H3C SecBlade IPS插卡 用户手册(E2113P03)-5PW100

01-正文

本章节下载  (2.42 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/SecBlade/i-Ware/H3C_SecBlade_IPS/Configure/User_Manual/H3C_SecBlade_IPS_(E2113P03)-5PW100/201308/794891_30005_0.htm

01-正文

  录

1 简介

1.1 本书简介

1.2 相关手册

2 H3C SecBlade IPS插卡概述

2.1 简介

2.2 主要特点

2.3 主要业务特性

3 业务特性功能列表

4 登录Web网管

5 交换机/路由器和SecBlade IPS插卡的组网配置

5.1 LSWM1IPS10插卡典型配置(一代IPS插卡,适用于S5800&S5820X系列交换机)

5.1.1 组网配置简介

5.1.2 配置交换机和SecBlade IPS插卡组网

5.1.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.2 LSQ1IPSSC0插卡典型配置(一代IPS插卡,适用于S7500E交换机)

5.2.1 组网配置简介

5.2.2 配置交换机和SecBlade IPS插卡组网

5.2.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.3 LSB1IPS1A0插卡典型配置(一代IPS插卡,适用于命令行为Comware V3的S9500交换机)

5.3.1 组网配置简介

5.3.2 配置交换机和SecBlade IPS插卡组网

5.3.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.4 LSR1IPS1A1插卡典型配置(一代IPS插卡,适用于命令行为Comware V5的S9500E交换机)

5.4.1 组网配置简介

5.4.2 配置交换机和SecBlade IPS插卡组网

5.4.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.5 LST1IPS1A1/ LST1IPS2A1插卡典型配置(一代和二代IPS插卡,适用于S12500交换机)

5.5.1 组网配置简介

5.5.2 配置交换机和SecBlade IPS插卡组网

5.5.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.6 SPE-IPS-200插卡典型配置(一代IPS插卡,适用于SR6600路由器)

5.6.1 组网配置简介

5.6.2 配置路由器和SecBlade IPS插卡组网

5.6.3 路由器和SecBlade IPS插卡的转发组网配置案例

5.7 IM-IPS插卡典型配置(一代IPS插卡,适用于SR8800路由器)

5.7.1 组网配置简介

5.7.2 配置路由器和SecBlade IPS插卡组网

5.7.3 路由器和SecBlade IPS插卡的转发组网配置案例

5.8 LSU1IPSBEA0插卡典型配置(二代IPS插卡,适用于S7500E交换机)

5.8.1 组网配置简介

5.8.2 配置交换机和SecBlade IPS插卡组网

5.8.3 交换机和SecBlade IPS插卡的转发组网配置案例

5.9 LSU1IPSBEA0插卡典型配置(二代IPS插卡,适用于S10500交换机)

5.9.1 组网配置简介

5.9.2 配置交换机和SecBlade IPS插卡组网

5.9.3 交换机和SecBlade IPS插卡的转发组网配置案例

6 二代IPS插卡与一代IPS插卡之间的差异

7 附录——ACFP

7.1 概述

7.1.1 ACFP简介

7.1.2 ACFP联动

7.1.3 ACFP自动分流

7.2 配置ACFP联动

7.2.1 配置概述

7.2.2 配置ACFP Client

7.2.3 配置ACFP联动策略

7.2.4 删除无效联动策略

7.3 配置ACFP自动分流

7.4 ACFP典型配置举例

7.4.1 ACFP联动典型配置举例

7.4.2 ACFP自动分流典型配置举例

 


1 简介

1.1  本书简介

您可以通过以下条目了解到本书所涉及的主要内容。

·     SecBlade IPS插卡概述:对SecBlade IPS插卡进行简介,包括主要功能特点、业务特性。

·     业务特性功能列表:列举了SecBlade IPS插卡所涉及的主要业务特性,SecBlade IPS插卡的软件特性配置可按照此表参阅《H3C IPS入侵防御系统  Web配置指导》的相应模块文档。

·     登录方法:介绍SecBlade IPS插卡登录Web网管的全过程。

·     交换机/路由器和SecBlade IPS插卡的组网配置:对交换机/路由器与SecBlade IPS插卡之间数据转发的原理、流程,交换机/路由器和SecBlade IPS插卡上的配置步骤做了详细介绍,并举实际配置案例进行说明。

·     附录——ACFP:介绍ACFP联动、ACFP自动分流的基本原理、配置步骤以及典型配置案例。

1.2  相关手册

如果需要了解SecBlade IPS插卡的安装、启动与配置、软件升级、硬件维护等请参考《H3C SecBlade插卡  软件升级指导》及S5800/S5820X/S7500E/S7600-X/S9500/S9500E/S10500/S12500系列交换机、SR6600/SR8800/SR8800-X路由器的安装手册等其他选配了该安全插卡的主机设备的硬件资料。

可以通过www.h3c.com.cn获取最新版本配套的产品资料,方法如下:

·     单击主页的[服务支持/文档中心],然后即可按产品类别来查询资料;

·     选择产品后即可弹出相应的产品明细列表;

·     指定了设备类型后,即可选择与该产品相关的手册。

 


2 H3C SecBlade IPS插卡概述

2.1  简介

H3C IPS产品是H3C公司开发的业界领先的入侵防御系统(Intrusion Prevention Systems)产品。目前,IPS产品具有两大类型:

(1)     盒式的H3C SecPath T系列:

·     T200系列:T200、T200-E(Enhanced)、T200-A(Advanced)、T200-M(Middle)、T200-S(Standard);

·     T1000系列:T1000-A(Advanced)、T1000-M(Middle)、T1000-S(Standard)、T1000-C(Compact);

·     T5000系列:T5000-S3。

(2)     插卡式的H3C SecBlade IPS系列:

·     LSWM1IPS10:一代IPS插卡,适用于H3C S5800/S5820X系列支持OAA业务的交换机;

·     LSQ1IPSSC0:一代IPS插卡,适用于H3C S7500E系列交换机;

·     LSB1IPS1A0:一代IPS插卡,适用于H3C S9500系列交换机;

·     LSR1IPS1A1:一代IPS插卡,适用于H3C S9500E系列交换机;

·     LST1IPS1A1:一代IPS插卡,适用于H3C S12500系列交换机;

·     LST1IPS2A1:二代IPS插卡,适用于H3C S12500系列交换机;

·     LSU1IPSBEA0:二代IPS插卡,适用于H3C S10500/S7500E/S7600-X系列交换机以及SR8800-X路由器;

·     SPE-IPS-200:一代IPS插卡,适用于H3C SR6600路由器;

·     IM-IPS:一代IPS插卡,适用于H3C SR8800路由器。

为方便叙述,本文将IPS插卡适用的交换机/路由器统称为主网络设备。

本文主要介绍H3C SecBlade IPS插卡的业务特性以及典型配置。

H3C IPS产品以在线的方式部署在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:

·     保护网络应用的安全;

·     保护网络应用的业务连续性;

·     保护网络应用的性能。

除了在线部署,H3C IPS产品还可以采用旁路部署的模式,实现IDS入侵检测的功能。同时,H3C IPS产品还具有强大、实用的带宽管理和URL过滤功能。

H3C SecBlade IPS插卡采用H3C公司最新的硬件平台和体系架构,支持分布式部署和集中管理,可灵活扩展。通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。H3C SecBlade IPS插卡可以和主网络设备配合使用,可以在已使用该主网络设备的用户网络中方便部署,满足对流量运营管理的需要。

2.2  主要特点

·     将主网络设备的转发和业务处理有机融合在一起,在实现主网络设备高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。

·     SecBlade IPS插卡基于H3C公司领先的OAA(Open Application Architecture)架构开发,通过内部的高速10GE以太网接口与主网络设备相连,H3C主网络设备的后插卡具有的线速转发能力,更保证了与业务插卡间通畅的数据转发。

·     SecBlade IPS插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,主网络设备的原有业务处理不会受到任何影响。

·     SecBlade IPS插卡可以插在主网络设备上的多个槽位,并且在一台主网络设备上可插入多块SecBlade IPS插卡进行性能扩展,轻松适应不断升级的企业和电信运营商网络。

2.3  主要业务特性

SecBlade IPS插卡支持的主要功能有:

(1)     基于应用层的攻击检测防范

采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,全面提高了入侵检测的精确度;同时,FIRST引擎采用了并行检测技术,并且可软、硬件灵活适配,大大提高了入侵检测的性能。FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来,利用协议识别精确地识别出应用层协议,并精确地分析出协议异常进行阻断,同时,将特征匹配与协议识别的结果结合起来,只有关联了特定应用层协议上下文的攻击特征成功匹配了才被判断为一次有效攻击,从而,大大提高了检测精度,显著降低了误报率和漏报率。

(2)     DDoS防范

对最复杂的DDoS攻击进行深入分析,配合多种先进的防御算法,可以为任何环境提供DDoS保护。支持包括SYN Flood、RST Flood、ACK Flood、UDP Flood、ICMP Flood、Connection Flood、CPS Flood、DNS Query Flood和HTTP Get Flood攻击在内的多种类型DDoS攻击。

(3)     AV功能

集成卡巴斯基防病毒引擎,内置专业病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术,能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。

(4)     URL过滤

提供URL过滤功能。通过自定义URL过滤规则实现对敏感网页进行过滤。URL过滤规则支持正则表达式。

(5)     基于应用的带宽控制

协议识别功能支持1000多种应用协议的识别,在这个协议识别的基础上,可以对各种应用进行灵活的带宽控制,限制非关键应用,并保证了客户网络上关键应用的带宽。

(6)     丰富的响应方式

SecBlade IPS插卡在分析报文检测到异常情况后,需要采取一个特定的响应动作。SecBlade IPS插卡提供了丰富的响应方式,包括阻断、限流、TCP Reset、抓取原始报文、重定向、隔离、Syslog上报、记录本地日志等。各种响应方式可以相互组合,并且SecBlade IPS插卡出厂时内置了一些常用的动作组合,以方便客户使用。

(7)     特性统一管理、统一策略下发

支持本地和分布式管理。在单台或小规模部署时,通过SecBlade IPS插卡内置的Web界面进行图形化管理;在大规模部署时,可通过H3C安全管理中心SecCenter对分布部署的SecBlade IPS插卡进行统一升级、监控、分析与策略管理。

 


3 业务特性功能列表

业务特性功能如下表所示:

表3-1 SecBlade IPS插卡特性功能列表

功能模块

业务特性

Web配置

Web概述

设备管理

用户管理

网络管理

高可靠性

时间表管理

IP地址组管理

动作管理

日志管理

IPS

URL过滤

防病毒

DDoS

带宽管理

黑白名单

报表

命令行配置

常用网络应用命令

接口管理命令

静态路由命令

设备管理命令

系统基本配置命令

加密P2P识别命令

DHCP Flood防护命令

 

 


4 登录Web网管

SecBlade IPS插卡支持Web网管功能,管理员可以使用Web界面方便直观地管理和维护SecBlade IPS插卡。

登录Web网管的全过程如下。

1. 搭建配置环境,连接SecBlade IPS插卡和PC

(1)     对于LSWM1IPS10插卡:

·     将配置电缆带有RJ45连接器的一端连接到交换机的Console口,将带有DB9(母)连接器的另一端连接到PC的串口。

·     用交叉以太网线连接SecBlade IPS插卡的管理口和PC的网口。

图4-1 连接SecBlade IPS插卡和PC(一)

 

(2)     对于LSWM1IPS10之外的插卡:

·     将配置电缆带有RJ45连接器的一端连接到SecBlade IPS插卡的Console口,将带有DB9(母)连接器的另一端连接到PC的串口。

·     用交叉以太网线连接SecBlade IPS插卡的管理口和PC的网口。

图4-2 连接SecBlade IPS插卡和PC(二)

 

2. 在PC上配置终端仿真程序

在PC机上运行终端仿真程序(如Windows 3.X的Terminal、Windows 9X、Windows XP的超级终端等)。

设置终端通信参数:波特率为9600bps、数据位为8、奇偶校验为无、停止位为1、数据流控制为无。

说明

终端通信参数与设备的型号有关,请以设备的实际情况为准。

 

3. 进入设备的命令行接口

(1)     对于LSWM1IPS10插卡:

加电启动交换机,由于S5800&S5820X属于集中式堆叠设备,在交换机上执行登录OAP系统的命令之后,才能进入LSWM1IPS10插卡的命令行接口。

# 进入LSWM1IPS10插卡的命令行接口。

<Sysname> oap connect slot 1 system SubSlot3

Press CTRL+K to quit.

Connected to SubSlot3! 

