68 H3C SecPath F1000 (系统模块介绍)
01-高可靠性
特性简介
高可靠性(High Availability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。
HA通过RBM(Remote Backup Management,远端备份管理)协议管理多个VRRP备份组状态的统一切换或者调整动态路由协议的开销值等,选举出HA中每台设备的主备状态,及其主备状态的动态切换。HA通过RBM协议备份设备间的关键配置信息和业务表项等,从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行HA组网。
基本概念
HA技术包含的基本概念如下:
· 主、从管理设备:HA中的设备分为主、从两种管理角色,用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息。
· 主、备业务设备:HA中包含主、备两种设备,其中主设备对应VRRP备份组中的Master设备;备设备对应VRRP备份组中的Backup设备。主设备为业务提供支持,转发业务流量,并向备设备实时备份业务表项信息;备设备除接收主设备的业务表项备份信息外,在主设备发生故障后,备设备会转换成主设备,继续转发业务流量,保证业务不中断。
· VRRP active组和VRRP standby组:用于将HA与VRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理目的。
· HA通道:两台设备之间交互HA的运行状态信息,关键配置信息和业务表信息的传输通道。
· HA运行模式:支持主备和双主两种运行模式。主备模式下,仅由主设备处理业务,备设备处于空闲状态,实时待命;双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载分担能力。
· HA报文:HA使用TCP作为其传输层协议,TCP连接建立后,主管理设备和从管理设备通过HA通道交互HA报文。
02-VRRP
功能简介
在HA与VRRP联动的组网环境中,HA将会控制设备在多个VRRP备份组中Master和Backup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此处以主备模式,介绍HA与VRRP的联动组网情况,具体如下。
· 如图-1的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。
· 如图-1的右图所示,将HA和VRRP关联后可以解决以上问题。HA控制通道建立后,VRRP备份组内的设备状态将由HA决定,VRRP自身的主备选择机制不再生效。当HA的控制通道断开后,VRRP自身的主备选择机制将会重新生效。
图-1 HA联动VRRP示意图
VRRP active/standby组
VRRP active组和VRRP standby组:用于将HA与VRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理的目的。
VRRP active/standby组分别有两种状态:Master和Backup。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组初始状态的实现机制如下:
· 主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
· 双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态均为Backup。
HA联动VRRP组网中Master设备的选举机制
如图-1的右图所示,将HA与VRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:
1. 正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup设备。
2. 当Device A的下行接口Interface A2故障后,HA会收到接口故障事件。然后HA发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
3. Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。
4. Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
VRRP中的ARP学习
当VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。
备份组的虚拟IP地址
备份组具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟设备的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟设备与外部网络进行通信。
虚拟设备的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个设备的接口IP地址相同。接口IP地址与虚拟IP地址相同的设备被称为IP地址拥有者。
备份组中设备的优先级
VRRP根据优先级来确定备份组中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当设备为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master设备。在同一个VRRP备份组中,只能存在一个IP地址拥有者。
备份组中设备的抢占/非抢占方式
备份组中的设备具有以下两种方式:
· 抢占方式:在该方式下Backup设备一旦发现自己的优先级比当前Master设备的优先级高,就会触发Master设备的重新选举,并最终取代原有的Master设备。抢占方式可以确保承担转发任务的Master设备始终是备份组中优先级最高的设备。
· 非抢占方式:在该方式下只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。非抢占方式可以避免频繁地切换Master设备。
在抢占方式下,为了避免备份组内的成员频繁进行主备状态转换,让Backup设备有足够的时间搜集必要的信息(如路由信息),Backup设备接收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master设备,而是等待抢占延迟时间后,才会重新选举新的Master设备。
延迟时间
Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备。
VRRP通告报文发送间隔
VRRP备份组中的Master设备会定时发送VRRP通告报文,通知备份组内的设备自己工作正常。需要注意的是:
· 建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。
· 使用VRRPv2版本时,IPv4 VRRP备份组中的所有设备必须配置相同的VRRP通告报文间隔。
· 使用VRRPv3版本时,VRRP备份组中的设备上配置的VRRP通告报文间隔可以不同。Master设备根据自身配置的报文间隔定时发送通告报文,并在通告报文中携带Master设备上配置的间隔;Backup设备接收到Master设备发送的通告报文后,记录报文中携带的Master设备通告报文间隔,如果在3×记录的间隔+Skew_Time内没有收到Master设备发送的VRRP通告报文,则认为Master设备出现故障,重新选举Master设备。
