【ACE适用2.8.27软件平台】ACE与MS SQL日志数据库服务器部署

发布时间: 2013-09-15 点击量:833 打印 字体:

应用场景:

       某学校(政府、企业)网络中已部署ACE设备进行流控,为响应公安部82号令,需要记录下面用户的会话日志和HTTP日志,通过使用MS SQL日志数据库服务器存储日志。

       RG-ACE设备为应用控制引擎,对网络Internet 流量进行分析决定了该设备放置在网络经常发生拥塞的出口。根据实际的应用流量和出口NAT的行为,设备有放置在NAT设备内口和外口两种部署方式。常见将RG-ACE设备部署在NAT设备内口,可以区分内网地址,做精细化策略控制。RG-ACE是以inline 透明接入的形式串联在网络出口或测试链路中,客户非常希望设备是稳定的,因此应该将旁路装置也要考虑在内,光口使用光旁路装置,电口RG-ACE设备自身具备电口旁路功能。

       用户的网络已经构建好,ACE作为透明网桥串接在出口设备与核心交换机中间,Mgmt管理口必须与核心交换机互联,保证该口与内外网的连通性(license导入、特征库的升级等会涉及到)。INT口连接内网,如核心交换机;EXT口连接外网,如出口路由器;ACE仅会对INT口的数据进行分析、流控,其他接口各分别连接到MS SQL日志数据库服务器和mgt服务器。

 

功能原理:

       RG-ACE以DPI技术和DFI技术为核心,通过带宽管理设备中的智能分类引擎,结合基于应用特征字(签名)及基于行为启发式的技术,实现网络中应用的自动识别和智能分类。通过采用DPI技术和DFI技术,ACE可以探测和跟踪动态端口分配,通过比对协议的特征库,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别。集中式管理的三层体系结构,其中带宽管理设备作为最核心的设备,负责主要的计算和处理工作;管理服务器作为整体ACE的枢纽,负责对ACE的管理以及数据的分析和存储;客户端作为配置管理的终端,负责ACE的配置管理及日常运维工作。三个层次各司其职,又相互关联,达到最佳的可用性和稳定性。

       其中DPI是基于数据包的特性字段的值来检测数据包的应用协议的。相对比较准确,但部分加密的流量无法识别。DFI是基于数据包的一些交互特性来识别的,比如一些协议先发一个小包,然后再发几个大包,通过这些特性来识别。这种识别方法相比不太准确,作为DPI的补充。开启DPI可以识别网络中的各种应用和其所占的流量,ACE可以根据策略,控制网段内的总体流量和每个用户的流量,同时还可以控制7层应用程序协议的总带宽和每用户的带宽,从而阻止某些应用对带宽资源的非正常消耗,保证关键应用带宽。

       RG-ACE采用网络应用实时分析系统(Application Real-Time Analyzer System),简称ARAS)实现网络的完全可视化。ARAS采用Java Swing架构,提供了实时流量采集、分析和展现功能,实时流量数据支持自动刷新,并提供应用组、应用、网段、IP、通道、设备等各种实时流量图表,让用户可以全面掌控网络带宽的使用情况,使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。

       RG-ACE提供丰富的、详细的统计分析报表,包含曲线图、饼图、柱状图、堆叠图以及数据表格等多种图形化报表,以天、周、月、年为时间单位的系列报表。同时系统还提供详细的应用阻断日志、URL访问日志以及会话日志,以供事后审计和追踪。

       报表联动原理:

       ACE应用控制引擎产品基于RMON和RMONII标准,实现了对网络中流量与用户行为的监控与管理;ARAS通过读取ACE各方面的数据,并通过多种维度来展现流量报表,报表类型极其丰富,由接口报表、链路层报表、网络层报表、传输层报表、应用层报表、网络性能报表、设备性能报表、通道报表等。

       日志联动原理:

       ACE记录设备新建的每条会话源IP、目的IP、源端口、目的端口和协议,通过对数据库初始化,从MGT Server接受ACE产生的HTTP日志,阻断日志及IM上下线日志,存储在日志数据库里;HTTP日志是通过ACE应用识别出的http-browse从而记录URL相关信息,通过日志形式发送给日志接收软件。

 

一、组网需求

      

 通过对数据库初始化,从MGT Server接受ACE产生的HTTP日志,阻断日志及IM上下线日志,存储在日志数据库里,以便后续客户端访问服务器可以查询日志信息;通过ARAS实时流量分析系统进行联动管理全面了解整个网络中各种应用协议、各用户带宽使用的情况,为后续的带宽控制策略的优化和调整提供全面的、系统的、科学的依据。

      

二、组网拓扑:

        

        如图所示,在网络中接入一台硬盘空间较大的服务器,作为存储日志文件的外部数据库。该服务器可以与Mgt Server通信。

        主要的产品列表:

 

产品名称

支持的版本

ACE1000

firmware2.8.27,服务器版本v3.1.36.001_ruijie_20110503

管理服务器软件

setup_v3.1.36.001_ruijie_20110503

特征库

l7-ruijie-4.2.137

实时流量分析系统(ARAS)

setup_v4.0.18_ruijie_20100926

MS SQL数据库

MS SQL Server2000企业版(SP4)