PC终端上将显示IPS插卡的自检信息。自检结束后提示输入系统密码。输入正确的系统密码(缺省系统密码为H3C,区分大小写)后,即进入IPS插卡的命令行接口。

(2)     对于LSWM1IPS10之外的插卡:

加电启动交换机/路由器,PC终端上将显示IPS插卡的自检信息。自检结束后提示输入系统密码。输入正确的系统密码(缺省系统密码为H3C,区分大小写)后,即进入IPS插卡的命令行接口。

4. 配置IPS插卡的管理IP地址(可选,缺省情况下,管理IP地址默认为192.168.1.1)

# 配置IPS插卡的管理IP地址(LSWM1IPS10与SPE-IPS-200插卡的默认管理口是meth0/0,LSU1IPSBEA0与LST1IPS2A1插卡的默认管理口是meth0/1,其它插卡的默认管理口是meth0/2,下面以meth0/2为例)。

<Sysname> system-view

[Sysname] interface meth0/2 ¬进入管理口

[Sysname-if] ip address 10.153.17.82 255.255.255.0 ¬配置管理口的IP地址/掩码为10.153.17.82/24

[Sysname-if] undo shutdown ¬开启管理口

5. 为PC配置IP地址,保证能与SecBlade IPS插卡互通

配置PC的IP地址为10.153.17.0/24(除10.153.17.82),例如10.153.17.83。

6. 启动浏览器,登录Web网管

缺省情况下,IPS插卡已经使能HTTPS服务,未使能HTTP服务,因此,初次通过Web登录IPS插卡时,只能使用HTTPS方式进行。若也想通过HTTP方式登录IPS插卡,则通过HTTPS方式登录IPS插卡后,在界面左侧的导航栏中选择“系统管理 > 网络管理 > 管理口”,进入“管理口配置”页签,例如图4-3所示。

图4-3 配置HTTP/HTTPS 配置

 

在“HTTP”和“HTTPS”前的复选框中进行选择,可以修改HTTP和HTTPS服务的使能状态,单击<确定>按钮,弹出对话框提示“管理口地址改变可能会导致与设备的连接断开。要确认修改吗?”,单击对话框中的<确定>按钮完成配置。

在与IPS插卡路由可达的Web网管终端(比如PC)上启动IE浏览器,访问https://10.153.17.82即可进入如图4-4所示的Web网管登录页面。

输入系统缺省的用户名admin和密码admin,单击<登录>按钮即可进入Web网管并进行管理操作。

图4-4 Web网管登录页面

 

警告

·     图4-2中的PC是进行设备基本配置时使用的PC,不一定是Web网管终端。

·     不建议用户在同一台PC上采用两种不同的登录方式(http、https)分别登录Web网管。

·     首次登录后,建议用户修改缺省的登录密码,修改方法请参见“H3C IPS入侵防御系统  Web配置指导/用户管理”。

 


5 交换机/路由器和SecBlade IPS插卡的组网配置

说明

本章所涉及的交换机/路由器命令的详细解释,具体可以参见下列手册:

·     《H3C S5800 & S5820X系列以太网交换机  命令参考》

·     《H3C S7500E系列以太网交换机  命令参考》

·     《H3C S9500系列路由交换机  命令参考》

·     《H3C S9500E系列路由交换机  命令参考》

·     《H3C S10500系列交换机  命令参考》

·     《H3C S12500系列路由交换机  命令参考》

·     《H3C SR6600路由器  命令参考》

·     《H3C SR8800万兆核心路由器  命令参考》

 

5.1  LSWM1IPS10插卡典型配置(一代IPS插卡,适用于S5800&S5820X系列交换机)

5.1.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接,交换机使用VLAN虚接口进行三层转发。在交换机的内外网接口上配置重定向,把进入交换机的需要通过VLAN虚接口进行三层转发的IP报文重定向到和SecBlade IPS插卡连接的内部10GE接口上。交换机先进行三层转发,再通过内部10GE接口把报文交给SecBlade IPS插卡处理。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     交换机对报文进行正常的转发处理。

(3)     转发处理后的报文,按照入接口、入VLAN和出接口,被重定向到SecBlade IPS插卡处理。

(4)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     交换机对报文进行正常的转发处理。

(3)     转发处理后的报文,按照入接口、入VLAN和出接口,被重定向到SecBlade IPS插卡处理。

(4)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机,并从内网接口发送出去。

5.1.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP ServerACSEI Server功能。

·     配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

·     配置内联接口为Access模式,加入管理VLAN,如VLAN100(要求与SecBlade IPS插卡的ACFP Client设置页面中的VLAN设置保持一致),并且配置接口模式为扩展模式。

·     保存配置。

交换机的具体配置步骤如下。

表5-1 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

交换机的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

配置内联接口

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

进入指定的VLAN接口视图

interface Vlan-interface vlan-interface-id

必选

在创建VLAN接口之前,对应的VLAN必须已经创建,否则,将不能创建指定的VLAN接口

给VLAN接口指定IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有配置VLAN接口的IP地址

一般情况下,一个接口配置一个IP地址即可,但为了使设备的一个VLAN可以与多个子网相连,VLAN接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,S5800&S5820X系列交换机的一个接口最多可以配置10个IP地址

从VLAN接口视图退回系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface Ten-GigabitEthernet interface-number

必选

配置子接口的链路类型为Access类型

port link-type access

可选

缺省情况下,子接口的链路类型为Access类型

将子接口加入到指定VLAN

port access vlan vlan-id

必选

把内联口加入到管理VLAN中

配置接口模式为扩展模式

port connection-mode extend

必选

禁止接口MAC址学习

mac-address mac-learning disable

必选

关闭接口STP

undo stp enable

必选

从VLAN接口视图退回系统视图

quit

必选

保存当前配置到配置文件

save [ safely ]

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与交换机的连通性。

·     新建安全域,把交换机的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-2 SecBlade IPS插卡的配置

操作

命令

说明

从设备侧重定向到OAP系统(集中式堆叠设备/分布式设备)

oap connect [ slot slot-number ] system system-name

必选

该操作在用户视图下执行

进入SecBlade IPS插卡的命令行接口

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/0的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP 客户端

单击“系统管理”> “网络管理” > “ACFP Client设置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择S5800&S5820X的接口加入安全域

必选

 

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-3 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-4 ACFP的显示和维护(交换机上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.1.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-1所示,为了对经过交换机的流量进行检测,在交换机的3号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet1/0/15为内网接口,GigabitEthernet1/0/16为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet1/0/15连接内网方向,GigabitEthernet1/0/16连接外网方向。

·     交换机的Ten-GigabitEthernet1/3/1为Access类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet1/0/15时,经过转发处理后,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口回到交换机,经交换机转发到GigabitEthernet1/0/16,反之亦然。

2. 组网图

图5-1 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

<Sysname> system-view

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface 100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] quit

·     配置内联接口为Access模式,加入VLAN100(要求与SecBlade IPS插卡的ACFP Client设置页面中的VLAN配置保持一致),并且配置接口模式为扩展模式。

[Sysname] interface Ten-GigabitEthernet 1/3/1

[Sysname-Ten-GigabitEthernet] port access vlan 100

[Sysname-Ten-GigabitEthernet] port connection-mode extend

[Sysname-Ten-GigabitEthernet] quit

# 保存配置。

<Sysname> save

说明

配置内联接口时,槽位为n、子槽位为m的OAA插卡就要与Ten-GigabitEthernetn/m/1的内联接口相对应。例如:1号槽位、3号子槽位的OAA插卡对应内联接口Ten-GigabitEthernet1/3/1。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> oap connect slot 1 system SubSlot3

<Sysname> system-view

[Sysname] interface meth 0/0

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-2 SecBlade IPS插卡登录界面

 

# 配置ACFP Client。

·     配置ACFP Client和内联接口,并测试与交换机的连通性

图5-3 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图5-4 连通测试成功

 

·     配置安全区域

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet1/0/15加入内部安全区域“Inisde”,GigabitEthernet1/0/16加入外部安全区域“Outside”,如图5-5所示:

图5-5 新建安全区域

 

·     配置段

图5-6 新建段

 

图5-7 配置段

 

5.2  LSQ1IPSSC0插卡典型配置(一代IPS插卡,适用于S7500E交换机)

5.2.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好OAA后,交换机上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给交换机,交换机再进行转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.2.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP serverACSEI server功能。

·     配置一个管理VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

·     配置内联接口为Trunk模式,PVID为管理VLAN,如VLAN 100(要求与SecBlade IPS插卡的ACFP Client设置页面中的VLAN设置保持一致),允许内外网接口所属VLAN的报文通过,并且配置接口模式为扩展模式,禁止内联口MAC地址学习,并去使能STP

·     配置交换机主控板的流量转发模式。

·     保存配置,重启交换机。

交换机的具体配置步骤如下。

表5-5 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

交换机的MIB风格必须为new,不能是Compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,ACFP Client使用的SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

配置内联接口

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

进入指定的VLAN接口视图

interface Vlan-interface vlan-interface-id

必选

在创建VLAN接口之前,对应的VLAN必须已经创建,否则,将不能创建指定的VLAN接口

给VLAN接口指定IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有配置VLAN接口的IP地址

一般情况下,一个接口配置一个IP地址即可,但为了使设备的一个VLAN可以与多个子网相连,VLAN接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,S7500E系列交换机的一个接口最多可以配置5个IP地址

从VLAN接口视图退回系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface Ten-GigabitEthernet interface-number

必选

设置端口的链路类型

port link-type { access | hybrid | trunk }

必选

缺省情况下,所有端口的链路类型均为Access类型

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-id-list | all }

必选

Trunk端口可以允许多个VLAN通过。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

设置Trunk端口的缺省VLAN ID

port trunk pvid vlan vlan-id

必选

缺省情况下,Trunk端口的缺省VLANVLAN1

Trunk端口,执行undo vlan命令删除端口的缺省VLAN后,端口的缺省VLAN配置不会改变,即使用已经不存在的VLAN作为缺省VLAN

配置接口模式为扩展模式

port connection-mode extend

必选

禁止接口MAC地址学习

mac-address mac-learning disable

必选

关闭接口STP

undo stp enable

必选

从VLAN接口视图退回系统视图

quit

必选

配置交换机主控板的流量转发模式

·     当主控板型号为LSQ1SRP1CB时:

switch-mode { l2-enhanced | standard-bridging | standard-routing }

·     当主控板型号为LSQ1SRP2XB、LSQ1SRPB或LSQ1MPUA时:

switch-mode { l2-enhanced | standard }

必选

主控板流量转发模式配置完毕后需保存配置并重启整个交换机,所做配置才会整机生效

缺省情况:

·     当主控板型号为LSQ1SRP1CB时,缺省情况为standard-routing模式

·     当主控板型号为LSQ1SRP2XB、LSQ1SRPB或LSQ1MPUA时,缺省情况为standard模式

保存当前配置到配置文件

save [ safely ]

必选

重新启动设备

reboot

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与交换机的连通性。

·     新建安全域,把交换机的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-6 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP 客户端

单击“系统管理”> “网络管理” > “ACFP Client设置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择S7500E的接口加入安全域

必选

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-7 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name]

 

表5-8 ACFP的显示和维护(交换机上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.2.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-8所示,为了对经过交换机的流量进行检测,在交换机的2号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet3/0/1、GigabitEthernet3/0/2为内网接口,GigabitEthernet3/0/20为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet3/0/1和GigabitEthernet3/0/2连接内网方向,GigabitEthernet3/0/20连接外网方向。

·     交换机的Ten-GigabitEthernet2/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet3/0/1和GigabitEthernet3/0/2时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet3/0/20,反之亦然。

2. 组网图

图5-8 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface 100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] quit

·     配置内联接口为Trunk模式,pvid为100(要求与SecBlade IPS插卡的ACFP Client设置页面中的VLAN配置保持一致),允许接口GigabitEthernet3/0/1,GigabitEthernet3/0/2和GigabitEthernet3/0/20所属VLAN的报文通过,并且配置接口模式为扩展模式。

[Sysname] interface Ten-GigabitEthernet 2/0/1

[Sysname-Ten-GigabitEthernet2/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet2/0/1] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet2/0/1] port trunk permit vlan 10 20 200

[Sysname-Ten-GigabitEthernet2/0/1] port trunk pvid vlan 100

[Sysname-Ten-GigabitEthernet2/0/1] port connection-mode extend

[Sysname-Ten-GigabitEthernet2/0/1] mac-address mac-learning disable

[Sysname-Ten-GigabitEthernet2/0/1] undo stp enable

[Sysname-Ten-GigabitEthernet2/0/1] quit

# 配置交换机主控板的流量转发模式为enhanced(主控板流量转发模式配置完毕后需保存配置并重启整个交换机,所做配置才会整机生效。)。

[Sysname] switch-mode l2-enhanced

[Sysname] quit

# 保存配置,并重启交换机。

<Sysname> save

<Sysname> reboot

说明

配置内联接口时,槽位为n的OAA插卡就要与Ten-GigabitEthernetn/0/1的内联接口相对应。例如:2号槽位的OAA插卡对应内联接口Ten-GigabitEthernet2/0/1。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-9 SecBlade IPS插卡登录界面