· 网络流量过大可能会导致Backup设备在指定时间内没有收到Master设备的VRRP通告报文,从而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。
备份组中设备的认证方式
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了三种认证方式:
· 无认证:发送VRRP报文的设备与接收报文的设备之间不进行报文合法性认证。
· 简单字符认证:发送VRRP报文的设备将认证字填入到VRRP报文中,而收到VRRP报文的设备会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。
· MD5认证:发送VRRP报文的设备利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的设备会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。
VRRP控制VLAN
缺省情况下,在Master的三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。为了保证Master可以周期性地向Backup发送VRRP通告报文(组播报文),需要在Master的三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。
配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master设备仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。
VRRP的控制VLAN分为两种:
· 只指定一层VLAN Tag:配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN;
· 指定两层VLAN Tag:配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN。
使用限制和注意事项
· VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。
· 一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的设备需要设置相同的认证方式和认证字。
03-Track
特性简介
简介
Track用于在监测模块、Track模块和应用模块之间建立关联,来实现这些模块之间的联合动作。联动功能在应用模块和监测模块之间增加了Track模块,通过Track模块屏蔽不同监测模块的差异,将监测结果以统一的形式通知给应用模块,从而简化应用模块的处理。
联动功能实现机制
如图-1所示,联动功能利用监测模块对链路状态、网络性能等进行监测,并通过Track模块将监测结果及时通知给应用模块,以便应用模块进行相应的处理。例如,在NQA、Track和静态路由之间建立联动,利用NQA监测静态路由的下一跳地址是否可达。NQA监测到下一跳不可达时,通过Track通知静态路由模块该监测结果,以便静态路由模块将该条路由置为无效,确保报文不再通过该静态路由转发。
Track模块与监测模块联动
Track模块通过Track项与监测模块建立关联。Track项定义了Positive、Negative和NotReady三种状态。监测模块负责对接口状态、链路状态等进行监测,并将监测结果通知给Track模块;Track模块根据监测结果改变Track项的状态。
· 如果监测结果为监测对象工作正常(如接口处于up状态、网络可达),则对应Track项的状态为Positive。
· 如果监测结果为监测对象出现异常(如接口处于down状态、网络不可达),则对应Track项的状态为Negative。
· 如果监测结果无效(如NQA作为监测模块时,与Track项关联的NQA测试组不存在),则对应Track项的状态为NotReady。
Track模块与应用模块联动
应用模块通过引用Track项与Track模块建立关联。Track项的状态改变后,通知应用模块;应用模块根据Track项的状态,及时进行相应的处理,从而避免通信的中断或服务质量的降低。
配置指南
Track功能的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > Track”。
2. 在“Track”页面单击<新建>按钮,进入“新建Track项”页面。
3. 在“新建Track项”页面配置Track项,具体配置内容如下表所示:
表-1 Track项公共配置参数表
| 参数 | 说明 |
| Track项 | Track项的序号,用于唯一标识此Track项 |
| 监测模块 | 表示与哪个监测模块建立关联 |
| Positive状态延迟通知时间 | Track项状态变为Positive后,如果立即通知应用模块,则可能会由于路由无法及时恢复等原因,导致通信中断。在这种情况下,用户可以配置Track项状态发生变化时,延迟一定的时间通知应用模块。当Track项没有与应用模块联动时,此配置不生效 |
| Negative状态延迟通知时间 | Track项状态变为Negative后,如果立即通知应用模块,则可能会由于路由无法及时恢复等原因,导致通信中断。在这种情况下,用户可以配置Track项状态发生变化时,延迟一定的时间通知应用模块。当Track项没有与应用模块联动时,此配置不生效 |
表-2 Track项与BFD联动的配置参数表
| 参数 | 说明 |
| BFD报文出接口 | BFD echo报文将从指定的接口发送,Track项只能与echo报文方式的BFD会话建立关联 |
| 本地IP地址 | BFD会话探测的本地IP地址 |
| 远端IP地址 | BFD会话探测的远端IP地址 |
表-3 Track项与NQA联动的配置参数表
| 参数 | 说明 |
| 测试组管理员名称 | NQA测试组的管理员的名字 |
| 操作标签 | NQA测试操作的标签 |
| 联动项序号 | 指定NQA与Track项关联的联动项序号 |
表-4 Track项与接口联动的配置参数表
| 参数 | 说明 |
| 监测接口 | 将Track项与指定的接口建立联动关系 |
| 接口类型 | 可以监控的接口类型包括:物理层状态、链路层协议状态、IPv4协议状态和IPv6协议状态 |
表-5 Track项与路由联动的配置参数表
| 参数 | 说明 |
| VRF | 在指定VRF中创建和路由条目关联的Track项 |
| 路由地址 | 路由条目中的IP地址,点分十进制格式 |
| 掩码长度 | IP地址掩码的长度 |
04-BFD
特性简介
BFD简介
BFD(Bidirectional Forwarding Detection,双向转发检测)是一个通用的、标准化的、介质无关和协议无关的快速故障检测机制,用于检测转发路径的连通状况,保证设备之间能够快速检测到通信故障,以便能够及时采取措施,保证业务持续运行。BFD可以为各种上层协议(如路由协议)快速检测两台设备间双向转发路径的故障。上层协议通常采用Hello报文机制检测故障,所需时间为秒级,而BFD可以提供毫秒级检测。
BFD会话通过echo报文实现。Echo报文封装在UDP报文中传送,其UDP目的端口号为3785。
本端发送echo报文建立BFD会话,对链路进行检测。对端不建立BFD会话,只需把收到的echo报文转发回本端。如果在检测时间内没有收到对端转发回的echo报文,则认为会话down。
配置指南
