1、Copyright2014 Semptian Technologies Co., Ltd. All Rights R深圳市恒揚科技有限公司FS9000FS9000產品培訓（旁路部署）產品培訓（旁路部署）深圳市恒揚科技股份有限公司2121認識分流器31 1 現狀認識分流器 隨著互聯網大數據時代的到來，網絡帶寬飛速提高、網絡安全事故的頻繁出現對網絡安全、數據分析等提出了嚴峻挑戰。樓層接入交換機樓層接入交換機核心交換機核心交換機路由路由器器安全分析服務器安全分析服務器頭痛鏡像流量互聯網互聯網路由器鏡像數據流量過大，服務器不關心的流量太大等問題！造成項目成本過高而且效果很不理想！41 1 定位認識分流

2、器互聯網互聯網互聯網互聯網 客戶迫切渴望大流量與安全分析問題同時得到解決，而網絡分流器高效的解決了此問題。鏡像流量安全分析服務器安全分析服務器負載均衡負載均衡復制、過濾復制、過濾51 1 定位認識分流器 主要是通過部署在流量接入前端，對流量進行一系列預處理；在網絡中實現高效率的流量采集來配合集群分析設備聯合作戰，為運營商、增值服務商、解決方案商以及公共安全部門提供一個高效、可靠的解決方案。電信運行商電信運行商網絡應用交付網絡應用交付服務商服務商 網絡安全增值業網絡安全增值業務服務商務服務商數據通信服務商數據通信服務商61 1 效果認識分流器1 1.通過對輸入流量進行ACL過濾、復制、協轉等策略

3、，可以在提取需要的特定流量的同時還可以丟棄不需要的流量。 2 2.分流、復制、過濾等多種策略的有效組合，不僅適應了帶寬的飛速增長還有效的降低了后端數據分析設備的壓力，從而大大降低了項目成本。7172認識FS900081831插入文本 機箱圖片物理形態91 2 物理形態機箱圖片認識FS90002U1S2U1S機箱機箱101 2 物理形態機箱圖片認識FS90003U2S3U2S機箱機箱111 2 物理形態機箱圖片認識FS90006U6S6U6S機箱機箱121 2 物理形態機箱圖片認識FS900016U14S16U14S機箱機箱13113312板卡圖片物理形態 機箱圖片141 2 物理形態板卡圖片認

4、識FS900010GE10GE前板卡前板卡管理串口管理串口管理網口管理網口8 8* *10GE 10GE 業務口業務口下子卡下子卡151 2 物理形態板卡圖片認識FS900010GE10GE前板卡前板卡161 2 物理形態板卡圖片認識FS900010G POS10G POS前板卡前板卡171 2 物理形態板卡圖片認識FS900040G POS40G POS前板卡前板卡1 1* *40G POS40G POS181 2 物理形態板卡圖片認識FS9000100GE100GE前板卡前板卡1 1* *100GE100GE191 2 物理形態板卡圖片認識FS900010GE10GE后板卡后板卡8 8*

5、*10GE10GE201202物理架構211 2 物理架構認識FS9000221222處理流程231 2 處理流程認識FS9000Groupinterfacedropforwardinputinput模塊模塊actionaction模塊模塊outputoutput模塊模塊上傳到上傳到CPU CPU處理后轉發處理后轉發入入接接口口出出接接口口rulerulerule模塊模塊241 2 Rule模塊認識FS9000Groupdropforwardactionaction模塊模塊outputoutput模塊模塊Rulemaskrulerule模塊模塊Rulestrings特征碼規則特征碼規則Grou

6、pdropforwardactionaction模塊模塊outputoutput模塊模塊RuleExtra mask 五元組規則五元組規則復制復制251253典型應用261 3匯聚典型應用 FS9000最大支持4.8T的流量接入，在保證流量不超過對應接口閥值的情況下，可以做到全部輸入流量從單個接口或者任意多個接口輸出。InterNet運營商骨干網服務器群271 3分流典型應用 FS9000支持在保證同源同宿的情況下，對10GE/40G POS/100GE流量進行分流，從為后端分析系統提供更好的數據支撐。InterNet運營商骨干網服務器群281 3流量提取典型應用GE/10GE/10GPOS/