 

# 配置ACFP Client。

·     配置ACFP Client和内联接口,并测试与交换机的连通性

图5-10 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图5-11 连通测试成功

 

·     配置安全区域

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet3/0/1和GigabitEthernet3/0/2加入内部安全区域“Inisde”,GigabitEthernet3/0/20加入外部安全区域“Outside”,如图5-12所示:

图5-12 新建安全区域

 

·     配置段

图5-13 新建段

 

图5-14 配置段

 

5.3  LSB1IPS1A0插卡典型配置(一代IPS插卡,适用于命令行为Comware V3的S9500交换机)

5.3.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接,交换机使用VLAN虚接口进行三层转发。在交换机的内外网接口上配置重定向,把进入交换机的需要通过VLAN虚接口进行三层转发的IP报文重定向到和SecBlade IPS插卡连接的内部10GE接口上。SecBlade IPS插卡经过处理以后通过内部10GE接口把报文返回给交换机,交换机再进行三层转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     内网进入的目的MAC为VLAN虚接口MAC的IP报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完的内网报文重新回送给交换机。

(4)     从SecBlade IPS插卡回送到交换机的报文进行正常转发处理,从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     外网进入的目的MAC为VLAN虚接口MAC的IP报文被重定向到SecBlade  IPS插卡处理。

(3)     SecBlade IPS插卡处理完的外网报文重新回送给交换机。

(4)     从SecBlade IPS插卡回送到交换机的报文进行正常转发处理,从内网接口发送出去。

如果交换机上插了多块SecBlade IPS插卡,需要对交换机三层转发的报文进行负载分担,可以在交换机的内外网接口配置详细的重定向策略,从不同内网接口进入交换机的报文可以重定向到不同的SecBlade IPS插卡处理。同时在交换机的外网接口上配置详细的重定向策略,确保内网同一个IP的请求报文和外网返回的相应响应报文由同一块SecBlade IPS插卡处理。

说明

·     本组网方案报文会从后插板重新进入交换机一次,会导致MAC地址在不同的端口上来回学习,引起混乱,因此需要在后插板10GE端口上禁止MAC地址学习。

·     目的MAC为广播地址和未知单播地址的报文会在VLAN里广播,因此会从10GE口发送到SecBlade IPS插卡处理,SecBlade IPS插卡处理后会重新回送给交换机,会导致该报文被从入端口重新发送处理,属于该VLAN的其它端口会多发送一份报文出去。因此需要在后插板的10GE接口上配置过滤规则,只允许目的MAC为交换机VLAN虚接口MAC的报文通过。

 

5.3.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡三层转发组网配置,需要在交换机上进行以下配置。

·     创建2个VLAN,把交换机的内网口和外网口加入相应VLAN,并创建相应VLAN虚接口,配置IP地址。

·     配置交换机与SecBlade IPS插卡相连的10GE接口为Trunk类型,允许上述两个VLAN通过,并禁止MAC地址学习。

·     创建内网重定向策略所需的高级ACL:匹配所有三层IP报文。

·     创建外网重定向策略所需的高级ACL:匹配目的IP地址段等于内网口IP地址段的三层IP报文。

·     创建二层ACL,deny ARP和二层转发报文。

·     在内网接口配置重定向策略:将符合内网ACL规则的报文重定向到插卡所在的接口。

·     在外网接口配置重定向策略:将符合外网ACL规则的报文重定向到插卡所在的接口。

·     在交换机和插卡的内联接口配置过滤流策略:使用以上步骤创建的二层ACL规则,过滤所有从插卡进入的二层转发报文和ARP报文。

说明

如果存在多个内网接口,只需要创建多个VLAN和VLAN虚接口,把相应内网接口加入VLAN,其余配置依次类推即可。

 

交换机的具体配置步骤如下:

表5-9 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

创建内网VLAN

vlan vlan-id

必选

将内网端口加入到内网VLAN中

port interface-list

必选

缺省情况下,系统将所有端口都加入到VLAN1

创建外网VLAN

vlan vlan-id

必选

将外网端口加入到外网VLAN中

port interface-list

必选

缺省情况下,系统将所有端口都加入到VLAN1

退出VLAN视图,进入系统视图

quit

必选

创建内网VLAN虚接口

interface vlan-interface vlan-id

必选

配置内网VLAN虚接口IP地址

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有为接口配置IP地址

退出VLAN虚接口视图,进入系统视图

quit

必选

创建外网VLAN虚接口

interface vlan-interface vlan-id

必选

配置外网VLAN虚接口IP地址

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有为接口配置IP地址

退出VLAN虚接口视图,进入系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface interface-type interface-number

必选

配置万兆以太网接口的链路类型为Trunk类型

port link-type trunk

必选

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-id-list | all }

必选

配置上述步骤中创建的两个VLAN能通过

设置Trunk端口的缺省VLAN

port trunk pvid vlan vlan-id

必选

缺省VLAN不能是上述配置中创建的两个VLAN

禁止万兆以太网接口MAC地址学习

mac-address max-mac-count 0

必选

关闭接口STP

undo stp enable

必选

退出万兆以太网接口视图,进入系统视图

quit

必选

创建高级ACL

acl number acl-number

必选

创建内网接口规则,匹配所有三层IP报文

rule rule-id permit ip packet-level route

必选

退出高级ACL视图,进入系统视图

quit

必选

创建高级ACL

acl number acl-number

必选

创建外网接口的规则,匹配目的IP地址段,和对应内网口下挂的IP地址段对应

rule rule-id permit ip packet-level route destination network-address wild-mask

必选

如果该内网接口下联多个网段,每个网段创建1条规则

退出高级ACL视图,进入系统视图

quit

必选

创建二层ACL

acl number acl-number

必选

创建规则, deny  arp报文

rule rule-id deny arp

必选

创建规则,deny  二层转发报文

rule rule-id  deny packet-level bridge

必选

退出二层ACL视图,进入系统视图

quit

必选

进入内网接口视图

interface interface-type interface-number

必选

配置重定向策略,在入方向上将符合ip-group的报文重定向到指定的接口

traffic-redirect inbound ip-group acl-number interface interface-type interface-number

必选

使用上面创建的内网规则

退出接口视图,进入系统视图

quit

必选

进入外网接口视图

interface interface-type interface-number

必选

配置重定向策略,在入方向上将符合ip-group的报文重定向到指定的接口

traffic-redirect inbound ip-group acl-number interface interface-type interface-number

必选

使用上面创建的外网规则

退出接口视图,进入系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface interface-type  interface-number

必选

配置过滤流策略,过滤所有进入的二层转发报文和arp报文

packet-filter inbound link-group acl-number

必选

使用上面创建的二层规则

退出接口视图,进入系统视图

quit

必选

退回到用户视图

return

可选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡三层转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在WEB网管上实现。

·     通过命令行配置管理口IP,通过管理IP登录SecBlade IPS插卡的WEB管理界面。

·     新建安全区域,把属于不同内网VLAN和外网VLAN的内部万兆以太网接口加入各自的安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-10 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

必选

配置IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡WEB管理界面

-

必选

缺省登录名为admin,密码为admin

新建安全域

单击“系统管理”->“网络管理”->“安全区域”,单击“新建安全区域”按钮,输入安全区域名称,选择接口为和交换机连接的万兆以太网口,选择相应VLAN

必选

每个属于内网VLAN和外网VLAN的万兆以太网接口都要创建1个安全区域

新建段

单击“系统管理”->“网络管理”->“段配置”,单击“新建段”按钮,选择段编号,内部域和外部域

必选

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-11 内部万兆以太网接口转发显示

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

5.3.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

为对经过交换机的流量进行深度检测,在交换机上插了2块SecBlade IPS插卡。交换机Ethernet5/1/1、Ethernet5/1/2为内网接口,Ethernet5/1/3为外网接口,内网和外网的流量需要经过SecBlade IPS插卡深度检测,并在2块SecBlade IPS插卡上实现负载分担。组网图如图5-15所示。

具体实现如下:

·     交换机的Ethernet5/1/1,Ethernet5/1/2和Ethernet5/1/3均为Access类型,分别属于VLAN 10,VLAN 20和VLAN 30,VLAN 10和20是内网VLAN,VLAN 30是外网VLAN。

·     交换机的万兆以太网口GigabitEthernet3/1/1和万兆以太网口GigabitEthernet4/1/1为Trunk类型,分别和2块SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

·     交换机的Ethernet5/1/1配置重定向,把流量重定向到万兆以太网口GigabitEthernet3/1/1上,Ethernet5/1/2上配置重定向,把流量重定向到万兆以太网口GigabitEthernet4/1/1上,交换机的Ethernet5/1/3配置重定向,把流量分别重定向到万兆以太网口GigabitEthernet3/1/1和万兆以太网口GigabitEthernet4/1/1上,确保内网同一个IP的请求报文和外网返回的相应响应报文由同一块SecBlade IPS插卡处理。

2. 组网图

图5-15 交换机和SecBlade IPS插卡三层转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置Ethernet5/1/1、Ethernet5/1/2、Ethernet5/1/3分别属于VLAN 10,VLAN 20和VLAN 30,并创建VLAN虚接口,配置IP地址。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] port Ethernet 5/1/1

[Sysname-vlan10] vlan 20

[Sysname-vlan20] port Ethernet 5/1/2

[Sysname-vlan20] vlan 30

[Sysname-vlan30] port Ethernet 5/1/3

[Sysname-vlan30] quit

[Sysname] interface Vlan-interface 10

[Sysname-Vlan-interface10] ip address 10.0.0.1 255.0.0.0

[Sysname-Vlan-interface10] quit

[Sysname] interface Vlan-interface 20

[Sysname-Vlan-interface20] ip address 20.0.0.1 255.0.0.0

[Sysname-Vlan-interface20] quit

[Sysname]interface Vlan-interface 30

[Sysname-Vlan-interface30] ip address 30.0.0.1 255.0.0.0

[Sysname-Vlan-interface30] quit

# 配置和SecBlade IPS插卡连接的万兆以太网接口为Trunk口,禁止MAC地址学习。

[Sysname] interface GigabitEthernet 3/1/1 

[Sysname-GigabitEthernet3/1/1] port link-type trunk

[Sysname-GigabitEthernet3/1/1] port trunk permit vlan 10 20 30

[Sysname-GigabitEthernet3/1/1] max-address max-mac-count 0  

[Sysname] interface GigabitEthernet 4/1/1 

[Sysname-GigabitEthernet4/1/1] port link-type trunk

[Sysname-GigabitEthernet4/1/1] port trunk permit vlan 10 20 30

[Sysname-GigabitEthernet4/1/1] max-address max-mac-count 0

# 创建高级ACL

[Sysname] acl number 3000 

[Sysname-acl-adv-3000] rule 0 permit ip packet-level route 

[Sysname-acl-adv-3000] quit

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule 0 permit ip packet-level route destination 10.0.0.0 0.255.255.255

[Sysname-acl-adv-3001] quit  

[Sysname] acl number 3002

[Sysname-acl-adv-3002] rule 0 permit ip packet-level route destination 20.0.0.0 0.255.255.255

[Sysname-acl-adv-3002] quit

# 创建二层ACL

[Sysname] acl number 4000  

[Sysname-acl-ethernetframe-4000] rule 0 deny arp

[Sysname-acl-ethernetframe-4000] rule 1 deny packet-level bridge

[Sysname-acl-ethernetframe-4000] quit   

# 在内外网接口上配置报文模板和流策略,把报文重定向。

[Sysname] interface Ethernet 5/1/1

[Sysname-Ethernet5/1/1] traffic-redirect inbound ip-group 3000 interface GigabitEthernet3/1/1 10

[Sysname-Ethernet5/1/1] quit

[Sysname] interface Ethernet 5/1/2

[Sysname-Ethernet5/1/2] traffic-redirect inbound ip-group 3000 interface GigabitEthernet4/1/1 20

[Sysname-Ethernet5/1/2] quit

[Sysname] interface Ethernet 5/1/3

[Sysname-Ethernet5/1/3] traffic-redirect inbound ip-group 3001 interface GigabitEthernet3/1/1 30

[Sysname-Ethernet5/1/3] traffic-redirect inbound ip-group 3002 interface GigabitEthernet4/1/1 30