BFD功能的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > BFD”。
2. 在“BFD”页面配置相关内容,具体配置内容如下表所示:
表-1 BFD配置参数表
| 参数 | 说明 |
| Echo报文源IPv4地址 | Echo报文的源IPv4地址支持任意合法的单播IPv4地址。为了避免对端发送大量的ICMP重定向报文造成网络拥塞,建议配置echo报文的源IP地址不属于该设备任何一个接口所在网段 |
| Echo报文源IPv6地址 | echo报文源IPv6地址仅支持全球单播地址。为了避免对端发送大量的ICMPv6重定向报文造成网络拥塞,建议不要将echo报文的源IPv6地址配置为属于该设备任何一个接口所在网段 |
05-NQA
如图-1所示,NQA测试的典型组网中包括以下两部分:
· NQA测试的源端设备:又称为NQA客户端,负责发起NQA测试,并统计探测结果。NQA测试组在NQA客户端上创建。
· NQA测试的目的端设备:负责接收、处理和响应NQA客户端发来的探测报文。
? 在进行TCP类型测试时,必须在目的端设备上配置NQA服务器功能,开启指定IP地址和端口上的监听服务。此时,目的端设备又称为NQA服务器。当NQA服务器接收到客户端发送给指定IP地址和端口的探测报文后,将对其进行处理,并发送响应报文。
? 在其他类型的测试中,目的端设备只要能够处理NQA客户端发送的探测报文即可,不需要配置NQA服务器功能。例如,在FTP测试中,目的端设备上需要配置FTP服务器相关功能,以便处理客户端发送的FTP报文,而无需配置NQA服务器功能。
NQA测试的过程为:
1. NQA客户端构造指定测试类型的探测报文,并发送给目的端设备;
2. 目的端设备收到探测报文后,回复应答报文;
3. NQA客户端根据是否收到应答报文,以及接收应答报文的时间,计算报文丢失率、往返时间等。
支持联动功能
联动功能是指在监测模块、Track模块和应用模块之间建立关联,实现这些模块之间的联合动作。联动功能利用监测模块对链路状态、网络性能等进行监测,并通过Track模块将监测结果及时通知给应用模块,以便应用模块进行相应的处理。联动功能的详细介绍,请参见“Track联机帮助”。NQA可以作为联动功能的监测模块,对NQA探测结果进行监测,当连续探测失败次数达到一定数目时,就通过Track模块触发应用模块进行相应的处理。
阈值告警功能
NQA通过创建阈值告警项,并在阈值告警项中配置监测的对象、阈值类型及触发的动作,来实现阈值告警功能。
配置指南
NQA功能的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > NQA”。
2. 在“NQA”页面单击<新建>按钮,进入“新建NQA”页面。配置相关内容,具体配置内容如下表所示:
表-1 NQA配置参数表
| 参数 | 说明 |
| 测试组管理员名称 | NQA测试组的管理员的名字,NQA测试组由一个管理员名称和一个操作标签来标识 |
| 操作标签 | NQA测试操作的标签 |
| 测试类型 | NQA支持通过不同的协议报文进行链路探测 |
| 目的IP地址 | 探测报文的目的IP地址 |
| 目的端口 | 探测报文的目的端口 |
| 测试时间间隔 | 连续两次测试开始时间的时间间隔,取值为0表示只进行一次测试,此时不会生成统计结果 |
| 探测次数 | 如果配置的次数大于1,那么系统在进行第一次探测之后,等待回应。如果到达探测超时时间时,仍然没有收到回应,则发起第二次探测。如此反复,直到完成指定次数的探测 |
| 探测超时时间 | 一次探测中等待响应报文的超时时间 |
| 开启历史记录保存功能 | 开启此功能后,系统会记录该NQA测试组的历史信息;关闭此功能后,系统不会记录该测试组的历史信息,原有的历史记录信息也会被删除 |
| 保存历史记录的个数 | 如果一个测试组中历史记录个数超过设定的最大数目,则最早的历史记录将会被删除 |
| 启动测试 | 启动测试支持如下几种方式: · 立即启动:选择此方式,配置下发后NQA测试工作立即开始 · 指定启动时间:选择此方式,配置下发后NQA测试工作会在指定时间到达时启动 |
| 测试持续时间 | 测试持续时间支持如下几种方式: · 永久:此方式,NQA测试工作启动后将一直进行测试 · 指定持续时间:此方式,NQA测试工作启动后,将在指定持续时间内进行测试,当持续时间到达后将结束本次NQA测试 |
表-2 NQA阈值告警功能配置信息表
| 参数 | 说明 |
| 告警组编号 | 阈值告警组的编号信息 |
| 监控对象 | 表示对某些类型的事件进行阈值监控,比如监控探测失败的次数(probe-fail) |
| 阈值类型 | NQA阈值告警功能支持的阈值类型包括: · 累计数目:监测一次测试中探测结果不在指定范围内的累计数目,如果累计数目达到或超过设定的值,则该监测对象超出阈值 · 连续次数:NQA测试组启动后,监测探测结果连续不在指定范围内的次数,如果该次数达到或超过设定的值,则该监测对象超出阈值 |
| 失败次数 | 探测失败的次数 |
| 触发的动作 | NQA阈值告警功能可以触发如下动作: · 仅显示结果:只在本地记录监测结果,不向网络管理系统发送Trap消息 · 显示结果并发送Trap:不仅在本地记录监测结果,当阈值告警项的状态改变时,还向网络管理系统发送Trap消息。采用本动作时,需要在“系统 > 维护 > SNMP“中配置Trap接收主机 · 触发其他模块联动:在记录监测结果的同时,触发其他模块联动 |
06-日志设置基本配置
特性简介
日志信息是设备记录的对报文处理的相关信息。网络管理员利用这些信息即可以有效监控网络运行情况和诊断网络故障;也可以实时跟踪、记录、分析用户访问网络的情况,审计用户的上网行为。设备支持输出日志的方式包括:系统日志、流日志、快速日志。
系统日志
系统日志传输格式为ASCII码,其通过设备的信息中心进行统一收集、管理和输出。设备发送系统日志信息的方向包括:控制台(console)、监视终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)和日志文件(logfile)。
流日志
流日志简介
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问网络的流进行分类统计,并生成流日志。流日志目前主要用来记录用户访问网络所产生的NAT会话相关信息,包括5元组信息和发送、接收的字节数等。管理员利用这些信息可以实时跟踪、记录、分析用户访问网络的情况。
流日志版本
流日志根据日志信息所包含字段多少分为1.0、3.0和5.0三个版本。三种流日志的内容稍有不同,具体差别请参见表-1、表-2和表-3。
下表中介绍的字段是设备向日志主机方向发送的原始信息所包含的字段,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
| 字段 | 描述 |
| SrcIP | NAT转换前的源IP地址 |
| DestIP | NAT转换前的目的IP地址 |
| SrcPort | NAT转换前的TCP/UDP源端口号 |
| DestPort | NAT转换前的TCP/UDP目的端口号 |
| StartTime | 流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
| EndTime | 流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
| Protocol | IP承载的协议类型 |
