国家 / 地区

16-OAA配置指导

03-ACSEI配置

本章节下载  (195.37 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/16/201807/1094217_30005_0.htm

03-ACSEI配置


1 ACSEI

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

ACSEI

不支持

MSR 900

支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

支持

MSR 20

不支持

MSR 30

支持(仅MSR 30-11、MSR30-11E和MSR 30-11F不支持)

MSR 50

支持(仅MSR 50-06不支持)

MSR 2600

不支持

MSR3600-51F

不支持

 

1.1  ACSEI简介

ACSEI(ACFP Client and Server Exchange Information,ACFP客户端和服务器端信息交互协议)是H3C私有协议,是ACFP(Application Control Forwarding Protocol,应用控制转发协议)运行的基础:它为ACFPclient和server提供了一种交互信息的方法,为联动提供很好的支撑。

作为ACFP的支撑协议,ACSEI也包括server和client两种实体。ACSEI server和ACFP server一起运行,ACSEI client和ACFP client一起运行。

·     ACSEI server集成在设备软件系统(Comware)中,是设备支持的一项功能。

·     ACSEI client有两种实现方式:一种是集成在设备的系统软件(Comware)中,作为设备支持的一项功能;一种是集成在OAP单板的软件系统当中,是OAP单板支持的一项功能。这两种实现方式所需的硬件条件不同,配置方式也不一样,本文将分别进行介绍。

·     ACFP是基于OAA(Open Application Architecture,开放应用架构)架构设计的应用控制转发协议,联动的IDS(Intrusion Detection System,入侵检测系统)卡或者IDS设备作为ACFP客户端,上面运行其他厂家的软件,支撑IPS(Intrusion Prevention System,入侵防御系统)/IDS业务。有关ACFP的详细介绍请参见“OAA配置指导”中的“ACFP”。

·     OAP(Open Application Platform,开放应用平台)是针对新兴业务提供的一个开放式应用平台。OAP单板上运行操作系统,根据客户需要可加载安全、语音等业务软件,为客户提供多样化的服务。有关OAP单板的详细介绍请参见“OAA配置指导”中的“OAP单板”。

 

1.1.1  ACSEI的功能

ACSEI协议主要功能如下:

·     ACFP client向ACFP server注册、注销;

·     ACFP server给ACFP client分配ID,用于保证各ACSEI client的唯一性与清晰性;

·     ACFP client与ACFP server之间的互相监控、互相感知;

·     ACFP server与ACFP client之间的信息交互(包括时钟同步等);

·     通过ACFP server对ACFP client实施简单的控制,例如,关闭ACFP client、重启ACFP client。

ACFP server与ACFP client为一对多的关系,一个ACFP server允许注册的ACFP client个数对于MSR系列路由器各款型有所不同,详细差异信息如下:

型号

特性

描述

MSR 900

一个ACSEI server允许注册的ACSEI client个数

1

MSR 20-1X

1

MSR 30

1 (30-16)

6 (MSR 30-10、30-20、30-40、30-60)

MSR 50

6

 

1.1.2  ACSEI定时器

ACSEI server用到两个定时器,分别是时钟同步定时器和监控定时器。

·     时钟同步定时器用来定时触发ACSEI server向ACSEI client发送时钟同步信息通告报文,用户可以通过命令行设置定时器的值。

·     监控定时器用来定时触发ACSEI server向ACSEI client发送监控请求报文,用户可以通过命令行设置定时器的值。

ACSEI client启动两个定时器,分别为注册定时器和监控定时器。

·     注册定时器用来定时触发ACSEI client以组播方式(组播MAC地址为010F-E200-0021)发送注册请求报文,用户不能设置定时器的值。

·     监控定时器用来定时触发ACSEI client向ACSEI server发送监控请求报文,用户不能设置定时器的值。

1.1.3  ACSEI的启动和运行过程

ACSEI启动和运行的整个过程可描述如下:

(1)     运行ACSEI client可执行程序,使能ACSEI client功能。

(2)     启动设备,使能ACSEI server功能。

(3)     ACSEI client以组播方式发送注册请求。

(4)     ACSEI server收到合法的注册请求后,与ACSEI client协商参数,协商通过后建立连接。

(5)     连接建立后相互监控连接的情况。

(6)     当ACSEI server检测到ACSEI client连接中断,ACFP server会将对应ACFP client的配置、策略等删除。

1.2  配置ACSEI server

1.2.1  使能ACSEI server

表1-1 使能ACSEI server

操作

命令

说明

进入系统视图

system-view

-

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

 

1.2.2  配置时钟同步定时器

表1-2 配置时钟同步定时器

操作

命令

说明

进入系统视图

system-view

-

使能ACSEI server功能

acsei server enable

必选

进入ACSEI视图

acsei server

-

配置ACSEI server到ACSEI client的时钟同步定时器的值

acsei timer clock-sync minutes

可选

缺省情况下,ACSEI server到ACSEI client的时钟同步定时器的值为5分钟

 

1.2.3  配置监控定时器

表1-3 配置监控定时器

操作

命令

说明

进入系统视图

system-view

-

使能ACSEI server功能

acsei server enable

必选

进入ACSEI视图

acsei server

-

配置ACSEI server对ACSEI client的监控定时器的值

acsei timer monitor seconds

可选

缺省情况下,ACSEI server对ACSEI client的监控定时器的值为5秒

 