[Sysname-Ethernet5/1/3] quit

# 在内部万兆以太网接口配置流策略,过滤二层转发报文和arp报文。

[Sysname] interface GigabitEthernet 3/1/1

[Sysname-GigabitEthernet3/1/1] packet-filter inbound link-group 4000

[Sysname-GigabitEthernet3/1/1] quit

[Sysname] interface GigabitEthernet 4/1/1

[Sysname-GigabitEthernet4/1/1] packet-filter inbound link-group 4000

[Sysname-GigabitEthernet4/1/1] quit

(2)     配置SecBlade IPS插卡

# 管理口IP,开启管理接口。

[Sysname] interface meth0/2

[Sysname-if]ip address 192.168.0.21 255.255.255.0//192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown 

[Sysname-if] quit 

# 登录SecBlade IPS插卡WEB网管,用户名和密码都是admin。

图5-16 SecBlade IPS插卡登录界面

 

# 单击系统管理”->“网络管理”->“安全区域”,单击“新建安全区域”按钮,输入安全区域名称Inside,选择接口为和交换机连接的万兆以太网口xeth0/0,选择内部VLAN 10和VLAN 20,单击“保存”。

图5-17 SecBlade IPS插卡安全区域配置

 

# 单击“系统管理 > 网络管理 > 段配置”,单击“新建段”按钮,选择段编号0,内部域Inside和外部域Outside,单击“确定”按钮。

图5-18 SecBlade IPS插卡段配置

 

5.4  LSR1IPS1A1插卡典型配置(一代IPS插卡,适用于命令行为Comware V5的S9500E交换机)

5.4.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好OAA后,交换机上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给交换机,交换机再进行转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.4.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP serverACSEI server功能。

·     配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

·     配置内联接口为Trunk模式,允许内外网接口所属VLAN的报文通过,并且配置接口模式为扩展模式。

·     禁止内联接口MAC学习。

·     关闭内联口STP。

·     保存配置,重启交换机。

交换机的具体配置步骤如下。

表5-12 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

交换机的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

配置内联接口

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

进入指定的VLAN接口视图

interface vlan-interface vlan-interface-id

必选

在创建VLAN接口之前,对应的VLAN必须已经创建,否则,将不能创建指定的VLAN接口

给VLAN接口指定IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有配置VLAN接口的IP地址

一般情况下,一个接口配置一个IP地址即可,但为了使设备的一个VLAN可以与多个子网相连,VLAN接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,S9500E系列交换机的一个接口最多可以配置20个IP地址

从VLAN接口视图退回系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface Ten-GigabitEthernet interface-number

必选

设置端口的链路类型

port link-type { access | hybrid | trunk }

必选

缺省情况下,所有端口的链路类型均为Access类型

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-id-list | all }

必选

Trunk端口可以允许多个VLAN通过。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

设置Trunk端口的缺省VLAN ID

port trunk pvid vlan vlan-id

必选

缺省情况下,Trunk端口的缺省VLANVLAN1

Trunk端口,执行undo vlan命令删除端口的缺省VLAN后,端口的缺省VLAN配置不会改变,即使用已经不存在的VLAN作为缺省VLAN

配置接口模式为扩展模式

port connection-mode extend

必选

配置禁止端口MAC地址学习

mac-address mac-learning disable

必选

关闭接口STP

undo stp enable

必选

从VLAN接口视图退回系统视图

quit

必选

保存当前配置到配置文件

save [ safely ]

必选

重新启动设备

reboot

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP client和内联接口,测试与交换机的连通性。

·     新建安全域,把交换机的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-13 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP Client 客户端

单击“系统管理”> “网络管理” > “ACFP Client设置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择S9500E的接口加入安全域

必选

 

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-14 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-15 ACFP的显示和维护(交换机上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.4.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-19所示,交换机的主控板在5号槽位,交换板在3号槽位。为了对经过交换机的流量进行检测,在交换机的8号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet3/0/1、GigabitEthernet3/0/2为内网接口,GigabitEthernet3/0/20为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet3/0/1和GigabitEthernet3/0/2连接内网方向,GigabitEthernet3/0/20连接外网方向。

·     交换机的Ten-GigabitEthernet8/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet3/0/1和GigabitEthernet3/0/2时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet3/0/20,反之亦然。

2. 组网图

图5-19 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP serverACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] quit

·     配置内联接口为Trunk模式,允许接口GigabitEthernet3/0/1,GigabitEthernet3/0/2和GigabitEthernet3/0/20所属VLAN的报文通过,并且配置接口模式为扩展模式,禁止MAC学习。

[Sysname] interface Ten-GigabitEthernet 8/0/1

[Sysname-Ten-GigabitEthernet8/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet8/0/1] port trunk permit vlan 10 20 200

[Sysname-Ten-GigabitEthernet8/0/1] port connection-mode extend

[Sysname-Ten-GigabitEthernet8/0/1] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet8/0/1] undo stp enable

[Sysname-Ten-GigabitEthernet8/0/1] quit

# 保存配置,并重启交换机。

<Sysname> save

<Sysname> reboot

说明

配置内联接口时,槽位为n的OAA插卡就要与Ten-GigabitEthernetn/0/1的内联接口相对应。例如:8号槽位的OAA插卡对应内联接口Ten-GigabitEthernet8/0/1。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-20 SecBlade IPS插卡登录界面

 

# 配置ACFP Client

·     配置ACFP Client,并测试与交换机的连通性

图5-21 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图5-22 连通测试成功

 

·     配置安全区域

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet3/0/1和GigabitEthernet3/0/2加入内部安全区域“Inisde”,GigabitEthernet3/0/20加入外部安全区域“Outside”,如图5-23所示:

图5-23 新建安全区域

 

·     配置段

图5-24 新建段

 

图5-25 配置段

 

5.5  LST1IPS1A1/ LST1IPS2A1插卡典型配置(一代和二代IPS插卡,适用于S12500交换机)

5.5.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好OAA后,交换机上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给交换机,交换机再进行转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.5.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP serverACSEI server功能。

·     配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

·     配置内联接口为Trunk模式,允许内外网接口所属VLAN的报文通过,并且配置接口模式为扩展模式。

·     禁止内联接口MAC学习。

·     关闭内联口STP。

·     保存配置,重启交换机。

交换机的具体配置步骤如下。

表5-16 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

交换机的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

配置内联接口

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

进入指定的VLAN接口视图

interface vlan-interface vlan-interface-id

必选

在创建VLAN接口之前,对应的VLAN必须已经创建,否则,将不能创建指定的VLAN接口

给VLAN接口指定IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有配置VLAN接口的IP地址

激活VLAN接口

undo shutdown

必选

缺省情况下,S12500 VLAN接口处于关闭状态

从VLAN接口视图退回系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface Ten-GigabitEthernet interface-number

必选

设置端口的链路类型

port link-type { access | hybrid | trunk }

必选

缺省情况下,所有端口的链路类型均为Access类型

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-id-list | all }

必选

Trunk端口可以允许多个VLAN通过。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

配置接口模式为扩展模式

port connection-mode extend

必选

禁止万兆以太网接口MAC地址学习

mac-address max-mac-count 0

必选

关闭接口STP

undo stp enable

必选

激活以太网接口

undo shutdown

必选

缺省情况下,S12500以太网接口处于关闭状态

从VLAN接口视图退回系统视图

quit

必选

保存当前配置到配置文件

save [ safely ]

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与交换机的连通性。

·     新建安全域,把交换机的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-17 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP  客户端

单击“系统管理”> “网络管理” > “ACFP Client配置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择S12500的接口加入安全域

必选

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-18 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-19 ACFP的显示和维护(交换机上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.5.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-26所示,交换机的主控板在0号槽位,交换板在4号槽位。为了对经过交换机的流量进行检测,在交换机的5号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet4/0/1、GigabitEthernet4/0/2为内网接口,GigabitEthernet4/0/20为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet4/0/1和GigabitEthernet4/0/2连接内网方向,GigabitEthernet4/0/20连接外网方向。

·     交换机的Ten-GigabitEthernet5/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet4/0/1和GigabitEthernet4/0/2时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet4/0/20,反之亦然。

2. 组网图

图5-26 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP server和ACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface 100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] undo shutdown

[Sysname-Vlan-interface100] quit

·     配置内联接口为Trunk模式,允许接口GigabitEthernet4/0/1,GigabitEthernet4/0/2和GigabitEthernet4/0/20所属VLAN的报文通过,并且配置接口模式为扩展模式,禁止MAC学习。

[Sysname] interface Ten-GigabitEthernet 5/0/1

[Sysname-Ten-GigabitEthernet5/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet5/0/1] port trunk permit vlan 10 20 200

[Sysname-Ten-GigabitEthernet5/0/1] port connection-mode extend

[Sysname-Ten-GigabitEthernet5/0/1] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet5/0/1] undo stp enable

[Sysname-Ten-GigabitEthernet5/0/1] undo shutdown

[Sysname-Ten-GigabitEthernet5/0/1] quit

# 保存配置。

<Sysname> save

说明

配置内联接口时,槽位为n的OAA插卡就要与Ten-GigabitEthernetn/0/1的内联接口相对应。例如:5号槽位的OAA插卡对应内联接口Ten-GigabitEthernet5/0/1。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-27 SecBlade IPS插卡登录界面

 

# 配置ACFP Client。

·     配置ACFP Client,并测试与交换机的连通性

图5-28 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图5-29 连通测试成功

 

·     配置安全区域

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet4/0/1和GigabitEthernet4/0/2加入内部安全区域“Inisde”,GigabitEthernet4/0/20加入外部安全区域“Outside”,如图5-30所示:

图5-30 新建安全区域

 

·     配置段

图5-31 新建段

图5-32 配置段

 

5.6  SPE-IPS-200插卡典型配置(一代IPS插卡,适用于SR6600路由器)

5.6.1  组网配置简介

路由器和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好OAA后,路由器先根据路由策略或路由表进行转发,然后在转发出接口,流量转出去前,将流量通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给路由器。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入路由器。

(2)     路由器对报文进行正常的转发处理。

(3)     转发处理后的报文,按照入接口、入VLAN和出接口,被重定向到SecBlade IPS插卡处理。

(4)     SecBlade IPS插卡处理完毕后,内网报文重新返回给路由器,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入路由器。

(2)     路由器对报文进行正常的转发处理。

(3)     转发处理后的报文,按照入接口、入VLAN和出接口,被重定向到SecBlade IPS插卡处理。

(4)     SecBlade IPS插卡处理完毕后,外网报文重新返回给路由器,并从内网接口发送出去。

5.6.2  配置路由器和SecBlade IPS插卡组网

1. 配置路由器

为了实现路由器和SecBlade IPS插卡的转发组网配置,需要在路由器上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP serverACSEI server功能。

·     配置10GE接口三层子接口,配置vid以及子接口的IP地址。

·     配置所有使用接口为混杂模式

·     保存配置,重启路由器。

路由器的具体配置步骤如下。

表5-20 路由器的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

路由器的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

进入接口视图,配置接口为混杂模式

promiscuous

必选

所用到的接口都需要配置,包括SR6600的入出接口和IPS插卡的内联口,内联口在物理接口上配置即可,子接口可不用配置

配置10GE子接口

进入10GE子接口

int Ten-GigabitEthernet interface-number

必选

使能当前接口的Dot1q终结功能,并指定当前子接口能够终结的VLAN报文最外层VLAN ID

vlan-type dot1q vid vlan-id

必选

配置子接口IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

保存当前配置到配置文件

save [ safely ]

必选

 

2. 配置SecBlade IPS插卡

为了实现路由器和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与路由器的连通性。

·     新建安全域,把路由器的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-21 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/0的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,已开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP 客户端

单击“系统管理”> “网络管理” > “ACFP Client配置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择路由器的接口加入安全域

必选

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

3. 路由器和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-22 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-23 ACFP的显示和维护(路由器上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.6.3  路由器和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-33所示,路由器的主控板在0号槽位,交换板在3、4号槽位。为了对经过路由器的流量进行检测,在路由器的5号槽位上安装了1块SecBlade IPS插卡。路由器的GigabitEthernet3/0/0为内网接口,GigabitEthernet3/0/1为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     路由器的GigabitEthernet3/0/0连接内网方向,GigabitEthernet3/0/1连接外网方向。

·     路由器的Ten-GigabitEthernet5/0/0和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet3/0/0时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回路由器,经路由器转发到GigabitEthernet3/0/1,反之亦然。

2. 组网图

图5-33 路由器和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置路由器

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP server和ACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内外网接口和内联口为混杂模式

