5、h3c产品14-oaa配置指导整本手册

1、H3C S9500E 系列路由交换机OAA 配置指导杭州通信技术.cn资料版本：5W120-20101125产品版本：S9500E-CMW520-B1327Copyright 2010 杭州通信技术及其者，保留一切权利。本公司形式。，任何和个人不得擅自摘抄、本书内容的部分或全部，并不得以任何、H3Care、H3C、Aolynk、TOP G、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPo、S、ware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVi、HUASAN、为杭州通信技术利人拥有

2、。的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权由于产品版本升级或其他原因，本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信息，但是 H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不明示或暗示的担保。任何前 言H3C S9500E 系列路由交换机配置指导共分为十四本手册，介绍了 S9500E 系列路由交换机各特性的原理及其配置方法，包含原理简介、配置任务描述和配置举例。OAA 配置指导主要介绍了OAA（Open Application Arch

3、itecture，开放应用架构）的原理和相关配置。通过 OAA 技术，S9500E可融合安全、无线等多种业务功能，为用户提供前言部分包含如下内容：读者对象的解决方案。本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师：网络规划现场技术支持与负责网络配置和的网络管理员本书约定1.命令行格式约定格 式意 义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。 表示用“ ”括起来的部分在命令配置时是可选的。 x | y | . 表示从两个或多个选项中选取一个。 x | y | . 表示

4、从两个或多个选项中选取一个或者不选。 x | y | . *表示从两个或多个选项中选取多个，最少选取一个，最多选取所有选项。 x | y | . *表示从两个或多个选项中选取多个或者不选。&表示符号&前面的参数可以重复输入 1n 次。#由“#”号开始的行表示为注释行。2.图形界面格式约定3.各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：4.图标约定本书使用的图标及其含义如下：产品配套资料H3C S9500E 路由交换机的配套资料包括如下部分：大类资料名称内容介绍产品知识介绍产品彩页帮助您了解 S9500E 的主要规格参数及亮点技术白皮书帮助您了解 S9

5、500E 和特性功能，对于特色及复杂技术从细节上进行介绍单板datasheet帮助您了解 S9500E 的单板属性、特点、支持的标准等硬件描述与安装安全兼容性手册列出 S9500E 的兼容性，并对兼容性和安全的细节进行说明该图标及其相关描述文字代表一般网络设备，如路由器、交换机、等。该图标及其相关描述文字代表一般意义下的路由器，以及其他运行了路由协议的设备。该图标及其相关描述文字代表二、三层以太网交换机，以及运行了二层协议的设备。该标志后的注释需给予格外关注，不当的操作可能会对人身造成。提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。为确保设备配置成功或者正常工作而需要特别关

6、注的操作或信息。对操作内容的描述进行必要的补充和说明。配置、操作、或使用设备的技巧、小窍门。格 式意 义带尖括号“”表示按钮名，如“单击按钮”。 带方括号“ ”表示窗口名、菜单名和数据表，如“弹出新建用户窗口”。/多级菜单用“/”隔开。如文件/新建/文件夹多级菜单表示文件菜单下的新建子菜单下的文件夹菜单项。资料获取方式您可以通过H3C（）获取的产品资料：H3C与产品资料相关的主要栏目介绍如下：服务支持/文档中心：可以获取硬件安装类、升级类、配置类或类等产品资料。产品技术：可以获取产品介绍和技术介绍的文档，包括产品相关介绍、技术介绍、技术白皮书等。解决方案：可以获取解决方案类资料。服务支持/：可

7、以获取与版本配套的资料。技术支持用户支持邮箱：custom技术支持：（、固话均可拨打）：.cn大类资料名称内容介绍安装指导帮助您详细了解 S9500E 的硬件规格和安装方法，指导您对S9500E 进行安装单板手册帮助您详细了解 S9500E 单板的硬件规格H3C N68 机柜安装及改制说明书指导您如何安装 N68 机柜及改制 N68 机柜H3C可插拔SFPSFP+XFP 模块安装指南帮助您掌握SFP/SFP+/XFP 模块的正确安装方法，避免因操作不当而造成器件损坏H3C 高端网络产品 可插拔模块手册帮助您了解 H3C 高端网络产品支持的可插拔模块类型、外观和规格业务配置配置指导帮助您掌握 S

8、9500E功能的配置方法及配置步骤命令参考详细介绍S9500E令，相当于命令字典，方便您查阅各个命令的功能运行日志手册对 S9500E 的系统日志（System Log）消息进行介绍，主要用于指导您理解相关信息的含义，并的操作告警手册对 S9500E 的告警（Trap）消息进行介绍，主要用于指导您理解相关信息的含义，并的操作MIB Companion与版本配套的 MIB Companion版本说明书帮助您了解 S9500E 产品版本的相关信息（包括：版本配套说明、兼容性说明、特性变更说明、技术支持信息）及 升级方法错误码查询手册提供 QoS 中各个错误码对应的具体错误说明，供您定位问题时查询参

