H3C SecPath AFC2000系列异常流量清洗系统典型配置案例集-5W104

05-串联部署双机主备及集群配置举例

1 特性简介

H3C流量清洗系统支持多种部署方式，以适应不同场景下的流量清洗需求，概括为串联部署模式和旁路部署模式。

本章主要介绍串联模式下双机主备和双机集群部署，其中串联集群的思想与双机集群一样，针对旁路部署请查考对应文档。

串联部署是以透明模式进行组网，异常流量清洗设备（简称AFC）串联接入到受保护网络的出口，以便在攻击流量到达服务器之前将攻击流量过滤，放行正常流量。

2 特性使用

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、链路聚合特性。

2.1 配置指南

H3C异常流量清洗系统部署包括AFC设备及交换机的基本配置，采用命令行配置。异常流量检测设备（AFC）的基本配置和业务相关配置，采用WEB界面配置。本配置以异常流量清洗设备单台部署流量清洗为例。

2.1.1 流量清洗业务配置指南

· 双机主备

要进行双机主备部署，只需要保证将AFC主/备设备的通道输入口接入上层交换机的相同VLAN，将AFC主/备设备的通道输出口接入下层交换机的相同VLAN，实现AFC对进出网络的流量进行清洗过滤。

· 双机集群

要进行双机集群部署，需要在上下层交换机上做链路聚合配置后，将AFC所有集群设备的输入接口插入上层交换机的聚合组，将AFC所有集群设备的输出接口插入下层交换机的聚合组。

2.2 注意事项

· 进行主备及集群部署的AFC设备硬件型号和软件版本需要保持一致；

· 进行AFC串联集群部署的上下层交换机需要满足支持端口聚合功能；

· 不同厂商不同型号的交换机或路由器，配置命令不同，请按照设备操作手册进行配置操作。

串联集群上下交换机端口聚合类型无限制，由交换机自身功能决定，支持静态聚合与动态聚合。建议使用静态聚合。

3 支持的设备和版本

3.1 支持的设备

H3C SecPath AFC

3.2 设备版本

3.2.1 H3C SecPath AFC

软件版本：H3C i-Ware Software, Version 1.10, ESS 6501

部署方式：串联防护

3.3 配置保存

通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。

4 相关资料

· H3C SecPath AFC2000系列安装指导手册

· H3C SecPath AFC2000系列配置指导手册

5 AFC串联部署双机主备典型配置举例

5.1 简介

本章介绍AFC串联部署如何进行双机主备配置操作。

5.2 使用限制

串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署，而双机主备部署是为了满足客户需求中主设备出现故障的情况，防护及网络不中断。

5.3 串联双机主备配置举例

5.3.1 适用产品和版本

本配置适用于H3C SecPath AFC串联设备。

软件版本：H3C i-Ware Software, Version 1.10, ESS 6501。

5.3.2 组网需求

为实现对攻击被保护IP 171.0.1.21的流量的清洗，将AFC设备串联到客户网络中，将AFC主/备设备的输入口接上层交换机，将AFC主/备设备的输出口接下层交换机，AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图1所示。

图5-1 AFC串联部署双机主备配置组网图

具体实现如下：

· 接口连接：AFC主/备设备的通道输入口M2/GE0接上层交换机VLAN 1711，AFC主/备设备通道输出口M2/GE1接下层交换机VLAN 1711。

· 主机流量清洗：AFC上配置防护范围及防护主机策略，通过策略实时对主机流量进行过滤检测。

表5-1 VLAN分配列表

VLAN ID	作用描述	IP地址
1711	· 核心交换机与AFC通道输入口连接接口； · 下层网络的网关地址 · 上下层网络所在VLAN ID，受保护主机所在VLAN	171.0.1.1/24

VLAN ID

作用描述

IP地址

1711

· 核心交换机与AFC通道输入口连接接口；

· 下层网络的网关地址

· 上下层网络所在VLAN ID，受保护主机所在VLAN

171.0.1.1/24

上下层交换机连接AFC主/备设备的接口VLAN号需要保持一致，否则会造成主备失败。

表5-2 AFC接口IP分配列表

接口	作用描述	IP地址
M2/GE0	· 主/备设备的通道输入口，接上层网络 · 串联模式下，无需配置，如果配置，需要与网络地址无冲突
M2/GE1	· 主/备设备的通道输出口，接下层网络 · 串联模式下，无需配置，如果配置，需要与网络地址无冲突
M2/GE2	· 主/备设备同步接口	主设备：10.10.10.1/24 备设备：10.10.10.2/24
Eth0	· AFC管理口	主设备：183.1.0.24/24 备设备：183.1.0.25/24