[Sysname] interface GigabitEthernet 3/0/0

[Sysname-GigabitEthernet3/0/0] promiscuous

[Sysname-GigabitEthernet3/0/0] ip address 30.0.0.1 255.255.255.0 

[Sysname] interface GigabitEthernet 3/0/1

[Sysname-GigabitEthernet3/0/1] promiscuous

[Sysname-GigabitEthernet3/0/1] ip address 31.0.0.1 255.255.255.0 

[Sysname] interface Ten-GigabitEthernet 5/0/0

[Sysname-Ten-GigabitEthernet5/0/0] promiscuous

# 配置内联接口,创建一个三层子接口,配置vid以及子接口的IP地址。

[Sysname] interface Ten-GigabitEthernet 5/0/0.1

[Sysname-Ten-GigabitEthernet5/0/0.1] vlan-type dot1q vid 100

[Sysname-Ten-GigabitEthernet5/0/0.1] ip address 10.0.0.1 255.255.255.0 

# 保存配置。

<Sysname> save

说明

配置内联接口时,槽位为n的OAA插卡就要与Ten-GigabitEthernetn/0/0的内联接口相对应。例如:5号槽位的OAA插卡对应内联接口Ten-GigabitEthernet5/0/0。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-34 SecBlade IPS插卡登录界面

 

# 配置ACFP Client。

·     配置ACFP Client,并测试与路由器的连通性。

图5-35 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与路由器连通。

图5-36 连通测试成功

 

·     配置安全区域

将路由器的接口分别加入安全区域。在本例中,应将GigabitEthernet3/0/0加入内部安全区域“Inisde”,GigabitEthernet3/0/1加入外部安全区域“Outside”,如图5-37所示:

图5-37 新建安全区域

 

·     配置段

图5-38 新建段

 

图5-39 配置段

 

5.7  IM-IPS插卡典型配置(一代IPS插卡,适用于SR8800路由器)

5.7.1  组网配置简介

路由器和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好OAA后,路由器上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给路由器,路由器再进行转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入路由器。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给路由器。

(4)     路由器对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入路由器。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给路由器。

(4)     路由器对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.7.2  配置路由器和SecBlade IPS插卡组网

1. 配置路由器

为了实现路由器和SecBlade IPS插卡的转发组网配置,需要在路由器上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP serverACSEI server功能。

·     配置一个VLAN,确保与路由器本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

·     配置内联接口为Trunk模式,允许内外网所属VLAN的报文通过,并且配置接口模式为扩展模式。

·     禁止内联接口MAC学习。

·     关闭内联口STP。

·     保存配置,重启路由器。

路由器的具体配置步骤如下。

表5-24 路由器的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

路由器的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP server功能

acfp server enable

必选

缺省情况下,ACFP server功能处于关闭状态

使能ACSEI server功能

acsei server enable

必选

缺省情况下,ACSEI server功能处于关闭状态

配置内联接口

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

进入指定的VLAN接口视图

interface vlan-interface vlan-interface-id

必选

在创建VLAN接口之前,对应的VLAN必须已经创建,否则,将不能创建指定的VLAN接口

给VLAN接口指定IP地址和掩码

ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下,没有配置VLAN接口的IP地址

从VLAN接口视图退回系统视图

quit

必选

进入与SecBlade IPS插卡相连的万兆以太网接口视图

interface Ten-GigabitEthernet interface-number

必选

设置端口的链路类型

port link-type { access | hybrid | trunk }

必选

缺省情况下,所有端口的链路类型均为Access类型

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-id-list | all }

必选

Trunk端口可以允许多个VLAN通过。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

配置接口模式为扩展模式

port connection-mode extend

必选

禁止万兆以太网接口MAC地址学习

mac-address max-mac-count 0

必选

关闭接口STP

undo stp enable

必选

退回系统视图

quit

必选

保存当前配置到配置文件

save [ safely ]

必选

 

2. 配置SecBlade IPS插卡

为了实现路由器和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与路由器的连通性。

·     新建安全域,把路由器的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-25 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,已开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP 客户端

单击“系统管理”> “网络管理” > “ACFP Client设置”,输入相关参数,完成配置

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择路由器的接口加入安全域

必选

 

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

 

3. 路由器和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-26 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-27 ACFP的显示和维护(路由器上)

操作

命令

查看ACFP server信息

display acfp server-info [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

查看ACFP策略信息

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | global | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

查看ACFP规则信息

display acfp rule-info { global | in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

 

5.7.3  路由器和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-40所示,路由器的主控板在6号槽位,交换板在1号槽位。为了对经过路由器的流量进行检测,在路由器的11号槽位上安装了1块SecBlade IPS插卡。路由器的GigabitEthernet1/0/1、GigabitEthernet1/0/2为内网接口,GigabitEthernet1/0/3为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     路由器的GigabitEthernet1/0/1和GigabitEthernet1/0/2连接内网方向,GigabitEthernet1/0/3连接外网方向。

·     路由器的Ten-GigabitEthernet11/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet1/0/1和GigabitEthernet1/0/2时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回路由器,经路由器转发到GigabitEthernet1/0/3,反之亦然。

2. 组网图

图5-40 路由器和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置路由器

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP server和ACSEI server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。

·     创建一个VLAN,确保与路由器本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。

[Sysname] vlan 100

[Sysname-vlan100] quit

[Sysname] interface Vlan-interface100

[Sysname-Vlan-interface100] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface100] undo shutdown

[Sysname-Vlan-interface100] quit

·     配置内联接口为Trunk模式,允许所有VLAN的报文通过,并且配置接口模式为扩展模式,禁止MAC学习。

[Sysname] interface Ten-GigabitEthernet 11/0/1

[Sysname-Ten-GigabitEthernet11/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet11/0/1] port trunk permit vlan all

[Sysname-Ten-GigabitEthernet11/0/1] port connection-mode extend

[Sysname-Ten-GigabitEthernet11/0/1] mac-address max-mac-count 0

[Sysname-Ten-GigabitEthernet11/0/1] undo stp enable

[Sysname-Ten-GigabitEthernet11/0/1] quit

# 保存配置。

<Sysname> save

说明

配置内联接口时,槽位为n的OAA插卡就要与Ten-GigabitEthernetn/0/1的内联接口相对应。例如:11号槽位的OAA插卡对应内联接口Ten-GigabitEthernet11/0/1。

 

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-41 SecBlade IPS插卡登录界面

 

# 配置ACFP Client。

·     配置ACFP Client,并测试与路由器的连通性。

图5-42 配置ACFP Client

 

配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与路由器连通。

图5-43 连通测试成功

 

·     配置安全区域

将路由器的接口分别加入安全区域。在本例中,应将GigabitEthernet1/0/1和GigabitEthernet1/0/2加入内部安全区域“Inisde”,GigabitEthernet1/0/3加入外部安全区域“Outside”,如图5-44所示:

图5-44 新建安全区域

 

·     配置段

图5-45 新建段

 

图5-46 配置段

 

5.8  LSU1IPSBEA0插卡典型配置(二代IPS插卡,适用于S7500E交换机)

5.8.1  组网配置简介

S7500E 二代IPS插卡只支持自动分流和手动MAC引流,暂不支持OAA引流。本节以自动分流说明二代插卡的使用方法,手动MQC引流配置请参考5.9  节。

开启自动分流后,S7500E上的接口全部变为接口对了,如GigabitEthernet0/0/1与GigabitEthernet0/0/2是一对,GigabitEthernet0/0/3与GigabitEthernet0/0/4是一对,GigabitEthernet0/0/1进来的报文从GigabitEthernet0/0/2转发,GigabitEthernet0/0/3进来的报文从GigabitEthernet0/0/4转发,反之亦然,其他接口对依次类推。

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。配置好自动分流后,交换机上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给交换机,交换机再进行转发。详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.8.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置设备的MIB(Management Information Base,管理信息库)风格。

·     配置SNMP参数,这里配置为SNMPv3用户,采用不认证不加密方式。

·     使能ACFP ServerACSEI Server功能。

·     配置一个VLAN,自动分流的固定VLAN为VLAN4094,并配置VLAN虚接口的IP地址。

·     保存配置,重启交换机。

交换机的具体配置步骤如下。

表5-28 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

设置设备的MIB风格

mib-style [ new | compatible ]

必选

·     new:指设定MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下

·     compatible:指设定MIB为H3C品牌兼容风格,即设备sysOID在H3C企业ID 25506下,私有MIB在企业ID 2011下

缺省情况下,设备的MIB风格为new

该设置需要重启设备才能生效(可所有配置完成后重启)

注意

交换机的MIB风格必须为new,不能是compatible,否则会导致设备工作异常

启动SNMP Agent

snmp-agent

必选

缺省情况下,SNMP Agent功能关闭

设置系统启用的SNMP版本号

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

必选

缺省情况下,SNMP版本为SNMP v3

配置一个新的SNMP组,并设置其访问权限

SNMP v3版本下的命令格式是:

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,snmp-agent group v3命令配置的SNMP组采用不认证、不加密方式

创建或者更新MIB视图的信息,以指定NMS可以访问的MIB对象

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

必选

缺省情况下,视图名为ViewDefault

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

多次使用本命令配置同一用户时,配置效果将以最后一次的配置为准

使能ACFP Server功能

acfp server enable

必选

缺省情况下,ACFP Server功能处于关闭状态

使能ACSEI Server功能

acsei server enable

必选

缺省情况下,ACSEI Server功能处于关闭状态

通过管理IP登录交换机Web管理界面

-

必选

配置Web

使能自动分流

进入“自动分流”配置页面,使能自动分流,确定

必选

配置分流组

进入“自动分流”配置页面,新建分流组,选择业务板(即ips插卡所在的槽位号)和接口对,确定

必选

保存当前配置到配置文件

save [ safely ]

必选

重启交换机

reboot

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     配置ACFP Client和内联接口,测试与交换机的连通性。

·     使能自动分流。

·     新建安全域,把交换机的接口加入安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-29 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

配置ACFP Client

配置ACFP Client客户端和使能自动分流

单击“系统管理”> “网络管理” > “ACFP Client设置”,输入相关参数,并使能自动分流

必选

测试连通性

单击<连通性测试>按钮,检测ACFP客户端和服务器之间是否连通

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,选择S7500的接口加入安全域

必选

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-30 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

表5-31 ACFP的显示和维护(交换机上)

操作

命令

查看ACFP server信息

display acfp server-info [ brief ] [ | { begin | exclude | include } regular-expression ]

查看ACFP client信息

display acfp client-info [ client-id ] [ brief ] [ | { begin | exclude | include } regular-expression ]

 

5.8.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-47所示,交换机的主控板在0号槽位,主控板自带接口。为了对经过交换机的流量进行检测,在交换机的1号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet0/0/1为内网接口,GigabitEthernet0/0/2为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet0/0/1连接内网方向,GigabitEthernet0/0/2连接外网方向。

·     交换机的Ten-GigabitEthernet1/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

当流量到达GigabitEthernet0/0/1时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet0/0/2,反之亦然。

2. 组网图

图5-47 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机串口

# 配置MIB为H3C品牌新风格。只需配置一次,配置后须重启(可所有配置完成后重启)。

<Sysname> system-view

[Sysname] mib-style new

# 配置SNMP参数,这里配置为SNMPv3用户,不认证不加密方式。

[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso

[Sysname] snmp-agent mib-view included iso iso

[Sysname] snmp-agent usm-user v3 v3user_no v3group_no

# 使能ACFP Server和ACSEI Server功能。

[Sysname] acfp server enable

[Sysname] acsei server enable

# 配置内联接口。创建一个VLAN,自动分流的固定VLAN为4094,并配置VLAN虚接口的IP地址。

[Sysname] vlan 4094

[Sysname-vlan4094] quit

[Sysname] interface Vlan-interface 4094

[Sysname-Vlan-interface4094] ip address 100.0. 0.1 255.255.255.0

[Sysname-Vlan-interface4094] undo shutdown

[Sysname-Vlan-interface4094] quit

# 保存配置。

<Sysname> save

(2)     配置交换机Web

图5-48 开启分流功能

 

创建分流组,选择所需业务板编号及接口对。本文以一块业务板及一个接口对为例进行说明。如果有多块接口板,或者多个接口对时,只需要将所用到的业务板和接口对选上即可,S7500E会自动根据业务板数量及接口对数量下发分流配置。

图5-49 新建分流组

 

确定之后,交换机自动下发分流配置,需要等待一段时间。

图5-50 分流功能显示

 

(3)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-51 SecBlade IPS插卡登录界面

 

# 配置ACFP Client

·     配置ACFP Client和内联接口,并测试与交换机的连通性

图5-52 配置ACFP Client

 

·     配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。

图5-53 连通测试成功

 

