单板路由器安装

H3CMSR系列路由器OAA配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:20101020-C-1.
10产品版本:MSR-CMW520-R2104Copyright2006-2010杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、Aolynk、、H3Care、、TOPG、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CMSR系列路由器配置指导共分为十七本手册,介绍了MSR系列路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《OAA配置指导》主要介绍OAA架构支持的相关协议如ACFP、ACSEI的原理及配置,以及OAP单板的配置.
前言部分包含如下内容:z读者对象z本书约定z产品配套资料z资料获取方式z技术支持z资料意见反馈读者对象本手册主要适用于如下工程师:z网络规划人员z现场技术支持与维护人员z负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从两个或多个选项中选取一个.
[x|y|.
.
.
]表示从两个或多个选项中选取一个或者不选.
{x|y表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项.
[x|y表示从两个或多个选项中选取多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
3.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
产品配套资料H3CMSR系列路由器的配套资料包括如下部分:大类资料名称内容介绍MSR50-40[60]路由器产品彩页MSR50-06路由器产品彩页MSR30路由器产品彩页MSR20-2X[40]路由器产品彩页MSR20-1X路由器产品彩页产品知识介绍MSR900路由器产品彩页帮助您了解产品的主要规格参数及亮点MSR50路由器安装指导MSR30路由器安装指导MSR20-2X[40]路由器安装指导MSR20-1X路由器安装指导MSR900路由器安装指导帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装硬件描述与安装MSR系列路由器接口模块手册帮助您详细了解单板的硬件规格MSR系列路由器配置指导帮助您掌握设备软件功能的配置方法及配置步骤业务配置MSR系列路由器命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能大类资料名称内容介绍MSR系列路由器Web配置指导帮助您掌握通过Web界面配置设备的方法及配置步骤MSR系列路由器典型配置举例帮助您了解产品的典型应用和推荐配置,从组网需求、组网图、配置步骤几方面进行介绍MSR900[920]路由器版本说明书MSR201X路由器版本说明书MSR2020[2021][2040]路由器基本版版本说明书MSR2020[2021][2040]路由器标准版版本说明书MSR3010[3011E][3011F]路由器版本说明书MSR3011路由器版本说明书MSR3016路由器基本版版本说明书MSR3016路由器标准版版本说明书MSR3020[3040][3060]路由器基本版版本说明书MSR3020[3040][3060]路由器标准版版本说明书MSR5006路由器CMW5.
20平台版本说明书MSR5040[5060]路由器(MPUF主控)基本版版本说明书MSR5040[5060]路由器(MPUF主控)标准版版本说明书MSR5040[5060]路由器(高性能主控MPU-G2)基本版版本说明书运行维护MSR5040[5060]路由器(高性能主控MPU-G2)标准版版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:z[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
z[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
z[解决方案]:可以获取解决方案类资料.
z[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:customer_service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1OAP单板配置1-11.
1OAP单板简介1-11.
2登录OAP单板的操作系统.
1-11.
2.
1通过OAP的Console口登录.
1-11.
2.
2通过OAP的管理以太网口以SSH方式登录.
1-11.
2.
3通过OAP单板内部以太网口以SSH方式登录1-21.
2.
4从设备侧重定向到OAP单板.
1-21.
3复位OAP单板系统.
1-21-11OAP单板配置MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:z没有MIM或FIC槽位的款型,如MSR20-1X、MSR50-06和MSR20路由器不支持OAP模块,但支持OAA功能.
zMSR9XX路由器不支持OAA功能.
1.
1OAP单板简介OAA(OpenApplicationArchitecture,开放应用架构)是一个开放的软硬件体系.
H3C的OAA技术以H3C设备为基础,提供了一套完整的软、硬件标准接口.
第三方合作厂商可以根据自己的优势生产具有特殊功能的产品,只要这些产品遵循OAA标准接口,就可以与H3C的设备互相兼容,使单一网络产品的功能得到扩充,为客户创造更大的价值.
OAP(OpenApplicationPlatform,开放应用平台)是基于OAA架构的物理平台.
它可以是一台独立的网络设备,也可以是一块插卡,作为设备扩展部件或集成在网络设备中.
我们把这种形式的OAP称为OAP单板.
OAP单板上运行独立的操作系统,客户可根据需要在该操作系统下加载安全、语音等业务软件,为客户提供多样化的服务.
同时,OAP单板插入设备的扩展插槽,通过内部业务接口与设备进行数据交互、状态交互以及控制交互.
1.
2登录OAP单板的操作系统1.
2.