                                

                               

 

                           

       注:部署ACE时候如果要记录HTTP日志,需要注意部署的位置,如下:

       单核心NAT前:可以控制内网IP地址,无法控制NAT后的双出口链路情况,可以做http日志

       双出口NAT后:无法控制内网IP地址,可以分桥控制NAT后的多出口链路情况,无法做http日志     

                  

三、配置要点

       1.确认设备license有效

       2.在Mgt Server上,加载http-blowser协议,QQ应用

       3.启用http日志,阻断日志及IM上下线日志

       4.登陆ACE,配置Mgt Server(管理服务器)的地址,指定Mgt Server接受syslog日志

       5.在Mgt Server上,进行数据库初始化设置,数据库初始化时,先设置需要的参数,按确定后,等待一段时间,会提示数据库初始化成功。 

6.ARAS(实时分析应用软件)安装及初始化

 

四、配置步骤

        1.确认设备license有效

        登陆ACE的管理中心,进入:选项  >  license管理  确认firmware 的可用天数;

       

        登陆ACE的管理中心,选择设备和桥组,确认在线IP和在线会话数不能为零;

      

 

       2.确认HTTP-BROWSEQQMSN特征库已启用;

      进入:策略管理>策略中心>第七层应用协议>WEB 应用>HTTP-BROWSE,勾选 HTTP-BROWSE,保存

     

      进入:策略管理>策略中心>第七层应用协议>即时通讯软件>腾讯QQ,勾选腾讯QQ,保存。

      

 

      3.全局策略启用HTTP和IM日志;

       

 

      4.进入配置管理-->日志管理,启用HTTP、IM日志及阻断日志;

     

 

       5.登录ACE,配置如下命令,指定Mgt Server接收syslog。

        

       测试与MGT Server服务器连通性

      

           

         6.在Mgt Server上,数据库初始化。数据库初始化时,先设置需要的参数,按确定后,等待一段时间,会提示数据库初始化成功。 

            此部分参见MS SQL日志数据库服务器安装及基础配置--数据库初始化

 

   7.ARAS(实时分析应用软件)安装及初始化

            通过实时分析软件查看前监控链路上的网络流量,实时流量监控以动态展现的方式实时展示当前流量状态。帮助管理员作出迅速正确的带宽分配策略调整。

            

 

       注:ARAS实时流量分析系统是用来查看ACE上实时通的流量信息的,安装此软件的机器也必须先安装java软件,不然无法看到实时流量.实时流量分析软件安装及初始化请参考"ACE与日志报表服务器部署--实时分析应用软件(可选)"

 

四、验证:

http日志查询

         在Mgt Server上进入:报表  > 日志报表  > HTTP日志。

        

 

        HTTP日志列表

       

        日志报表

       

        阻挡日志报表

        首先进入:策略管理>策略中心>新增规则,增加一条禁止用户浏览网页的策略,同时勾选阻挡日志

        并将策略移动到第一条,保存配置。

      

                   

       

       

         在用户端浏览网页,在Mgt Server上进入:报表  > 日志报表  > 阻断日志查看

        

         在Mgt Server上进入:报表  > 日志报表  > IM上下线日志查看

        

流量分析功能验证:

RG-ACE对于每类报表提供了曲线图,堆叠图,饼图,柱状图等丰富的表现方式,可针对不同的使用情况选择相应的报表,通过这些报表确实能够比较清晰的掌握当前网络的运行状况。

            1.周历史报表分析

              周总带宽报表:

             

             周通道带宽报表:

            

测试过程显示:对P2P应用、BIT、流媒体、http等应用都能够比较好的识别和监控。从该报表可以看出迅雷(P2P)流量使用了大部分带宽资源,PPLIVE网络视频应用流量排名第四,如果需要可通过相应策略加以限制。

            周应用组带宽报表:

           

           图中可以看出,WEB应用占整个网络应用5%,文件传输类应用占76%……

           周系统性能报表:

           

            图中可以看出在线会话数在3500左右,高峰期在7/21 00:00到7/21 18:00之间。

 

          2.当日网络运行情况报表分析

          日应用带宽报表:

         

          

           

         

         

          从该报表可以明显的看出工作时间和休息时间网络应用情况的明显差异,当前网络中主要应用为迅雷下载流量。 

 

        3.当日网络运行情况报表分析

          应用报表:

         

          网络应用分布饼图,从图中可以清晰的看到各种应用的组成。其中:迅雷带宽占用最大(51.64%),bittorrent其次(40.95%),icmp协议使用排第三(3.34%)。

          应用组报表:

         

          网络应用组分布饼图,从图中可以清晰的看到各种应用的组成。其中:文件传输协议带宽占用最大(58.83%),P2P应用软件其次(28.72%),电子邮件协议使用排第三(5.21%)。

 

 

 

 

 

 

 

 

 

00 分享 纠错
相关条目