国家 / 地区

00-配置指导导读

手册下载


1 配置指导导读

本配置指导介绍了产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。

1.1  适用款型

产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:

表1-1 手册适用的产品款型

系列

款型

形态

H3C SecPath M9000系列多业务安全网关

M9006/M9010/M9014

分布式设备,可以运行在:

·         独立运行模式

·         IRF模式

H3C SecPath F5000系列防火墙

F5010/F5020/F5040/F5000-S/F5000-C

集中式IRF设备

H3C SecPath F1000系列防火墙

F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080

H3C SecPath F1000-AK系列防火墙

F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180

H3C SecBlade III FW插卡

LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1

H3C SecBlade IV NGFW插卡

LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV

 

具体的产品介绍请参见“1.4  产品简介”。

1.2  产品版本

不同款型适配的产品软件版本如下表所示。

表1-2 软件版本适配表

款型

软件版本

M9006/M9010/M9014

R9121

F5000-S/F5000-C/F5010/F5020/F5040

R9310

F1005/F1010

E9504

F1020/F1030/F1050/F1060/F1070/F1080

R9313

F1000-AK110/AK120

E9504

F1000-AK130/AK140/AK150/AK160/AK170/AK180

R9313

LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1

R8209

LSPM6FWD

E8503

LSWM1FWD0/LSXM1FWDF1/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV

E8204

 

1.3  内容简介

本节以列表的形式介绍了安全产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:

表1-3 手册内容简介

手册名称

内容简介

基础配置指导

介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容:

·         CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用)

·         RBAC配置

·         登录设备配置(CLI登录、登录用户配置和管理)

·         FTPTFTP配置

·         文件系统管理

·         配置文件管理

·         软件升级配置

·         ISSU配置

·         设备管理配置

·         Tcl配置

·         Python配置

·         License管理配置

·         自动配置命令

虚拟化技术配置指导

介绍了如何配置虚拟化技术,包括如下内容:

·         IRF配置

·         Context配置

安全配置指导

介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAAPKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容:

·         安全域配置

·         AAA配置

·         Portal配置

·         Password Control配置

·         公钥管理配置

·         PKI配置

·         IPsec配置

·         SSH配置

·         SSL配置

·         ASPF配置

·         APR配置

·         会话管理配置

·         连接数限制配置

·         对象组配置

·         对象策略配置

·         攻击检测与防范配置

·         ARP攻击防御配置

·         ND攻击防御配置

·         uRPF配置

·         加密引擎配置

·         用户身份识别与管理配置

DPI深度安全配置指导

介绍了DPI深度安全的特性,包括以下内容:

·         DPI深度安全概述

·         应用层检测引擎配置

·         IPS配置

·         URL过滤配置

·         数据过滤配置

·         文件过滤配置

·         防病毒配置

NAT配置指导

介绍了NAT的特性,包括以下内容:

·         NAT配置

·         AFT配置

负载均衡配置指导

介绍了负载均衡功能的配置方法,包括以下内容:

·         服务器负载均衡

·         出方向链路负载均衡

·         入方向链路负载均衡

VPN配置指导

介绍了VPN相关特性,包括以下内容:

·         隧道配置

·         L2TP配置

·         SSL VPN配置

·         GRE配置

带宽管理配置指导

介绍了如何配置带宽,包括以下内容:

·         带宽管理配置

接口管理配置指导

介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容:

·         接口批量配置

·         以太网接口配置

·         LoopBack接口、Null接口和InLoopBack接口配置

·         Blade接口配置

二层技术-以太网交换配置指导

介绍如何配置以太网交换相关内容,包括如下内容:

·         MAC地址表配置

·         以太网链路聚合配置

·         生成树配置

·         VLAN配置

·         VLAN终结配置

·         LLDP配置

·         二层转发配置

三层技术-IP路由配置指导

介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容:

·         IP路由基础配置

·         静态路由配置

·         RIP配置

·         OSPF配置

·         IS-IS配置

·         BGP配置

·         策略路由配置

·         IPv6静态路由配置

·         RIPng配置

·         OSPFv3配置

·         IPv6 IS-IS配置

·         IPv6策略路由配置

·         路由策略配置

三层技术-IP业务配置指导

介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容:

·         ARP配置ARP、代理ARP

·         IP地址配置

·         DHCP配置

·         域名解析配置

·         IP转发基础配置

·         快速转发配置

·         流分类配置

·         邻接表配置

·         IP性能优化配置

·         IPv6基础配置

·         DHCPv6配置

·         IPv6快速转发配置

PPPPPPoE配置指导

介绍广域网接入的相关内容,包括如下内容:

·         PPPPPPoE配置

IP组播配置指导

介绍了以下组播协议:

·         组播路由与转发配置

·         PIM配置

ACLQoS配置指导

介绍了ACLQoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率:

·         ACL配置

·         时间段配置

·         QoS配置(QoS简介、QoS配置方式、流量监管、流量重定向和流量统计)

可靠性配置指导

从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容:

·         VRRP配置

·         备份组配置

·         冗余备份配置

·         BFD配置

·         Track配置

·         进程分布优化配置

 

网络管理和监控配置指导

介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用pingtracertdebug等命令来检查、调试当前网络的连接情况,包括如下内容:

·         系统维护与调试配置(PingTracert、系统调试)

·         NQA配置

·         NTP配置

·         SNMP配置SNMP配置、MIB风格配置)

·         RMON配置

·         NETCONF配置

·         EAA配置

·         进程监控和维护配置

·         镜像配置

·         信息中心配置

·         Flow日志配置

·         Event MIB配置

·         GOLD配置

VPN实例配置指导

介绍了VPN实例配置方法

缩略语

列举了防火墙系列配置指导中用到的缩略语

 

1.4  产品简介

1.4.1  M9006/M9010/M9014

1. 产品介绍

(1)       简介

H3C SecPath M9000系列多业务安全网关(以下简称为M9000系列设备)是H3C公司自主研发的、面向运营商及行业市场的高性能产品,支持防火墙、NATVPN、攻击检测、内容过滤等业务特性。

硬件上基于全分布式架构,包括M9006M9010M9014三个款型,整机硬件均采用高可靠设计,支持电源、风扇等关键部件的冗余设计,并同时支持交流或直流机型。

在安全功能方面,M9000系列设备为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NATALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPFApplication Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPNGRE VPNIPSec VPN等。

(2)       产品外观

有关M9000系列设备前后面板、硬件规格及单板规格等详细介绍,请参见“H3C SecPath M9000系列多业务安全网关 安装指导”。

 

图1-1 M9006外观图

 

图1-2 M9010外观图

 

图1-3 M9014外观图

 

(3)       结构介绍

M9000系列设备主要由主控板区、接口板和业务板区、网板区、电源区、风扇区等几个部分组成,下面以M9010为例,对各部分进行介绍。

图1-4 前、后面板示意图

 

表1-4 机箱各区域说明

区域说明

选配情况

①接口板和业务板区

安装接口板或者业务板的槽位

接口板选配,业务板必配(机箱发货时不带接口板和业务板)

②主控板区

安装主控板的槽位

主控板必配(机箱发货时不带主控板)

目前支持的主控板型号为NSQ1SUPB0

③电源区

安装电源模块的槽位

电源模块必配(机箱发货时不带电源模块)

支持的电源模块型号为LSUM1AC2500LSUM1DC2400

·         M9006具有4个电源模块插槽

·         M9010M9014具有6个电源模块插槽

④风扇区

安装散热风扇框的槽位,位于机箱背面

风扇框必配(机箱发货时已安装好相应风扇框)

根据不同机箱的特点,风扇框的位置有所不同:

·         M9006M9014:风扇框位于机箱背面的左侧

·         M9010:风扇框位于机箱背面的上方

⑤网板区

安装交换网板的槽位

网板必配(机箱发货时不带网板)

每机箱至少要配1块网板,最多可配置4块网板,并且要求编号最小的两个网板槽位中至少要有一个槽位安装了网板:

·         M90066或者7槽位至少要有一块网板在位

·         M901010或者11槽位至少要有一块网板在位

·         M901414或者15槽位至少要有一块网板在位

 