9、考资料意见反馈如果您在使用过程中发现产品资料的任何问题，可以通过以下方式反馈：感谢您的反馈，让做得更好！目 录OAP单板配置1-1OAP单板简介1-1登录OAP单板的操作系统1-1通过OAP的Console口登录1-1通过OAP的管理以太网口以SSH方式登录1-21.2.3 通过OAP单板以太网口以SSH方式登录1-21.2.4 从设备侧重定向到OAP单板1-2配置OAP单板的管理IP地址1-3复位OAP单板系统1-3i11.1OAP 单板配置OAP 单板简介OAA（Open Application Architecture，开放应用架构）是一个开放的软硬件体系。H3C 的 OAA技术以 H3

10、C 设备为基础，提供了一套完整的软、硬件标准接口。第合作厂商可以根据自己的优势生产具有特殊功能的产品，只要这些产品遵循 OAA 标准接口，就可以与 H3C 的设备互相兼容，使单一网络产品的功能得到扩充，为客户创造更大的价值。OAP（Open Application Platform，开放应用）是基于 OAA 架构的物理。它可以是一台独立的网络设备，也可以是一块插卡，作为设备扩展。把这种插卡形式的 OAP 称为 OAP单板。OAP 单板上运行独立的操作系统，客户可根据需要在该操作系统下加载安全、语音等业务，为客户提供多样化的服务。同时，OAP 单板备进行数据交互、状态交互以及控制交互。设备的扩展

11、插槽，通过业务接口与设表1-1 S9500E OAP 单板列表1.2登录 OAP 单板的操作系统本手册仅介绍交换机侧与OAP 单板相关的操作，涉及 OAP 单板侧的具体操作请参见对应OAP单板资料。SSH 方式登录 OAP 单板的操作，请参见“安全配置指导”中的“SSH2.0”。1.2.1 通过 OAP 的 Console 口登录通过 OAP 单板上的 Console 口可以直接登录单板的操作系统。以一台 PC 作为终端为例：(1)(2)将 PC 串口通过配置电缆与 OAP 的 Console 口相连；打开 PC，并在 PC 上运行终端仿真程序（如超级终端）。选择连接方式为 COM，并设置终端

12、参数，要求与设备 Console 用户界面下的相关参数配置一致，在设备使用参数缺省值时，终端参数为：波特率为 9600，数据位为 8，奇偶校验为无，停止位为 1，流量控制为无。配置完成后，即可通过 PC 上的终端仿真程序登录 OAP 单板的操作系统。1-1单板型号单板类型LSR1FW2A1业务板LSR1IPS1A1千兆防御系统模块LSR1WCM2A1无线控制器业务板LSR1NSM1A1NetStream 业务板LSR1LB1A1负载均衡业务板LSR1ACG1A1应用控制网关业务板模块1.2.2 通过 OAP 的管理以太网口以 SSH 方式登录通过 OAP 单板上的管理以太网口以 SSH 方式登

13、录 OAP 单板的操作系统，OAP 单板作为 SSH服务器，配置步骤如下：(1)(2)(3)通过 Console 口登录 OAP 单板，开启 OAP 单板的 SSH 服务器功能。用网线将 OAP 单板的管理以太网口接入网络。给 OAP 单板的管理以太网口配置 IP 地址，并确保 SSH 客户端（可以是 H3C 设备或者装有SSH 客户端的 PC）和管理以太网口之间路由可达。(4)建立 SSH 连接，输入 OAP 管理以太网口的 IP 地址作为 SSH 服务器地址，连接成功后即可登录单板的操作系统。1.2.3通过 OAP 单板以太网口以 SSH 方式登录OAP 单板安装到设备的扩展插槽后，通过两

14、个的业务口与设备进行信息交互。一个是串口，一个是以太网口，这种登录方式用到的就是以太网口。通过 OAP 单板以太网口以 SSH 方式登录 OAP 单板的操作系统，OAP 单板作为 SSH 服务器，配置步骤如下：(1)(2)(3)(4)(5)通过 Console 口登录 OAP 单板，开启 OAP 单板的 SSH 服务器功能。给 OAP 单板的快速以太网口配置 IP 地址。用网线将 PC 和设备上的以太网口连接起来。确保 PC 与业务口中的快速以太网口之间路由可达。在PC 上使用SSH 客户端功能输入OAP 单板的快速以太网口的IP 地址作为SSH 服务器地址，连接成功后即可登录单板的操作系统。

