ACFP技术介绍.docxVIP

ACFP技术介绍目? 录ACFP. 1ACFP简介.. 1ACFP的体系结构.. 1ACFP的联动.. 2ACFP的管理.. 2ACFP信息概述.. 3ACFPACFP简介数据通信的基础网络主要由路由器、交换机组成，由这些设备完成数据报文的转发。随着数据网络的逐步发展，数据网络上运行的业务越来越多，但是传统的路由器、交换机并不适合处理很多新兴业务，因此产生了一些专门处理某些业务的产品，如防火墙、IDS（Intrusion Detection System，入侵检测系统）、IPS（Intrusion Prevention System，入侵抵御系统）等安全产品及语音、无线等产品。为了更好地支撑新兴业务，传统网络设备（这里指路由器、交换机）生产厂家纷纷推出多种专用业务板（业务卡），或者提供一套软硬件接口，允许其他厂家提供板（卡）或者设备的硬件或软件，插入或连接到传统网络设备上，协作处理这些业务，从而能发挥各厂家在各自领域的优势，更有效地支撑新兴业务，同时减少用户投资。OAA（Open Application Architecture，开放应用架构）就是基于该思想而提出的开放业务架构，它能够让众多不同厂商生产的设备和软件集成在一起，象一台设备那样工作，为客户提供一体化的解决方案。ACFP（Application Control Forwarding Protocol，应用控制转发协议）是基于OAA架构设计的应用控制转发协议，联动的IPS/IDS卡或者IPS/IDS设备作为ACFP客户端，上面运行其他厂家的软件，支撑IPS/IDS业务。路由器或交换机收到IP报文后，通过匹配ACFP的联动策略规则，将报文镜像或重定向给ACFP客户端，ACFP客户端上的软件对报文做监控、检测等业务处理，然后根据监控、检测的结果，再通过联动MIB（Management Information Base，管理信息库）反馈给路由器或交换机，指示路由器或交换机做出相应处理（如过滤某些报文）。ACFP的体系结构图1 ACFP体系结构示意图如图1所示，ACFP体系可以分成三部分：?????????????? 路由交换部件：是路由器和交换机的主体部分，这部分有着完整的路由器或交换机的功能，也是用户管理控制的核心，此部分称为ACFP server；?????????????? 独立业务部件：也可以叫做OAP（Open Application Platform，开放应用平台），可以开放给第三方合作开发的主体，主要用来提供各种独特的业务服务功能，此部分称为ACFP client；?????????????? 接口连接部件：是路由交换部件和独立业务部件的接口连接体，通过这个部件将两个不同厂商的设备连接在一起，以形成一个整体。ACFP的联动ACFP联动就是指独立业务部件可以向路由交换部件发指令，改变路由交换部件的功能。联动功能主要是通过SNMP协议实现的：独立业务部件仿照网管系统的功能，向路由交换部件发送各种SNMP命令；而路由交换部件上支持SNMP Agent功能，可以执行收到的这些命令。在这个过程中，联系双方的关键就是联动的MIB。ACFP的管理ACFP联动提供了一套机制，使得ACFP client能够控制ACFP server上的流量，包括：将ACFP server上的流量镜像、重定向到ACFP client；允许、拒绝ACFP server上的流量通过；对ACFP server上的流量进行限速；在报文中携带上下文ID，通过上下文ID使得ACFP server和ACFP client能互通报文上下文环境。具体过程如下：ACFP server中维护一个上下文表，通过上下文ID查询上下文表，每个上下文ID对应一个ACFP联动策略（联动策略的内容包括报文入接口、报文出接口、联动规则等信息）。当ACFP server收到的报文由于匹配某个联动规则而被重定向或镜像到ACFP client时，报文中会携带该联动规则所在联动策略对应的上下文ID；当被重定向的报文从ACFP client返回时，报文中也会携带该上下文ID，通过上下文ID，ACFP server就知道该报文是重定向返回的报文，然后进行正常的转发处理。为便于ACFP client更好地控制流量，联动内容中设置联动策略与联动规则两级组织，基于策略管理匹配规则的流量，达到一种弹性管理的目的。为有效支撑Client/Server这种联动模式，细粒度、弹性地设置各种规则，联动内容分成四块组织：ACFP server信息、ACFP client信息、ACFP联动策略、ACFP联动规则。这四块内容存储在ACFP server中。由于一个ACFP server可以支持多个ACFP client，因此，ACFP client信息、ACFP联