2. 典型应用

(1)       防火墙应用

M9000系列设备提供强大的过滤功能和管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-5 防火墙应用组网图

 

(2)       VPN应用

M9000系列设备提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支以及移动办公访问公司本部资源的需求。

图1-6 VPN应用组网图

 

(3)       虚拟防火墙应用

M9000系列设备不但提供强大的防火墙/VPN功能,还可支持虚拟防火墙功能,一台M9000设备可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理。

图1-7 虚拟防火墙功能应用组网图

 

1.4.2  F5010/F5020/F5040/F5000-S/F5000-C

1. 产品介绍

(1)       简介

H3C SecPath F5010F5020F5040F5000-SF5000-C(以下简称F5010/F5020/F5040/F5000-S/F5000-C)是面向运营商及行业市场的高性能超万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。提供12个千兆以太电口、12个千兆以太光口和4个万兆以太口,并提供一个扩展槽位用于进行端口及业务扩充。双电源设计,支持交流或直流机型。

在安全功能方面,F5010/F5020/F5040/F5000-S/F5000-C为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NATALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPFApplication Specific Packet Filter,应用状态检测技术),可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPNGRE VPN IPSec VPN等。

(2)       产品外观

F5010F5020F5040F5000-SF5000-C的外观类似,仅产品型号丝印信息不同。

图1-8 F5010/F5020/F5040/F5000-S/F5000-C前面板

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R以太网光口

4: 配置口(CONSOLE

5: USB

6: 设备指示灯

7: 接口板插槽

 

图1-9 F5010/F5020/F5040/F5000-S/F5000-C后面板

1: 风扇

2: 电源模块插槽1

3: 电源模块插槽2

4: 接地螺钉

 

2. 典型应用

(1)       防火墙应用

F5010/F5020/F5040/F5000-S/F5000-C防火墙提供强大的过滤功能和优秀的管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-10 F5010/F5020/F5040/F5000-S/F5000-C防火墙应用组网图

 

(2)       VPN应用

F5010/F5040/F5020/F5000-S/F5000-C防火墙提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支以及移动办公访问公司本部资源的需求。

图1-11 VPN应用组网图

 

(3)       虚拟防火墙应用

F5010/F5020/F5040/F5000-S/F5000-C不但提供强大的防火墙/VPN功能,还可支持虚拟防火墙功能,一台F5010/F5020/F5040/F5000-S/F5000-C防火墙可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理。

图1-12 虚拟防火墙应用组网图

 

1.4.3  F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080

1. 产品介绍

(1)       简介

H3C SecPath F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080防火墙(以下简称为F1000系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。设备支持的接口规格如下:

·            F1005F1010提供8个千兆电口、2Combo口及2Bypass

·            F1020F1030F1050F1060提供16个千兆电口及8个千兆光口。

·            F1070F1080提供16个千兆电口及8个千兆光口以及2SFP+万兆光口(可以自适应到千兆SFP)。

为增加产品可靠性,F1000系列可以通过扩展操作支持PFC功能模块。同时作为NGFW产品,丰富的审计功能是必不可少的,所以F1000系列可以扩展大容量硬盘,同时增加硬盘后还可以有效支持web缓存等应用加速功能。

在安全功能方面,F1000系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

(2)       产品外观

说明

F1000系列的外观类似,下面仅以F1080为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1-13 设备前视图(F1080

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R/1000BASE-X以太网光口

4: 配置口(CONSOLE

5: USB

6: 设备指示灯

7: 硬盘扩展插槽

 

图1-14 设备后视图(F1080

 

1: 电源模块插槽1

2: 电源模块插槽2

3: 接口板插槽

4: 接地螺钉

 

2. 典型应用

F1000系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-15 出口安全防护

 

1.4.4  F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180

1. 产品介绍

(1)       简介

H3C SecPath F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180防火墙(以下简称为F1000-AK系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。设备支持的接口规格如下:

·            F1000-AK110/AK120提供8个千兆电口、2Combo口及2Bypass口。

·            F1000-AK130/F1000-AK140/F1000-AK150/F1000-AK160/F1000-AK170提供16个千兆电口及8个千兆光口

