起,以形成一個整體。
ACFP聯動就是指獨立業務部件可以向路由交換部件發指令,改變路由交換部件的功能。聯動功能主要是通過SNMP協議實現的:獨立業務部件仿照網管係統的功能,向路由交換部件發送各種SNMP命令;而路由交換部件上支持SNMP Agent功能,可以執行收到的這些命令。在這個過程中,聯係雙方的關鍵就是聯動的MIB。
ACFP聯動提供了一套機製,使得ACFP client能夠控製ACFP server上的流量,包括:
l 將ACFP server上的流量鏡像、重定向到ACFP client;
l 允許、拒絕ACFP server上的流量通過;
l 對ACFP server上的流量進行限速;
l 在報文中攜帶上下文ID,通過上下文ID使得ACFP server和ACFP client能互通報文上下文環境。具體過程如下:ACFP server中維護一個上下文表,通過上下文ID查詢上下文表,每個上下文ID對應一個ACFP聯動策略(聯動策略的內容包括報文入接口、報文出接口、聯動規則等信息)。當ACFP server收到的報文由於匹配某個聯動規則而被重定向或鏡像到ACFP client時,報文中會攜帶該聯動規則所在聯動策略對應的上下文ID;當被重定向的報文從ACFP client返回時,報文中也會攜帶該上下文ID,通過上下文ID,ACFP server就知道該報文是重定向返回的報文,然後進行正常的轉發處理。
為便於ACFP client更好地控製流量,聯動內容中設置聯動策略與聯動規則兩級組織,基於策略管理匹配規則的流量,達到一種彈性管理的目的。
為有效支撐Client/Server這種聯動模式,細粒度、彈性地設置各種規則,聯動內容分成四塊組織:ACFP server信息、ACFP client信息、ACFP聯動策略、ACFP聯動規則。這四塊內容存儲在ACFP server中。
由於一個ACFP server可以支持多個ACFP client,因此,ACFP client信息、ACFP聯動策略、ACFP聯動規則都是以表的形式組織的。
ACFP server信息由ACFP server自己生成,ACFP client信息、ACFP聯動策略、ACFP聯動規則都是由ACFP client生成並通過聯動MIB或聯動協議發送到ACFP server。
ACFP server信息包含的內容及其含義如下:
l 所能支持的工作模式:分為主機、穿透、鏡像和重定向四種。ACFP server可以同時支持其中的多種工作模式。隻有當ACFP server所支持的工作模式包含ACFP client的工作模式時,這兩個主體才能進行聯動。
l 聯動策略的最長有效期:說明了ACFP server的聯動策略所能存活的最長時間。
l 聯動策略存儲的持久性:說明了ACFP server是否具備永久保存聯動策略的能力,主要指ACFP server重新啟動後還能否保有原來的聯動策略。
l 當前所支持的上下文ID的類型:不同的ACFP server中,上下文ID在報文中所處的位置可能不同。上下文ID的類型分為5種:no-context(不攜帶上下文ID)、HG-context(使用HG前導碼作為上下文ID)、HGPlus-context(使用加強版HG前導碼作為上下文ID)、FlowID-context(使用FlowID前導碼作為上下文ID)和VLANID-context(使用VLAN ID作為上下文ID)。
l 本係列產品僅支持鏡像和重定向兩種工作模式;
l 本係列產品僅支持使用加強版HG前導碼作為上下文ID(HGPlus-context)。
上述這些信息表明了一個ACFP server的聯動能力,各ACFP client可通過聯動協議、聯動MIB的途徑來獲取這些信息。
ACFP client信息包含的內容及其含義如下:
l ACFP client ID:ACFP client的標識,可以通過聯動協議由ACFP server分配,也可以由網絡管理員指定,目的都是要確保各ACFP client在ACFP server中client ID的唯一性。
l 描述:ACFP client的描述信息。
l 硬件版本:ACFP client的硬件類別及版本號等信息。
l 操作係統版本:ACFP client的係統名稱及版本號等信息。
l 應用軟件版本:ACFP client的應用軟件類別名稱及其版本號等信息。
l IP地址:ACFP client的IP地址。
l 支持的工作模式:ACFP client當前所能支持的工作模式,指主機、穿透、鏡像、重定向這些模式的組合。
ACFP聯動策略指ACFP client發送給ACFP server所要實施的聯動策略,策略信息包含的內容及其含義如下:
