ALLOT流控设备操作手册指引
1 简介
1.1 设备介绍
1.1.1 NetXploeer三层结构
Allot设备的管理如上图所示,采用三层结构。
1)NetEnforcer层,包括所有型号的NetEnforcer设备连接到用户的网络中,在这一层主要起到收集网络数据和实施策略的作用。
2)NetXplorer层,在服务器中安装特定版本的Java SDK 和NetXplorer 软件,在这一层中NetXplorer 服务器中存储了各种协议、策略等,并从NetEnforer 端收集网络数据存储在数据库中,并可以做NetEnforcer 的基础配置及策略配置,下发到远端的NetEnforcer。
3)用户使用界面层(GUI),可以是任何的具有浏览器的和安装了特定版本的JRE 的客户端。在这一层GUI 中起到管理的作用。
注:
当一台NetXplorer管理到5台以上AC1000或AC2500、10台以上的AC800、或15台以上的AC400则需要使用到Data Collector。
通过以上结构,我们可知 Allot 流量管理设备主要有两种管理方式:
① 命令行界面管理(直接在NetEnforcer上进行操作)
② 图形界面管理(通过NetXplorer 对设备进行管理)
1.1.2 设备介绍
采用设备型号ALLOT NetEnforcer AC-504。
1.2 管理方式
1.2.1 命令行管理方式
命令行界面管理,即命令行的操作与管理,可以通过三种方式进入:
1)超级终端: 进入字符管理界面。使用超级终端登录(波特率:19200,数据位:8,奇偶校验:N(无),停止位:(1)
2)SSH(V2):直接采用IP地址登录设备
3)Telnet:直接采用IP地址登录设备
进入命令行后,可以使用两个用户名登录:admin和root, 其密码分别为:allot 和bagabu,其两个用户有区别在于使用的权限不一样:
1)admin 用户只能对设备作简单的配置
2)root 具有超级用户的权限,二者的密码都可以根据用户的需求进修改
1.2.2 图形界面管理方式
图形界面操作方式,就是 NetXplorer(以下简称NX)的管理界面,用户可以通过访问NX 服务器的IP 地址来登录其管理界面,其默认登录的用户名及密码分别是:admin 和allot。(登录后可以修改密码,也可以创建不同权限的用户)
目前主要allot的管理方式采用图形界面NX管理。
2 图形界面管理
2.1 NX管理
在 PC 机上的浏览器(如IE、Chrome
等)地址栏中直接输入NX 服务器的IP 地址,然后按“回车”键,在弹出的IE 界面中选择第二个选项“Launch
NetXplorer”
如下图:这前提需要操作的PC 机上装有JRE(Java
运行环境)版本,如果操作PC 机上未安装JRE,需要运行第一个选项,安装完成后,在弹出界面输入用户名和密码。
2.2 语言切换
登陆后默认语言为英文,通过下面方式可更改其他语种:
“Tools”下拉菜单选择“Display Language Configuration”共有 3 种语言可以选择,分别为:英语/韩语/中文三种,选择“Chinese”点击“Save”保存选项,系统会要求重新打开中文的NX 管理界面。实施步骤如下
2.2 界面各功能区域介绍
NX 图型界面分为:菜单栏、工具栏、配置选项区(导航栏)、明细区(策略、数据、图表显示区)、警告栏 5 部分。
2.2.1 菜单栏
如下图,显示的是“菜单栏”和“工具栏”,最上面区域是菜单栏,分别为“文件”“编辑”“视图”“动作”“工具”“窗口”“帮助”,主要NX 界面的各项操作,如添加设备、编辑策略、定义主机、定义报表、更改语言、流量监视、窗口排列等功能都可以通过各菜单项实现。
2.2.2 工具栏
如上图,在菜单下是“工具栏”,各工具按钮是功能菜单的快捷键,方便用户操作。
2.2.3 导航栏
在界面的最左侧为导航栏,导航栏是对 NX 平台功能的分类。如下图,“导航栏”分别有:
①“网络”:“网络”栏中所列的是 NX 管理平台所管理的流量控制设备及实时数据收集和长期数
据收集两个服务状态,并且在“网络”中,列出了每个流控设备下所做的策略,是一个树形结构。在每个策略或设备上都可以查看该设备或策略的属性或流量情况。
②“类别”:NX 平台的对象都需要在“类别”中定义,如构成策略的条件有:主机、服务、时间等对象;对策略起到控制作用的动作有:QoS 和DoS 等对象。这些对象都存放于类别中,配置策略时,可以在策略编辑表中直接调用。而且Allot 提供了便利的操作方式,即点击左侧导航栏中相应的选项,在明细区中会连动显示对应的明细。
