DPX培训-流定义

流定义迪普科技培训中心杭州迪普科技有限公司BeyondYourImagination引言业务流定义根据报文入接口或是出接口进行报文引流多种报文转发模式支持跨框引流支持主备业务板卡冗余支持云板卡转发课程目标了解业务流定义技术原理熟悉业务流定义应用场景掌握业务流定义基本配置及常见问题了解云板卡技术原理未经授权禁止扩散基础知识（1）目前我司DPX使用的是紧耦合模式，业务板卡上只有数据面处理，控制面处理都处于主控板上。接口、芯片资源属于主控，业务板上的接口也是由主控板统一管理。默认情况下，接口收到报文都是通过芯片进行处理，芯片能正常进行转发（二三层转发）芯片都直接处理，报文不会送到业务板CPU处理。芯片不能做安全业务（如NAT、审计、流控等），需要由业务板CPU或逻辑（FPGA）处理。Page4未经授权禁止扩散基础知识（2）DPX在物理上为一个分布式机框，该机框上有若干个插槽，每个插槽可插入一块板卡。所有板卡共用统一的电源和风扇。DPX上有三种类型板卡：主控板、业务板、交换板Page5未经授权禁止扩散基础知识（3）主控板：用于控制整台DPX正常运行、统一管理所有板卡的配置下发和状态显示、统一存储DPX的所有配置文件。业务板卡：实现各种网络业务、安全业务和应用功能的板卡，包括防火墙板、IPS板、UAG板、ADX板、GUARD板等。业务板卡需要运行与主控板版本相对应的版本文件。交换板卡：仅具有网络接口的板卡，用于向本装置提供网络接入、流量转发功能Page6未经授权禁止扩散基础知识（4）业务板除了按照类型外还可以分为：1代板、1.1代板、1.5代板、2代板、2.1代板；2代板和2.1代板除了CPU外还有FPGA(逻辑)DPX上各板卡通过背板连接，板卡间数据通信通过背板进行转发业务板有CPU口（vethx_29，x指的是槽位）概念，但是在带有FPGA的板卡上，CPU口（vethx_29）指的是进入逻辑的相应的接口。Page7CPU口封装内部口板卡类型封装内部口1代板iethx_24,iethx_251.5代板iethx_28,iethx_30,iethx_31,iethx_322代板iethx_28,iethx_31,iethx_32,iethx_33未经授权禁止扩散内部连接示意图（A5）Page8图片右侧56700为背板芯片左侧四个芯片分别代表各槽位芯片通过图片可以看出各业务板卡间并没有直接连接，而都是和背板芯片连接，业务板间相互通信都需要通过背板芯片。未经授权禁止扩散内部连接示意图（一代板）Page9右侧上面56700表示背板芯片右侧中间56314表示业务板卡上的芯片右侧下面xlr732表示业务板CPU，通常所说的CPU口vethx_29封装的是iethx_24和iethx_25(一代板卡上)目录业务流定义分类流定义白名单处理方案业务流定义使用网络场景云板卡技术原理未经授权禁止扩散流定义简介业务流定义有基于入接口引流和出接口引流两种不同的方案，业务流定义和出接口流定义业务流定义：按照报文的入接口定义报文需要经过哪些业务板卡的一种组网模式。出接口流定义：按照报文的出接口定义报文需要经过哪些业务板卡的一种组网模式，目前只支持按照三层转发的出接口配置出接口流定义。因为设备是紧耦合统一管理，同一个报文在经过不同的业务板卡时，在业务板卡上看到的报文应该都是一致的。Page11未经授权禁止扩散使用流定义前准备业务流定义分为各种模式，每种板卡只能工作在一种模式下，在配置业务流定义前需要先将对应的业务板卡配置好工作模式，没有配置模式的板卡在业务流定义的业务选项中不会出现。物理板卡默认都有工作模式，云板卡在配置后没有默认的工作模式，云板卡的工作模式需要和云板卡中的物理板卡工作模式一致。流定义是将流量送到业务板卡的CPU处理，所以要使用的业务板卡的CPU状态必须是OK，CPU非OK状态的业务板卡将不会在业务流定义的业务选项中出现。Page12未经授权禁止扩散主备业务板主备业务板，主备业务板卡的工作模式处于抢占式模式下，即只要主业务板卡正常业务都引流到主业务板卡上处理，只有主业务板卡故障时，流量才会切到备业务板卡上，如果一个业务的主备业务板卡都故障，流定义会自动跳过此业务，直接引流到下一业务板卡。Page13业务bypass，在业务运行中可以直接将某个业务直接bypass，这会使报文直接跳过对应的业务板卡，直接送下一个业务或是直接送接口送出设备。Page14未经授权禁止扩散业务流定义分类在线转发流定义在线透明流定义旁路流定义透明串接流定义Page15未经授权禁止扩散在线转发流定义在线转发模式在线转发流定义是指业务流量需要在业务板上做二三层转发业务，即需要根据配置的二层或三层转发表来确定流量的出接口。使用场景：使用板卡：FW、ADX、GUARD、WAF、RT、BRASPage16未经授权禁止扩散在线转发流定义在线转发流定义在线转发流定义根据入接口进行引流，物理接口选择的是报文的入接口，后面的的匹配条件都是在入接口的条件上再新增其他的条件进行引流。