H3C SecBlade IPS Enhanced插卡典型配置案例-6W101

手册下载

H3C SecBlade IPS Enhanced插卡配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 



单块插卡部署典型配置举例

1.1  简介

本章介绍H3C SecBlade IPS Enhanced单块插卡部署典型配置举例。

H3C SecBlade IPS Enhanced产品是一款主动式入侵防御系统,能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件等;在不同层面上配置带宽管理策略,阻断或限制P2P应用,从而帮助IT部门完成应用系统、网络基础设施和系统性能保护的关键任务。IPS特性主要是入侵防御功能,依据上千种常见攻击特征库,对系统漏洞进行的攻击进行防御。应用于流量较大的环境,例如校园主干网出口等。

1.2  ACFP引流方式部署典型配置举例(仅S12500支持)

1.2.1  组网需求

1所示,交换机的主控板在0号槽位,交换板在4号槽位。为了对经过交换机的流量进行检测,在交换机的5号槽位上安装了1SecBlade IPS Enhanced插卡。交换机的GigabitEthernet4/0/1GigabitEthernet4/0/2为内网接口,GigabitEthernet4/0/20为外网接口,内网和外网的流量都需要经过SecBlade IPS Enhanced插卡的检测:

·     交换机的GigabitEthernet4/0/1GigabitEthernet4/0/2连接内网方向,GigabitEthernet4/0/20连接外网方向。

·     交换机的Ten-GigabitEthernet5/0/1Trunk类型,和SecBlade IPS Enhanced插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet4/0/1GigabitEthernet4/0/2时,将自动经过内联接口重定向到SecBlade IPS Enhanced插卡进行检测,SecBlade IPS Enhanced插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet4/0/20,反之亦然。

图1 交换机和SecBlade IPS Enhanced插卡三层转发组网图

1.2.2  配置思路

1. 配置S12500交换机

为了实现交换机和SecBlade IPS Enhanced插卡三层转发组网配置,需要在交换机上进行以下配置。

(1)     配置设备的MIBManagement Information Base,管理信息库)风格new

(2)     配置SNMPv3参数,这里配置为SNMPv3用户,采用不认证不加密方式。

(3)     使能ACFP serverACSEI server功能。

(4)     配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

(5)     配置内联接口为Trunk模式,允许内外网所属VLAN的报文通过,并且配置接口模式为扩展模式。

(6)     保存配置,重启交换机。

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS Enhanced插卡三层转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在WEB网管上实现。

(1)     通过命令行配置管理口IP,通过管理IP登录SecBlade IPS Enhanced插卡的WEB管理界面。

(2)     创建安全域,把内外网VLAN、接口加入安全域。

(3)     创建段,把相应的内部域和外部域加入段。

(4)     创建IPS防攻击策略。

1.2.3  配置步骤

1. S12500交换机的配置

# 配置MIBH3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

#创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] undo shutdown

[Sysname-Vlan-interface100] quit

#配置内联接口为Trunk模式,允许接口GigabitEthernet4/0/1GigabitEthernet4/0/2GigabitEthernet4/0/20所属VLAN的报文通过,并且配置接口模式为扩展模式,禁止MAC学习。

[Sysname] interface Ten-GigabitEthernet5/0/1

[Sysname-Ten-GigabitEthernet5/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet5/0/1] port trunk permit vlan 10 20 100 200

[Sysname-Ten-GigabitEthernet5/0/1] port connection-mode extend

[Sysname-Ten-GigabitEthernet5/0/1] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet5/0/1] undo stp enable

[Sysname-Ten-GigabitEthernet5/0/1] undo shutdown

[Sysname-Ten-GigabitEthernet5/0/1] quit

# 保存配置并重启。

<Sysname> save

<Sysname> reboot

2. SecBlade IPS插卡的配置

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if] ip address 192.168.0.11 255.255.255.0    //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图2 SecBlade IPS插卡登录界面

 

# 配置ACFP Client,并测试与交换机的连通性。

图3 配置ACFP Client

 

# 配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图4 连通测试成功

 

# 配置安全区域,将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet4/0/1GigabitEthernet4/0/2加入内部安全区域“Inisde”,GigabitEthernet4/0/20加入外部安全区域“Outside”,如5所示:

图5 新建安全区域

 

# 配置段。

图6 新建段

 

图7 配置段

 

图8 配置IPS策略

 

1.3  手动MQC引流方式部署典型配置举例(V5

1.3.1  组网需求

各款交换机均支持手动MQC引流方式,本配置案例以S10500交换机为例。

用户S10500与防火墙通过以太网线相连。交换机内划分多个VLAN区分内外网段。使用两个C类地址连接外网,其余网段作为内网业务VLAN

9所示,VLAN30VLAN40连接外网,VLAN10VLAN20连接内网用户。按需求配置进入S10500的流量重定向到SecBlade IPS Enhanced4个内联接口,经匹配的安全防护及流量管理策略处理后在S10500上进行三层转发,转发到相应出接口。

要求当SecBlade IPS Enhanced插卡内联口down或者IPS Enhanced模块出现故障时,SecBlade IPS Enhanced插卡旁路,流量直接从交换机转发,用户网络基本不受影响。为了实现该可靠性,需要配置QoSACSEI和聚合口联动的功能。其实现原理如下:

S10500SecBlade IPS Enhanced的内联口加入同一个聚合口,并配置聚合口最小成员接口数为4,当聚合口中其中一个接口down聚合最小接口成员为3 小于配置值4时,聚合接口downacsei client注销,QoS引流策略将联动acsei client状态,从而失效。流量直接转发,不经过IPS模块处理。

