- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
Copyright © 2025 新华三技术有限公司及其许可者 版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
H3C SeerEngine-SEC安全控制器是为解决SDN网络架构中的网络安全问题而生,与H3C ADNET解决方案深度融合。H3C SeerEngine-SEC安全控制器与H3C广域网SDN方案融合,实现“总部—分支”组网下的广域网边界安全防护,面向用户业务网络提供安全策略、IPS、防病毒、URL过滤等四至七层的网络安全检测和防护能力。
为了降低异常断电导致系统故障无法恢复的概率,建议服务器使用的RAID卡必须支持数据掉电保护功能且超级电容必须在位。
在H3C统一数字底盘中运行SeerEngine-SEC的硬件配置如表2-1所示。
表2-1 硬件配置需求(单机/集群)
|
部署方式 |
节点配置数量 |
单节点详细配置 |
可支持最大设备数量 |
可支持最大策略 |
|
单机 |
1 |
CPU:x86-64架Intel64/AMD64 16核,2.0GHz主频 内存:128GB及以上 磁盘:需要配置RAID,RAID模式可选RAID1、RAID5、RAID10。RAID卡1GB Cache,支持数据掉电保护且超级电容必须在位。以下配置任选其一: 磁盘配置1: 系统盘:配置RAID后容量2TB及以上,SSD固态硬盘 ETCD盘:配置RAID后容量50GB及以上,SSD固态硬盘,安装路径:/var/lib/etcd 磁盘配置2: 系统盘:配置RAID后容量2TB及以上,7.2K RPM SATA/SAS机械硬盘 ETCD盘:配置RAID后容量50GB及以上,7.2K RPM SATA/SAS机械硬盘,安装路径:/var/lib/etcd 网口: 普通模式:1*1Gbps及以上带宽 冗余模式(工作模式推荐配置为mode2或mode4):2*1Gbps Linux Bonding |
10 |
12万/物理设备(具体根据设备能力) |
|
集群 |
3 |
CPU:x86-64架Intel64/AMD64 16核,2.0GHz主频 内存:96GB及以上 磁盘:需要配置RAID,RAID模式可选RAID1、RAID5、RAID10。RAID卡1GB Cache,支持数据掉电保护且超级电容必须在位。以下配置任选其一: 磁盘配置1: 系统盘:配置RAID后容量2TB及以上,SSD固态硬盘 ETCD盘:配置RAID后容量50GB及以上,SSD固态硬盘,安装路径:/var/lib/etcd 磁盘配置2: 系统盘:配置RAID后容量2TB及以上,7.2K RPM SATA/SAS机械硬盘 ETCD盘:配置RAID后容量50GB及以上,7.2K RPM SATA/SAS机械硬盘,安装路径:/var/lib/etcd 网口: 普通模式:1*1Gbps及以上带宽 冗余模式(工作模式推荐配置为mode2或mode4):2*1Gbps Linux Bonding |
1000 |
12万/物理设备(具体根据设备能力) |
集群中所有节点必须安装相同版本的操作系统。
H3C SeerEngine-SEC安全控制器是H3C 统一数字底盘统一运维平台的一个应用组件,请先安装统一数字底盘,再通过统一数字底盘统一运维平台8443端口系统页面部署安全控制组件。
广域网应用场景下,H3C安全控制器与H3C WAN分支控制器深度融合,需在统一数字底盘统一运维平台8443端口系统页面,使用融合部署功能,部署SeerEngine-SDWAN和SeerEngine-SEC组件。
H3C SeerEngine-SEC安全控制器通过浏览器登录和配置,支持的浏览器类型及版本:Chrome 70+、Firefox 78+及以上版本。
安装环境请参考表2-2中所示的各个检测项目,确保安装SeerEngine-SEC的条件已经具备。
