- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-iBRAS业务感知配置
本章节下载: 13-iBRAS业务感知配置 (548.22 KB)
iBRAS业务感知可以称为iBRAS APA方案(Application Aware for Intelligent Broadband Remote Access Server,智能宽带远程接入服务器的业务感知方案),或者iBRAS SA方案(Service Awareness for Intelligent Broadband Remote Access Server,智能宽带远程接入服务器的业务感知方案)。运营商借助iBRAS SA方案可以按照用户粒度识别不同的业务流量,为宽带接入用户提供业务和应用粒度的流量加速、安全防护等增值服务。同时,iBRAS SA方案还可以分析接入用户的业务质量,对用户业务流量进行流量管控等,帮助运营商实现精细化运营。
如图1-1所示,H3C的iBRAS业务感知方案应用于运营商的城域网中,其基本架构主要包括两部分:
· iBRAS业务感知前台:由BRAS设备上的硬件SA单板实现。转发平面接口卡接收到用户上行业务报文时,将流量引入到SA单板来分析用户的业务流量,并识别和标记每用户每种业务流量所属的应用类别。SA单板在应用识别的基础上,根据应用类别叠加其他增值业务,例如对识别后的流量执行镜像、加速、监管或者阻断等操作。
· iBRAS业务感知后台:即多功能业务平台,通常由H3C的控制器来实现。用于对用户业务的质差分析、可视化呈现用户业务报表以及管理第三方插件的应用识别特征库。另外,还可以在iBRAS业务感知后台定义SA用户策略,并将SA用户策略下发给SA单板,SA单板按照SA用户策略来执行对应的流量行为。
图1-1 iBRAS业务感知方案的基本组网和架构示意图
如图1-2所示,用户的流量被引流到SA单板中进行处理后,BRAS设备上的SA单板作为iBRAS业务感知前台,主要实现以下逻辑功能:
· 应用识别:SA单板上利用集成的插件,支持基于IP地址、端口号、数据报文的应用层特征等信息对用户的业务流量进行识别。对于不同类型的业务流量,识别的机制不同。
¡ 识别应用APP流量:基于报文的IP地址、端口和应用层特征等多种信息对常见应用APP的流量进行识别。应用识别时,SA单板通常会对应用分类,例如,爱奇艺和抖音业务流量属于视频类应用,QQ和微信流量属于即时消息类应用。可以通过类型ID(Major ID,大类ID)标识和区分视频类应用或消息类应用。同时,通过应用ID(Minor ID,小类ID)标识每种应用APP的流量。因此,某款应用APP的流量可以同时拥有Major ID和Minor ID,这两类ID统称为应用标识APP ID。
¡ 识别网页URL(Uniform Resource Locator,统一资源定位符)流量:基于报文应用层中的URL对访问某些互联网页面的流量进行识别。SA单板可以识别某个URL的流量并单独对该类流量处理,也可以对某些URL进行分类并标识URL类别ID,根据URL类别ID对这类URL的流量集中处理。
· 应用加速:用户的业务流量被识别之后,SA单板基于APP ID可以将指定的应用重定向到专用加速通道中转发,使流量跳过CGN单板的NAT处理过程或者查询路由表再转发的流程,达到应用加速的效果。例如,部署iBRAS SA方案后可以将重点保障的游戏应用流量重定向到特定的SRv6 TE Policy隧道穿越公网,为用户提供游戏加速等增值服务。
· 流量管控:借助插件的应用识别能力,SA单板还可以识别出一些特殊的用户业务流量,例如,挖矿流量和PCDN(Peer To Peer Content Delivery Network,点到点内容分发网络)流量,SA单板可以对这类流量进行带宽限速和连接数的限制,也可以对指定的用户进行流量管控。
· 安全防护:SA单板能够对指定的非法URL地址进行阻断或重定向,非法URL地址可以是精准定义也可以是模糊定义的。同时,SA单板也可以对指定用户进行安全防护。
· 流量镜像:SA单板支持将特定APP ID标识的应用流量镜像复制到指定的出接口或监控组,通过镜像出接口连接监控设备可以在不影响业务的情况下分析流量详细信息。流量镜像主要用于网络监控和故障排除、网络攻击防范等场景。
图1-2 iBRAS业务感知前台识别分流系统的逻辑功能
如图1-3所示,iBRAS业务感知后台也叫做SA后台系统,它通过北向接口连接OSS(Operating Support System,运维支撑系统)和BSS(Business Support System,业务支撑系统),并为OSS/BSS提供支撑。其中,OSS系统通过iBRAS业务感知后台为网络提供故障管理、设备管理和配置管理等功能,BSS系统则基于iBRAS业务感知后台数据分析结果为用户提供业务开通和营销等服务。iBRAS业务感知后台与iBRAS业务感知前台通过南向接口互联,可以管理应用识别的特征库、下发用户流量转发的策略、对流量进行分析统计。iBRAS业务感知后台作为一套软件系统可以部署在MEC(Multi-access Edge Computing,多接入边缘计算)服务器的资源池中,为用户业务提供低时延的边缘计算服务,提升用户体验。
iBRAS业务感知后台主要实现的逻辑功能包括:
· 应用识别的特征库管理:iBRAS业务感知后台通过北向接口与第三方特征库升级中心进行通信,自动更新和升级特征库,以适应协议和应用软件的变化。iBRAS业务感知后台通过南向接口与iBRAS业务感知前台同步应用识别的特征库。另外,iBRAS业务感知后台支持自定义应用识别的特征库,使业务感知更加灵活。
· 用户策略管理和下发:iBRAS业务感知后台通过北向接口可以从AAA系统获取接入用户相关属性以及用户订购的套餐策略。用户策略定义了用户不同应用流量的增值服务,例如,用户A订购了套餐,为某款游戏流量进行加速服务,又或者管理员对用户A的某个应用入方向流量进行镜像分析。这些用户策略将通过iBRAS业务感知后台的南向接口下发给SA单板,SA单板收到用户策略后,对用户流量执行相应的处理动作。