注:S10500 V5平台和V7平台配置稍有不同。V5在全局使能ACSEI ServerQoS自动探测acsei client状态;V7平台在聚合口下使能oap enableQoS的动作需要配置track-oap来达到联动的目的。本节以V5版本配置为例,V7版本详细配置请参考1.4  节。

图9 交换机和SecBlade IPS插卡的转发组网图

1.3.2  配置思路

1. 配置S10500交换机

为了实现S10500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在S10500交换机上进行以下配置:

(1)     配置聚合接口,并配置最小成员接口数为4

(2)     SecBlade IPS Enhanced插卡的内联口加入聚合接口。

(3)     开启acsei server

(4)     配置引流MQC

(5)     配置内外部接口所属VLAN

(6)     配置内联接口为Trunk模式,允许内外网VLAN 和内联口所属pvidVLAN的报文通过。

(7)     配置内联接口过滤二层报文,防止广播风暴。

(8)     保存配置。

2. 配置SecBlade IPS插卡

为了实现S10500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS Enhanced插卡的Web管理界面。

(2)     去使能ACFP Client

(3)     创建安全域,把内外网接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入段。

(5)     配置IPS策略。

1.3.3  配置步骤

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S10500交换机(V5

#

acsei server enable               //全局使能acsei server

#

 

acl number 3000

 rule 0 permit ip

#

acl number 4000  //过滤掉二层报文,只允许目的MAC为虚接口MACIP报文和acsei报文通过

 rule 0 permit type 0800 ffff dest-mac 000f-e22e-94b3 ffff-ffff-ffff

 rule 5 permit type 88a7 ffff

 rule 10 deny

#

traffic classifier IPS operator and

 if-match acl 3000

 if-match destination-mac 000f-e22e-94b3         //匹配vlan虚接口的MAC地址

#

traffic behavior IPS2

 redirect interface Ten-GigabitEthernet3/0/2

traffic behavior IPS3

 redirect interface Ten-GigabitEthernet3/0/3

traffic behavior IPS4

 redirect interface Ten-GigabitEthernet3/0/4

traffic behavior IPS1

 redirect interface Ten-GigabitEthernet3/0/1

#

qos policy up1                       //上行策略up1,将vlan10的流量引到内联口1

 classifier IPS behavior IPS1

qos policy up2                       //上行策略up2,将vlan20的流量引到内联口3

 classifier IPS behavior IPS3

qos policy down1                   //下行策略down1,将vlan30的流量引到内联口2

 classifier IPS behavior IPS2

qos policy down2                   //下行策略down2,将vlan40的流量引到内联口4

 classifier IPS behavior IPS4

#

vlan 10

#

vlan 20

#

vlan 30

#

vlan 40

#

Vlan 100

#

interface Vlan-interface10                               //内网vlan10

 ip address 10.0.1.1 255.255.255.0

#

interface Vlan-interface20                               //内网vlan20

 ip address 10.0.2.1 255.255.255.0

#

interface Vlan-interface30                               //外网vlan30

 ip address 30.0.3.1 255.255.255.0

#

interface Vlan-interface40                               //外网vlan40

 ip address 30.0.4.1 255.255.255.0

#

//配置聚合最小接口成员为4,在任一口down掉之后,聚合口downacsei client down

interface Bridge-Aggregation1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 10 20 30 40

 link-aggregation selected-port minimum 4

 undo stp enable

 mac-address mac-learning disable

#

interface GigabitEthernet1/0/8               //连接内网接口1,应用qos策略up1

 port link-mode bridge

 port access vlan 10

 qos apply policy up1 inbound

#

interface GigabitEthernet1/0/9               //连接内网接口2,应用qos策略up2

 port link-mode bridge

 port access vlan 20

 qos apply policy up2 inbound

#

interface GigabitEthernet1/0/10             //连接外网接口,应用qos策略down1

 port link-mode bridge

 port access vlan 30

 qos apply policy down1 inbound

#

interface GigabitEthernet1/0/11             //连接外网接口,应用qos策略down2

 port link-mode bridge

 port access vlan 40

 qos apply policy down2 inbound

#

//IPS Enhanced插卡的四个内联口,加入同一个聚合链路,配置outbound方向的packet-filter过滤二层报文

interface Ten-GigabitEthernet3/0/1                        //内联接口1

 port link-mode bridge

 port link-type trunk

 

 undo port trunk permit vlan 1 port trunk permit vlan 10 20 30 40

port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

mac-address mac-learning disable                       //禁止MAC地址学习

#

interface Ten-GigabitEthernet3/0/2                        //内联接口2

 port link-mode bridge

 port link-type trunk

 

 undo port trunk permit vlan 1 port trunk permit vlan 10 20 30 40

port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

 mac-address mac-learning disable

#

interface Ten-GigabitEthernet3/0/3                        //内联接口3

 port link-mode bridge

 port link-type trunk

 

 undo port trunk permit vlan 1 port trunk permit vlan 10 20 30 40

port link-aggregation group 1

 packet-filter 4000 outbound

undo stp enable

mac-address mac-learning disable

#

interface Ten-GigabitEthernet3/0/4                        //内联接口4

 port link-mode bridge

 port link-type trunk

 

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40

port link-aggregation group 1

 undo stp enable

 packet-filter 4000 outbound

 mac-address mac-learning disable

2. 配置SecBlade IPS Enhanced插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if] ip address 192.168.0.11 255.255.255.0     //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS Enhanced插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图10 SecBlade IPS插卡登录界面

 

# IPS插卡上去使能ACFP Client

图11 去使能ACFP Client

 

# 创建安全域和段。创建安全区域时,注意将内联接口13加入内部域,Vlan配置1020;内联接口24加入外部域,Vlan配置3040

图12 配置安全域

 

