- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath M9000 配置指导(V7)(R9153_R9724_R9001)-6W408-整本手册_CHM.rar (39.61 MB)
H3C SecPath M9000 配置指导(V7)(R9153_R9724_R9001)-6W408-整本手册.pdf (51.13 MB)
目 录
2.1 H3C SecPath M9000系列多业务安全网关
2.2 H3C SecPath M9000-S系列多业务安全网关
2.3 H3C SecPath M9000-AI系列多业务安全网关
本配置指导介绍了多业务安全网关产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。
本产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:
表1-1 手册适用的产品款型
|
系列 |
款型 |
形态 |
|
H3C SecPath M9000系列多业务安全网关 |
M9006、M9010、M9010-GM、M9014、M9016-V |
分布式设备,可以运行在: · 独立运行模式 · IRF模式 |
|
H3C SecPath M9000-S系列多业务安全网关 |
M9008-S、M9008-S-V、M9008-S-6GW、M9012-S |
|
|
H3C SecPath M9000-AI系列多业务安全网关 |
M9000-AI-E8、M9000-AI-E16 |
用户可在任意视图执行display version命令,查询当前设备的软件版本信息。本手册以R9XXXP41版本举例,各SP版本之间的差异,请参见对应款型的版本说明书。本手册适用的产品款型以及软件版本请参见下表:
表1-2 软件版本适配表
|
款型 |
软件版本 |
|
M9006、M9010、M9014、M9016-V |
R9153P41 |
|
M9008-S、M9008-S-6GW、M9008-S-V、M9012-S |
R9724P41 |
|
M9000-AI-E8、M9000-AI-E16 |
R9001P41 |
|
M9010-GM |
R9153P41 |
本节以列表的形式介绍了多业务安全网关产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:
表1-3 手册内容简介
|
手册名称 |
内容简介 |
|
基础配置指导 |
介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容: · CLI配置 · RBAC配置 · 登录设备配置 · License管理配置 · 设备管理配置 · FTP和TFTP配置 · 文件系统管理 · 配置文件管理 · 软件升级配置 · Tcl配置 · Python配置 · 跨三层MAC学习配置 |
|
虚拟化技术配置指导 |
介绍了如何配置虚拟化技术,包括如下内容: · IRF配置 · Context配置 · 冗余备份配置 · 备份组配置 |
|
安全配置指导 |
介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAA、PKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容: · 安全域配置 · 安全策略配置 · 对象组配置 · 对象策略配置 · AAA配置 · IPoE配置 · Portal配置 · MAC地址认证配置 · 用户身份识别与管理配置 · Password Control配置 · 公钥管理配置 · PKI配置 · SSH配置 · SSL配置 · ASPF配置 · APR配置 · 会话管理配置 · 连接数限制配置 · 攻击检测与防范配置 · DDoS攻击检测与防范配置 · uRPF配置 · ARP攻击防御配置 · ND攻击防御配置 · IP-MAC绑定配置 · IP信誉配置 · keychain配置 · 加密引擎配置 |
|
DPI深度安全配置指导 |
介绍了DPI深度安全的特性,包括以下内容: · DPI深度安全概述 · 应用层检测引擎配置 · IPS配置 · URL过滤配置 · 数据过滤配置 · 文件过滤配置 · 防病毒配置 · 数据分析中心配置 · WAF配置 · 代理策略配置 |
|
NAT配置指导 |
介绍了NAT的特性,包括以下内容: · NAT配置 · AFT配置 · NAT66配置 |
|
负载均衡配置指导 |
· 负载均衡配置 · 全局负载均衡配置 · Web缓存策略配置 |
|
VPN配置指导 |
介绍了VPN相关特性,包括以下内容: · 隧道配置 · GRE配置 · L2TP配置 · SSL VPN配置 · IPsec配置 |
|
上网行为管理配置指导 |
介绍了如何配置带宽和对用户的上网行为进行审计和记录,包括以下内容: · 带宽管理配置 · 应用审计与管理配置 · 共享上网管理配置 |
|
接口管理配置指导 |
