《DPX培训-流定义.pdf》由会员分享,可在线阅读,更多相关《DPX培训-流定义.pdf(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、流定义流定义迪普科技培训中心迪普科技培训中心杭州迪普科技有限公司杭州迪普科技有限公司Beyond Your I未经授权禁止扩散Page2引言业务流定义根据报文入接口或是出接口进行报文引流多种报文转发模式支持跨框引流支持主备业务板卡冗余支持云板卡转发未经授权禁止扩散Page3课程目标 了解业务流定义技术原理 熟悉业务流定义应用场景 掌握业务流定义基本配置及常见问题 了解云板卡技术原理未经授权禁止扩散基础知识(1)目前我司DPX使用的是紧耦合模式,业务板卡上只有数据面处理,控制面处理都处于主控板上。接口、芯片资源属于主控,业务板上的接口也是由主控板统一管理。默认情况下,接口收到报文都是通过芯片进行
2、处理,芯片能正常进行转发(二三层转发)芯片都直接处理,报文不会送到业务板CPU处理。芯片不能做安全业务(如NAT、审计、流控等),需要由业务板CPU或逻辑(FPGA)处理。P未经授权禁止扩散基础知识(2)DPX在物理上为一个分布式机框,该机框上有若干个插槽,每个插槽可插入一块板卡。所有板卡共用统一的电源和风扇。DPX上有三种类型板卡:主控板、业务板、交换板P未经授权禁止扩散基础知识(3)主控板:用于控制整台DPX正常运行、统一管理所有板卡的配置下发和状态显示、统一存储DPX的所有配置文件。业务板卡:实现各种网络业务、安全业务和应用功能的板卡,包括防火墙板、IPS板、UAG板、ADX板、GUAR
3、D板等。业务板卡需要运行与主控板版本相对应的版本文件。交换板卡:仅具有网络接口的板卡,用于向本装置提供网络接入、流量转发功能P未经授权禁止扩散基础知识(4)业务板除了按照类型外还可以分为:1代板、1.1代板、1.5代板、2代板、2.1代板;2 代板和2.1代板除了CPU外还有FPGA(逻辑)DPX上各板卡通过背板连接,板卡间数据通信通过背板进行转发业务板有CPU口(vethx_29,x指的是槽位)概念,但是在带有FPGA的板卡上,CPU口(vethx_29)指的是进入逻辑的相应的接口。Page7CPU口封装内部口板卡类型封装内部口1代板iethx_24,iethx_251.5代板iethx_2
4、8,iethx_30,iethx_31,iethx_322代板iethx_28,iethx_31,iethx_32,iethx_未经授权禁止扩散内部连接示意图(A5)Page8图片右侧56700为背板芯片左侧四个芯片分别代表各槽位芯片通过图片可以看出各业务板卡间并没有直接连接,而都是和背板芯片连接,业务板间相互通信都需要通过背板芯片。未经授权禁止扩散内部连接示意图(一代板)Page9右侧上面56700表示背板芯片右侧中间56314表示业务板卡上的芯片右侧下面xlr732表示业务板CPU,通常所说的CPU口vethx_29封装的是iethx_24和iethx_25(一代板卡上)未经授权禁止扩散P
5、age10目录 业务流定义分类 流定义白名单处理方案 业务流定义使用网络场景 云板卡技术原理未经授权禁止扩散流定义简介业务流定义有基于入接口引流和出接口引流两种不同的方案,业务流定义和出接口流定义业务流定义:按照报文的入接口定义报文需要经过哪些业务板卡的一种组网模式。出接口流定义:按照报文的出接口定义报文需要经过哪些业务板卡的一种组网模式,目前只支持按照三层转发的出接口配置出接口流定义。因为设备是紧耦合统一管理,同一个报文在经过不同的业务板卡时,在业务板卡上看到的报文应该都是一致的。P未经授权禁止扩散使用流定义前准备业务流定义分为各种模式,每种板卡只能工作在一种模式下,在配置业务流定义前需要先
