OAA構(gòu)架-ACFP技術(shù)介紹-D

1、，OAA構(gòu)架-ACFP技術(shù)介紹技術(shù)介紹OAA 架構(gòu)目 錄i目 錄 HYPERLINK l _bookmark0 ACFP HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 ACFP簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 ACFP的體系結(jié)構(gòu) HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 ACFP的聯(lián)動 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 ACFP的管理 HYPERLINK l _b

2、ookmark1 2 HYPERLINK l _bookmark2 ACFP信息概述 HYPERLINK l _bookmark2 3技術(shù)介紹OAA 架構(gòu)ACFP PAGE 6ACFPACFP 簡介數(shù)據(jù)通信的基礎(chǔ)網(wǎng)絡(luò)主要由路由器、交換機(jī)組成，由這些設(shè)備完成數(shù)據(jù)報文的轉(zhuǎn)發(fā)。隨著數(shù)據(jù)網(wǎng)絡(luò)的逐步發(fā)展，數(shù)據(jù)網(wǎng)絡(luò)上運(yùn)行的業(yè)務(wù)越來越多，但是傳統(tǒng)的路由器、交換機(jī)并不適合處理很多新興業(yè)務(wù)，因此產(chǎn)生了一些專門處理某些業(yè)務(wù)的產(chǎn)品，如防火墻、IDS（Intrusion Detection System，入侵檢測系統(tǒng)）、IPS（Intrusion Prevention System，入侵抵御系統(tǒng)）等安全產(chǎn)品及語音、無

3、線等產(chǎn)品。為了更好地支撐新興業(yè)務(wù)，傳統(tǒng)網(wǎng)絡(luò)設(shè)備（這里指路由器、交換機(jī)）生產(chǎn)廠家紛紛推出多種專用業(yè)務(wù)板（業(yè)務(wù)卡），或者提供一套軟硬件接口，允許其他廠家提供板（卡）或者設(shè)備的硬件或軟件，插入或連接到傳統(tǒng)網(wǎng)絡(luò)設(shè)備上，協(xié)作處理這些業(yè)務(wù)， 從而能發(fā)揮各廠家在各自領(lǐng)域的優(yōu)勢，更有效地支撐新興業(yè)務(wù)，同時減少用戶投資。OAA（Open Application Architecture，開放應(yīng)用架構(gòu)）就是基于該思想而提出的開放業(yè)務(wù)架構(gòu)，它能夠讓眾多不同廠商生產(chǎn)的設(shè)備和軟件集成在一起，象一臺設(shè)備那樣工作，為客戶提供一體化的解決方案。ACFP（Application Control Forwarding Proto

4、col，應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議）是基于 OAA 架構(gòu)設(shè)計的應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議，聯(lián)動的 IPS/IDS 卡或者 IPS/IDS 設(shè)備作為 ACFP 客戶端，上面運(yùn)行其他廠家的軟件，支撐 IPS/IDS 業(yè)務(wù)。路由器或交換機(jī)收到 IP 報文后，通過匹配 ACFP 的聯(lián)動策略規(guī)則，將報文鏡像或重定向給 ACFP 客戶端，ACFP 客戶端上的軟件對報文做監(jiān)控、檢測等業(yè)務(wù)處理，然后根據(jù)監(jiān)控、檢測的結(jié)果，再通過聯(lián)動 MIB（Management Information Base，管理信息庫）反饋給路由器或交換機(jī)，指示路由器或交換機(jī)做出相應(yīng)處理（如過濾某些報文）。ACFP 的體系結(jié)構(gòu)圖1 ACFP 體系結(jié)構(gòu)示意圖如

5、 HYPERLINK l _bookmark0 圖 1所示，ACFP體系可以分成三部分：路由交換部件：是路由器和交換機(jī)的主體部分，這部分有著完整的路由器或交換機(jī)的功能，也是用戶管理控制的核心，此部分稱為 ACFP server；獨(dú)立業(yè)務(wù)部件：也可以叫做 OAP（Open Application Platform，開放應(yīng)用平臺），可以開放給第三方合作開發(fā)的主體，主要用來提供各種獨(dú)特的業(yè)務(wù)服務(wù)功能， 此部分稱為 ACFP client；接口連接部件：是路由交換部件和獨(dú)立業(yè)務(wù)部件的接口連接體，通過這個部件將兩個不同廠商的設(shè)備連接在一起，以形成一個整體。ACFP 的聯(lián)動ACFP 聯(lián)動就是指獨(dú)立業(yè)務(wù)部件

