君，已阅读到文档的结尾了呢~~
h3c网络售前专家gb10-154[高级]h3ce-presales-network_(..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
h3c网络售前专家gb10-154[高级]h3ce-presales-network_(a)_真题2014年12月
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口配置用户手册
H3C SecPath ACG1000系列应用控制网关 Web配置指导-6W104
1.1 OSPF简介
1.2 OSPF的特点
1.2.1 OSPF的Router-ID
1.2.2 OSPF的区域划分
1.2.3 OSPF 的路由器类型
1.2.4 OSPF的路由类型
1.2.5 OSPF的网络类型
1.2.6 OSPF的报文类型
1.2.7 协议规范
1.3 OSPF配置
1.4 OSPF网络配置
1.5 OSPF接口配置
1.6 配置举例
1.6.1 OSPF配置举例
OSPF（Open Shortest Path First，开放最短路径优先）是IETF（Internet
Engineering Task Force，互联网工程任务组）组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPF Version 2。
本节介绍配置OSPF所需要理解的知识，具体包括：
·&&&&&OSPF的特点
·&&&&&OSPF的报文类型
·&&&&&OSPF的区域划分
·&&&&&OSPF的路由器类型
·&&&&&OSPF的路由类型
·&&&&&OSPF的网络类型
·&&&&&OSPF的协议规范
本章所介绍的配置都是指OSPF version 2。
1.2& OSPF的特点
OSPF具有如下特点：
·&&&&&可适应大规模网络：支持各种规模的网络，最多可支持几百台路由器。
·&&&&&路由变化收敛快：在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。
·&&&&&无路由自环：由于OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。
·&&&&&支持区域划分：允许自治系统的网络被划分成区域来管理。路由器链路状态数据库的减小降低了内存的消耗和CPU的负担；区域间传送路由信息的减少降低了网络带宽的占用。
·&&&&&支持等价路由：支持到同一目的地址的多条等价路由。
·&&&&&支持路由分级管理：使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。
·&&&&&支持验证：支持基于区域和接口的报文验证，以保证报文交互和路由计算的安全性。
·&&&&&组播发送：在某些类型的链路上以组播地址发送协议报文，减少对其他设备的干扰。
1.2.1& OSPF的Router-ID
路由器标识是一个32位数字，使其用来独一无二的识别AS中的路由器。
OSPF协议需要路由器的Router-ID，作为本路由器在自治系统中的唯一标识。一般在协议任务启动后，会自动选出一个Router-ID。通常路由器先挑选IP地址最大的环回地址。若无环回地址，则在接口状态为up的物理接口中，选取最大的IP地址作为Router-ID。也可以指定一个Router-ID，并且指定的Router-ID优先级最高。
1.2.2& OSPF的区域划分
随着链路状态数据库的增大，计算SPF所需的时间也增加了，将网络分成较小的区域，并要求路由器与同一区域的路由器交换链路状态。这样传播的信息减少了。
·&&&&&降低CPU的负担；
·&&&&&减小LSDB的内存开销；
·&&&&&LSA相关计算和Flooding负担均降低。
2. 划分要求
·&&&&&为了控制开销和便于管理OSPF，支持将整个自治系统划分成域来管理，并且划分为骨干域和边缘域。
·&&&&&原则上要求每个非骨干区域要和骨干域直接相连，骨干域要求连通性强、带宽高。
·&&&&&当一台路由器配置两个以上的域时，必须有一个是骨干域。
3. 区域类型
骨干区域：所有的域间通信流量都必须通过骨干区域，非骨干区域之间不能直接交换数据包，区域0（或0.0.0.0）是骨干区域保留的区域ID号。
(1)&&&&&标准区域：一个标准区域可以接收链路更新信息和汇总路由。
(2)&&&&&末梢区域(stub
area)：只与一个区域相连的非骨干区域，不接受外部自治系统的LSA（类型5），区域内路由器会把去往外部网络的路由基于缺省路由（目的地址是0.0.0.0）发送出去。
(3)&&&&&完全末梢区域(totally stub area)：不接受类型3、类型4 和类型5的LSA，区域内路由器会把去往其它区域的路由基于缺省路由（目的地址是0.0.0.0）发送出去。
