- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath TAP8000-SDN 控制平台
典型配置举例
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档主要介绍SDN作为管理平台特有的功能,若用户需要使用流量过滤/复制/汇聚/去重等功能时,可以参考CE54系列设备的典型配置文档即可。
SDN平台在web上添加TAP8000设备后,TAP设备侧也需要配置指向SDN server的地址,SDN平台的管理地址与设备管理地址网络可达,且配置完成后即可联动。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量
”设备图标后不放,直接拖曳到网格页面中,移到确定位置后松开鼠标,右侧会弹出“设备属性设置”对话框。
enable
configure terminal
sdn mode remote controller X.X.X.X(平台IP地址)
service ntp server X.X.X.X(平台IP地址)
service ntp enable
exit
write memory
enable
configure terminal
sdn mode enable controller X.X.X.X(平台IP地址)
exit
write memory
支持将TAP设备/SDN平台/采集设备/分析设备等添加到网络拓扑图中,使网络流量清晰展示,下文具体说明如何添加拓扑及配置连线。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量
”网元设备图标后不放,直接拖曳到网格页面“网络设备”浅蓝色框中,移到确定位置后松开鼠标,右侧会弹出“网络设备属性设置”对话框。
”连线图标,点击网格页面中“网络设备”处添加的设备A,此时会有虚线连接,然后再选择设备B,右侧弹出“属性设置”对话框。
”采集点图标,在到网格页面中网络设备处点击设备图标,则会弹出“采集点属性设置”对话框。
”连线图标,点击网格页面中“网络设备”处添加的设备A的采集点图标,此时会有提示“采集点列表”显示,选择对应采集点名称后,带有绿色线缆,鼠标拖动到“TAP设备”,右侧弹出“属性设置”对话框。
MTU值:
本地快照:MTU均是1514字节
远程快照:CE54、CE54H是6000字节左右、XE50是16000字节左右(实际抓取下来会自动截短至1988字节)
说明:本地快照,抓取的包是保存到平台的;远程快照是支持快照的设备(如:CE54/CE54H/XE50),通过远程快照后保存在设备侧,上传到平台。
支持快照端口速率:
端口速率:千兆、万兆均支持。
如下图所示,由SDN平台控制CE54,核心SW对应设备XE0,汇聚SW对应设备XE1,接入SW对应设备XE2/XE3;日志审计对应设备XE10,IDS对应设备XE11,APM对应设备XE12,NPM对应设备XE13.
图3-1 组网部署
(1) 从XE0口采集核心SW的流量,通过设备的复制功能,把所采集到的流量复制成2份,然后通过XE10\XE13分别发送给日志审计、NPM
(2) 从XE1口采集汇聚SW的流量,通过设备的过滤功能,把其中源ip为192.168.1.22的流量通过XE12口发送给APM
(3) 从XE2/XE3口采集接入SW的流量,通过设备的汇聚功能,通过XE11口,把流量发送给IDS
首先确定输出端口,在“接口组配置”界面,将输出端口创建为一个组播组ID为100的成员端口组
在聚合策略>报文输入筛选界面,点击新建规则
填写策略名称如“核心核心SW采集到的流量发送给日志审计、NPM”,勾选输入端口XE0,输出接口选择mc_100组播组
选择添加规则,点击确定,默认为permit any,再点击确定完成配置
策略下发灯变绿,验证配置成功,完成从XE0口采集核心SW的流量,通过设备的复制功能,把所采集到的流量复制成2份,然后通过XE10\XE13分别发送给日志审计、NPM
继续在“聚合策略>报文输入筛选”界面,点击新建规则
填写策略名称如“汇聚SW采集到的流量其中源ip为192.168.1.22的流量发送给APM”,勾选输入端口XE1,勾选输出端口XE12,并配置ACL匹配条件源ip地址为192.168.1.22,掩码为255.255.255.255,点击确定
策略下发灯变绿,验证配置成功,完成从XE1口采集汇聚SW的流量,通过设备的过滤功能,把其中源ip为192.168.1.22的流量通过XE12口发送给APM
继续在“聚合策略>报文输入筛选”界面,点击新建规则
填写策略名称如“SW采集流量发送给IDS”,勾选输入端口XE2-XE3,勾选输出端口XE13,点击确定
策略下发灯变绿,验证配置成功,完成从XE2\XE3口采集接入SW的流量,通过设备的汇聚功能,通过XE11口,把流量发送给IDS
策略将按照策略序号顺序逐条执行
H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台提供HA部署,意思是为了减少系统停工时间,最大限度地保持平台服务的高度可用性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量。同时,需要两台H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台,且所有硬盘分区数量和大小需完全一致。
图4-1 R4900G5服务器SDN网口角色
图4-2 设置master平台
图4-3 设置slave平台
图4-4 设置Master平台的VIP配置和心跳检测主用接口与备用接口
图4-5 设置Slave平台的VIP配置和心跳检测主用接口与备用接口
图4-6 开启HA服务
图4-7 关闭HA部署
图4-8 成功开启HA部署
图4-9 登录master平台IP,查看“网络接口/HA配置”
图4-10 登录slave平台IP,查看“网络接口/HA配置”
H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台提供跨设备的输入端口1+1主备部署配置,当主端口出现故障时,备用端口可以立即接管服务,确保系统的连续运行,从而避免数据的中断,减少因故障导致的损失。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量