图13 配置安全域和段

图14 配置IPS策略

 

1.3.4  注意事项

注意事项请参考1.4.4  节。

1.4  手动MQC引流方式部署典型配置举例(V7

1.4.1  组网需求

本节介绍手动MQC引流方式在V7版本下的配置。组网需求和1.3节一致,请参考1.3  节。

图15 交换机和SecBlade IPS Enhanced插卡的转发组网图

 

1.4.2  配置思路

1. 配置S10500交换机

为了实现S10500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在S10500交换机上进行以下配置:

(1)     配置聚合接口,并配置最小成员接口数为4

(2)     SecBlade IPS Enhanced插卡的内联口加入聚合接口

(3)     在聚合口使能oap enableV7)。

(4)     配置引流MQC

(5)     配置内外部接口所属VLAN

(6)     配置内联接口为Trunk模式,允许内外网VLAN 和接口pvid所属的VLAN的报文通过。

(7)     配置内联接口过滤二层报文,防止广播风暴。

(8)     保存配置。

2. 配置SecBlade IPS插卡

为了实现S10500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

(2)     去使能ACFP Client

(3)     创建安全域,把内外网接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入段。

(5)     配置IPS策略。

1.4.3  配置步骤

说明

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S10500交换机(V7

#

vlan 10

#

vlan 20

#

vlan 30

#

vlan 40

#

vlan 100

#

interface Vlan-interface10                               //内网vlan10

 ip address 10.0.1.1 255.255.255.0

#

interface Vlan-interface20                               //内网vlan20

 ip address 10.0.2.1 255.255.255.0

#

interface Vlan-interface30                               //外网vlan30

 ip address 30.0.3.1 255.255.255.0

#

interface Vlan-interface40                               //外网vlan40

 ip address 30.0.4.1 255.255.255.0

#

acl number 3000

 rule 5 permit ip

#

acl number 4000

 rule 0 permit type 0800 ffff dest-mac 000f-e22e-94b3 ffff-ffff-ffff

 rule 5 permit type 88a7 ffff

 rule 10 deny

#

traffic classifier IPS operator and

 if-match acl 3000

 if-match destination-mac 000f-e22e-94b3         //匹配vlan虚接口的MAC地址

#

//重定向动作track oap,在接口downoap client down掉之后,qos失效,流量不经过IPS Enhance插卡处理,直接转发

traffic behavior IPS2

 redirect interface Ten-GigabitEthernet3/0/2 track-oap

traffic behavior IPS3

 redirect interface Ten-GigabitEthernet3/0/3 track-oap

traffic behavior IPS4

 redirect interface Ten-GigabitEthernet3/0/4 track-oap

traffic behavior IPS1

 redirect interface Ten-GigabitEthernet3/0/1 track-oap

#

qos policy up1                       //上行策略up1,将vlan10的流量引到内联口1

 classifier IPS behavior IPS1

qos policy up2                       //上行策略up2,将vlan20的流量引到内联口3

 classifier IPS behavior IPS3

qos policy down1                    //下行策略down1,将vlan30的流量引到内联口2

 classifier IPS behavior IPS2

qos policy down2                    //下行策略down2,将vlan40的流量引到内联口4

 classifier IPS behavior IPS4

#

interface GigabitEthernet1/0/8               //连接内网接口1,应用qos策略up1

 port link-mode bridge

 port access vlan 10

 qos apply policy up1 inbound

#

interface GigabitEthernet1/0/9               //连接内网接口2,应用qos策略up2

 port link-mode bridge

 port access vlan 20

 qos apply policy up2 inbound

#

interface GigabitEthernet1/0/10             //连接外网接口,应用qos策略down1

 port link-mode bridge

 port access vlan 30

 qos apply policy down1 inbound

#

interface GigabitEthernet1/0/11             //连接外网接口,应用qos策略down2

 port link-mode bridge

 port access vlan 40

 qos apply policy down2 inbound

#

 

//oap 在聚合口使能;并配置聚合最小接口成员为4,在任一口down掉之后,聚合口downoap client down

interface Bridge-Aggregation1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 10 20 30 40 100

 port trunk pvid vlan 100

 link-aggregation selected-port minimum 4

undo stp enable

 mac-address mac-learning disable

 oap enable

#

//IPS Enhanced插卡的四个内联口,加入同一个聚合链路,配置outbound方向的packet-filter过滤二层报文interface Ten-GigabitEthernet3/0/1                        //内联接口1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 100

port trunk pvid vlan 100

port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

 mac-address mac-learning disable                       //禁止MAC地址学习

#

interface Ten-GigabitEthernet3/0/2                        //内联接口2

 port link-mode bridge

 port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 100

port trunk pvid vlan 100

 port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

 mac-address mac-learning disable

#

interface Ten-GigabitEthernet3/0/3                        //内联接口3

 port link-mode bridge

 port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 100

port trunk pvid vlan 100

 port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

 mac-address mac-learning disable

#

interface Ten-GigabitEthernet3/0/4                        //内联接口4

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 100

port trunk pvid vlan 100

 port link-aggregation group 1

 packet-filter 4000 outbound

 undo stp enable

 mac-address mac-learning disable

2. 配置SecBlade IPS Enhanced插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if] ip address 192.168.0.11 255.255.255.0     //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS Enhanced插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图16 SecBlade IPS插卡登录界面

 

# IPS插卡上去使能ACFP Client

图17 去使能ACFP Client

 

# 创建安全域和段。创建安全区域时,注意将内联接口13加入内部域,Vlan配置1020;内联接口24加入外部域,Vlan配置3040

图18 配置安全域

 