| Operator | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
| Reserved | 保留 |
| 字段 | 描述 |
| Protocol | IP承载的协议类型 |
| Operator | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
| IPVersion | IP报文版本 |
| TosIPv4 | IPv4报文的Tos字段 |
| SourceIP | NAT转换前的源IP地址 |
| SrcNatIP | NAT转换后的源IP地址 |
| DestIP | NAT转换前的目的IP地址 |
| DestNatIP | NAT转换后的目的IP地址 |
| SrcPort | NAT转换前的TCP/UDP源端口号 |
| SrcNatPort | NAT转换后的TCP/UDP源端口号 |
| DestPort | NAT转换前的TCP/UDP目的端口号 |
| DestNatPort | NAT转换后的TCP/UDP目的端口号 |
| StartTime | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
| EndTime | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
| InTotalPkg | 接收的报文包数 |
| InTotalByte | 接收的报文字节数 |
| OutTotalPkg | 发出的报文包数 |
| OutTotalByte | 发出的报文字节数 |
| InVPNID | 入VPN ID |
| OutVPNID | 出VPN ID |
| Reserved1 | 保留字段 |
| AppID | 应用协议ID |
| Reserved3 | 保留字段 |
表-3 5.0版本流日志包含的字段
| 字段 | 描述 |
| Protocol | IP承载的协议类型 |
| Operator | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
| IPVersion | IP报文版本 |
| TosIPv4 | IPv4报文的Tos字段 |
| SourceIP | NAT转换前的源IP地址 |
| SrcNatIP | NAT转换后的源IP地址 |
| DestIP | NAT转换前的目的IP地址 |
| DestNatIP | NAT转换后的目的IP地址 |
| SrcPort | NAT转换前的TCP/UDP源端口号 |
| SrcNatPort | NAT转换后的TCP/UDP源端口号 |
| DestPort | NAT转换前的TCP/UDP目的端口号 |
| DestNatPort | NAT转换后的TCP/UDP目的端口号 |
| StartTime | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
| EndTime | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
| InTotalPkg | 接收的报文包数 |
| InTotalByte | 接收的报文字节数 |
| OutTotalPkg | 发出的报文包数 |
| OutTotalByte | 发出的报文字节数 |
| InVPNID | 入VPN ID |
| OutVPNID | 出VPN ID |
| AppID | 应用协议ID |
| UserName | 用户名 |
| Reserved1、2、3 | 保留字段 |
快速日志
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。
邮件服务器
将邮件服务器的相关参数配置完成后,可以通过邮件将日志信息发送给接收人。
存储空间设置
存储空间用于保存流量业务以及DPI相关业务(包含审计业务、威胁业务、URL过滤业务和文件过滤业务)的日志数据。
通过设置存储空间,管理员可分别对各业务日志信息的数据保存周期、存储上限以及上限处理动作进行管理。
存储空间支持的存储设备类型包括:硬盘、U盘和内存。各业务的历史数据优先保存在硬盘中,当硬盘不在位时保存在U盘中,当U盘也不在位时才会保存在内存中。
其中,U盘的支持情况与设备型号有关,请以设备的实际情况为准。
存储空间设置的支持情况与设备型号有关,请以设备实际情况为准。
数据保存周期
存储空间中仅保存数据保存周期内的数据,当某类业务的数据保存时间超过设置的数据保存周期时,设备会根据上限处理动作对该业务的数据进行处理。
存储上限
设备为各业务占用的存储空间提供了设置上限功能。当某类业务所占的存储空间超过其设置的上限时,设备将根据上限处理动作对该业务的数据进行处理。管理员可根据实际业务情况,对各业务的存储上限进行设置。
上限处理动作
当存储空间中某类业务的历史数据超过数据保存周期,或者达到存储上限时,设备将根据该业务配置的上限处理动作对数据进行处理。
设备支持以下两种上限处理动作:
· 删除:设备将删除保存时间最长的数据以便保存最新的数据,并发送日志信息。删除日志信息时,设备将按天删除,且不可删除当天的日志信息。
· 提示:设备不对历史数据进行删除,也不保存新数据,仅发送日志信息提示用户。管理员可在“监控 > 设备日志 > 系统日志”页面中查看日志信息。
日志等级
日志信息按严重性可划分为如表-4所示的八个等级,各等级的严重性依照数值从0~7依次降低。在系统输出信息时,所有信息等级高于或等于配置等级的信息都会被输出。例如,输出规则中指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出。
表-4 日志信息等级列表
| 数值 | 信息等级 | 描述 |
| 0 | emergency | 表示设备不可用的信息,如系统授权已到期 |
| 1 | alert | 表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
| 2 | critical | 表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
| 3 | error | 表示错误信息,如接口链路状态变化,存储卡拔出等 |
| 4 | warning | 表示警告信息,如接口连接断开,内存耗尽告警等 |
| 5 | notification | 表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
| 6 | informational | 表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping操作的日志信息等 |
| 7 | debugging | 表示调试过程产生的信息 |
日志输出配置限制和指导
设备支持通过系统日志、流日志和快速日志方式将某些业务模块的日志发送给日志主机,这些日志发送方式按优先级从高到低的顺序依次为:快速日志 > 流日志 > 系统日志。对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。
配置指南
系统日志
配置步骤
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“系统日志”页签。
3. 配置系统日志的基本信息。
表-5 系统日志的基本信息配置
| 参数 | 说明 |