15、1.2.4从设备侧重定向到 OAP 单板从设备侧通过以下操作可以重定向连接到单板的操作系统，显示界面将从设备切换到 OAP 单板操作系统的操作界面，从而可以对 OAP 单板上的系统及应用令行操作界面进行管理。切换以后，可以通过快捷键返回到设备令行操作界面。表1-2 从设备侧重定向到OAP 单板通过 oap connect 命令登录 OAP 单板之前，首先需要通过 OAP 上的 Console 口对设备的AUX口基本配置，允许设备登录 OAP 单板。LSR1ACG1A1 和 LSR1IPS1A1 单板不支持通过 oap connect 命令从设备侧重定向连接到OAP 单板的操作系统。1-2操作命

16、令说明从设备侧重定向到OAP 单板（独立运行模式）oap connect slot slot-number必选该操作在用户视图下执行从设备侧重定向到OAP 单板（IRF模式）oap connect chassis chassis-numberslot slot-number必选该操作在用户视图下执行1.3配置 OAP 单板的管理 IP 地址在 OAA 架构中，设备主体和 OAP 单板集成在一个框架内，作为一台设备协同工作。然而，对于基于 snmp UDP的网络管理服务器（NMS）来说，设备主体和 OAP 单板分别是独立的SNMP Agent。从物理角度看，两个 SNMP Agent 在同一被管

17、理对象上；从逻辑角度看，两个 SNMPAgent 分属于两个不同的系统，各自独立管理本设备/单板上的 MIB 对象。当使用 NMS 对设备主体和 OAP 单板在同一界面进行管理时，必须先获取各个独立 SNMP Agent 的管理 IP 地址以及SNMP Agent 之间的关系，才能SNMP Agent。但是缺省情况下，OAP 单板并没有配置管理 IP 地址，所以需要通过以下步骤来进行配置。表1-3 设置OAP 单板管理IP 地址配置 OAP 单板的管理 IP 地址前，必须在 OAP 单板侧配置相同的 IP 地址，否则，NMS 不能通过该管理 IP 地址OAP 单板。在 OAP 单板侧的操作，请

18、参见对应 OAP 单板资料。1.4复位 OAP 单板系统在操作系统出现故障或其他异常情况下，可以通过下面令复位 OAP 单板系统，使得 OAP 单板再次上电启动。该操作相当于使用 OAP 单板上的复位按钮进行硬件复位 OAP 单板。OAP 单板有独立的操作系统，复位 OAP 单板系统，设备侧仍然可以对 OAP 单板进行识别和控制。表1-4 复位OAP 单板系统1-3操作命令说明复位OAP 单板系立运行模式）oap reboot slot slot-number必选该操作在用户视图下执行复位OAP 单板系统（IRF模式）oap reboot chassis chassis-number slot

19、slot-number必选该操作在用户视图下执行操作命令说明进入系统视图system-view-配置OAP 单板的管理IP 地址（独立运行模式）oap management-ip ip-address slotslot-number必选缺省情况下，OAP 单板没有配置管理IP 地址配置OAP 单板的管理IP 地址（IRF 模式）oap management-ip ip-address chassischassis-number slot slot-number必选缺省情况下，OAP 单板没有配置管理IP 地址复位操作可能会造成数据丢失以及业务中止，因此执行此操作请前先保存操作 OAP 单板系统

20、的业务数据，并对 OAP 单板操作系统执行关机操作，以免业务中止及数据丢失等情况发生。在 OAP 单板侧的操作，请参见对应 OAP 单板资料。1-4目 录ACFP配置1-1ACFP简介1-1ACFP体系结构1-1ACFP联动1-1ACFP管理1-2ACFP信息概述1-2ACFP使用说明1-5ACFP配置任务简介1-5配置ACFP server1-5配置内联以太网接口工作模式1-6开启ACFP Trap功能1-61.6 ACFP显示和. 1-71.7 ACFP典型配置举例1-8i11.1ACFP 配置ACFP 简介数据通信的基础网络主要由路由器和交换机组成，由这些设备完成数据报文的转发。随着数据

21、网络的逐步发展，数据网络上运行的业务越来越多，但是传统的路由器、交换机并不适合处理很多新务，因此产生了一些专门处理某些业务的产品，如、IDS（ ruDetection System，检测系统）、IPS（ ru等产品。Prevention System，抵御系统）等安全产品及语音、无线为了更好地支撑新务，传统网络设备（这里指路由器、交换机）生产厂家纷纷推出多种业务板（卡），或者提供一套软硬件接口，允许其他厂家提供板（卡）或者设备的硬件或，或连接到传统网络设备上，协作处理这些业务，从而能发挥各厂家在各自领域的优势，更有务，同时减少用户投资。OAA（Open Application Architec