|
检测项 |
检测标准 |
|
|
服务器 |
硬件检查 |
请检查硬件是否符合要求(包括CPU、内存、硬盘、网卡等) |
|
软件检查 |
请检查如下几点: 操作系统版本符合要求 请检查系统时间已配置完成,建议配置NTP时间同步,整网使用统一的时钟源同步时间 请确保服务器已配置磁盘阵列 |
|
|
客户端 |
请确保浏览器版本符合要求 |
|
SeerEngine-SEC的安装流程如表3-1所示。
|
步骤 |
具体操作 |
说明 |
|
服务器准备 |
单机部署模式准备1台服务器 集群部署模式准备至少3台服务器 |
必选 硬件和软件需求,请参见服务器配置需求 |
|
安装H3Linux操作系统及统一数字底盘 Installer平台 |
在服务器上安装统一数字底盘 Installer平台 |
必选 请参见《H3C 统一数字底盘部署指导》 |
|
部署统一数字底盘 |
配置集群参数 |
必选 请参见《H3C 统一数字底盘部署指导》 |
|
创建集群 |
||
|
部署统一数字底盘 应用安装包 |
||
|
部署SeerEngine-SDWAN组件 |
部署WAN分支应用安装包 |
必选 当前安全控制器版本适配了WAN分支场景,因此需要安装WAN分支控制器组件,请参考WAN分支的安装指导 |
|
部署SeerEngine-SEC组件 |
部署SeerEngine-SEC应用安装包 |
必选 |
部署SeerEngine-SEC前需要先部署SeerEngine-SDWAN,请参见WAN分支的安装指导。
SeerEngine-SEC作为组件运行在统一数字底盘上,组件的部署、升级和卸载等操作只能在统一数字底盘8443端口系统的融合部署页面进行。
SeerEngine-SEC安全控制器当前支持场景为WAN分支场景,因此部署SeerEngine-SEC时需要部署SeerEngine-SDWAN组件。
配套的统一数字底盘支持融合部署功能,可同时进行一个或多个组件部署,可根据实际需要灵活选择组件部署。本文以SeerEngine-SEC部署为例进行描述。
(1) 在浏览器中输入统一数字底盘统一运维平台的登录地址“http://统一数字底盘_ip_address: 8443/matrix/ui”,其中“统一数字底盘_ip_address”为配置的北向业务虚IP,进入如图5-1所示登录页面。
(2) 输入操作员名称和密码,默认用户名为admin,密码为Pwd@12345,单击<登录>按钮,进入统一数字底盘统一运维平台页面。
(1) 单击[部署/融合部署],单击<安装包管理>按钮,进入安装包管理页面。单击<上传>按钮,将SeerEngine-SEC组件安装包上传到系统并解析。
图6-2 安装包上传
(2) 安装包上传完成后,单击<返回>按钮,进入部署管理页面。单击<安装>按钮,应用分组选中安全控制组件;鼠标滚动至底部,选中广域网分支安全。
图6-3 应用分组选中
图6-4 广域网分支安全选中
(3) 单击<下一步>按钮,进入安装包选择页面。选择广域网分支安全安装包。
统一数字底盘的组件是SeerEngine-SEC安装依赖组件,需要提前安装完成或者提前将依赖组件安装包上传,否则在进入安装包选择前会提示缺少依赖组件无法进行下一步部署。
图6-5 广域网分支安全安装包选择
安全控制器融合部署网络类型支持MACVLAN和passthrough。MACVLAN类型网络允许通过单个物理网络接口创建多个虚拟网络接口;passthrough类型网络允许虚拟机独占物理设备接口,但其他虚拟机无法共享该设备。请根据实际使用需要选择网络类型。
(1) MACVLAN类型网络
单击<下一步>按钮,进入广域网分支安全的参数配置,绑定MACVLAN类型网络,系统会自动为集群和三个节点分配绑定MACVLAN类型网络的子网网段的IP地址,也可根据实际需要手动修改IP地址。如若没有配置MACVLAN类型网络,单击<网络配置>新增网络。