7、GE/10GE/10GPOS/40G POS/100GE40G POS/100GE全部流量全部流量rulerule需過濾流量需提取流量FS9000FS9000 FS9000可以根據特定流量的五元組、特征碼等信息對輸入流量進行提取，從而達到為后端分析系統提供數據支撐的目的。丟棄服務器群291 3流量復制典型應用全部流量全部流量rulerule需過濾流量需提取流量FS9000FS9000 FS9000可以對輸出流量進行復制，從而達到為后端分析系統提供多份數據支撐的目的。丟棄服務器群復制復制服務器群GE/10GE/10GPOS/GE/10GE/10GPOS/40G POS/100GE40G POS/

8、100GE301303案例分享3113131登錄設備案例分享321 3數據準備案例分享登錄設備 FS9000提供登錄設備的方式主要有2種：串口和網口（Telnet和ssh） 。在串口登錄設備前，需要進行如下準備：331 3數據準備案例分享登錄設備 FS9000提供登錄設備的方式主要有2種：串口和網口（Telnet和ssh）。在網口登錄設備前，需要進行如下準備：341 3登錄過程案例分享登錄設備 以遠程telnet登錄為例，登錄過程如下：1. 在電腦運行對話框中，運行cmd命令，進入到本地文件夾路徑。2. 執行以下命令通過維護終端連接FS9000業務板。# telnet 0

9、0 100003.按提示輸入用戶名admin和密碼admin.35135312登錄設備設備檢查案例分享361 3模塊檢查案例分享設備檢查模塊檢查，檢查本槽位的各個模塊是否存在并正常。如下圖：載板上子卡下子卡后卡處理板序列號查看命令371 3接口檢查案例分享設備檢查接口檢查，檢查接口是否存在并正常。如下圖： 標注的含義為2槽位上子卡的4端口（2/0/4），線路模式為LAN，速率為10Gbps，目前接口狀態為UP，“-”表示默認設置。查看命令381 3版本檢查案例分享設備檢查版本檢查，檢查板卡版本是否需要升級。如下圖： 版本號為：4.1.0 B5918查看命令391 3規則檢查案例分享設備檢查規則

10、檢查，檢查規則是否正常配置。如下圖： “rule”開頭的即為設置的規則查看命令401 3流量查看案例分享設備檢查流量查看，檢查接口是否符合預期。如下圖： 實時速率查看命令 包實時速率 累計包數 累計字節數 歷史最大速率41141312 3案例分享登錄設備設備檢查I P修改421 3IP修改案例分享IP修改，對管理IP進行修改，并檢查是否設置成功。如下圖： IP設置命令 是否修改IP 是否立即生效 查看IP是否設置成命令 設置成功的IP431 3IP修改案例分享IP修改，對管理IP進行修改，并檢查是否設置成功。如下圖： 網關設置命令 是否修改網關 是否立即生效 查看網關是否設置成功 設置成功的網

11、關44144312 3 4案例分享登錄設備設備檢查I P修改升級451 3升級流程案例分享升級檢查系統版本開始檢驗升級文件上傳升級文件執行升級重啟系統確認升級結果結束461 3檢查版本案例分享升級 版本號為：4.1.0 B5918查看命令471 3上傳文件案例分享升級以windows下的Winscp為例：分流器管理IP分流器用戶名和密碼，均為admin傳輸協議必須為SCP481 3上傳文件案例分享升級 Winscp連接設備后，選中windows目錄中的升級文件，點擊右鍵，選擇“上傳”選項，將升級文件上傳到FS9000的升級目錄/home/admin/upgrade。491 3上傳文件案例分享升

12、級查看升級文件命令軟件升級文件固件升級文件501 3執行升級案例分享升級固件升級軟件升級升級成功提示511 3重啟案例分享升級固件升級軟件升級升級成功提示521 3確認結果案例分享升級同第一步驟53153312 3 4 5匯聚應用案例分享登錄設備設備檢查I P修改升級541 3需求描述案例分享匯聚應用 需求描述：所有接口均為10GE，其中輸入接口為2/0/0、2/0/1、2/0/2、2/0/3,需將所有流量匯聚從2/0/4口輸出。 數據流程示意圖如下： 2/0/0 2/0/1 2/0/2 2/0/3 2/0/4 2/0/5 2/0/6 2/0/7 2/1/0 2/1/1 2/1/2 2/1/3