图19 配置安全域和段

图20 配置IPS策略

1.4.4  注意事项

·     IPS内联接口12是一对物理交换表(流量1口进2口出);34是一对物理交换表(流量3口进4口出)。因此不能把接口12或者接口34配置到同一安全域。

·     流量出IPS内联接口后按照路由转发,不需要在IPS内联接口配置引流策略。

·     IPS处理后的流量按路由转发,所以内联接口1的回程流量有可能从内联接口4返回,为了避免来回路径不一致,需要将4个接口配置在一个段。

·     配置聚合链路后,其中一个内联口down,聚合口会立即down掉,随后acsei clientv5/oap clientv7)会在协议超时后down掉,时间大约为10s,因此流量会中断10s

·     接口恢复,流量不中断,但是会有少量丢包,流量要等到acsei client/oap client重新注册上才能上IPS Enhanced插卡处理。

·     IPS Enhanced插卡侧downacsei client进程,交换机侧会立即响应,qos立即失效,流量不中断,但有少量丢包

·     虽然配置了聚合链路,配置流量重定向时,仍需要重定向到物理口上。

·     S12500交换机在内联口上配置packet-filter 4000 outbound,必须使能ipv6 aclV5的命令是acl ipv6 enableV7的命令是acl hardware-mode ipv6 enable

·     S7500ES12500交换机V5V7的实现和S10500一致,配置也类似,使用S7500ES12500时,可参考上述配置。

·     S7500ES10500 SecBlade IPS Enhanced插卡的内联口数量为4S12500的内联口数量为2,在使用S7500ES12500 SecBlade IPS Enhanced插卡时,需要根据实际使用情况配置聚合口最小接口数量,不使用的接口需要shutdown,避免引起QoS联动失效。

·     S10500M9000 V7版本上,需要在内联口允许pvid所属VLAN通过,否则acsei建不起来,pvid建议用除vlan 1以外的vlanV5版本不需要permit pvid

·     到截稿时,S10500S12500最新版本已支持聚合口+ACSEI+QoS联动功能,S7500E正在出版本,具体支持版本请以版本发布说明书为准。

·     在内联口和聚合口配置禁止mac地址学习时,具体命令以各版本为准,比如105 V7版本使用undo mac-address mac-learning enable,而V5使用mac-address mac-learning disable125使用命令mac-address max-mac-count 0

1.5  自动分流方式部署典型配置(仅S7500E支持)

1.5.1  组网需求

为了对经过S7500E交换机的流量进行检测,在S7500E交换机的1号槽位上安装了1SecBlade IPS Enhanced插卡。交换机的GigabitEthernet0/0/1为内网接口,GigabitEthernet0/0/2为外网接口,内网和外网的流量都需要经过SecBlade IPS Enhanced插卡的检测:

·     交换机的GigabitEthernet0/0/1连接内网方向,GigabitEthernet0/0/2连接外网方向。

·     交换机的Ten-GigabitEthernet1/0/1Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet0/0/1时,将自动经过内联接口重定向到SecBlade IPS Enhanced插卡进行检测,SecBlade IPS Enhanced插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet0/0/2,反之亦然。

图21 交换机和SecBlade IPS插卡的转发组网图

 

1.5.2  配置思路

1. 配置S7500E交换机

为了实现S7500E交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在S7500E交换机上进行以下配置:

(1)     配置设备的MIBManagement Information Base,管理信息库)风格。

(2)     配置SNMPv3参数,这里配置为SNMPv3用户,采用不认证不加密方式。

(3)     使能ACFP serverACSEI server功能。

(4)     配置VLAN 4094,固定为VLAN 4094不能修改,只用于S7510EIPS插卡之间交互管理报文,对流量转发不起作用。

(5)     开启S7500EHTTP服务,并配置可登陆weblocal user,以便登陆S7500Eweb配置自动分流

(6)     保存配置,重启交换机。

2. 配置SecBlade IPS插卡

为了实现S7500E交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS Enhanced插卡的Web管理界面。

(2)     配置ACFP client和内联接口,测试与交换机的连通性。

(3)     创建安全域,把交换机的接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入段。

(5)     配置IPS策略。

1.5.3  配置步骤

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S7500E交换机命令行

配置前请先清空S7510E的配置。

 

# 配置MIBH3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

#使能交换机的HTTP服务,并配置可登陆web的用户。

[Sysname] ip http enable

[Sysname] local-user admin

[Sysname-luser-admin] password cipher $c$3$m4lBqXMua9mscaIZc/VCLSORR6wN6Z

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] service-type web

[Sysname] mib-style new

# 配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置VLAN4094

[Sysname] vlan 4094

[Sysname-vlan4094] quit

[Sysname] interface Vlan-interface4094

[Sysname-Vlan-interface4094] ip address 100.0.0.1 255.255.255.0

[Sysname-Vlan-interface4094] undo shutdown

[Sysname-Vlan-interface4094] quit

# 保存配置,并重启交换机。

<Sysname> save

<Sysname> reboot

2. 配置S7500E交换机Web

# S7500E交换机Web上开启分流功能。

图22 开启分流功能

 

# 创建分流组,选择所需业务板编号及接口对。本文以一块业务板及一个接口对为例进行说明。如果有多块接口板,或者多个接口对时,只需要将所用到的业务板和接口对选上即可,S7500E会自动根据业务板数量及接口对数量下发分流配置。

图23 新建分流组

 

# 确定之后,交换机自动下发分流配置,需要等待一段时间,待下图中红色提示信息“正在应用分流配置,请等待……”消失后,再进行其他操作。

图24 分流功能显示

 

3. 配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if]ip address 192.168.0.11 255.255.255.0         //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图25 SecBlade IPS插卡登录界面

 