·            F1000-AK180提供16个千兆电口及8个千兆光口以及2SFP+万兆光口(可以自适应到千兆SFP)。

为增加产品可靠性,F1000-AK系列可以通过扩展操作支持PFC功能模块。同时作为NGFW产品,丰富的审计功能是必不可少的,所以F1000-AK系列可以扩展大容量硬盘,同时增加硬盘后还可以有效支持Web缓存等应用加速功能。

在安全功能方面,F1000-AK系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

(2)       产品外观

说明

F1000-AK系列的外观类似,下面仅以F1000-AK180为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1-16 设备前视图(F1000-AK180

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R/1000BASE-X以太网光口

4: 配置口(CONSOLE

5: USB

6: 设备指示灯

7: 硬盘扩展插槽

 

图1-17 设备后视图(F1000-AK180

 

1: 电源模块插槽1

2: 电源模块插槽2

3: 接口板插槽

4: 接地螺钉

 

2. 典型应用

F1000-AK180系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-18 出口安全防护

 

1.4.5  H3C SecBlade III FW插卡

1. 产品介绍

(1)       产品简介

随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。

H3C SecBlade III FW是一款超万兆高性能防火墙模块,可应用于H3C 多种系列以太网交换机,为用户提供融合多业务的一体化网络安全解决方案。具体适配交换机型号参见1-5

H3C SecBlade III FW模块集成防火墙、VPNNATURL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。

H3C SecBlade III FW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

表1-5 H3C SecBlade III FW单板适配主机

单板

主机

LSU3FWCEA0

·         S10500系列交换机(请不要将本单板安装在S10510设备的49号槽位,否则单板无法正常工作)

·         S7600-X系列交换机(请不要将本单板安装在S7610-X设备的49号槽位,否则单板无法正常工作)

LSUM1FWCEAB0

·         S10500系列交换机(不同型号的交换机业务板槽位和数量不同,请以实际情况为准)

·         S7500E系列交换机(不同型号的交换机业务板槽位和数量不同,请以实际情况为准)

LSX1FWCEA1

·         S12500-X系列交换机

¡  S12516-XSlot0Slot15

¡  S12510-XSlot0Slot9

·         S12500-F系列交换机

¡  S12516-FSlot0Slot15

¡  S12510-FSlot0Slot9

 

(2)       产品外观

图1-19 LSX1FWCEA1业务板前面板

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN

(9) 扳手

(10) 松不脱螺丝

 

图1-20 LSU3FWCEA0业务板前面板

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT)

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT)

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN)

(9) 扳手

(10) 松不脱螺丝

 

图1-21 LSUM1FWCEAB0防火墙业务板前面板

 

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT)

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT)

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN)

(9) 扳手

(10) 松不脱螺丝

 

2. 典型应用

H3C SecBlade III FW Enhanced模块可结合S12500-X/S12500-F/S10500/S7500E/S7600-X系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-22 H3C SecBlade III FW Enhanced模块防火墙应用组网图

 

1.4.6  H3C SecBlade IV NGFW

1. 产品介绍

(1)       产品简介

随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。

H3C SecBlade IV NGFW模块是一款超万兆高性能防火墙模块,可应用于H3C多种系列以太网交换机与路由器产品,为用户提供融合多业务的一体化网络安全解决方案。具体适配交换机、路由器型号参见1-6

H3C SecBlade IV NGFW模块集成防火墙、VPNNATURL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。

H3C SecBlade IV NGFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

表1-6 H3C SecBlade IV NGFW单板适配主机

单板

主机

LSWM1FWD0

·         S6800-2C系列交换机(Slot1Slot2)

·         S6800-4C系列交换机(Slot1Slot4)

·         S7502E-XS系列交换机(Slot1Slot2)

·         S7504E-XS系列交换机(Slot1Slot4)

·         S6900-2F系列交换机(Slot1Slot2)

·         S6900-4F系列交换机(Slot1Slot4)

LSXM1FWDF1

·         S12500X-AF系列路由交换机(仅支持和F型网板配合使用):

¡  S12516X-AFSlot2Slot17

¡  S12508X-AFSlot2Slot9

¡  S12504X-AFSlot0Slot3

·         S12500F-AF系列路由交换机(仅支持和F型网板配合使用):