介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容: · 接口批量配置 · 以太网接口配置 · LoopBack接口、Null接口和InLoopBack接口配置 · Blade接口配置 |
|
二层技术-以太网交换配置指导 |
介绍如何配置以太网交换相关内容,包括如下内容: · MAC地址表配置 · 以太网链路聚合配置 · VLAN配置 · VLAN终结配置 · 生成树配置 · LLDP配置 · 二层转发配置 |
|
三层技术-IP业务配置指导 |
介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容: · ARP配置(ARP、代理ARP) · IP地址配置 · DHCP配置 · 域名解析配置 · IP转发基础配置 · 快速转发配置 · 多CPU报文负载分担配置 · 邻接表配置 · IP性能优化配置 · IPv6基础配置 · DHCPv6配置 · IPv6快速转发配置 |
|
三层技术-IP路由配置指导 |
介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4、IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容: · IP路由基础配置 · 静态路由配置 · RIP配置 · OSPF配置 · IS-IS配置 · BGP配置 · 策略路由配置 · IPv6静态路由配置 · IPv6策略路由配置 · RIPng配置 · OSPFv3配置 · 路由策略配置 · Guard路由配置 |
|
ACL和QoS配置指导 |
介绍了ACL和QoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率: · ACL配置 · QoS配置(QoS简介、QoS配置方式、流量监管、流量重定向和流量统计) · 时间段配置 |
|
IP组播配置指导 |
介绍了各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。《IP组播配置指导》主要介绍组播概述、组播路由与转发、IGMP、PIM、MSDP、IPv6组播路由与转发、MLD和IPv6 PIM相关的特性。包括内容如下: · 组播概述 · 组播路由与转发配置 · IGMP配置 · PIM配置 · MSDP配置 · 组播VPN配置 · IPv6组播路由与转发配置 · MLD配置 · IPv6 PIM配置 |
|
PPP和PPPoE配置指导 |
介绍了PPP的相关配置 |
|
高可靠性配置指导 |
介绍了高可靠性的相关配置 |
|
网络管理和监控配置指导 |
介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用ping、tracert、debug等功能来检查、调试当前网络的连接情况,并介绍了故障检测技术,包括如下内容: · 系统维护与调试配置(Ping、Tracert、系统调试) · NQA配置 · NTP配置 · EAA配置 · 进程监控和维护配置 · NETCONF配置 · 信息中心配置 · SNMP配置 · NetStream配置 · RMON配置 · Flow日志配置 · Event MIB配置 · 报文捕获配置 · 快速日志输出配置 · 镜像配置 · GOLD配置 · BFD配置 · Track配置 · 接口组联动配置 · 进程分布优化配置 |
|
服务链配置指导 |
介绍了服务链的相关配置 |
|
MPLS配置指导 |
介绍了MPLS的相关配置,包括如下内容: · MPLS基础配置 · LDP配置 · MPLS L3VPN配置 |
|
VXLAN配置指导 |
介绍了VXLAN的相关配置 |
|
缩略语 |
列举了M9000系列配置指导中用到的缩略语 |
多业务安全网关产品包括M9000系列多业务安全网关、M9000-S系列多业务安全网关和M9000-AI系列多业务安全网关产品。本简介的示意图中设备均处于满配状态,当设备槽位不安装单板及电源模块时,请安装假面板,以保证设备正常的通风散热。
· 业务板分为两类,一种是可以直接插入设备槽位的业务板;另一种是通过接口交换板转接安装到设备槽位的业务板,后续简称为业务子卡。
· 接口子卡也需通过接口交换板安装到设备槽位。
H3C SecPath M9000系列多业务安全网关包括M9006、M9010、M9010-GM、M9014和M9016-V五款产品,在不区分具体型号时,后续统称为M9000系列设备。
M9000系列设备主要由主控板区、接口交换板区、接口板区、业务板区、交换网板区、电源区、风扇区等几个部分组成,下面对这五款产品各部分进行介绍。
图2-1 M9006前、后面板示意图
图2-2 M9010/M9010-GM/M9016-V前、后面板示意图(以M9010为例)
图2-3 M9014前、后面板示意图
表2-1 机箱各区域说明
|
说明区域 |
区域说明 |
选配情况 |
|
①主控板区 |
安装主控板的槽位 |
主控板必配(机箱发货时不带主控板) |
|
②接口交换板、接口板和业务板区 |
安装接口交换板、接口板或者业务板的槽位 |
