02-ACFP配置
本章节下载 (222.55 KB)
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
特性 |
描述 |
|
MSR800 |
ACFP |
不支持 |
MSR 900 |
支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
支持 |
|
MSR 20 |
不支持 |
|
MSR 30 |
支持(仅MSR30-11、MSR30-11E和MSR30-11F不支持) |
|
MSR 50 |
支持(仅MSR 50-06不支持) |
|
MSR 2600 |
不支持 |
|
MSR3600-51F |
不支持 |
数据通信的基础网络主要由路由器和交换机组成,由这些设备完成数据报文的转发。随着数据网络的逐步发展,数据网络上运行的业务越来越多,但是传统的路由器、交换机并不适合处理很多新兴业务,因此产生了一些专门处理某些业务的产品,如防火墙、IDS(Intrusion Detection System,入侵检测系统)、IPS(Intrusion Prevention System,入侵防御系统)等安全产品及语音、无线等产品。
为了更好地支撑新兴业务,传统网络设备(这里指路由器、交换机)生产厂家纷纷推出多种专用业务板(卡),或者提供一套软硬件接口,允许其他厂家提供板(卡)或者设备的硬件或软件,插入或连接到传统网络设备上,协作处理这些业务,从而能发挥各厂家在各自领域的优势,更有效地支撑新兴业务,同时减少用户投资。OAA(Open Application Architecture,开放应用架构)就是基于该思想而提出的开放业务架构,它能够让众多不同厂商生产的设备和软件集成在一起,象一台设备那样工作,为客户提供一体化的解决方案。
ACFP(Application Control Forwarding Protocol,应用控制转发协议)是基于OAA架构设计的应用控制转发协议。例如,联动的IPS/IDS卡或者IPS/IDS设备作为ACFP客户端,上面运行其他厂家的软件,支撑IPS/IDS业务。路由器或交换机收到IP报文后,通过匹配ACFP的联动策略规则,将报文镜像或重定向给ACFP客户端,ACFP客户端上的软件对报文做监控、检测等业务处理,然后根据监控、检测的结果,再通过联动MIB(Management Information Base,管理信息库)反馈给路由器或交换机,指示路由器或交换机做出相应处理(如过滤某些报文)。
图1-1 ACFP体系结构示意图
如图1-1所示,ACFP体系可以分成三部分:
· 路由交换部件:是路由器和交换机的主体部分,这部分有着完整的路由器或交换机的功能,也是用户管理控制的核心,此部分称为ACFP server;
· 独立业务部件:是可以开放给第三方合作开发的主体,主要用来提供各种独特的业务服务功能,此部分称为ACFP client;
· 接口连接部件:是路由交换部件和独立业务部件的接口连接体,通过这个部件将两个不同厂商的设备连接在一起,以形成一个整体。
ACFP联动就是指独立业务部件可以向路由交换部件发指令,改变路由交换部件的功能。联动功能主要是通过SNMP协议实现的:独立业务部件仿照网管系统的功能,向路由交换部件发送各种SNMP命令;而路由交换部件上支持SNMP Agent功能,可以执行收到的这些命令。在这个过程中,联系双方的关键就是联动的MIB。
ACFP联动提供了一套机制,使得ACFP client能够控制ACFP server上的流量,包括:
· 将ACFP server上的流量镜像、重定向到ACFP client;
· 允许、拒绝ACFP server上的流量通过;
· 对ACFP server上的流量进行限速;
· 在报文中携带上下文ID,通过上下文ID使得ACFP server和ACFP client能互通报文上下文环境。具体过程如下:ACFP server中维护一个上下文表,通过上下文ID查询上下文表,每个上下文ID对应一个ACFP联动策略(联动策略的内容包括报文入接口、报文出接口、联动规则等信息)。当ACFP server收到的报文由于匹配某个联动规则而被重定向或镜像到ACFP client时,报文中会携带该联动规则所在联动策略对应的上下文ID;当被重定向的报文从ACFP client返回时,报文中也会携带该上下文ID,通过上下文ID,ACFP server就知道该报文是重定向返回的报文,然后进行正常的转发处理。
为便于ACFP client更好地控制流量,联动内容中设置联动策略与联动规则两级组织,基于策略管理匹配规则的流量,达到一种弹性管理的目的。
为有效支撑Client/Server这种联动模式,细粒度、弹性地设置各种规则,联动内容分成四块组织:ACFP server信息、ACFP client信息、ACFP联动策略、ACFP联动规则。这四块内容存储在ACFP server中。
由于一个ACFP server可以支持多个ACFP client,因此,ACFP client信息、ACFP联动策略、ACFP联动规则都是以表的形式组织的。
