1 簡介
1.1 設備介紹
1.1.1 NetXploeer三層結構
Allot設備的管理如上圖所示,采用三層結構。
1)NetEnforcer層,包括所有型號的NetEnforcer設備連接到用戶的網絡中,在這一層主要起到收集網絡數據和實施策略的作用。
2)NetXplorer層,在服務器中安裝特定版本的Java SDK 和NetXplorer 軟件,在這一層中NetXplorer 服務器中存儲了各種協議、策略等,並從NetEnforer 端收集網絡數據存儲在數據庫中,並可以做NetEnforcer 的基礎配置及策略配置,下發到遠端的NetEnforcer。
3)用戶使用界面層(GUI),可以是任何的具有瀏覽器的和安裝了特定版本的JRE 的客戶端。在這一層GUI 中起到管理的作用。
注:
當一台NetXplorer管理到5台以上AC1000或AC2500、10台以上的AC800、或15台以上的AC400則需要使用到Data Collector。
通過以上結構,我們可知 Allot 流量管理設備主要有兩種管理方式:
① 命令行界面管理(直接在NetEnforcer上進行操作)
② 圖形界面管理(通過NetXplorer 對設備進行管理)
1.1.2 設備介紹
采用設備型號ALLOT NetEnforcer AC-504。
1.2 管理方式
1.2.1 命令行管理方式
命令行界面管理,即命令行的操作與管理,可以通過三種方式進入:
1)超級終端: 進入字符管理界面。使用超級終端登錄(波特率:19200,數據位:8,奇偶校驗:N(無),停止位:(1)
2)SSH(V2):直接采用IP地址登錄設備
3)Telnet:直接采用IP地址登錄設備
進入命令行后,可以使用兩個用戶名登錄:admin和root, 其密碼分別為:allot 和bagabu,其兩個用戶有區別在於使用的權限不一樣:
1)admin 用戶只能對設備作簡單的配置
2)root 具有超級用戶的權限,二者的密碼都可以根據用戶的需求進修改
1.2.2 圖形界面管理方式
圖形界面操作方式,就是 NetXplorer(以下簡稱NX)的管理界面,用戶可以通過訪問NX 服務器的IP 地址來登錄其管理界面,其默認登錄的用戶名及密碼分別是:admin 和allot。(登錄后可以修改密碼,也可以創建不同權限的用戶)
目前主要allot的管理方式采用圖形界面NX管理。
2 圖形界面管理
2.1 NX管理
在 PC 機上的瀏覽器(如IE、Chrome 等)地址欄中直接輸入NX 服務器的IP 地址,然后按“回車”鍵,在彈出的IE 界面中選擇第二個選項“Launch NetXplorer”
如下圖:這前提需要操作的PC 機上裝有JRE(Java 運行環境)版本,如果操作PC 機上未安裝JRE,需要運行第一個選項,安裝完成后,在彈出界面輸入用戶名和密碼。
2.2 語言切換
登陸后默認語言為英文,通過下面方式可更改其他語種:
“Tools”下拉菜單選擇“Display Language Configuration”共有 3 種語言可以選擇,分別為:英語/韓語/中文三種,選擇“Chinese”點擊“Save”保存選項,系統會要求重新打開中文的NX 管理界面。實施步驟如下
2.2 界面各功能區域介紹
NX 圖型界面分為:菜單欄、工具欄、配置選項區(導航欄)、明細區(策略、數據、圖表顯示區)、警告欄 5 部分。
2.2.1 菜單欄
如下圖,顯示的是“菜單欄”和“工具欄”,最上面區域是菜單欄,分別為“文件”“編輯”“視圖”“動作”“工具”“窗口”“幫助”,主要NX 界面的各項操作,如添加設備、編輯策略、定義主機、定義報表、更改語言、流量監視、窗口排列等功能都可以通過各菜單項實現。
