- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
COPS(Common Open Policy Service,公共开放策略服务)是一种简单的使用查询/响应模式的应用层协议,可用于在策略服务器和客户端之间交互策略信息。例如,该协议可被用于对RSVP(Resource Reservation Protocol,资源预留协议)信令消息进行策略控制,通过这种客户端查询策略/服务器响应决策的交互模式,对所有RSVP信令消息进行集中监控和控制,实现全网层面的端到端网络资源的协商、调度和实施。
同时,COPS协议又是一种面向业务的网络管理协议,可对多种网络应用业务进行策略控制,常见的应用业务包括QoS(Quality of Service,服务质量)、网络接入、防火墙等。目前,H3C设备可作为客户端,通过与远端的策略服务器端交互实现对802.1X接入业务的策略控制。
COPS协议定义的通信模型中有两大实体:PDP(Policy Decision Point,策略决策者)和PEP(Policy Enforcement Point,策略执行者)。其中,PDP是策略服务器端,PEP是客户端,PDP和PEP通过COPS协议进行策略信息交互。
COPS协议中,客户端与服务器之间进行消息交互的基本方式为:PEP向PDP发送策略请求、策略更新或策略删除的消息,PDP向PEP回应决策消息。基于该交互方式的COPS协议具有以下特点:
l 使用TCP作为传输层协议,可以提供可靠的报文交互。
l 具有可扩展性,不需要修改COPS协议本身就能支持不同类型的客户端业务。
l 为报文传输提供安全保证,可以进行报文的认证、重发保护和完整性检查。可以利用IPsec(IP Security,IP安全)或者TLS(Transport Layer Security,传输层安全)等已有的安全机制来认证和保护PEP和PDP之间交互的报文。
l 客户端与服务器共享请求与决策。PEP发出的策略请求将被远端的PDP存储直到PEP请求将其删除。而对于已经被PDP存储的策略请求,PDP可以在接收到请求后立即产生决策(Solicited Decision),或者之后因为状态变化而异步地产生新的决策(Unsolicited Decision),PEP会根据收到的决策报文修改本地保存的决策,以保持与PDP的决策的一致性。
l PDP可以对PEP进行策略配置,并依据此策略向PEP下发决策,当策略不可用时PDP能通知PEP同步删除本地保存的决策。
COPS协议报文的基本交互过程如下:
(1) 当COPS系统启动时,PEP向PDP发起TCP连接请求,该TCP连接建立后,PEP和PDP将基于此TCP连接进行后续的COPS消息交互。
(2) TCP连接建立之后,PEP向PDP发送OPN(Client-Open)消息请求建立COPS连接,该消息用于向PDP告知PEP可支持的客户类型(Client-type)。若PDP支持该客户端类型,则向PEP回应CAT(Client-Accept)消息,否则发送CC(Client-Close)消息。COPS连接建立之后,PEP与PDP通过互发KA(Keep-Alive)消息来维持该COPS连接的连通性。
(3) PEP向PDP发送REQ(Request)消息发起针对具体业务的策略请求,并启动请求超时定时器等待PDP回应。如果PEP在指定的超时时间内未收到PDP响应的决策,则立即删除该请求,并同时通知PDP删除保存的该请求。
(4) PDP收到PEP的策略请求后,向PEP发送包含决策内容的DEC(Decision)消息。若PDP的决策未及时发送,则PEP将不会处理请求超时时间之后收到的相关决策。
(5) PEP收到PDP决策之后,依据该决策中的策略进行业务处理,并向PDP发送RPT(Report)消息通知执行结果,PDP可以随时对决策进行更新和删除。
(6) 如果PEP和PDP建立COPS连接时,PDP向PEP指定了报告计费信息的时间间隔,则PEP在得到请求策略的决策后需要周期性地向PDP发送RPT消息报告客户端的业务统计信息。
目前,COPS协议可应用于802.1X接入业务,可实现对802.1X接入用户的授权策略控制,典型应用组网图如图1所示。
图1 COPS支持802.1X业务的典型应用组网图
设备启动后,根据当前的COPS配置与指定的PDP服务器建立COPS连接。当802.1X接入用户认证成功并上线后,设备与PDP服务器的基本交互过程如下:
l 设备作为PEP端向PDP服务器提交包含上线用户信息(用户名、主机IP地址、主机MAC地址、接入端口号等)的策略请求,请求PDP服务器对上线用户下发授权信息(VLAN、ACL等)。
l PDP服务器根据PEP上传的用户信息以及自身的策略配置,向PEP发送包含授权信息的决策。用户在线期间,PDP服务器可以主动变更用户的授权属性信息。
l 如果PDP服务器上指定了计费时间间隔,则PEP会在用户在线期间定时向PDP发送计费报文。
l 用户下线时,PEP通知PDP服务器删除该用户的策略请求。
若接入设备上配置了除COPS协议之外的其它协议对用户进行授权,例如RADIUS协议,则仅COPS授权会生效。
售前咨询
售后咨询
人工在线咨询
