00-配置指导导读

手册下载


1 配置指导导读

H3C SecPah M9000系列多业务安全网关配置指导介绍了M9000系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。

1.1  适用款型

M9000产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:

表1-1 手册适用的产品款型

系列

款型

形态

H3C SecPath M9000系列多业务安全网关

M9006/M9010/M9014/M9008-S

分布式设备,可以运行在:

·     独立运行模式

·     IRF模式

 

具体的产品介绍请参见“1.3  产品简介”。

1.2  产品版本

不同款型适配的产品软件版本如下表所示。

表1-2 软件版本适配表

款型

软件版本

M9006/M9010/M9014

R9131

M9008-S

R9702

 

1.3  产品简介

1.3.1  产品介绍

(1)     简介

H3C SecPath M9000系列多业务安全网关(以下简称为M9000系列设备)是H3C公司自主研发的、面向运营商及行业市场的高性能产品,支持防火墙、NATVPN、攻击检测、内容过滤等业务特性。

硬件上基于全分布式架构,包括M9006M9010M9014M9008-S四个款型,整机硬件均采用高可靠设计,支持电源、风扇等关键部件的冗余设计,并同时支持交流或直流机型。

在安全功能方面,M9000系列设备为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NATALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPFApplication Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPNGRE VPNIPSec VPN等。

(2)     产品外观

有关M9000系列设备前后面板、硬件规格及单板规格等详细介绍,请参见“H3C SecPath M9000系列多业务安全网关 安装指导”和“H3C SecPath M9008-S多业务安全网关 安装指导”。

 

图1-1 M9006外观图

 

图1-2 M9010外观图

 

图1-3 M9014外观图

 

图1-4 M9008-S外观图

 

(3)     结构介绍

M9000系列设备主要由主控板区、接口板和业务板区、网板区、电源区、风扇区等几个部分组成,下面以M9010为例,对各部分进行介绍。

图1-5 前、后面板示意图

 

表1-3 机箱各区域说明

区域说明

选配情况

①接口板和业务板区

安装接口板或者业务板的槽位

接口板和业务板必配(机箱发货时不带接口板和业务板)

②主控板区

安装主控板的槽位

主控板必配(机箱发货时不带主控板)

·     M9006/M9010/M9014支持的主控板型号为NSQ1SUPB0

·     M9008-S支持的主控板型号为NSQM2MPUC0

③电源区

安装电源模块的槽位

电源模块必配(机箱发货时不带电源模块)

·     M9006具有4个电源模块插槽

·     M9010M9014具有6个电源模块插槽

·     M9008-S具有2个电源模块插槽

·     M9006/M9010/M9014支持的电源模块型号为NSQM1AC2500NSQM1DC2400

·     M9008-S支持的电源模块型号为NSQM2AC1400NSQM2DC1400

④风扇区

安装散热风扇框的槽位

风扇框必配(机箱发货时已安装好相应风扇框)

根据不同机箱的特点,风扇框的位置有所不同:

·     M9006M9014:风扇框位于机箱背面的左侧

·     M9010:风扇框位于机箱背面的上方

·     M9008-S:风扇框位于机箱右侧

⑤网板区

安装交换网板的槽位

M9006/M9010/M9014

·     网板必配(机箱发货时不带网板)

·     每机箱至少要配3块网板,最多可配置4块网板

M9008-S无交换网板

 

1.3.2  支持的业务板类型

当前M9000系列支持多种业务板类型,且各种类型的业务板不支持混插使用。具体差异见下表:

业务板类型

业务板型号

M9000+FW业务板Blade III

·     NSQ1FWCEA0

M9000+FW业务板Blade IV

·     NSQM1FWDFG0

·     NSQM1FWDFGB0

·     NSQM1FWDFGC0

·     NSQM1FWDFGA1

·     NSQM1FWDFGB1

·     NSQM1FWDFGC1

·     NSQM1FWDFGD1

M9000+NAT业务板

·     NSQM1NATDFGA0

·     NSQM1NATDFGB0

M9000+ADE业务板

·     NSQM1ADEDFGA0

M9008-S+FW业务板

·     NSQM2FWDSCA0

·     NSQM2FWDFG0

 

1.3.3  典型应用

(1)     防火墙应用

M9000系列设备提供强大的过滤功能和管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-6 防火墙应用组网图

 

(2)     VPN应用

M9000系列设备提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支以及移动办公访问公司本部资源的需求。

图1-7 VPN应用组网图

 

(3)     虚拟防火墙应用

M9000系列设备不但提供强大的防火墙/VPN功能,还可支持虚拟防火墙功能,一台M9000设备可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理。