2.2.2 工具欄
如上圖,在菜單下是“工具欄”,各工具按鈕是功能菜單的快捷鍵,方便用戶操作。
2.2.3 導航欄
在界面的最左側為導航欄,導航欄是對 NX 平台功能的分類。如下圖,“導航欄”分別有:
①“網絡”:“網絡”欄中所列的是 NX 管理平台所管理的流量控制設備及實時數據收集和長期數
據收集兩個服務狀態,並且在“網絡”中,列出了每個流控設備下所做的策略,是一個樹形結構。在每個策略或設備上都可以查看該設備或策略的屬性或流量情況。
②“類別”:NX 平台的對象都需要在“類別”中定義,如構成策略的條件有:主機、服務、時間等對象;對策略起到控制作用的動作有:QoS 和DoS 等對象。這些對象都存放於類別中,配置策略時,可以在策略編輯表中直接調用。而且Allot 提供了便利的操作方式,即點擊左側導航欄中相應的選項,在明細區中會連動顯示對應的明細。
③“時間/告警”:事件/告警是NX 平台為用戶提供流量管理及監視設備運行狀態的輔助工具。用戶可以根據實際需要對某種流量進行告警閾值設定,當流量超過/等於或低於閾值時,會產生(取消)告警信息,並支持發郵件給管理者。
④“報告”:NX 平台支持的網絡流量監視視圖超過100 種,而這100 多種視圖都可以設定成報告形式展現給管理者,並且支持定時生成、特定格式如:JPG/PDF/CSV/HTML 等、報表生成后自動發郵件等功能。
⑤“群組”:NX 平台為用戶提供了策略流量對比功能,用戶可以通過群組的方式將幾個經常需要對比流量的策略放在一起進行監視,極大的方便用戶對網絡情況的掌握。
⑥“NPP賬戶”:多用於運營商用戶,即用戶可以建立一個或多個NPP 帳戶,將網絡中符合某些條件(如IP 地址、服務等)的流量管理權限交給這些特定的NPP 帳戶進行管理。NPP 管理界面是NX 操作
界面的簡化版,與NX 界面類似。
2.3.4 明細區
在導航欄的右側,空間最大的區域為明細區。所有的流量監視、策略配置、類別定義等操作都是在這個區域進行的。而且在導航欄中各功能區進行相關操作,在明細區會連動顯示。
點擊明細區的各標題項,可以相互切換明細區的當前顯示界面。如下圖:
2.2.5 告警區
在“導航欄”和“明細區”的下方是“告警區”,來自設備及策略的所有重要和嚴重告警信息都會及時的顯示在告警區中,並且可以提供相應的問題描述
2.3 導航欄-配置類別catalogs
在 NX 平台上,導航欄中的“類別”項可以定義主機、時間、DOS、QoS 等對象,流量控制策略是由這些對象構成的。
單擊導航欄中“類別”內的各對象項,在明細區會連動顯示相應內容。如下圖,單擊“類別”中“主機”項,在明細區會顯示NX平台內所有主機的配置情況。
2.3.1 主機hosts
在一個主機列表中,可以包含主機名、單個IP 地址、IP range(IP 地址范圍)、 IP subnet(IP 子網)、MAC 以及以上的集合。定義主機簡單分如下幾步:
1、在導航欄中單擊“類別”;
2、在“類別”列表中選擇“主機”項,這時在明細區會顯示所有主機列表;
3、在明細區的主機列表中點擊右鍵,在右鍵菜單中選擇“新建主機列表”;
4、在彈出的主機定義對話框中設定主機名、主機項等,並保存。
2.3.2 定義時間times
時間條件:分為每天的幾點到幾點、每周中的每天幾點到幾點、每月的每天幾點到幾點、每年選項。
設定時間時,注意如果使用時間條件,要把24 小時嚴格進行設置不要漏掉一些時段且不要跨躍午夜0 點。最常用的時間段設置有如下兩種:
2.3.2.1 普通“每天”設置(不分周六、周日)
1、工作時間:(包含2 個時間段,即上午和下午)
a) 上午:“頻率”設置為‘每天’,“時間段”設置為:起始‘07:50’,結束‘11:30’