· 流量分析统计:iBRAS业务感知后台从南向接口获取iBRAS业务感知前台上报的用户业务流量统计数据、日志等信息,分析统计用户业务的QoE(Quality of Experience,体验质量)信息,例如,统计分析用户浏览网页或观看视频的时延、丢包率和速率等信息,并形成统计报表。该统计报表可以通过北向接口发送给其他业务系统。
· 可视化数据呈现:iBRAS业务感知后台提供WEB页面方式来呈现用户的统计分析数据。
图1-3 iBRAS业务感知后台的逻辑功能
本文涉及的配置任务仅在安装了SA单板的设备上进行,不涉及iBRAS业务感知后台。
iBRAS业务感知配置任务如下:
(1) 创建SA节点
(2) 配置将流量引入到SA单板
(3) 配置SA用户策略
(4) 模拟用户上下线
(5) 配置指定应用流量的重定向功能
(6) 配置流量镜像的目的出端口或监控组
(7) 配置QoE质量分析相关功能
(8) 配置特征库相关功能
(9) (可选)配置判断报文是否匹配SA用户策略的上限数量
SA节点用来唯一标识安装了SA单板的BRAS设备,通过在BRAS设备创建SA节点,SA后台可以识别不同的iBRAS业务感知前台。
在SA Node视图下可以配置SA用户策略和SA的QoE(Quality of Experience,体验质量)分析相关功能。
设备上最多只能创建一个SA节点。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
完成认证并接入BRAS后的用户存在各种不同的应用流量。配置本功能后,可以将用户的所有业务流量引入到SA单板,SA单板对每个用户的不同业务流量进行分析和业务识别,对识别出来的业务流量进行流量加速、流量重定向、流量镜像或流量监管等操作。
只有执行sa global enable命令将流量引入到SA单板后,基于SA单板的流量重定向、镜像等功能才能生效。
存在大量接入用户时,执行本命令会重新刷新用户表项,对设备CPU等性能产生影响,请避免短时间内容反复执行命令。
(1) 进入系统视图。
system-view
(2) 配置将流量引入到SA单板。
sa global enable
缺省情况下,未配置流量引入到SA单板,即流量不会引入SA单板进行处理。
在iBRAS业务感知后台可以定义SA用户策略,并将SA用户策略下发给SA单板,SA单板按照SA用户策略来执行对应的流量行为。SA后台支持的SA用户策略包括,
· 基于APP ID流量加速:将指定APP ID的应用流量直接重定向到SRv6 TE Policy隧道快速转发或通过VPN实例路由表转发。基于APP ID流量加速也称为基于APP ID重定向流量。
· 基于APP ID流量镜像:将指定APP ID的应用流量镜像到出端口或监控组。
· 基于APP ID流量管控:对指定APP ID的应用流量进行流量监管限制、连接数限制或者丢弃。
· 基于URL流量管控:根据URL来对访问某个URL的用户流量执行重定向或者丢弃操作。
· 基于URL类别ID流量管控:将多个具有相同特征的不同URL作为一类URL,并为这类URL标记URL类别ID。根据URL类别ID对访问某类URL的用户流量执行重定向或者丢弃操作。
· URL的白名单:定义某些URL为白名单URL,访问白名单中URL的流量不受流量管控的限制,直接放行。
除了上述通用的SA用户策略,还有一类对特定协议进行流量管控的SA用户策略,这类SA用户策略专门用于对PCDN流量进行限速、限制链接数或直接丢弃。
如果要APP ID标识的流量重定向/流量加速正常生效,需要满足以下条件:
· 执行sa global enable命令将流量引入到SA单板,流量才能正常进入SA单板进行应用识别。
· SA后台为上线用户下发了基于APP ID流量加速的SA用户策略。
· 执行了sa-ctl accelerate-policy add命令,并且sa app-id redirect命令指定的APP ID属于基于APP ID流量加速的SA用户策略。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建基于APP ID流量加速的SA用户策略,并在SA用户策略中添加指定的APP ID。
sa-ctl accelerate-policy add name { app-id app-id }&<1-64>
(4) (可选)删除基于APP ID流量加速的SA用户策略中指定的APP ID。
sa-ctl accelerate-policy delete name { app-id app-id }&<1-64>
如果需要对特定用户指定APP ID标识的流量进行流量分析,SA后台(即控制器)可以创建基于APP ID流量镜像的SA用户策略,并且在SA用户策略中定义APP ID和镜像索引关联关系。再将SA用户策略下发给安装了SA单板的BRAS设备,在BRAS设备上配置sa mirroring-group mirror-to命令后,可以指定镜像索引的目的出端口或监控组,将对应APP ID标识的应用流量转发到对应的目的出口。
如果要APP ID标识的流量镜像正常生效,需要满足以下条件:
· 执行sa global enable命令将流量引入到SA单板,流量才能正常进入SA单板进行应用识别。
· 执行了sa-ctl mirror-policy add命令创建对应SA用户策略。并且sa mirroring-group mirror-to命令指定镜像索引与SA用户策略中指定的某个镜像索引相同。
· SA后台为上线用户下发了基于APP ID流量镜像的SA用户策略。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建基于APP ID流量镜像的SA用户策略,并在SA用户策略中添加指定的APP ID与镜像组的关联关系。
sa-ctl mirror-policy add name { app-id app-id { inbound group-id | outbound group-id } }&<1-16>
(4) (可选)删除基于APP ID流量镜像的SA用户策略中指定的APP ID与镜像组的关联关系。
sa-ctl mirror-policy delete name { app-id app-id { inbound | outbound } }&<1-16>