1.2.4  关闭ACSEI client

表1-4 关闭ACSEI client

操作

命令

说明

进入系统视图

system-view

-

使能ACSEI server功能

acsei server enable

必选

进入ACSEI视图

acsei server

-

关闭指定的ACSEI client

acsei client close client-id

必选

 

注意

本特性仅支持运行Linux系统的ACSEI client。

 

1.2.5  重新启动ACSEI client

表1-5 重新启动ACSEI client

操作

命令

说明

进入系统视图

system-view

-

使能ACSEI server功能

acsei server enable

必选

进入ACSEI视图

acsei server

-

重新启动ACSEI client

acsei client reboot client-id

必选

 

1.2.6  ACSEI server显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ACSEI server系统的运行情况,通过查看显示信息验证配置的效果。

表1-6 ACSEI server显示和维护

配置

命令

显示ACSEI client摘要信息

display acsei client summary [ client-id ] [ | { begin | exclude | include } regular-expression ]

显示ACSEI client信息

display acsei client info [ client-id ] [ | { begin | exclude | include } regular-expression ]

 

1.3  配置ACSEI client(OAP单板支持)

OAP单板是插在设备上的一块单板,主要用于扩展设备的功能。ACSEI client就作为OAP单板的一项功能,集成在OAP单板的操作系统上。根据OAP单板上安装的操作系统不同,ACSEI client的配置步骤也不一样,分为两大步:

(1)     登录OAP单板的操作系统,请参见“OAA配置指导”中的“OAP单板”。

(2)     配置ACSEI client功能(OAP单板缺省已经安装)。当安装的操作系统是Linux系统时,请参照以下步骤进行配置。

1.3.1  安装ACSEI client

首先,下载ACSEI client的可执行程序(rpm包)到OAP板上,然后使用Linux命令安装ACSEI client,具体命令行如下:

表1-7 安装ACSEI client

操作

命令

说明

查询是否已经安装ACSEI client rpm包

rpm -ql acsei-client

可选

该操作在OAP单板的Linux系统下执行

卸载已经安装的ACSEI client rpm包

rpm -e acsei-client

可选

该操作在OAP单板的Linux系统下执行

安装ACSEI client rpm包

rpm -ivh filename

可选

缺省情况下,OAP单板上已经安装了ACSEI client程序

该操作在OAP单板的Linux系统下执行

查询ACSEI client版本信息

rpm -q acsei-client -i

可选

该操作在OAP单板的Linux系统下执行

 

·     filename为ACSEI client对外发布的rpm包的名称,如acsei-client-1.0-0.i386.rpm,其中1.0-0为版本号。

·     以上rpm命令是Linux操作系统的命令,请遵循Linux命令使用规范,本文档不作详细介绍。

 

1.3.2  配置默认启动ACSEI client

ACSEI client在安装后,就已经使能,并且每次单板系统启动后,默认自动引导ACSEI client启动,当然用户也可以通过以下的命令行来修改默认配置。

1. 通过命令行修改默认配置

表1-8 配置默认启动ACSEI client

操作

命令

说明

配置默认不启动ACSEI client

chkconfig acseid off

可选

缺省情况下,OAP单板上安装的ACSEI client是默认启动的

该操作在OAP单板的Linux系统下执行

配置默认启动ACSEI client

chkconfig acseid on

可选

缺省情况下,OAP单板上安装的ACSEI client是默认启动的

该操作在OAP单板的Linux系统下执行

 

2. 通过图形界面修改默认配置

(1)     登录OAP单板的Linux系统后,在Linux系统下执行setup命令,出现如下视图:

图1-1 ACSEI client默认启动配置setup界面

攐攘X

 

(2)     选择System services,键入<Enter>键,出现如下视图:

图1-2 ACSEI client默认启动配置service界面

ḸᒷṀᒷX

 

(3)     将光标移至acseid,使用<Space>空格键进行选择,

·     [ * ]表示系统启动时,引导ACSEI client启动;

·     [    ]表示系统启动时,不引导ACSEI client启动。

(4)     确认选项后,使用<Tab>键将光标移至OK,键入<Enter>,回到上一个视图,再选择Quit,退出Setup界面。

1.3.3  控制ACSEI client

表1-9 控制ACSEI client

操作

命令

说明

启动ACSEI client

service acseid start

可选

缺省情况下,OAP单板上安装的ACSEI client是开启的

该操作在OAP单板的Linux系统下执行

装载ACSEI client配置文件

service acseid reload

可选

该操作在OAP单板的Linux系统下执行

重启ACSEI client

service acseid restart

可选

该操作在OAP单板的Linux系统下执行

有条件重启ACSEI client

service acseid condrestart

可选

该操作在OAP单板的Linux系统下执行

关闭ACSEI client

service acseid stop

可选

该操作在OAP单板的Linux系统下执行

 

·     当有条件重启ACSEI client进程时,如果ACSEI client正在运行则关闭进程后,启动该进程;如果ACSEI client没有运行,则该命令不执行。

·     请不要在5秒内反复重启/关闭ACSEI client,否则可能会造成其他应用程序无法感知到ACSEI client的变化。

 

1.3.4  ACSEI client显示和维护

在完成上述配置后,在OAP单板的Linux系统下执行以下命令可以显示配置后ACSEI client的运行情况,通过查看显示信息验证配置的效果。

表1-10 ACSEI client显示和维护

操作

命令

查询ACSEI client的运行状态

service acseid status

打开ACSEI client的调试开关

acsei-client debug enable

显示ACSEI client的调试信息

acsei-client debug show

关闭ACSEI client的调试开关

acsei-client debug disable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!