6、可以向路由交換部件發(fā)指令，改變路由交換部件的功能。聯(lián)動功能主要是通過 SNMP 協(xié)議實現(xiàn)的：獨(dú)立業(yè)務(wù)部件仿照網(wǎng)管系統(tǒng)的功能， 向路由交換部件發(fā)送各種 SNMP 命令；而路由交換部件上支持 SNMP Agent 功能， 可以執(zhí)行收到的這些命令。在這個過程中，聯(lián)系雙方的關(guān)鍵就是聯(lián)動的 MIB。ACFP 的管理ACFP 聯(lián)動提供了一套機(jī)制，使得 ACFP client 能夠控制 ACFP server 上的流量， 包括：將 ACFP server 上的流量鏡像、重定向到 ACFP client；允許、拒絕 ACFP server 上的流量通過；對 ACFP server 上的流量進(jìn)行限速；在報文中攜

7、帶上下文 ID，通過上下文 ID 使得 ACFP server 和 ACFP client 能互通報文上下文環(huán)境。具體過程如下：ACFP server 中維護(hù)一個上下文表，通過上下文 ID 查詢上下文表，每個上下文 ID 對應(yīng)一個 ACFP 聯(lián)動策略（聯(lián)動策略的內(nèi)容包括報文入接口、報文出接口、聯(lián)動規(guī)則等信息）。當(dāng) ACFP server 收到的報文由于匹配某個聯(lián)動規(guī)則而被重定向或鏡像到 ACFP client 時，報文中會攜帶該聯(lián)動規(guī)則所在聯(lián)動策略對應(yīng)的上下文 ID；當(dāng)被重定向的報文從ACFP client 返回時，報文中也會攜帶該上下文 ID，通過上下文 ID，ACFP server 就知道

8、該報文是重定向返回的報文，然后進(jìn)行正常的轉(zhuǎn)發(fā)處理。為便于 ACFP client 更好地控制流量，聯(lián)動內(nèi)容中設(shè)置聯(lián)動策略與聯(lián)動規(guī)則兩級組織，基于策略管理匹配規(guī)則的流量，達(dá)到一種彈性管理的目的。為有效支撐 Client/Server 這種聯(lián)動模式，細(xì)粒度、彈性地設(shè)置各種規(guī)則，聯(lián)動內(nèi)容分成四塊組織：ACFP server 信息、ACFP client 信息、ACFP 聯(lián)動策略、ACFP 聯(lián)動規(guī)則。這四塊內(nèi)容存儲在 ACFP server 中。由于一個 ACFP server 可以支持多個 ACFP client，因此，ACFP client 信息、ACFP 聯(lián)動策略、ACFP 聯(lián)動規(guī)則都是以表的形

9、式組織的。ACFP server 信息由 ACFP server 自己生成，ACFP client 信息、ACFP 聯(lián)動策略、ACFP 聯(lián)動規(guī)則都是由 ACFP client 生成并通過聯(lián)動 MIB 或聯(lián)動協(xié)議發(fā)送到 ACFP server。ACFP 信息概述ACFP server 信息ACFP server 信息包含的內(nèi)容及其含義如下：所能支持的工作模式：分為主機(jī)、穿透、鏡像、重定向四種。ACFP server 可以同時支持其中的多種工作模式。只有當(dāng) ACFP server 所支持的工作模式包含ACFP client 的工作模式時，這兩個主體才能進(jìn)行聯(lián)動。聯(lián)動策略的最長有效期：說明了 ACF

10、P server 的聯(lián)動策略所能存活的最長時間。聯(lián)動策略存儲的持久性：說明了 ACFP server 是否具備永久保存聯(lián)動策略的能力，主要指 ACFP server 重新啟動后還能否保有原來的聯(lián)動策略。當(dāng)前所支持的上下文 ID 的類型：不同的 ACFP server 中，上下文 ID 在報文中所處的位置可能不同。上下文 ID 的類型分為 5 種：no-context（不攜帶上下文ID）、HG-context（使用 HG 前導(dǎo)碼作為上下文 ID）、HGPlus-context（使用加強(qiáng)版 HG 前導(dǎo)碼作為上下文 ID）、FlowID-context（使用 FlowID 前導(dǎo)碼作為上下文 ID）、

11、VLANID-context（使用 VLAN ID 作為上下文 ID）。上述這些信息表明了一個 ACFP server 的聯(lián)動能力，各 ACFP client 可通過聯(lián)動協(xié)議、聯(lián)動 MIB 的途徑來獲取這些信息。ACFP client 信息ACFP client 信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識，可以通過聯(lián)動協(xié)議由 ACFP server 分配，也可以由網(wǎng)絡(luò)管理員指定，目的都是要確保各 ACFP client 在 ACFP server 中 client ID 的唯一性。描述：ACFP client 的描述信息。硬件版本：ACFP cli