1通过OAP的Console口登录通过OAP单板上的Console口可以直接登录单板的操作系统.
以一台PC作为终端为例:(1)将PC串口通过配置电缆与OAP的Console口相连;(2)打开PC,并在PC上运行终端仿真程序(如超级终端).
选择连接方式为COM,并设置终端参数,要求与设备Console用户界面下的相关参数配置一致,在设备使用参数缺省值时,终端参数为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无.
配置完成后,即可通过PC上的终端仿真程序登录OAP单板的操作系统.
1.
2.
2通过OAP的管理以太网口以SSH方式登录通过OAP单板上的管理以太网口以SSH方式登录OAP单板的操作系统,OAP单板作为SSH服务器,配置步骤如下:(1)通过Console口登录OAP单板,开启OAP单板的SSH服务器功能.
(2)用网线将OAP单板的管理以太网口接入网络.
1-2(3)给OAP单板的管理以太网口配置IP地址,并确保SSH客户端(可以是H3C设备或者装有SSH客户端软件的PC)和管理以太网口之间路由可达.
(4)建立SSH连接,输入OAP管理以太网口的IP地址作为SSH服务器地址,连接成功后即可登录单板的操作系统.
1.
2.
3通过OAP单板内部以太网口以SSH方式登录OAP单板安装到设备的扩展插槽后,通过两个内部的业务口与设备进行信息交互.
一个是串口,一个是快速以太网口,这种登录方式用到的就是快速以太网口.
通过OAP单板内部以太网口以SSH方式登录OAP单板的操作系统,OAP单板作为SSH服务器,配置步骤如下:(1)通过Console口登录OAP单板,开启OAP单板的SSH服务器功能.
(2)给OAP单板的快速以太网口配置IP地址.
(3)用网线将PC和设备上的以太网口连接起来.
(4)确保PC与内部业务口中的快速以太网口之间路由可达.
(5)在PC上使用SSH客户端功能输入OAP单板的快速以太网口的IP地址作为SSH服务器地址,连接成功后即可登录单板的操作系统.
1.
2.
4从设备侧重定向到OAP单板从设备侧通过以下操作可以重定向连接到单板的操作系统,显示界面将从设备的命令行操作界面切换到OAP单板操作系统的操作界面,从而可以对OAP单板上的系统及应用软件进行管理.
切换以后,可以通过快捷键返回到设备的命令行操作界面.
表1-1从设备侧重定向到OAP单板操作命令说明从设备侧重定向到OAP单板(集中式设备)oapconnectslotslot-number必选该操作在用户视图下执行1.
3复位OAP单板系统在操作系统出现故障或其他异常情况下,可以通过下面的命令复位OAP单板系统,使得OAP单板再次上电启动.
该操作相当于使用OAP单板上的复位按钮进行硬件复位OAP单板.
OAP单板有独立的CPU系统,复位OAP单板系统,设备侧仍然可以对OAP单板进行识别和控制.
表1-2复位OAP单板系统操作命令说明复位OAP单板系统oaprebootslotslot-number必选该操作在用户视图下执行1-3复位操作可能会造成数据丢失以及业务中止,因此执行此操作请前先保存操作OAP单板系统的业务数据,并对OAP单板操作系统执行关机操作,以免业务中止及硬盘数据丢失等情况发生.
i目录1ACFP配置.
1-11.
1ACFP简介1-11.
1.
1ACFP体系结构.
1-11.
1.
2ACFP联动.
1-21.
1.
3ACFP管理.
1-21.
1.
4ACFP信息概述.
1-21.
1.
5ACFP使用说明.
1-41.
2ACFP配置任务简介.
1-51.
3配置ACFPserver1-51.
4配置ACFPclient.
1-51.
5开启ACFPTrap功能.
1-51.
6ACFP显示和维护.
1-61.
7ACFP典型配置举例.
1-61-11ACFP配置MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:z没有MIM或FIC槽位的款型,如MSR20-1X、MSR50-06和MSR20路由器不支持OAP模块,但支持OAA功能.
zMSR9XX路由器不支持OAA功能.
1.
1ACFP简介数据通信的基础网络主要由路由器和交换机组成,由这些设备完成数据报文的转发.
随着数据网络的逐步发展,数据网络上运行的业务越来越多,但是传统的路由器、交换机并不适合处理很多新兴业务,因此产生了一些专门处理某些业务的产品,如防火墙、IDS(IntrusionDetectionSystem,入侵检测系统)、IPS(IntrusionPreventionSystem,入侵抵御系统)等安全产品及语音、无线等产品.