【AFC】接口名称，由具体设备型号而定，此处只做指导参考。

5.3.3 配置思路

要实现AFC串联部署主备配置，可按照如下思路进行配置：

· 上下层交换机配置：配置上下层交换机与AFC相连的接口二层属性一致，比如同为VLAN 1711，或者同为Trunk模式，且允许受保护主机VLAN通过；

· AFC配置：修改AFC为串联模式，设置防护范围及防护主机，启用防护策略。

5.3.4 配置注意事项

要进行串联组网部署，首先要确保AFC设备部署方式已经切换为串联模式。

通过SSH配置视图，切换AFC部署模式：

# 切换【AFC】工作模式为：inline

> systools bootrom inline

NOTE: the switching may need some time, do not interrupt to avoid severe damage

type 'SURE' to confirm switching the bootrom ... sure

switching bootrom, do not reboot or poweroff ... done

reboot is needed

当前【AFC】支持旁路与串联切换，切换命令为:systool boot bypass|inline，其中bypass表示切换为旁路，inline表示切换为串联。

5.3.5 配置步骤

1. 配置AFC

使用SSH方式登录AFC CLI配置视图，在AFC主/备设备上创建通道：

# 修改【AFC】通道

> config startup-script channel_device 1 M2/GE0 M2/GE1

modified the startup script with channel 1 devices

# 应用通道配置

> config startup-script channel_device apply

apply the channel device settings ? yes

applying ... succeed

applied the channel device settings

#配置AFC主/备设备接口

图5-2 查看AFC通道口

默认串联版本，通道口有默认IP，在不与网络IP冲突的情况下不需要修改。

(1) 【AFC】主设备配置

设置设备号，删除无关地址，或保证地址不会冲突。

进入【AFC】CLI命令行配置

# 设置主设备的设备号

> conf startup-script init_address 1

建议将Master 设备的所有接口IP的尾数为1,Backup设备的所有接口IP的尾数为2。

图5-3 设置AFC主设备同步口地址为10.10.10.1/24

保证Master设备与Backup设备同步口地址在一个网段。

填写AFC主设备集群管理，并点击下方的“保存”按钮，不是“开启”按钮。

图5-4 配置系统集群管理

集群同步设备：即“设备管理”页面预先指定的同步接口；

集群同步地址：即Master与Backup设备在“设备管理”页面预先指定的同步接口IP；

AFC主设备配置完集群管理时，填写集群同步地址后，点击的是保存，而不是开启。

(2) 【AFC】备设备配置

设置设备号，删除无关地址，或保证地址不会冲突

进入【AFC】CLI命令行配置

# 设置备设备的设备号

> conf startup-script init_address 2

建议将Master 设备的所有接口IP的尾数为1,Backup设备的所有接口IP的尾数为2。

图5-5 设置AFC备设备同步口地址为10.10.10.2/24

保证Master设备与Backup设备同步口地址在一个网段。

填写AFC备设备集群管理，并点击下方的“保存”按钮，不是“开启”按钮。

图5-6 配置系统集群管理

集群同步设备：即“设备管理”页面预先指定的同步接口；

集群同步地址：即Master与Backup设备在“设备管理”页面预先指定的同步接口IP；

AFC主设备配置完集群管理时，填写集群同步地址后，点击的是保存，而不是开启。

(3) 启用AFC主/备设备热备配置

勾选AFC主设备：热备启用主备模式、主激活模式、备用模式下断开网络接口、激活状态超时和备用状态超时。

这里需要注意，因为本文档组网举例中每台设备均只用了一对通道，所以可以不用勾选“任一链路异常则切换”。但是如果现网中做HA主备的两台设备使用了多对通道，就需要勾选此项，否则单个通道链路异常不会执行主备切换。