¡  S12516F-AFSlot2Slot17

¡  S12508F-AFSlot2Slot9

¡  S12504F-AFSlot0Slot3

LSPM6FWD

·         S5560-EI系列交换机:

¡  S5560-30C-EI

¡  S5560-30F-EI

¡  S5560-34C-EI

¡  S5560-54C-EI

¡  S5560-30C-PWR-EI

¡  S5560-54C-PWR-EI

·         S5560-HI系列交换机:

¡  S5560-32C-HI(Slot1Slot2)

¡  S5560-56C-HI(Slot1Slot2)

¡  S5560-56C-PWR-HI(Slot1Slot2)

¡  S5560-56F-HI(Slot1Slot2)

¡  S5560-38C-HI-XG

·         S5800-EI系列交换机:

¡  S5800-32C-EI(Slot1Slot2)

¡  S5800-56C-EI(Slot1Slot2)

¡  S5800-56C-EI-M(Slot1Slot2)

·         S5130-HI系列交换机:

¡  S5130-30F-HI

¡  S5130-30C-HI

¡  S5130-34C-HI

¡  S5130-54C-HI

·         S5560X-EI系列交换机:

¡  S5560X-30C-EI

¡  S5560X-54C-EI

¡  S5560X-30F-EI

¡  S5560X-54F-EI

¡  S5560X-30C-PWR-EI

¡  S5560X-54C-PWR-EI

LSUM1FWDEC0

·         S10500系列交换机

¡  S10504

¡  S10506

¡  S10508

¡  S10508-V

¡  S10510

¡  S10512

·         S7600-X系列交换机

¡  S7604-X

¡  S7606-X

¡  S7608-X

¡  S7608-XV

¡  S76010-X

¡  S76012-X

·         S12500-S系列交换机

¡  S12504-S

¡  S12506-S

¡  S12508-S

¡  S12510-S

¡  S12512-S

·         S7500E-X系列交换机

¡  S7506E-X

¡  S7510E-X

LSQM1FWDSC0

·         S7500E系列交换机

¡  S7502ESlot 2Slot 3

¡  S7503E-SSlot 2Slot 3

¡  S7503E-MSlot 1Slot 2

¡  S7503ESlot 2Slot 4

¡  S7506ESlot 2Slot

¡  S7506E-VSlot 2Slot 7

¡  S7506E-SSlot 2Slot 7

¡  S7506E(非POESlot 2Slot 7

¡  S7510ESlot 1Slot 4Slot 7Slot 11

·         S7600系列交换机

¡  S7602-SSlot 2Slot 3

¡  S7603-SSlot 2Slot 3

¡  S7603Slot 2Slot 4

¡  S7606Slot 2Slot 7

¡  S7606-VSlot2Slot7

¡  S7606-SSlot2Slot 7

¡  S7606(非POESlot 2Slot 7

¡  S7610Slot 1Slot 4Slot 7Slot 11

·         S750E-X系列交换机

¡  S7506E-X

¡  兼容模式(Slot 0Slot 3

¡  高速模式(Slot 0Slot 1

¡  S7510E-XSlot 0Slot 3

IM-NGFWX-IV

·         SR8800-X系列高端路由器

¡  SR8804-XSlot 2Slot 5

¡  SR8808-XSlot 0Slot 3Slot 6Slot 9

¡  SR8808-HXSlot 0Slot 3Slot 6Slot 9

¡  SR8812-XSlot 0Slot 5Slot 8Slot 13

¡  SR8816-XSlot 0Slot 15

·         CR16000-F系列核心路由器

¡  CR16006-FSlot 2Slot 5

¡  CR16010-FSlot 0Slot 3Slot 6Slot 9

¡  CR16010-HFSlot 0Slot 3Slot 6Slot 9

¡  CR16014-FSlot 0Slot 5Slot 8Slot 13

¡  CR16018-FSlot 0Slot 15

 

(2)       产品外观

图1-23 LSWM1FWD0业务板前面板

(1) 扳手

(2) 锁闩

(3) USB接口

(4) Console接口(CONSOLE)