为了更好地支撑新兴业务,传统网络设备(这里指路由器、交换机)生产厂家纷纷推出多种专用业务板(卡),或者提供一套软硬件接口,允许其他厂家提供板(卡)或者设备的硬件或软件,插入或连接到传统网络设备上,协作处理这些业务,从而能发挥各厂家在各自领域的优势,更有效地支撑新兴业务,同时减少用户投资.
OAA(OpenApplicationArchitecture,开放应用架构)就是基于该思想而提出的开放业务架构,它能够让众多不同厂商生产的设备和软件集成在一起,象一台设备那样工作,为客户提供一体化的解决方案.
ACFP(ApplicationControlForwardingProtocol,应用控制转发协议)是基于OAA架构设计的应用控制转发协议.
例如,联动的IPS/IDS卡或者IPS/IDS设备作为ACFP客户端,上面运行其他厂家的软件,支撑IPS/IDS业务.
路由器或交换机收到IP报文后,通过匹配ACFP的联动策略规则,将报文镜像或重定向给ACFP客户端,ACFP客户端上的软件对报文做监控、检测等业务处理,然后根据监控、检测的结果,再通过联动MIB(ManagementInformationBase,管理信息库)反馈给路由器或交换机,指示路由器或交换机做出相应处理(如过滤某些报文).
1.
1.
1ACFP体系结构图1-1ACFP体系结构示意图如图1-1所示,ACFP体系可以分成三部分:z路由交换部件:是路由器和交换机的主体部分,这部分有着完整的路由器或交换机的功能,也是用户管理控制的核心,此部分称为ACFPserver;z独立业务部件:是可以开放给第三方合作开发的主体,主要用来提供各种独特的业务服务功能,此部分称为ACFPclient;1-2z接口连接部件:是路由交换部件和独立业务部件的接口连接体,通过这个部件将两个不同厂商的设备连接在一起,以形成一个整体.
1.
1.
2ACFP联动ACFP联动就是指独立业务部件可以向路由交换部件发指令,改变路由交换部件的功能.
联动功能主要是通过SNMP协议实现的:独立业务部件仿照网管系统的功能,向路由交换部件发送各种SNMP命令;而路由交换部件上支持SNMPAgent功能,可以执行收到的这些命令.
在这个过程中,联系双方的关键就是联动的MIB.
1.
1.
3ACFP管理ACFP联动提供了一套机制,使得ACFPclient能够控制ACFPserver上的流量,包括:z将ACFPserver上的流量镜像、重定向到ACFPclient;z允许、拒绝ACFPserver上的流量通过;z对ACFPserver上的流量进行限速;z在报文中携带上下文ID,通过上下文ID使得ACFPserver和ACFPclient能互通报文上下文环境.
具体过程如下:ACFPserver中维护一个上下文表,通过上下文ID查询上下文表,每个上下文ID对应一个ACFP联动策略(联动策略的内容包括报文入接口、报文出接口、联动规则等信息).
当ACFPserver收到的报文由于匹配某个联动规则而被重定向或镜像到ACFPclient时,报文中会携带该联动规则所在联动策略对应的上下文ID;当被重定向的报文从ACFPclient返回时,报文中也会携带该上下文ID,通过上下文ID,ACFPserver就知道该报文是重定向返回的报文,然后进行正常的转发处理.
为便于ACFPclient更好地控制流量,联动内容中设置联动策略与联动规则两级组织,基于策略管理匹配规则的流量,达到一种弹性管理的目的.
为有效支撑Client/Server这种联动模式,细粒度、弹性地设置各种规则,联动内容分成四块组织:ACFPserver信息、ACFPclient信息、ACFP联动策略、ACFP联动规则.
这四块内容存储在ACFPserver中.
由于一个ACFPserver可以支持多个ACFPclient,因此,ACFPclient信息、ACFP联动策略、ACFP联动规则都是以表的形式组织的.
ACFPserver信息由ACFPserver自己生成,ACFPclient信息、ACFP联动策略、ACFP联动规则都是由ACFPclient生成并通过联动MIB或联动协议发送到ACFPserver.
1.
1.
4ACFP信息概述1.
ACFPserver信息ACFPserver信息包含的内容及其含义如下:z所能支持的工作模式:分为主机、穿透、镜像和重定向四种.
ACFPserver可以同时支持其中的多种工作模式.
