- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-简介操作
本章节下载 (187.21 KB)
目 录
2.1.5 将SecBlade模块映射到SecBlade单板
本手册中主要介绍以下两种SecBlade单板:
l 防火墙单板(LSB1FW8)
l VPN单板(LSB1IPSEC8)
SecBlade防火墙单板是根据企业或园区网络对安全防护的强烈需求而设计开发的单板。它将交换机的转发和业务的处理有机融合在一起,使交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
SecBlade防火墙单板是有机地将交换机的vlan交换技术和安全网络技术融合在一起实现的安全业务单板。它不仅保留了交换机线速,高容量转发的特点,还可以根据用户对于安全防护的考虑,将secureVlan技术融入到vlan技术中。它可以实现对内网,DMZ多个区域的保护,可以用于边界保护中,也可以用于内网的vlan跨区域保护。
|
属性 |
说明 |
|
|
网络安全性 |
验证、授权和计费(AAA)服务 |
RADIUS HWTACACS CHAP验证 PAP验证 域认证 |
|
防火墙 |
包过滤 基于接口的访问控制列表 基于时间段的访问控制列表 ASPF状态防火墙 防攻击特性: Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范 ARP主动反向查询 TCP报文标志位不合法攻击防范 超大ICMP报文攻击防范 地址/端口扫描的防范 DoS/DDoS攻击防范 ICMP重定向或不可达报文控制功能 Tracert报文控制功能 带路由记录选项IP报文控制功能 静态和动态黑名单功能 MAC和IP绑定功能 蠕虫病毒防范 透明防火墙 反向路由检查功能 |
|
|
邮件/网页过滤 |
邮件过滤: SMTP邮件地址过滤 SMTP邮件标题过滤 SMTP邮件内容过滤 SMTP邮件附件过滤 网页过滤: HTTP URL过滤 HTTP内容过滤 |
|
|
安全管理 |
攻击实时日志 黑名单日志 地址绑定日志 流量告警日志 会话日志 二进制格式日志功能 流量统计和分析功能 全局/基于安全域连接速率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 E-Mail邮件实时告警功能 E-Mail邮件定期信息发布功能 |
|
|
NAT |
支持地址池方式的地址变换 支持使用ACL控制地址转换 支持Easy IP 支持NAT Server 可配置支持地址转换的有效时间 支持多种ALG,包括FTP,H323,DNS,SIP等 |
|
|
VPN |
L2TP VPN |
可以根据VPN用户完整用户名和用户域名向指定LNS发起连接 可以为VPN用户分配地址 可以进行LCP重协商和二次CHAP验证 支持L2TP多实例 |
|
GRE VPN |
采用Tunnel(隧道)技术,在一个Tunnel的两端分别对数据报进行封装及解封装。 |
|
|
网络互连 |
局域网协议 |
Ethernet_II Ethernet_SNAP VLAN |
|
链路层协议 |
PPP PPPoE |
|
|
网络协议 |
IP服务 |
ARP 静态域名解析 IP地址借用 DHCP中继 DHCP服务器 DHCP客户端 |
|
IP路由 |
静态路由管理 RIP-1/RIP-2 OSPF BGP 路由策略 策略路由 |
|
|
网络可靠性 |
支持VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)实现设备备份。 |
|
|
配置管理 |
命令行接口 |
通过Console口进行本地配置 通过AUX口进行远程配置 通过Telnet或SSH进行本地或远程配置 通过交换机对SecBlade进行配置 配置命令分级保护,确保未授权用户无法配置设备 提供全中文的提示和帮助信息 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常 用Telnet命令直接登录并管理其它网络设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能。 |
|
支持标准网管SNMPV3,并且兼容SNMP V2C、SNMP V1 支持NTP时间同步 |
||
SecBlade VPN单板支持丰富的VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、动态VPN等。SecBlade VPN单板实现了以太网交换机将局域网和广域接入融为一体,实现扁平化的网络汇聚,方便企业维护,降低成本,将Internet、Intranet和Extranet融为一体,实现了企业的安全接入。
|
属性 |
说明 |
|
|
网络安全性 |
验证、授权和计帐(AAA)服务 |
RADIUS HWTACACS CHAP验证 PAP验证 域认证 |
|
防火墙 |
包过滤 基于接口的访问控制列表 基于时间段的访问控制列表 |
|
|
VPN |
L2TP VPN |
可以根据VPN用户完整用户名和用户域名向指定LNS发起连接 可以为VPN用户分配地址 可以进行LCP重协商和二次CHAP验证 |
|
IPSec/IKE |
支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES和AES三种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 |
|
|
GRE VPN |
采用Tunnel(隧道)技术,在一个Tunnel的两端分别对数据报进行封装及解封装。 |
|
|
DVPN |
支持自动建立隧道技术 支持UDP方式建立隧道 支持client端接入认证及节点间的加密认证 支持使用动态IP地址构建VPN 同一个节点可以属于不同的VPN域 支持多个VPN域 支持NAT穿越 DVPN隧道可以承载IPSec加密 通过动态建立隧道节省Server带宽 |
