目录
cisco SCE 第一部分 介绍 1
cisco SCE 第二部分 SCE平台的安装配置 5
cisco SCE 第二部分的补充--RedHat Linux AS3 U8 + CM 3.1.16 + MySQL4.1.22 安装 12
Install SCMS_CM 19
CISCO SCE 第三部分 SCE平台的升级 24
CISCO SCE 第四部分 用BB Console定制策略,进行
流量控制 31
cisco SCE 第一部分 介绍
互联网安全的需求和相关流量控制设备介绍
随着互联网应用的逐步扩大,用户对带宽的要求也越来越多,再加上绝大多少用户对安全使 用电脑没有很好的知识、技术。致使电脑经常成为病毒的攻击者和病毒的散发者,同时也造成网络流量的异常加大。对ISP来说,就是不必要的流量的加大,无用的数据包对带宽的蚕食引起网络使用效率的下降。 同时,宽带业务的蓬勃发展,给运营商带来机遇的同时也带来了挑战。一方面,P2P、网络游戏、Web TV、VoIP等应用的普及,为运营商吸纳了大批客户,同时也带来带宽管理、内容计费、信息安全等一系列新问题,根据后来的SCE报表可以看出,目前P2P的流量已经占到网络流量的60%以上,而且随着新的P2P技术此不断出现,这个比例呈上升趋势。下图示:
但是,运营商目前在宽带网络的规划和建设模式,显然无法适应P2P应用的流量模型,加上网络设备缺乏有效的技术监管手段,不能感知到P2P应用,导致网络运营商对网络的运行情况无法有效管理,网络出现不同程度的拥塞现象,运营陷入困境。无法实现内容计费是影响运营商进一步发展的另一道坎。而内容安全是令运营商头疼的又一个问题。
为了提高运营商提高服务控制能力,使用户安全的使用互联网,从而赢得更高客户满意度。Cisco公司出品的 SCE设备组件(思科服务控制解决方案),利用深层包检验来为一个典型的宽带服务商的网络上所能到的一切应用识别传输协议,其中包括IP语音、视频、游戏、即时信息、P2P文件共享、以及其他应用等等。思科SCE 可以在应用层上进行判断,所以能够阻断欺骗端口的流量。有了这种能力,我们就可以保护我们的网络,使其性能不会下降。我们就能够创建一个使每个人都能公平分享资源的环境。
深度包检测(DPI)技术的概念
所谓深度包检测是相对普通报文分析而言的一种新技术,普通报文检测仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI则在此基础上,增加了对应用层的分析,可识别出各种应用及其内容。
DPI将网络上的数据报文根据五元组分为一个个的应用流,并通过识别技术对应用流中的特定数据报文进行探测,从而确定应用流对应的应用或者用户的动作。
DPI系统6个关键功能:
1、使用分析:包括容量管理、使用者地理分布、用户宽带体验监测
2、流量优化:包括P2P流量优化、提升尽力传送业务
3、安全业务:例如外向攻击阻止、网络滥用、网络欺骗检测
4、业务分级和访问控制:例如SOHO业务、主动推送portal页面scm文件
5、基于内容收费:定额业务、基于站点的收费
6、高级业务支持:多媒体流量标记和OTT语音和视频流量管理
深度包检测技术的应用
DPI的主要应用包括:
1、流量管理:控制P2P流量,防止这种“垃圾流量”占用了太多的带宽,而影响其它应用。
2、安全:识别出并能抑制DOS攻击和其它的恶意危害网络安全的行为。
3、网络资源使用的控制。
4、业务优化:例如个性业务和内容过滤。
5、全局业务控制策略应用。
目前使用DPI来进行流量控制的设备介绍:
国外厂商,以Cicsco SCE、Allot、Packteer、Sendvine、 ACENET、Maxnet。
产品特性能好,解决方案和产品成熟,均有用户管理系统(可能为动态IP环境中使用,将用户帐号和流量策略结合来控制流量),除ACENET外,其主流产品功能相对单一,但非常专业。
国内厂商中,比较优秀的有畅讯信通的QQSG、南京信风、宽广、华为SIG、金御等,国内产品适合国情,国内应用的识别率相对国外产品高,存在问题是产品性能宣传强,但实际使用,尤其是在策略较多情况下性能差,个别产品有POS接口(适合部分国内运营商),价格较国外厂商有较大优势,功能较多,但在流量管理领域,属于发展期,不够成熟。
使用SCE可以预见的能产生以下的收获:性能始终如一的宽带体验。在控制P2P文件共享对带宽的消耗的过程中,能创建了一个用户可公平分享资源的网络。可以预测的、安全的宽带接入。有了“网络屏障基础”服务,入侵和蠕虫就可以被阻止在应用层上,而网址过滤功能又可以阻止对不良网站的访问。优化的支持服务。