6、将对应的业务板卡配置好工作模式,没有配置模式的板卡在业务流定义的业务选项中不会出现。物理板卡默认都有工作模式,云板卡在配置后没有默认的工作模式,云板卡的工作模式需要和云板卡中的物理板卡工作模式一致。流定义是将流量送到业务板卡的CPU处理,所以要使用的业务板卡的CPU状态必须是OK,CPU非OK状态的业务板卡将不会在业务流定义的业务选项中出现。P未经授权禁止扩散主备业务板主备业务板,主备业务板卡的工作模式处于抢占式模式下,即只要主业务板卡正常业务都引流到主业务板卡上处理,只有主业务板卡故障时,流量才会切到备业务板卡上,如果一个业务的主备业务板卡都故障,流定义会自动跳过此业务,直接引流到下一业务板
7、卡。P未经授权禁止扩散业务bypass业务bypass,在业务运行中可以直接将某个业务直接bypass,这会使报文直接跳过对应的业务板卡,直接送下一个业务或是直接送接口送出设备。P未经授权禁止扩散业务流定义分类在线转发流定义在线透明流定义旁路流定义透明串接流定义P未经授权禁止扩散在线转发流定义在线转发模式在线转发流定义是指业务流量需要在业务板上做二三层转发业务,即需要根据配置的二层或三层转发表来确定流量的出接口。使用场景:使用板卡:FW、ADX、GUARD、WAF、RT、BRASP未经授权禁止扩散在线转发流定义在线转发流定义在线转发流定义根据入接口进行引流,物理接口选择的是报文的入接口,后面的
8、的匹配条件都是在入接口的条件上再新增其他的条件进行引流。从入接口到第一业务使用的ACL的方式进行引流,业务板卡间的报文转发由软件的板间转发表项控制。P未经授权禁止扩散在线转发流定义分为四种引流模式:正常模式、MPLS模式、三层物理口模式、bras模式。正常模式下,流定义只会将已知单播IP报文送到配置业务1对应的业务板卡,其他报文都不会引流到业务板卡,将继续由芯片处理。VRRP报文在正常模式下会被送到业务板卡,匹配的是VRRP的MAC地址(01:5e:00:00:12)。P未经授权禁止扩散在线转发流定义MPLS模式下,流定义是在正常模式中增加了对带有MPLS头的报文引流到业务板的动作,会将已知单
9、播IP报文和MPLS报文送到业务1对应的业务板卡。VRRP报文在MPLS模式下会被送到业务板卡,匹配的是VRRP的MAC地址(01:5e:00:00:12)。P未经授权禁止扩散在线转发流定义三层物理口模式和bras模式会将接口上的所有报文都引流的业务板卡上。P未经授权禁止扩散在线转发流定义在线转发流定义支持多业务板混插,使用多业务板混插时,报文按照配置顺序依次经过各业务板卡,报文在各业务板卡上做安全业务但只在最后一块业务板卡上做转发业务。为保证正反向报文的经过路径一致性,正向报文的出接口即为反向报文的入接口,板卡的混插顺序应该是正向报文的入接口反向。目前已都使用透明串接代替多业务板在转发混插。
10、P未经授权禁止扩散在线转发流定义支持VIP流定义,在线转发流定义中支持了按照IP引流的方案,可以指定某些IP地址引流到哪些业务板卡上,源IP和目的IP选择的是IP地址对象中配置的IP地址对象。P未经授权禁止扩散在线透明流定义在线透明模式在线透明是报文根据配置的接口对进行转发的一种组网模式使用板卡:UAG、IPS、FW、WAF、GUARDP未经授权禁止扩散在线透明流定义在线透明模式在线透明模式是一种不需要进行二三层转发的流定义模式,报文直接根据配置的透明接口接口对进行转发,即报文从接口对中的一个接口进入设备做完相关业务后会从同一个接口对中的另一个接口送出设备。配置在线透明时需要注意透明接口对的两