22、ture，开放应用架构）效地支撑新就是基于该而开放业务架构，它能够让众多不同厂商生产的设备和集成在一起，象一台设备那样工作，为客户提供的解决方案。ACFP（Application Control Forwarding Protocol，应用控制转发协议）是基于 OAA 架构设计的应用控制转发协议。例如，联动的 IPS/IDS 卡或者 IPS/IDS 设备作为 ACFP 客户端，上面运行其他厂家的，支撑 IPS/IDS 业务。路由器或交换机收到 IP 报文后，通过匹配 ACFP 的联动策略规则，将报文镜像或重定向给 ACFP 客户端，ACFP 客户端上的对报、检测等业务处理，然后根据、检测的结果

23、，再通过联动 MIB（Management Information Base，管理信息库）反馈给路由器或交换机，指示路由器或交换机做出相应处理（如过滤某些报文）。1.1.1ACFP 体系结构图1-1 ACFP 体系结构示意图如 图 1-1所示，ACFP体系可以分成三部分：路由交换：是路由器和交换机的主体部分，这部分有着完整的路由器或交换机的功能，也是用户管理控制的，此部分称为 ACFP server；独立业务：是可以开放给第合作开发的主体，主要用来提供各种独特的业务服务功能，此部分称为 ACFP cnt；接口连接：是路由交换和独立业务的接口连接体，通过这个将两个不同厂商的设备连接在一起，以形成

24、一个整体。1.1.2ACFP 联动ACFP 联动就是指独立业务可以向路由交换发指令，改变路由交换的功能。联动功能主要是通过 SNMP 协议实现的：独立业务仿照系统的功能，向路由交换发送各种1-1SNMP 命令；而路由交换上支持 SNMP Agent 功能，可以执行收到的这些命令。在这个过程中，联系双方的关键就是联动的 MIB。1.1.3ACFP 管理ACFP 联动提供了一套机制，使得 ACFP cnt 能够控制 ACFP server 上的流量，包括：将 ACFP server 上的流量镜像、重定向到 ACFP cnt；允许、ACFP server 上的流量通过；对 ACFP server 上

25、的流量进行限速；在报文中携带上下文 ID，通过上下文 ID 使得 ACFP server 和 ACFP cnt 能互通报文上下文环境。具体过程如下：ACFP server 中一个上下文表，通过上下文 ID 查询上下文表，每个上下文 ID 对应一个 ACFP 联动策略（联动策略的内容包括报文入接口、报文出接口、联动规则等信息）。当 ACFP server 收到的报文由于匹配某个联动规则而被重定向或镜像到 ACFP cnt文中会携带该联动规则所在联动策略对应的上下文 ID；当被重定向的报文从 ACFP cnt 返回文中也会携带该上下文 ID，通过上下文 ID，ACFP server就知道该报文是重

26、定向返回的报文，然后进行正常的转发处理。为便于 ACFP cnt 更好地控制流量，联动内容中设置联动策略与联动规则两级组织，基于策略管理匹配规则的流量，达到一种弹性管理的目的。为有效支撑 Cnt/Server 这种联动模式，细粒度、弹性地设置各种规则，联动内容分成四块组织：ACFP server 信息、ACFP cnt 信息、ACFP 联动策略、ACFP 联动规则。这四块内容ACFP server 中。在由于一个 ACFP server 可以支持多个 ACFP cnt，因此，ACFP cnt 信息、ACFP 联动策略、ACFP 联动规则都是以表的形式组织的。ACFP server 信息由 AC

27、FP server 自己生成，ACFP cnt 信息、ACFP 联动策略、ACFP 联动规则都是由 ACFP cnt 生成并通过联动 MIB 或联动协议发送到 ACFP server。1.1.4ACFP 信息概述1. ACFP server 信息ACFP server 信息包含的内容及其含义如下：所能支持的工作模式：分为主机、镜像和重定向四种。ACFP server 可以同时支持其中的多种工作模式。只有当 ACFP server 所支持的工作模式包含ACFP cnt 的工作模式时，这两个主体才能进行联动。联动策略的最长有效期：说明了 ACFP server 的联动策略所能存活的最长时间。的持久

28、性：说明了 ACFP server 是否具备联动策略保存联动策略的要指ACFP server 重新启动后还能否保有原来的联动策略。当前所支持的上下文 ID 的类型：设备使用 HGPlus-context（使用加强版 HG 前导码作为上下文 ID）作为上下文 ID。上述这些信息表明了一个 ACFP server 的联动能力，各 ACFP cnt 可通过联动协议、联动 MIB的途径来获取这些信息。1-22. ACFP cnt 信息ACFP cnt 信息包含的内容及其含义如下：ACFP cnt ID：ACFP cnt 的标识，可以通过联动协议由 ACFP server 分配，也可以由网络管理员指定，

