- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-串联部署单机单通道及多通道配置举例
本章节下载: 04-串联部署单机单通道及多通道配置举例 (750.24 KB)
H3C流量清洗系统支持多种部署方式,以适应不同场景下的流量清洗需求,概括为串联部署模式和旁路部署模式。
本章主要介绍串联模式下单机部署及单机多路部署,针对旁路部署请查考对应文档。
串联部署是以透明模式进行组网,异常流量清洗设备(简称AFC)串联接入到受保护网络的出口,以便在攻击流量到达服务器之前将攻击流量过滤,放行正常流量。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、链路聚合特性。
H3C异常流量清洗系统部署包括AFC设备及交换机的基本配置,采用命令行配置。异常流量检测设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗设备单台部署流量清洗为例。
· 单通道设备
对于单通道设备,如AFC 2100,将AFC设备通道输入接口接入到上层网络设备,将AFC设备的通道输出口接入到下层网络设备上,实现AFC对进出网络的流量进行清洗过滤。
· 多通道设备
对于多路设备,如AFC 2020,需要在上下层交换机上做链路聚合配置后,将AFC多通道的输入接口插入上层交换机的聚合组,将AFC多通道的输出接口插入下层交换机的聚合组。
· 进行AFC串联部署的上下层交换机需要满足支持端口聚合功能;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
H3C SecPath AFC
:
当前AFC 2100为10G单通道设备。其他型号均为多通道设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501
部署方式:串联防护
通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。
· H3C SecPath AFC2000系列 安装指导手册
· H3C SecPath AFC2000系列 配置指导手册
本章介绍AFC串联部署的设备为单通道时如何进行配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署。
本配置适用于H3C SecPath AFC串联设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,将AFC设备串联到客户网络中,AFC通道输入口接上层交换机,AFC通道输出口接下层交换机,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图1所示。
图5-1 AFC串联部署单通道设备配置组网图
具体实现如下:
· 接口连接:AFC通道输入口Slot0/0接上层交换机,AFC通道输出口Slot0/1接下层交换机。
· 主机流量清洗:AFC上配置防护范围及防护主机策略,通过策略对实时对主机流量进行过滤检测。
表5-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机与AFC通道输入口连接接口; · 下层网络的网关地址 |
171.0.1.1/24 |
表5-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
Slot0/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Slot0/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Eth0 |
AFC管理口 |
183.1.0.24/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署单通道模式配置,可按照如下思路进行配置:
· 上下层交换机配置:配置上下层交换机与AFC相连的接口二层属性一致,比如同为VLAN 1711,或者同为Trunk模式,且允许VLAN 1711通过;
· AFC配置:修改AFC为串联模式,设置防护范围及防护主机,启用防护策略。
要进行串联组网部署,首先要确保AFC设备部署方式已经切换为串联模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:inline
> systools bootrom inline
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 0 Slot0/0 Slot0/1
modified the startup script with channel 0 devices
#应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态。
图5-2 查看AFC通道口
默认串联版本,通道口有默认IP,在不与网络IP冲突的情况下不需要修改。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“默认”,回注参数留空
图5-3 配置AFC防护范围
图5-4 配置AF保护主机IP
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[L3SW1]vlan 1711
[L3SW1]quit
# 配置VLAN IP
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[L3SW1-Vlan-interface1711]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[L2SW1]vlan 1711
# 将交换机连接主机的接口加入VLAN
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[L2SW1]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[L2SW1-GigabitEthernet1/0/17]port link-mode bridge
[L2SW1-GigabitEthernet1/0/17]port access vlan 1711
[L2SW1-GigabitEthernet1/0/17]quit
如果上下层交换机为不可管理交换机,则无需配置VLAN,确保没有环路即可。
(1) 验证客户端与服务端通信是否经过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来
图5-5 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包。
抓包分析,在【AFC】通道的输入口Slot0/0即eth12,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图5-6 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口Slot0/1即eth13,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图5-7 在AFC上抓包,查看输出口报文
本章介绍AFC串联部署的设备为多通道时如何进行配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署。
本配置适用于H3C SecPath AFC串联设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,将AFC设备串联到客户网络中,AFC所有通道输入口接上层交换机端口聚合组,AFC所有通道输出口接下层交换机端口聚合组,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图8所示。
图6-1 AFC串联部署多通道设备配置组网图
具体实现如下:
· 接口连接:AFC所有通道输入口接上层交换机端口聚合组aggregation 8,AFC所有通道输出口接下层交换机端口聚合组aggregation 8。
· 主机流量清洗:AFC上配置防护范围及防护主机策略,通过策略对实时对主机流量进行过滤检测。
