- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath TAP8000流量可视化设备
典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
1 (H3C SecPath TAP8000)流量复制配置举例
2 (H3C SecPath TAP8000)流量汇聚配置举例
3 (H3C SecPath TAP8000)去重高级功能配置举例
4 (H3C SecPath TAP8000)流量过滤功能配置举例
5 (H3C SecPath TAP8000)报文截短功能配置举例
6 (H3C SecPath TAP8000)VLANtag标签配置举例
7 (H3C SecPath TAP8000)数据脱敏配置举例
8 (H3C SecPath TAP8000)隧道封装剥离配置举例
9 (H3C SecPath TAP8000)镜像封装配置举例
流量复制/汇聚是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对原始输入流量和预处理后流量按1路信号复制到N路信号或者N路信号汇聚后复制到M路信号的10GE、40G、100G线速转发,完美的解决了网络中同时部署两台以上的多端口监听旁路设备的需求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
(1) 交换机镜像和监听接口配置
(2) 创建组播组
(3) 流量复制功能步骤
(4) 流量复制功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图1-2 交换机上的镜像组配置
如图所示,登录设备WEB界面,点击‘功能配置’中‘组播组配置’,新建组播组ID:1,勾选端口“XGE0/0-XGE0/4”,点击‘新建’。
图1-3 建立组播组
如图所示,点击‘功能配置’中‘转发规则配置’,点击‘新建规则’
图1-4 新增转发规则
如图所示,创建规则ID:1,源端口选择“XGE16”,匹配组类型选择“ip”,动作选择“redirect to mc group”,填写组ID:1,点击 “确认”。
如图所示,切换到‘系统状态’中‘流量监控’界面,观察被测设备和测试仪收包情况。
图1-6 查看接口流量信息
流量复制/汇聚是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对原始输入流量和预处理后流量按1路信号复制到N路信号或者N路信号汇聚后复制到M路信号的10GE、40G、100G线速转发,完美的解决了网络中同时部署两台以上的多端口监听旁路设备的需求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图2-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 多对一映射创建流量汇聚步骤
(3) 流量汇聚功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图2-2 交换机上的镜像组配置
如图所示,在被测设备WEB界面,选择“功能配置”中“转发规则配置”,点击“新建规则,”规则ID输入“2”,匹配组类型选择“ip”,源端口选择“XGE0/0-XGE0/4”,动作选择“redirect to port”,目的端口选择“XGE0/32”,点击“确认”。
观察‘系统状态’中‘流量监控’流量转发情况
报文去重是H3C SecPath TAP8000流量可视化设备的智能流量处理功能。基于端口或策略级的统计粒度对多个采集源数据进行对比,在规定时间窗口内对采集到的相同数据包去重复;用户可选择不同的报文标识(dst.ip 、src.port、dst.port、tcp.seq、tcp.ack、dst.mac、src.mac、vlan.id),进行比对后实现去重复;设备默认根据ipid、sip报文标识进行去重,可确保部分应用监控系统收到数据包的准确性、可靠性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图3-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 去重功能配置
(3) 智能转发规则配置
(4) 转发规则配置
(5) 去重高级功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图3-2 交换机上的镜像组配置
如图所示,登录被测设备WEB界面,点击“高级分流配置>智能去重”,打开去重功能开关,点击<确定>按钮。
图3-3 添加去重策略
如图所示,“高级分流配置>智能转发规则”,规则ID1,规则去重开关切换为打开,点击<确定>按钮。
图3-4 添加去重转发策略
如图3-5所示,在被测设备WEB界面,选择“功能配置”中“转发规则配置”,点击“新建规则,”规则ID -1,匹配组类型选择“ip”,源端口选择“XGE0/16”,动作选择“redirect to port”,目的端口选择“XGE0/32”,点击“确认”;再创建规则ID -2,匹配组类型选择“ip”,源端口选择“Intelligent Process”,动作选择“redirect to port”,目的端口选择“XGE0/17”,点击“确认”。
图3-5 转发规则配置
去重流量展示(17口输出的报文中不含重复ip的报文)
图3-6 去重流量展示
流量分流/过滤是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对输入接口和输出接口的数据流进行精确分类,将不同数据业务按白名单或黑名单规则,丢弃或转发至多个接口输出。支持基于以太网类型、vlan标记、IP五元组、tcp标识位、报文特征等元素灵活组合,进一步满足各类网络安全设备、协议分析、信令分析、等流量监控部署需求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图4-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 支持基于硬件的2-7层(源/目的IP地址及掩码,源/目的TCP端口号及端口范围,源目的Mac地址,协议号)流量过滤功能