只有当ACFPserver所支持的工作模式包含ACFPclient的工作模式时,这两个主体才能进行联动.
z联动策略的最长有效期:说明了ACFPserver的联动策略所能存活的最长时间.
z联动策略存储的持久性:说明了ACFPserver是否具备永久保存联动策略的能力,主要指ACFPserver重新启动后还能否保有原来的联动策略.
z当前所支持的上下文ID的类型为VLANID-context(使用VLANID作为上下文ID),不同的ACFPserver中,上下文ID在报文中所处的位置可能不同.
上述这些信息表明了一个ACFPserver的联动能力,各ACFPclient可通过联动协议、联动MIB的途径来获取这些信息.
1-32.
ACFPclient信息ACFPclient信息包含的内容及其含义如下:zACFPclientID:ACFPclient的标识,可以通过联动协议由ACFPserver分配,也可以由网络管理员指定,目的都是要确保各ACFPclient在ACFPserver中clientID的唯一性.
z描述:ACFPclient的描述信息.
z硬件版本:ACFPclient的硬件类别及版本号等信息.
z操作系统版本:ACFPclient的系统名称及版本号等信息.
z应用软件版本:ACFPclient的应用软件类别名称及其版本号等信息.
zIP地址:ACFPclient的IP地址.
z支持的工作模式:ACFPclient当前所能支持的工作模式,指主机、穿透、镜像、重定向这些模式的组合.
3.
ACFP联动策略ACFP联动策略指ACFPclient发送给ACFPserver所要实施的联动策略,策略信息包含的内容及其含义如下:zACFPclientID:ACFPclient的标识.
z策略号:策略的标识.
z策略入接口:报文进入ACFPserver的接口.
z策略出接口:报文被正常转发的出接口.
z策略目的接口:ACFPserver连接该ACFPclient的接口.
z报文上下文ID:会在镜像或重定向报文给ACFPclient时用到.
当发送的策略指定了连接ACFPclient的接口时,由ACFPserver为该策略分配一个全局的序号,即报文上下文ID,每个上下文ID对应一个ACFP联动策略.
z策略管理状态:表示该策略是否允许生效.
z策略有效期:表示该策略有效的期限,借此来控制策略下的所有规则有效期限.
z策略开始时间:表示该策略生效的起始时间,单位为每天的时、分、秒,借此来控制策略下的所有规则.
z策略结束时间:表示该策略生效的结束时间,单位为每天的时、分、秒,借此来控制策略下的所有规则.
z策略目的接口down时,该策略下所有规则处理动作:对于转发优先设备,在目的接口down后希望重定向和镜像的报文继续转发,此时选择delete动作;对于安全优先设备,在目的接口down后希望重定向和镜像的报文直接丢弃,此时选择reserve动作.
z策略优先级:表示该策略的优先级,用数字1~8表示,数字越大,优先级越高.
4.
ACFP联动规则ACFP联动规则指ACFPclient发送给ACFPserver所要实施的联动规则,联动规则可以分为3类:z监控规则:即将哪些报文递给ACFPclient做监控分析及业务处理.
该规则对应的动作类型目前有重定向、镜像.
z过滤规则:即明确哪些报文被丢弃、哪些报文允许通过.
该规则对应的动作类型有丢弃、通过.
z限制规则:即明确哪些报文将被限速.
该规则对应的动作类型为限速.
规则信息包含的内容及其含义如下:zACFPclientID:ACFPclient的标识;z策略号:策略的标识;z规则号:规则的标识;1-4z规则操作状态:表示规则是否应用成功;z动作类型:包括镜像、重定向、丢弃、通过和限速5种动作;z是否匹配所有报文:表示该规则是否要匹配所有的报文,如果是的话,则不需要进行下面的匹配;z源MAC地址;z目的MAC地址;z起始VLANID;z结束VLANID;zIP中的协议号;z源IP地址;z源IP地址的通配符掩码;z源端口号操作符:类型为等于、不等于、大于、小于、之间,只有类型为之间时,下面的结束源端口号才有意义,标识所匹配的报文的源端口应该大于起始源端口号而小于结束源端口号;z起始源端口号;z结束源端口号;z目的IP地址;z目的IP地址的通配符掩码;z目的端口号操作符:类型为等于、不等于、大于、小于、之间,只有类型为之间时,下面的结束目的端口号才有意义,标识所匹配的报文的目的端口应该大于起始目的端口号而小于结束目的端口号;z起始目的端口号;z结束目的端口号;z报文的协议类型:包括GRE、ICMP、IGMP、OSPF、TCP、UDP、IP等;zIP优先级:报文优先级,用数字表示,取值范围为0~7;zIPToS:IP报文的服务类型;zIPDSCP:IP报文的差分服务编码点;zTCP标志:表示关心TCP六个标志位(URG、ACK、PSH、RST、SYN和FIN)中的某些位;zIP分片:是否是IP分片报文;z限制速率.