l ACFP client ID:ACFP client的標識。
l 策略號:策略的標識。
l 策略入接口:報文進入ACFP server的接口。
l 策略出接口:報文被正常轉發的出接口。
l 策略目的接口:ACFP server連接該ACFP client的接口。
l 報文上下文ID:會在鏡像或重定向報文給ACFP client時用到。當發送的策略指定了連接ACFP client的接口時,由ACFP server為該策略分配一個全局的序號,即報文上下文ID,每個上下文ID對應一個ACFP聯動策略。
l 策略管理狀態:表示該策略是否允許生效。
l 策略有效期:表示該策略有效的期限,借此來控製策略下的所有規則有效期限。
l 策略開始時間:表示該策略生效的起始時間,單位為每天的時、分、秒,借此來控製策略下的所有規則。
l 策略結束時間:表示該策略生效的結束時間,單位為每天的時、分、秒,借此來控製策略下的所有規則。
l 策略目的接口down時,該策略下所有規則處理動作:對於轉發優先設備,在目的接口down後希望重定向和鏡像的報文繼續轉發,此時選擇delete動作;對於安全優先設備,在目的接口down後希望重定向和鏡像的報文直接丟棄,此時選擇reserve動作。
l 策略優先級:表示該策略的優先級,用數字1~8表示,數字越大,優先級越高。
ACFP聯動規則指ACFP client發送給ACFP server所要實施的聯動規則,聯動規則可以分為3類:
l 監控規則:即將哪些報文遞給ACFP client做監控分析及業務處理。該規則對應的動作類型目前有重定向、鏡像。
l 過濾規則:即明確哪些報文被丟棄、哪些報文允許通過。該規則對應的動作類型有丟棄、通過。
l 限製規則:即明確哪些報文將被限速。該規則對應的動作類型為限速。
規則信息包含的內容及其含義如下:
l ACFP client ID:ACFP client的標識;
l 策略號:策略的標識;
l 規則號:規則的標識;
l 規則操作狀態:表示規則是否應用成功;
l 動作類型:包括鏡像、重定向、丟棄、通過和限速5種動作;
l 是否匹配所有報文:表示該規則是否要匹配所有的報文,如果是的話,則不需要進行下麵的匹配;
l 源MAC地址;
l 目的MAC地址;
l 起始VLAN ID;
l 結束VLAN ID;
l IP中的協議號;
l 源IP地址;
l 源IP地址的通配符掩碼;
l 源端口號操作符:類型為等於、不等於、大於、小於、之間,隻有類型為之間時,下麵的結束源端口號才有意義,標識所匹配的報文的源端口應該大於起始源端口號而小於結束源端口號;
l 起始源端口號;
l 結束源端口號;
l 目的IP地址;
l 目的IP地址的通配符掩碼;
l 目的端口號操作符:類型為等於、不等於、大於、小於、之間,隻有類型為之間時,下麵的結束目的端口號才有意義,標識所匹配的報文的目的端口應該大於起始目的端口號而小於結束目的端口號;
l 起始目的端口號;
l 結束目的端口號;
l 報文的協議類型:包括GRE、ICMP、IGMP、OSPF、TCP、UDP、IP等;
l IP優先級:報文優先級,用數字表示,取值範圍為0~7;
l IP ToS:IP報文的服務類型;
l IP DSCP:IP報文的差分服務編碼點;
l TCP標誌:表示關心TCP六個標誌位(URG、ACK、PSH、RST、SYN和FIN)中的某些位;
l IP分片:是否是IP分片報文;
l 限製速率。
聯動規則隸屬於聯動策略,通過聯動策略可以管理策略下的規則。
l ACFP策略在GRE隧道環境中應用時隻能配置在Tunnel口上。
l ACFP不支持Netstream業務。
l 重定向到ACFP client後返回的報文不進行下列QoS處理:QoS local-id及本地優先級。
l ACFP重定向或鏡像的報文在目的接口僅支持二層QoS處理(包括隊列、WRED等),不支持其它業務處理(包括非二層的QoS處理及非QoS業務的處理)。
l ACFP不支持將同一個流鏡像或重定向到多個ACFP client。
l ACFP不能處理本地發出的報文。
l CFP不支持下列報文的處理:廣播報文、組播報文、MPLS報文、發往本地的報文、IPv6報文。
l ACFP鏡像和重定向功能隻處理小於等於1500字節(指的是三層報文的長度,不包括鏈路層報文頭)的IP報文,大於1500的報文將被丟棄。
l ACFP策略的下發是與具體的端口關聯在一起的,如果端口所在單板更換為其它型號的單板,則ACFP策略所關聯端口的屬性會發生變化,此時需要重新配置ACFP策略。
表1-1 ACFP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置ACFP server(交換機) |
