应用场景:

          某学校(政府、企业)网络中已部署ACE设备,现希望通过明细的报表对网络流量进行分析。为响应新网络安全法,需要记录下面用户的会话日志和HTTP日志,通过使用MS SQL日志数据库服务器存储日志。

            虽然采用透明模式部署,虽然串联接入的好处是结构清晰,但是如果设备硬件无法自动bypass的话会面临宕机网络中断的风险,只有旁路在不改变网络的拓扑结构的情况下可实现桥模式的基本功能,并且当设备宕机的时候不影响网络。 此应用场景ACE只作为流量分析设备,不对流量进行控制,因此ACE设置为旁挂模式对流量进行分析,同时实现网桥部署时候日志记录功能。只需将到核心交换机的流量的上行映射到RG-ACE的INT口上,下行映射到RG-ACE的EXT口上。部署过程中需要保证ACE和APM(H)设备之间的网络必须连通。

   

功能原理:

          RG-ACE以DPI技术和DFI技术为核心,通过带宽管理设备中的智能分类引擎,结合基于应用特征字(签名)及基于行为启发式的技术,实现网络中应用的自动识别和智能分类。通过采用DPI技术和DFI技术,ACE可以探测和跟踪动态端口分配,通过比对协议的特征库,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别。集中式管理的三层体系结构,其中带宽管理设备作为最核心的设备,负责主要的计算和处理工作;管理服务器作为整体ACE的枢纽,负责对ACE的管理以及数据的分析和存储;客户端作为配置管理的终端,负责ACE的配置管理及日常运维工作。三个层次各司其职,又相互关联,达到最佳的可用性和稳定性。

            其中DPI是基于数据包的特性字段的值来检测数据包的应用协议的。相对比较准确,但部分加密的流量无法识别。DFI是基于数据包的一些交互特性来识别的,比如一些协议先发一个小包,然后再发几个大包,通过这些特性来识别。这种识别方法相比不太准确,作为DPI的补充。开启DPI可以识别网络中的各种应用和其所占的流量,ACE可以根据策略,控制网段内的总体流量和每个用户的流量,同时还可以控制7层应用程序协议的总带宽和每用户的带宽,从而阻止某些应用对带宽资源的非正常消耗,保证关键应用带宽。

            日志联动原理:

            ACE记录设备新建的每条会话源IP、目的IP、源端口、目的端口和协议,通过对数据库初始化,从APM接受ACE产生的HTTP日志,阻断日志及IM上下线日志,存储在日志数据库里;HTTP日志是通过ACE应用识别出的http-browse从而记录URL相关信息,通过日志形式发送给APM。    

一、组网需求    

        ACE设置为旁路模式,此时新增的APM采用旁路的形式部署在网络当中,负责接收ACE发送的HTTP日志和IM上下线日志。此时需要保证ACE和APM之间的网络必须连通。

       注:本案例使用ACE1000 版本:2.8.27-alpha16进行测试。实施过程中都建议将ACE V3.0设备的软件版本都升级到最新的大面积部署版本2.8.27-alpha16;

       需要的产品列表:

   

产品名称        

支持的版本        

ACE

APM(H)        

firmware2.8.27,服务器版本v3.1.36.001_ruijie_20110503

Version 2.2(硬件版本)        

     

     

二、网络拓扑

   

三、配置要点    

       1.完成APM(H)设备初始化,APM(H)设备连接,ACE与APM成功联通后,从客户端进入APM管理界面进行基本配置

       2.APM(H)日志功能设置,添加ACEV3.0设备,使能日志功能配置

                

   

四、配置步骤    

1.完成APM(H)设备初始化(配置步骤参见APM(H)初始化

       

2.APM(H)日志功能设置

   

 1)ACE设备初始化配置确认

 步骤一.确认设备license有效

登陆ACE的管理中心,进入:选项  >  license管理  确认firmware 的可用天数;

   

   

      

登陆ACE的管理中心,选择设备和桥组,确认在线IP和在线会话数不能为零;

   

   

   

步骤二.确认HTTP-BROWSEQQMSN特征库已启用;

进入:策略管理>策略中心>第七层应用协议>WEB 应用>HTTP-BROWSE,勾选 HTTP-BROWSE,保存。

   

进入:策略管理>策略中心>第七层应用协议>即时通讯软件>腾讯QQ,勾选 腾讯QQ,保存。

   

   

   

步骤三.全局策略启用HTTP和IM日志;

   

   

   

步骤四.日志管理启用HTTP和IM日志 ;

   

进入:选项  >  配置管理  >日志管理,勾选【启用  HTTP日志】、【启用  QQ/MSN上下线日志】

   

步骤五.配置MGT server

通过命令行方式登录  ACE,t 配置MGTserver为APM的IP地址;

   

测试与APM连通性

   

注:在ACE3.0 后台配置APM服务器的地址,最多可以配5组,常见配置一组即可。

   

2)APM配置

a.APM管理界面登陆及license注册    

打开本机浏览器http://172.18.10.112/,如出现下图显示结果,则表示软件安装正常

   

点击下载,打开java 小程序,如本机没有安装java运行环境,请先安装JRE,如安装成功运行后会出现如下图登录框

   

输入用户名密码(默认全为admin)进入RG-APM(H)管理界面。    

注:当输入正确用户名和密码后,若提示授权证书未注册或者不合法,如下图

   

说明RG-APM(H)设备还未注册license或者已注册的license已过期,请登录http://RG-APM服务器的IP 地址/license ,点击

license信息复制到文本框中,点击确认上传License。

   

   

   

   

b.APM基本配置

步骤1 添加设备

选择  配置  > 设备配置

   

点击 选择类型:ACE,填写名字:自定义即可;地址:ACE MGT口IP(注意:

不是ACE管理服务器IP)

   

点击 填写ACE的用户名和密码(ACE设备本身)

   

点击 后可成功添加设备;然后点击    

   

在设备管理就可见到我们刚添加的设备ACE1000V3.0同时选中该设备,在下面框中可以查看到设备的接口信息;

   

步骤2 启用ACE日志    

打开系统  >  系统选项  >  日志使能配置,勾选启用和需要记录的日志,默认端口是514.

   

   

步骤3 查看ACE日志

查看开启的相应日志是否正常接收到;

   

注:ACEV3.0只能支持日志读取,不支持报表查询。

   

   

四、验证    

1)打开系统  >  系统选项  >  日志中心 查看http日志

   

2)打开系统  >  系统选项  >  日志中心查看IM上下线日志    

   

   

   

补充说明:ACEV3.0设备与APM进行HTTP、IM日志联动后无法查询到相关日志,主要可能ACEV3.0或APM配置不当导致,或是两者通信异常导致,如若遇此类故障,请根据以下逐个检查ACEV3.0和APM配置,两者通信是否正常;再确认前面配置无误的情况下检查APM的CLD服务是否正常:

   

a)APM(S)可通过操作系统的控制面板>服务,查看CLD服务是否正常;如果异常可尝试将两服务重启;同时需要将APM的日志回传后台以便做进一步的分析;

收集APM日志方法:将该文件下的所有日志打包压缩:\Ruijie Networks\APM\server\logs

   

b)APM(H)通过show service cld查看服务是否异常;通过先关闭服务APM(config)#no cld后,在开启服务APM(config)#cld,重启cld服务;

APM# show service cld           //查看CLD服务

cld is running on pid 953      //CLD进程号为953

APM(config)# no cld             //关闭CLD服务

APM(config)# cld               //启用CLD服务

最后准备远程方式,联系4008111000工程师从底层获取相关日志信息,以便做进一步分析;