OAA構(gòu)架-ACFP技術(shù)介紹-D

1、，OAA構(gòu)架-ACFP技術(shù)介紹技術(shù)介紹OAA 架構(gòu)目 錄i目 錄 HYPERLINK l _bookmark0 ACFP HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 ACFP簡(jiǎn)介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 ACFP的體系結(jié)構(gòu) HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 ACFP的聯(lián)動(dòng) HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 ACFP的管理 HYPERLINK l _b

2、ookmark1 2 HYPERLINK l _bookmark2 ACFP信息概述 HYPERLINK l _bookmark2 3技術(shù)介紹OAA 架構(gòu)ACFP PAGE 6ACFPACFP 簡(jiǎn)介數(shù)據(jù)通信的基礎(chǔ)網(wǎng)絡(luò)主要由路由器、交換機(jī)組成，由這些設(shè)備完成數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)。隨著數(shù)據(jù)網(wǎng)絡(luò)的逐步發(fā)展，數(shù)據(jù)網(wǎng)絡(luò)上運(yùn)行的業(yè)務(wù)越來(lái)越多，但是傳統(tǒng)的路由器、交換機(jī)并不適合處理很多新興業(yè)務(wù)，因此產(chǎn)生了一些專(zhuān)門(mén)處理某些業(yè)務(wù)的產(chǎn)品，如防火墻、IDS（Intrusion Detection System，入侵檢測(cè)系統(tǒng)）、IPS（Intrusion Prevention System，入侵抵御系統(tǒng)）等安全產(chǎn)品及語(yǔ)音、無(wú)

3、線(xiàn)等產(chǎn)品。為了更好地支撐新興業(yè)務(wù)，傳統(tǒng)網(wǎng)絡(luò)設(shè)備（這里指路由器、交換機(jī)）生產(chǎn)廠(chǎng)家紛紛推出多種專(zhuān)用業(yè)務(wù)板（業(yè)務(wù)卡），或者提供一套軟硬件接口，允許其他廠(chǎng)家提供板（卡）或者設(shè)備的硬件或軟件，插入或連接到傳統(tǒng)網(wǎng)絡(luò)設(shè)備上，協(xié)作處理這些業(yè)務(wù)， 從而能發(fā)揮各廠(chǎng)家在各自領(lǐng)域的優(yōu)勢(shì)，更有效地支撐新興業(yè)務(wù)，同時(shí)減少用戶(hù)投資。OAA（Open Application Architecture，開(kāi)放應(yīng)用架構(gòu)）就是基于該思想而提出的開(kāi)放業(yè)務(wù)架構(gòu)，它能夠讓眾多不同廠(chǎng)商生產(chǎn)的設(shè)備和軟件集成在一起，象一臺(tái)設(shè)備那樣工作，為客戶(hù)提供一體化的解決方案。ACFP（Application Control Forwarding Proto

4、col，應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議）是基于 OAA 架構(gòu)設(shè)計(jì)的應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議，聯(lián)動(dòng)的 IPS/IDS 卡或者 IPS/IDS 設(shè)備作為 ACFP 客戶(hù)端，上面運(yùn)行其他廠(chǎng)家的軟件，支撐 IPS/IDS 業(yè)務(wù)。路由器或交換機(jī)收到 IP 報(bào)文后，通過(guò)匹配 ACFP 的聯(lián)動(dòng)策略規(guī)則，將報(bào)文鏡像或重定向給 ACFP 客戶(hù)端，ACFP 客戶(hù)端上的軟件對(duì)報(bào)文做監(jiān)控、檢測(cè)等業(yè)務(wù)處理，然后根據(jù)監(jiān)控、檢測(cè)的結(jié)果，再通過(guò)聯(lián)動(dòng) MIB（Management Information Base，管理信息庫(kù)）反饋給路由器或交換機(jī)，指示路由器或交換機(jī)做出相應(yīng)處理（如過(guò)濾某些報(bào)文）。ACFP 的體系結(jié)構(gòu)圖1 ACFP 體系結(jié)構(gòu)示意圖如