| 将系统日志输出到日志缓冲区 | 配置此功能后,设备会将业务模块生成的日志保存到日志缓冲区。其中,设备会为一些业务模块(例如会话、攻击防御等)创建单独的日志缓冲区,用来分别存储这些业务模块的日志,其它业务模块的日志会统一存储到通用日志缓冲区中 |
| 日志缓冲区上限 | 日志缓冲区可存储的信息条数,当存储的日志达到容量限制时,系统会直接使用最新日志覆盖最早生成的日志,此处设置的为通用日志缓冲区的上限 |
4. 单击<应用>按钮,完成系统日志的基本信息配置。
5. 单击<新建>按钮,配置系统日志主机。
表-6 系统日志主机配置
| 参数 | 说明 |
| 日志主机 | 支持IP地址和主机名 |
| 端口号 | 日志主机接收系统日志信息的端口号 |
| VRF | 日志主机所属的VPN实例 |
6. 单击<确定>按钮,新建的系统日志主机会在“系统日志”页面显示。
流日志
配置步骤
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“流日志”页签。
3. 配置流日志的基本信息。
表-7 流日志的基本信息配置
| 参数 | 说明 |
| 日志版本 | 选择流日志的版本,包括: · 1.0 · 3.0 · 5.0 请根据日志接收设备的实际能力配置流日志的版本 |
| 开启日志负载分担 | 缺省情况下,每一条流日志会输出给所有已配置的流日志主机 开启此功能后,流日志按照日志信息的源IP地址进行逐流负载分担,即源IP地址相同的会话对应的流日志始终发送到特定的一台流日志主机。这样可以降低用户日志发送的压力,并减少冗余日志的处理 在开启此功能时请注意,如果配置的流日志主机不可达,流日志仍会进行负载分担,但负载分担到不可达的流日志主机的流日志将被丢弃 |
| 日志信息的源IP地址 | 缺省情况下,流日志信息的源IP地址为发送该报文的出接口IP地址 流日志使用源地址来唯一标识报文的发送者,以便对流日志进行过滤。配置日志信息的源IP地址后,当设备向流日志主机发送流日志时,就使用这个唯一IP地址作为报文的源IP地址 推荐将流日志报文的源IP地址配置为设备上Loopback接口的地址,以屏蔽某个物理接口状态改变对流日志报文的影响 |
4. 单击<应用>按钮,完成流日志的基本信息配置。
5. 单击<新建>按钮,配置流日志主机。
表-8 流日志主机配置
| 参数 | 说明 |
| 日志主机 | 支持IP地址和主机名 |
| 端口号 | 日志主机接收流日志信息的端口号 |
| VRF | 日志主机所属的VPN实例 |
6. 单击<确定>按钮,新建的流日志主机会在“流日志”页面显示。
快速日志
配置步骤
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“快速日志”页签。
3. 配置快速日志的基本信息。
表-9 快速日志的基本信息配置
4. 单击<应用>按钮,完成快速日志的基本信息配置。
5. 单击<新建>按钮,配置快速日志主机。
表-10 快速日志主机配置
| 参数 | 说明 |
| 日志主机 | 支持IP地址和主机名 |
| 端口号 | 日志主机接收快速日志信息的端口号 |
| VRF | 日志主机所属的VPN实例 |
| 会话日志 | 允许设备向指定的快速日志主机发送会话日志 |
| NAT日志 | 允许设备向指定的快速日志主机发送NAT日志。NAT日志包括NAT会话日志和NAT444用户日志,其中每一种NAT日志均支持中国联通、中国电信和中国移动三种输出格式。 |
| AFT日志 | 允许设备向指定的快速日志主机发送AFT日志,目前仅支持AFT端口块日志 |
| 应用审计日志 | 允许设备向指定的快速日志主机发送应用审计日志 |
| URL过滤日志 | 允许设备向指定的快速日志主机发送URL过滤日志 |
| 攻击防范日志 | 允许设备向指定的快速日志主机发送攻击防范日志 |
| 负载均衡日志 | 允许设备向指定的快速日志主机发送负载均衡日志 |
| IP信誉日志 | 允许设备向指定的快速日志主机发送IP信誉日志 |
| 共享上网日志 | 允许设备向指定的快速日志主机发送共享上网日志 |
| 安全策略日志 | 允许设备向指定的快速日志主机发送安全策略日志 |
| 心跳日志 | 允许设备向指定的快速日志主机发送心跳日志 |
| 入侵防御日志 | 允许设备向指定的快速日志主机发送入侵防御日志 |
| 带宽管理日志 | 允许设备向指定的快速日志主机发送带宽管理日志 |
| 防病毒日志 | 允许设备向指定的快速日志主机发送防病毒日志 |
| Web应用防护日志 | 允许设备向指定的快速日志主机发送Web应用防护日志 |
6. 单击<确定>按钮,新建的快速日志主机会在“快速日志”页面显示。
邮件服务器
配置步骤
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“邮件服务器”页签。
3. 配置邮件服务器信息。
表-11 邮件服务器信息配置
| 参数 | 说明 |
| 邮件服务器地址 | 支持IP地址和主机名 |
| 发件人地址 | 配置发送邮件的人的地址 |
| 收件人地址 | 配置邮件接收人的地址。可以配多个收件人地址,之间用分号隔开 |
| DNS服务器IP地址 | 配置DNS服务器的IP地址,用于DNS解析 |
| 身份验证 | 当邮件服务器需要登录用户进行身份验证时需要开启此功能 |
| 安全传输用户信息 | 配置此功能后,先在设备与邮件服务器之间创建一条安全通道,然后再在此通道中传输登录邮件服务器的用户信息 |
| 用户名 | 配置登录邮件服务器的用户名 |
| 密码 | 配置登录邮件服务器的密码 |
4. 单击<应用>按钮,完成邮件服务器信息配置。
存储空间设置
配置步骤
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“存储空间设置”页签。
3. 进入“存储空间设置”页面,具体配置内容如下:
表-12 存储空间设置参数表
| 参数 | 说明 |
| 业务 | 流量业务和DPI相关业务。其中,DPI相关业务包含如下几种: · 审计业务 · 威胁业务(包括入侵防御业务和防病毒业务) · URL过滤业务 · 文件过滤业务 |
| 数据保存周期 | 各业务历史数据能够保存的最长时间 |
| 存储上限 | 各业务在存储空间中能够占用的最大空间 |
| 上限处理动作 | 当存储空间中某类业务的历史数据超过其数据保存周期,或者达到其存储上限时,设备对该类业务历史数据执行的处理动作 |
4. 单击<应用>按钮,进入“修改项”页面,确认修改内容。
5. 单击<应用>按钮,完成存储空间的配置。
07-会话日志
特性简介
会话日志是为满足网络管理员安全审计的需要,对用户的访问信息、用户的IP地址信息、用户的网络流量信息等进行记录,并可采用流日志或快速日志的方式输出。存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出,该阈值包括流量阈值和时间阈值两种。
同时配置了时间阈值和流量阈值的情况下,只要有一个阈值到达,就会输出相应的会话日志,并将所有的阈值统计信息清零。
必须在接口上开启会话日志功能,才能生成会话日志。
配置指南
配置步骤
1. 单击“系统 > 日志设置 > 会话日志”,进入“会话日志”页面。
2. 在“会话日志”页面,配置会话日志的基本信息。
表-1 会话日志的基本信息配置
| 参数 | 说明 |
| 日志类型 | 会话日志支持的日志类型包括流日志和快速日志两种,缺省为流日志 |
| 记录新建会话的日志 | 配置此功能后,新建会话时会记录会话日志 |
| 记录删除会话的日志 | 配置此功能后,删除会话时会记录会话日志 |