ACFP server信息由ACFP server自己生成,ACFP client信息、ACFP联动策略、ACFP联动规则都是由ACFP client生成并通过联动MIB或联动协议发送到ACFP server。
ACFP server信息包含的内容及其含义如下:
· 所能支持的工作模式:分为主机、穿透、镜像和重定向四种。ACFP server可以同时支持其中的多种工作模式。只有当ACFP server所支持的工作模式包含ACFP client的工作模式时,这两个主体才能进行联动。
· 联动策略的最长有效期:说明了ACFP server的联动策略所能存活的最长时间。
· 联动策略存储的持久性:说明了ACFP server是否具备永久保存联动策略的能力,主要指ACFP server重新启动后还能否保有原来的联动策略。
· 当前所支持的上下文ID的类型为VLANID-context(使用VLAN ID作为上下文ID),不同的ACFP server中,上下文ID在报文中所处的位置可能不同。
上述这些信息表明了一个ACFP server的联动能力,各ACFP client可通过联动协议、联动MIB的途径来获取这些信息。
ACFP client信息包含的内容及其含义如下:
· ACFP client ID:ACFP client的标识,可以通过联动协议由ACFP server分配,也可以由网络管理员指定,目的都是要确保各ACFP client在ACFP server中client ID的唯一性。
· 描述:ACFP client的描述信息。
· 硬件版本:ACFP client的硬件类别及版本号等信息。
· 操作系统版本:ACFP client的系统名称及版本号等信息。
· 应用软件版本:ACFP client的应用软件类别名称及其版本号等信息。
· IP地址:ACFP client的IP地址。
· 支持的工作模式:ACFP client当前所能支持的工作模式,指主机、穿透、镜像、重定向这些模式的组合。
ACFP联动策略指ACFP client发送给ACFP server所要实施的联动策略,策略信息包含的内容及其含义如下:
· ACFP client ID:ACFP client的标识。
· 策略号:策略的标识。
· 策略入接口:报文进入ACFP server的接口。
· 策略出接口:报文被正常转发的出接口。
· 策略目的接口:ACFP server连接该ACFP client的接口。
· 报文上下文ID:会在镜像或重定向报文给ACFP client时用到。当发送的策略指定了连接ACFP client的接口时,由ACFP server为该策略分配一个全局的序号,即报文上下文ID,每个上下文ID对应一个ACFP联动策略。
· 策略管理状态:表示该策略是否允许生效。
· 策略有效期:表示该策略有效的期限,借此来控制策略下的所有规则有效期限。
· 策略开始时间:表示该策略生效的起始时间,单位为每天的时、分、秒,借此来控制策略下的所有规则。
· 策略结束时间:表示该策略生效的结束时间,单位为每天的时、分、秒,借此来控制策略下的所有规则。
· 策略目的接口down时,该策略下所有规则处理动作:对于转发优先设备,在目的接口down后希望重定向和镜像的报文继续转发,此时选择delete动作;对于安全优先设备,在目的接口down后希望重定向和镜像的报文直接丢弃,此时选择reserve动作。
· 策略优先级:表示该策略的优先级,用数字1~8表示,数字越大,优先级越高。
ACFP联动规则指ACFP client发送给ACFP server所要实施的联动规则,联动规则可以分为3类:
· 监控规则:即将哪些报文递给ACFP client做监控分析及业务处理。该规则对应的动作类型目前有重定向、镜像。
· 过滤规则:即明确哪些报文被丢弃、哪些报文允许通过。该规则对应的动作类型有丢弃、通过。
· 限制规则:即明确哪些报文将被限速。该规则对应的动作类型为限速。
规则信息包含的内容及其含义如下:
· ACFP client ID:ACFP client的标识;
· 策略号:策略的标识;
· 规则号:规则的标识;
· 规则操作状态:表示规则是否应用成功;
· 动作类型:包括镜像、重定向、丢弃、通过和限速5种动作;
· 是否匹配所有报文:表示该规则是否要匹配所有的报文,如果是的话,则不需要进行下面的匹配;
· 源MAC地址;
· 目的MAC地址;
· 起始VLAN ID;
· 结束VLAN ID;
· IP中的协议号;
· 源IP地址;
· 源IP地址的通配符掩码;
· 源端口号操作符:类型为等于、不等于、大于、小于、之间,只有类型为之间时,下面的结束源端口号才有意义,标识所匹配的报文的源端口应该大于起始源端口号而小于结束源端口号;
· 起始源端口号;
· 结束源端口号;
· 目的IP地址;
· 目的IP地址的通配符掩码;
· 目的端口号操作符:类型为等于、不等于、大于、小于、之间,只有类型为之间时,下面的结束目的端口号才有意义,标识所匹配的报文的目的端口应该大于起始目的端口号而小于结束目的端口号;