执行sa-ctl control-policy add命令创建基于APP ID流量管控的SA用户策略,SA后台再为上线用户下发基于APP ID流量管控的SA用户策略。当上线用户流量经过识别后标记的APP ID与基于APP ID流量管控的SA用户策略中指定的APP ID匹配时,则可以执行对应的转发行为,例如,对APP ID标识的用户流量进行限速、限制连接数量或者直接丢弃。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建基于APP ID流量管控的SA用户策略,并在SA用户策略中添加指定的APP ID。
sa-ctl control-policy add name { app-id app-id { { cir committed-information-rate [ cbs committed-burst-size ] | connection-limit number } * | drop } }&<1-64>
(4) (可选)删除基于APP ID流量管控的SA用户策略中指定的APP ID。
sa-ctl control-policy delete name { app-id app-id }&<1-64>
SA单板可以基于报文应用层中的URL(Uniform Resource Locator,统一资源定位符)对访问某些互联网页面的流量进行识别。SA单板可以识别某个URL的流量并单独对该类流量处理,也可以对某些URL进行分类,并标识出URL类别ID,根据URL类别ID对这类URL的流量集中处理。
执行sa-ctl sort-url-policy add命令可以创建基于URL类别ID流量管控的SA用户策略,并在SA用户策略中添加指定的URL类别ID,对访问指定类别的URL的流量统一执行丢弃动作或者重定向到sa-ctl redirect-url命令中指定的URL。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建基于URL类别ID流量管控的SA用户策略,并在SA用户策略中添加指定的URL类别ID。
sa-ctl sort-url-policy add name { sort-url sort-id action { drop | redirect } }&<1-16>
(4) (可选)删除基于URL类别ID流量管控的SA用户策略中指定的URL类别ID。
sa-ctl sort-url-policy delete name { sort-url sort-id }&<1-16>
(5) 配置重定向到指定的URL。
sa-ctl redirect-url url
缺省情况下,未配置重定向到指定的URL。
SA单板可以基于报文应用层中的URL(Uniform Resource Locator,统一资源定位符)对访问某些互联网页面的流量进行识别。SA单板可以识别某个URL的流量并单独对该类流量处理,也可以对某些URL进行分类,并标识出URL类别ID,根据URL类别ID对这类URL的流量集中处理。
执行sa-ctl url-policy add命令可以创建基于URL流量管控的SA用户策略,并在SA用户策略中添加指定的URL。对访问指定URL的流量执行丢弃动作或者重定向到sa-ctl redirect-url命令中指定的URL。
对于URL可以进行精准匹配或模糊匹配,精准匹配表示报文应用层中携带的URL信息与sa-ctl url-policy add命令指定的URL完全一致才能进行匹配,模糊匹配表示报文应用层中携带的URL信息只需要包含sa-ctl url-policy add命令指定的URL就可以匹配到报文。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建基于URL流量管控的SA用户策略,并在SA用户策略中添加指定的URL。
sa-ctl url-policy add name { url url action { drop | redirect } [ exact-match ] }&<1-10>
(4) (可选)删除基于URL流量管控的SA用户策略中指定的URL。
sa-ctl url-policy delete name { url url }&<1-10>
(5) 配置重定向到指定的URL。
sa-ctl redirect-url url
缺省情况下,未配置重定向到指定的URL。
定义某些URL为白名单URL,访问白名单中URL的流量不受流量管控限制,直接放行。
对于URL可以进行精准匹配或模糊匹配,精准匹配表示报文应用层中携带的URL信息与sa-ctl whitelist-url-policy add命令指定的URL完全一致才能匹配,模糊匹配表示报文应用层中携带的URL信息只需要包含sa-ctl whitelist-url-policy add命令指定的URL就可以匹配。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 创建URL白名单的SA用户策略,并在SA用户策略中添加指定的URL作为白名单。
sa-ctl whitelist-url-policy add name { whitelist-url url [ exact-match ] }&<1-10>
(4) (可选)删除URL白名单的SA用户策略中指定的URL。
sa-ctl whitelist-url-policy delete name { whitelist-url url }&<1-10>
对特定协议进行流量管控的SA用户策略主要用于对PCDN流量进行限速、限制链接数或直接丢弃。由于PCDN流量将极大地占用接入网络有限的上行带宽资源,同时,PCDN流量也影响其他正常用户,特别是专线用户的业务体验。PCDN流量的泛滥还影响了运营商向CDN服务商提供流量带宽的收益。因此,运营商希望对PCDN流量进行管控。
缺省情况下,所有上线用户均关联了对特定协议进行流量管控的SA用户策略。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置对特定协议进行流量管控的SA用户策略。
sa-ctl protocol-control add pcdn { { cir committed-information-rate [ cbs committed-burst-size ] | connection-limit number } * | drop } }