(5) 管理以太网接口指示灯(LINK)

(6) 管理以太网接口(10/100/1000BASE-T)

(7) 管理以太网接口指示灯(ACT)

(8) SFP光接口指示灯(LINK)

(9) SFP光接口(1000BASE-X)

(10) SFP光接口指示灯(ACT)

(11)系统运行指示灯(SYS)

 

 

图1-24 LSXM1FWDF1防火墙业务板前面板

(1) USB接口

(2) 千兆以太网电接口(10/100/1000BASE-T

(3) Console接口(CONSOLE

(4) 系统运行指示灯(RUN

(5) 扳手

(6) 松不脱螺丝

 

图1-25 LSPM6FWD防火墙业务板前面板

(1) 管理以太网接口指示灯(ACT/LINK)

(2) 管理以太网接口(10/100/1000BASE-T)

(3) 系统运行指示灯(SYS)

(4) Console接口(CONSOLE)

(5) 松不脱螺钉

 

 

 

图1-26 IM-NGFWX-IV防火墙业务板前面板

(1) 松不脱螺丝

(2) 扳手

(3) 硬盘插槽

(4) Console接口(CONSOLE

(5) 千兆以太网电接口(10/100/1000BASE-T

(6) USB接口

(7) 硬盘指示灯(HD

(8) 系统运行指示灯(SYS)

 

2. 典型应用

H3C SecBlade IV NGFW模块可结合交换机/路由器设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-27 H3C SecBlade IV NGFW模块防火墙应用组网图

 

 


2 槽位和接口编号

2.1  M9006/M9010/M9014

2.1.1  槽位编号

1. 定义

下图中的数字代表了M9000系列多业务安全网关的槽位编号,。

·            M9006Slot0Slot5,在设备槽位的最右侧印有这些编号;

·            M9010Slot0Slot9,在设备槽位的最上沿印有这些编号;

·            M9014Slot0Slot13,在设备槽位的最右侧印有这些编号。

下图中,从左至右分别为M9006M9010M9014

图2-1 M9006/M9010/M9014槽位编号

 

主控板、接口板和业务板的槽位如2-1所示:

表2-1 主控板、接口板和业务板

产品型号

主控板槽位编号

接口板/业务板槽位编号

M9006

01

25

M9010

45

0369

M9014

67

05813

 

2. 举例

<Sysname> display device slot 4 subslot 0

Slot Type             State    Subslot  Soft Ver              Patch Ver

4    NSQ1FWCEA0       Normal   0        M9006-9114P01         None

上述显示信息中,Slot代表单板所在的槽位,Subslot代表单板本身。

2.1.2  接口编号

1. 定义

M9000系列设备支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、Blade接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

当设备运行在独立运行模式或者IRF模式下时,GigabitEthernet/Tex-GigabitEthernet接口的编号规则有所不同:

·            当设备运行在独立运行模式时,接口采用“三维”编号方法——interface-type X/Y/Z

¡  interface-type:表示接口类型,如GigabitEthernet等。

¡  X:表示槽位号,即单板(主控板、接口板或者业务板等,以下同)在设备上的槽位编号,M9006M9010M9014的槽位编号范围详见2-1

¡  Y:表示子槽位,对于M9000系列设备来说没有实际意义,统一编号为0

¡  Z:表示接口序号,即接口在单板上的编号,从1开始编号。

·            当设备运行在IRF模式时,接口采用“四维”编号方法——interface-type W/X/Y/Z

¡  WIRF成员设备的编号。

¡  其余元素的意义和设备运行在独立运行模式时相同,不再赘述。

¡  需要注意的是:当设备运行在IRF模式下时,管理口的编号固定为M-GE1/0/0/0

2. 举例

·            当设备运行在独立运行模式时,在Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE2/0/1              DOWN DOWN     192.168.1.1/24

GE2/0/2              DOWN DOWN     --

GE2/0/3              DOWN DOWN     --

GE2/0/4              DOWN DOWN     --

GE2/0/5              DOWN DOWN     --

……

GE2/0/47             DOWN DOWN     --

GE2/0/48             DOWN DOWN     --

·            当设备运行在IRF模式并且成员设备编号为1时,同样在Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE1/2/0/1            DOWN DOWN     192.168.1.1