12、ent 的硬件類別及版本號等信息。操作系統(tǒng)版本：ACFP client 的系統(tǒng)名稱及版本號等信息。應(yīng)用軟件版本：ACFP client 的應(yīng)用軟件類別名稱及其版本號等信息。IP 地址：ACFP client 的 IP 地址。支持的工作模式：ACFP client 當(dāng)前所能支持的工作模式，指主機(jī)、穿透、鏡像、重定向這些模式的組合。ACFP 聯(lián)動策略ACFP 聯(lián)動策略指 ACFP client 發(fā)送給 ACFP server 所要實施的聯(lián)動策略，策略信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識。策略號：策略的標(biāo)識。策略入接口：報文進(jìn)入 ACFP serv

13、er 的接口。策略出接口：報文被正常轉(zhuǎn)發(fā)的出接口。策略目的接口：ACFP server 連接該 ACFP client 的接口。報文上下文 ID：會在鏡像或重定向報文給 ACFP client 時用到，允許為 0，表示不支持互通上下文；當(dāng)發(fā)送的策略指定了連接 ACFP client 的接口時，由ACFP server 為該策略分配一個全局的序號，即報文上下文 ID，每個上下文 ID 對應(yīng)一個 ACFP 聯(lián)動策略。策略管理狀態(tài)：表示該策略是否允許生效。策略有效期：表示該策略有效的期限，借此來控制策略下的所有規(guī)則有效期限。策略開始時間：表示該策略生效的起始時間，單位為每天的時、分、秒，借此來控制策

14、略下的所有規(guī)則。策略結(jié)束時間：表示該策略生效的結(jié)束時間，單位為每天的時、分、秒，借此來控制策略下的所有規(guī)則。策略目的接口 down 時，該策略下所有規(guī)則處理動作：對于轉(zhuǎn)發(fā)優(yōu)先設(shè)備，在目的接口 down 后希望重定向和鏡像的報文繼續(xù)轉(zhuǎn)發(fā)，此時選擇 delete 動作； 對于安全優(yōu)先設(shè)備，在目的接口 down 后希望重定向和鏡像的報文直接丟棄， 此時選擇 reserve 動作。策略優(yōu)先級：表示該策略的優(yōu)先級，用數(shù)字 18 表示，數(shù)字越大，優(yōu)先級越高。ACFP 聯(lián)動規(guī)則ACFP 聯(lián)動規(guī)則指 ACFP client 發(fā)送給 ACFP server 所要實施的聯(lián)動規(guī)則，聯(lián)動規(guī)則可以分為 3 類：監(jiān)控規(guī)則

15、：即將哪些報文遞給 ACFP client 做監(jiān)控分析，業(yè)務(wù)處理。該規(guī)則對應(yīng)的動作類型目前有重定向、鏡像。過濾規(guī)則：即明確哪些報文被丟棄，哪些報文允許通過。該規(guī)則對應(yīng)的動作類型有丟棄、通過。限制規(guī)則：即明確哪些報文將被限速。該規(guī)則對應(yīng)的動作類型為限速。規(guī)則信息包含的內(nèi)容及其含義如下：ACFP client ID：ACFP client 的標(biāo)識；策略號：策略的標(biāo)識；規(guī)則號：規(guī)則的標(biāo)識；規(guī)則操作狀態(tài)：表示規(guī)則是否應(yīng)用成功；動作類型：包括鏡像、重定向、丟棄、通過、限速 5 種動作；是否匹配所有報文：表示該規(guī)則是否要匹配所有的報文，如果是的話，則不需要進(jìn)行下面的匹配；源 MAC 地址；目的 MAC 地址；起始 VLAN ID；結(jié)束 VLAN ID；IP 中的協(xié)議號；源 IP 地址；源 IP 地址反掩碼；源端口號操作符：類型為等于、不等于、大于、小于、之間，只有類型為之間時，下面的結(jié)束源端口號才有意義，標(biāo)識所匹配的報文的源端口應(yīng)該大于起始源端口號而小于結(jié)束源端口號；起始源端口號；結(jié)束源端口號；目的 IP 地址；目的 IP 地址反掩碼；目的端口號操作符：類型為等于、不等于、大于、小于、之間，只有類型為之間時，下面的結(jié)束目的端口號才有意義，標(biāo)識所匹配的報文的目的端口應(yīng)該大于起始目的