(4) 删除对特定协议进行流量管控的SA用户策略。
sa-ctl protocol-control delete pcdn
无需用户正常认证上线再由SA后台为上线用户下发关联的SA用户策略的过程,通过在BRAS设备上配置本命令可以直接模拟用户上线,并手动为上线用户关联SA用户策略。
用户上线后,BRAS SA工作流程如下:
(1) 用户认证上线后,BRAS SA单板维护并生成SA用户表。在SA用户表中通过IP地址和所属VPN实例名称可以唯一标识一个上线用户。
(2) SA后台根据运营商的策略或用户订购的业务,为不同上线用户下发关联的各类SA用户策略,也可以直接通过sa-ctl user online命令为上线用户关联SA用户策略。
(3) 当BRAS设备上执行了sa global enable命令将流量引入到SA单板后,某个上线用户的业务流量将被引流到SA单板上进行分析,通过比对特征库来识别业务,为用户的业务流量标识APP ID或者URL类别ID。
(4) 经过SA单板分析识别后的用户业务流量将上送SA单板的CPU处理,由CPU生成指导流量转发的流表。CPU会比对流量的标记信息(即APP ID或者URL类别ID)与该用户关联的SA用户策略中指定的APP ID或者URL类别ID,如果多个流量报文的标记信息与SA用户策略中的APP ID或者URL类别ID一致,则认为流量匹配了SA用户策略,CPU根据SA用户策略生成特殊的转发流表。如果连续多个流量报文的标记信息与SA用户策略中的APP ID或者URL类别ID不一致,则认为流量未匹配SA用户策略,CPU生成普通的转发流表。流量的后续报文直接根据转发流表快速转发,无需上送CPU比对处理。
不同用户关联的SA用户策略各不相同。通常所有用户流量都会被采样并经过QoE质量分析,只有特定用户的特定流量进行流量加速或流量管控。
sa-ctl user online命令未指定SA用户策略相关参数时,表示上线用户不关联任何SA用户策略。
可以在命令中指定batch参数来模拟批量用户上线或下线行为。例如,sa-ctl user online命令指定的用户上线IP地址为192.168.1.2,指定batch count参数中,count为100,则批量指定的上线用户包括IP地址192.168.1.2到192.168.1.101。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 模拟用户上线并关联的SA用户策略。
sa-ctl user online { ipv4-address | ipv6-address } [ vpn-instance vpn-instance-name ] [ batch count | user-name user-name ] [ accelerate-policy name | control-policy name | mirror-policy name | sort-url-policy name | url-policy name | whitelist-url-policy name ] *
(4) 模拟用户下线。
sa-ctl user offline { { ipv4-address | ipv6-address } [ vpn-instance vpn-instance-name ] [ batch count ] | all }
执行sa app-id redirect命令可以将app-id标识的应用流量重定向到指定的SRv6 TE Policy中转发,也可以将app-id标识的应用流量重定向到指定的VPN实例,在本地的VPN实例路由表中查找路由转发。
如果要APP ID标识的流量重定向/流量加速正常生效,需要满足以下条件:
· 执行sa global enable命令将流量引入到SA单板,流量才能正常进入SA单板进行应用识别。
· SA后台为上线用户下发了基于APP ID流量加速的SA用户策略。
· 执行了sa-ctl accelerate-policy add命令,并且sa app-id redirect命令指定的APP ID属于基于APP ID流量加速的SA用户策略。
对于同一个app-id标识的应用流量,多次执行sa app-id redirect命令时,最后一次执行的命令生效。
(1) 进入系统视图。
system-view
(2) 配置指定应用流量的重定向功能。
sa app-id app-id redirect { srv6-policy endpoint color [ sid sid ] | vpn-instance vpn-instance-name }
如果需要对特定用户指定APP ID标识的流量进行流量分析,SA后台(即控制器)可以创建基于APP ID流量镜像的SA用户策略,并且在SA用户策略中定义APP ID和镜像索引关联关系。再将SA用户策略下发给安装了SA单板的BRAS设备,在BRAS设备上配置sa mirroring-group mirror-to命令后,可以指定镜像索引的目的出端口或监控组,将对应APP ID标识的应用流量转发到对应的目的出口。
如果要APP ID标识的流量镜像正常生效,需要满足以下条件:
· 执行sa global enable命令将流量引入到SA单板,流量才能正常进入SA单板进行应用识别。
· 执行了sa-ctl mirror-policy add命令创建对应SA用户策略。并且sa mirroring-group mirror-to命令指定镜像索引与SA用户策略中指定的某个镜像索引相同。
· SA后台为上线用户下发了基于APP ID流量镜像的SA用户策略。
(1) 进入系统视图。
system-view
(2) 配置流量镜像的目的出端口或监控组。
sa mirroring-group group-id mirror-to { interface interface-type interface-number | monitoring-group monitoring-group-id }
对于同一个group-id最后一次执行的命令生效。