29、目的都是要确保各 ACFP cnt 在 ACFP server 中 cnt ID 的唯一性。描述：ACFP cnt 的描述信息。硬件版本：ACFP cnt 的硬件类别及版本号等信息。操作系统版本：ACFP cnt 的系统名称及版本号等信息。应用版本：ACFP cnt 的应用类别名称及其版本号等信息。IP 地址：ACFP cnt 的 IP 地址。支持的工作模式：ACFP cnt 当前所能支持的工作模式，指主机、些模式的组合。、镜像、重定向这3. ACFP 联动策略ACFP 联动策略指 ACFP cnt 发送给 ACFP server 所要实施的联动策略，策略信息包含的内容及其含义如下：ACFP

30、cnt ID：ACFP cnt 的标识。策略号：策略的标识。策略入接口：报文进入 ACFP server 的接口。策略出接口：报文被正常转发的出接口。策略目的接口：ACFP server 连接该 ACFP cnt 的接口。报文上下文 ID：会在镜像或重定向报文给 ACFP cnt 时用到。当发送的策略指定了连接 ACFP cnt 的接口时，由 ACFP server 为该策略分配一个全局的序号，即报文上下文 ID，每个上下文 ID 对应一个 ACFP 联动策略。策略管理状态：表示该策略是否允许生效。策略有效期：表示该策略有效的期限，借此来控制策略下的所有规则有效期限。策略开始时间：表示该策略生

31、效的起始时间，的所有规则。为每天的时、分、秒，借此来控制策略下策略结束时间：表示该策略生效的结束时间，的所有规则。为每天的时、分、秒，借此来控制策略下策略目的接口 down 时，该策略下所有规则处理动作：对于转发优先设备，在目的接口 down后希望重定向和镜像的报文继续转发，此时选择 delete 动作；对于安全优先设备，在目的接口 down 后希望重定向和镜像的报文直接丢弃，此时选择 reserve 动作。策略优先级：表示该策略的优先级，用数字 18 表示，数字越大，优先级越高。4. ACFP 联动规则ACFP 联动规则指 ACFP cnt 发送给 ACFP server 所要实施的联动规则

32、，联动规则可以分为 3类：规则：即将哪些报文递给 ACFP cnt 做目前有重定向、镜像。分析及业务处理。该规则对应的动作类型1-3过滤规则：即明确哪些报文被丢弃、哪些报文允许通过。该规则对应的动作类型有丢弃、通过。限制规则：即明确哪些报文将被限速。该规则对应的动作类型为限速。规则信息包含的内容及其含义如下：ACFP cnt ID：ACFP cnt 的标识；策略号：策略的标识；规则号：规则的标识；规则操作状态：表示规则是否应用成功；动作类型：包括镜像、重定向、丢弃、通过和限速 5 种动作；是否匹配所有报文：表示该规则是否要匹配所有的报文，如果是的话，则不需要进行下面的匹配；源 MAC 地址；

33、目的 MAC 地址；起始 VLAN ID；结束 VLAN ID； IP 中的协议号；源 IP 地址；源 IP 地址反掩码；源端操作符：类型为等于、不等于、大于、小于、之间，只有类型为之间时，下面的结束源端才有意义，标识所匹配的报文的源端口应该大于起始源端而小于结束源端口号；起始源端；结束源端；目的 IP 地址；目的 IP 地址反掩码；目的端操作符：类型为等于、不等于、大于、小于、之间，只有类型为之间时，下面的结束目的端束目的端才有意义，标识所匹配的报文的目的端口应该大于起始目的端；而小于结起始目的端结束目的端；报文的协议类型：包括 GRE、ICMP、IGMPF、TCP、UDP、IP 等；IP

34、优先级：报文优先级，用数字表示，取值范围为 07； IP ToS：IP 报文的服务类型；IP DSCP：IP 报文的差分服务编码点；TCP 标志：表示关心 TCP 六个标志位（URG、ACK、PSH、RST、SYN 和 FIN）中的某些位；IP 分片：是否是 IP 分片报文；限制速率。1-4联动规则隶属于联动策略，通过联动策略可以管理策略下的规则。1.1.5ACFP 使用说明缺省情况下，OAA 单板的内联端口处于 Down 状态，在对内联端口进行配置之前，请使用 undoshutdown 命令使这些端口处于 UP 状态。ACFP 不支持策略路由业务和 Netstream 业务。ACFP 重定向