(3) 流量过滤高级功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图4-2 交换机上的镜像组配置
如图所示,添加基于硬件的2-7层(源/目的IP地址及掩码,源/目的TCP端口号及端口范围,源目的Mac地址,协议号)的流量过滤规则。
图4-3 流量过滤规则添加
过滤前流量截图
过滤后流量截图
报文截短是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对原始数据进行基于策略级的截短(64-1518字节可选),可根据用户配置决定实施流量输出策略,达到分析系统在获取IP报文头部快速分析效率。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解端口镜像特性。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图5-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 支持对数据包进行指定长度的截短处理
(3) 流量截短功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图5-2 交换机上的镜像组配置
如图所示,在被测设备WEB界面,选择“功能配置”中“转发规则配置”,点击“新建规则,”规则ID -1,匹配组类型选择“ip”,源端口选择“XGE0/16”,动作选择“redirect to port”,目的端口选择“XGE0/17”,截短填写128,点击“确认”。
图5-3 截短策略添加
截短前报文:
截短后报文:
Vlan tag是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对不同输入端口的数据流打上一层或双层vlan tag标记;同时,可支持对输入端口带有原始vlan的标签值进行修改或剥离操作。实际场景中,可通过对输入端口数据打vlan标签,以此来区分不同来源的流量,当某个ip流量出现异常时可以根据vlan标签号找到数据来源,方便用户进行故障排查。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图1-1-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图6-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 可基于2-7层流量规则按需打Vlan标签
(3) VLAN TAG功能验证截图
登录交换机,如图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图6-2 交换机上的镜像组配置
如图所示,登录被测设备WEB界面,点击‘功能配置’中‘vlan规则配置’,点击“新建规则”,新建规则ID:1,规则描述填写:vlan 标签,勾选源端口XGE0/0, 在“外层vlan”和“内层vlan”下拉列表中选择“set”添加外层vlan:1000,添加内层vlan:2000,点击确认。
如图所示,选择“功能配置”—“转发规则配置”,点击新建规则,输入规则号为1,勾选源端口为“XGE0/0”,动作选择“redirect to port”,目的端口勾选“XGE0/1”,点击“确认”创建转发规则成功。
图6-4 添加转发规则策略
通过测试仪端发送不带vlan标签数据流,并抓取数据包,查看发送和接收数据包一致并且已经外层为1000、内层为2000的Vlan Tag。
数据脱敏是H3C SecPath TAP8000流量可视化设备的智能流量处理功能。基于策略级的粒度对原始数据内的任意关键字段可通过正则表达式或自定义字段偏移位置进行脱敏替换,以达到屏蔽敏感信息的目的,可根据用户配置决定实施流量输出策略
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图7-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图7-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置;
(2) 脱敏规则配置;
(3) 智能转发规则配置
(4) 转发规则配置
(5) 脱敏功能验证截图
登录交换机,如图7-2所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图7-2 交换机上的镜像组配置
如图7-3所示,登录被测设备WEB界面,点击“高级分流配置>应用识别与脱敏” ,创建脱敏规则ID-1,脱敏配置:匹配表达式为baidu、替换长度为5byte、脱敏替换为0xaa;完成脱敏规则创建添加vlan策略
图7-3 脱敏规则配置
如图7-4所示,“智能流量处理>智能转发规则”,规则ID1,选择脱敏开关开启,点击<确定>按钮。
图7-4 智能转发规则配置
如图图7-5所示,进入“功能配置-转发规则配置”,选择”新建单条规则”,创建规则ID-1,选择勾选源输入端口XGE0/16,动作选择为“Intelligent process”,完成将XGE0/16转发到智能流量处理模组策略下发;再创建规则ID-2,选择勾选源输入端口Intelligent-port,动作选择为“redirect to port”,目的输出端口勾选XGE0/17,完成将智能流量处理模组转发到XGE0/17策略下发
图7-5 基础流量转发规则添加