③“时间/告警”:事件/告警是NX 平台为用户提供流量管理及监视设备运行状态的辅助工具。用户可以根据实际需要对某种流量进行告警阈值设定,当流量超过/等于或低于阈值时,会产生(取消)告警信息,并支持发邮件给管理者。
④“报告”:NX 平台支持的网络流量监视视图超过100 种,而这100 多种视图都可以设定成报告形式展现给管理者,并且支持定时生成、特定格式如:JPG/PDF/CSV/HTML 等、报表生成后自动发邮件等功能。
⑤“群组”:NX 平台为用户提供了策略流量对比功能,用户可以通过群组的方式将几个经常需要对比流量的策略放在一起进行监视,极大的方便用户对网络情况的掌握。
⑥“NPP账户”:多用于运营商用户,即用户可以建立一个或多个NPP 帐户,将网络中符合某些条件(如IP 地址、服务等)的流量管理权限交给这些特定的NPP 帐户进行管理。NPP 管理界面是NX 操作
界面的简化版,与NX 界面类似。
2.3.4 明细区
在导航栏的右侧,空间最大的区域为明细区。所有的流量监视、策略配置、类别定义等操作都是在这个区域进行的。而且在导航栏中各功能区进行相关操作,在明细区会连动显示。
点击明细区的各标题项,可以相互切换明细区的当前显示界面。如下图:
2.2.5 告警区
在“导航栏”和“明细区”的下方是“告警区”,来自设备及策略的所有重要和严重告警信息都会及时的显示在告警区中,并且可以提供相应的问题描述
2.3 导航栏-配置类别catalogs
在 NX 平台上,导航栏中的“类别”项可以定义主机、时间、DOS、QoS 等对象,流量控制策略是由这些对象构成的。
单击导航栏中“类别”内的各对象项,在明细区会连动显示相应内容。如下图,单击“类别”中“主机”项,在明细区会显示NX平台内所有主机的配置情况。
2.3.1 主机hosts
在一个主机列表中,可以包含主机名、单个IP 地址、IP range(IP 地址范围)、 IP subnet(IP 子网)、MAC 以及以上的集合。定义主机简单分如下几步:
1、在导航栏中单击“类别”;
2、在“类别”列表中选择“主机”项,这时在明细区会显示所有主机列表;
3、在明细区的主机列表中点击右键,在右键菜单中选择“新建主机列表”;
4、在弹出的主机定义对话框中设定主机名、主机项等,并保存。
2.3.2 定义时间times
时间条件:分为每天的几点到几点、每周中的每天几点到几点、每月的每天几点到几点、每年选项。
设定时间时,注意如果使用时间条件,要把24 小时严格进行设置不要漏掉一些时段且不要跨跃午夜0 点。最常用的时间段设置有如下两种:
2.3.2.1 普通“每天”设置(不分周六、周日)
1、工作时间:(包含2 个时间段,即上午和下午)
a) 上午:“频率”设置为‘每天’,“时间段”设置为:起始‘07:50’,结束‘11:30’
b) 下午:“频率”设置为‘每天’,“时间段”设置为:起始‘13:00’,结束‘17:00’
2、休息时间:(包含3 个时间段)
a) 中午:“频率”设置为‘每天’,“时间段”设置为:起始‘11:30’,结束‘13:00’
b) 晚上:“频率”设置为‘每天’,“时间段”设置为:起始‘17:00’,结束‘00:00’
c) 晚上:“频率”设置为‘每天’,“时间段”设置为:起始‘00:00’,结束‘07:50’
2.3.2.2 包含周六、周日的时间段设定
1、工作时间:(包含每周一、二、三、四、五的上午和下午时间段,共10 个时间段)
a)
上午:“频率”设置为‘每周’,“时间段”设置为:起始‘07:50’,结束‘11:30’
“循环”设置为‘Monday/Tuesday/Wednesday/Thursday/Friday’,每个设置1 次,在列表中共5 个“上午”时间段
b)
下午:“频率”设置为‘每周’,“时间段”设置为:起始‘13:00’,结束‘17:00’,
“循环”设置为‘Monday/Tuesday/Wednesday/Thursday/Friday’,每个设置1 次,在列表中共5 个“下午”时间段
2、休息时间:(包含每天中午、晚上及周六、周日,5 个时间段)
a) 中午:“频率”设置为‘每天’,“时间段”设置为:起始‘11:30’,结束‘13:00’
b) 晚上:“频率”设置为‘每天’,“时间段”设置为:起始‘17:00’,结束‘00:00’
c) 晚上:“频率”设置为‘每天’,“时间段”设置为:起始‘00:00’,结束‘07:50’
d) 周六:“频率”设置为‘每周’,“时间段”设置为:‘所有天’,“循环”设置为“Saturday”
e) 周日:“频率”设置为‘每周’,“时间段”设置为:‘所有天’,“循环”设置为“Sunday”