图6-6 新增MACVLAN类型网络
图6-7 网络绑定
(2) passthrough类型网络
单击<下一步>按钮,进入广域网分支安全的参数配置,绑定passthrough类型网络,系统会自动为集群和三个节点分配绑定passthrough类型网络的子网网段的IP地址,也可根据实际需要手动修改IP地址。如若没有配置passthrough类型网络,单击<网络配置>新增网络。
图6-8 新增passthrough类型网络
图6-9 网络绑定
(1) 单击<部署>按钮,进入部署确认界面,单击<确定>按钮,开始SeerEngine-SEC组件部署。
图6-10 组件部署
图6-11 组件部署完成
(1) 在浏览器中输入统一数字底盘 统一运维平台的登录地址“http://统一数字底盘_ip_address:30000/central”,其中“统一数字底盘_ip_address”为配置的北向业务虚IP,进入登录页面。
图7-1 登录统一数字底盘统一运维平台
(2) 输入操作员名称和密码,默认用户名为admin,密码为Pwd@12345,单击<登录>按钮,进入统一数字底盘 统一运维平台页面。
(3) 单击[自动化/分支网络],发现新增[安全服务]页签,单击[安全服务]页签,看到安全控制器的菜单, SeerEngine-SEC安装成功。
图7-2 安全控制器安装成功
通过备份与恢复功能可以对系统数据进行定期备份提供系统可靠性。
(1) 在浏览器中输入统一数字底盘 统一运维平台的登录地址“http://统一数字底盘_ip_address:30000/central”,其中“统一数字底盘_ip_address”为配置的北向业务虚IP,进入登录页面。
图8-1 登录统一数字底盘统一运维平台
(2) 输入操作员名称和密码,默认用户名为admin,密码为Pwd@12345,单击<登录>按钮,进入统一数字底盘 统一运维平台页面。
(3) 点击[系统/备份恢复],可以看到设备的定时备份信息,默认会在每天零点自动进行配置备份。
图8-2 定时备份
(4) 单击<开始备份>按钮,勾选需要备份的组件,点击<备份>按钮,开始备份。
图8-3 手动备份
(5) 点击备份文件“操作”列的<恢复>按钮,可进行配置恢复操作。
图8-4 配置恢复
本章节介绍SeerEngine-SEC组件的升级及卸载步骤,统一数字底盘的升级及卸载步骤请参见《H3C 统一数字底盘部署指导》。
在统一数字底盘上支持对组件进行保留配置升级。升级组件可能会导致业务中断,请谨慎操作。
升级步骤如下:
(1) 浏览器中输入统一数字底盘统一运维平台的登录地址“http://统一数字底盘_ip_address:8443/matrix/ui”,其中“统一数字底盘_ip_address”为配置的北向业务虚IP,进入登录页面。
图9-1 登录统一数字底盘统一运维平台
(2) 输入操作员名称和密码,默认用户名为admin,密码为Pwd@12345,单击<登录>按钮,进入统一数字底盘 统一运维平台页面。
(3) 单击[部署/融合部署],进入融合部署页面。单击安全控制组件的广域网分支安全右侧的<升级>按钮,进行升级。
图9-2 升级页面
(4) 单击<上传>按钮,将新的组件安装包上传,选中上传的安装包,点击<升级>按钮,升级确认弹框点击<确定>进行安全控制器组件的升级,页面上将展示部署进度,等待一段时间后,完成部署。
图9-3 升级
图9-4 升级确认
图9-5 升级
(1) 浏览器中输入统一数字底盘统一运维平台的登录地址“http://统一数字底盘_ip_address:8443/matrix/ui”,其中“统一数字底盘_ip_address”为配置的北向业务虚IP,进入登录页面。
图9-6 登录统一数字底盘统一运维平台
(2) 单击[部署/融合部署],进入融合部署页面。选中安全控制组件的广域网分支安全,单击<卸载>按钮,进行卸载。
图9-7 卸载组件勾选
图9-8 卸载组件确认
图9-9 卸载组件
支持