(4)&&&&&非完全末梢区域(Not-so-stubby-area，NSSA)：该区域是Stub区域的变形，与Stub区域的区别在于NSSA区域允许引入自治系统外部路由，由ASBR发布Type7 LSA通告给本区域。当Type7 LSA到达NSSA的ABR时，由ABR将Type7 LSA转换成Type5 LSA，传播到其他区域。
1.2.3& OSPF 的路由器类型
OSPF路由器根据在AS中的不同位置，可以分为以下四类：
·&&&&&区域内路由器（Internal Router）
该类路由器的所有接口都属于同一个OSPF区域。
·&&&&&区域边界路由器ABR
该类路由器可以同时属于两个以上的区域，但其中一个必须是骨干区域。ABR用来连接骨干区域和非骨干区域，它与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。
·&&&&&骨干路由器（Backbone Router）
该类路由器至少有一个接口属于骨干区域。因此，所有的ABR和位于Area0的内部路由器都是骨干路由器。
·&&&&&自治系统边界路由器ASBR
与其他AS交换路由信息的路由器称为ASBR。ASBR并不一定位于AS的边界，它有可能是区域内路由器，也有可能是ABR。只要一台OSPF路由器引入了外部路由的信息，它就成为ASBR。
1.2.4& OSPF的路由类型
OSPF使用4类不同的路由，按优先级由高到低排列如下：
·&&&&&区域内路由
·&&&&&区域间路由
·&&&&&第一类外部路由
·&&&&&第二类外部路由
区域内和区域间路由描述自治系统内部的网络结构；外部路由则描述了如何选择到自治系统以外的路由。第一类外部路由是指接收的是IGP路由（例如RIP、STATIC），由于这类路由的可信程度较高，所以，计算出的外部路由的花费与自治系统内部的路由花费的数量级相同，并且与OSPF自身路由的花费具有可比性，即到第一类外部路由的花费值＝本路由器到相应的ASBR的花费值加ASBR到该路由目的地址的花费值。第二类外部路由器是指接收的是EGP路由，由于这类路由的可信度比较低，所以OSPF协议认为，从ASBR到自治系统之外的花费远远大于在自治系统之内到达ASBR的花费，计算路由花费时主要考虑前者。即第二类外部路由的花费值等于ASBR到该路由目的地址的花费值。如果该值相等，再考虑本路由器到相应的ASBR的花费值。
1.2.5& OSPF的网络类型
缺省情况下，按不同介质可划分成下列三种网络：广播网络（以太网，令牌环网、FDDI），非广播多路访问网络（帧中继、X.25），点到点网络（HDLC、PPP）。对以上任一类网络都可以进行OSPF配置。可以不考虑缺省的介质类型，选择配置OSPF网络类型。利用这一点，可将非广播多路访问网络配置为广播网络，如X.25和帧中继允许OSPF在其上以广播型网络运行，这就不用再去配置邻居。可将广播网络配置为非广播多路访问网络，例如当网络中有不支持组播传送地址的路由器时。对于不具有广播和组播能力的网络，必须配置对端邻居来指定发送hello报文，并可以指定邻居的优先级和轮询时间间隔。
点到多点时具有一个或者多个邻居的编号的点到点接口，它建立多主机路由。与非广播多路访问和点到点网络相比，点到多点网络具有以下优点：一到多接口更易于配置，因为它不需要配置邻居命令，只需要一个IP子网，所以不必分配路由选择。不需要全网络拓扑结构，开销较小。
设备只支持广播型网络和点对点型网络。
1.2.6& OSPF的报文类型
OSPF协议报文直接封装为IP报文，协议号为89。
OSPF有五种类型的协议报文：
·&&&&&Hello报文：发现及维持邻居关系，选举DR，BDR；
·&&&&&DD（Database Description，数据库描述）报文：相邻路由器之间发DD报文，报告对方自己所拥有的路由信息内容，包括LSDB中每一条LSA摘要(摘要是指LSA的HEAD，通过该HEAD可以唯一标识一条LSA)，这样做的目的是为了减少路由器之间传递信息的量，因为LSA的HEAD只占一条LSA的整个数据量的一小部分。根据HEAD，对端路由器就可以判断出是否已经有了这条LSA。
·&&&&&LSR（Link State Request，链路状态请求）报文：向对方请求所需的LSA。两台路由器互相交换DD报文之后，得知对端的路由器有哪些LSA是本地的LSDB所缺少的，这时需要发送LSR报文向对方请求所需的LSA。
·&&&&&LSU（Link State Update，链路状态更新）报文：向对方发送其所需要的LSA。
·&&&&&LSAck（Link State Acknowledgment，链路状态确认）报文：用来对收到的LSA进行确认。
1.2.7& 协议规范
与OSPF相关的协议规范有：
·&&&&&RFC 1765：OSPF Database Overflow
·&&&&&RFC 2328：OSPF Version 2