· 起始目的端口号;
· 结束目的端口号;
· 报文的协议类型:包括GRE、ICMP、IGMP、OSPF、TCP、UDP、IP等;
· IP优先级:报文优先级,用数字表示,取值范围为0~7;
· IP ToS:IP报文的服务类型;
· IP DSCP:IP报文的差分服务编码点;
· TCP标志:表示关心TCP六个标志位(URG、ACK、PSH、RST、SYN和FIN)中的某些位;
· IP分片:是否是IP分片报文;
· 限制速率。
联动规则隶属于联动策略,通过联动策略可以管理策略下的规则。
· ACFP策略在GRE隧道环境中应用时只能配置在Tunnel口上。
· ACFP不支持策略路由业务和Netstream业务。
· ACFP重定向的报文处理和部分QoS处理(FR-DE匹配、ATM-CLP匹配、入接口匹配、QoS local-id及本地优先级等)互斥,重定向到ACFP client后返回的报文不进行上述QoS处理。
· ACFP重定向或镜像的报文在目的接口仅支持二层QoS处理(包括队列、WRED等),不支持其它业务处理(包括非二层的QoS处理及非QoS业务的处理)。
· ACFP不支持将同一个流镜像或重定向到多个ACFP client。
· ACFP不能处理本地发出的报文。
表1-1 ACFP配置任务简介
配置任务 |
说明 |
详细配置 |
配置ACFP server |
必选 |
|
配置ACFP client |
必选 |
|
开启ACFP Trap功能 |
可选 |
表1-2 配置ACFP server
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
使能ACFP server功能 |
acfp server enable |
必选 缺省情况下,ACFP server功能处于关闭状态 |
用户需通过MIB Browser配置ACFP client上的ACFP联动策略和规则,具体配置方式与ACFP client所使用的业务软件有关。
在关闭ACSEI功能或者改变内联口(即ACFP server与ACFP client相连的接口)的连接模式时,建议先在ACFP client上操作,再在ACFP server上操作,这样可以有效避免操作过程对流量产生的影响。
为确保ACFP功能正常运行,必须允许设备发送ACFP模块的Trap报文。
开启ACFP模块的Trap功能后,该模块会生成Trap报文,用于报告该模块的重要事件。ACFP Trap报文对应的级别如表1-3所示。
表1-3 ACFP Trap报文对应的级别
Trap报文 |
级别 |
上下文ID类型改变 |
notifications |
ACFP client注册 |
notifications |
ACFP client注销 |
notifications |
ACSEI协议检测到ACFP client没有响应 |
warnings |
ACFP server不支持ACFP client的工作模式 |
errors |
ACFP联动策略的有效期改变 |
notifications |
ACFP联动规则创建 |
informational |
ACFP联动规则删除 |
informational |
ACFP联动规则发生错误 |
errors |
ACFP联动策略的有效期超时 |
notifications |
生成的Trap报文将被发送到设备的信息中心,通过设置信息中心的参数,最终决定Trap报文的输出规则(即是否允许输出以及输出方向)。有关信息中心各参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
表1-4 开启ACFP Trap功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启ACFP模块的Trap功能 |
snmp-agent trap enable acfp [ client | policy | rule | server ] |
可选 缺省情况下,ACFP模块的Trap功能处于开启状态 |
有关snmp-agent trap enable命令的详细介绍,请参见“网络管理和监控命令参考”中的“SNMP”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后ACFP的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除ACFP规则缓存信息。
表1-5 ACFP显示和维护
操作 |
命令 |
查看ACFP server信息 |
display acfp server-info [ | { begin | exclude | include } regular-expression ] |
查看ACFP client信息 |
display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ] |