5、 HYPERLINK l _bookmark0 圖 1所示，ACFP體系可以分成三部分：路由交換部件：是路由器和交換機(jī)的主體部分，這部分有著完整的路由器或交換機(jī)的功能，也是用戶(hù)管理控制的核心，此部分稱(chēng)為 ACFP server；獨(dú)立業(yè)務(wù)部件：也可以叫做 OAP（Open Application Platform，開(kāi)放應(yīng)用平臺(tái)），可以開(kāi)放給第三方合作開(kāi)發(fā)的主體，主要用來(lái)提供各種獨(dú)特的業(yè)務(wù)服務(wù)功能， 此部分稱(chēng)為 ACFP client；接口連接部件：是路由交換部件和獨(dú)立業(yè)務(wù)部件的接口連接體，通過(guò)這個(gè)部件將兩個(gè)不同廠(chǎng)商的設(shè)備連接在一起，以形成一個(gè)整體。ACFP 的聯(lián)動(dòng)ACFP 聯(lián)動(dòng)就是指獨(dú)立業(yè)務(wù)部件

6、可以向路由交換部件發(fā)指令，改變路由交換部件的功能。聯(lián)動(dòng)功能主要是通過(guò) SNMP 協(xié)議實(shí)現(xiàn)的：獨(dú)立業(yè)務(wù)部件仿照網(wǎng)管系統(tǒng)的功能， 向路由交換部件發(fā)送各種 SNMP 命令；而路由交換部件上支持 SNMP Agent 功能， 可以執(zhí)行收到的這些命令。在這個(gè)過(guò)程中，聯(lián)系雙方的關(guān)鍵就是聯(lián)動(dòng)的 MIB。ACFP 的管理ACFP 聯(lián)動(dòng)提供了一套機(jī)制，使得 ACFP client 能夠控制 ACFP server 上的流量， 包括：將 ACFP server 上的流量鏡像、重定向到 ACFP client；允許、拒絕 ACFP server 上的流量通過(guò)；對(duì) ACFP server 上的流量進(jìn)行限速；在報(bào)文中攜

7、帶上下文 ID，通過(guò)上下文 ID 使得 ACFP server 和 ACFP client 能互通報(bào)文上下文環(huán)境。具體過(guò)程如下：ACFP server 中維護(hù)一個(gè)上下文表，通過(guò)上下文 ID 查詢(xún)上下文表，每個(gè)上下文 ID 對(duì)應(yīng)一個(gè) ACFP 聯(lián)動(dòng)策略（聯(lián)動(dòng)策略的內(nèi)容包括報(bào)文入接口、報(bào)文出接口、聯(lián)動(dòng)規(guī)則等信息）。當(dāng) ACFP server 收到的報(bào)文由于匹配某個(gè)聯(lián)動(dòng)規(guī)則而被重定向或鏡像到 ACFP client 時(shí)，報(bào)文中會(huì)攜帶該聯(lián)動(dòng)規(guī)則所在聯(lián)動(dòng)策略對(duì)應(yīng)的上下文 ID；當(dāng)被重定向的報(bào)文從ACFP client 返回時(shí)，報(bào)文中也會(huì)攜帶該上下文 ID，通過(guò)上下文 ID，ACFP server 就知道

8、該報(bào)文是重定向返回的報(bào)文，然后進(jìn)行正常的轉(zhuǎn)發(fā)處理。為便于 ACFP client 更好地控制流量，聯(lián)動(dòng)內(nèi)容中設(shè)置聯(lián)動(dòng)策略與聯(lián)動(dòng)規(guī)則兩級(jí)組織，基于策略管理匹配規(guī)則的流量，達(dá)到一種彈性管理的目的。為有效支撐 Client/Server 這種聯(lián)動(dòng)模式，細(xì)粒度、彈性地設(shè)置各種規(guī)則，聯(lián)動(dòng)內(nèi)容分成四塊組織：ACFP server 信息、ACFP client 信息、ACFP 聯(lián)動(dòng)策略、ACFP 聯(lián)動(dòng)規(guī)則。這四塊內(nèi)容存儲(chǔ)在 ACFP server 中。由于一個(gè) ACFP server 可以支持多個(gè) ACFP client，因此，ACFP client 信息、ACFP 聯(lián)動(dòng)策略、ACFP 聯(lián)動(dòng)規(guī)則都是以表的形

