应用场景：

          某学校（政府、企业）网络中已部署ACE设备，现希望通过明细的报表对网络流量进行分析。为响应公安部82号令，需要记录下面用户的会话日志和HTTP日志，通过使用MS SQL日志数据库服务器存储日志。

            虽然采用透明模式部署，虽然串联接入的好处是结构清晰，但是如果设备硬件无法自动bypass的话会面临宕机网络中断的风险，只有旁路在不改变网络的拓扑结构的情况下可实现桥模式的基本功能，并且当设备宕机的时候不影响网络。 此应用场景ACE只作为流量分析设备，不对流量进行控制，因此ACE设置为旁挂模式对流量进行分析，同时实现网桥部署时候日志记录功能。只需将到核心交换机的流量的上行映射到RG-ACE的INT口上，下行映射到RG-ACE的EXT口上。部署过程中需要保证ACE和E-LOG服务器之间的网络必须连通。

 

功能原理：

          RG-ACE以DPI技术和DFI技术为核心，通过带宽管理设备中的智能分类引擎，结合基于应用特征字（签名）及基于行为启发式的技术，实现网络中应用的自动识别和智能分类。通过采用DPI技术和DFI技术，ACE可以探测和跟踪动态端口分配，通过比对协议的特征库，能够识别变动端口的会话流，并能够对使用同一端口的不同协议进行自动识别。集中式管理的三层体系结构，其中带宽管理设备作为最核心的设备，负责主要的计算和处理工作；管理服务器作为整体ACE的枢纽，负责对ACE的管理以及数据的分析和存储；客户端作为配置管理的终端，负责ACE的配置管理及日常运维工作。三个层次各司其职，又相互关联，达到最佳的可用性和稳定性。

            其中DPI是基于数据包的特性字段的值来检测数据包的应用协议的。相对比较准确，但部分加密的流量无法识别。DFI是基于数据包的一些交互特性来识别的，比如一些协议先发一个小包，然后再发几个大包，通过这些特性来识别。这种识别方法相比不太准确，作为DPI的补充。开启DPI可以识别网络中的各种应用和其所占的流量，ACE可以根据策略，控制网段内的总体流量和每个用户的流量，同时还可以控制7层应用程序协议的总带宽和每用户的带宽，从而阻止某些应用对带宽资源的非正常消耗，保证关键应用带宽。

            日志联动原理：

            ACE记录设备新建的每条会话源IP、目的IP、源端口、目的端口和协议，通过对数据库初始化，从E-LOG日志服务器接受ACE产生的HTTP日志，阻断日志及IM上下线日志，存储在日志数据库里；HTTP日志是通过ACE应用识别出的http-browse从而记录URL相关信息，通过日志形式发送给日志接收软件。

一、组网需求

      

        ACE设置为旁挂模式，ELOG日志服务器负责接收ACE发送的HTTP日志和IM上下线日志。此时需要保证ACE和E-LOG之间的网络必须连通。

       注：本案例使用ACE1000 版本：2.8.27-alpha16进行测试。实施过程中都建议将ACE V3.0设备的软件版本都升级到最新的大面积部署版本2.8.27-alpha16；

 

        通过对数据库初始化，从E-log日志服务器接受ACE产生的HTTP日志，阻断日志及IM上下线日志，存储在日志数据库里，用户网络使用elog查询日志信息。Mgt Server不会再收到日志文件，Client访问Mgt Server，无法查询日志信息 .

 

 

二、组网拓扑：

        

        如图所示，E-LOG设置为旁挂模式，ELOG日志服务器负责接收ACE发送的HTTP日志和IM上下线日志，存储在日志数据库里，用户网络使用elog查询日志信息。需要保证ACE和E-LOG之间的网络必须连通。

         需要的产品列表：

 

产品名称	支持的版本
ACE ELOG	firmware2.8.27，服务器版本v3.1.36.001_ruijie_20110503 1.03build（11026267）

 

           

三、配置要点

     

       1.确认设备license有效

       2.确认“HTTP-BROWSE”、“QQ”和”MSN”特征库已启用；

       3.配置ACE发送ttp日志、QQ上下线日志、MSN上下线日志

       4.全局开启HTTP日志及IM上下线日志

       4.登陆ACE，配置E-log服务器地址，指定服务器接受syslog日志     

       5.校正ACE时钟

     

四、配置步骤

        1.确认设备license有效

        登陆ACE的管理中心，进入：选项  >  license管理  确认firmware 的可用天数；

       

        登陆ACE的管理中心，选择设备和桥组，确认在线IP和在线会话数不能为零；

      

 

       2.确认“HTTP-BROWSE”、“Http-Others”、腾讯QQ和”MSN”特征库已启用；

      进入：策略管理>策略中心>第七层应用协议>WEB 应用>HTTP-BROWSE，Http-Others，勾选 HTTP-BROWSE和Http-Others，保存

     

      进入：策略管理>策略中心>第七层应用协议>即时通讯软件>腾讯QQ，MSN，勾选 腾讯QQ和MSN，保存。

    

     

 

      3.在“策略管理”-“全局设置”中将http日志管理/QQ日志管理/MSN日志管理，设置为启动

     

      

 

      4.“选项”-“配置管理”-“日志管理”中确认http日志、QQ上下线日志、MSN上下线日志已经勾选

     

 

 

       5.为了让E-LOG能接收到ACE发来的日志信息，需要在ACE设备上指定日志接收服务器IP。这个配置可以通过ACE上的console口来配置，也可以通过远程telnet到ACE的MGMT口来配置。

        配置管理口地址     

        RG-ACE1000 # net addr set

        MGT interface ip address[172.18.10.100]: 172.18.10.100                            //配置管理口IP地址

        MGT interface netmask[255.255.255.0]: 255.255.255.0                              //配置网络掩码

        MGT interface gateway [172.18.10.1]: 172.18.10.1                                   //配置网关

        DNS primary []: 192.168.58.110                                                              //配置主DNS，2.8.X版本必须配置

        DNS secondary []:                                                                                 //配置第二个DNS

       指定日志接收服务器管理服务端地址

      

       测试与E-log Server服务器连通性

      

           

         6.校正ACE的时钟。

          ACE上时钟设置

         

          注意时区不对，必须使用下面的timezone校正

          如Mon Nov 2216:56:00 GMT-82010

         

         

 

        

     

四、验证：http日志查询

      

        登陆RG-eLog，点击【设备日志】下的【RG-ACE日志查询】进入RG-ACE日志查询页面，如下图所示。

      

 输入查询条件（如输入URL   HTTP://www.qq    URL、源IP 和目的IP不能同时为空），选择日志的创建时间和结束时间（时间范围必须在24小时范围内）点击查询，查询结果如下图所示。      

         HTTP日志列表

       

      

         在E-log日志服务器上进入：：设备日志--IM日志：查询IM上下线日志

         IM上下线日志