接口交换板、接口板和业务板必配(机箱发货时不带接口交换板、接口板和业务板) 接口交换板提供2个槽位,用于安装接口子卡 支持多种类型的接口板和业务板,请根据实际业务需求进行选择,具体请参见“附录A 可插拔部件及适配关系” |
|
③电源区 |
安装电源模块的槽位 |
电源模块必配(机箱发货时不带电源模块) M9006具有4个电源模块插槽 M9010、M9010-GM、M9014、M9016-V具有6个电源模块插槽 |
|
④风扇区 |
安装散热风扇框的槽位,位于机箱背面 |
风扇框必配(机箱发货时已安装好相应风扇框) 根据不同机箱的特点,风扇框的位置有所不同: M9006、M9014:风扇框位于机箱背面的左侧 M9010、M9010-GM、M9016-V:风扇框位于机箱背面的上方 |
|
⑤交换网板区 |
安装交换网板的槽位 |
网板必配(机箱发货时不带网板) 每个机箱至少要配3块网板(M9010-GM只允许安装两块网板),最多可配置4块网板,并且要求编号最小的两个网板槽位中必须安装网板: M9006的6和7槽位必须安装网板 M9010、M9010-GM、M9016-V的10和11槽位必须安装网板 M9014的14和15槽位必须安装网板 |
H3C SecPath M9000-S系列多业务安全网关包括M9008-S、M9008-S-6GW、M9008-S-V和M9012-S四款产品。在不区分具体型号时,后续统称为M9000-S系列设备。M9000-S系列设备主要由主控板区、接口交换板区、接口板区、业务板区、电源区、风扇区等几个部分组成,其中,M9008-S及M9008-S-6GW外形相同,下面对各部分进行介绍。
图2-4 M9008-S/M9008-S-6GW前面板示意图
图2-5 M9008-S-V前面板示意图
图2-6 M9008-S-V后面板示意图
图2-7 M9012-S前面板示意图
表2-2 机箱各区域说明
|
说明 区域 |
区域说明 |
选配情况 |
|
①主控板区 |
安装主控板的槽位 |
主控板必配(机箱发货时不带主控板) |
|
②接口交换板/接口板/业务板区 |
安装接口交换板、接口板或者业务板的槽位 |
接口交换板、接口板、业务板必配(机箱发货时不带接口交换板、接口板和业务板) 接口交换板提供2个槽位,用于安装接口子卡 支持多种类型的接口板和业务板,请根据实际业务需求进行选择,具体请参见“附录A 可插拔部件及适配关系” |
|
③电源区 |
安装电源模块的槽位 |
电源模块必配(机箱发货时不带电源模块) M9000-S具有2个电源模块插槽 |
|
④风扇区 |
安装散热风扇框的槽位 |
风扇框必配(机箱发货时已安装好相应风扇框) · M9008-S/M9008-S-6GW/M9012-S:风扇框位于机箱右侧 · M9008-S-V:风扇框位于机箱后面板 |
H3C SecPath M9000-AI系列多业务安全网关包括M9000-AI-E8和M9000-AI-E16两款设备,在不区分具体型号时,后续为M9000-AI设备。M9000-AI设备主要由主控板、接口交换板、接口子卡、业务板、交换网板、风扇及电源等几部分组成,下面对M9000-AI设备各部分进行介绍。
图2-8 M9000-AI-E8设备正视图
图2-9 M9000-AI-E8设备后视图
表2-3 机箱各区域说明
|
说明 区域 |
区域说明 |
选配情况 |
|
①主控板区 |
安装主控板的槽位 |
主控板必配(机箱发货时不带主控板) |
|
②接口交换板/业务板区 |
安装接口交换板和业务板的槽位 |
接口交换板和业务板必配(机箱发货时不带接口交换板和业务板) 接口交换板提供2个槽位,用于安装业务子卡和接口子卡 |
|
③电源区 |
安装电源模块的槽位 |
电源模块必配(机箱发货时不带电源模块) 请根据设备实际所需功率来配置电源模块数量 |
|
④风扇区 |
安装散热风扇框的槽位 |
风扇框必配(M9000-AI-E8设备机箱发货时不带风扇框) |
|
⑤交换网板区 |
安装网板的槽位 |
交换网板必配(机箱发货时不带网板) M9000-AI-E8设备目前仅6、7两个槽位支持安装网板,且两个槽位均需安装网板 |
图2-10 M9000-AI-E16设备正视图
图2-11 M9000-AI-E16设备后视图
表2-4 机箱各区域说明
|
说明 区域 |
区域说明 |
选配情况 |
|
①主控板区 |
安装主控板的槽位 |
主控板必配(机箱发货时不带主控板) |
|
②接口交换板/业务板区 |
安装接口交换板和业务板的槽位 |
接口交换板和业务板必配(机箱发货时不带接口交换板和业务板) 接口交换板提供2个槽位,用于安装业务子卡和接口子卡 |
|
③交换网板区 |
安装交换网板的槽位 |
交换网板必配(机箱发货时不带网板) M9000-AI-E16设备目前仅10、11两个槽位支持安装网板,请在至少一个槽位上安装网板 |
|
④电源区 |
安装电源模块的槽位 |
电源模块必配(机箱发货时不带电源模块) 请根据设备实际所需功率来配置电源模块数量 |
|
⑤风扇区 |
安装散热风扇框的槽位 |
风扇框必配(M9000-AI-E16设备机箱发货时满配6个风扇框) |
支持