# 配置ACFP Client和内联接口,并测试与交换机的连通性。

图26 配置ACFP Client

 

# 配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图27 连通测试成功

 

# 配置安全区域,将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet0/0/1加入内部安全区域“Inisde”,GigabitEthernet0/0/2加入外部安全区域“Outside”,如28所示:

图28 新建安全区域

 

# 新建段。

图29 新建段

 

# 配置段。

图30 配置段

图31 配置IPS策略

 

多块插卡部署典型配置举例

2.1  插卡负载分担方式部署典型配置

2.1.1  组网需求

当网络中流量较大,对设备性能要求较高时,可采用多块卡负载分担的方式进行网络部署。SecBlade IPS Enhanced插卡负载分担方式有多种实现方案:

·     S7500E的自动分流方式实现多块卡负载分担,该方案配置简单,扩容方便,Web配置S7500E自定分流时,添加多块卡即可,但是该方案中承载SecBlade IPS Enhanced插卡的S7500E转发功能失效,此时交换机与IPS插卡一个整体,交换机不能用作自动分流以外的其它用途;

·     S12500ACFP引流方式实现多块卡负载分担,该方案配置灵活,可按接口分流,也可按ip地址分流,配置ACFP引流策略时,根据需求,将需要IPS插卡处理的报文引入即可;

·     手动MQC分流方式实现多块卡负载分担,该方案配置比前两种方案稍微复杂一点,需要根据IPS插卡数量设计好分流方案,然后手动配置引流策略。该方案在所有型号的交换机上均支持,适用范围广,但是需手工一条一条配置,相对复杂。

本案例以手动MQC方式为例实现插卡负载分担。

为了对经过S7500E交换机的流量进行检测,在S7500E交换机的1号槽和2号槽位上安装了2SecBlade IPS Enhanced插卡。交换机的GigabitEthernet0/0/25为内网接口,GigabitEthernet0/0/26为外网接口,将内网流量按ip地址的奇偶平均分到2SecBlade IPS Enhanced插卡进行检测:

·     交换机的GigabitEthernet0/0/25连接内网方向,GigabitEthernet0/0/26连接外网方向。

·     交换机的Ten-GigabitEthernet1/0/1Ten-GigabitEthernet2/0/1Trunk类型,分别和2SecBlade IPS Enhanced插卡的Xeth0/0相连接。

当流量到达GigabitEthernet0/0/25时,将自动经过内联接口将流量按ip地址的奇偶分别重定向到2SecBlade IPS Enhanced插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet0/0/26,反之亦然。当SecBlade IPS Enhance插卡故障或接口down掉时,流量自动转发。

图32 交换机和SecBlade IPS Enhanced插卡的转发组网图

 

2.1.2  配置思路

1. 配置S7500E交换机

为了实现S7500E交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在S7500E交换机上进行以下配置:

(1)     开启acsei server

(2)     分别为两块插卡配置对应的聚合链路,设置最小聚合成员数。

(3)     将两块插卡加入各自的聚合链路组。

(4)     配置引流MQC

(5)     配置内外部接口所属VLAN

(6)     配置内联接口为Trunk模式,允许内外网所属VLAN的报文通过。

(7)     配置内联接口过滤二层报文,防止广播风暴。

(8)     保存配置。

2. 配置SecBlade IPS Enhanced插卡

为了实现S7500E交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS Enhanced插卡的Web管理界面。

(2)     去使能ACFP client

(3)     创建安全域,把交换机的接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入各自的段。

(5)     配置IPS策略。

2.1.3  配置步骤

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S7500E交换机命令行

# 配置分流ACL,按ip地址的奇偶,将流量分别重定向到2IPS插卡进行处理。

#

acsei server enable

#

acl number 3001

 rule 0 permit ip source 0.0.0.0 255.255.255.254

acl number 3002

 rule 0 permit ip source 0.0.0.1 255.255.255.254

acl number 3003

 rule 0 permit ip destination 0.0.0.0 255.255.255.254

acl number 3004

 rule 0 permit ip destination 0.0.0.1 255.255.255.254

#

# 过滤掉二层报文,只允许目的MAC为虚接口MACIP报文通过。

#

acl number 4000

 rule 0 permit type 0800 ffff dest-mac 0000-fc00-6505 ffff-ffff-ffff

 rule 5 permit type 88a7 ffff

rule 10 deny

#

vlan 1

#

# 内外网VLAN

#

vlan 25 to 26

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

# 流分类。

#

traffic classifier s1 operator and

 if-match acl 3002

 if-match destination-mac 0000-fc00-6505

traffic classifier d1 operator and

 if-match acl 3004

 if-match destination-mac 0000-fc00-6505

traffic classifier s0 operator and

 if-match acl 3001

if-match destination-mac 0000-fc00-6505

traffic classifier d0 operator and

 if-match acl 3003

if-match destination-mac 0000-fc00-6505

#

# 流行为。

#

traffic behavior ips2-port1

 redirect interface Ten-GigabitEthernet2/0/1

traffic behavior ips2-port2

 redirect interface Ten-GigabitEthernet2/0/2

traffic behavior ips1-port1

 redirect interface Ten-GigabitEthernet1/0/1

traffic behavior ips1-port2

 redirect interface Ten-GigabitEthernet1/0/2

#

# 内外网MQC分流策略。

#

qos policy in

 classifier s0 behavior ips1-port1

 classifier s1 behavior ips2-port1

qos policy out

 classifier d0 behavior ips1-port2

 classifier d1 behavior ips2-port2

#

user-group system

 group-attribute allow-guest

#

#聚合链路组

interface Bridge-Aggregation1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 link-aggregation selected-port minimum 2