9、式組織的。ACFP server 信息由 ACFP server 自己生成，ACFP client 信息、ACFP 聯(lián)動(dòng)策略、ACFP 聯(lián)動(dòng)規(guī)則都是由 ACFP client 生成并通過(guò)聯(lián)動(dòng) MIB 或聯(lián)動(dòng)協(xié)議發(fā)送到 ACFP server。ACFP 信息概述ACFP server 信息ACFP server 信息包含的內(nèi)容及其含義如下：所能支持的工作模式：分為主機(jī)、穿透、鏡像、重定向四種。ACFP server 可以同時(shí)支持其中的多種工作模式。只有當(dāng) ACFP server 所支持的工作模式包含ACFP client 的工作模式時(shí)，這兩個(gè)主體才能進(jìn)行聯(lián)動(dòng)。聯(lián)動(dòng)策略的最長(zhǎng)有效期：說(shuō)明了 ACF

10、P server 的聯(lián)動(dòng)策略所能存活的最長(zhǎng)時(shí)間。聯(lián)動(dòng)策略存儲(chǔ)的持久性：說(shuō)明了 ACFP server 是否具備永久保存聯(lián)動(dòng)策略的能力，主要指 ACFP server 重新啟動(dòng)后還能否保有原來(lái)的聯(lián)動(dòng)策略。當(dāng)前所支持的上下文 ID 的類(lèi)型：不同的 ACFP server 中，上下文 ID 在報(bào)文中所處的位置可能不同。上下文 ID 的類(lèi)型分為 5 種：no-context（不攜帶上下文ID）、HG-context（使用 HG 前導(dǎo)碼作為上下文 ID）、HGPlus-context（使用加強(qiáng)版 HG 前導(dǎo)碼作為上下文 ID）、FlowID-context（使用 FlowID 前導(dǎo)碼作為上下文 ID）、

11、VLANID-context（使用 VLAN ID 作為上下文 ID）。上述這些信息表明了一個(gè) ACFP server 的聯(lián)動(dòng)能力，各 ACFP client 可通過(guò)聯(lián)動(dòng)協(xié)議、聯(lián)動(dòng) MIB 的途徑來(lái)獲取這些信息。ACFP client 信息ACFP client 信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識(shí)，可以通過(guò)聯(lián)動(dòng)協(xié)議由 ACFP server 分配，也可以由網(wǎng)絡(luò)管理員指定，目的都是要確保各 ACFP client 在 ACFP server 中 client ID 的唯一性。描述：ACFP client 的描述信息。硬件版本：ACFP cli

12、ent 的硬件類(lèi)別及版本號(hào)等信息。操作系統(tǒng)版本：ACFP client 的系統(tǒng)名稱(chēng)及版本號(hào)等信息。應(yīng)用軟件版本：ACFP client 的應(yīng)用軟件類(lèi)別名稱(chēng)及其版本號(hào)等信息。IP 地址：ACFP client 的 IP 地址。支持的工作模式：ACFP client 當(dāng)前所能支持的工作模式，指主機(jī)、穿透、鏡像、重定向這些模式的組合。ACFP 聯(lián)動(dòng)策略ACFP 聯(lián)動(dòng)策略指 ACFP client 發(fā)送給 ACFP server 所要實(shí)施的聯(lián)動(dòng)策略，策略信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識(shí)。策略號(hào)：策略的標(biāo)識(shí)。策略入接口：報(bào)文進(jìn)入 ACFP serv