XGE0/17输出baidu字符已被替换的数据包;完成了数据流量脱敏。
脱敏前报文:
脱敏后报文:
隧道封装剥离是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可对原始数据包中带有VxLAN、MPLS、GRE等隧道封装报文头部结构进行剥离后输出,可提升网络分析系统处理效率。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图8-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图8-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 隧道封装剥离配置
(3) 智能转发规则配置
(4) 转发规则配置
(5) 隧道封装剥离功能验证截图
登录交换机,如图8-2所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图8-2 交换机上的镜像组配置
如图8-3所示,登录被测设备WEB界面,进入“功能配置>隧道规则配置”,选择“新建规则”,创建规则ID-1,选择勾选源端口XGE0/16,隧道处理动作选择为“tunnel strip header”,隧道类型为VXLAN,完成将XGE0/16剥离配置下发
图8-3 隧道封装剥离配置
如图8-4所示,进入“功能配置-转发规则配置”,选择”新建单条规则”,创建规则ID-1,选择勾选源输入端口XGE0/16,action动作选择为“redirect to port”,目的输出端口勾选XGE0/17,完成将XGE0/16转发到XGE0/17策略下发。
图8-4 基础流量转发规则添加
剥离前截图
剥离后截图
镜像封装输出是H3C SecPath TAP8000流量可视化设备的基础流量处理功能。可将采集流量中的任意指定报文打上RSPAN或ERSPAN封装头部后,输出至后端系统或网络交换机。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图9-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图9-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) 端口IP配置
(3) 镜像规则配置
(4) 转发规则配置
(5) VLAN TAG功能验证截图
登录交换机,如图9-2所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图9-2 交换机上的镜像组配置
如图9-3所示,登录被测设备WEB界面,进入“功能配置>端口IP配置”,配置XGE0/17端口ip为192.168.1.101
图9-3 端口IP配置
如图9-4所示,登录设备ssh命令行,在XGE0/17接口下arp和icmp开关
图9-4 开启arp和icmp开关
如图9-5所示,进入“基础流量处理>镜像配置”,创建规则ID-1,目的端口选择XGE0/17,镜像报文类型选择为erspan,源ip地址为192.168.1.101,目的ip地址为192.168.1.100,ttl值为10,完成镜像封装策略下发
图9-5 镜像规则配置
如图9-6所示,进入“功能配置-转发规则配置”,选择”新建单条规则”,创建规则ID-1,选择勾选源输入端口XGE0/16,action动作选择为“mirror”,完成将XGE0/16流量封装策略下发。
图9-6 基础流量转发规则配置
封装前报文
封装后报文
SSL解密是H3C SecPath TAP8000流量可视化设备的智能流量处理功能。基于策略级的粒度对隧道加密数据进行解析,可根据用户配置决定实施流量输出策略。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档适用于H3C SecPath TAP8000流量可视化设备E6601版本。
推荐使用Chrome53+、Firefox58+、Edge105+浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
如图10-1所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望能对设备上去往和来自Internet的流量同时进行流量综合分析和入侵检测。
图10-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置
(2) SSL密钥文件上传
(3) 智能转发规则配置
(4) 基础流量转发规则配置
(5) SSL解密功能验证截图
登录交换机,如图10-2所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图10-2 交换机上的镜像组配置
如图10-3所示,登录被测设备WEB界面,点击“高级分流配置”,进入“智能输出”,选择SSL密钥配置,导入密钥配置文件,SSL密钥索引值为1,完成SSL密钥策略配置下发
图10-3 SSL密钥文件上传
如图10-4所示,“智能转发规则”,创建规则ID-1,开启SSL解密开关,SSL密钥索引值引用1,完成将智能流量处理模组策略下发,点击应用规则。
图10-4 智能转发规则配置
如图10-5所示,点击“功能配置”,进入“转发规则配置”,选择“新建规则”,创建规则ID-1,选择勾选源端口XGE0/16,动作选择为“Intelligent Process”,完成将XGE0/16转发到智能流量处理模组策略下发;再创建规则ID-2,选择勾选源端口Intelligent Process,动作选择为“redirect to port”,再勾选XGE0/17,完成将智能流量处理模组转发到XGE0/17策略下发
图10-5 基础流量转发规则添加
解密前报文
解密后报文
支持
