安全与VPN-COPS技术介绍-D

1、，安全与VPN-COPS技术介绍技术介绍安全和 VPN 业务目录i目 录 HYPERLINK l _bookmark0 COPS HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 COPS概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 COPS协议特点 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 COPS协议交互 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 COPS应用 HYPERLINK l

2、 _bookmark1 2技术介绍安全和 VPN 业务COPS PAGE 3COPSCOPS 概述COPS（Common Open Policy Service，公共开放策略服务）是一种简单的使用查询/响应模式的应用层协议，可用于在策略服务器和客户端之间交互策略信息。例如， 该协议可被用于对 RSVP（Resource Reservation Protocol，资源预留协议）信令消息进行策略控制，通过这种客户端查询策略/服务器响应决策的交互模式，对所有RSVP 信令消息进行集中监控和控制，实现全网层面的端到端网络资源的协商、调度和实施。同时，COPS 协议又是一种面向业务的网络管理协议，可对多

3、种网络应用业务进行策略控制，常见的应用业务包括 QoS（Quality of Service，服务质量）、网络接入、防火墙等。目前，H3C 设备可作为客户端，通过与远端的策略服务器端交互实现对802.1X 接入业务的策略控制。COPS 协议定义的通信模型中有两大实体：PDP（Policy Decision Point，策略决策者）和 PEP（Policy Enforcement Point，策略执行者）。其中，PDP 是策略服务器端，PEP 是客户端，PDP 和 PEP 通过 COPS 协议进行策略信息交互。COPS 协议特点COPS 协议中，客户端与服务器之间进行消息交互的基本方式为：PEP

4、 向 PDP 发送策略请求、策略更新或策略删除的消息，PDP 向 PEP 回应决策消息。基于该交互方式的 COPS 协议具有以下特点：使用 TCP 作为传输层协议，可以提供可靠的报文交互。具有可扩展性，不需要修改 COPS 协议本身就能支持不同类型的客户端业务。为报文传输提供安全保证，可以进行报文的认证、重发保护和完整性检查。可以利用 IPsec（IP Security，IP 安全）或者 TLS（Transport Layer Security， 传输层安全）等已有的安全机制来认证和保护 PEP 和 PDP 之间交互的报文。客户端与服务器共享请求与决策。PEP 发出的策略请求将被远端的 PDP

5、 存储直到 PEP 请求将其删除。而对于已经被 PDP 存储的策略请求，PDP 可以在接收到请求后立即产生决策（Solicited Decision），或者之后因为状态变化而异步地产生新的决策（Unsolicited Decision），PEP 会根据收到的决策报文修改本地保存的决策，以保持与 PDP 的决策的一致性。PDP 可以对 PEP 进行策略配置，并依据此策略向 PEP 下发决策，当策略不可用时 PDP 能通知 PEP 同步删除本地保存的决策。COPS 协议交互COPS 协议报文的基本交互过程如下：当 COPS 系统启动时，PEP 向 PDP 发起 TCP 连接请求，该 TCP 连接建

6、立后，PEP 和 PDP 将基于此 TCP 连接进行后续的 COPS 消息交互。TCP 连接建立之后，PEP 向PDP 发送OPN（Client-Open）消息请求建立COPS连接，该消息用于向 PDP 告知 PEP 可支持的客户类型（Client-type）。若 PDP 支持该客户端类型，则向 PEP 回应 CAT（Client-Accept）消息，否则发送 CC（Client-Close）消息。COPS 连接建立之后，PEP 与 PDP 通过互发 KA（Keep-Alive）消息来维持该 COPS 连接的连通性。PEP 向 PDP 发送 REQ（Request）消息发起针对具体业务的策略请

7、求，并启动请求超时定时器等待 PDP 回应。如果 PEP 在指定的超时时间内未收到 PDP 响应的决策，则立即删除该请求，并同时通知 PDP 删除保存的该请求。PDP 收到 PEP 的策略请求后，向 PEP 发送包含决策内容的 DEC（Decision） 消息。若 PDP 的决策未及时发送，则 PEP 将不会处理请求超时时间之后收到的相关决策。PEP 收到 PDP 决策之后，依据该决策中的策略进行业务处理，并向 PDP 发送 RPT（Report）消息通知执行结果，PDP 可以随时对决策进行更新和删除。如果 PEP 和 PDP 建立 COPS 连接时，PDP 向 PEP 指定了报告计费信息的时

8、间间隔，则 PEP 在得到请求策略的决策后需要周期性地向 PDP 发送 RPT 消息报告客户端的业务统计信息。COPS 应用目前，COPS协议可应用于 802.1X接入业务，可实现对 802.1X接入用户的授权策略控制，典型应用组网图如 HYPERLINK l _bookmark1 图 1所示。图1 COPS 支持 802.1X 业务的典型应用组网图设备启动后，根据当前的 COPS 配置与指定的 PDP 服务器建立 COPS 连接。当802.1X 接入用户认证成功并上线后，设备与 PDP 服务器的基本交互过程如下：设备作为 PEP 端向 PDP 服务器提交包含上线用户信息（用户名、主机 IP 地址、主机 MAC 地址、接入端口号等）的策略请求，请求 PDP 服务器对上线用户下发授权信息（VLAN、ACL 等）。PDP 服务器根据 PEP 上传的用户信息以及自身的策略配置，向 PEP 发送包含授权信息的决策。用户在线期间，PDP 服务器可以主动变更用户的授权属性信息。如果 PDP 服