联动规则隶属于联动策略,通过联动策略可以管理策略下的规则.
1.
1.
5ACFP使用说明zACFP策略在GRE隧道环境中应用时只能配置在Tunnel口上.
zACFP不支持策略路由业务和Netstream业务.
zACFP重定向的报文处理和部分QoS处理(FR-DE匹配、ATM-CLP匹配、入接口匹配、QoSlocal-id及本地优先级等)互斥,重定向到ACFPclient后返回的报文不进行上述QoS处理.
zACFP重定向或镜像的报文在目的接口仅支持二层QoS处理(包括队列、WRED等),不支持其它业务处理(包括非二层的QoS处理及非QoS业务的处理).
zACFP不支持将同一个流镜像或重定向到多个ACFPclient.
zACFP不能处理本地发出的报文.
1-51.
2ACFP配置任务简介表1-1ACFP配置任务简介配置任务说明详细配置配置ACFPserver必选1.
3配置ACFPclient必选1.
4开启ACFPTrap功能可选1.
51.
3配置ACFPserver表1-2配置ACFPserver操作命令说明进入系统视图system-view-使能ACFPserver功能acfpserverenable必选缺省情况下,ACFPserver功能处于关闭状态1.
4配置ACFPclient用户需在ACFPclient上通过MIB配置ACFP联动策略和ACFP联动规则,具体配置与ACFPclient上所使用的业务软件有关.
1.
5开启ACFPTrap功能为确保ACFP功能正常运行,必须允许设备发送ACFP模块的Trap报文.
开启ACFP模块的Trap功能后,该模块会生成Trap报文,用于报告该模块的重要事件.
ACFPTrap报文对应的级别如表1-3所示.
表1-3ACFPTrap报文对应的级别Trap报文级别上下文ID类型改变notificationsACFPclient注册notificationsACFPclient注销notificationsACSEI协议检测到ACFPclient没有响应warningsACFPserver不支持ACFPclient的工作模式errorsACFP联动策略的有效期改变notificationsACFP联动规则创建informationalACFP联动规则删除informationalACFP联动规则发生错误errorsACFP联动策略的有效期超时notifications1-6生成的Trap报文将被发送到设备的信息中心,通过设置信息中心的参数,最终决定Trap报文的输出规则(即是否允许输出以及输出方向).
(有关信息中心参数的配置请参见"网络管理和监控配置指导"中的"信息中心".
)表1-4开启ACFPTrap功能操作命令说明进入系统视图system-view-开启ACFP模块的Trap功能snmp-agenttrapenableacfp[client|policy|rule|server]可选缺省情况下,ACFP模块的Trap功能处于开启状态有关snmp-agenttrapenable命令的详细介绍,请参见"网络管理和监控命令参考"中的"SNMP".
1.
6ACFP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后ACFP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除ACFP规则缓存信息.
表1-5ACFP显示和维护操作命令查看ACFPserver信息displayacfpserver-info[|{begin|exclude|include}regular-expression]查看ACFPclient信息displayacfpclient-info[client-id][|{begin|exclude|include}regular-expression]查看ACFP策略信息displayacfppolicy-info[clientclient-id[policy-index]|dest-interfaceinterface-typeinterface-number|in-interfaceinterface-typeinterface-number|out-interfaceinterface-typeinterface-number][active|inactive][|{begin|exclude|include}regular-expression]查看ACFP规则信息displayacfprule-info{in-interface[interface-typeinterface-number]|out-interface[interface-typeinterface-number]|policy[client-idpolicy-indexbegin|exclude|include}regular-expression]查看ACFPTrap的配置情况displaysnmp-agenttrap-list[|{begin|exclude|include}regular-expression]1.
7ACFP典型配置举例1.
组网需求z某企业网通过Device实现各部门的互连,该Device为ACFPserver;zACFPclient与Device相连并控制Device上的流量,分析入接口为Ethernet1/2的流量.
ACFPclient经过分析后,允许入接口为Ethernet1/2、源IP为192.
168.
1.
1/24的所有报文通过,并拒绝入接口为Ethernet1/2、源IP为192.
168.
1.
2/24的所有报文通过.
1-72.
组网图图1-2ACFP典型配置组网图3.
配置步骤(1)配置Device#使能ACFPserver功能.
system-view[Device]acfpserverenable(2)通过MIB配置ACFPclient的联动策略和监控规则#配置ACFPclient.