开启SA单板的QoE(Quality of Experience,体验质量)功能后,SA单板会对用户信令报文和数据报文进行采样,并生成用户流日志,并将用户流日志通过TCP发送给SA后台服务器,使SA后台根据用户流日志来对用户各种业务流量进行QoE分析、为搭建数据仓库提供原始数据,并通过可视化界面来呈现用户业务流量的QoE的分析结果。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 开启SA单板的QoE功能。
sa-ctl qoe enable
缺省情况下,全局QoE功能处于关闭状态。
SA单板通过解析用户信令报文和数据报文生成日志,这类日志称为用户流日志。用户流日志中包含用户的IP等基本信息用户业务报文的协议类型以及流量统计信息等内容。
SA单板与SA后台分析系统(服务器)建立TCP连接后,将用户流日志封装在TCP报文中发送给SA后台服务器。SA后台分析系统根据用户流日志来对用户各种业务流量进行QoE(Quality of Experience,体验质量)分析、为搭建数据仓库提供原始数据,并通过可视化界面来呈现用户业务流量的QoE的分析结果。
通过sa qoe collector命令可以指定服务器目的地址并配置用户流日志上报服务器的报文封装信息。可以多次执行sa qoe collector命令指定不同服务器编号和目的地址,实现SA单板向不同的服务器上报用户流日志信息。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置用户流日志上报服务器的报文封装信息。
sa qoe collector collector-id { source-ipv4 source-ipv4-address destination-ipv4 destination-ipv4-address | source-ipv6 source-ipv6-address destination-ipv6 destination-ipv6-address } destination-port port [ vpn-instance vpn-instance-name ]
缺省情况下,未配置用户流日志上报服务器的信息。
SA后台根据SA单板上报的用户流日志,对用户各种业务流量进行QoE(Quality of Experience,体验质量)分析,并通过可视化界面来呈现用户业务流量的QoE的分析结果。
由于接入上线用户多,数据规模大,设备将所有用户平均分为若干个用户组,SA单板周期性地在本地CPU预分析和加工处理一定数量用户的数据。通过本功能可以控制周期内本地CPU预分析和处理的用户组中用户的数量以及CPU预分析的周期。
如果配置的用户组容量较大,则可能导致单个用户组的用户数量较多,CPU分析处理的压力较大;如果配置的用户组容量较小,则可能使单个用户组的用户数量样本少,CPU分析处理的结果不够准确。因此,请根据接入用户的规模合理调整周期内CPU分析的用户组数量,并合理设置用户组轮询分析的周期。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置轮询周期内CPU分析的用户组容量。
sa qoe group-capacity number
缺省情况下,轮询周期内CPU分析的用户组容量缺省值是256000。
(4) 配置用户组轮询分析的周期。
sa qoe polling-interval interval
雀神情况下,轮询周期间隔的缺省值是60。
iBRAS业务感知系统重需要维护两个独立的特征库:
· 预定义特征库:指通过在BRAS SA板卡上预加载特征库文件并手动更新的特征映射关系。特征库文件中定义了现网常见的用户业务报文特征和APP ID或URL类型ID映射关系。预定义特征库又包括预定义应用特征库和预定义URL特征库。预定义应用特征库中保存了应用报文的特征信息和APP ID的映射关系,预定义URL特征库中保存了报文中URL信息与URL类型ID的映射关系。
· 自定义特征库:指通过在BRAS设备上自定义配置的特征映射关系。自定义特征库又包括自定义应用特征库和自定义URL特征库。自定义应用特征库中配置了报文五元组等特征信息和APP ID的的映射关系,自定义URL特征库中配置了报文中URL信息与URL类型ID的映射关系。
市场上应用和网络页面等资源的URL经常发生变化,为了保证BRAS SA功能可以精准识别出99%以上的应用和URL,通常需要定期更新预定义特征库。
用户可以通过FTP将预定义特征库文件上传到设备本地目录下,然后执行sa signature update命令指定特征库文件所在路径和名称,对预定义特征库进行手动更新和升级。
(1) 进入系统视图。
system-view
(2) 更新和升级预定义特征库。
sa signature update { application | url } file-path
缺省情况下,预定义特征库不会自动进行更新和升级。
自定义应用特征库就是一个报文特征和APP ID映射关系的集合。通过本命令可以向自定义应用特征库中加入新的报文特征和APP ID映射关系规则。
报文特征主要包括三要素:
· 报文五元组,包括报文的源目的IP地址、源目的端口、传输层协议类型(TCP/UDP);
· 应用层的特征关键字;
· 域名信息;
报文特征和APP ID映射关系的匹配规则中如果指定了多个报文五元组相关参数,则报文必须同时匹配到所有报文五元组相关参数,才认为该报文符合匹配规则,该报文被标识指定的Major ID和Minor ID。
报文特征和APP ID映射关系的匹配规则中如果同时指定了三要素,或三要素中的两类要素,则报文只需匹配到三要素其中之一,就认为该报文符合匹配规则,该报文被标识指定的Major ID和Minor ID。
报文可能同时符合自定义应用特征库和预定义特征库中的匹配规则。如果报文符合自定义应用特征库中报文五元组匹配条件,则该报文优先采用自定义应用特征库的APP ID标识。
配置sa-ctl custom-app命令时,同一个Major ID可以关联多个不同的Minor ID,同一个Minor ID又可以关联多个不同的匹配规则Rule ID。但是,为了避免报文匹配到多个不同的Minor ID或Major ID,同一个匹配规则Rule ID不能关联多个Minor ID,同一个Minor ID不能关联多个Major ID,并且,不同匹配规则Rule ID指定的匹配条件不能相同。
