目  录

1 ACFP

1.1 ACFP简介

1.1.1 ACFP体系结构

1.1.2 ACFP联动

1.1.3 ACFP管理

1.1.4 ACFP信息概述

1.1.5 ACFP使用说明

1.2 ACFP配置任务简介

1.3 配置ACFP server

1.4 配置OAP单板内联接口的连接模式

1.5 开启ACFP Trap功能

1.6 ACFP显示和维护

1.7 ACFP典型配置举例

1 ACFP

1.1  ACFP简介

数据通信的基础网络主要由路由器和交换机组成，由这些设备完成数据报文的转发。随着数据网络的逐步发展，数据网络上运行的业务越来越多，但是传统的路由器、交换机并不适合处理很多新兴业务，因此产生了一些专门处理某些业务的产品，如防火墙、IDS（Intrusion Detection System，入侵检测系统）、IPS（Intrusion Prevention System，入侵抵御系统）等安全产品及语音、无线等产品。

为了更好地支撑新兴业务，传统网络设备（这里指路由器、交换机）生产厂家纷纷推出多种专用业务板（卡），或者提供一套软硬件接口，允许其他厂家提供板（卡）或者设备的硬件或软件，插入或连接到传统网络设备上，协作处理这些业务，从而能发挥各厂家在各自领域的优势，更有效地支撑新兴业务，同时减少用户投资。OAA（Open Application Architecture，开放应用架构）就是基于该思想而提出的开放业务架构，它能够让众多不同厂商生产的设备和软件集成在一起，像一台设备那样工作，为客户提供一体化的解决方案。

ACFP（Application Control Forwarding Protocol，应用控制转发协议）是基于OAA架构设计的应用控制转发协议。例如，联动的IPS/IDS卡或者IPS/IDS设备作为ACFP客户端，上面运行其他厂家的软件，支撑IPS/IDS业务。路由器或交换机收到IP报文后，通过匹配ACFP的联动策略规则，将报文镜像或重定向给ACFP客户端，ACFP客户端上的软件对报文做监控、检测等业务处理，然后根据监控、检测的结果，再通过联动MIB（Management Information Base，管理信息库）反馈给路由器或交换机，指示路由器或交换机做出相应处理（如过滤某些报文）。

1.1.1  ACFP体系结构

图1-1 ACFP体系结构示意图

如图1-1所示，ACFP体系可以分成三部分：

·     路由交换部件：是路由器和交换机的主体部分，这部分有着完整的路由器或交换机的功能，也是用户管理控制的核心，此部分称为ACFP server；

·     独立业务部件：是可以开放给第三方合作开发的主体，主要用来提供各种独特的业务服务功能，此部分称为ACFP client；

·     接口连接部件：是路由交换部件和独立业务部件的接口连接体，通过这个部件将两个不同厂商的设备连接在一起，以形成一个整体。

1.1.2  ACFP联动

ACFP联动就是指独立业务部件可以向路由交换部件发指令，改变路由交换部件的功能。联动功能主要是通过SNMP协议实现的：独立业务部件仿照网管系统的功能，向路由交换部件发送各种SNMP命令；而路由交换部件上支持SNMP Agent功能，可以执行收到的这些命令。在这个过程中，联系双方的关键就是联动的MIB。

1.1.3  ACFP管理

ACFP联动提供了一套机制，使得ACFP client能够控制ACFP server上的流量，包括：

·     将ACFP server上的流量镜像、重定向到ACFP client；

·     允许、拒绝ACFP server上的流量通过；

·     对ACFP server上的流量进行限速；

·     在报文中携带上下文ID，通过上下文ID使得ACFP server和ACFP client能互通报文上下文环境。具体过程如下：ACFP server中维护一个上下文表，通过上下文ID查询上下文表，每个上下文ID对应一个ACFP联动策略（联动策略的内容包括报文入接口、报文出接口、联动规则等信息）。当ACFP server收到的报文由于匹配某个联动规则而被重定向或镜像到ACFP client时，报文中会携带该联动规则所在联动策略对应的上下文ID；当被重定向的报文从ACFP client返回时，报文中也会携带该上下文ID，通过上下文ID，ACFP server就知道该报文是重定向返回的报文，然后进行正常的转发处理。

为便于ACFP client更好地控制流量，联动内容中设置联动策略与联动规则两级组织，基于策略管理匹配规则的流量，达到一种弹性管理的目的。

为有效支撑Client/Server这种联动模式，细粒度、弹性地设置各种规则，联动内容分成四块组织：ACFP server信息、ACFP client信息、ACFP联动策略、ACFP联动规则。这四块内容存储在ACFP server中。