使能ACFP server功能 |
必選 |
|
|
開啟ACFP Trap功能 |
可選 |
||
|
配置ACFP client(OAP單板) |
必選 |
||
表1-2 使能ACFP server功能
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
使能ACFP server功能 |
acfp server enable |
必選 缺省情況下,ACFP server功能處於關閉狀態 |
為確保ACFP功能正常運行,必須允許設備發送ACFP模塊的Trap報文。
開啟ACFP模塊的Trap功能後,該模塊會生成Trap報文,用於報告該模塊的重要事件。ACFP Trap報文對應的級別如表1-3所示。
表1-3 ACFP Trap報文對應的級別
|
Trap報文 |
級別 |
|
上下文ID類型改變 |
notifications |
|
ACFP client注冊 |
notifications |
|
ACFP client注銷 |
notifications |
|
ACSEI協議檢測到ACFP client沒有響應 |
warnings |
|
ACFP server不支持ACFP client的工作模式 |
errors |
|
ACFP聯動策略的有效期改變 |
notifications |
|
ACFP聯動規則創建 |
informational |
|
ACFP聯動規則刪除 |
informational |
|
ACFP聯動規則發生錯誤 |
errors |
|
ACFP聯動策略的有效期超時 |
notifications |
生成的Trap報文將被發送到設備的信息中心,通過設置信息中心的參數,最終決定Trap報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心各參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
表1-4 開啟ACFP Trap功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟ACFP模塊的Trap功能 |
snmp-agent trap enable acfp [ client | policy | rule | server ] |
可選 缺省情況下,ACFP模塊的Trap功能處於開啟狀態 |
有關snmp-agent trap enable命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“SNMP”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ACFP的運行情況,通過查看顯示信息驗證配置的效果。
表1-5 ACFP顯示和維護
|
操作 |
命令 |
|
查看ACFP server信息 |
display acfp server-info [ | { begin | exclude | include } regular-expression ] |
|
查看ACFP client信息 |
display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ] |
|
查看ACFP策略信息 |
display acfp policy-info [ client client-id [ policy-index ] | dest-interface interface-type interface-number | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ] |
|
查看ACFP規則信息 |
display acfp rule-info { in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ] |
|
查看ACFP Trap的配置情況 |
display snmp-agent trap-list [ | { begin | exclude | include } regular-expression ] |
用戶需要在ACFP client即OAP單板上通過MIB配置ACFP聯動策略和ACFP聯動規則,該配置與OAP單板所加載的軟件密切相關,具體配置及應用案例請參見所選購的OAP單板的相關手冊。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