需要注意的是,如果执行sa-ctl custom-app命令配置自定义应用特征库时,如果指定的匹配规则中仅包含报文五元组信息,而不包含应用层的特征关键字或域名信息,则无需执行sa-ctl custom-app submit命令,自定义应用特征库也会自动更新并生效。如果指定的匹配规则中包含了应用层的特征关键字或域名信息,则必须执行sa-ctl custom-app submit命令来提交配置信息,自定义应用特征库才会更新并生效。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置自定义应用特征库中报文特征和APP ID映射关系。
sa-ctl custom-app major-id major-id minor-id minor-id rule-id rule-id { [ [ source-ip source-ipv4-address | destination-ip destination-ipv4-address ] * | [ source-ipv6 source-ipv6-adress | destination-ipv6 destination-ipv6-address ] * ] | source-port source-port | destination-port destination-port | [ tcp | udp ] | http-payload payload-list | domain-name name } *
(4) 配置自定义应用特征库中APP ID标识的应用名称。
sa-ctl custom-app { major-id major-id | minor-id minor-id } name name
(5) 提交自定义应用特征库配置。
sa-ctl custom-app submit
缺省情况下,自定义应用特征库的配置信息不会立即生效。
自定义URL特征库就是一个URL和URL类型ID的映射关系的集合。通过本命令可以向自定义URL特征库中加入新的URL和URL类型ID的映射关系。
当SA单板接受到用户报文后,可以从用户报文的应用层提取出URL信息,通过比对报文中的URL和自定义URL特征库中URL和URL类型ID的映射关系,匹配到对应的映射关系后,SA单板可以为该报文标记URL类型ID,并根据URL类型ID进行后续处理。
URL类型ID有两类:
· Minor sort ID:用于精细划分URL的类型。一个Minor sort ID可以标识多条URL。
· Major sort ID:用于粗略划分URL的类型。一个Major sort ID可以标识多条URL。
通常一个Major sort ID标识的URL集合中可以包含多个不同的Minor sort ID标识的URL集合。同一个Minor sort ID标识的URL集合不能归属于不同的Major sort ID标识的URL集合。
对于URL可以进行精准匹配或模糊匹配,精准匹配表示报文应用层中携带的URL信息与sa-ctl sort-url命令指定的URL完全一致才能匹配,模糊匹配表示报文应用层中携带的URL信息只需要包含sa-ctl sort-url命令指定的URL就可以匹配到报文。
配置sa-ctl sort-url命令时,同一个Major sort ID可以关联多个不同的Minor sort ID,同一个Minor sort ID又可以关联多个不同的匹配规则Rule ID。但是,同一个匹配规则Rule ID不能关联多个Minor sort ID,同一个Minor sort ID不能关联多个Major sort ID。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置自定义URL特征库中URL和URL类型ID的映射关系。
sa-ctl sort-url major-sort-id major-sort-id minor-sort-id minor-sort-id rule-id rule-id url [ exact-match ]
(4) 配置自定义URL特征库中URL类型ID对应的名称。
sa-ctl sort-url { major-sort-id major-sort-id | minor-sort-id minor-sort-id } name name
(5) 提交自定义URL特征库配置。
sa-ctl sort-url submit
缺省情况下,自定义URL特征库的配置信息不会立即生效。
经过SA单板分析识别后的用户业务流量将上送SA单板的CPU处理,由CPU生成指导流量转发的流表。CPU会比对流量的标记信息(即APP ID或者URL类别ID)与该用户关联的SA用户策略中指定的APP ID或者URL类别ID,如果多个流量报文的标记信息与SA用户策略中的APP ID或者URL类别ID一致,则认为流量匹配了SA用户策略,CPU根据SA用户策略生成特殊的转发流表。如果连续多个流量报文的标记信息与SA用户策略中的APP ID或者URL类别ID不一致,则认为流量未匹配SA用户策略,CPU生成普通的转发流表。流量的后续报文直接根据转发流表快速转发,无需上送CPU比对处理。
通过sa-ctl match-packet max-number命令可以设置CPU判断流量是否匹配SA用户策略的报文上限数量。超出上限数量的报文未匹配SA用户策略,则认为流量未匹配SA用户策略。
(1) 进入系统视图。
system-view
(2) 创建SA节点,并进入SA Node视图。
sa node node-id
(3) 配置判断报文是否匹配SA用户策略的上限数量。
sa-ctl match-packet max-number number
缺省情况下,判断报文是否匹配SA用户策略的上限数量的缺省值是8。
在完成上述配置后,在任意视图下执行display命令,可以显示iBRAS业务感知信息。
表1-1 iBRAS业务感知显示与维护
|
操作 |
命令 |
|
显示SA用户策略信息 |