·     配置安全区域

将交换机的接口分别加入安全区域。在本例中,应将GigabitEthernet0/0/1加入内部安全区域“Inisde”,GigabitEthernet0/0/2加入外部安全区域“Outside”,如图5-54所示:

图5-54 新建安全区域

 

·     配置段

图5-55 新建段

 

图5-56 配置段

 

5.9  LSU1IPSBEA0插卡典型配置(二代IPS插卡,适用于S10500交换机)

5.9.1  组网配置简介

交换机和SecBlade IPS插卡通过内部的10GE接口(内联接口)连接。S10500 IPS插卡不支持OAA及自动分流,只能使用手动MQC引流方式将流量重定向到IPS插卡进行处理。配置好MQC后,交换机上的流量自动通过10GE接口重定向到SecBlade IPS插卡,SecBlade IPS插卡经过处理以后通过内部的10GE接口把报文返回给交换机,交换机再进行转发。

需要注意的是,二代S10500 IPS插卡有4个10GE接口,在非OAA和非自动分流模式下,4个10GE接口分属2对接口交换表,即Ten-GigabitEthernet0/1和Ten-GigabitEthernet0/2是一对接口,Ten-GigabitEthernet0/3和Ten-GigabitEthernet0/4是一对接口,接口对是一个接口进入一个接口出去的关系,配置MQC引流策略时,需要将上下行流量分别重定向到内外网接口。这是二代插卡与一代插卡区别较大的地方,请特别注意。

详细的数据流转发过程如下:

1. 从内网到外网方向

(1)     内网报文进入交换机。

(2)     从内网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,内网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从外网接口发送出去。

2. 从外网到内网方向

(1)     外网报文进入交换机。

(2)     从外网进入的报文被重定向到SecBlade IPS插卡处理。

(3)     SecBlade IPS插卡处理完毕后,外网报文重新返回给交换机。

(4)     交换机对从SecBlade IPS插卡返回的报文进行正常的转发处理,并从内网接口发送出去。

5.9.2  配置交换机和SecBlade IPS插卡组网

1. 配置交换机

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在交换机上进行以下配置:

·     配置内外网VLANVLAN虚接口IP地址。

·     配置MQC策略,将从内网口进来的流量,按IP奇偶分流,将流量重定向到IPS插卡处理;Ten-GigabitEthernet0/1Ten-GigabitEthernet0/2属于段0Ten-GigabitEthernet0/3Ten-GigabitEthernet0/4属于段1,奇数IPTen-GigabitEthernet0/1,偶数IPTen-GigabitEthernet0/3

·     配置内网口和外网口,分属两个VLAN,将上一步配置的MQC引流策略应用到接口上。

·     配置内联接口为Trunk模式,允许内外网接口所属VLAN的报文通过,禁止VLAN 1报文,防止广播风暴,配置packet-filter,仅允许目的MAC为交换机MAC的IP报文通过,防止二层广播。

交换机的具体配置步骤如下。

表5-32 交换机的配置

操作

命令

说明

进入系统视图

system-view

-

创建VLAN并进入VLAN视图

vlan { vlan-id1 [ to vlan-id2 ] | all }

必选

从VLAN视图退回到系统视图

quit

必选

创建高级ACL

acl number acl-number

创建高级ACL

创建内网接口规则

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

必选

退出高级ACL视图,进入系统视图

quit

必选

创建流分类

定义类并进入类视图

traffic classifier classifier-name [ operator { and | or } ]

必选

缺省为and,即类视图下各匹配规则之间的关系为逻辑与

·     and:报文只有匹配了所有的规则,设备才认为报文属于这个类

·     or:报文只要匹配了类中的任何一个规则,设备就认为报文属于这个类

定义匹配数据包的规则

if-match [ not ] match-criteria

必选

创建流行为

定义一个流行为并进入流行为视图

traffic behavior behavior-name

必选

配置流行为

redirect interface interface-type interface-number

必选

创建MQC策略

定义策略并进入策略视图

qos policy policy-name

必选

在策略中为类指定采用的流行为

classifier classifier-name behavior behavior-name

必选

配置内外网接口

进入接口视图

interface interface-type interface-number

必选

配置端口的链路类型为Access类型

port access vlan vlan-id

必选

应用MQC

qos apply policy policy-name { inbound | outbound }

必选

从接口接口视图退回系统视图

quit

必选

配置内联接口

进入内联口视图

interface interface-type interface-number

必选

配置端口的链路类型为Trunk类型

port link-type trunk

必选

允许指定的VLAN通过当前Trunk端口

port trunk permit vlan { vlan-list | all }

必选

禁止接口MAC地址学习

mac-address mac-learning disable

必选

关闭接口STP

undo stp enable

必选

配置packet-filter,仅允许目的MAC为交换机MAC的IP报文通过,防止二层广播

packet-filter acl-number outbound

必选

从内联口接口视图退回系统视图

quit

必选

保存当前配置到配置文件

save [ safely ]

必选

重启交换机

reboot

必选

 

2. 配置SecBlade IPS插卡

为了实现交换机和SecBlade IPS插卡的转发组网配置,需要在SecBlade IPS插卡上进行以下配置。SecBlade IPS插卡的主要配置都在Web网管上实现。

·     通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。

·     去使能ACFP Client。

·     新建安全域。

·     新建段,把相应的内部域和外部域加入各自的段。

表5-33 SecBlade IPS插卡的配置

操作

命令

说明

进入系统视图

system-view

-

进入管理接口视图

interface meth interface-number

可选

配置IP地址

ip address ip-address mask

可选

缺省情况下,管理口meth0/2的IP地址为192.168.1.1

开启管理接口

undo shutdown

必选

缺省情况下,没有开启管理接口

通过管理IP登录SecBlade IPS插卡Web管理界面

-

必选

缺省登录名为admin,密码为admin

去使能ACFP Client

单击“系统管理”> “网络管理” > “ACFP Client设置”,将ACFP Client去使能

必选

新建安全域

单击“系统管理” > “网络管理”> “安全区域”,单击<新建安全区域>按钮,输入安全区域名称,将接口加入安全域

必选

新建段

单击“系统管理 ”>“网络管理” > “段配置”,单击<新建段>按钮,选择段编号,内部域和外部域

必选

 

3. 交换机和SecBlade IPS插卡转发组网配置的显示

在完成上述配置后,在SecBlade IPS插卡的任意视图下执行display命令可以显示内部万兆以太网接口的转发情况,通过查看显示信息验证配置的效果。

表5-34 内部万兆以太网接口转发显示(SecBlade IPS插卡上)

操作

命令

显示万兆以太网接口运行状态和相关信息

display interface [ interface-name ]

 

5.9.3  交换机和SecBlade IPS插卡的转发组网配置案例

1. 组网需求

图5-57所示,交换机的主控板在5号槽位,交换板在2号槽位。为了对经过交换机的流量进行检测,在交换机的7号槽位上安装了1块SecBlade IPS插卡。交换机的GigabitEthernet2/0/1和GigabitEthernet2/0/2为内网接口,GigabitEthernet2/0/3为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:

·     交换机的GigabitEthernet2/0/1和GigabitEthernet2/0/2连接内网方向,GigabitEthernet2/0/3连接外网方向。

·     交换机的Ten-GigabitEthernet7/0/1~Ten-GigabitEthernet7/0/4为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/1~Ten-GigabitEthernet0/4相连接。

当流量到达GigabitEthernet2/0/1时,根据重定向策略将流量经内联口Ten-GigabitEthernet7/0/1或 Ten-GigabitEthernet7/0/3重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后,再经过内联接口Ten-GigabitEthernet7/0/2或Ten-GigabitEthernet7/0/4送回交换机,经交换机转发到GigabitEthernet2/0/3,反之亦然。

2. 组网图

图5-57 交换机和SecBlade IPS插卡的转发组网图

 

3. 配置步骤

(1)     配置交换机

# 配置内外网VLAN及虚接口IP地址

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] vlan 20

[Sysname-vlan20] vlan 30

[Sysname-vlan30] quit

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] ip address 10.0.0.1 255.255.255.0

[Sysname-Vlan-interface10] quit

[Sysname]interface vlan-interface 20

[Sysname-Vlan-interface20] ip address 20.0.0.1 255.255.255.0

[Sysname-Vlan-interface20] quit

[Sysname] interface vlan-interface 30

[Sysname-Vlan-interface30] ip address 30.0.0.1 255.255.255.0

[Sysname-Vlan-interface30] quit

# 配置ACL

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule 0 permit ip source 0.0.0.0 255.255.255.254

[Sysname-acl-adv-3001] quit

[Sysname] acl number 3002

[Sysname-acl-adv-3002] rule 0 permit ip source 0.0.0.1 255.255.255.254

[Sysname-acl-adv-3002] quit

[Sysname] acl number 3003

[Sysname--acl-adv-3003] rule 0 permit ip destination 0.0.0.0 255.255.255.254

[Sysname--acl-adv-3003] quit

[Sysname] acl number 3004

[Sysname-acl-adv-3004] rule 0 permit ip destination 0.0.0.1 255.255.255.254

[Sysname-acl-adv-3004] quit

[Sysname] acl number 4000

[Sysname-acl-adv-4000] rule 0 permit dest-mac 000f-e22e-94b3 ffff-ffff-ffff type 0800 ffff

[Sysname-acl-adv-4000] rule 5 deny

[Sysname-acl-adv-4000] quit

#创建流分类

[Sysname] traffic classifier s0

[Sysname-classifier-s0] if-match acl 3001

[Sysname-classifier-s0] quit

[Sysname] traffic classifier s1

[Sysname-classifier-s1] if-match acl 3002

[Sysname-classifier-s1] quit

[Sysname] traffic classifier d0

[Sysname-classifier-d0] if-match acl 3003

[Sysname-classifier-d0] quit

[Sysname] traffic classifier s0

[Sysname-classifier-d0] if-match acl 3004

[Sysname-classifier-d0] quit

# 创建流行为

[Sysname]traffic behavior ten701

[Sysname-behavior-ten701] redirect interface Ten-GigabitEthernet7/0/1

[Sysname-behavior-ten701] quit

[Sysname]traffic behavior ten702

[Sysname-behavior-ten702] redirect interface Ten-GigabitEthernet7/0/2

[Sysname-behavior-ten702] quit

[Sysname]traffic behavior ten703

[Sysname-behavior-ten703] redirect interface Ten-GigabitEthernet7/0/3

[Sysname-behavior-ten703] quit

[Sysname]traffic behavior ten704

[Sysname-behavior-ten704] redirect interface Ten-GigabitEthernet7/0/4

[Sysname-behavior-ten704] quit

# 创建MQC策略

[Sysname] qos policy gin

[Sysname-qospolicy-gin] classifier s0 behavior ten701

[Sysname-qospolicy-gin] classifier s1 behavior ten703

[Sysname-qospolicy-gin] quit

[Sysname] qos policy gout

[Sysname-qospolicy-gout] classifier s0 behavior ten702

[Sysname-qospolicy-gout] classifier s1 behavior ten704

[Sysname-qospolicy-gout] quit

# 配置内外网接口

[Sysname] interface GigabitEthernet 2/0/1

[Sysname-GigabitEthernet2/0/1] port access vlan 10

[Sysname-GigabitEthernet2/0/1] qos apply policy gin inbound

[Sysname-GigabitEthernet2/0/1] undo shutdown

[Sysname-GigabitEthernet2/0/1] quit

[Sysname] interface GigabitEthernet 2/0/2

[Sysname-GigabitEthernet2/0/2] port access vlan 20

[Sysname-GigabitEthernet2/0/2] qos apply policy gin inbound

[Sysname-GigabitEthernet2/0/2] undo shutdown

[Sysname-GigabitEthernet2/0/2] quit

[Sysname] interface GigabitEthernet 2/0/3

[Sysname-GigabitEthernet2/0/3] port access vlan 30

 [Sysname-GigabitEthernet2/0/3] qos apply policy gout inbound

[Sysname-GigabitEthernet2/0/3] undo shutdown

[Sysname-GigabitEthernet2/0/3] quit

# 配置内联口

[Sysname] interface Ten-GigabitEthernet 7/0/1

[Sysname-Ten-GigabitEthernet7/0/1] port link-type trunk

[Sysname-Ten-GigabitEthernet7/0/1] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet7/0/1] port trunk permit vlan 10 20 30

[Sysname-Ten-GigabitEthernet7/0/1] packet-filter 4000 outbound

[Sysname-Ten-GigabitEthernet7/0/1] mac-address mac-learning disable

[Sysname-Ten-GigabitEthernet7/0/1] stp diasble

[Sysname-Ten-GigabitEthernet7/0/1] undo shutdown

[Sysname-Ten-GigabitEthernet7/0/1] quit

[Sysname] interface Ten-GigabitEthernet 7/0/2

[Sysname-Ten-GigabitEthernet7/0/2] port link-type trunk

[Sysname-Ten-GigabitEthernet7/0/2] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet7/0/2] port trunk permit vlan 10 20 30