35、的报文处理和普通的 ACL 规则互斥，重定向到 ACFP cnt 后返回的报文不进行 QoS 动作处理。ACFP 不支持将同一个流镜像或重定向到多个 ACFP cnt。ACFP 只支持针对二层以太网接口下发策略。ACFP 不支持针对接口的下发策略。使能 ACFP Server 时，内联接口不能作为端口镜像的源端口。LSR1IPS1A1 和 LSR1ACG1A1 单板使能 ACFP Server 时，必须配置内联接口的连接模式为 extend，且内联接口必须配置成 Trunk 口。内联接口的 PVID 不能设置成管理 VLAN 的 VLAN ID。LSR1IPS1A1 和 LSR1ACG1A1

36、单板内联接口的连接模式为 extend 时，不能将用户业务VLAN 和管理 VLAN 规划成相同的 VLAN。设备在 IRF 模式下，LSR1IPS1A1 和 LSR1ACG1A1 单板不支持 ACFP 动态。1.2ACFP 配置任务简介表1-1 ACFP 配置任务简介1.3配置ACFP server表1-2 配置 ACFP server1-5操作命令说明进入系统视图system-view-使能 ACFP server 功能acfp server enable必选缺省情况下，ACFP server 功能处于关闭状态配置任务说明详细配置配置 ACFP server必选1.3配置内联以太网接口工作

37、模式可选1.4开启ACFP Trap 功能可选1.51.4配置内联以太网接口工作模式OAP单板中集成了两块插板，分别为前插板和后插板。前插板主要用于实现安全增值业务（如：、防御、应用控制等），后插板主要用于前插板和交换机的。内联端口是OAP单板中前插板和后插板之间进行数据通信的一个虚拟接口。如 图 1-2所示：图1-2 内联端口示意图在 OAP 单板上配置 ACFP 时，必须将 OAP 单板的内联接口连接模式配置为扩展连接（extend）模式，才能够实现交换机和 OAP 单板间的正常通信。表1-3 配置内联以太网接口工作模式仅在 LSR1IPS1A1 和 LSR1ACG1A1 单板的内联以太网

38、接口上支持端口工作模式切换功能。关于 port connection-mode 命令的详细介绍请参见“接口管理命令参的“以太网接口”。1.5开启ACFP Trap 功能为确保 ACFP 功能正常运行，必须允许设备发送 ACFP 模块的 Trap 报文。开启ACFP模块的Trap功能后，该模块会生成Trap报文，用于报文对应的级别如 表 1-4所示。该模块的重要事件。ACFP Trap表1-4 ACFP Trap 报文对应的级别上下文ID 类型改变notifications1-6Trap 报文级别操作命令说明进入系统视图system-view-进入以太网接口视图erfaceerface-type

39、erface-number必选设置内联口以太网接口的工作模式port connection-mode extend | normal 可选缺省情况下，以太网接口工作在正常模式ACFP c ntnotificationsACFP c nt 注销notificationsACSEI 协议检测到 ACFP cnt 没有响应warningsACFP server 不支持 ACFP cnt 的工作模式errorsACFP 联动策略的有效期改变notificationsACFP 联动规则创建informationalACFP 联动规则删除informationalACFP 联动规则发生错误errorsAC

40、FP 联动策略的有效期超时notifications生成的 Trap 报文将被发送到设备的信息中心，通过设置信息中心的参数，最终决定 Trap 报文的输出规则（即是否允许输出以及输出方向）。（有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。）表1-5 开启ACFP Trap 功能有关 snmp-agent tr“SNMP”。nable 命令的详细介绍，请参见“网络管理和命令参的1.6 ACFP 显示和在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 ACFP 的运行情况，通过查看显示信息验证配置的效果。表1-6 ACFP 显示和查看 ACFP se

41、rver 信息display acfp server-infodisplay acfp cnt-info c nt-id 查看 ACFP c nt 信息display acfp policy-info c nt c nt-id policy-index | dest-erfaceerface-typeerface-number | global | in-erfaceerface-type查看ACFP 策略信息erface-number | out-erfaceerface-typeerface-number active |inactive display acfp rule-info gl

42、obal | in-erface erface-type查看ACFP 规则信息erface-number | out-erface erface-typeerface-number | policy c nt-id policy-index 1-7操作命令操作命令说明进入系统视图system-view-开启ACFP 模块的Trap 功能snmp-agent trnable acfp cnt |policy | rule | server 可选缺省情况下，ACFP 模块的Trap 功能处于开启状态Trap 报文级别查看ACFP Trap 的配置情况display snmp-agent trap-

43、list1.7ACFP 典型配置举例缺省情况下，以太网接口、VLAN 接口及聚合接口处于 DOWN 状态。如果要对这些接口进行配置，请先使用 undo shutdown 命令使这些接口处于 UP。1. 组网需求某企业网通过 Device 实现的互连，该 Device 为 ACFP server；ACFP cnt 与 Device 通过内联口 Ten-GigabitEthernet4/0/1 相连，并控制 Device 上的流量，分析入接口为 XGE 4/0/1 的流量。ACFP cnt 经过分析后，允许入接口为GigabitEthernet 5/0/23 、源 IP 为

