ACE V5.0联动配置    

功能简介:    

      本案例适用于ACE V5.0硬件平台,推荐使用的firmware版本为4.0.02(134),及后续最新版本.通过与E-LOG的联动,可实现日志查询和导出功能;

应用场景:

          某学校(政府、企业)网络中已部署ACE设备,现希望通过明细的报表对网络流量进行分析。此时就需要与ACE Report联动,查看相应的报表。同时为响应新网络安全法,需要记录下面用户的会话日志和HTTP日志,通过使用E-LOG服务器存储日志。

            此场景下一般不考虑内网是2层网络或是3层网络,内网的结构模型的选择请根据客户的实际网络大小以及客户的需求来做选择。虽然采用透明模式部署,虽然串联接入的好处是结构清晰,但是如果设备硬件无法自动bypass的话会面临宕机网络中断的风险,只有旁路在不改变网络的拓扑结构的情况下可实现桥模式的基本功能,并且当设备宕机的时候不影响网络。 此应用场景ACE只作为流量分析设备,不对流量进行控制,因此ACE设置为旁挂模式对流量进行分析,同时实现网桥部署时候日志记录功能。只需将到核心交换机的流量的上行映射到RG-ACE的INT口上,下行映射到RG-ACE的EXT口上。部署过程中需要保证ACE和E-LOG服务器之间的网络必须连通。

   

功能原理:

            ACE应用控制引擎以DPI(Deep Packet Inspect,深度包检测)技术、DFI(Deep/Dynamic Flow Inspection,深度流行为检测)技术、PFQ(Per-Flow Queuing,基于流的队列)技术、RED(Random Early Detective,随机尾部丢弃)技术和CPD(Common Performance Database,通用性能数据库)技术为核心,为客户提供了网络性能分析、应用优化、流量缓存的一体化解决方案。

            其中DPI是基于数据包的特性字段的值来检测数据包的应用协议的。相对比较准确,但部分加密的流量无法识别。DFI是基于数据包的一些交互特性来识别的,比如一些协议先发一个小包,然后再发几个大包,通过这些特性来识别。这种识别方法相比不太准确,作为DPI的补充。开启DPI可以识别网络中的各种应用和其所占的流量,ACE可以根据策略,控制网段内的总体流量和每个用户的流量,同时还可以控制7层应用程序协议的总带宽和每用户的带宽,从而阻止某些应用对带宽资源的非正常消耗,保证关键应用带宽。

            日志联动原理:

           ACE记录设备新建的每条会话源IP、目的IP、源端口、目的端口和协议,通过日志的形式发送给E-LOG日志服务器;HTTP日志是通过ACE应用识别出的http-browse从而记录URL相关信息,E-LOG日志服务器负责接收ACE发送的HTTP日志和IM上下线日志,存储在日志数据库里,用户网络使用E-LOG查询日志信息。

一、组网要求:     

        ACE设置为旁挂模式,ELOG日志服务器负责接收ACE发送的HTTP日志和IM上下线日志,存储在日志数据库里,用户网络使用elog查询日志信息。需要保证ACE和E-LOG之间的网络必须连通。

产品名称        

支持的版本        

ACE

firmware4.0.02(134),服务器版本ACEReport2.2.0Build26

E-LOG        

RG-eLog_1.2_Build20120523        

   

   

注:E-LOG1.2版本开始支持与ACEV5.0系列产品的3.4.0及后续的最新版本的联动。    

二、组网拓扑:    

     

   

三、配置要点:    

1、ACE与E-LOG的时间必须匹配;

2、确保ACE的license是有效的;

3、确保特征库都已应用;

4、ACE上的SNMP配置、接口/策略中心的RMON;

5、命令行下配置配置各日志选项;    

四、配置步骤:    

1.ACE V5.0设备配置    

1)、设置设备的时区和时间

ruijie(config)# clock zone GMT 8  ------>设置GMT+8区

ruijie(config)# clock set   ------>设置系统时间    

clock set <time> <day> <month> <year>

 Set the time and date

  time    Current time

  day     Day of the month (1..31)

  month   Month of year (1..12)

  year    Year (1993..2035)

ruijie(config)# clock set 14:21:06 21 2 2012------>设置系统时间    

ruijie(config)# exit

ruijie# show clock   ------>查看系统时间    

Wed Feb 21 14:21:06 GMT+8 2012

注意:时区问题容易被忽略,ACE的时间默认不是东八区,所以和Elog,SAM对接时由于时间的不一致会出现故障,建议ACE不管是否有联动都把时间更改为东八区的准确时间。    

2)、确认设备license为有效状态;可以通过以下方式进行验证

·           进入web界面:系统信息 > 授权证书,确认firmware的授权天数是否可用。


  

   

·           在线IP及会话数

Web登陆首页 > 概况 看到相应桥的会话数和在线IP数有数值显示,代表该license是生效的;

   

或者选择 报表 > 在线IP报表 或 在线会话数报表,选择相应的桥,可见有报表形成,代表license是生效的

   

   

·           核对HWID

对比show hwid和show license 中的HWID是否相同,如果不同则license错误,需通过show hwid查看到的HWID值重新申请

matrix# show hwid  ------>查看HWID    

cb070408dabd0802692a5c1ade653838

matrix# show license ------>查看license信息    

License Information:

SOFTWARE VERSION: 4.0.01

PRODUCT VENDOR: ruijie

HARDWARE ID: cb070408dabd0802692a5c1ade653838

USER INFOMATION: ruijie

PRODUCT MODEL: ACE-3000

PRODUCT SERIES: ACE

MAX IP NUMBER: 100000

MAX IPV4 SESSION NUMBER: 4000000

MAX THROUGHPUT ABILITY: 6000

FIRMWARE AVAILABLE DAYS: 52

FIRMWARE EXPIRE DATE: 20120714

SIGNATURE AVAILABLE ABILITY: 52

SIGNATURE EXPIRE DATE: 20120714

·           查看系统日志

通过show log或web系统信息 > 日志 查看日志中是否有提示Nov 15 01:03:08 matrix root: license hwid invalid, soft bypass!!,如果有则说明导入的license的HWID是错误的,需通过show hwid查看到的HWID值重新申请。

3)、确认HTTP-BROWSEQQMSN特征库已启用;

进入:策略管理>DPI>WEB > http-browse 超文本传输协议,勾选

   

Chat > QQ和MSN,勾选

   

   

            窍门:在实际的部署中,建议开启所有的DPI选项,这里是为了确认联动的关键应用是否开启;

4)、SNMP配置

ACE V5.0设备SNMP的参数是不允许进行任何修改,采用系统默认配置

   

5)、确认已开启物理接口,并打开RMON和QOS功能

需要将Admin Status、Rmon Status和QoS都置于的状态

   

开启虚拟接口,并打开RMON功能

需要将Admin Status、Rmon Status都置于的状态

   

            说明:虚拟口为形成流控后报表的逻辑接口,为了保证E-LOG上能接收到url及im日志,就需要将物理口和逻辑口的RMON都打开;

      6)、在策略中心确认是否已经新建一级策略,并在一级策略中勾选需要的日志,允许ACE对elog发送日志(URL、IM日志勾选HTTP日志与QQ、MSN即可)

   

   

二级策略RMON、RMON2和日志的属性默认继承一级策略;

   

如果需要各精细化控制日志发送范围,可以通过添加多个二级策略并开启相应日志和RMON、RMON2;在二级策略开启某日志时必须保证该策略中调用了该日志对应的协议。例如,开启HTTP日志的二级策略必须关联有http-browse的协议;

            说明:HTTP日志、会话日志和IM日志是根据实际项目情况选择;不一定都要开启,特别是会话日志比较消耗ACE系统资源

7)、在命令行下配置remotelog地址和开启相应日志发送

matrix# configure

matrix(config)# remotelog ------>进入日志配置模式    

matrix(config-rl)# logserver *.*.*.* 5140 ------>定义写入数据库服务器的 IP 以及端口号,E-LOG接收端口5140

matrix(config-rl)# state    ------>会话日志

matrix(config-rl)# http      ------>http日志

matrix(config-rl)# im-msn    ------>msn日志

matrix(config-rl)# im-qq     ------>qq日志

       窍门:Logserver地址可以配置多个;RG-ACE的默认监听端口是514,有区别与E-LOG接收端口    

8)、保存配置

进入:系统信息 > 配置文件  点击保存到启动设置    

   

或命令行下执行:write memory

matrix# write memory ------>保存配置    

Building configuration...

Running configuration saved

matrix#

2.E-LOG配置    

1)、设置时区和时间

1、Elog服务器与ACE时间必须同步,具体操作方法如下

1)用date命令查看当前时间

2)用date-s命令来修改系统时间

比如将系统时间设定成2012年2月21日的命令如下。

[root@localhostroot]#date -s 02/21/2012

将系统时间设定成下午14点21分6秒的命令如下。

[root@localhostroot]#date -s 14:21:06

将系统时钟写到CMOS中

[root@localhostroot]#clockw

注:Elog时钟调整后需重启elog服务

2)、添加设备

系统设置-设备管理中添加ACE3000设备    

   

点击【添加设备】进入设备添加页面,输入设备IP地址,选择设备的类型

   

注:添加设备时,设备类型必须和设备匹配,监听端口必须和设备中配置的日志服务器端口一致,RG-ACE的默认监听端口是514;    

       根据不同的应用模型,通过系统设置中的设备管理功能, 将发送日志的设备添加到系统中,使得RG-eLog锐捷日志系统开始接收日志,过一个小时后,可以查询到上个小时接收到的日志记录。

   

   

五、验证    

URL日志查询

              在E-LOG日志服务器上进入:设备日志--URL日志 ,查询URL日志

   

输入查询条件(如输入URL   HTTP://www.qq    URL、源IP 和目的IP不能同时为空),选择日志的创建时间和结束时间(时间范围必须在24小时范围内)点击查询,查询结果如下图所示。          

   

   

IM日志查询

             在E-LOG日志服务器上进入:设备日志--URL日志 ,查询IM日志

   

输入查询条件(如IM软件帐号,或登录IP,选择日志的创建时间和结束时间(时间范围必须在24小时范围内)点击查询,查询结果如下图所示。