[Sysname-Ten-GigabitEthernet7/0/2] packet-filter 4000 outbound

[Sysname-Ten-GigabitEthernet7/0/2] mac-address mac-learning disable

[Sysname-Ten-GigabitEthernet7/0/2] stp diasble

[Sysname-Ten-GigabitEthernet7/0/2] undo shutdown

[Sysname-Ten-GigabitEthernet7/0/2] quit

[Sysname] interface Ten-GigabitEthernet 7/0/3

[Sysname-Ten-GigabitEthernet7/0/3] port link-type trunk

[Sysname-Ten-GigabitEthernet7/0/3] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet7/0/3] port trunk permit vlan 10 20 30

[Sysname-Ten-GigabitEthernet7/0/3] packet-filter 4000 outbound

[Sysname-Ten-GigabitEthernet7/0/3] mac-address mac-learning disable

[Sysname-Ten-GigabitEthernet7/0/3] stp diasble

[Sysname-Ten-GigabitEthernet7/0/3] undo shutdown

[Sysname-Ten-GigabitEthernet7/0/3] quit

[Sysname] interface Ten-GigabitEthernet 7/0/4

[Sysname-Ten-GigabitEthernet7/0/4] port link-type trunk

[Sysname-Ten-GigabitEthernet7/0/4] undo port trunk permit vlan 1

[Sysname-Ten-GigabitEthernet7/0/4] port trunk permit vlan 10 20 30

[Sysname-Ten-GigabitEthernet7/0/4] packet-filter 4000 outbound

[Sysname-Ten-GigabitEthernet7/0/4] mac-address mac-learning disable

[Sysname-Ten-GigabitEthernet7/0/4] stp diasble

[Sysname-Ten-GigabitEthernet7/0/4] undo shutdown

[Sysname-Ten-GigabitEthernet7/0/4] quit

# 保存配置。

<Sysname> save

(2)     配置SecBlade IPS插卡

# 配置管理口IP,并开启管理口(可选)。

<Sysname> system-view

[Sysname] interface meth 0/2

[Sysname-if] ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在WEB上修改

[Sysname-if] undo shutdown

[Sysname-if] quit

# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。

图5-58 SecBlade IPS插卡登录界面

 

·     关闭ACFP Client

图5-59 关闭ACFP Client

 

·     配置安全区域

将接口分别加入安全区域。在本例中,应将xeth0/1加入内部安全区域“Inisde1”,xeth0/2加入外部安全区域“Outside1”,xeth0/3加入内部安全区域“Inisde2”,xeth0/4加入外部安全区域“Outside2”,如图5-60所示:

图5-60 新建安全区域

 

·     配置段

图5-61 新建段

 

图5-62 配置段

 

 


6 二代IPS插卡与一代IPS插卡之间的差异

·     S7500ES10500的二代IPS插卡可以共用,丝印均为LSU1IPSBEA0,该类型插卡有4个内联万兆口。

·     S7500E二代IPS插卡支持自动分流和手动MQC引流方式,不支持ACFP引流。

·     二代IPS插卡使用自动分流和ACFP引流时,和一代IPS插卡的配置方法一致,工作原理也一样,只用到了4个万兆内联口的第一个。

·     S10500二代IPS插卡支持手动MQC引流方式,不支持自动分流和ACFP引流。使用手动MQC引流时,IPS插卡必选去使能OAA,即使用非OAA方式,该方式下,IPS插卡的4个万兆口是接口对的关系,xeth0/1和xeth0/2是一对,xeth0/3和xeth0/4是一对;接口对是一口进一口出的关系,在内外网引流策略时,需要注意将内外网流量分别重定向到不同的万兆内联口,而一代IPS插卡内外网流量均重定向到第一个万兆内联口。这一点是和一代IPS插卡不一样的地方,配置时需要注意。

·     S12500二代IPS插卡,只有2个内联万兆口,支持ACFP和手动MQC引流方式,不支持自动分流。

·     S7500E和S12500使用手动MQC引流方式时的配置,请参考本文中5.9  节S10500 MQC的配置。

 

 


7 附录——ACFP

7.1  概述

数据通信的基础网络主要由路由器和交换机组成,由这些设备完成数据报文的转发。随着数据网络的逐步发展,数据网络上运行的业务越来越多,但是,传统的路由器、交换机并不适合处理很多新兴业务,因此产生了一些专门处理某些业务的产品,如防火墙、IDS(Intrusion Detection System,入侵检测系统)、IPS(Intrusion Prevention System,入侵抵御系统)等安全产品及语音、无线等产品。

为了更好地支撑新兴业务,传统网络设备(这里指路由器、交换机)生产厂家纷纷推出多种专用业务板(卡),或者提供一套软硬件接口,允许其他厂家提供板(卡)或者设备的硬件或软件,插入或连接到传统网络设备上,协作处理这些业务,从而能发挥各厂家在各自领域的优势,更有效地支撑新兴业务,同时减少用户投资。OAA(Open Application Architecture,开放应用架构)就是基于该思想而提出的开放业务架构,它能够让众多不同厂商生产的设备和软件集成在一起,像一台设备那样工作,为客户提供一体化的解决方案。

7.1.1  ACFP简介

ACFP(Application Control Forwarding Protocol,应用控制转发协议)是基于OAA架构设计的应用控制转发协议,支持ACFP联动和ACFP自动分流两种工作模式。路由器或交换机收到IP报文后,通过匹配ACFP联动策略规则或者ACFP自动分流组,将报文镜像或重定向给业务板,由业务板上的软件对报文做监控、检测等业务处理。

图7-1 ACFP体系结构示意图

 

图7-1所示,ACFP体系可以分成三部分:

·     路由交换部件:是路由器和交换机的主体部分,这部分有着完整的路由器或交换机的功能,也是用户管理控制的核心,此部分称为ACFP Server。

·     独立业务部件:是可以开放给第三方合作开发的主体,主要用来提供各种独特的业务服务功能,此部分称为ACFP Client。

·     接口连接部件:是路由交换部件和独立业务部件的接口连接体,通过这个部件将两个不同厂商的设备连接在一起,以形成一个整体。

7.1.2  ACFP联动

ACFP联动就是指独立业务部件可以向路由交换部件发指令,改变路由交换部件的功能。联动功能主要是通过SNMP协议实现的:独立业务部件仿照网管系统的功能,向路由交换部件发送各种SNMP命令;而路由交换部件上支持SNMP Agent功能,可以执行发送的这些命令。在这个过程中,联系双方的关键就是联动的MIB。

ACFP联动提供了一套机制,使得ACFP Client能够控制ACFP Server上的流量,包括:

·     将ACFP Server上的流量镜像、重定向到ACFP Client。

·     允许、拒绝ACFP Server上的流量通过。

·     对ACFP Server上的流量进行限速。

·     在报文中携带上下文ID,通过上下文ID使得ACFP Server和ACFP Client能互通报文上下文环境。具体过程如下:ACFP Server中维护一个上下文表,通过上下文ID查询上下文表,每个上下文ID对应一个ACFP联动策略(联动策略的内容包括报文源接口、报文目的接口、联动规则等信息)。当ACFP Server收到的报文由于匹配某个联动规则而被重定向或镜像到ACFP Client时,报文中会携带该联动规则所在联动策略对应的上下文ID;当被重定向的报文从ACFP Client返回时,报文中也会携带该上下文ID,通过上下文ID,ACFP Server就知道该报文是重定向返回的报文,然后进行正常的转发处理。

为便于ACFP Client更好地控制流量,联动内容中设置联动策略与联动规则两级组织,基于策略管理匹配规则的流量,达到一种弹性管理的目的。

为有效支撑Client/Server这种联动模式,细粒度、弹性地设置各种规则,联动内容分成四块组织:ACFP Server信息、ACFP Client信息、ACFP联动策略、ACFP联动规则。这四块内容存储在ACFP Server中。

由于一个ACFP Server可以支持多个ACFP Client,因此,ACFP Client信息、ACFP联动策略、ACFP联动规则都是以表的形式组织的。

ACFP Server信息由ACFP Server自己生成,ACFP Client信息、ACFP联动策略、ACFP联动规则都是由ACFP Client通过联动MIB或联动协议发送到ACFP Server上生成的。

7.1.3  ACFP自动分流

ACFP自动分流通过在中高端交换机上插入一个或多个IPS业务板,并配合以自动配置下发,使之在保持较高性能的前提下,实现IPS(Instruction Prevention System,入侵防御系统)设备的功能。当处于分流状态时,交换机只进行流量的分发,其自身的汇聚转发等功能都不再使用。

ACFP自动分流不需要复杂的ACFP联动策略,只通过ACFP Client实时监控交换机上的接口并获取最新的接口信息,以便在业务板上进行配置将这些接口划分到不同的安全域,并配置段以及在段上应用各种安全策略。ACFP自动分流功能的配置也相对简单,只要在业务板上配置ACFP Client,并使能自动分流;同时,在交换机上将多个业务板以及接口对(即一个内部接口和一个外部接口的固定组合)划分到不同的分流组中,并开启分流功能即可。在自动分流的状态下,交换机根据接收网络流量的接口找到匹配的分流组,基于源或目的IP地址将同一分流组的流量均匀的分给组中的业务板进行处理,然后将允许通过的流量通过接口对中的另一个接口转发出去。这种分流方式的处理性能较高,可以充分利用每个业务板,适用于需要处理较大流量的组网。

7.2  配置ACFP联动

7.2.1  配置概述

1. ACFP Server端的配置

·     使能ACFP Server功能。

·     配置SNMP Agent功能。

·     将内联接口加入到某VLAN中,并配置相应的VLAN虚接口的IP地址,以及配置内联接口工作在扩展连接模式。

2. ACFP Client端的配置

ACFP Client端配置的推荐步骤如表7-1所示。

表7-1 ACFP Client端配置步骤

步骤

配置任务

说明

1

7.2.2  配置ACFP Client

必选

配置设备的ACFP Client功能

2

7.2.3  配置ACFP联动策略

必选

在ACFP Client上配置联动策略,及策略中的规则

提示

当新建一个ACFP联动策略时,系统会从1开始自动分配一个最小且未被使用的整数作为该ACFP联动策略的索引

3

7.2.4  删除无效联动策略

可选

当ACFP Server上的接口发生变化时,需要通过手工同步来删除ACFP Server和ACFP Client上无效的ACFP联动策略

 

7.2.2  配置ACFP Client

在导航栏中选择“系统管理 > 网络管理 > ACFP Client配置”,进入如图7-2所示的页面。

图7-2 ACFP Client配置

 

ACFP Client的详细配置如表7-2所示。

表7-2 ACFP Client的详细配置

配置项

说明

使能ACFP Client

设置是否使能ACFP Client功能

缺省情况下,ACFP Client功能处于使能状态

Client ID

ACFP Client功能处于使能状态时,显示设备的Client ID

Server SNMP版本

设置ACFP Client的SNMP版本,包括SNMP v2c、SNMP v3

团体名

当Server SNMP版本选择“SNMP v2c”时,设置ACFP Client的SNMP团体名

Server安全用户名

当Server SNMP版本选择“SNMP v3”时,设置ACFP Client的SNMP安全用户名,需要与服务器端SNMP的相关配置一致

Server认证密码

当Server SNMP版本选择“SNMP v3”时,设置ACFP Client的认证密码和加密密码

用户可以选择三种安全等级:不认证不加密、认证不加密、认证加密,必须与服务器端SNMP的相关配置一致

提示

设备支持MD5认证模式和DES加密模式,如果要进行认证和加密,则服务器端SNMP的配置必须与此一致

Server加密密码

Server IP地址

设置ACFP Server的IP地址

Client IP地址

设置ACFP Client的IP地址和子网掩码,即ACFP Client上内联接口的IP地址和子网掩码

子网掩码

VLAN ID

设置ACFP Client上内联接口所属的VLAN

自动分流

设置使能或禁止自动分流

当要实现ACFP联动时,请禁止自动分流;当要实现自动分流时,请使能自动分流

 

完成ACFP Client的配置后,单击<连通性测试>按钮可检测ACFP Client和ACFP Server之间的连通性。

说明

用户可以在设置ACFP Client的参数后,先单击<连通性测试>按钮,用设置的参数进行连通性测试。在确认连通性测试成功后,再单击<确定>按钮提交配置。

 