44、/24 的所有报文通过， 并GigabitEthernet 5/0/23、源 IP 为 /24 的所有报文通过。2. 组网图图1-3 ACFP 典型配置组网图入接口为ACFP c ntXGE4/0/1GE5/0/23DeviceGE5/0/24ACFP serverHost A/24Host B/24Host C/24Host D/243. 配置步骤(1)配置 Device# 使能 ACFP server 功能。 DeviceDevicesystem-viewacfp server e

45、nable acsei server enable# 配置内联口管理 VLAN 的 VLAN 接口 IP。Device vlan 4094Device-vlan4094erfacevlan 4094 undo shutdownip address 24quitDevice-Vlan- Device-Vlan-Device-Vlan-erface4094 erface4094erface4094# 配置内联口为扩展模式，且MAC 地址学习。1-8操作命令Deviceerface Ten-GigabitEthernet4/0/1 shutdownlink-type trunkt

46、runk permit vlan 4094Device-Ten-GigabitEthernet4/0/1 Device-Ten-GigabitEthernet4/0/1 Device-Ten-GigabitEthernet4/0/1 Device-Ten-GigabitEthernet4/0/1 Device-Ten-GigabitEthernet4/0/1 Device-Ten-GigabitEthernet4/0/1# 配置 SNMP 参数。undoport portmac-address max-mac-count 0 port connection-mode extendquitDev

47、ice Device Device DeviceDevicesnmp-agent snmp-agent snmp-agent snmp-agentsnmp-agentsys-info group v3 mib-viewusm-userverallv3group_no read-view iso write-view included iso isov3 v3user_no v3group_noiso# 确认 MIB style 为 new 风格，若不是，修改后重启系统。Device mib-style new# 配置用户的业务 VLAN。Device vlan 100Device-vlan10

48、0 port GigabitEthernet 5/0/23 Device vlan 101Device-vlan101 port GigabitEthernet 5/0/24Deviceerface Vlan-erface 100 undo shutdownip address 54 24erface 101 undo shutdownip address 54 24Device-Vlan-Device-Vlan-erface100erface100Deviceerface Vlan-Device-Vlan-Device-Vlan-erface101

49、erface101(2)LST1ACG1A1 单板（以下简称 ACG 单板）基本配置# 从 ACG 单板的 Console 口登录 ACG 单板的操作系统，输入“H3C”。Password:H3C# 进入系统视图。 system-view# 配置 ACG 单板口 IP 地址，使得 PC 与 ACG 单板的口之间路由可达。ACG ACG-ifACG-iferface meth0/1ip address 4 undo shutdown24# 在 PC 上打开 IE，输入都是“admin”。，用户名和1-9图1-4 WEB 登录界面配置ACFP cnt：#在导航栏中选择“系统管

50、理 网络管理 ACFP C选择“使能 ACFP Cnt”。选择 Server SNMP 版本为“SNMPv3”。输入 Server 安全用户名为“v3user_no”。输入 Server IP 地址为“”。输入 Cnt IP 地址为“”。输入子网掩码为“24”。输入 VLAN ID 地址为“4094”。单击按钮完成操作。单击按钮进行连通性测试。nt配置”，进入 图 1-5所示的页面。图1-5 配置 ACFP C nt# 创建“inbound”安全区域：在导航栏中选择“系统管理 网络管理 安全区域”，单击按钮，进入 图1-6所示的页面。输入安全区称为“inbo

51、und”。1-10选择接口名为“GigabitEthernet5/0/23”，单击“添加”按钮将其添加到接口名列表框中。输入 VLAN ID 为“100” ，单击“添加”按钮将其添加到接口名列表框中。单击按钮完成操作。图1-6 创建安全区域inbound# 创建“outbound”安全区域：单击按钮，进入 图 1-7所示的页面。输入安全区称为“outbound”。选择接口名为“GigabitEthernet5/0/24”，单击“添加”按钮将其添加到接口名列表框中。输入 VLAN ID 为“101” ，单击“添加”按钮将其添加到接口名列表框中。单击按钮完成操作。图1-7 创建安全区域outbou

52、nd# 创建段 10：在导航栏中选择“系统管理 网络管理 段配置”，单击按钮，进入 图 1-8 所示的页面。选择段为“10”。选择域为“inbound”。选择外部域为“outbound”。单击按钮完成操作。1-11图1-8 段配置# 配置域的 ACFP 联动策略和联动规则：在导航栏中选择“系统管理 网络管理 ACFP联动策略”，单击按钮，进入 图 1-9所示的页面。输入策略描述为“t1”。选择源接口为“GigabitEthernet5/0/23”。选择使能状态为“使能”。选择优先级为“0”。图1-9 配置ACFP 联动策略# 创建规则 1：在“规则配置”中单击按钮，在弹出的创建规则页面进行如下