|
|
网络互连 |
局域网协议 |
Ethernet_II Ethernet_SNAP VLAN |
|
链路层协议 |
PPP PPPoE |
|
|
网络协议 |
IP服务 |
ARP 静态域名解析 IP地址借用 DHCP中继 DHCP服务器 DHCP客户端 |
|
IP路由 |
静态路由管理 RIP-1/RIP-2 OSPF 路由策略 策略路由 |
|
|
网络可靠性 |
支持VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)实现设备备份。 |
|
|
配置管理 |
命令行接口 |
通过Console口进行本地配置 通过AUX口进行远程配置 通过Telnet或SSH进行本地或远程配置 通过交换机对SecBlade进行配置 配置命令分级保护,确保未授权用户无法配置设备 提供全中文的提示和帮助信息 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常 用Telnet命令直接登录并管理其它网络设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能。 |
|
支持标准网管SNMPV3,并且兼容SNMP V2C、SNMP V1 支持NTP时间同步 |
||
若要使H3C系列路由交换机和SecBlade进行协同工作,则先要在交换机中对SecBlade进行相关配置。
SecBlade的配置步骤包括:
l 配置SecBlade接口聚合
l 创建SecBlade模块
l 指定交换机与SecBlade相连接的接口
l 指定受SecBlade所保护的vlan
l 将SecBlade模块映射到SecBlade单板
l 登录到SecBlade
l 配置默认用户登录功能(可选)
SecBlade单板与交换机的连接是通过2个内部GigabitEthernet接口,可将这2个接口聚合为一个逻辑接口,以提供更大的接口带宽。
请在交换机的系统视图下进行下列配置。
|
操作 |
命令 |
|
配置2个GE接口聚合 |
secblade aggregation slot slot-number |
|
取消2个GE接口聚合 |
undo secblade aggregation slot slot-number |
缺省情况下,未配置接口聚合,且只有一个GigabitEthernet接口可以使用。
注意:
当用户通过Secblade aggregation slot命令用来设置SecBlade接口的聚合时,如果聚合资源不充分的情况下,SecBlade会抢占其它聚合组已占有的资源。
在配置SecBlade与交换机接口的命令之前,要先创建一个SecBlade模块,以进入SecBlade模块视图。
请在交换机的系统视图下进行下列配置。
|
操作 |
命令 |
|
创建SecBlade模块 |
secblade module sec-mod-name |
|
删除SecBlade模块 |
undo secblade module sec-mod-name |
缺省情况下,未创建SecBlade模块。
若要使SecBlade与系列交换机之间进行三层的数据通信,则必须指定交换机与SecBlade相连接的三层接口。
请在交换机的SecBlade模块视图下进行下列配置。
|
操作 |
命令 |
|
指定交换机与SecBlade相连接的三层接口 |
secblade-interface vlan-interface interface-number |
|
删除交换机与SecBlade间的三层连接 |
undo secblade-interface vlan-interface interface-number |
缺省情况下,未指定交换机与SecBlade相连接的三层接口。
若要使SecBlade对特定VLAN的数据流进行保护,需要指定受保护的VLAN。
请在交换机的SecBlade模块视图下进行下列配置。
|
操作 |
命令 |
|
指定受保护的vlan |
security-vlan vlan-range |
|
取消对vlan的保护 |
undo security-vlan vlan-range |
缺省情况下,没有VLAN受到保护。
在SecBlade模块中配置完SecBlade的参数后,需要将此模块映射到SecBlade单板以应用所做的配置。
请在交换机的SecBlade模块视图下进行下列配置。
|
操作 |
命令 |
|
将SecBlade模块映射到SecBlade单板 |
map to slot slot-number |
|
取消SecBlade模块与SecBlade单板间的映射 |
undo map to slot slot-number |
缺省情况下,未将SecBlade模块映射到SecBlade单板。
从系列交换机可以直接登录到SecBlade单板,对其进行配置和管理。
请在交换机的用户视图下进行下列配置。
|
操作 |
命令 |
|
登录到SecBlade |
secblade slot slot-number |
为了方便用户登录,SecBlade中内建了一个名为“SecBlade”,密码为“SecBlade”的用户。用户可以使用此用户名和密码登录到SecBlade。
请在SecBlade的系统视图下进行下列配置。
|
操作 |
命令 |
|
使能默认用户登录功能 |
default-login-user |
|
禁止默认用户登录功能 |
undo default-login-user |
缺省情况下,使能默认用户登录功能,即允许使用内建的用户登录到SecBlade。
在完成上述配置后,在交换机的任意视图下执行以下命令可以显示SecBlade模块的相关信息,以验证配置的结果。
|
操作 |
命令 |
|
显示SecBlade模块的信息 |
display secblade module [sec-mod-name ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