通过MIBBrowser配置ACFPclient,并将信息发送到Device.
其中,client索引为1,支持主机、穿透、重定向和镜像四种工作模式(通过设置h3cAcfpClientMode节点实现),其它参数均为默认值.
#配置ACFP策略.
通过MIBBrowser配置ACFP策略,并将信息发送到Device.
其中,client索引为1,策略索引为1,策略入接口为Ethernet1/2(通过设置h3cAcfpPolicyInIfIndex节点实现),策略目的接口为Ethernet1/3(通过设置h3cAcfpPolicyDestIfIndex节点实现),其它参数均为默认值.
#配置ACFP规则.
通过MIBBrowser配置ACFP规则,并将信息发送到Device.
其中,client索引为1,策略索引为1,规则索引为1,动作类型重定向(通过设置h3cAcfpRuleAction节点实现),其它参数均为默认值.
(3)通过MIB配置ACFPclient的联动策略和过滤规则#配置ACFP策略.
通过MIBBrowser配置ACFP策略,并将信息发送到Device.
其中,client索引为1,策略索引为2,策略入接口为Ethernet1/2(通过设置h3cAcfpPolicyInIfIndex节点实现),其它参数均为默认值.
#配置ACFP规则.
通过MIBBrowser配置ACFP规则,并将信息发送到Device.
其中,client索引为1,策略索引为2,规则索引为1,动作类型为允许通过(通过设置h3cAcfpRuleAction节点实现),匹配源IP地址为192.
168.
1.
1的报文(通过设置h3cAcfpRuleSrcIP节点实现),源IP地址的通配符掩码为0.
0.
0.
255(通过设置h3cAcfpRuleSrcIPMask节点实现),其它参数均为默认值.
通过MIBBrowser配置ACFP规则,并将信息发送到Device.
其中,client索引为1,策略索引为2,规则索引为2,动作类型为拒绝通过(通过设置h3cAcfpRuleAction节点实现),匹配源IP地址为192.
168.
1.
2的报文(通过设置h3cAcfpRuleSrcIP节点实现),源IP地址的通配符掩码为0.
0.
0.
255(通过设置h3cAcfpRuleSrcIPMask节点实现),其它参数均为默认值.
1-8(4)验证配置效果使用ping命令验证HostA与HostC、以及HostB与HostC的连通性.
测试结果表明:HostA与HostC可以互通,HostB与HostC则无法互通.
i目录1ACSEI配置1-11.
1ACSEI简介1-11.
1.
1ACSEI的功能.
1-11.
1.
2ACSEI定时器.
1-21.
1.
3ACSEI的启动和运行过程.
1-21.
2配置ACSEIserver1-21.
2.
1使能ACSEIserver.
1-21.
2.
2配置时钟同步定时器1-31.
2.
3配置监控定时器1-31.
2.
4关闭ACSEIclient1-31.
2.
5重新启动ACSEIclient.
1-31.
2.
6ACSEIserver显示和维护.
1-41.
3配置ACSEIclient(OAP单板支持)1-41.
3.
1安装ACSEIclient1-41.
3.
2配置默认启动ACSEIclient.
1-51.
3.
3控制ACSEIclient1-61.
3.
4ACSEIclient显示和维护1-71-11ACSEI配置MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:z没有MIM或FIC槽位的款型,如MSR20-1X、MSR50-06和MSR20路由器不支持OAP模块,但支持OAA功能.
zMSR9XX路由器不支持OAA功能.
1.
1ACSEI简介ACSEI是一种私有协议,它为ACFPserver和client提供了一种交互信息的方法,可以为ACFP(ApplicationControlForwardingProtocol,应用控制转发协议)联动提供很好的支撑,保障ACFPclient与ACFPserver之间有效交互信息、协作运行某种业务.
作为ACFP的支撑协议,ACSEI也包括server和client两种实体.
zACSEIserver集成在设备软件系统(Comware)中,是设备支持的一项功能.
zACSEIclient有两种实现方式:一种是集成在设备的系统软件(Comware)中,作为设备支持的一项功能;一种是集成在OAP单板的软件系统当中,是OAP单板支持的一项功能.
这两种实现方式所需的硬件条件不同,配置方式也不一样,本文将分别进行介绍.
zACFP是基于OAA(OpenApplicationArchitecture,开放应用架构)架构设计的应用控制转发协议,联动的IDS(IntrusionDetectionSystem,入侵检测系统)卡或者IDS设备作为ACFP客户端,上面运行其他厂家的软件,支撑IPS(IntrusionPreventionSystem,入侵抵御系统)/IDS业务.