53、配置，如 图 1-10所示。选择匹配类型为“指定报文”。选择协议为“全部”。输入源 IP 地址为“”.输入源 IP 地址掩码为“32”。单击按钮完成设置。# 创建规则 2：在“规则配置”中单击按钮，在弹出的创建规则页面进行如下配置，如 图 1-11所示。选择匹配类型为“指定报文”。选择协议为“全部”。输入源 IP 地址为“”.输入源 IP 地址掩码为“32”。单击按钮完成设置。1-12图1-10 创建ACFP 规则 1图1-11 创建ACFP 规则 2# 配置 ACFP 过滤规则 1：在导航栏中选择“带宽管理 策略管理”，单击按钮，进行如下配置，如

54、图1-12所示。图1-12 创建带宽管理策略 1在“创建策略”表单，输入名称为“user1”。选择策略工作模式为“组模式”。在“规则配置”表单，选择 Default 规则配置的动作集为“Permit”。单击“策略应用范围”表单中的按钮，为该策略新添加一条应用范围，列表中将新增一条表项，如 图 1-13所示。1-13图1-13 策略应用范围单击图标，弹出相应表项的高级配置页面，如 图 1-14所示。图1-14 策略应用范围高级配置 1选择段为“10”。选择管理区域为“域”。在域 IP 地址列表中添加 IP 地址为“/32”。单击按钮完成设置。完成上述设置后在“创建策略应用”

55、页面中单击按钮完成操作，如 图 1-12所示。# 配置 ACFP 过滤规则 2：在导航栏中选择“带宽管理 策略管理”，单击按钮，进行如下配置，如 图1-15所示。1-14图1-15 创建带宽管理策略 2在“创建策略”表单，输入名称为“user2”。选择策略工作模式为“组模式”。在“规则配置”表单，选择 Default 规则配置的动作集为“Block”。单击“策略应用范围”表单中的按钮，为该策略新添加一条应用范围，列表中将新增一条表项，如 图 1-13所示。单击图标，弹出相应表项的高级配置页面，如 图 1-16所示。图1-16 策略应用范围高级配置 2选择段为“10”。选择管理区域为“域”。在域

56、 IP 地址列表中添加 IP 地址为“/32”。单击按钮完成设置。完成上述设置后在“创建策略应用”页面中单击按钮完成操作，如 图 1-15所示。# 激活配置1-15完成上述配置后，页面跳转到带宽管理的策略应用显示页面，如 图 1-17所示。单击按钮，弹出确认框。在确认框中单击按钮后，将配置激活。图1-17 激活配置(3)使用验证配置效果命令验证 Host A 与 Host C、以及 Host B 与 Host C 的连通性。表明：Host A与 Host C 可以互通，Host B 与 Host C 则无法互通。1-16目 录ACSEI配置1-1ACSEI简介1-1ACS

57、EI的功能1-1ACSEI定时器1-1ACSEI的启动和运行过程1-2配置ACSEI Server.1-2使能ACSEI Server1-2配置时钟同步定时器1-21.2.3 配置定时器1-31.2.4 重新启动ACSEI C nt1-31.2.5 ACSEI Server显示和. 1-3i11.1ACSEI 配置ACSEI 简介ACSEI 是私有协议A method for exchanging information betn ACFP Cnt and ACFP Server的简称，它为 ACFP Server 和 C nt 提供了一种交互信息的方法，可以为 ACFP（Applicatio

58、n Control Forwarding Protocol，应用控制转发协议）联动提供很好的支撑，保障 ACFP C nt 与 ACFP Server 之间有效交互信息、协作运行某种业务。作为 ACFP 的支撑协议，ACSEI 定义了 Server 和 C nt 两种实体。ACSEI Server 集成在设备系统中，是设备支持的一项功能。ACSEI Cnt 集成在 OAP（Open Application Platform，开放应用中，是 OAP 单板支持的一项功能。）单板的系统当ACFP 是基于 OAA（Open Application Architecture，开放应用架构）架构设计的应用控制转发协议。OAP（Open Application Platform，开放应用）是针对新务提供的一个开放式应用。OAP 单板上运行操作系统，根据客户需要可加载安全、语音等业务，为客户提供多样化的服务。有关 OAP 单板的详细介绍请参见“OAA 配置指导”中的“OAP 单板”。ACSEI 一般是跟 QoS 策略（重定向或镜像）配合使用：在使能 ACSEI 协议时，如果 IPS/ACG插卡故