图1-8 虚拟防火墙功能应用组网图

 

1.4  内容简介

本节以列表的形式介绍了M9000系列产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:

表1-4 手册内容简介

手册名称

内容简介

基础配置指导

介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容:

·     CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用)

·     RBAC配置

·     登录设备配置(CLI登录、登录用户配置和管理)

·     FTPTFTP配置

·     文件系统管理

·     配置文件管理

·     软件升级配置

·     ISSU配置

·     设备管理配置

·     Tcl配置

·     Python配置

·     License管理配置

虚拟化技术配置指导

介绍了如何配置虚拟化技术,包括如下内容:

·     IRF配置

·     Context配置

安全配置指导

介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAAPKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容:

·     安全域配置

·     安全策略配置

·     对象组配置

·     对象策略配置

·     AAA配置

·     Portal配置

·     用户身份识别与管理配置

·     Password Control配置

·     公钥管理配置

·     PKI配置

·     IPsec配置

·     SSL配置

·     SSH配置

·     ASPF配置

·     APR配置

·     会话管理配置

·     连接数限制配置

·     攻击检测与防范配置

·     uRPF配置

·     加密引擎配置

·     Keychain配置

·     ARP攻击防御配置

·     ND攻击防御配置

DPI深度安全配置指导

介绍了DPI深度安全的特性,包括以下内容:

·     DPI深度安全概述

·     应用层检测引擎配置

·     IPS配置

·     URL过滤配置

·     数据过滤配置

·     文件过滤配置

·     防病毒配置

NAT配置指导

介绍了NAT的特性,包括以下内容:

·     NAT配置

·     AFT配置

负载均衡配置指导

介绍了负载均衡相关的配置

VPN配置指导

介绍了VPN相关特性,包括以下内容:

·     隧道配置

·     L2TP配置

·     SSL VPN配置

·     GRE配置

上网行为管理配置指导

介绍了如何配置带宽和对用户的上网行为进行审计和记录,包括以下内容:

·     带宽管理配置

·     应用审计与管理配置

接口管理配置指导

介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容:

·     接口批量配置

·     以太网接口配置

·     LoopBack接口、Null接口和InLoopBack接口配置

·     Blade接口配置

二层技术-以太网交换配置指导

介绍如何配置以太网交换相关内容,包括如下内容:

·     MAC地址表配置

·     以太网链路聚合配置

·     VLAN配置

·     VLAN终结配置

·     生成树配置

·     LLDP配置

·     二层转发配置

三层技术-IP路由配置指导

介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容:

·     IP路由基础配置

·     静态路由配置

·     RIP配置

·     OSPF配置

·     IS-IS配置

·     BGP配置

·     策略路由配置

·     IPv6静态路由配置

·     RIPng配置

·     OSPFv3配置

·     IPv6 IS-IS配置

·     IPv6策略路由配置

·     路由策略配置

三层技术-IP业务配置指导

介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容:

·     ARP配置ARP、代理ARP

·     IP地址配置

·     DHCP配置

·     域名解析配置

·     IP转发基础配置

·     快速转发配置

·     流分类配置

·     邻接表配置

·     IP性能优化配置

·     IPv6基础配置

·     DHCPv6配置

·     IPv6快速转发配置

ACLQoS配置指导

介绍了ACLQoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率:

·     ACL配置

·     QoS配置(QoS简介、QoS配置方式、流量监管、流量重定向和流量统计)

·     时间段配置

PPP配置指导

介绍了PPP的相关配置

可靠性配置指导

从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容:

·     VRRP配置

·     备份组配置

·     冗余备份配置

·     BFD配置

·     Track配置

·     进程分布优化配置

网络管理和监控配置指导

介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用pingtracertdebug等命令来检查、调试当前网络的连接情况,包括如下内容:

·     系统维护与调试配置(PingTracert、系统调试)

·     NQA配置

·     NTP配置

·     SNMP配置SNMP配置、MIB风格配置)

·     RMON配置

·     NETCONF配置

·     EAA配置

·     进程监控和维护配置

·     镜像配置

·     信息中心配置

·     Flow日志配置

·     Event MIB配置

·     报文捕获配置

·     快速日志输出配置

服务链配置指导

介绍了服务链的相关配置

MPLS配置指导

介绍了MPLS的相关配置,包括如下内容:

·     MPLS基础配置

·     LDP配置

·     VPN实例配置

VXLAN配置指导

介绍了VXLAN的相关配置

缩略语

列举了M9000系列配置指导中用到的缩略语

 