由于一个ACFP server可以支持多个ACFP client，因此，ACFP client信息、ACFP联动策略、ACFP联动规则都是以表的形式组织的。

ACFP server信息由ACFP server自己生成，ACFP client信息、ACFP联动策略、ACFP联动规则都是由ACFP client生成并通过联动MIB或联动协议发送到ACFP server。

1.1.4  ACFP信息概述

1. ACFP server信息

ACFP server信息包含的内容及其含义如下：

·     所能支持的工作模式：分为主机、穿透、镜像和重定向四种。ACFP server可以同时支持其中的多种工作模式。只有当ACFP server所支持的工作模式包含ACFP client的工作模式时，这两个主体才能进行联动。

·     联动策略的最长有效期：说明了ACFP server的联动策略所能存活的最长时间。

·     联动策略存储的持久性：说明了ACFP server是否具备永久保存联动策略的能力，主要指ACFP server重新启动后还能否保有原来的联动策略。

·     当前所支持的上下文ID的类型：设备使用HGPlus-context（使用加强版HG前导码作为上下文ID）作为上下文ID。

上述这些信息表明了一个ACFP server的联动能力，各ACFP client可通过联动协议、联动MIB的途径来获取这些信息。

2. ACFP client信息

ACFP client信息包含的内容及其含义如下：

·     ACFP client ID：ACFP client的标识，可以通过联动协议由ACFP server分配，也可以由网络管理员指定，目的都是要确保各ACFP client在ACFP server中client ID的唯一性。

·     描述：ACFP client的描述信息。

·     硬件版本：ACFP client的硬件类别及版本号等信息。

·     操作系统版本：ACFP client的系统名称及版本号等信息。

·     应用软件版本：ACFP client的应用软件类别名称及其版本号等信息。

·     IP地址：ACFP client的IP地址。

·     支持的工作模式：ACFP client当前所能支持的工作模式，指主机、穿透、镜像、重定向这些模式的组合。

3. ACFP联动策略

ACFP联动策略指ACFP client发送给ACFP server所要实施的联动策略，策略信息包含的内容及其含义如下：

·     ACFP client ID：ACFP client的标识。

·     策略号：策略的标识。

·     策略入接口：报文进入ACFP server的接口。

·     策略出接口：报文被正常转发的出接口。

·     策略目的接口：ACFP server连接该ACFP client的接口。

·     报文上下文ID：会在镜像或重定向报文给ACFP client时用到。当发送的策略指定了连接ACFP client的接口时，由ACFP server为该策略分配一个全局的序号，即报文上下文ID，每个上下文ID对应一个ACFP联动策略。

·     策略管理状态：表示该策略是否允许生效。

·     策略有效期：表示该策略有效的期限，借此来控制策略下的所有规则有效期限。

·     策略开始时间：表示该策略生效的起始时间，单位为每天的时、分、秒，借此来控制策略下的所有规则。

·     策略结束时间：表示该策略生效的结束时间，单位为每天的时、分、秒，借此来控制策略下的所有规则。

·     策略目的接口down时，该策略下所有规则处理动作：对于转发优先设备，在目的接口down后希望重定向和镜像的报文继续转发，此时选择delete动作；对于安全优先设备，在目的接口down后希望重定向和镜像的报文直接丢弃，此时选择reserve动作。

·     策略优先级：表示该策略的优先级，用数字1～8表示，数字越大，优先级越高。

4. ACFP联动规则

ACFP联动规则指ACFP client发送给ACFP server所要实施的联动规则，联动规则可以分为3类：

·     监控规则：即将哪些报文递给ACFP client做监控分析及业务处理。该规则对应的动作类型目前有重定向、镜像。

·     过滤规则：即明确哪些报文被丢弃、哪些报文允许通过。该规则对应的动作类型有丢弃、通过。

·     限制规则：即明确哪些报文将被限速。该规则对应的动作类型为限速。

规则信息包含的内容及其含义如下：

·     ACFP client ID：ACFP client的标识；

·     策略号：策略的标识；

·     规则号：规则的标识；

·     规则操作状态：表示规则是否应用成功；

·     动作类型：包括镜像、重定向、丢弃、通过和限速5种动作；

·     是否匹配所有报文：表示该规则是否要匹配所有的报文，如果是的话，则不需要进行下面的匹配；

·     源MAC地址；

·     目的MAC地址；

·     起始VLAN ID；

·     结束VLAN ID；

·     IP中的协议号；

·     源IP地址；

·     源IP地址反掩码；

·     源端口号操作符：类型为等于、不等于、大于、小于、之间，只有类型为之间时，下面的结束源端口号才有意义，标识所匹配的报文的源端口应该大于起始源端口号而小于结束源端口号；