有关ACFP的详细介绍请参见"OAA配置指导"中的"ACFP".
zOAP(OpenApplicationPlatform,开放应用平台)是针对新兴业务提供的一个开放式应用平台.
OAP单板上运行操作系统,根据客户需要可加载安全、语音等业务软件,为客户提供多样化的服务.
有关OAP单板的详细介绍请参见"OAA配置指导"中的"OAP单板".
1.
1.
1ACSEI的功能ACSEI协议主要功能如下:zACSEIclient向ACSEIserver注册、注销;zACSEIserver给ACSEIclient分配ID,用于保证各ACSEIclient的唯一性与清晰性;zACSEIclient与ACSEIserver之间的互相监控、互相感知;zACSEIserver与ACSEIclient之间的信息交互(包括时钟同步等);1-2z通过ACSEIserver对ACSEIclient实施简单的控制,例如,关闭ACSEIclient、重启ACSEIclient.
ACSEIserver与ACSEIclient为一对多的关系,一个ACSEIserver允许注册的ACSEIclient个数,与设备的型号有关,请以设备的实际情况为准.
1.
1.
2ACSEI定时器ACSEIserver用到两个定时器,分别是时钟同步定时器和监控定时器.
z时钟同步定时器用来定时触发ACSEIserver向ACSEIclient发送时钟同步信息通告报文,用户可以通过命令行设置定时器的值.
z监控定时器用来定时触发ACSEIserver向ACSEIclient发送监控请求报文,用户可以通过命令行设置定时器的值.
ACSEIclient启动两个定时器,分别为注册定时器和监控定时器.
z注册定时器用来定时触发ACSEIclient以组播方式(组播MAC地址为010F-E200-0021)发送注册请求报文,用户不能设置定时器的值.
z监控定时器用来定时触发ACSEIclient向ACSEIserver发送监控请求报文,用户不能设置定时器的值.
1.
1.
3ACSEI的启动和运行过程ACSEI启动和运行的整个过程可描述如下:(1)运行ACSEIclient可执行程序,使能ACSEIclient功能.
(2)启动设备,使能ACSEIserver功能.
(3)ACSEIclient以组播方式发送注册请求.
(4)ACSEIserver收到合法的注册请求后,与ACSEIclient协商参数,协商通过后建立连接.
(5)连接建立后相互监控连接的情况.
(6)当ACSEIserver检测到ACSEIclient连接中断,ACFPserver会将对应ACFPclient的配置、策略等删除.
1.
2配置ACSEIserver1.
2.
1使能ACSEIserver表1-1使能ACSEIserver操作命令说明进入系统视图system-view-使能ACSEIserver功能acseiserverenable必选缺省情况下,ACSEIserver功能处于关闭状态1-31.
2.
2配置时钟同步定时器表1-2配置时钟同步定时器操作命令说明进入系统视图system-view-使能ACSEIserver功能acseiserverenable必选进入ACSEI视图acseiserver-配置ACSEIserver到ACSEIclient的时钟同步定时器的值acseitimerclock-syncminutes可选缺省情况下,ACSEIserver到ACSEIclient的时钟同步定时器的值为5分钟1.
2.
3配置监控定时器表1-3配置监控定时器操作命令说明进入系统视图system-view-使能ACSEIserver功能acseiserverenable必选进入ACSEI视图acseiserver-配置ACSEIserver对ACSEIclient的监控定时器的值acseitimermonitorseconds可选缺省情况下,ACSEIserver对ACSEIclient的监控定时器的值为5秒1.
2.
4关闭ACSEIclient表1-4关闭ACSEIclient操作命令说明进入系统视图system-view-使能ACSEIserver功能acseiserverenable必选进入ACSEI视图acseiserver-关闭指定的ACSEIclientacseiclientcloseclient-id必选1.
2.
5重新启动ACSEIclient表1-5重新启动ACSEIclient操作命令说明进入系统视图system-view-使能ACSEIserver功能acseiserverenable必选进入ACSEI视图acseiserver-1-4操作命令说明重新启动ACSEIclientacseiclientrebootclient-id必选1.
2.
6ACSEIserver显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后ACSEIserver系统的运行情况,通过查看显示信息验证配置的效果.
表1-6ACSEIserver显示和维护配置命令显示ACSEIclient摘要信息displayacseiclientsummary[client-id][|{begin|exclude|include}regular-expression]显示ACSEIclient信息displayacseiclientinfo[client-id][|{begin|exclude|include}regular-expression]1.