SCE设备组件在网络中的安放位置随着网络结构的不同稍微有些变化,如果是分散型的服务提供,可以安置在不同NAT的后面,这样可以提早对流量进行区别控制,能减轻NAT等后续设备的负担。这样可能需要使用不止一台这样的设备组件。
第二章 CISCO 服务控制引擎的组成
SCE系统通俗的来说,是由三个部分组成。
首先由SCE1000或者SCE2020这两种型号的硬件设备对流经的数据包进行分析,采集数据后发送给CM组件。CM就是个存贮数据的database。最后经过Bbconsole的识别和服务控制对数据包执行最后的定性判断,是让其通过还是丢掉?从而完成一个数据包的处理。
1、SCE (pcube) (Service Control Engine) 服务控制引擎
作用:流量采集、统计和控制策略的实施
组成:硬件、OS、应用软件
2、CM (Collection Manager)数据采集服务器
作用:流量数据存储、统计和分析
组成:unix(linux)系统、CM软件、DB数据库
3、BBConsole (BoardBand Console)宽带控制台
作用:控制SCE的流量策略,实现报表,图形输出
组成:navigater、configuration Editer、Reporter等
其性能指标
2M流
100K用户
3.6G的吞吐量
PPCs负载分担
SCE对流经的流量不是抽样的,而是每个数据包都进行处理,而且对双向的数据包都进行处理,可编程的包识别和策略指定。
三者的关系如下图
同时上面的图示也显示了服务控制引擎的工作流程。
cisco SCE 第二部分 SCE平台的安装配置
第三章 Cisco SCE 系统的安装配置
第一节:SCE设备的连接方式和配置:
⑴ 内旁路方式:
优点: 无须其他设备,能满足绝大多数需要
问题: 依赖电源和收发器的正常工作
简单原理: SCE的OS自带上电自检和看门狗可以触发旁路,系统处理也使用旁路
串接入网络中,如下图。
缺省是bypass方式,当然也可以设置成cut-off等等。
⑵ 外旁路方式:
优点:能在如何情况下提高旁路,包括停电
问题:需要另外添加设备-外置bypass光模块,同时光纤连接较为复杂
物理连接图示:
不管是否采用外置旁路模块,其配置都是一样的。
部分SCE1000型的配置代码:
//定义主机名
hostname "CZ-SCE1000"
//定义enable密码
enable password level 0 0 "yourpssword"
enable password level 10 0 "yourpassword"
//配置时区
clock timezone PRC 8
clock set hh:mm:ss Day Mon Year
//配置管理接口
interface FastEthernet 0/0
ip 255.255.255.252
speed 100
duplex full
//配置设备网关
ip
//设置RDR数据的目标CM
RDR-formatter destination 218.12.199.198 port 33000
//在linecard0下定义subcriber,templete默认使用#0
interface LineCard 0
subscriber anonymous-group name cz202-1 IP-range 0.0.0.0:0/0
如果IP地址段为多个IP,请按照如下方式输入:
subscriber anonymous-group name cz202-1 1.0/24 temp 1
subscriber anonymous-group name cz202-1 2.0/24 temp 1
subscriber anonymous-group name cz202-1 3.0/24 temp 1
经过这样的配置,就可以进行数据采集了,当然如果需要进行策略和流量控制,还需要更改SCE平台的流量处理方式,因为缺省的方式是内旁路模式,这种模式只是分析数据、出报表。而不能控制流量。
控制流量模式需要运行一个命令:
SCE1000(config if)#link mode port1-port2 ?
bypass Bypass traffic
cutoff Cutoff traffic
forwarding Actively process traffic 只有这个模式可以执行流量控制
sniffing Process traffic while in bypass
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议