| 流量阈值 | 流量阈值分为报文数阈值和字节数阈值两种,二者只能选其一。当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志 |
| 时间阈值 | 如果设置的时间阈值为n,则每经过n分钟,设备就输出一次相应的会话日志 |
3. 单击<应用>按钮,完成会话日志的基本信息配置。
4. 单击<添加接口>按钮,在指定接口上开启会话日志功能。
表-2 在指定接口上开启会话日志功能
| 参数 | 说明 |
| IP类型 | 表示在接口上对哪类报文开启会话日志功能,其包括IPv4和IPv6两种类型 |
| 接口 | 在指定接口上开启会话日志功能,且可根据接口的入方向和出方向流量分别会输出会话日志 |
| ACL | 表示与指定ACL相匹配的流量才会触发输出会话日志,如果不指定ACL,则表示经过接口的所有流量均会触发输出会话日志 |
5. 单击<确定>按钮,开启会话日志功能的接口会在“会话日志”页面显示。
08-NAT日志
特性简介
NAT会话日志
NAT会话日志是为了满足管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。NAT会话日志支持流日志和快速日志两种输出方式,缺省为流日志。
有如下三种情况可以触发设备生成NAT会话日志:
· 新建NAT会话。
· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及删除NAT会话时,都可能导致NAT会话被删除。
· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息将被记录并生成日志。
NAT444用户日志
NAT444用户日志是为了满足对互联网用户进行溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。NAT444用户日志仅支持快速日志输出方式。
有如下两种情况可以触发设备输出NAT444用户日志:
· 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。
· 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。
记录NAT资源用尽日志
开启此功能后,NAT资源用尽时输出日志信息。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。对于NAT444资源用尽日志,必须开启快速日志功能,否则无法产生NAT444资源用尽日志信息。
09-AFT日志
10-威胁日志
特性简介
威胁日志可以对网络攻击行为进行记录。威胁日志包括入侵防御日志和防病毒日志。
入侵防御日志
入侵防御日志支持输出系统日志和快速日志,同时支持输出邮件。
其中,快速日志支持以下输出格式:
· 标准格式:以标准格式输出入侵防御策略命中日志。
· 国家电网格式:以国家电网格式输出如下日志:
? 国家电网告警日志:国家电网格式的入侵防御策略命中日志。
? 国家电网基本信息日志:国家电网格式的入侵防御特征库更新日志。同时支持配置每日的发送时间。
国家电网格式的支持情况与设备型号有关,请以设备实际情况为准。
防病毒日志
防病毒日志支持输出系统日志、快速日志以及输出邮件。
使用限制和注意事项
入侵防御日志支持输出中文日志,且仅攻击名称、攻击分类和攻击子分类支持为中文。
11-应用审计日志
12-共享上网日志
13-URL过滤日志
14-攻击防范日志
特性简介
攻击防范日志支持系统日志和快速日志,缺省为系统日志。
单包攻击防范日志聚合输出
在单包攻击防范中,可以开启日志功能,使设备在检测到攻击发生时生成告警日志。但在单包攻击较为频繁的情况下,大量的日志生成与输出会占用较高的系统资源,此时可以通过开启“单包攻击防范日志聚合输出”功能,将在一定时间内,在同一个接口或安全域上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出,以降低对系统资源的占用。
黑名单日志
开启黑名单日志功能后,当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出,日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。
配置日志缓冲区和日志文件
设备可以为黑名单和攻击防范模块创建单独的日志缓冲区和日志文件,用来分别存储这些业务模块的日志。只有在基本配置页面的系统日志中开启将系统日志输出到日志缓冲区功能后,才能将各个业务模块的日志输出到各自独立的日志缓冲区和日志文件中。
日志在保存到日志文件前,先保存在日志文件缓冲区,系统将日志文件缓冲区的内容写入日志文件后,缓冲区里的内容会被清空。
日志文件有容量限制,当日志文件的大小达到设置的上限,系统会使用最新日志覆盖最旧日志。
15-带宽告警日志
16-配置日志
17-安全策略配置日志
18-心跳日志
19-IP接入日志
20-Web应用防护日志
21-带宽管理日志
22-Context限速日志
23-报表设置
报表订阅功能默认在每天业务量最低的凌晨1点到5点通过邮件向指定的报表订阅者发送报表文件,并在每月的1日发送上个月的月度报表文件。
报表订阅功能支持订阅四种类型的报表,用户可根据实际需求订阅:
· 汇总报表:可以将某时间段内流量业务以及应用安全相关业务的统计排名信息和趋势信息一次性全部导出。
· 对比报表:可以将两个时间段内的流量业务以及应用安全相关业务的统计排名信息和趋势信息进行对比。
· 智能报表:可以对某时间段内员工的工作效率、泄密风险和离职风险等情况进行分析。
· 综合报表:可以对某时间段内流量业务以及应用安全相关业务的重点数据进行抓取和分析,并综合展示设备整体运行状况和网络安全现状。
为保证成功发送报表,需要对邮件服务器进行配置。
24-会话设置
会话管理的工作原理
会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并对所有连接的状态信息进行基于会话表和关联表的统一维护和管理。
客户端向服务器发起连接请求报文的时候,系统会创建一个会话表项。该表项中记录了一个会话所对应的请求报文信息和回应报文信息,包括源IP地址/端口号、目的IP地址/端口号、传输层协议类型、应用层协议类型、会话的协议状态等。对于多通道协议(特指部分应用协议中,客户端与服务器之间需要在已有连接基础上协商新的连接来完成一个应用),会话管理还会根据协议的协商情况,创建一个或多个(由具体的应用协议决定)关联表表项,用于关联属于同一个应用的不同会话。关联表表项在多通道协议协商的过程中创建,当有报文匹配某一条关联表表项后会创建相应的子会话,完成对多通道协议的支持后即被删除。
上述会话管理的工作原理描述仅针对目的地址为单播地址的报文,对于目的地址是组播地址的报文稍有不同。组播报文到达设备后通常经由一个入接口到多个出接口进行转发,因此对于同一个应用的组播报文的连接,在入接口和多个出接口均会建立起各自的会话表项,我们称这类组播报文触发建立的会话表项为组播会话表项,以区别于单播报文触发建立的单播会话表项。若无特殊说明,本文中的会话表项不区分单播和组播类型。
在实际应用中,会话管理作为公共功能,只能实现连接状态的跟踪,并不能单独实现某一具体功能,需要与其他业务模块配合使用。
会话管理在设备上的实现
目前会话管理在设备上实现的具体功能如下:
· 支持对各协议报文创建会话、更新会话状态以及根据协议状态设置老化时间。
· 支持应用层协议的端口映射(参见“应用安全”中的“应用识别联机帮助”),允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话老化时间。