3配置ACSEIclient(OAP单板支持)OAP单板是插在设备上的一块单板,主要用于扩展设备的功能.
ACSEIclient就作为OAP单板的一项功能,集成在OAP单板的操作系统上.
根据OAP单板上安装的操作系统不同,ACSEIclient的配置步骤也不一样,分为两大步:(1)登录OAP单板的操作系统,请参见"OAA配置指导"中的"OAP单板".
(2)配置ACSEIclient功能.
如果安装的操作系统是Comware平台,配置同"1.
3配置ACSEIclient(设备支持)";如果安装的操作系统是Linux系统,请参照以下步骤进行配置.
1.
3.
1安装ACSEIclient首先,下载ACSEIclient的可执行程序(rpm包)到OAP板上,然后使用Linux命令安装ACSEIclient,具体命令行如下:表1-7安装ACSEIclient操作命令说明查询是否已经安装ACSEIclientrpm包rpm-qlacsei-client可选该操作在OAP单板的Linux系统下执行卸载已经安装的ACSEIclientrpm包rpm-eacsei-client可选该操作在OAP单板的Linux系统下执行安装ACSEIclientrpm包rpm-ivhfilename可选缺省情况下,OAP单板上已经安装了ACSEIclient程序该操作在OAP单板的Linux系统下执行查询ACSEIclient版本信息rpm-qacsei-client-i可选该操作在OAP单板的Linux系统下执行1-5zfilename为ACSEIclient对外发布的rpm包的名称,如acsei-client-1.
0-0.
i386.
rpm,其中1.
0-0为版本号.
z以上rpm命令是Linux操作系统的命令,请遵循Linux命令使用规范,本文档不作详细介绍.
1.
3.
2配置默认启动ACSEIclientACSEIclient在安装后,就已经使能,并且每次单板系统启动后,默认自动引导ACSEIclient启动,当然用户也可以通过以下的命令行来修改默认配置.
1.
通过命令行修改默认配置表1-8配置默认启动ACSEIclient操作命令说明配置默认不启动ACSEIclientchkconfigacseidoff可选缺省情况下,OAP单板上安装的ACSEIclient是默认启动的该操作在OAP单板的Linux系统下执行配置默认启动ACSEIclientchkconfigacseidon可选缺省情况下,OAP单板上安装的ACSEIclient是默认启动的该操作在OAP单板的Linux系统下执行2.
通过图形界面修改默认配置(1)登录OAP单板的Linux系统后,在Linux系统下执行setup命令,出现如下视图:图1-1ACSEIclient默认启动配置setup界面1-6(2)选择Systemservices,键入键,出现如下视图:图1-2ACSEIclient默认启动配置service界面(3)将光标移至acseid,使用空格键进行选择,z[*]表示系统启动时,引导ACSEIclient启动;z[]表示系统启动时,不引导ACSEIclient启动.
(4)确认选项后,使用键将光标移至OK,键入,回到上一个视图,再选择Quit,退出Setup界面.
1.
3.
3控制ACSEIclient表1-9控制ACSEIclient操作命令说明启动ACSEIclientserviceacseidstart可选缺省情况下,OAP单板上安装的ACSEIclient是开启的该操作在OAP单板的Linux系统下执行装载ACSEIclient配置文件serviceacseidreload可选该操作在OAP单板的Linux系统下执行重启ACSEIclientserviceacseidrestart可选该操作在OAP单板的Linux系统下执行有条件重启ACSEIclientserviceacseidcondrestart可选该操作在OAP单板的Linux系统下执行1-7操作命令说明关闭ACSEIclientserviceacseidstop可选该操作在OAP单板的Linux系统下执行z当有条件重启ACSEIclient进程时,如果ACSEIclient正在运行则关闭进程后,启动该进程;如果ACSEIclient没有运行,则该命令不执行.
z请不要在5秒内反复重启/关闭ACSEIclient,否则可能会造成其他应用程序无法感知到ACSEIclient的变化.
1.
3.
4ACSEIclient显示和维护在完成上述配置后,在OAP单板的Linux系统下执行以下命令可以显示配置后ACSEIclient的运行情况,通过查看显示信息验证配置的效果.
表1-10ACSEIclient显示和维护操作命令查询ACSEIclient的运行状态serviceacseidstatus打开ACSEIclient的调试开关acsei-clientdebugenable显示ACSEIclient的调试信息acsei-clientdebugshow关闭ACSEIclient的调试开关acsei-clientdebugdisable