图5-7 AFC主设备热备配置

热备配置，只有“开启”按钮，如果要关闭，将热备配置中的选项取消，再次点击开启即可关闭热备。当前“集群管理”中的保存按钮仅对“系统集群管理”生效。

勾选AFC备设备：热备启用主备模式、备用模式下断开网络接口、激活状态超时和备用状态超时。

图5-8 AFC备设备热备配置

· 启用主备配置：表示此设备为主备部署

· 主激活模式：表示当前设备为Master设备

· 备用模式下断开网络接口：表示设备处于Backup模式时自动关闭业务口

· 激活状态超时：系统处于激活模式时，设定时间（秒）内，没有检测到有效的数据或者测试地址间的回应，则切换为备份模式，默认3秒

· 备用状态超时：系统处于备份模式时，系统在设定时间（秒）内，无其他系统处于激活状态，则本系统进入激活状态以检测链路是否恢复。默认30秒。

2. 配置核心交换机

创建1711， VLAN 1711对应171.0.1.0/24网段，作用为保证AFC主/备设备的通道输入口和输出口在相同的VLAN。

# 创建VLAN

[L3SW1]vlan 1711

[L3SW1]quit

# 配置VLAN IP

[L3SW1]interface Vlan-interface1711

[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0

[L3SW1-Vlan-interface1711]quit

# 将接口G1/0/10和G1/0/11加入到VLAN 1711

[L3SW1]int GigabitEthernet 1/0/10

[L3SW1-GigabitEthernet1/0/10]port access vlan 1711

[L3SW1-GigabitEthernet1/0/10]quit

[L3SW1]int GigabitEthernet 1/0/11

[L3SW1-GigabitEthernet1/0/11]port access vlan 1711

[L3SW1-GigabitEthernet1/0/11]quit

3. 配置下层交换机

创建VLAN 1711，作用为保证AFC主/备设备的通道输入口和输出口在相同的VLAN。

# 创建VLAN

[L2SW1]vlan 1711

# 将交换机连接主机的接口加入VLAN

[L2SW1]interface GigabitEthernet1/0/13

# 连接被保护主机

[L2SW1-GigabitEthernet1/0/13]port link-mode bridge

[L2SW1-GigabitEthernet1/0/13]port access vlan 1711

[L2SW1-GigabitEthernet1/0/13]quit

#将接口G1/0/10和G1/0/11加入到VLAN 1711

[L2SW1]int GigabitEthernet 1/0/10

[L2SW1-GigabitEthernet1/0/10]port access vlan 1711

[L2SW1-GigabitEthernet1/0/10]quit

[L2SW1]int GigabitEthernet 1/0/11

[L2SW1-GigabitEthernet1/0/11]port access vlan 1711

[L2SW1-GigabitEthernet1/0/11]quit

4. AFC添加防护范围及启用AFC主备开关

# 添加防护范围及回注方式

防护范围及回注方式，回注方式选择“默认”，回注参数留空。

图5-9 配置AFC防护范围

图5-10 配置AF保护主机IP

5.3.6 验证配置

(1) 验证【AFC】主设备和备设备接口状态

AFC主设备的业务接口为激活状态

图5-11 AFC主设备接口状态

AFC备设备的业务接口为关闭状态

图5-12 AFC备设备接口状态

(2) 验证客户端与服务端通信是否经过【AFC】

在客户端ping保护主机，查看【AFC】上主机状态，有ICMP报文过来

图5-13 客户端ping服务器

在【AFC】上抓取客户端到服务器的ping包

抓包分析，在【AFC】通道的输入口M2/GE0即eth12，可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。

图5-14 在AFC上抓包，查看输入口报文

抓包分析，在【AFC】通道的输出口M2/GE1即eth13，可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。

图5-15 在AFC上抓包，查看输出口报文

6 AFC串联部署双机集群典型配置举例

6.1 简介

本章介绍AFC串联部署如何进行双机集群配置操作。

6.2 使用限制

串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署，而双机集群部署是为了满足单台设备防护性能达不到客户防护流量需求时，进行防护能力扩容的一种方法。

6.3 串联双机集群配置举例

6.3.1 适用产品和版本

本配置适用于H3C SecPath AFC串联设备。

软件版本：H3C i-Ware Software, Version 1.10, ESS 6501。

6.3.2 组网需求

为实现对攻击被保护IP 171.0.1.21的流量的清洗，将AFC设备串联到客户网络中，AFC集群中设备的通道输入口接上层交换机端口聚合组，AFC集群中所有设备的通道输出口接下层交换机端口聚合组，AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图16所示。

图6-1 AFC串联部署多通道设备配置组网图

具体实现如下：

· 接口连接：AFC集群所有设备通道输入口接上层交换机端口聚合组aggregation 8，AFC集群设备所有通道输出口接下层交换机端口聚合组aggregation 8。

· 主机流量清洗：AFC上配置防护范围及防护主机策略，通过策略对实时对主机流量进行过滤检测。

表6-1 VLAN分配列表

VLAN ID	作用描述	IP地址
1711	· 核心交换机与AFC通道输入口连接接口； · 上下层交换机聚合组所属VLAN · 下层网络网关	171.0.1.1/24

VLAN ID

作用描述

IP地址

1711

· 核心交换机与AFC通道输入口连接接口；

· 上下层交换机聚合组所属VLAN

· 下层网络网关

171.0.1.1/24

表6-2 AFC接口IP分配列表

接口	作用描述	IP地址
M2/GE0	· 集群所有设备的通道输入口，接上层网络 · 串联模式下，无需配置，如果配置，需要与网络地址无冲突
M2/GE1	· 集群所有设备的通道输出口，接下层网络 · 串联模式下，无需配置，如果配置，需要与网络地址无冲突
M2/GE2	集群所有设备同步接口	设备1：10.10.10.1/24 设备2：10.10.10.2/24
Eth0	AFC管理口	设备1：183.1.0.24/24 设备2: 183.1.0.25/24

【AFC】接口名称，由具体设备型号而定，此处只做指导参考。

6.3.3 配置思路

要实现AFC串联部署集群配置，可按照如下思路进行配置：

· 上下层交换机配置：上下交换机分别建立端口聚合组，且聚合组配置属性相同，如VLAN信息均属于VLAN 1711；

· AFC配置：修改AFC为串联模式，设置防护范围及防护主机，启用防护策略。将AFC集群所有设备通道输入口接入到上层交换机的聚合组，将AFC集群所有设备通道的输出口接入下层交换机的聚合组。

6.3.4 配置注意事项

要进行串联组网部署，首先要确保AFC设备部署方式已经切换为串联模式，将所有集群设备工作模式均切换为串联防护。