 stp disable

 mac-address mac-learning disable

#

interface Bridge-Aggregation2

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 link-aggregation selected-port minimum 2

 stp disable

 mac-address mac-learning disable

#

interface NULL0

#

interface Vlan-interface1

 ip address dhcp-alloc client-identifier mac Vlan-interface1

#

# 内外网网关。

#

interface Vlan-interface25

 ip address 25.0.0.1 255.255.255.0

#

interface Vlan-interface26

 ip address 26.0.0.1 255.255.255.0

#

# 内网接口GE0/0/25,外网接口GE0/0/26

#

interface GigabitEthernet0/0/25

 port link-mode bridge

 port access vlan 25

 qos apply policy in inbound

#

interface GigabitEthernet0/0/26

port link-mode bridge

 port access vlan 26

 qos apply policy out inbound

#

interface GigabitEthernet0/0/27

 port link-mode bridge

 shutdown

#

interface GigabitEthernet0/0/28

 port link-mode bridge

 shutdown

#

# SecBlade IPS Enhanced 内联口配置。

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

port link-aggregation group 1

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

port link-aggregation group 1

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 shutdown

#

interface Ten-GigabitEthernet1/0/4

 port link-mode bridge

 shut down

#

interface Ten-GigabitEthernet2/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan  25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

 port link-aggregation group 2

#

interface Ten-GigabitEthernet2/0/2

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan  25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

port link-aggregation group 2

#

interface Ten-GigabitEthernet2/0/3

 port link-mode bridge

 shut down

#

interface Ten-GigabitEthernet2/0/4

 port link-mode bridge

 shut down

#

2. 配置SecBlade IPS插卡

两块卡的配置一致,以其中一块的配置进行说明。

 

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if] ip address 192.168.0.11 255.255.255.0    //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图33 SecBlade IPS插卡登录界面

 

# IPS插卡上去使能ACFP Client

图34 去使能ACFP Client

 

# 配置安全域、段。创建安全区域时,注意将内联接口1加入内部域,vlan配置25;内联接口2加入外部域,vlan配置26

图35 配置安全域

 

图36 配置安全域和段

 

图37 配置IPS策略

 

2.2  插卡备份方式部署典型配置

2.2.1  组网需求

现代网络部署一个很重要的部分就是冗余备份。本案例以S12500为例说明SecBlade IPS Enhanced插卡冗余备份的配置。

两块SecBlade IPS Enhanced插卡通过ACFP优先级实现主备关系。正常情况下,流量由高优先级插卡处理,当高优先级插卡故障时,转到低优先级插卡进行处理,从而实现插卡备份部署。

为了对经过S12500交换机的流量进行检测,在S12500交换机的4号槽位和8号槽位上分别安装了1SecBlade IPS Enhanced插卡。交换机的GigabitEthernet9/0/1、为内网接口,GigabitEthernet9/0/2为外网接口,内网和外网的流量都需要经过SecBlade IPS Enhanced插卡的检测:

·     交换机的GigabitEthernet9/0/1连接内网方向,GigabitEthernet9/0/2连接外网方向。

·     交换机的Ten-GigabitEthernet4/0/1Ten-GigabitEthernet8/0/1Trunk类型,分别和2SecBlade IPS Enhanced插卡的Xeth0/1相连接。

当流量到达GigabitEthernet9/0/1时,根据ACFP引流策略经过内联接口重定向到4号槽位的SecBlade IPS Enhanced插卡进行检测,当4号槽位的SecBlade IPS Enhanced插卡出现故障时,其对应的ACFP Client注销,流量自动切换到8号槽的SecBlade IPS Enhanced插卡进行检测,检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet9/0/2,反之亦然。

图38 交换机和SecBlade IPS Enhanced插卡的转发组网图

2.2.2  配置思路

1. 配置S12500交换机

为了实现S12500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在S12500交换机上进行以下配置:

(1)     配置设备的MIBManagement Information Base,管理信息库)风格。

(2)     配置SNMPv3参数,这里配置为SNMPv3用户,采用不认证不加密方式。

(3)     使能ACFP serverACSEI server功能。

(4)     配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

(5)     配置内联接口为Trunk模式,允许VLAN 2VLAN 4094的报文通过,并且配置接口模式为扩展模式。

(6)     配置交换机主控板的流量转发模式。

(7)     保存配置,重启交换机。

2. 配置SecBlade IPS Enhanced插卡

为了实现S12500交换机和SecBlade IPS Enhanced插卡的转发组网配置,需要在SecBlade IPS Enhanced插卡上进行以下配置。SecBlade IPS Enhanced插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS Enhanced插卡的Web管理界面。

(2)     配置ACFP client和内联接口,测试与交换机的连通性。

(3)     创建安全域,把交换机的接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入各自的段。

(5)     配置IPS策略。

2.2.3  配置步骤

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S12500交换机

# 配置MIBH3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface100

[Sysname-Vlan-interface100] ip address 100.100.100.1 255.255.255.0

[Sysname-Vlan-interface100] quit

·     配置内联接口为Trunk模式,pvid100(要求与SecBlade IPS插卡的OAA设置页面中的VLAN配置保持一致),允许VLAN 2VLAN 4094的报文通过,并且配置接口模式为扩展模式。

[Sysname] interface Ten-GigabitEthernet4/0/1

[Sysname-Ten-GigabitEthernet] port link-type trunk

[Sysname-Ten-GigabitEthernet] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet] port trunk permit vlan 2 to 4094

[Sysname-Ten-GigabitEthernet] port connection-mode extented

[Sysname-Ten-GigabitEthernet] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet] quit