11、个接口需要配置在同一个VLAN中,这是为防止广播报文可能会洪泛到VLAN的其他接口上。P未经授权禁止扩散在线透明流定义支持按接口上vlan引流,配置vlan选项后(与接口对所在VLAN没有关系),将会把从接口上来且报文中携带有配置的vlan tag的报文送到对应的业务板卡。如果没有配置vlan选项,则会将接口上来的所有报文送到对应的业务板卡上。因为从接口到第一业务板卡是通过ACL方式进行的引流,配置VLAN ID由芯片限制,需要配置的对应的芯片支持VLAN选项。这个在选择好入接口后就决定了是否可以配置VLAN ID,如果前面配置的接口所在芯片不支持配置VLAN ID,则此选项直接不可以配置。P
12、未经授权禁止扩散旁路流定义旁路模式业务板卡只能在旁路模式中使用,报文进入旁路业务板卡后不再送出设备使用板卡:UAG、IPS、GUARDP未经授权禁止扩散旁路流定义旁路流定义旁路流定义是一种报文在业务板卡上只做业务不做转发工作模式,报文在旁路业务板卡上做完相应的业务后不转出设备直接有旁路业务板卡丢弃。P未经授权禁止扩散旁路流定义支持按接口报文方向进行镜像报文,旁路模式目前使用的是镜像的方式将报文送到业务板卡,可以选择接口上哪个方向的报文做旁路业务处理,一般入方向(接收)都支持,出方向和双向镜像有些芯片不支持,对应的接口无法使用这两种镜像方式。P未经授权禁止扩散旁路流定义是否有在线业务是指从接口上
13、来的报文除了做旁路业务外是否还需要做在线业务(包括在线透明和在线转发)。目前旁路流定义使用的是镜像的方式来实现报文送到旁路业务板卡,送到旁路板卡的只是镜像后的报文,接口上的原始报文如何处理由配置是否有在线业务来决定,如果配置有在线业务,则原始报文不丢弃,按照在线转发方式转发,配置为否则原始报文直接丢弃,不再送出设备。P未经授权禁止扩散透明串接流定义透明串接流定义业务板卡只能在透明串接中使用,透明串接与透明在业务板卡上都走透明流程,两者的区别是在线透明流定义的接口对是配置出来的,透明串接流定义的接口对是由程序计算出来的内部口,将内部口做为接口对使用。使用板卡:UAG、IPS、FW、WAF、GUA
14、RDP未经授权禁止扩散透明串接流定义透明串接透明串接是指在某接口上的报文在转发前转发后需要做业务,但又不影响组网环境的情况下增加透明业务板卡。透明串接不能单独使用,必须与在线转发同时使用,配置在透明串接上的接口必须在在线转发模式中有配置,因为透明串接板卡走的是接口对转发(使用内部口做接口对),不能将报文送出设备,需要由对应的转发业务板块进行二三层转发将报文送出设备。P未经授权禁止扩散透明串接流定义透明串接流定义支持业务bypass,可以直接将某一业务直接bypass掉,报文不再经过此业务,直接送到下一业务或是直接送到对应的转发板卡。透明串接业务板卡使用有规格限制,因为透明串接使用内部口作为接口
15、对,接口个数受限于芯片,不同的业务板卡规格不一致,一代板可以分配的内部口为32个,二代板为16个,1.5代板卡为30个,即每个业务板卡可以配置的次数。配置超过规格后对应的业务将不再生效。P未经授权禁止扩散流定义高级应用启用多板混插,流定义页面的启用多板混插功能与我们平时所说的多板混插不是一个概念,这个功能是给源NAT和云板使用的,当在线转发流定义中使用的云板卡且云板卡上同时做源NAT业务时需要开启此功能,用来保证反向报文和正向报文经过NAT中的同一块业务板卡。业务板故障自动bypass,默认情况下次选项是选中状态,此选项的意义是当业务板出现故障的时候业务流定义会自动将流量从故障业务板卡切走,如
16、果不勾选此选项,则会出现业务板故障后流量未切走,会导致业务不通的情况出现。P未经授权禁止扩散出接口流定义业务流定义都是基于入接口引流,出接口流定义是基于出接口引流,即根据报文的出接口来配置流量都经过哪些业务板卡。出接口流定义目前只支持基于三层转发的出接口,二层转发出接口暂时不支持。配置出接口流定义时,转发板卡可以配置在第一业务(主线支持,神州二号不支持)也可以配置在最后一个业务上,但不能配置在中间的业务上。P未经授权禁止扩散出接口流定义在配置出接口流定义前,也需要先配置好业务板卡的工作模式,在出接口流定义中使用的是转发板卡和串接板卡。转发板放在第一业务时,需要使用内部口做串接板的接口对使用,内