\
2.3.3 服务质量QoS
QoS 动作:建立QoS 要注意 QoS 分为Line、Pipe、VC 三种级别。
l
三种级别分别对应策略表中的Line、Pipe、VC 三个级别,相同级别的QoS 设置可以相互调用;
l
不同级别使用不同级别的 QoS 动作,通过QoS 动作设置双向最小带宽保障、最大带宽限制。
如下图:设置pipe 级别的最大1M 带宽限制。
2.3.4 DoS
DOS 动作:DOS 动作定义了最大连接数、最大连接数建立/秒(不建议设置该属性)
两个属性,超过设置的数值可以选择丢弃或拒绝两个动作。
2.4 导航栏-配置网络-策略policy
建策略主要分两步:
第一步是建立“条件”和“动作”的对象,这些对象需要在“类别catalogs”中建立;
第二步是在“策略表”中建相应的pipe 和VC,然后再把这些建好的“条件”和“动作”的对象加到策略表中来,加完后确保无误再保存,使其生效。如下图:定义一个名称为ERP的内部YK访问外部erp_server,保证带宽8~10M 。
2.4.1 Policy表的“列”的选择
下图显示列、pipe、vc的格局分配:
在list表中右键菜单-“执行策略编辑器”,在明细区显示出所有的策略:
在策略表中包含不常用的列表内容,如“描述”、“DoS”等。
在“标题列”中右键-“策略表的列内容配置”会弹出如下右键菜单添加。
2.4.2 Pipe、VC 定义(以Piep 为例 VC 类似)
建立 Pipe、VC 并对Pipe、VC 的条件和动作进行选择。在策略表中的某个pipe上点击右键,在弹出的右键菜单中可以看到“插入 Pipe…”和“插入 Pipe Template…”以及“移动向上”和“移动向下”等几个选项。
当选择“插入 Pipe…”后,系统会弹出如下图的Pipe 编辑对话框,要完成这个pipe的定义,可在这个对话框中可以填写Pipe 的“名称(只能写英文+数字)”例如:“vlan68”;在“描述”中可以写中文,如“办公厅”;双击“条件”框中的“内部”列选择之前定义的主机列表,如‘Vlan68’,然后选择“OK”。
注意:在这里执行“OK”后,此对话框关闭,回到策略表。但此策略并未真正生效,需要再进一步确认,在确认保存之前还可以对这个Pipe 中的其他“条件”或“动作”进行修改。
2.4.2.1 对新建Pipe
中各“条件”的选择(包括:内部、外部、服务、时间)
1)选择主机(内部主机和外部主机)
2)选择时间:
3)选择协议:
2.4.2.2 对新建Pipe 中各“动作”的选择(包括:QoS、DoS、动作访问)
1)QoS:(带宽限制或带宽保障):
2)DoS(限制连接数):
3) 访问动作:
2.4.2.3 策略即时生效操作
完成对 Pipe、VC 的主机、协议、时间条件选择及访问动作选择、QoS 控制选择、DoS控制选择后,点击“工具按钮”中最左侧的“保存”按钮,即完成策略的即时生效。如下图:单击左上角保存策略按钮。
2.5 实时监视流量
由于图形界面的管理平台是基于 Jave 开发的,因此流量的显示都呈动态显示(每30秒刷新一次),同时它还支持不同方式的显示,有饼图、柱状图、线图、数据列表。
监视分为实时(Real-Time Monitoring)和长期
(Long-Term Reporting)。
监控的内容可以是网络的总流量、流量所占带宽的百分比、pipe 的流量、VC 的流量、协议的流量、主机流量、连接数、新增连接数、数据包、点到点的连接(即会话)。
2.5.1 统计视图
实时监视中的统计视图是展现一段时间内,监视对象的流量走势情况,包括:总流量、入流量、出流量、入数据包、出数据包、并发连接、新建连接、Drop 连接等。
2.5.1.1 全网流量统计
右键点击导航栏“网络”下的“YK_Allot_504”(YK_Allot_504为流量管理设备名称),在这个级别查看流量,称为设备级查看。在弹出的右键菜单中选择“实时监视”,然后在“实时监视”的下级菜单中选择“统计”,如下图:
点击统计后,会弹出“统计”的属性对话框,在此对话框中包括“时间”选项和“显示”选项,设置完点击“OK”按钮、在明细区会弹出如下监视视图:如下图:例:以30 秒为解析粒度查看10分钟内的流量
在上图中,点击“表格视图”按钮,可得到如下表格视图:
2.5.1.2 各pipe流量统计
监视某个 Pipe 的流量统计:可以选择“网络”——“设备”,点开“设备”前的“+”,从树形结构上查看设备中的Pipe,然后在目标pipe 上直接点击右键,选择“实时监视”—“统计”,如下图:
2.5.1.3 各VC 流量统计
查看 VC 的统计流量,方法同Pipe,如下图:
2.5.2 监控视图
2.5.2.1 排名视图
在设备级监控整个设备的Pipe排名。
a)如下图设置:在网络栏的设备上点击右键,在弹出的右键菜单选择“实时监视”—“pipes”
b)设置实时监视pipe 的属性
c)显示出监控 Pipe 结果
2.5.2.2 主要pipe走势监视
查看 Pipe 走势只需要更改Pipe 的排名监视的属性,如下图:选定“实时监视:pipe”属性页中的“指定pipes”选项,然后将左侧的目标pipe 加入到右侧,如下图:
a) 编辑实时监视pipe 的属性
b) 显示出监视 pipe 走势结果
2.5.3 协议监控
2.5.3.1 全网协议监控TOP10
a) 实时监视协议的属性设置
b) 显示协议监控结果
2.5.3.2 全网指定协议走势
2.5.4 内部主机监控
2.5.4.1 全网内部主机实时监控
2.5.4.2 各Pipe内部主机实时监控
2.5.4.3 各VC内部主机实时监视监控
2.5.5 会话监控
2.5.5.1 全网主机会话监控
2.5.5.2 各Pipe会话监控
2.5.5.3 各VC会话监控
2.5.6 关联下探监控
在图形界面上对各流量视图进行关联下探监控功能是 Allot 一个进行数据深度挖掘的重要工具,通过不同层次的关联下探可以对网络流量进行层层剖解式的监控。比如通过对全网流量的统计视图进行关联,可以关联到最活跃的pipe、最活跃的VC、最活跃的主机、最活跃的协议以及会话等。通过关联下探功能,可以精确方便的查看网络中特定时间段内主机使用的协议、占用的带宽、连接的会话等信息。
2.6 长期监控流量
长期监控是对读取历史保存网络流量的日志,可随时将之前的数据调出,对网络质量分析、网络扩容分析有很大作用。
以下为长期监控全网协议统计、带宽统计,Pipe 内部主机;VC回话监控结果如下图:
2.7 报表配置
2.7.1 收藏报表
2.7.2 报告功能
报告功能可以设置每天某一时间自动发送报告数据,数据自动生成报表文件保存在服务器指定文件夹“$Allot\netxplorer\jboss-4.0.5\server\allot\reports”中。NX 平台支持的网络流量监视视图超过100 种,而这100 多种视图都可以设定成报告形式展现给管理者,并且支持定时生成特定格式如:JPG/PDF/CSV/HTML 等,报表生成后可自动发邮件到指定邮箱等功能。
2.8 NX协议包升级操作
Allot 设备NetEnforcer
及集中管理平台NX平台支持本地协议包升级和在线协议包升级方式。
2.8.1 本地协议包升级
在 NX 菜单栏的“工具”菜单中,选择“协议更新”,“协议更新”共有:“从Allot 网站…”、“从本地数据包…”、“安装到设备…”、“回退NetXplorer(服务器)到以前的版本”、“回退设备到以前版本”5 个下级菜单,选择“从本地数据包…”。如下图:
本地升级需要把协议包文件放到 NX 服务器中,然后在弹出的对话框的文本输入区域输入协议包所在的绝对路径(如下图):
2.8.2 Allot 网站升级(推荐升级方式)
在菜单栏的“工具”菜单中,选择“协议更新”的下级菜单:“从Allot 网站…”。如下图:
如果网络连接正常,会在弹出的对话框中显示可用的更新协议,根据需要单击“现在更新”,完成NX 协议包更新操作。
2.8.3 将协议安装到设备
NX 的协议包升级完成后,会自动检测设备的版本,然后提示更新。如需手动安装协议包到设备,在菜单栏的“工具”菜单中,选择“协议更新”的下级菜单:“安装到设备…”。如下图:
2.9 用户配置操作
NX 平台有三种操作权限用户:
l
Monitor(监视)用户:只能做监视(查看报表),不能新建、修改配置策略;
l
Regular(普通)用户:可以监视,并可新建、修改配置策略;
l
Admin(管理员)用户:除具备普通用户的所有权限外,还可以创建用户、修改用户权限。
2.9.1帐户密码修改
以修改 admin 用户密码为例:在NX 菜单栏选择“工具” 菜单下的“用户配置”,系统会弹出“用户配置编辑器”对话框,选择admin 帐户,单击对话框右侧的“编辑…”按钮,在弹出的“用户编辑器”对话框中会显示更改密码的界面,更改后保存即可。
2.9.2新建用户帐户
以新建 monitor 账户为例:单击“用户配置编辑器”对话框右侧的“增加…”按钮,会弹出“用户编辑器”对话框,在这个对话框中填写要建立的monitor 帐户名称、密码,并将“角色”选择为“监视”,然后点击“保存”,即完成monitor 帐户的建立