从入接口到第一业务使用的ACL的方式进行引流，业务板卡间的报文转发由软件的板间转发表项控制。Page17未经授权禁止扩散在线转发流定义分为四种引流模式：正常模式、MPLS模式、三层物理口模式、bras模式。正常模式下，流定义只会将已知单播IP报文送到配置业务1对应的业务板卡，其他报文都不会引流到业务板卡，将继续由芯片处理。VRRP报文在正常模式下会被送到业务板卡，匹配的是VRRP的MAC地址（01:5e:00:00:12）。Page18未经授权禁止扩散在线转发流定义MPLS模式下，流定义是在正常模式中增加了对带有MPLS头的报文引流到业务板的动作，会将已知单播IP报文和MPLS报文送到业务1对应的业务板卡。VRRP报文在MPLS模式下会被送到业务板卡，匹配的是VRRP的MAC地址（01:5e:00:00:12）。Page19未经授权禁止扩散在线转发流定义三层物理口模式和bras模式会将接口上的所有报文都引流的业务板卡上。Page20未经授权禁止扩散在线转发流定义在线转发流定义支持多业务板混插，使用多业务板混插时，报文按照配置顺序依次经过各业务板卡，报文在各业务板卡上做安全业务但只在最后一块业务板卡上做转发业务。为保证正反向报文的经过路径一致性，正向报文的出接口即为反向报文的入接口，板卡的混插顺序应该是正向报文的入接口反向。目前已都使用透明串接代替多业务板在转发混插。Page21未经授权禁止扩散在线转发流定义支持VIP流定义，在线转发流定义中支持了按照IP引流的方案，可以指定某些IP地址引流到哪些业务板卡上，源IP和目的IP选择的是IP地址对象中配置的IP地址对象。Page22未经授权禁止扩散在线透明流定义在线透明模式在线透明是报文根据配置的接口对进行转发的一种组网模式使用板卡：UAG、IPS、FW、WAF、GUARDPage23未经授权禁止扩散在线透明流定义在线透明模式在线透明模式是一种不需要进行二三层转发的流定义模式，报文直接根据配置的透明接口接口对进行转发，即报文从接口对中的一个接口进入设备做完相关业务后会从同一个接口对中的另一个接口送出设备。配置在线透明时需要注意透明接口对的两个接口需要配置在同一个VLAN中，这是为防止广播报文可能会洪泛到VLAN的其他接口上。Page24未经授权禁止扩散在线透明流定义支持按接口上vlan引流，配置vlan选项后（与接口对所在VLAN没有关系），将会把从接口上来且报文中携带有配置的vlantag的报文送到对应的业务板卡。如果没有配置vlan选项，则会将接口上来的所有报文送到对应的业务板卡上。因为从接口到第一业务板卡是通过ACL方式进行的引流，配置VLANID由芯片限制，需要配置的对应的芯片支持VLAN选项。这个在选择好入接口后就决定了是否可以配置VLANID，如果前面配置的接口所在芯片不支持配置VLANID，则此选项直接不可以配置。Page25未经授权禁止扩散旁路流定义旁路模式业务板卡只能在旁路模式中使用，报文进入旁路业务板卡后不再送出设备使用板卡：UAG、IPS、GUARDPage26未经授权禁止扩散旁路流定义旁路流定义旁路流定义是一种报文在业务板卡上只做业务不做转发工作模式，报文在旁路业务板卡上做完相应的业务后不转出设备直接有旁路业务板卡丢弃。Page27未经授权禁止扩散旁路流定义支持按接口报文方向进行镜像报文，旁路模式目前使用的是镜像的方式将报文送到业务板卡，可以选择接口上哪个方向的报文做旁路业务处理，一般入方向（接收）都支持，出方向和双向镜像有些芯片不支持，对应的接口无法使用这两种镜像方式。Page28未经授权禁止扩散旁路流定义是否有在线业务是指从接口上来的报文除了做旁路业务外是否还需要做在线业务（包括在线透明和在线转发）。目前旁路流定义使用的是镜像的方式来实现报文送到旁路业务板卡，送到旁路板卡的只是镜像后的报文，接口上的原始报文如何处理由配置是否有在线业务来决定，如果配置有在线业务，则原始报文不丢弃，按照在线转发方式转发，配置为否则原始报文直接丢弃，不再送出设备。Page29未经授权禁止扩散透明串接流定义透明串接流定义业务板卡只能在透明串接中使用，透明串接与透明在业务板卡上都走透明流程，两者的区别是在线透明流定义的接口对是配置出来的，透明串接流定义的接口对是由程序计算出来的内部口，将内部口做为接口对使用。使用板卡：UAG、IPS、FW、WAF、GUARDPage30未经授权禁止扩散透明串接流定义透明串接透明串接是指在某接口上的报文在转发前转发后需要做业务，但又不影响组网环境的情况下增加透明业务板卡。透明串接不能单独使用，必须与在线转发同时使用，配置在透明串接上的接口必须在在线转发模式中有配置，因为透明串接板卡走的是接口对转发（使用内部口做接口对），不能将报文送出设备，需要由对应的转发业务板块进行二三层转发将报文送出设备。Page31未经授权禁止扩散透明串接流定义透明串接流定义支持业务bypass，可以直接将某一业务直接bypass掉，报文不再经过此业务，直接送到下一业务或是直接送到对应的转发板卡。透明串接业务板卡使用有规格限制，因为透明串接使用内部口作为接口对，接