图5-1 新增1+1输入组
图5-2 1+1输入组创建成功
图5-3 使用test1为输入接口并完成数据的转发策略
在接口热备组界面处,当主用接口192.168.1.178的XGE0/0正常时,选择创建的1+1输入组,在可视化状态处为热备-不可恢复,此时为主用接口192.168.1.178的XGE0/0输入。
图5-4 主用接口状态
在接口热备组界面处,当主用接口192.168.1.178的XGE0/0异常时,选择创建的1+1输入组,在可视化状态处为接管-不可恢复,此时为备用接口192.168.1.179的HGE0/0输入。
图5-5 备用接口状态
在接口热备组界面处,当主用接口192.168.1.178的XGE0/0重新恢复正常时,选择创建的1+1输入组,在可视化状态处为接管-可恢复,此时点击热备恢复,重新恢复为主用接口192.168.1.178的XGE0/0输入。
图5-6 可恢复状态
H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台提供 跨设备的输出端口1+1主备部署配置,当主端口出现故障时,备用端口可以立即接管服务,确保系统的连续运行,从而避免数据的中断,减少因故障导致的损失。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量
图6-1 新增1+1输出组
图6-2 1+1输出组创建成功
图6-3 使用输出备份组test_out为输出接口并完成数据的转发策略
图6-4 主用输出接口状态
图6-5 备用输出接口状态
图6-6 可恢复状态
H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台提供Dashboard(仪表盘)大屏态势实时监控,用户可以依据自己的业务考虑或者重点关注对象实现定制的综合监控视图,通过大数据的图形化综合展示,极大方便用户的运维工作。
H3C SecPath TAP8000-SDN流量可视化设备SDN控制平台提供亲和的基于大数据的图形化管理和展示界面,可以实现策略管理、平面间数据关联、图表分析、多个维度的数据组合对比与展示。利用全网络流量采集、业务系统定义、业务流量行为分析、业务访问趋势分析等多维度的数据分析与可视化呈现,帮助用户直观掌控全网流量,业务与非业务访问行为。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。建议保证输出/接入接口存在流量
图7-1 大屏展示配置入口
图7-2 大屏展示配置界面
大屏展示界面配置完成后,点击界面左上角的“H3C SecPath TAP8000-SDN”图样,可以切回到大屏展示最终效果的页面。(可自定义展示内容包括组网拓扑、用户网络拓扑、分析系统、输入输出流量趋势、系统时间、输入输出节点数量、流量告警等信息)
XE50的模式切换需要升级对应版本实现,下文以E6601P03版本举例说明:
如E6601P03单机版需要切换为平台版,可在单机版web界面上传E6601P03平台版的升级文件进行升级,升级成功后web界面无法登录,需在后台配置SDN的地址;
如E6601P03平台版需要切换为单机版,可在SDN界面上传E6601P03单机版的升级文件进行升级,升级成功后单机版的web界面可以登录;
注意,模式切换后,原模式的配置无法保留,建议切换成导出配置备份。
(1) web界面升级SecPathTAP8000XE50-SDN-IMW310-E6601P03.kernel.pkg包;
(2) 等待升级完成,进入后台;
(3) 输入en,进入可编辑状态;再输入configure terminal进入终端模式;
(4) 设置SDN服务器,命令:sdn mode enable controller 服务器ip;
(5) 输入exit(ex)退出config模式,再输入write memory将配置保存;
等待几分钟后,即可在SDN平台添加设备并显示在线
操作命令截图如下:
(1) 登录SDN平台,进入系统配置-SDN单元升级界面,选中XE50设备,上传升级文件SecPathTAP8000XE50-IMW310-E6601P03.kernel.pkg,选中文件并升级;
(2) 等待提示升级已完成后,点击重启设备进行重启;
(3) 等待几分钟设备完全起来后,即可在浏览器通过设备ip访问web。
操作截图如下:
(1) 开启TFTP服务器,并选择单机版程序路径;
(2) 通过串口或ssh等登录设备,使用命令copy tftp://tftp服务器ip/单机版文件名 mainboard firmware(可参考命令行手册);
(3) 等待提示成功后,输入reload进行重启;
(4) 等待几分钟设备完全起来后,即可在浏览器通过设备ip访问web。
操作命令截图如下:
(1) 输入en,进入可编辑状态;再输入configure terminal进入终端模式;
(2) 设置SDN服务器,命令:sdn mode remote controller 服务器ip;
(3) 等待几分钟后,即可在SDN平台添加设备并显示在线。
(4) 等待几分钟后,输入do write memory将配置保存
图9-1 local切换到remote模式
(1) 输入en,进入可编辑状态;再输入configure terminal进入终端模式
(2) 命令:sdn mode local
(3) 等待几分钟后,输入do write memory将配置保存;
(4) 等待几分钟后,即可在浏览器通过设备ip访问web。
图9-2 remote模式切换到local模式
(1) a. 输入en,进入可编辑状态;再输入configure terminal进入终端模式
(2) b. 命令:sdn mode local_sdn
(3) c. 等待几分钟后,输入do write memory将配置保存;
(4) d. 等待几分钟后,即可在浏览器通过设备ip访问web,此时已切换为可纳管设备的SDN模式。
图9-3 local切换到local_sdn模式
支持