·     起始源端口号；

·     结束源端口号；

·     目的IP地址；

·     目的IP地址反掩码；

·     目的端口号操作符：类型为等于、不等于、大于、小于、之间，只有类型为之间时，下面的结束目的端口号才有意义，标识所匹配的报文的目的端口应该大于起始目的端口号而小于结束目的端口号；

·     起始目的端口号；

·     结束目的端口号；

·     报文的协议类型：包括GRE、ICMP、IGMP、OSPF、TCP、UDP、IP等；

·     IP优先级：报文优先级，用数字表示，取值范围为0～7；

·     IP ToS：IP报文的服务类型；

·     IP DSCP：IP报文的差分服务编码点；

·     TCP标志：表示关心TCP六个标志位（URG、ACK、PSH、RST、SYN和FIN）中的某些位；

·     IP分片：是否是IP分片报文；

·     限制速率。

联动规则隶属于联动策略，通过联动策略可以管理策略下的规则。

1.1.5  ACFP使用说明

·     ACFP不支持策略路由业务和Netstream业务。

·     ACFP重定向的报文处理和普通的ACL规则互斥，重定向到ACFP client后返回的报文不进行QoS动作处理。

·     ACFP不支持将同一个流镜像或重定向到多个ACFP client。

·     ACFP只支持针对二层以太网接口下发引流策略。

·     ACFP不支持针对接口子卡下发引流策略。

·     使能ACFP Server时，内联接口不能作为端口镜像的源端口。

·     LSR1IPS1A1和LSR1ACG1A1单板使能ACFP Server时，必须配置内联接口的连接模式为extend，且内联接口必须配置成Trunk口。内联接口的PVID不能设置成管理VLAN的VLAN ID。

·     LSR1IPS1A1和 LSR1ACG1A1单板内联接口的连接模式为extend时，不能将用户业务VLAN和管理VLAN规划成相同的VLAN。

·     设备在IRF模式下，LSR1IPS1A1和 LSR1ACG1A1单板不支持ACFP动态引流。

1.2  ACFP配置任务简介

表1-1 ACFP配置任务简介

1.3  配置ACFP server

表1-2 配置ACFP server

1.4  配置OAP单板内联接口的连接模式

OAP单板上集成了两块插板，分别为前插板和后插板。前插板主要用于实现安全增值业务（如：防火墙、入侵防御、应用控制等），后插板主要用于前插板和交换机的数据交换。内联接口是OAP单板中前插板和后插板之间进行数据通信的一个虚拟接口。如图1-2所示：

图1-2 内联接口示意图

在OAP单板上配置ACFP时，必须将OAP单板的内联接口连接模式配置为扩展连接（extend）模式，才能够实现交换机和OAP单板间的正常通信。

表1-3 配置内联接口的连接模式

1.5  开启ACFP Trap功能

为确保ACFP功能正常运行，必须允许设备发送ACFP模块的Trap报文。

开启ACFP模块的Trap功能后，该模块会生成Trap报文，用于报告该模块的重要事件。ACFP Trap报文对应的级别如表1-4所示。

表1-4 ACFP Trap报文对应的级别

生成的Trap报文将被发送到设备的信息中心，通过设置信息中心的参数，最终决定Trap报文的输出规则（即是否允许输出以及输出方向）。（有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。）

表1-5 开启ACFP Trap功能

1.6  ACFP显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后ACFP的运行情况，通过查看显示信息验证配置的效果。

表1-6 ACFP显示和维护

1.7  ACFP典型配置举例

1. 组网需求

·     某企业网通过Device实现各部门的互连，该Device为ACFP server；

·     ACFP client与Device通过内联口Ten-GigabitEthernet4/0/1相连，并控制Device上的流量，分析入接口为XGE 4/0/1的流量。ACFP client经过分析后，允许入接口为GigabitEthernet 5/0/23、源IP为192.168.1.1/24的所有报文通过，并拒绝入接口为GigabitEthernet 5/0/23、源IP为192.168.1.2/24的所有报文通过。

