Apstra 设备代理

Apstra 设备代理以两种方式之一运行：上机或下机。

选项 1：交换机上安装 Apstra 代理 （Onbox）

在这种情况下，Apstra 代理已通过 ZTP 启动过程或使用 Apstra 设备安装程序安装到设备上。安装代理后，它将始终运行，包括重新启动后。代理与 Apstra 服务器之间的通信通过高度优化的二进制协议完成。

Apstra 代理软件包会在网络作系统 （NOS） 命名空间中安装以下进程，以创建隔离的运行时环境：

• 柜台代理：负责从设备检索计数器并将其发送到上游的 Apstra 服务器。大多数流量通常由此代理生成。
• 部署代理：负责接受从 Apstra 服务器推送的配置并将其应用到设备。该代理大部分时间都处于空闲状态。
• 遥测代理：负责检索 LLDP、路由、接口信息和其他遥测数据，并将其发送到上游的 Apstra 服务器。除发生重要事件外，此代理大部分时间都处于空闲状态。
• 本地进程生成器：负责代理的实例化。
• 本地 SysDB：每个设备维护一个本地化的 SysDB 进程版本，用于存储本地目的的意图。

可以在 Apstra 服务器中调整用于连接设备的端口。此协议的默认端口为：

代理 <==> MetaDB（TCP dst 端口 29731）

代理 <==> SysDB（TCP dst 端口 29732）

代理 <==> CentralDB（TCP dst 端口 29730）（未来）

代理 ⇐=> TelemetrySysDB（TCP dst 端口 29733）

Apstra 代理安装在每个供应商设备的受保护访客地狱或用户空间内。代理进程与底层交换机硬件和软件隔离，Apstra 不会直接与转发/数据平面或控制平面通信。

选项 2：Apstra 代理（异机）通过供应商的标准 API 或 CLI/SSH 连接到设备

代理在定义的 API 端口（通常为 80/443/9443）或标准 SSH（通常为 22）上建立连接。连接由代理发起，并在设定的时间间隔内或在 Apstra 中进行更新时进行。该代理作为容器直接在 Apstra 服务器上运行。

Apstra 实施 SSH 来保护产品管理界面之间的管理数据。本产品使用 3DES、Blowfish、Twofish、CAST-128、IDEA、ARCFOUR 等 SSH 协议。

SSL/SSH 密钥交换

对于 SSL 和 SSH 实现，本产品使用密钥模数高达 2048 位（含）的 RSA 和密钥模数高达（含 2048 位）的 Diffie-Hellman 进行密钥交换。