· 支持ICMP/ICMPv6差错报文的映射,可以根据ICMP/ICMPv6差错报文携带的信息查找原始的会话。
· 支持应用层协议(如FTP)的控制通道和动态数据通道的会话管理。
使用限制和注意事项
· 应用的会话老化时间仅在会话进入稳态时生效(TCP会话的稳态为TCP-EST,UDP会话的稳态为UDP-READY)。
· 会话进入稳态后,如果该会话属于设备上应用会话老化时间中的应用,则此会话的老化时间为指定的此应用会话的老化时间;否则为传输层协议状态的会话老化时间。
25-特征库升级
特性简介
特征库是用来对经过设备的应用层流量进行应用识别、URL过滤、病毒检测、入侵防御和Web应用防护的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的特征库。设备也支持特征库版本回退功能。目前,设备中存在Web应用防护特征库、入侵防御特征库、防病毒特征库、应用识别特征库和URL特征库。
特征库升级
特征库的升级包括如下几种方式:
· 定时升级:设备根据管理员设置的时间定期自动更新本地的特征库。
· 立即升级:管理员手工触发设备立即更新本地的特征库。
· 本地升级:当设备无法自动获取特征库时,需要管理员先手动获取最新的特征库,再更新设备本地的特征库。
特征库版本回退
如果管理员发现设备当前特征库对报文进行应用识别、URL过滤和检测网络攻击时,误报率较高或出现异常情况,则可以将其进行回退到出厂版本或上一版本。
配置指南
随着网络病毒攻击和应用的不断变化和发展,管理员需要及时升级设备中的特征库,同时设备也支持特征库回退功能。
定时升级
如果设备可以访问官方网站,可以采用定期自动在线升级方式来对设备上的特征库进行升级。
配置步骤
1. 选择“系统 >升级中心 > 特征库升级”。
2. 在“升级中心列表”页面,勾选目标特征库上的<开启定时升级>复选框,进入“XXX特征库定时升级配置”页面。
3. 在进入“XXX特征库定时升级配置”页面,配置特征库定时升级的时间。定时升级配置存在抖动时间(即实际自动升级开始时间的偏差范围),取值为指定的定时升级时间的前后一小时。
4. 单击<确定>,此特征库定时升级时间即可配置成功。
立即升级
当管理员发现官方网站上的特征库服务专区中的特征库有更新时,可以采用立即自动在线升级方式来及时升级特征库版本。
配置步骤
1. 选择“系统 >升级中心 > 特征库升级”。
2. 在“特征库升级”页面,单击目标特征库右边操作中的<立即升级>按钮,会弹出一个提示框,单击<确定>即可。
本地升级
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用本地升级方式,使用本地保存的特征库文件手动离线升级系统上的特征库版本。
特征库文件在不同类型设备上需要存储在不同的位置,防止因存储位置错误导致特征库升级失败。
? 特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(集中式IRF设备)
? 特征库文件只能存储在当前主控板上,否则设备升级特征库会失败。(分布式设备-独立运行模式)
? 特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(分布式设备-IRF模式)
配置步骤
1. 选择“系统 >升级中心 > 特征库升级”。
2. 在“升级中心列表”页面,单击目标特征库右边操作中的<本地升级>按钮,进入“升级特征库”页面,单击<选择文件>按钮,选择本地的特征库文件。
3. 单击<确定>,即可完成特征库升级。
配置代理服务器
当设备不能连接到官方网站时,可配置一个代理服务器使设备连接到官方网站上的特征库服务专区,进行特性库在线升级。
配置步骤
1. 选择“系统 >升级中心 > 特征库升级”。
2. 在“升级中心列表”页面,单击<配置代理服务器>按钮,进入“配置代理服务器”页面,配置代理服务器的地址、端口和登录代理服务器使用的用户名及密码。
3. 单击<确定>,即可完成代理服务器的配置。
版本回退
特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
配置步骤
1. 选择“系统 >升级中心 > 特征库升级”。
2. 在“特征库升级”页面,单击目标特征库右边操作中的<版本回退>功能,进入“回滚XXX特征库”页面。
3. 在“回滚XXX特征库”页面,选择<回滚到上一版本>或<回滚到出厂版本>。
4. 单击<确定>,即可完成特征库版本回退。
使用限制和注意事项
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响DPI业务的正常运行。
· 同一时刻只能对一个特征库进行升级。
26-软件更新
特性简介
设备软件包括Boot ROM程序和启动文件,它是设备启动、运行的必备软件,为整个设备提供支撑、管理以及丰富的业务。
当设备上存在主控板、接口板、网板和业务板时,主控板、接口板和网板的Boot ROM程序/启动软件包集成在主控板的Boot ROM程序/启动软件包中。系统在升级主控板时会自动升级接口板和网板,不会自动升级业务板。业务板使用独立的启动软件包,这个软件包会和主控板的启动软件包一起发布,需要单独升级。
Boot ROM程序
设备开机最先运行的程序是Boot ROM程序,它能够引导硬件启动、引导启动文件运行、提供Boot ROM菜单功能。
Boot ROM程序存储在设备的Boot ROM(芯片)中。完整的Boot ROM程序包含Boot ROM基本段和Boot ROM扩展段。基本段提供Boot ROM菜单的基本操作项,扩展段提供更多的Boot ROM菜单操作项。整个Boot ROM程序通过Boot包(*.bin)发布,产品会将需要升级的单板的Boot ROM程序集成到Boot包中统一发布,以降低版本维护成本。
启动文件
启动文件的分类
启动文件是用于引导设备启动的程序文件,按其功能可以分为以下几类:
· Boot文件:包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能。
· System文件:包含内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等。
· Feature文件(即特性文件):用于业务定制的程序,能够提供更丰富的业务。一个Feature文件可能包含一种或多种业务。是否支持Feature文件以及支持哪些Feature文件与设备的型号有关,请以设备的实际情况为准。
· Patch文件(即补丁文件):用来修复设备软件缺陷的程序文件。补丁文件与软件版本一一对应,补丁文件只能修复与其对应的启动文件的缺陷,不涉及功能的添加和删除。
设备必须具有Boot文件和System文件才能正常运行,Feature文件可以根据用户需要选择安装,补丁文件只在需要修复设备软件缺陷时安装。
启动文件的发布形式
启动文件有以下两种发布形式:
· BIN文件:后缀为.bin的文件。一个BIN文件就是一个启动文件。要升级的BIN文件之间版本必须兼容才能升级成功。
· IPE(Image Package Envelope,复合软件包套件)文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户使用IPE文件升级设备时,设备会自动将它解压缩成多个BIN文件,并使用这些BIN文件来升级设备,从而能够减少启动文件之间的版本管理问题。
使用限制和注意事项
· 通过版本发布说明书了解将安装的软件包是否需要License。如果需要,查看设备上是否有对应的有效的License。如果没有,请先安装License。否则,会导致软件包安装失败。