表6-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机与AFC通道输入口连接接口; · 上下层交换机聚合组所属VLAN · 下层网络网关 |
171.0.1.1/24 |
表6-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
Slot0/0 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Slot0/1 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Slot0/2 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Slot0/3 |
· 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
Eth0 |
· AFC管理口 |
183.1.0.24/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署多通道模式配置,可按照如下思路进行配置:
· 上下层交换机配置:上下交换机分别建立端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
· AFC配置:修改AFC为串联模式,设置防护范围及防护主机,启用防护策略。将AFC所有通道输入口接入到上层交换机的聚合组,将AFC所有通道的输出口接入下层交换机的聚合组。
要进行串联组网部署,首先要确保AFC设备部署方式已经切换为串联模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:inline
> systools bootrom inline
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 0 Slot0/0 Slot0/1
modified the startup script with channel 0 devices
> config startup-script channel_device 1 Slot0/2 Slot0/3
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态。
图6-2 查看AFC通道口
默认串联版本,通道口有默认IP,在不与网络IP冲突的情况下不需要修改。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图6-3 配置AFC防护范围
图6-4 配置AFC保护主机IP
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[L3SW1]vlan 1711
[L3SW1]quit
# 配置VLAN IP
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[L3SW1-Vlan-interface1711]quit
# 创建端口聚合组
[L3SW1]int Bridge-Aggregation 8
[L3SW1-Bridge-Aggregation8]quit
# 将接口G1/0/10和G1/0/11加入到聚合组
[L3SW1]int GigabitEthernet 1/0/10
[L3SW1-GigabitEthernet1/0/10]port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/10]quit
[L3SW1]int GigabitEthernet 1/0/11
[L3SW1-GigabitEthernet1/0/11]port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[L3SW1]int Bridge-Aggregation 8
[L3SW1-Bridge-Aggregation8]port access vlan 1711
[L3SW1-Bridge-Aggregation8]quit
# 在此查看接口配置
[L3SW1]int GigabitEthernet 1/0/10
[L3SW1-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/10]quit
[L3SW1]int GigabitEthernet 1/0/11
[L3SW1-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
# 查看聚合组状态,默认为二层静态聚合
[L3SW1]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 查看负载方式,默认为目的/源IP负载分担
[L3SW1]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
创建VLAN 1711,作用为连接上层网络的上联口及保护主机所在VLAN。
# 创建VLAN
[L2SW1]vlan 1711
# 将交换机连接主机的接口加入VLAN
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
#聚合组配置
[L2SW1]interface Bridge-Aggregation 8
#将接口G1/0/10和G1/0/11加入到聚合组
[L2SW1]int GigabitEthernet 1/0/10
[L2SW1-GigabitEthernet1/0/10]port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/10]quit
[L2SW1]int GigabitEthernet 1/0/11
[L2SW1-GigabitEthernet1/0/11]port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/11]quit
#配置聚合组VLAN信息
[L2SW1]int Bridge-Aggregation 8
[L2SW1-Bridge-Aggregation8]port access vlan 1711
[L2SW1-Bridge-Aggregation8]quit
#在此查看接口配置
[L2SW1]int GigabitEthernet 1/0/10
[L2SW1-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/10]quit
[L2SW1]int GigabitEthernet 1/0/11
[L2SW1-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
#
return
#聚合状态查看
[L2SW1]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
#聚合负载方式查看
[L2SW1]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
要求上下层交换机必须支持端口聚合。
(1) 验证客户端与服务端通信是否经过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来。
图6-5 客户端ping服务器
(2) 在【AFC】上抓取客户端到服务器的ping包
抓包分析,在【AFC】通道的输入口Slot0/0即eth12,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包
图6-6 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口Slot0/1即eth13,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图6-7 在AFC上抓包,查看输出口报文
对于多通道设备,主机流量经过那个通道由上层设备负载方式来决定,此实例为客户端到服务器的Ping数据包经过通道0。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