b) 下午:“頻率”設置為‘每天’,“時間段”設置為:起始‘13:00’,結束‘17:00’
2、休息時間:(包含3 個時間段)
a) 中午:“頻率”設置為‘每天’,“時間段”設置為:起始‘11:30’,結束‘13:00’
b) 晚上:“頻率”設置為‘每天’,“時間段”設置為:起始‘17:00’,結束‘00:00’
c) 晚上:“頻率”設置為‘每天’,“時間段”設置為:起始‘00:00’,結束‘07:50’
2.3.2.2 包含周六、周日的時間段設定
1、工作時間:(包含每周一、二、三、四、五的上午和下午時間段,共10 個時間段)
a) 上午:“頻率”設置為‘每周’,“時間段”設置為:起始‘07:50’,結束‘11:30’
“循環”設置為‘Monday/Tuesday/Wednesday/Thursday/Friday’,每個設置1 次,在列表中共5 個“上午”時間段
b) 下午:“頻率”設置為‘每周’,“時間段”設置為:起始‘13:00’,結束‘17:00’,
“循環”設置為‘Monday/Tuesday/Wednesday/Thursday/Friday’,每個設置1 次,在列表中共5 個“下午”時間段
2、休息時間:(包含每天中午、晚上及周六、周日,5 個時間段)
a) 中午:“頻率”設置為‘每天’,“時間段”設置為:起始‘11:30’,結束‘13:00’
b) 晚上:“頻率”設置為‘每天’,“時間段”設置為:起始‘17:00’,結束‘00:00’
c) 晚上:“頻率”設置為‘每天’,“時間段”設置為:起始‘00:00’,結束‘07:50’
d) 周六:“頻率”設置為‘每周’,“時間段”設置為:‘所有天’,“循環”設置為“Saturday”
e) 周日:“頻率”設置為‘每周’,“時間段”設置為:‘所有天’,“循環”設置為“Sunday”
\
2.3.3 服務質量QoS
QoS 動作:建立QoS 要注意 QoS 分為Line、Pipe、VC 三種級別。
l 三種級別分別對應策略表中的Line、Pipe、VC 三個級別,相同級別的QoS 設置可以相互調用;
l 不同級別使用不同級別的 QoS 動作,通過QoS 動作設置雙向最小帶寬保障、最大帶寬限制。
如下圖:設置pipe 級別的最大1M 帶寬限制。
2.3.4 DoS
DOS 動作:DOS 動作定義了最大連接數、最大連接數建立/秒(不建議設置該屬性)
兩個屬性,超過設置的數值可以選擇丟棄或拒絕兩個動作。
2.4 導航欄-配置網絡-策略policy
建策略主要分兩步:
第一步是建立“條件”和“動作”的對象,這些對象需要在“類別catalogs”中建立;
第二步是在“策略表”中建相應的pipe 和VC,然后再把這些建好的“條件”和“動作”的對象加到策略表中來,加完后確保無誤再保存,使其生效。如下圖:定義一個名稱為ERP的內部YK訪問外部erp_server,保證帶寬8~10M 。
2.4.1 Policy表的“列”的選擇
下圖顯示列、pipe、vc的格局分配:
在list表中右鍵菜單-“執行策略編輯器”,在明細區顯示出所有的策略:
在策略表中包含不常用的列表內容,如“描述”、“DoS”等。
在“標題列”中右鍵-“策略表的列內容配置”會彈出如下右鍵菜單添加。
2.4.2 Pipe、VC 定義(以Piep 為例 VC 類似)
建立 Pipe、VC 並對Pipe、VC 的條件和動作進行選擇。在策略表中的某個pipe上點擊右鍵,在彈出的右鍵菜單中可以看到“插入 Pipe…”和“插入 Pipe Template…”以及“移動向上”和“移動向下”等幾個選項。