17、部口限制于透明串接规格限制一致。转发板放在最后一个业务时,不需要使用内部口做接口对,没有内部口规格限制。P未经授权禁止扩散流定义白名单流定义白名单是用来将某些报文跳过流定义,不去业务板卡做安全业务,流定义白名单是基于接口、源IP地址和目的IP地址,配置后,符合条件的报文将不再走业务流定义,报文直接由芯片做二三层转发送出设备,如果做二三层转发失败,则芯片直接会将报文丢弃。配置流定义白名单是注意要正反向报文都配置,如果只一个方向配置了白名单,则另一个方向的报文会被送到业务板卡,如果业务板卡是全状态业务板卡会出现因丢包而导致的不通问题。P未经授权禁止扩散CPU代理CPU代理功能是用来将经过FPGA(
18、逻辑)的部分报文送到业务板CPU处理的。有些报文逻辑无法处理,直接转出设备可能会有问题(例如协议报文),此类报文需要交由CPU处理,此时可以使用CPU代理功能。支持业务板:ADX、FW、GUARD、RTP未经授权禁止扩散基于槽位的CPU代理系统管理-设备管理与设置-系统参数设置中也有一个CPU代理功能,此功能是基于槽位设置的,此功能对所有二代板都有效,开启此功能后,FPGA(逻辑)不再处理任何报文,所有报文都送到业务板CPU处理。P未经授权禁止扩散云板卡云板卡是将多块同类型的板卡虚拟为一块板卡的技术,在流定义时业务中可以直接配置云板卡,然后由云板卡实现流量在物理板卡间的流量分担。P未经授权禁止
19、扩散云板卡云板卡还有一种分域云技术,实际是将一个云板卡分为了域内云板卡和域外云板卡,可以为域内云和域外云配置不同的分担算法。分域云技术多应用于使用了NAT技术同时使用的是云板卡做NAT板卡,因为报文NAT后会有IP发生变化,为保证报文的来回路径一致,需要配置没有发生变化的IP地址为分担算法条件。P未经授权禁止扩散云板卡Page41云管理配置界面,云标识是配置云板卡后的唯一标识未经授权禁止扩散云板卡配置中只有同类型的板卡,但是没有区分出1代板和2代板,每个云板卡中最多配置8块同类型物理板卡(建议在云板卡中使用物理类型一致的板卡,即都为1代板卡或是都为2代板卡)因芯片限制,云板卡中只能配置8块物理
20、板卡,在配置云板卡时注意配置板卡个数最好为2的幂数个板卡(即2、4、8),这样能保证云板卡中的物理板卡报文分担均衡,否则可能会出现分担不均的情况。Page42位置12345678槽号未经授权禁止扩散云板卡Page43分担算法表示云板卡中物理板卡流量分担方式,当选取全局算法时,生成的云板卡为全局云,默认情况下使用源IP+目的IP作为流量的分担算法;如果配置为分域云,则会生成出两个云(域内云和域外云,实际对应的物理板卡一致),域内云和域外云默认使用的分担算法不一致,使用分域云时需要注意使用的分担算法需要能够使正反向流量分担到同一块物理板卡上。未经授权禁止扩散云板卡因为资源限制,同一台框式设备(VS
21、M后两台DPX算一台设备)只能配置4个云板卡,配置分域云后产生域内云和域外云两个云。P未经授权禁止扩散云板卡使用场景单板处理有一定的性能限制,配置云板卡后,将多块相同类型的业务板卡虚拟为一块逻辑的板卡,这样可以提升同一设备在同一业务中的处理性能。分域云因可以分别配置两个方向上的分担算法,这在需要使用NAT的网络中提供了使用云板卡的可能。一些基于IP的业务也可以使用分域云功能,比如基于IP地址的流控、限速功能。P未经授权禁止扩散常见问题在线转发模式配置多个业务板与在线转发转发+透明串接有什么区别?在线透明与透明串接有什么区别?入接口和出接口都加入了透明串接模式,会在入方向和出方向都会生效吗?使用云板卡时,配置NAT 有需要注意的吗?使用全局算法和分域算法的区别是?旁路模式下,1.5代板不能使用双向镜像,入方向+出方向可以实现Page46