2. 组网图

图1-3 ACFP典型配置组网图

3. 配置步骤

(1)     配置Device

# 使能ACFP server功能。

<Device> system-view

[Device] acfp server enable

[Device] acsei server enable

# 配置内联口管理VLAN的VLAN接口IP。

[Device] vlan 4094

[Device-vlan4094] interface vlan 4094

[Device-Vlan-interface4094] undo shutdown

[Device-Vlan-interface4094] ip address 40.94.1.1 24

[Device-Vlan-interface4094] quit

# 配置内联口为扩展模式，且禁止MAC地址学习。

[Device] interface Ten-GigabitEthernet 4/0/1

[Device-Ten-GigabitEthernet4/0/1] undo shutdown

[Device-Ten-GigabitEthernet4/0/1] port link-type trunk

[Device-Ten-GigabitEthernet4/0/1] port trunk permit vlan 4094

[Device-Ten-GigabitEthernet4/0/1] mac-address max-mac-count 0

[Device-Ten-GigabitEthernet4/0/1] port connection-mode extend

[Device-Ten-GigabitEthernet4/0/1] quit

# 配置SNMP参数。

[Device] snmp-agent

[Device] snmp-agent sys-info version all

[Device] snmp-agent group v3 v3group_no read-view iso write-view iso

[Device] snmp-agent mib-view included iso iso

[Device] snmp-agent usm-user v3 v3user_no v3group_no

# 确认MIB style为new风格，若不是，修改后重启系统。

[Device] mib-style new

# 配置用户的业务VLAN。

[Device] vlan 100

[Device-vlan100] port GigabitEthernet 5/0/23

[Device] vlan 101

[Device-vlan101] port GigabitEthernet 5/0/24

[Device] interface Vlan-interface 100

[Device-Vlan-interface100] undo shutdown

[Device-Vlan-interface100] ip address 192.168.1.254 24

[Device] interface Vlan-interface 101

[Device-Vlan-interface101] undo shutdown

[Device-Vlan-interface101] ip address 192.168.2.254 24

(2)     LSR1ACG1A1单板（以下简称ACG单板）基本配置

# 从ACG单板的Console口登录ACG单板的操作系统，输入密码“H3C”。

Password:H3C

# 进入系统视图。

<ACG> system-view

# 配置ACG单板网管口IP地址，使得PC与ACG单板的网管口之间路由可达。

[ACG] interface meth0/1

[ACG-if] ip address 192.168.0.14 24

[ACG-if] undo shutdown

# 在PC上打开IE，输入https://192.168.0.14，用户名和密码都是“admin”。

图1-4 WEB登录界面

# 配置ACFP client：

·     在导航栏中选择“系统管理 > 网络管理 > ACFP Client配置”，进入图1-5所示的页面。

·     选择“使能ACFP Client”。

·     选择Server SNMP版本为“SNMPv3”。

·     输入Server安全用户名为“v3user_no”。

·     输入Server IP地址为“40.94.1.1”。

·     输入Client IP地址为“40.94.1.2”。

·     输入子网掩码为“24”。

·     输入VLAN ID地址为“4094”。

·     单击<确定>按钮完成操作。

·     单击<连通性测试>按钮进行连通性测试。

图1-5 配置ACFP Client

# 创建“inbound”安全区域：

·     在导航栏中选择“系统管理 > 网络管理 > 安全区域”，单击<创建安全区域>按钮，进入图1-6所示的页面。

·     输入安全区域名称为“inbound”。

·     选择接口名为“GigabitEthernet5/0/23”，单击“<<”按钮将其添加到接口名列表框中。

·     输入VLAN范围“100”，单击“<<添加”按钮将其添加到接口名列表框中。

·     单击<确定>按钮完成操作。

图1-6 创建安全区域inbound

# 创建“outbound”安全区域：

·     单击<创建安全区域>按钮，进入图1-7所示的页面。