查看ACFP策略信息 |
display acfp policy-info [ client client-id [ policy-index ] | dest-interface interface-type interface-number | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ] |
查看ACFP规则信息 |
display acfp rule-info { in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ] |
查看ACFP规则缓存信息 |
display acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] * [ | { begin | exclude | include } regular-expression ] |
查看ACFP Trap的配置情况 |
display snmp-agent trap-list [ | { begin | exclude | include } regular-expression ] |
清除ACFP规则缓存信息 |
reset acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] * |
· 某企业网通过Device实现各部门的互连,该Device为ACFP server;
· ACFP client与Device相连并控制Device上的流量,分析入接口为Ethernet1/2的流量。ACFP client经过分析后,允许入接口为Ethernet1/2、源IP为192.168.1.1/24的所有报文通过,并拒绝入接口为Ethernet1/2、源IP为192.168.1.2/24的所有报文通过。
图1-2 ACFP典型配置组网图
(1) 配置Device
# 使能ACFP server和ACSEI server功能。
<Device> system-view
[Device] acfp server enable
[Device] acsei server enable
(2) 通过MIB Browser配置ACFP client的联动策略和监控规则
# 通过将hh3cAcfpClientRowStatus节点的值配置为4,创建一个索引为1的ACFP client;通过将hh3cAcfpClientMode节点的值配置为1,使该client的工作模式为重定向。
# 通过将hh3cAcfpPolicyRowStatus节点的值配置为4,创建一个索引为1.1的ACPF策略;通过配置hh3cAcfpPolicyInIfIndex和hh3cAcfpPolicyDestIfIndex节点,分别将该策略的入接口和目的接口设置为Ethernet1/2和Ethernet1/3。
# 通过将hh3cAcfpRuleRowStatus节点的值配置为4,创建一个索引为1.1.1的ACPF规则;通过将hh3cAcfpRuleAction节点的值配置为3,使该规则的动作类型为重定向。
(3) 通过MIB Browser配置ACFP client的联动策略和过滤规则
# 通过将hh3cAcfpPolicyRowStatus节点的值配置为4,创建一个索引为1.2的ACPF策略;通过配置hh3cAcfpPolicyInIfIndex节点,将该策略的入接口设置为Ethernet1/2。
# 通过将hh3cAcfpRuleRowStatus节点的值配置为4,创建一个索引为1.2.1的ACPF规则;通过将hh3cAcfpRuleAction节点的值配置为1,使该规则的动作类型为允许通过;通过配置hh3cAcfpRuleSrcIP和hh3cAcfpRuleSrcIPMask节点,分别将该规则所匹配报文的源IP地址及其通配符掩码设置为192.168.1.1和0.0.0.255。
# 通过将hh3cAcfpRuleRowStatus节点的值配置为4,创建一个索引为1.2.2的ACPF规则;通过将hh3cAcfpRuleAction节点的值配置为2,使该规则的动作类型为拒绝通过;通过配置hh3cAcfpRuleSrcIP和hh3cAcfpRuleSrcIPMask节点,分别将该规则所匹配报文的源IP地址及其通配符掩码设置为192.168.1.2和0.0.0.255。
· 有关MIB的详细介绍请参见 “网络管理和监控配置指导”中的“SNMP”。
· 有关上述MIB节点的详情,可通过MIB Browser来查看各MIB节点属性中的描述字段。
(4) 验证配置效果
使用ping命令验证Host A与Host C、以及Host B与Host C的连通性。测试结果表明:Host A与Host C可以互通,Host B与Host C则无法互通。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!