·&&&&&RFC 3101：OSPF Not-So-Stubby Area (NSSA)
·&&&&&RFC 3137：OSPF Stub Router Advertisement
·&&&&&RFC 3630：Traffic Engineering Extensions
to OSPF Version 2
·&&&&&RFC 4811：OSPF Out-of-Band LSDB
Resynchronization
·&&&&&RFC 4812：OSPF Restart Signaling
·&&&&&RFC 4813：OSPF Link-Local Signaling
通过菜单“网络配置 & 路由
& OSPF”，进入如图1-1所示页面。在该页面上，可以配置OSPF路由器ID、是否发布缺省路由及路由重发布信息。这些信息的详细说明如表1-1所示。
各配置项说明
OSPF路由器ID
是否发布默认路由，可选发布、不发布及强制发布
设置是否重发布直连路由，并设置直连路由的cost
设置是否重发布静态路由，并设置静态路由的cost
设置是否重发布RIP路由，并设置RIP路由的cost
·&&&&&通常路由器先挑选IP地址最大的环回地址作为Router-ID。若无环回地址，则在接口状态为up的物理接口中，选取最大的IP地址作为Router-ID。也可以指定一个Router-ID，并且指定的Router-ID优先级最高。
·&&&&&缺省路由：如果路由表中有默认路由，并且想要发布出去，选中“发布”即可；如果路由表中没有默认路由，想要发布默认路由则需要选中“强制发布”。
(1)&&&&&通过点击图1-1中的“OSPF网络”，进入如图1-2所示页面。该页显示了已经配置的OSPF网络，在该页也可以删除已经配置的OSPF网络。
已配置网络
(2)&&&&&点击图1-2中的&新建&按钮，进入如所示页面，在该页填入要发布的OSPF网络及区域。
图1-3 OSPF网络配置
(1)&&&&&点击图1-4中的“OSPF接口”，进入所示图1-4页面。该页面显示了已经配置的接口信息，具体信息说明如表1-2所示。
图1-4 已经配置的接口信息
扩展各项含义
已经配置的接口名称
接口所使用的加密方式，有明文、密文及不认证
点击可以对该配置进行修改，点击可以删除该配置
(2)&&&&&点击图1-4中的&新建&按钮，进入如图1-5所示页面。该页面可以配置接口相关的OSPF信息，具体信息说明如表1-3所示。
接口各项配置含义
选择要配置接口
设置接口的优先级
设置接口发送数据包的开销
设置网络类型
设置认证方式：不认证、明文认证、密文认证
设置hello报文的时间间隔
设置重传间隔
设置邻居失效间隔
设置报文的发送延迟时间
1.6.1& OSPF配置举例
1. 组网需求
所示，配置IP地址，要求ACG
A和ACG B上启用OSPF，ACG A设备能学到192.168.1.0/24网段的路由，ACG B能学到192.168.31.0/24网段的路由。
配置案例组网图
3. 配置步骤
(1)&&&&&按照组网图组网。
(2)&&&&&配置设备ACG A。
·&&&&&通过菜单“网络配置 & 路由 & OSPF配置”，进入OSPF配置页面，如图1-7所示，设置相关数据，点击&提交&。
·&&&&&点击图1-7中的OSPF网络”，进入如图1-2所示页面，点击新建，进入如图1-8所示页面，，并点击&提交&按钮。
(3)&&&&&配置设备ACG B
ACG B的配置方式与ACG A相同，在此不再赘述。
4. 验证配置
上使用ping命令验证Host
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!配置典型配置
H3C SecPath ACG1000系列应用控制网关 典型配置举例-5P100
04-H3C SecPath ACG1000系列应用控制网关 日志功能典型配置举例
04-H3C SecPath ACG1000系列应用控制网关 日志功能典型配置举例
H3C SecPath ACG1000系列应用控制网关
日志功能典型配置举例
2 配置前提
3 使用限制
4 配置举例
4.1 组网需求
4.2 配置思路
4.3 使用版本
4.4 配置注意事项
4.5 配置步骤
4.5.1 配置ACG1000系列产品
4.5.2 配置SACG日志分析与管理平台
4.6 验证配置
4.6.1 ACG1000端验证
4.6.2 日志分析与管理平台端验证··
4.7 配置文件
5 相关资料
本文档介绍ACG1000设备日志功能配置举例，包括日志的记录、外发和管理。
ACG1000共有四种类型日志，分别为应用审计日志、网站访问日志、安全防护日志和系统日志，可以分别记录如下类型日志：
·&&&&&应用审计日志：可以记录的日志类型包括IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志。