GE1/2/0/2            DOWN DOWN     --

GE1/2/0/3            DOWN DOWN     --

GE1/2/0/4            DOWN DOWN     --

GE1/2/0/5            DOWN DOWN     --

……

GE1/2/0/47           DOWN DOWN     --

GE1/2/0/48           DOWN DOWN     --

2.2  F5010/F5020/F5040/F5000-S/F5000-C

2.2.1  槽位编号

1. 定义

F5010/F5020/F5040/F5000-S/F5000-C2个槽位,其中编号为0的槽位代表主控板所在槽位,编号为1的槽位代表接口板所在槽位。

图2-2 F5010/F5020/F5040/F5000-S/F5000-C槽位编号

 

2. 举例

<Sysname> display device slot 1 subslot 0

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver     Patch Ver  

1         0        F5040         Normal        0          9313        None  

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表编号为0的主控板,主控板名称为F5040

2.2.2  接口编号

1. 定义

F5010/F5020/F5040支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即单板(主控板或者接口板,以下同)在设备上的槽位编号,主控板取值为0,接口板取值为1

·            Z:表示接口序号,即接口在单板上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE1/0/0              DOWN DOWN     192.168.1.1

GE1/0/1              DOWN DOWN     --

GE1/0/2              DOWN DOWN     --

GE1/0/3              DOWN DOWN     --

GE1/0/4              DOWN DOWN     --

……

GE1/0/22             DOWN DOWN     --

GE1/0/23             DOWN DOWN     --

2.3  F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080

2.3.1  槽位编号

1. 定义

F1005/F1010不支持扩展槽位,F1020支持1个扩展槽位,F1030/F1050/F1060/F1070/F1080支持2个扩展槽位。

2. 举例

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        F1030         Normal        0          9313P06    None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表指定子卡的信息,0表示设备

2.3.2  接口编号

1. 定义

F1000系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                       

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                          

GE1/0/2              DOWN DOWN     --                                          

……

GE1/0/22             DOWN DOWN     --                                          

GE1/0/23             DOWN DOWN     --

 

2.4  F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180

2.4.1  槽位编号

1. 定义

F1000-AK110/AK120不支持扩展槽位,F1000-AK130支持1个扩展槽位,F1000-AK140/AK150/AK160/AK170/AK180支持2个扩展槽位。

2. 举例

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        F1000-AK130   Normal        0          9313P06    None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表指定子卡的信息,0表示设备

2.4.2  接口编号

1. 定义

F1000-AK系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                       

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                          

GE1/0/2              DOWN DOWN     --                                          

……

GE1/0/22             DOWN DOWN     --                                          

GE1/0/23             DOWN DOWN     --


2.5  H3C SecBlade III FW Enhanced插卡

2.5.1  接口编号

1. 定义

H3C SecBlade III FW Enhanced插卡支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即插卡在设备上的槽位编号,固定取值为0

·            Z:表示接口序号,即接口在插卡上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP     Description

GE1/0/1              up  up     192.168.100.86

                                                    

Brief information on interfaces in bridge mode:

Link: ADM - administratively down; Stby - standby

Speed: (a) - auto

Duplex: (a)/A - auto; H - half; F - full

Type: A - access; T - trunk; H - hybrid

Interface           Link Speed   Duplex Type PVID Description

GE1/0/2             DOWN auto   A

2.6  H3C SecBlade IV NGFW插卡

2.6.1  接口编号

1. 定义

H3C SecBlade IV NGFW插卡支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即插卡在设备上的槽位编号,固定取值为0

·            Z:表示接口序号,即接口在插卡上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP     Description

GE1/0/1              up  up     192.168.100.86

                                                   

Brief information on interfaces in bridge mode:

Link: ADM - administratively down; Stby - standby

Speed: (a) - auto

Duplex: (a)/A - auto; H - half; F - full

Type: A - access; T - trunk; H - hybrid

Interface           Link Speed   Duplex Type PVID Description

GE1/0/2             DOWN auto   A