(独立运行模式) display sa user-policy { accelerate | control | mirror | sort-url | url | whitelist-url } [ name name ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display sa user-policy { accelerate | control | mirror | sort-url | url | whitelist-url } [ name name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示指定应用流量的重定向策略 |
display sa redirect app-id [ app-id ] |
|
显示镜像组的目的出端口或监控组 |
display sa mirroring-group [ group-id ] |
|
显示当前预定义特征库的版本 |
(独立运行模式) display sa signature { application | url } version [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display sa signature { application | url } version [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示指定上线用户关联的SA用户策略信息 |
(独立运行模式) display sa user [ pcdn ] [ { ipv4-address | ipv6-address } [ vpn-instance vpn-instance-name ] | user-name user-name ] slot slot-number [ cpu cpu-number ] (IRF模式) display sa user [ pcdn ] [ { ipv4-address | ipv6-address } [ vpn-instance vpn-instance-name ] | user-name user-name ] chassis chassis-number slot slot-number [ cpu cpu-number ] |
|
显示自定义应用特征库的信息。 |
display sa custom-app [ [ major-id | minor-id ] [ verbose ] ] |
|
显示自定义URL特征库的信息 |
display sa sort-url [ major-sort-id major-sort-id | minor-sort-id minor-sort-id ] |
|
显示对特定协议进行流量管控的SA用户策略 |
display sa protocol-control pcdn |
如图1-4所示,在BRAS设备上安装并部署了SA单板,但暂未部署iBRAS业务感知后台,管理员可以基于本配置案例来模拟iBRAS业务感知的基本功能。在BRAS设备上,管理员为上线用户配置多种SA用户策略来处理用户的不同业务流量:
· 保障游戏流量质量:配置自定义应用特征库来识别用户的某款游戏流量,并配置基于APP ID流量加速的SA用户策略,将流量重定向到SRv6 TE Policy隧道中,使游戏流量通过专用快速通道转发到POP节点。
· 实时分析用户业务质量:配置自定义应用特征库来识别用户的测试流量,并配置基于APP ID流量镜像的SA用户策略,将APP ID标识的测试流量转发到对应的目的出接口。BRAS设备通过出接口GE1/0/2直连到边缘数据中心的探测设备,探测设备对镜像复制的测试流量实时分析业务质量。
· 限制恶意URL访问:配置基于URL流量管控的SA用户策略来将恶意URL流量重定向到指定的URL页面。
图1-4 iBRAS业务感知配置组网图
(1) 请预先配置BRAS的接入认证、SRv6 TE Policy隧道等功能,保证接入用户正常上线,从BRAS到POP节点的SRv6 TE Policy隧道正常。具体配置过程略。
(2) 配置iBRAS SA的基础功能。
# 将流量引入到SA单板进行处理。
<BRAS> system-view
[BRAS] sa global enable
# 创建SA节点为10。
[BRAS] sa node 10
[BRAS-sa-node-10] quit
(3) 配置iBRAS SA的基于APP ID流量加速的相关功能。
# 在SA节点视图下配置自定义应用特征库来识别用户游戏流量,为游戏流量标记Major ID为201,Minor ID为2010。并且配置Minor ID为2010的游戏流量名称为GameABC。完成匹配规则的配置后,提交自定义应用特征库配置。
[BRAS] sa node 10
[BRAS-sa-node-10] sa-ctl custom-app major-id 201 minor-id 2010 rule-id 10 destination-ip 2.3.4.5 destination-port 3074 udp
[BRAS-sa-node-10] sa-ctl custom-app major-id 201 minor-id 2010 rule-id 20 destination-ip 2.3.4.5 destination-port 3074 tcp
[BRAS-sa-node-10] sa-ctl custom-app major-id 201 minor-id 2010 rule-id 30 http-payload
'GameABC' domain-name GameABC.com
[BRAS-sa-node-10] sa-ctl custom-app minor-id 2010 name GameABC
[BRAS-sa-node-10] sa-ctl custom-app submit
# 创建基于APP ID流量加速的SA用户策略ForGameABC,并在SA用户策略中添加指定的APP ID,指定该APP ID为Minor ID 2010。
[BRAS-sa-node-10] sa-ctl accelerate-policy add ForGameABC app-id 2010
[BRAS-sa-node-10] quit