·&&&&&网站访问日志：可以记录的日志包括访问网站日志和恶意URL日志。
·&&&&&安全防护日志：可以记录的日志包括异常包攻击日志、Flood攻击日志等。
·&&&&&系统日志： 可以记录的日志包括系统日志与操作日志。
ACG1000的日志级别表示日志的重要性，用户可以手工设置日志级别。目前ACG1000设备支持的日志级别从高到低，共有紧急、告警、严重、错误、警告、通知和信息七种，当审计日志中配置的日志级别高于日志过滤中配置的发送级别时，日志方可被发送给第三方日志服务器。
2& 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解设备日志特性。
·&&&&&ACG1000设备的应用审计日志和网站访问日志存储位置为硬盘，安全防护日志和系统日志存储位置为CF卡。
·&&&&&ACG1000-C设备不具有硬盘，故在设备本地仅支持记录安全防护日志和系统日志，如果需要记录应用审计日志和网站访问日志，需要配合SACG日志分析与管理平台服务器使用。
·&&&&&当硬盘存储空间占用率达到95%后，设备开始按照时间顺序，从时间最早的文件开始删除硬盘内的日志和邮件缓存文件，直到硬盘存储空间占用率达到85%。
如图1所示， ACG1000设备以透明模式串接在某公司网络的核心交换机和出口路由器之间，内网中部署SACG日志分析与管理平台服务器，具体应用需求如下：
·&&&&&ACG1000设备开启日志审计功能，ACG1000设备使用的IP地址为192.168.1.1/24，SACG日志分析与管理平台使用的IP地址为192.168.1.73/24，日志使用默认的UDP 514端口发送。
·&&&&&需要审计的日志为：应用审计日志、网站访问日志、安全防护日志和系统日志，上述日志的日志级别分别为信息、信息、警告、通知。
·&&&&&ACG1000设备在本地记录日志，同时将日志发送到SACG日志分析与管理平台服务器。
·&&&&&ACG1000设备配置IPv4策略，并配置应用过滤审计和URL过滤审计功能。
·&&&&&ACG1000设备开启网络层攻击防护功能，安全防护日志会自动记录。
·&&&&&在日志服务器中填写SACG日志分析与管理平台的IP地址。
·&&&&&在日志过滤中选择需要记录的日志类型以及发送日志的级别。
本举例是在ACG1000设备的Ess 6602版本和SACG日志分析与管理平台的7.0版本上进行配置和验证的。
·&&&&&当需要将审计日志发送至外部日志服务器时，需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。
·&&&&&如果只需要在设备本地记录日志，则无需配置日志服务器。
·&&&&&配合SACG日志分析与管理平台收集日志时，可选择将日志加密，防止日志遭到窃取。
1. 登录Web网管
如图2所示，使用http或https的方式登录ACG1000设备的Web网管，默认的用户名和密码是admin/admin，输入验证码，并点击&登录&按钮。
2. 配置IPv4策略和审计策略
(1)&&&&&配置IPv4策略
如图3所示，进入“上网行为管理 & 策略配置 & IPv4策略”，点击&新建&，保持默认配置，接着点击“应用过滤”页面。
(2)&&&&&配置应用审计策略
如图4所示，在“应用过滤”页面上，点击&新建&，选择类型为“应用”、选择应用为“any”、选择处理动作为“允许”、日志级别为“信息”，其他配置保持默认，并点击&提交&。
如图5所示，创建成功的应用审计策略配置如下。
(3)&&&&&配置URL审计策略
如图6所示，点击“URL过滤”页面，点击&新建&，选择URL分类为“任何”、选择处理动作为“允许”、日志级别为“信息”，点击&提交&。
如图7所示，创建成功的URL审计策略配置如下，在此页面上点击&提交&。
审计策略配置成功
3. 配置安全防护
如图8所示，进入“安全防护 & 网络层攻击防护 & ARP攻击防护 & ARP攻击防护”，在“ARP防欺骗攻击”和“主动防护”上打钩，并点击&提交&。
如图9所示，进入“安全防护 & 网络层攻击防护 & ARP攻击防护 & ARP Flood攻击”，在“启用”上打钩，点击&提交&。
如图10所示，进入“安全防护 & 网络层攻击防护 & 异常包攻击防御”，在相应的选项上打钩，并点击&提交&。
4. 配置日志过滤
如图11所示，进入“系统管理 & 日志设定 & 日志过滤”，在本地日志处点击“记录”，系统日志级别选择“通知”，安全日志发送级别选择“警告”，点击&提交&。
如图12所示，点击“高级配置”，配置记录和发送上网行为日志，选择级别为“信息”，点击&提交&。
5. 配置日志服务器
如图13所示，进入“系统管理 & &日志设定 & 日志服务器”，配置服务器1的IP地址的为192.168.1.73，端口保持为默认的514，并勾选启用，点击&提交&。
图13 配置日志服务器
日志分析与管理平台