13、 2/1/4 2/1/5 2/1/6 2/1/7 551 3規則配置案例分享匯聚應用1. 創建輸出接口組FS9000(admin)# oifgrp 1 add 2/0/42. 查看輸入接口對應編號FS9000(admin)# show iifgrp all3. 配置轉發規則FS9000(admin)# rule mask v4 add 1 0/0 0/0 0/0 0/0 any * * 1-4 forward 11. 創建輸出接口組并添加對應接口4. 保存配置FS9000(admin)# save561 3規則配置案例分享匯聚應用說明對應參數實例說明規則序號1。設定優先級規則為1。源IPA.B

14、.C.D/A.B.C.D0/0目的IPA.B.C.D/A.B.C.D0/0源端口P/m0/0目的端口P/m0/0協議類型 tcp | udp | icmp | sctp | any anytcpflag (fin | syn | rst | psh | ack | urg | all | any) | Tcpflag/m *不關心payloadPayload-Id*不關心輸入接口Iifgrp-Id1-4設定輸入接口為0-3。執行動作 drop | forward forward 1轉發到輸出接口組1。57157312 3 4 5 6分流應用案例分享12 3 4 5匯聚應用登錄設備設備檢查I P

15、修改升級581 3需求描述案例分享分流應用 需求描述：2/0/1接口為輸入接口，并且速率為40G POS，其余接口均為10GE，需將輸入流量從2/0/1口負載均衡輸出。 數據流程示意圖如下： 2/0/1 2/1/0 2/1/1 2/1/2 2/1/3 2/1/4 2/1/5 2/1/6 2/1/7 591 3規則配置案例分享分流應用1. 創建輸出接口組FS9000(admin)# oifgrp 1 add 2/1/0-52. 查看輸入接口對應編號FS9000(admin)# show iifgrp all3. 配置轉發規則FS9000(admin)# rule mask v4 add 1 0/

16、0 0/0 0/0 0/0 any * * 1 forward 11. 創建輸出接口組并添加對應接口4. 保存配置FS9000(admin)# save 60160312 3 4 5 6流量提取7案例分享12 3 4 5匯聚應用登錄設備設備檢查I P修改升級分流應用611 3需求描述案例分享指定流量提取 需求描述：所有接口均為10GE，其中輸入接口為2/0/0、2/0/1、2/0/2、2/0/3, 2/0/4、2/0/5、2/0/6、2/0/7，需將所有輸入流量中的http流量從2/1/0口輸出。 數據流程示意圖如下： 2/0/0 2/0/1 2/0/2 2/0/3 2/0/4 2/0/5 2

17、/0/6 2/0/7 2/1/0 2/1/1 2/1/2 2/1/3 2/1/4 2/1/5 2/1/6 2/1/7 621 3規則配置案例分享指定流量提取1. 創建輸出接口組FS9000(admin)# oifgrp 1 add 2/1/0-52. 查看輸入接口對應編號FS9000(admin)# show iifgrp all3. 配置轉發規則FS9000(admin)# rule mask v4 add 1 0/0 0/0 0/0 80/0 xffff any * * 1-8 forward 11. 創建輸出接口組并添加對應接口4. 保存配置FS9000(admin)# save6316

18、3312 3 4 5 6流量復制7 8案例分享登錄設備設備檢查I P修改升級匯聚應用分流應用流量提取641 3需求描述案例分享流量復制 需求描述：所有接口均為10GE，其中輸入接口為2/0/0、2/0/1、2/0/2、2/0/3, 2/0/4、2/0/5、2/0/6、2/0/7，需將所有輸入流量中的http流量從2/1/0口輸出，同時需將2/0/6、2/0/7 的所有流量從2/1/1輸出。 數據流程示意圖如下： 2/0/0 2/0/1 2/0/2 2/0/3 2/0/4 2/0/5 2/0/6 2/0/7 2/1/0 2/1/1 2/1/2 2/1/3 2/1/4 2/1/5 2/1/6 2/1/7 651 3規則配置案例分享1. 創建輸出接口組并添加對應接口FS9000(admin)# oifgr