13、er 的接口。策略出接口：報(bào)文被正常轉(zhuǎn)發(fā)的出接口。策略目的接口：ACFP server 連接該 ACFP client 的接口。報(bào)文上下文 ID：會(huì)在鏡像或重定向報(bào)文給 ACFP client 時(shí)用到，允許為 0，表示不支持互通上下文；當(dāng)發(fā)送的策略指定了連接 ACFP client 的接口時(shí)，由ACFP server 為該策略分配一個(gè)全局的序號(hào)，即報(bào)文上下文 ID，每個(gè)上下文 ID 對(duì)應(yīng)一個(gè) ACFP 聯(lián)動(dòng)策略。策略管理狀態(tài)：表示該策略是否允許生效。策略有效期：表示該策略有效的期限，借此來(lái)控制策略下的所有規(guī)則有效期限。策略開(kāi)始時(shí)間：表示該策略生效的起始時(shí)間，單位為每天的時(shí)、分、秒，借此來(lái)控制策

14、略下的所有規(guī)則。策略結(jié)束時(shí)間：表示該策略生效的結(jié)束時(shí)間，單位為每天的時(shí)、分、秒，借此來(lái)控制策略下的所有規(guī)則。策略目的接口 down 時(shí)，該策略下所有規(guī)則處理動(dòng)作：對(duì)于轉(zhuǎn)發(fā)優(yōu)先設(shè)備，在目的接口 down 后希望重定向和鏡像的報(bào)文繼續(xù)轉(zhuǎn)發(fā)，此時(shí)選擇 delete 動(dòng)作； 對(duì)于安全優(yōu)先設(shè)備，在目的接口 down 后希望重定向和鏡像的報(bào)文直接丟棄， 此時(shí)選擇 reserve 動(dòng)作。策略?xún)?yōu)先級(jí)：表示該策略的優(yōu)先級(jí)，用數(shù)字 18 表示，數(shù)字越大，優(yōu)先級(jí)越高。ACFP 聯(lián)動(dòng)規(guī)則ACFP 聯(lián)動(dòng)規(guī)則指 ACFP client 發(fā)送給 ACFP server 所要實(shí)施的聯(lián)動(dòng)規(guī)則，聯(lián)動(dòng)規(guī)則可以分為 3 類(lèi)：監(jiān)控規(guī)則

15、：即將哪些報(bào)文遞給 ACFP client 做監(jiān)控分析，業(yè)務(wù)處理。該規(guī)則對(duì)應(yīng)的動(dòng)作類(lèi)型目前有重定向、鏡像。過(guò)濾規(guī)則：即明確哪些報(bào)文被丟棄，哪些報(bào)文允許通過(guò)。該規(guī)則對(duì)應(yīng)的動(dòng)作類(lèi)型有丟棄、通過(guò)。限制規(guī)則：即明確哪些報(bào)文將被限速。該規(guī)則對(duì)應(yīng)的動(dòng)作類(lèi)型為限速。規(guī)則信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識(shí)；策略號(hào)：策略的標(biāo)識(shí)；規(guī)則號(hào)：規(guī)則的標(biāo)識(shí)；規(guī)則操作狀態(tài)：表示規(guī)則是否應(yīng)用成功；動(dòng)作類(lèi)型：包括鏡像、重定向、丟棄、通過(guò)、限速 5 種動(dòng)作；是否匹配所有報(bào)文：表示該規(guī)則是否要匹配所有的報(bào)文，如果是的話(huà)，則不需要進(jìn)行下面的匹配；源 MAC 地址；目的 MAC 地址；起始 VLAN ID；結(jié)束 VLAN ID；IP 中的協(xié)議號(hào)；源 IP 地址；源 IP 地址反掩碼；源端口號(hào)操作符：類(lèi)型為等于、不等于、大于、小于、之間，只有類(lèi)型為之間時(shí)，下面的結(jié)束源端口號(hào)才有意義，標(biāo)識(shí)所匹配的報(bào)文的源端口應(yīng)該大于起始源端口號(hào)而小于結(jié)束源端口號(hào)；起始源端口號(hào)；結(jié)束源端口號(hào)；目的 IP 地址；目的 IP 地址反掩碼；目的端口號(hào)操作符：類(lèi)型為等于、不等于、大于、小于、之間，只有類(lèi)型為之間時(shí)，下面的結(jié)束目的端口號(hào)才有意義，標(biāo)識(shí)所匹配的報(bào)文的目的端口應(yīng)該大于起始目的