如所示，使用http方式登录ACG1000设备的Web网管，默认用户名密码为super/super.123，点击&登录&。
如图15所示，进入“设备管理 & 设备管理”，点击&添加& ，“设备IP”配置为ACG1000设备的IP地址192.168.1.1，“用户名”和“密码”配置为ACG1000设备的用户名密码，“名称”、“描述”和“设备型号”配置为ACG1000-S，点击&确定&
如图16所示，添加成功的ACG1000设备配置如下。
(1)&&&&&验证本地日志
如图17所示，在ACG1000设备本地，进入“日志查询 & 系统日志 & 系统日志”，可以看到本地收集系统日志正常。
如图18所示，在ACG1000设备本地，进入“日志查询 & 应用审计日志 & IM聊天软件日志”，可以看到本地收集IM聊天软件日志正常。
设备本地记录IM聊天软件日志
如图19所示，，在ACG1000设备本地，进入“日志查询 & 网站访问日志 & 访问网站日志”，可以看到本地收集网站访问日志正常。
设备本地记录网站访问日志
(2)&&&&&验证本地日志查询
如图20所示，在上述访问网站日志页面点击查询，可根据多种条件进行过滤查询，将“URL”配置为baidu，勾选“模糊查询”，点击&查询&。
如图21所示，可以看到日志正确返回域名中含有baidu的日志。
如图22所示，在SACG日志分析与管理平台，进入“日志查询 & 上网行为日志 & 聊天日志”，弹出日志过滤页面，直接点击&确定&。
日志分析与管理平台日志过滤页面
如图23所示，可以看到SACG日志分析与管理平台正确收集到了聊天日志。
policy any any any any any any any
always permit 1
&app-policy 1 application any
any any keyword include any accept info FilterIMLoginAction&
& app-policy enable 1
&website-policy malware disable
&website-policy 1 any accept
info FilterUrl&
& website-policy enable 1
policy default-action permit
policy white-list enable
anti-arp spoof enable
anti-arp broadcast enable
anti-arp flood enable
ip defend attack ping-of-death
ip defend attack tear-drop
ip defend attack jolt2
ip defend attack land-base
ip defend attack winnuke
ip defend attack tcp-flag
ip defend attack smurf
ip defend attack ip-option
ip defend attack ip-spoof
log web_access server upto informational
log im server upto informational
log social_log server upto
informational
log search_engine server upto
informational
log mail server upto informational
log command_log server upto
informational
log other_app server upto
informational
log security_ipmac server upto
log security_scan server upto
log security_flood server upto
log security_abnormal_pkt server upto
log operate server upto notifications
log system_state server upto
notifications
log device_health server upto
notifications
log server addr 192.168.1.73
log server enable
·&&&&&《H3C
SecPath ACG1000系列应用控制网关Web配置指导》 中的“日志”
·&&&&&《H3C SecPath
ACG1000系列应用控制网关 故障处理手册》 &中的“应用识别与审计故障处理”
·&&&&&《H3C SecPath
ACG1000系列应用控制网关 配置指导》 &&中的“日志配置指导”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!