[Sysname] interface Ten-GigabitEthernet8/0/1

[Sysname-Ten-GigabitEthernet] port link-type trunk

[Sysname-Ten-GigabitEthernet] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet] port trunk permit vlan 2 to 4094

[Sysname-Ten-GigabitEthernet] port connection-mode extented

[Sysname-Ten-GigabitEthernet] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet] quit

# 保存配置,并重启交换机。

<Sysname> save

<Sysname> reboot

2. 配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if]ip address 192.168.0.11 255.255.255.0         //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图39 SecBlade IPS插卡登录界面

 

# 配置ACFP Clinet

图40 配置ACFP Client

 

# 配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图41 连通测试成功

 

# 配置ACFP联动策略。

·     4号槽SecBlade IPS Enhanced插卡ACFP联动策略配置,优先级为8

 

·     8号槽SecBlade IPS Enhanced插卡ACFP联动策略配置,优先级为1

 

·     两块卡的策略都下发成功后,交换机上的显示:

<S12500> display acfp policy-info

ACFP policy total number: 4

ClientID:        1                   Policy-Index:  9

Rule-Num:        1                   ContextID:     2307

Exist-Time:      0         (s)       Life-Time:     2147483647(s)

Start-Time:      00:00:00            End-Time:      24:00:00

Admin-Status:    enable              Effect-Status: active

DstIfFailAction: delete              Priority:      1

In-Interface:    GigabitEthernet9/0/1

Out-Interface:

Dest-Interface:  Ten-GigabitEthernet8/0/1

 

ClientID:        1                   Policy-Index:  10

Rule-Num:        1                   ContextID:     2306

Exist-Time:      0         (s)       Life-Time:     2147483647(s)

Start-Time:      00:00:00            End-Time:      24:00:00

Admin-Status:    enable              Effect-Status: active

DstIfFailAction: delete              Priority:      1

In-Interface:    GigabitEthernet9/0/2

Out-Interface:

Dest-Interface:  Ten-GigabitEthernet8/0/1

 

ClientID:        2                   Policy-Index:  9

Rule-Num:        1                   ContextID:     2307

Exist-Time:      20        (s)       Life-Time:     2147483647(s)

Start-Time:      00:00:00            End-Time:      24:00:00

Admin-Status:    enable              Effect-Status: active

DstIfFailAction: delete              Priority:      8

In-Interface:    GigabitEthernet9/0/1

Out-Interface:

Dest-Interface:  Ten-GigabitEthernet4/0/1

 

ClientID:        2                   Policy-Index:  10

Rule-Num:        1                   ContextID:     2306

Exist-Time:      30        (s)       Life-Time:     2147483647(s)

Start-Time:      00:00:00            End-Time:      24:00:00

Admin-Status:    enable              Effect-Status: active

DstIfFailAction: delete              Priority:      8

In-Interface:    GigabitEthernet9/0/2

Out-Interface:

Dest-Interface:  Ten-GigabitEthernet4/0/1

 

# 配置安全区域。

SecBlade IPS Enhanced插卡和S12500正确配置ACFP Client和引流策略以后,在SecBlade IPS Enhanced插卡上新建安全区域时可以把S12500任意物理接口加入安全区域。需要注意的是:内联接口不可以加入安全区域。

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet9/0/1和加入内部安全区域“Inisde”,GigabitEthernet9/0/2加入外部安全区域“Outside”,如42所示:

图42 创建安全区域

 

# 配置段。

图43 配置段

 

图44 配置IPS策略

 

堆叠部署典型配置

3.1.1  简介

本章介绍H3C SecBlade IPS Enhanced堆叠部署典型配置举例。

H3C SecBlade IPS Enhanced产品是一款主动式入侵防御系统,能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件等;在不同层面上配置带宽管理策略,阻断或限制P2P应用,从而帮助IT部门完成应用系统、网络基础设施和系统性能保护的关键任务。IPS特性主要是入侵防御功能,依据上千种常见攻击特征库,对系统漏洞进行的攻击进行防御。应用于流量较大的环境,例如校园主干网出口等。

3.1.2  组网需求

按需求,将两台S7500E交换机堆叠使用,达到提高设备可靠性,以及简化设备管理的目的。

两台S7500E1号槽各安装了一块SecBlade IPS Enhanced插卡。S7500E-1GigabitEthernet0/0/25为内网接口,S7500E-2GigabitEthernet0/0/28为外网接口,配置手动MQC引流策略,将内网和外网的流量重定向到SecBlade IPS Enhanced插卡进行检测。

图45 堆叠组网图

 

3.1.3  配置思路

1. 配置S7500E交换机

为了实现S7500E交换机堆叠和SecBlade IPS Enhanced插卡的转发组网配置,需要在S7500E交换机上进行以下配置:

(1)     配置两台S7500E交换机堆叠。

(2)     开启acsei server

(3)     配置引流MQC

(4)     配置内外部接口所属VLAN

(5)     配置内联接口为Trunk模式,允许内外网所属VLAN的报文通过。

(6)     配置内联接口过滤二层报文,防止广播风暴。

(7)     保存配置。

2. 配置SecBlade IPS插卡

为了实现S7500E交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

(1)     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

(2)     去使能ACFP Client

(3)     创建安全域,把内外网的接口加入安全域。

(4)     创建段,把相应的内部域和外部域加入段。

(5)     配置IPS策略。

3.1.4  注意事项

·     S7500E堆叠环境下,不支持自动分流。

·     S10500S12500堆叠环境下SecBlade IPS Enhanced插卡的使用,请参考具体型号的交换机产品操作指导。

3.1.5  配置步骤

·     以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

·     本文档不严格与具体软、硬件版本对应。

 