·     输入安全区域名称为“outbound”。

·     选择接口名为“GigabitEthernet5/0/24”，单击“<<”按钮将其添加到接口名列表框中。

·     输入VLAN范围“101”，单击“<<添加”按钮将其添加到接口名列表框中。

·     单击<确定>按钮完成操作。

图1-7 创建安全区域outbound

# 创建段10：

·     在导航栏中选择“系统管理 > 网络管理 > 段配置”，单击<新建段>按钮，进入图1-8 所示的页面。

·     选择段编号为“10”。

·     选择内部域为“inbound”。

·     选择外部域为“outbound”。

·     单击<确定>按钮完成操作。

图1-8 段配置

# 配置内部域的ACFP联动策略和联动规则：

·     在导航栏中选择“系统管理 > 网络管理 > ACFP联动策略”，单击<创建联动策略>按钮，进入图1-9所示的页面。

·     输入策略描述为“t1”。

·     选择源接口为“GigabitEthernet5/0/23”。

·     选择使能状态为“使能”。

·     选择优先级为“0”。

图1-9 配置ACFP联动策略

# 创建规则1：

·     在“规则配置”中单击<添加>按钮，在弹出的创建规则页面进行如下配置，如图1-10所示。

·     选择匹配类型为“指定报文”。

·     选择协议为“全部”。

·     输入源IP地址为“192.168.1.1”。

·     输入源IP地址掩码为“32”。

·     单击<确定>按钮完成设置。

# 创建规则2：

·     在“规则配置”中单击<添加>按钮，在弹出的创建规则页面进行如下配置，如图1-11所示。

·     选择匹配类型为“指定报文”。

·     选择协议为“全部”。

·     输入源IP地址为“192.168.1.2”。

·     输入源IP地址掩码为“32”。

单击<确定>按钮完成设置。

图1-10 创建ACFP规则1

图1-11 创建ACFP规则2

# 配置ACFP过滤规则1：

·     在导航栏中选择“带宽管理 > 策略管理”，单击<创建策略应用>按钮，进行如下配置，如图1-12所示。

图1-12 创建带宽管理策略1

·     在“创建策略”表单，输入名称为“user1”。

·     选择策略工作模式为“组模式”。

·     在“规则配置”表单，选择Default规则配置的动作集为“Permit”。

·     单击“策略应用范围”表单中的<添加>按钮，为该策略新添加一条应用范围，列表中将新增一条表项，如图1-13所示。

图1-13 策略应用范围

·     单击图标，弹出新建IP地址组的页面，如图1-14所示。

图1-14 新建IP地址组1

·     输入名称为“192.168.1.1/32”。

·     选择协议为“IPv4”。

·     输入IPv4地址为“192.168.1.1/32”，单击“<<添加”按钮将其添加到IP地址列表中

·     单击<确定>按钮完成设置。

·     在策略应用范围页面中，单击图标，弹出相应表项的高级配置页面，如图1-15所示。

图1-15 策略应用范围高级配置1

·     选择段为“10”。

·     选择管理区域为“内部域”。

·     在内部域IP地址组中选择IP地址组为“192.168.1.1/32”。

·     单击<确定>按钮完成设置。

·     完成上述设置后在“创建策略应用”页面中单击<确定>按钮完成操作，如图1-12所示。

# 配置ACFP过滤规则2：

·     在导航栏中选择“带宽管理 > 策略管理”，单击<创建策略应用>按钮，进行如下配置，如图1-16所示。

图1-16 创建带宽管理策略2

·     在“创建策略”表单，输入名称为“user2”。

·     选择策略工作模式为“组模式”。

·     在“规则配置”表单，选择Default规则配置的动作集为“Block”。

·     单击“策略应用范围”表单中的<添加>按钮，为该策略新添加一条应用范围，列表中将新增一条表项，如图1-13所示。

·     单击图标，弹出新建IP地址组的页面，如图1-17所示。

图1-17 新建IP地址组2

·     输入名称为“192.168.1.2/32”。

·     选择协议为“IPv4”。

·     输入IPv4地址为“192.168.1.2/32”，单击“<<添加”按钮将其添加到IP地址列表中

·     单击<确定>按钮完成设置。

·     在策略应用范围页面中，单击图标，弹出相应表项的高级配置页面，如图1-18所示。

图1-18 策略应用范围高级配置2

·     选择段为“10”。

·     选择管理区域为“内部域”。

·     在内部域IP地址组中选择IP地址组为“192.168.1.2/32”。

·     单击<确定>按钮完成设置。

·     完成上述设置后在“创建策略应用”页面中单击<确定>按钮完成操作，如图1-16所示。

# 激活配置

·     完成上述配置后，页面跳转到带宽管理的策略应用显示页面，如图1-19所示。单击<激活>按钮，弹出确认对话框。

·     在确认对话框中单击<确定>按钮后，将配置激活。

图1-19 激活配置

(3)     验证配置效果

使用ping命令验证Host A与Host C、以及Host B与Host C的连通性。测试结果表明：Host A与Host C可以互通，Host B与Host C则无法互通。