· 安装特性/补丁文件时,需要与当前设备启动文件版本一致。
· 堆叠环境下,请先卸载备板的特性文件,再卸载主板的特性文件。
· 删除正在使用的特性/补丁文件后,将导致文件不可卸载。
· 对启动文件进行操作(导入、删除、安装、卸载和设置下次启动文件)时,请不要对设备进行主备倒换。
· 当设备上存在主控板和业务板时,仅支持在主控板中导入启动文件。
管理启动文件
设备可对启动文件进行导入、删除、安装、卸载以及设置为下次启动文件。设置下次启动文件后,需要手工重启设备才可完成整个升级过程。
配置步骤
1. 选择“系统 >升级中心 > 软件更新”。
2. 单击“管理文件“按钮,进入”管理启动文件“页面,支持的功能如下:
表-1 管理启动文件
| 参数 | 说明 |
| 导入 | 导入启动文件到设备。支持导入后缀为.bin和.ipe的文件。如果导入后缀为.ipe的启动文件,设备将对该文件进行解压,以便保存解压后的.bin文件 |
| 删除 | 删除无用的启动文件 |
| 操作 | 包含如下功能: · 设置下次启动文件 · 安装特性/补丁文件 · 卸载特性/补丁文件 |
| 设置下次启动文件 | 指定设备下次启动时使用的文件。必须包含相同版本的boot文件和system文件。设置下次启动文件后,需要手工重启设备才可完成整个升级过程 |
| 安装特性/补丁文件 | 用于激活或升级特性/补丁文件。通过安装特性/补丁文件,可以实现在不中断系统运行的情况下,对系统软件进行安装。 · 设备可同时安装多个特性文件 · 如果需要安装新的补丁文件,需要先卸载旧的文件 |
| 卸载特性/补丁文件 | 当特性文件/补丁文件被卸载后,该文件将处于未激活状态,系统也将不再具备该文件提供的功能。但是文件仍然存在于存储介质上 |
立即升级
设备可将导入的启动文件设置为下次启动文件,并自动重启设备完成整个升级过程,可以采用以下两种方式立即升级。
通过ipe文件方式立即升级
配置步骤
1. 选择“系统 >升级中心 > 软件更新”。
2. 单击“立即升级“按钮,进入立即升级页面,启动文件类型选择ipe文件。
3. 单击<选择文件>按钮,选择待升级的ipe软件升级包。
4. 其他配置保持系统默认即可。
5. 单击<确定>按钮,进行软件升级。
通过bin文件方式立即升级
配置步骤
1. 选择“系统 >升级中心 > 软件更新”。
2. 单击“立即升级“按钮,进入立即升级页面,启动文件类型选择bin文件。
3. 单击<选择文件>按钮,选择待升级的boot启动文件及system启动文件。
4. (可选)如果bin文件大于磁盘剩余空间,建议勾选“自动删除当前所有启动文件”选项,删除当前所有启动文件。
5. 其他配置保持系统默认即可。
6. 单击<确定>按钮,进行软件升级。
27-License配置
特性简介
用户需要为设备购买授权码、安装License,才能使用设备上的指定特性。哪些特性需要安装License可通过License授权信息页面中的信息和设备实际支持的特性共同决定。
License的有效期
License的有效期分为:永久(Permanent)和绝对时间(Date restricted)两种。
· 永久License没有使用时间限制,永远有效。
· 绝对时间License在License指定时间之内使用有效,超出该时间范围无效。例如,2015-05-01到2015-05-30。
临时License和正式License
License根据发布渠道不同分为临时的(Trial)和正式的(Formal),License的种类以License的描述信息为准。
· 临时License授权的特性可以使用一段时间,临时License不允许迁移。请在试用期内购买正式License并安装到设备上,以便特性得到正式授权使用。
· 正式License是对特性正式授权的凭证。用户将正式License安装到设备上后,对特性进行正式授权,可以正常使用相应特性。
配置指南
通过激活文件授权
用户需要为每个位置上的硬件分别安装License。安装License的时候,必须选择位置。请为每个位置上的硬件分别购买授权码,使用这个位置上硬件的SN和DID申请激活文件,并将激活文件安装在这个位置的硬件上,该硬件才能获得授权,可以运行指定的特性。已经获得授权的硬件插入其它设备时,仍然具有同样的授权。
· 通过License配置菜单查看哪些特性需要安装License、是否已经安装License、以及已安装的License的简要信息。
· 购买授权书,获得授权码。
· 获取DID和SN。
· 根据产品类型、授权码、SN和DID文件申请激活文件。
· 通过License配置菜单的安装按钮安装激活文件,获得授权。
激活文件的授权变更
当用户已授权的设备A暂时不需要使用某特性,同时另一台未授权的设备B需要使用该特性时,请按照以下步骤,将设备A的授权迁移到设备B上,使得设备B可以正常使用该特性:
1. 登录设备A,通过License配置页签,选择需要卸载的激活文件进行卸载。
2. 通过License配置页签查看设备A的卸载码。
3. 登录设备B,获取设备B的SN和DID。
4. 根据设备B的SN、DID和设备A的卸载码申请新的激活文件。
5. 将新的激活文件安装到设备B上,设备B获得授权。
压缩License存储区
在申请License授权之前,需要确保License存储区有足够的空间来存储License的相关信息。如果License存储区的空间不足,请压缩License存储区,系统会自动将已经过期的或者卸载的License信息删除。
使用限制和注意事项
通用注意事项
· 对于一台设备,请不要多个用户同时进行License操作,以免操作失败。
· 正式License过期后不能卸载。过期后的License会一直占用License存储区。如果License存储区空间耗尽,会导致新的License安装失败。
· 压缩License存储区可以释放License存储空间。执行压缩操作时,系统会自动将已经过期的或者卸载的License信息删除,并修改DID。因此:
? 建议用户申请License前,先通过压缩页面查看可安装License的数目和已安装License的数目,申请的License数量和已安装License的数目之和不能大于可安装License的数目。
? 在压缩License存储区前,请备份卸载码,并确保使用旧DID申请的License已经安装完毕,否则,License存储区压缩后,使用旧DID申请的License将无法继续安装。
· 用户在安装License时,系统会自动搜索存储介质上是否存在该License对应的软件包,如果存在一个,则直接自动安装该软件包;如果存在多个,则直接自动安装最先搜索到的软件包。
· 用户在卸载License时,系统会自动搜索该License对应的软件包是否在运行,如果正在运行,则会直接自动卸载该软件包。
· 如果由于HTTP客户端的系统、浏览器等原因导致没有获取到激活文件,且无法重新申请激活文件时,请联系技术支持人员。
对激活文件的要求
· 用户获取到激活文件之后请妥善保存并备份,以免不慎丢失。
· 请不要打开DID文件和激活文件,以免影响文件的格式,导致文件无效。
· 请不要修改DID文件和激活文件的名称,以免影响授权。
· 请不要删除设备上处于In use或Usable状态的激活文件,以免影响对应特性的正常运行。如果误删了这样的激活文件,请手工将备份的激活文件拷贝到License文件夹下进行恢复。如果恢复激活文件后,License已处于In use状态,但某些需要该License的特性仍然不能正常使用,请重启设备来进行修复。a