 


2 槽位和接口编号

2.1  M9006/M9010/M9014/M9008-S

2.1.1  槽位编号

1. 定义

下图中的数字代表了M9000系列多业务安全网关的槽位编号。

·     M9006Slot0Slot5,在设备槽位的最右侧印有这些编号;

·     M9010Slot0Slot9,在设备槽位的最上沿印有这些编号;

·     M9014Slot0Slot13,在设备槽位的最右侧印有这些编号;

·     M9008-SSlot0Slot7,在设备槽位的最右侧印有这些编号。

下图中,从左至右分别为M9006M9010M9014

图2-1 M9006/M9010/M9014槽位编号

 

下图中为M9008-S

 

 

主控板、接口板和业务板的槽位如2-1所示:

表2-1 主控板、接口板和业务板

产品型号

主控板槽位编号

接口板/业务板槽位编号

交换网板槽位编号

M9006

01

25

69

M9010

45

0369

1013

M9014

67

05813

1417

M9008-S

01

27

无交换网板

 

2. 举例

<Sysname> display device slot 4 subslot 0

Slot Type             State    Subslot  Soft Ver              Patch Ver

4    NSQ1FWCEA0       Normal   0        M9006-9114P01         None

上述显示信息中,Slot代表单板所在的槽位,Subslot代表单板本身,在插有子卡的槽位上取值为12,代表子槽位。

2.1.2  接口编号

1. 定义

M9000系列设备支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、Blade接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

当设备运行在独立运行模式或者IRF模式下时,GigabitEthernet/Tex-GigabitEthernet接口的编号规则有所不同:

·     当设备运行在独立运行模式时,接口采用“三维”编号方法——interface-type X/Y/Z

¡     interface-type:表示接口类型,如GigabitEthernet等。

¡     X:表示槽位号,即单板(主控板、接口板或者业务板等,以下同)在设备上的槽位编号,M9006M9010M9014M9008-S的槽位编号范围详见2-1

¡     Y:表示子槽位,在插有子卡的槽位上取值为12,没有插子卡的槽位上统一编号为0

¡     Z:表示接口序号,即接口在单板上的编号,从1开始编号。

·     当设备运行在IRF模式时,接口采用“四维”编号方法——interface-type W/X/Y/Z

¡     WIRF成员设备的编号。

¡     其余元素的意义和设备运行在独立运行模式时相同,不再赘述。

¡     需要注意的是:当设备运行在IRF模式下时,管理口的编号固定为M-GE1/0/0/0

2. 举例

·     当设备运行在独立运行模式时,在设备上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE2/0/1              DOWN DOWN     192.168.1.1/24

GE2/0/2              DOWN DOWN     --

GE2/0/3              DOWN DOWN     --

GE2/0/4              DOWN DOWN     --

GE2/0/5              DOWN DOWN     --

……

GE2/0/47             DOWN DOWN     --

GE2/0/48             DOWN DOWN     --

·     当设备运行在IRF模式并且成员设备编号为1时,同样在设备上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE1/2/0/1            DOWN DOWN     192.168.1.1

GE1/2/0/2            DOWN DOWN     --

GE1/2/0/3            DOWN DOWN     --

GE1/2/0/4            DOWN DOWN     --

GE1/2/0/5            DOWN DOWN     --

……

GE1/2/0/47           DOWN DOWN     --

GE1/2/0/48           DOWN DOWN     --


3 配置前的注意事项

设备存在两种类型的安全域,分别是:

·     缺省安全域:不需要通过命令security-zone name配置就已经存在的安全域,名称为:LocalTrustDMZManagementUntrust

·     非缺省安全域:通过命令security-zone name创建的安全域。

无论是缺省安全域,还是非缺省安全域,都没有优先级的概念。下述接口之间的报文要实现互访,必须配置安全策略,而且只有匹配放行策略的报文,才允许通过,否则系统默认丢弃这些接口之间发送的报文:

·     同一个安全域的接口之间

·     处于不同安全域的接口之间

·     处于安全域的接口和处于非安全域的接口之间

·     目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。

需要注意的是,这里的安全策略包括安全策略、包过滤策略、ASPF策略和对象策略等。关于安全域和安全策略的详细介绍和具体配置,请参见3-1

表3-1 参考文档

特性名称

配置指导/命令参考

文档名称

包过滤策略

ACLQoS配置指导、ACLQoS命令参考

ACL

安全策略

安全配置指导、安全命令参考

安全策略

安全域、安全域间实例

安全域

ASPF策略

ASPF

对象策略

对象策略

 

联系我们