1. 配置S7500E交换机

# 配置S7500E交换机堆叠,堆叠详细配置请参考交换机指导书,此处不累述,堆叠完成后,两台S7500E交换机虚拟为一台,使用display device命令显示如下:

<H3C> display device

Chassis   Slot Type             State    Subslot  Soft Ver       Patch Ver

1         0    LSQ1CGP24TSC     Master   0        S7500E-6708P03    None

1         1    LSU1IPSBEA       Normal   0        S7500E-6708P03    None

1         2    LSQ1TGX4EB       Normal   0        S7500E-6708P03    None

2         0    LSQ1CGP24TSC     Slave    0        S7500E-6708P03    None

2         1    LSU1IPSBEA       Normal   0        S7500E-6708P03    None

2         2    LSQ1P24XGSC      Normal   0        S7500E-6708P03    None

 

# S7500E交换机所有配置:

#

 acsei server enable

#

irf-pbr enable

switch-mode route-iterative

#

# 配置分流ACL,按ip地址的奇偶,将流量分别重定向到2IPS插卡进行处理。

#

acl number 3001

 rule 0 permit ip source 0.0.0.0 255.255.255.254

acl number 3002

 rule 0 permit ip source 0.0.0.1 255.255.255.254

acl number 3003

 rule 0 permit ip destination 0.0.0.0 255.255.255.254

acl number 3004

 rule 0 permit ip destination 0.0.0.1 255.255.255.254

#

# 过滤掉二层报文,只允许目的MAC为虚接口MACIP报文通过。

#

acl number 4000

 rule 0 permit type 0800 ffff dest-mac 0000-fc00-6505 ffff-ffff-ffff

 rule 5 permit type 88a7 ffff

 rule 10 deny

#

vlan 1

#

# 内外网VLAN

#

vlan 25 to 26

# domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

# 流分类。

#

traffic classifier s1 operator and

 if-match acl 3002

if-match destination-mac 0000-fc00-6505

traffic classifier d1 operator and

 if-match acl 3004

if-match destination-mac 0000-fc00-6505

traffic classifier s0 operator and

 if-match acl 3001

if-match destination-mac 0000-fc00-6505

traffic classifier d0 operator and

 if-match acl 3003

if-match destination-mac 0000-fc00-6505

#

# 流行为。

#

traffic behavior ips2-port1

 redirect interface Ten-GigabitEthernet2/1/0/1

traffic behavior ips2-port2

 redirect interface Ten-GigabitEthernet2/1/0/2

traffic behavior ips1-port1

 redirect interface Ten-GigabitEthernet1/1/0/1

traffic behavior ips1-port2

 redirect interface Ten-GigabitEthernet1/1/0/2

#

# 内外网MQC分流策略。

#

qos policy in

 classifier s0 behavior ips1-port1

 classifier s1 behavior ips2-port1

qos policy out

 classifier d0 behavior ips1-port2

 classifier d1 behavior ips2-port2

#

# 聚合链路及最小成员接口数量

interface Bridge-Aggregation1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 link-aggregation selected-port minimum 2

 stp disable

 mac-address mac-learning disable

#

interface Bridge-Aggregation2

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 link-aggregation selected-port minimum 2

 stp disable

 mac-address mac-learning disable

#

#内外网网关。

#

interface Vlan-interface25

 ip address 25.0.0.1 255.255.255.0

#

interface Vlan-interface26

 ip address 26.0.0.1 255.255.255.0

#

# 内网接口GE1/0/0/25

#

interface GigabitEthernet1/0/0/25

 port link-mode bridge

 port access vlan 25

 qos apply policy in inbound

#

# 网接口GE2/0/0/28

#

interface GigabitEthernet2/0/0/28

 port link-mode bridge

 port access vlan 26

 qos apply policy out inbound

#

interface M-Ethernet1/0/0/0

#

# SecBlade IPS Enhanced 1内联口配置。

#

interface Ten-GigabitEthernet1/1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

 port link-aggregation group 1

#

interface Ten-GigabitEthernet1/1/0/2

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

 port link-aggregation group 1

#

interface Ten-GigabitEthernet1/1/0/3

 port link-mode bridge

 shutdown

#

interface Ten-GigabitEthernet1/1/0/4

 port link-mode bridge

shutdown

#

# SecBlade IPS Enhanced 2内联口配置。

#

interface Ten-GigabitEthernet2/1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan  25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

port link-aggregation group 2

#

interface Ten-GigabitEthernet2/1/0/2

 port link-mode bridge

 port link-type trunk

undo port trunk permit vlan 1

 port trunk permit vlan 25 to 26

 stp disable

 packet-filter 4000 outbound

 mac-address mac-learning disable

 port link-aggregation group 2

#

interface Ten-GigabitEthernet2/1/0/3

 port link-mode bridge

 shutdown

#

interface Ten-GigabitEthernet2/1/0/4

 port link-mode bridge

 shutdown

#

# 堆叠口。

#

interface Ten-GigabitEthernet1/2/0/1

#

interface Ten-GigabitEthernet2/2/0/26

#

irf-port 1/2

 port group interface Ten-GigabitEthernet1/2/0/1 mode normal

#

irf-port 2/1

 port group interface Ten-GigabitEthernet2/2/0/26 mode normal

#

2. 配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth0/1

[Sysname-if]ip address 192.168.0.11 255.255.255.0         //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin,默认的登录方式为HTTPS

图46 SecBlade IPS插卡登录界面

 

#IPS插卡上去使能ACFP Client

图47 去使能ACFP Client

 

# 配置安全域、段。创建安全区域时,注意将内联接口1加入内部域,vlan配置25;内联接口2加入外部域,vlan配置26

图48 配置安全域

 

图49 配置安全域和段

图50 配置IPS策略

 

联系我们