- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-串联版本旁路镜像部署仅检测不清洗配置举例
本章节下载: 03-串联版本旁路镜像部署仅检测不清洗配置举例 (743.22 KB)
H3C流量清洗系统支持多种部署方式,以适应不同场景下的流量清洗需求,概括为串联部署模式和旁路部署模式。
本章主要介绍串联模式下进行旁路镜像部署,仅检测攻击。
串联版本旁路镜像部署时部署在出口设备端口镜像组中,将网络出口设备进出流量镜像一份到AFC中,配置AFC防御策略进行攻击检测。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、路由、端口镜像特性。
H3C异常流量清洗系统部署包括AFC设备及交换机的基本配置,采用命令行配置。异常流量检测设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗设备串联版本旁路镜像部署仅检测不清洗配置为例。
· 单通道设备
对于单通道设备,如AFC 2100,将AFC设备通道输入接口接入到交换设备镜像组的监控口,通道输出口不接入网络。
· 多通道设备
对于多路设备,如AFC 2020,可以只使用一个通道接镜像设备的监控口,也可以使用多个通道,将不同的通道输入口接入到对应多个网络的镜像设备的监控口。
· 进行AFC串联版本旁路镜像部署需要对端设备具有端口镜像的功能;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
H3C SecPath AFC
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501
部署方式:串联防护
通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。
· H3C SecPath AFC2000系列 安装指导手册
· H3C SecPath AFC2000系列 配置指导手册
本章介绍AFC串联部署的设备为单通道时如何进行配置操作。
串联版本旁路镜像部署模式应用的场景为项目前期帮助客户检验AFC设备是否能够满足对异常流量的检测,在不改变现有网络拓扑的情况,将AFC旁挂载出口网络设备上。
本配置适用于H3C SecPath AFC串联设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.3.21的流量的检测,将AFC串联设备旁挂在出口防火墙上,在防火墙上做端口镜像,AFC通道输入口接镜像组的监控口,AFC通道输出口不接线,AFC对接收的混合流量进行检测。组网如图1所示。
图5-1 AFC串联版本旁路镜像部署仅检测不清洗配置组网图
具体实现如下:
· 接口连接:AFC通道输入口Slot0/0接出口设备的镜像组监控口。
· 主机流量检测:AFC上配置防护范围及防护主机策略,通过策略对实时对主机流量进行检测。
表5-1 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
Slot0/0 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Slot0/1 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Eth0 |
· AFC管理口 |
183.1.0.24/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署单通道模式配置,可按照如下思路进行配置:
· 端口镜像:配置出口设备的端口镜像组,将出口设备的上联口作为镜像口,未使用接口作为监控口;
· AFC配置:AFC通道输入口接上层设备的镜像组监控口,设置防护范围及防护主机,启用全局防护参数。
要进行串联组网部署,首先要确保AFC设备部署方式已经切换为串联模式。
通过SSH配置视图,切换AFC部署模式:
#切换【AFC】工作模式为:inline
> systools bootrom inline
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
默认串联版本出厂已经为串联模式,无需修改。当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 0 Slot0/0 Slot0/1
modified the startup script with channel 0 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
默认串联版本,默认已经配置通道口,且为模块口,插光纤模块则为光口,插电口模块则为电口,无需修改或新建通道口。
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态。
图5-2 查看AFC通道口
默认串联版本,通道口有默认IP,在不与网络IP冲突的情况下不需要修改。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图5-3 配置AFC防护范围及回注参数
图5-4 配置AFC牵引主机IP
(1) 通过外网对防护主机进行SYN攻击
图5-5 AFC上出现被防护主机攻击流量
图5-6 数据分析中出现被攻击主机的攻击统计信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