當選擇“插入 Pipe…”后,系統會彈出如下圖的Pipe 編輯對話框,要完成這個pipe的定義,可在這個對話框中可以填寫Pipe 的“名稱(只能寫英文+數字)”例如:“vlan68”;在“描述”中可以寫中文,如“辦公廳”;雙擊“條件”框中的“內部”列選擇之前定義的主機列表,如‘Vlan68’,然后選擇“OK”。
注意:在這里執行“OK”后,此對話框關閉,回到策略表。但此策略並未真正生效,需要再進一步確認,在確認保存之前還可以對這個Pipe 中的其他“條件”或“動作”進行修改。
2.4.2.1 對新建Pipe 中各“條件”的選擇(包括:內部、外部、服務、時間)
1)選擇主機(內部主機和外部主機)
2)選擇時間:
3)選擇協議:
2.4.2.2 對新建Pipe 中各“動作”的選擇(包括:QoS、DoS、動作訪問)
1)QoS:(帶寬限制或帶寬保障):
2)DoS(限制連接數):
3) 訪問動作:
2.4.2.3 策略即時生效操作
完成對 Pipe、VC 的主機、協議、時間條件選擇及訪問動作選擇、QoS 控制選擇、DoS控制選擇后,點擊“工具按鈕”中最左側的“保存”按鈕,即完成策略的即時生效。如下圖:單擊左上角保存策略按鈕。
2.5 實時監視流量
由於圖形界面的管理平台是基於 Jave 開發的,因此流量的顯示都呈動態顯示(每30秒刷新一次),同時它還支持不同方式的顯示,有餅圖、柱狀圖、線圖、數據列表。
監視分為實時(Real-Time Monitoring)和長期 (Long-Term Reporting)。
監控的內容可以是網絡的總流量、流量所占帶寬的百分比、pipe 的流量、VC 的流量、協議的流量、主機流量、連接數、新增連接數、數據包、點到點的連接(即會話)。
2.5.1 統計視圖
實時監視中的統計視圖是展現一段時間內,監視對象的流量走勢情況,包括:總流量、入流量、出流量、入數據包、出數據包、並發連接、新建連接、Drop 連接等。
2.5.1.1 全網流量統計
右鍵點擊導航欄“網絡”下的“YK_Allot_504”(YK_Allot_504為流量管理設備名稱),在這個級別查看流量,稱為設備級查看。在彈出的右鍵菜單中選擇“實時監視”,然后在“實時監視”的下級菜單中選擇“統計”,如下圖:
點擊統計后,會彈出“統計”的屬性對話框,在此對話框中包括“時間”選項和“顯示”選項,設置完點擊“OK”按鈕、在明細區會彈出如下監視視圖:如下圖:例:以30 秒為解析粒度查看10分鍾內的流量
在上圖中,點擊“表格視圖”按鈕,可得到如下表格視圖:
2.5.1.2 各pipe流量統計
監視某個 Pipe 的流量統計:可以選擇“網絡”——“設備”,點開“設備”前的“+”,從樹形結構上查看設備中的Pipe,然后在目標pipe 上直接點擊右鍵,選擇“實時監視”—“統計”,如下圖:
2.5.1.3 各VC 流量統計
查看 VC 的統計流量,方法同Pipe,如下圖:
2.5.2 監控視圖
2.5.2.1 排名視圖
在設備級監控整個設備的Pipe排名。
a)如下圖設置:在網絡欄的設備上點擊右鍵,在彈出的右鍵菜單選擇“實時監視”—“pipes”
b)設置實時監視pipe 的屬性
c)顯示出監控 Pipe 結果
2.5.2.2 主要pipe走勢監視
查看 Pipe 走勢只需要更改Pipe 的排名監視的屬性,如下圖:選定“實時監視:pipe”屬性頁中的“指定pipes”選項,然后將左側的目標pipe 加入到右側,如下圖:
a) 編輯實時監視pipe 的屬性
b) 顯示出監視 pipe 走勢結果
2.5.3 協議監控
2.5.3.1 全網協議監控TOP10
a) 實時監視協議的屬性設置
b) 顯示協議監控結果
2.5.3.2 全網指定協議走勢
2.5.4 內部主機監控