可点击返回“表7-1 ACFP Client端配置步骤”。

7.2.3  配置ACFP联动策略

在导航栏中选择“系统管理 > 网络管理 > ACFP联动策略”,进入如图7-3所示的页面。单击<新建联动策略>按钮,进入新建联动策略的配置页面,如图7-4所示。

图7-3 ACFP联动策略

 

窍门

·     在联动策略列表中单击某联动策略对应的icon_cpy图标,弹出确认是否要复制该联动策略下的所有联动规则的对话框,选择<确定>或<取消>都将进入新建一个联动策略的配置页面。如果选择的是<确定>,则新页面上的配置内容将复制相应联动策略的所有内容,包括其联动规则;如果选择的是<取消>,则新页面上的配置内容将复制相应联动策略中除联动规则外的所有内容。

·     在联动策略列表中单击某联动策略对应的icon_dtl图标,弹出查看规则的页面,可以查看该联动策略下的所有联动规则的详细信息。

 

图7-4 新建联动策略

 

ACFP联动策略的详细配置如表7-3所示。

表7-3 ACFP联动策略的详细配置

配置项

说明

策略描述

设置ACFP联动策略的描述信息

源接口

设置报文进入ACFP Server的接口

单击<多选>按钮,可以在弹出的页面中为该联动策指定多个源接口

目的接口

设置报文被ACFP Server正常转发的出接口

内联接口

显示ACFP Server连接该ACFP Client的内联接口

使能状态

设置ACFP联动策略是否使能

优先级

设置ACFP联动策略的优先级,数字越大优先级越高,0表示优先级不生效

规则配置

设置ACFP联动策略中的规则

单击<新建>按钮,弹出如图7-5所示的页面,可以新建一条ACFP联动规则。ACFP联动规则的详细配置如表7-4所示

 

图7-5 新建规则

 

表7-4 ACFP联动规则的详细配置

配置项

说明

匹配类型

设置ACFP联动规则是匹配所有报文或者匹配指定报文

当选择匹配类型为“指定报文”时,可以显示和配置下面的配置项

协议

设置报文匹配的协议类型

第一个下拉框可以选择要匹配的是IPv4报文、IPv6报文或全部报文(即IPv4和IPv6报文);第二个下拉框可以选择一个具体的网络协议

·     当两个下拉框都选择“全部”时,等同于匹配类型选择“所有报文”

·     当第二个下拉框选择“其它协议号”时,需要手工输入一个协议号

·     当第一个下拉框选择“IPv4”时,可以配置源/目的IP地址和源/目的IP地址掩码;当第一个下拉框选择“IPv6”时,可以配置源/目的IPv6地址和源/目的IPv6地址前缀

源IP地址

当协议选择“IPv4”时,设置报文匹配的源IPv4地址和掩码。掩码可以配置为前缀式掩码(如:255.255.0.0)、掩码长度(如:24)或非前缀式掩码(如:0.128.0.255)

源IP地址掩码

目的IP地址

当协议选择“IPv4”时,设置报文匹配的目的IPv4地址和掩码。掩码可以配置为前缀式掩码(如:255.255.0.0)、掩码长度(如:24)或非前缀式掩码(如:0.128.0.255)

目的IP地址掩码

源IPv6地址

当协议选择“IPv6”时,设置报文匹配的源IPv6地址和前缀长度

源IPv6地址前缀

目的IPv6地址

当协议选择“IPv6”时,设置报文匹配的目的IPv6地址和前缀长度

目的IPv6地址前缀

VLAN范围

设置报文匹配的VLAN范围

源端口

当协议选择“TCP”或“UDP”时,设置报文匹配的源端口信息

提示

当源端口设置为“不等于”某数值时,该ACFP联动规则在ACFP Server侧是否生效取决于ACFP Server侧的硬件实现

目的端口

当协议选择“TCP”或“UDP”时,设置报文匹配的目的端口信息

提示

当目的端口设置为“不等于”某数值时,该ACFP联动规则在ACFP Server侧是否生效取决于ACFP Server侧的硬件实现

源MAC地址

设置报文匹配的源MAC地址

目的MAC地址

设置报文匹配的目的MAC地址

 

可点击返回“表7-1 ACFP Client端配置步骤”。

7.2.4  删除无效联动策略

在导航栏中选择“系统管理 > 网络管理 > ACFP联动策略”,进入如图7-3所示的页面。单击<手工同步>按钮,即可删除ACFP Server和ACFP Client上的无效ACFP联动策略。

可点击返回“表7-1 ACFP Client端配置步骤”。

7.3  配置ACFP自动分流

1. 交换机上的配置

·     使能ACSEI Server功能。

·     使能ACFP Server功能。

·     配置SNMP Agent功能。

·     配置VLAN(建议使用VLAN 4094)虚接口及其IP地址作为ACFP Server的IP地址。

·     配置交换机与业务板相连的内联接口,使之工作在正常连接模式。

·     配置分流组,开启分流功能。

2. 业务板上的配置

配置ACFP Client,其中SNMP Client、ACFP Server等参数的设置需要与交换机上相关参数的设置一致,并且要使能自动分流功能,详细配置请参见“7.2.2  配置ACFP Client”。需要注意的是,如果业务板上配置有ACFP联动策略,请手动将其删除。

完成上述配置后,IPS业务板可以获取到交换机上的接口信息。通过在IPS业务板上配置安全区域、段,并在段上应用各种安全策略(如URL过滤策略、防病毒策略等),即可实现对从交换机上分流来的流量进行安全检测和控制。

7.4  ACFP典型配置举例

7.4.1  ACFP联动典型配置举例

1. 组网需求

·     公司企业网通过Device B(ACFP Server)实现公司内部与Internet的互连。

·     Device A(ACFP Client)与Device B连接,通过配置ACFP联动,使Device A能够检测和控制Device B上的流量。

图7-6 ACFP联动配置组网图

 

2. 配置步骤

(1)     配置ACFP Server

在ACFP Server上需进行如下配置(具体配置略):

·     使能ACFP Server功能。

·     配置VLAN 100的VLAN虚接口,并配置其IP地址为“192.168.1.1”。

·     将内联接口加入到VLAN 100,并配置内联接口工作在扩展连接模式。

·     配置SNMP版本为“v3”;配置SNMP组(设置读写视图);配置SNMP用户“v3user”,并配置其安全等级为“不认证不加密”。

(2)     配置ACFP Client

# 配置ACFP Client。

·     在导航栏中选择“系统管理 >网络管理 > ACFP Client配置”,进行如下配置,如图7-7所示。

图7-7 ACFP Client配置

 

·     输入用户名为“v3user”。

·     输入Server IP地址为“192.168.1.1”。

·     输入Client IP地址“192.168.1.2”。

·     输入子网掩码为“24”。

·     输入VLAN ID为“100”。

·     单击<确定>按钮完成操作。

# 测试连通性。

·     在ACFP Client的配置页面单击<连通性测试>按钮。

·     提示连通性测试成功。

# 新建内部安全区域。

·     在导航栏中选择“系统管理 > 网络管理 > 安全区域”,单击<新建安全区域>按钮,进行如下配置,如图7-8所示。

图7-8 新建安全区域

 

·     输入名称为“zone1”。

·     添加接口GigabitEthernet2/0/1。

·     单击<确定>按钮完成操作。

# 新建外部安全区域。

·     单击<新建安全区域>按钮。

·     输入名称为“zone2”。

·     添加接口GigabitEthernet2/0/2。

·     单击<确定>按钮完成操作。

# 新建段0。

·     在导航栏中选择“系统管理 > 网络管理 > 段配置”,单击<新建段>按钮,进行如下配置,如图7-9所示。

图7-9 新建段

 

·     选择段编号为“0”。

·     选择内部域为“zone1”。

·     选择外部域为“zone2”。

·     单击<确定>按钮完成操作。

# 配置内部域的ACFP联动策略和联动规则。

·     在导航栏中选择“系统管理 > 网络管理 > ACFP联动策略”,单击<新建联动策略>按钮,进行如下配置。

·     输入策略描述为“Company ACFP policy1”。

·     选择源接口为“GigabitEthernet2/0/1”。

·     选择使能状态为“使能”。

·     选择优先级为“0”。

·     在“联动规则”中单击<新建>按钮,在弹出的新建规则页面进行如下配置,如图7-10所示。

图7-10 新建规则

 

·     选择匹配类型为“所有报文”。

·     单击<确定>按钮完成设置。

·     单击<取消>按钮关闭新建规则的页面。

·     上述配置内容设置后的新建联动策略页面如图7-11所示,单击<确定>按钮完成操作。

图7-11 新建联动策略

 

# 配置外部域的ACFP联动策略和联动规则。

·     单击<新建联动策略>按钮。

·     输入策略描述为“Company ACFP policy2”。

·     选择源接口为“GigabitEthernet2/0/2”。

·     选择使能状态为“使能”。

·     选择优先级为“0”。

·     在“联动规则”中单击<新建>按钮,在弹出的新建规则页面选择匹配类型为“所有报文”。

·     单击<确定>按钮完成设置。

·     单击<取消>按钮关闭新建规则的页面。

·     在新建联动策略页面单击<确定>按钮完成操作。

完成上述配置后,根据需要在段0上应用安全策略(如URL过滤策略、防病毒策略等),即可对Device B上的流量进行相应的检测和控制。

7.4.2  ACFP自动分流典型配置举例

1. 组网需求

内部网络通过GigabitEthernet2/0/1接口与集成了两个IPS业务板的交换机Switch相连,通过接口GigabitEthernet2/0/2接口连接Internet。配置ACFP自动分流功能,使内部网络和外部Internet之间的流量能够均匀的分给两个IPS业务板进行安全检测和控制。

图7-12 ACFP自动分流配置组网图

 

2. 配置步骤

(1)     配置Switch

# 使能ACSEI Server和ACFP Server功能。(略)

# 配置内联接口工作在正常连接模式;配置VLAN 4094;配置Vlan-interface4094,IP地址为192.168.1.1/24。(略)

# 使能SNMP Agent;配置SNMP版本为“v3”;配置SNMP组(设置读写视图);配置SNMP用户“v3user”,并配置其安全等级为“不认证不加密”。(略)

# 新建分流组。

·     在导航栏中选择“分流管理”,单击<新建>按钮,进行如下配置,如图7-13所示。

图7-13 新建分流组

 

·     输入组号为“1”。

·     输入描述为“Group_TEST”。

·     在可选业务板列表框中选中“3”号和“4”号槽位,单击“<<”按钮。

·     在可选接口对列表框中选中“GigabitEthernet2/0/1-GigabitEthernet2/0/2”,单击“<<”按钮。

·     单击<确定>按钮完成操作。

# 开启分流功能。

·     在“分流功能”中进行如下配置,如图7-14所示。

图7-14 分流管理显示页面

 

·     选中“开启分流功能”前的复选框。

·     单击<确定>按钮完成操作。

(2)     配置IPS业务板

说明

两个IPS业务板上的配置相似,不同的是需要为两个IPS业务板指定不同的ACFP Client IP地址。此处仅以一个IPS业务板的配置为例进行介绍。

 

# 配置ACFP Client。

·     在导航栏中选择“系统管理 >网络管理 > ACFP Client配置”,进行如下配置,如图7-7所示。

图7-15 ACFP Client配置

 

·     输入用户名为“v3user”。

·     输入Server IP地址为“192.168.1.1”。

·     输入Client IP地址“192.168.1.2”。

·     输入子网掩码为“24”。

·     输入VLAN ID为“4094”。

·     选中自动分流“使能”前的单选按钮。

·     单击<确定>按钮完成操作。

# 测试连通性。

·     在ACFP Client的配置页面单击<连通性测试>按钮。

·     提示连通性测试成功。

# 新建内部安全区域。

·     在导航栏中选择“系统管理 > 网络管理 > 安全区域”,单击<新建安全区域>按钮,进行如下配置,如图7-16所示。

图7-16 新建安全区域

 

·     输入名称为“zone1”。

·     添加接口GigabitEthernet2/0/1。

·     单击<确定>按钮完成操作。

# 新建外部安全区域。

·     单击<新建安全区域>按钮。

·     输入名称为“zone2”。

·     添加接口GigabitEthernet2/0/2。

·     单击<确定>按钮完成操作。

# 新建段0。

·     在导航栏中选择“系统管理 > 网络管理 > 段配置”,单击<新建段>按钮,进行如下配置,如图7-17所示。

图7-17 新建段

 

·     选择段编号为“0”。

·     选择内部域为“zone1”。

·     选择外部域为“zone2”。

·     单击<确定>按钮完成操作。

完成上述配置后,根据需要在段0上应用安全策略(如URL过滤策略、防病毒策略等),即可对Switch分流到IPS业务板上的流量进行相应的检测和控制。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们