- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-串联部署单机单通道及多通道配置举例
本章节下载 (572.80 KB)
H3C流量清洗系统支持多种部署方式,以适应不同场景下的流量清洗需求,概括为串联部署模式和旁路部署模式。
本章主要介绍串联模式下单机部署及单机多路部署,针对旁路部署请查考对应文档。
串联部署是以透明模式进行组网,异常流量清洗设备(简称AFC)串联接入到受保护网络的出口,以便在攻击流量到达服务器之前将攻击流量过滤,放行正常流量。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、链路聚合特性。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备的基本配置和业务相关配置,均采用WEB界面配置。交换机的基本配置则通过命令行进行配置。本配置以异常流量清洗设备单台部署流量清洗为例。
· 单通道设备
对于单通道设备,将AFC设备改为串口外网口和串联内网口,同时进行内网网口互绑。串联外网口接入到上层网络设备,将AFC设备的串联内网口接入到下层网络设备上,实现AFC对进出网络的流量进行清洗过滤。
· 多通道设备
对于多路设备,需要在上下层交换机上做链路聚合配置后,将AFC多组串联外网口插入上层交换机的聚合组,将AFC多组内网口插入下层交换机的聚合组。
· 进行AFC串联部署的上下层交换机需要满足支持端口聚合功能;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
本章介绍AFC串联部署的设备为单条链路时如何进行配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401。
为实现对攻击被保护IP 171.0.3.21的流量的清洗,将AFC设备串联到客户网络中,AFC串联外网口接上层交换机,AFC串联内网口接下层交换机,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图所示。
图3-1 AFC串联部署单通道设备配置组网图
具体实现如下:
· 接口连接:AFC串联外网口GE1/0接上层交换机,AFC串联内网口GE1/1接下层交换机。
· 主机流量清洗:全局模块策略对实时对主机流量进行过滤检测。
表3-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机与AFC串联外网口连接接口; · 下层网络的网关地址 |
171.0.1.1/24 |
表3-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署单通道模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的G1/0/17接口与下层交换机R3 G1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的G1/0/17接口与核心交换机R2 G1/0/17接口互联互通;
(3) AFC设备业务口配置
配置串联内外网口进行互绑。
上下层交换机配置:配置上下层交换机与AFC相连的接口二层属性一致,比如同为VLAN 1711,或者同为Trunk模式,且允许VLAN 1711通过;
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
[R2]interface GigabitEthernet1/0/17
[R2-GigabitEthernet1/0/17]port link-mode bridge
[R2-GigabitEthernet1/0/17]port access vlan 1711
[R2-GigabitEthernet1/0/17]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[R3]vlan 1711
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[R3]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[R3-GigabitEthernet1/0/17]port link-mode bridge
[R3-GigabitEthernet1/0/17]port access vlan 1711
[R3-GigabitEthernet1/0/17]quit
如果上下层交换机为不可管理交换机,则无需配置VLAN,确保没有环路即可。
要实现AFC单机串联透明部署,可按照如下步骤进行配置:
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效,下文将不再赘述。
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1,账号admin,密码admin。
图3-2 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。GE1/0设置为串联外网口,GE1/1设置为串联内网口,同时进行数据口互绑。
图3-3 配置GE0/0
图3-4 GE1/0配置
图3-5 GE1/1配置
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效。
(1) 验证客户端与引流服务器间通信是否正常
通过ping测试客户端是否与服务路由相通
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
本章介绍AFC串联部署的设备为多通道时如何进行配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401。
为实现对攻击被保护IP 171.0.3.21的流量的清洗,将AFC设备串联到客户网络中,AFC所有串联外网口接上层交换机端口聚合组,AFC所有串联内网口接下层交换机端口聚合组,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图所示。
图4-1 AFC串联部署多通道设备配置组网图
具体实现如下:
· 接口连接:AFC所有串联外网口接上层交换机端口聚合组aggregation 8,AFC所有串联内网口接下层交换机端口聚合组aggregation 8。
· 主机流量清洗:AFC上配置防护范围及防护主机策略,通过策略对实时对主机流量进行过滤检测。
表4-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机与AFC串联外网口连接接口; · 上下层交换机聚合组所属VLAN · 下层网络网关 |
171.0.1.1/24 |
表4-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/1 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/2 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/3 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE0/0 |
· AFC管理口 |
192.168.0.1/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署多通道模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的G1/0/17接口与下层交换机R3 G1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的G1/0/17接口与核心交换机R2 G1/0/17接口互联互通;
(3) AFC设备业务口配置
配置串联内外网口进行互绑。
· 上下层交换机配置:上下交换机分别建立端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
· AFC配置:将AFC所有串联外网口接入到上层交换机的聚合组,将AFC所有串联内网口接入下层交换机的聚合组。
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
# 创建端口聚合组
[R2]int Bridge-Aggregation 8
[R2-Bridge-Aggregation8]quit
# 将接口G1/0/10和G1/0/11加入到聚合组
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10]port link-aggregation group 8
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11]port link-aggregation group 8
[R2-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[R2]int Bridge-Aggregation 8
[R2-Bridge-Aggregation8]port access vlan 1711
[R2-Bridge-Aggregation8]quit
# 在此查看接口配置
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
# 查看聚合组状态,默认为二层静态聚合
[R2]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 查看负载方式,默认为目的/源IP负载分担
[R2]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
创建VLAN 1711,作用为连接上层网络的上联口及保护主机所在VLAN。
# 创建VLAN
[R3]vlan 1711
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
#聚合组配置
[R3]interface Bridge-Aggregation 8
#将接口G1/0/10和G1/0/11加入到聚合组
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10]port link-aggregation group 8
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11]port link-aggregation group 8
[R3-GigabitEthernet1/0/11]quit
#配置聚合组VLAN信息
[R3]int Bridge-Aggregation 8
[R3-Bridge-Aggregation8]port access vlan 1711
[R3-Bridge-Aggregation8]quit
#在此查看接口配置
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
#
return
#聚合状态查看
[R3]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
#聚合负载方式查看
[R3]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
要求上下层交换机必须支持端口聚合。
要实现AFC单机串联透明多链路部署,可按照如下步骤进行配置:
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效,下文将不再赘述。
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1,账号admin,密码admin。
图4-2 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。GE2/0设置为串联外网口,GE2/1设置为串联内网口,同时进行数据口互绑。 GE2/3设置为串联外网口,GE2/4设置为串联内网口,同时进行数据口互绑。
图4-3 配置GE0/0
图4-4 GE2/0配置
图4-5 GE2/1配置
图4-6 GE2/3配置
图4-7 GE2/4配置
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效。
(1) 验证客户端与引流服务器间通信是否正常
通过ping测试客户端是否与服务路由相通
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