2.5.4.1 全網內部主機實時監控
2.5.4.2 各Pipe內部主機實時監控
2.5.4.3 各VC內部主機實時監視監控
2.5.5 會話監控
2.5.5.1 全網主機會話監控
2.5.5.2 各Pipe會話監控
2.5.5.3 各VC會話監控
2.5.6 關聯下探監控
在圖形界面上對各流量視圖進行關聯下探監控功能是 Allot 一個進行數據深度挖掘的重要工具,通過不同層次的關聯下探可以對網絡流量進行層層剖解式的監控。比如通過對全網流量的統計視圖進行關聯,可以關聯到最活躍的pipe、最活躍的VC、最活躍的主機、最活躍的協議以及會話等。通過關聯下探功能,可以精確方便的查看網絡中特定時間段內主機使用的協議、占用的帶寬、連接的會話等信息。
2.6 長期監控流量
長期監控是對讀取歷史保存網絡流量的日志,可隨時將之前的數據調出,對網絡質量分析、網絡擴容分析有很大作用。
以下為長期監控全網協議統計、帶寬統計,Pipe 內部主機;VC回話監控結果如下圖:
2.7 報表配置
2.7.1 收藏報表
2.7.2 報告功能
報告功能可以設置每天某一時間自動發送報告數據,數據自動生成報表文件保存在服務器指定文件夾“$Allot\netxplorer\jboss-4.0.5\server\allot\reports”中。NX 平台支持的網絡流量監視視圖超過100 種,而這100 多種視圖都可以設定成報告形式展現給管理者,並且支持定時生成特定格式如:JPG/PDF/CSV/HTML 等,報表生成后可自動發郵件到指定郵箱等功能。
2.8 NX協議包升級操作
Allot 設備NetEnforcer 及集中管理平台NX平台支持本地協議包升級和在線協議包升級方式。
2.8.1 本地協議包升級
在 NX 菜單欄的“工具”菜單中,選擇“協議更新”,“協議更新”共有:“從Allot 網站…”、“從本地數據包…”、“安裝到設備…”、“回退NetXplorer(服務器)到以前的版本”、“回退設備到以前版本”5 個下級菜單,選擇“從本地數據包…”。如下圖:
本地升級需要把協議包文件放到 NX 服務器中,然后在彈出的對話框的文本輸入區域輸入協議包所在的絕對路徑(如下圖):
2.8.2 Allot 網站升級(推薦升級方式)
在菜單欄的“工具”菜單中,選擇“協議更新”的下級菜單:“從Allot 網站…”。如下圖:
如果網絡連接正常,會在彈出的對話框中顯示可用的更新協議,根據需要單擊“現在更新”,完成NX 協議包更新操作。
2.8.3 將協議安裝到設備
NX 的協議包升級完成后,會自動檢測設備的版本,然后提示更新。如需手動安裝協議包到設備,在菜單欄的“工具”菜單中,選擇“協議更新”的下級菜單:“安裝到設備…”。如下圖:
2.9 用戶配置操作
NX 平台有三種操作權限用戶:
l Monitor(監視)用戶:只能做監視(查看報表),不能新建、修改配置策略;
l Regular(普通)用戶:可以監視,並可新建、修改配置策略;
l Admin(管理員)用戶:除具備普通用戶的所有權限外,還可以創建用戶、修改用戶權限。
2.9.1帳戶密碼修改
以修改 admin 用戶密碼為例:在NX 菜單欄選擇“工具” 菜單下的“用戶配置”,系統會彈出“用戶配置編輯器”對話框,選擇admin 帳戶,單擊對話框右側的“編輯…”按鈕,在彈出的“用戶編輯器”對話框中會顯示更改密碼的界面,更改后保存即可。
2.9.2新建用戶帳戶
以新建 monitor 賬戶為例:單擊“用戶配置編輯器”對話框右側的“增加…”按鈕,會彈出“用戶編輯器”對話框,在這個對話框中填寫要建立的monitor 帳戶名稱、密碼,並將“角色”選擇為“監視”,然后點擊“保存”,即完成monitor 帳戶的建立