# 配置将Minor ID 2010标识的游戏流量进行重定向到指定的SRv6 TE Policy隧道,该SRv6 TE Policy隧道为头节点为BRAS,目的地址为POP节点的Loopback口地址100::100,SRv6 TE Policy的Color属性值为100,POP节点上的VPN业务End.DT46 SID为2000::2。
[BRAS] sa app-id 2010 redirect srv6-policy 100::100 100 sid 2000::2
(4) 配置iBRAS SA的基于APP ID流量镜像的相关功能。
# 在SA节点视图下配置自定义应用特征库来识别用户测试流量,为测试流量标记Major ID为202,Minor ID为2020。并且配置Minor ID为2020的测试流量名称为Test。完成匹配规则的配置后,提交自定义应用特征库配置。
[BRAS] sa node 10
[BRAS-sa-node-10] sa-ctl custom-app major-id 202 minor-id 2020 rule-id 10 source-ip 1.1.1.1 destination-ip 2.2.2.2 source-port 65530 destination-port 65530 udp
[BRAS-sa-node-10] sa-ctl custom-app minor-id 2020 name Test
[BRAS-sa-node-10] sa-ctl custom-app submit
# 创建基于APP ID流量镜像的SA用户策略ForMonitor,并在SA用户策略中添加指定的APP ID与镜像组10的关联关系,指定APP ID为Minor ID 2020。
[BRAS-sa-node-10] sa-ctl mirror-policy add ForMonitor app-id 2020 inbound 10
[BRAS-sa-node-10] quit
# 将镜像组10关联的APP ID复制一份到出接口GE1/0/2,转发到直连的探测设备。
[BRAS] sa mirror-group 10 mirror-to interface gigabitethernet 1/0/2
(5) 配置iBRAS SA的基于URL流量管控的相关功能。
# 创建基于URL流量管控的SA用户策略RedirectURL,并在SA用户策略中添加指定的URL example.com。将访问该URL的流量重定向到网络运营商特定URL。
[BRAS] sa node 10
[BRAS-sa-node-10] sa-ctl url-policy add RedirectURL url example.com action redirect exact-match
# 配置重定向到指定的URL为test.com。
[BRAS-sa-node-10] sa-ctl redirect-url https://www.test.com
(6) 由于本例中不存在iBRAS业务感知后台,因此,直接在BRAS设备上模拟用户上线并关联的SA用户策略。
# 批量100个上线用户,指定这100个上线用户的IP地址,并为这些上线用户关联基于APP ID流量加速的SA用户策略ForGameABC、基于APP ID流量镜像的SA用户策略ForMonitor和基于URL流量管控的SA用户策略RedirectURL。
[BRAS-sa-node-10] sa-ctl user online 192.168.1.2 batch 100 accelerate-policy ForGameABC mirror-policy ForMonitor url-policy RedirectURL
# 在BRAS上查看配置的SA用户策略信息,可以看到基于APP ID流量加速的SA用户策略ForGameABC、基于APP ID流量镜像的SA用户策略ForMonitor和基于URL流量管控的SA用户策略RedirectURL。
<BRAS> display sa user-policy accelerate
Accelerate policy : ForGameABC Create time : 2024-04-15 20:17:22
Referenced times : 100 Rule number : 1
APP ID : 2010 Major : F
<BRAS> display sa user-policy mirror
Mirror policy : ForMonitor Create time : 2024-04-15 20:17:22
Referenced times : 100 Rule number : 1
APP ID : 2020 Major : F
Inbound mirror : 10 Outbound mirror : -
<BRAS> display sa user-policy url
URL policy : RedirectURL Create time : 2024-04-15 20:17:22
Referenced times : 100 Rule number : 1
URL : example.com
Action : Redirect Exactmatch : Y
# 在BRAS上查看所有上线用户关联的SA用户策略信息。
<BRAS> display sa user
Total user number : 100
PCDN user number : 0
User address : 192.168.1.2
VPN instance : -
User name : -
Accelerate policy : ForGameABC
APP ID : 2010
Mirror policy : ForMonitorr
APP ID : 2020
Inbound mirror : 10 Outbound mirror : -
URL policy : Url
URL : example.com
Action : Redirect Exactmatch : Y
…
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
