• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath AFC2000系列 异常流量清洗系统 典型配置案例集-5W104

10-旁路单机多通道部署BGP三层注入配置举例

本章节下载 10-旁路单机多通道部署BGP三层注入配置举例  (880.29 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/YCLLQX/AFC20X0[2X00]/Configure/Typical_Configuration_Example/H3C_AFC2000_CE-5W104/202007/1315189_30005_0.htm

10-旁路单机多通道部署BGP三层注入配置举例


1 特性简介

H3C流量清洗系统一般旁挂于核心网络设备上,在不影响正常业务的同时,对下层网中出现的DDoS攻击流量进行过滤,实现对下层网和大客户网络业务的保护。

H3C流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)二部分组成。

异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量,实时进行攻击检测及异常流量分析。

异常流量清洗设备通过发布明细路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户。对于发布明细路由方式,一种是通过手动发送,一种是与异常流量检测设备联动。

异常流量检测设备、异常流量清洗设备均可以单独部署,均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、BGP、链路聚合特性。

2.1  配置指南

H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机的基本配置,采用命令行配置。异常流量清洗设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗设备旁路集群部署且采用BGP引流方式进行流量检测为例。

2.1.1  流量清洗业务配置指南

·     AFC集群设备分别和核心设备建立BGP邻居,核心设备启用BGP等价路由,将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。

·     根据核心设备BGP负载方式,AFC将核心设备用来引流到AFC的流量进行清洗,同时将清洗过的用户正常流量回注到下层网络,并进一步回注到正常的目的设备。

·     AFC将清洗流量通过三层路由方式回注到下层网络时,有两种方式,一种是回流,一种是注入。

2.2  注意事项

·     如果AFC是多路设备(多通道)比如AFC2040,需要注意不要随意删除通道口的IP地址,否则可能造成通道接口三层转发不成功;

·     不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。

3 支持的设备和版本

3.1  支持的设备

H3C SecPath AFC

3.2  设备版本

3.2.1  H3C SecPath AFC

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501

部署方式:旁路防护

3.3  配置保存

通过在路由协议配置界面write来保存路由进程配置,通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。

4 相关资料

·     H3C SecPath AFC2000系列 安装指导手册

·     H3C SecPath AFC2000系列 配置指导手册

5 AFC旁路单机多通道部署BGP三层注入典型配置举例

5.1  简介

本章介绍AFC旁路单机多通道部署时使用使用端口聚合,在聚合组配置三层地址与核心交换机端口聚合组建立BGP邻居关系进行流量牵引,并采用注入模式直接将清洗后流量使用输出口聚合组注入到下层三层设备的聚合组,下层三层设备根据本地路由表进行流量转发。

5.2  使用限制

三层注入模式应用的场景为与AFC进行路由牵引的核心设备下层连接的网络设备为三层交换机或路由,且支持BGP路由协议。

5.3  BGP单机多通道三层注入模式配置举例

5.3.1  适用产品和版本

本配置适用于H3C SecPath AFC旁路设备。

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。

5.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗,在核心交换设备处旁路部署1台AFC。核心交换机通过接口G1/0/18和G1/0/19进行端口聚合组aggregation 8, AFC通道4和通道5的输入口Slot1/0和Slot1/2进行端口聚合,核心交换机的端口聚合组和AFC通道输入口聚合组建立BGP邻居,进行引流清洗。AFC通道4和通道5的输出口进行端口聚合与下层交换机的G1/0/18和G1/0/19形成的端口聚合组建立直连路由关系。AFC将清洗后的流量通过输出口聚合组直接注入到下层三层交换的聚合组,下层交换机根据本地路由表进行流量转发。组网如图1所示。

图5-1 AFC旁路单机多通道部署三层注入模式配置组网图

 

 

具体实现如下:

·     主机路由发布:AFC所有通道输入口配置启用聚合功能与核心交换机端口聚合组建立BGP邻居,AFC将被保护IP的32位路由发布到核心交换机。

·     主机流量清洗:核心交换机将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量重定向:AFC所有通道输出口配置启用聚合功能,A FC将清洗后的流量通过聚合组直接注入到下层网络的端口聚合组中,下层设备再根据本地路由表进行流量转发。

表5-1 VLAN分配列表

VLAN ID

作用描述

IP地址

1710

核心交换机聚合组与AFC所有通道输入口聚合组建立BGP邻居;

171.0.0.1/24

1711

·     核心交换机与下层网络连接的三层VLAN接口;

·     下层交换机与核心交换机连接三层VLAN接口

上层设备:171.0.1.1/24

下层设备:171.0.1.2/24

1712

下层交换机聚合组与AFC所有通道输出口聚合组进行三层连接

171.0.2.1/24

1713

·     被保护主机所在的VLAN;

·     被保护主机的网关地址

171.0.3.1/24

 

表5-2 AFC接口IP分配列表

接口

作用描述

IP地址

Slot1/0和Slot1/2

·     形成AFC所有通道输入口聚合组

·     核心交换机L3SW1聚合组与AFC输入聚合组建立BGP邻居;

输入口聚合组:

171.0.0.2/24

Slot1/1和Slot1/3

·     形成AFC所有通道输出口聚合组

·     下层交换机L3SW2聚合组与AFC输出聚合组建立路由通道

输出口聚合组:

171.0.2.2/24

Eth0

AFC管理口

183.1.0.24/24

 

5.3.3  配置思路

要实现AFC旁路单机多通道部署BGP三层注入模式配置,可按照如下思路进行配置:

(1)     建立端口聚合组

在上下交换机分别建立端口聚合组,并配置加入三层VLAN

(2)     AFC配置端口聚合

将AFC两个通道的输入口配置相同的IP,并接入上层交换机聚合组,两个通道的输出口配置相同的IP,并接入下层交换机聚合组

(3)     建立BGP路由

在AFC和核心交换机的聚合组上分别启用BGP进程,并互为邻居关系

(4)     AFC主机路由牵引及流量清洗

发布受保护主机的路由下一跳到AFC,AFC根据防御策略对主机流量进行清洗,将清洗后的流量注入到下层网络中

(5)     AFC流量注入下层网络

配置AFC通道输出口与下层交换机直连路由相通,进而与下层网络相通,实现注入流量路由转发

5.3.4  配置注意事项

要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。

通过SSH配置视图,切换AFC部署模式:

# 配置【AFC】集群所有设备工作模式为:bypass

> systools bootrom bypass

    NOTE: the switching may need some time, do not interrupt to avoid severe damage

    type 'SURE' to confirm switching the bootrom ... sure

    switching bootrom, do not reboot or poweroff ... done

reboot is needed

> systools reboot

   type 'SURE' to confirm rebooting ... sure

需手动输入“sure”后才会执行重启操作。

配置路由协议前,请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。

 

提示

当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。

 

5.3.5  配置步骤

1. 配置AFC

使用SSH方式登录AFC CLI配置视图

# 【AFC】通道配置

> config startup-script channel_device 4 Slot1/0 Slot1/1

    modified the startup script with channel 1 devices

> config startup-script channel_device apply

    apply the channel device settings ? yes

    applying ... succeed

    applied the channel device settings

> config startup-script channel_device 5 Slot1/2 Slot1/3

    modified the startup script with channel 1 devices

> config startup-script channel_device apply

    apply the channel device settings ? yes

    applying ... succeed

    applied the channel device settings

相对于回流模式,注入模式收发数据不在同一个物理口上。

# 配置【AFC】接口

登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置通道4和5的输入口地址均为171.0.0.2/24形成三层聚合组,配置通道4和通道5的输入口IP均为171.0.2.2/24形成三层聚合组,输入口聚合组连接核心交换机的三层聚合组(核心交换机G1/0/18和G1/0/19聚合)IP为171.0.2.1。

图5-2  配置AFC与核心交换连接的接口IP

 

提示

AFC单机多通道版本旁路部署时能够实现通道三层聚合,只需要将要进行聚合的通道所有输入口配置为相同的IP,所有输出口配置相同的IP,AFC系统会自动形成聚合组,在 命令行下查看接口配置能够看到聚合通道的接口IP和MAC地址均相同。

 

命令行下查看通道聚合后接口IP和MAC,可以看到Slot1/0和Slot1/2的IP和MAC相同,Slot1/1和Slot1/3的IP和MAC相同。

图5-3 AFC聚合通道接口IP和MAC关系

 

配置【AFC】BGP路由

H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

# telnet登录【AFC】BGP进程配置端口

telnet 183.1.0.24 28065

Hello, this is Quagga (version 0.99.22).

Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:

H3C>

H3C> enable

H3C# conf terminal

# 启用BGP进程

H3C(config)#router bgp 65534

# 配置BGP,AS号为65534

H3C(config-router)#bgp router-id 171.0.0.2

# 配置本地router id

H3C(config-router)#bgp scan-time 5

H3C(config-router)#neighbor 171.0.0.1 remote-as 65535

# 配置对端邻居,as号为65535

H3C(config-router)#neighbor 171.0.0.1 soft-reconfiguration inbound

# 配置软重启,当BGP发生变化时不需要重启进程,防止数据中断

H3C(config-router)#neighbor 171.0.0.1 route-map afc out

# 给邻居发送路由更新时要符合afc路由策略

# 配置route-map

H3C(config)# route-map afc permit 10

H3C(config-route-map)# set community no-export no-advertise

# 配置route-map,发送给对端的路由信息携带(no-export no-advertise)属性,当对端收到携带此标记的路由信息后不会传给其他邻居

# 保存配置

H3C# write

Configuration saved to /mnt/storage/etc/dsfw/bgpd.conf

# 查看配置

H3C# show running-config

Current configuration:

!

hostname H3C

password admin

log stdout

!

router bgp 65534

 bgp router-id 171.0.0.2

 bgp scan-time 5

 neighbor 171.0.0.1 remote-as 65535

 neighbor 171.0.0.1 soft-reconfiguration inbound

 neighbor 171.0.0.1 route-map afc out

!

route-map afc permit 10

 set community no-export no-advertise

!

line vty

!

end

提示

默认系统有一个AS号为7675的BGP进程,如果需要手动指定AS号,可以使用no命令删除默认的AS号为7675的BGP进程,并重新建立新的指定AS号的BGP进程。

H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

 

 

防护范围及回注方式,回注方式选择“默认”,回注参数留空。

图5-4 配置AFC防护范围及回注参数

 

图5-5 配置AFC牵引主机IP

 

提示

此时不要勾选主机配置中的“防护”,等对端路由进程配置完成后,勾选防护进行路由手动通告。

 

2. 配置核心交换机

创建VLAN 1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机端口聚合组8与【AFC】通道输入口聚合组直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由。

# 创建VLAN

[L3SW1]vlan 1710

[L3SW1-vlan1710]quit

[L3SW1]vlan 1711

[L3SW1-vlan1711]quit

# 配置VLAN IP

[L3SW1]interface Vlan-interface1710

[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0

[L3SW1-Vlan-interface1710]quit

[L3SW1]interface Vlan-interface1711

[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0

# 创建端口聚合组并将接口加入到聚合组

[L3SW1]int Bridge-Aggregation 8

将接口G1/0/18和G1/0/19加入到聚合组

[L3SW1]int GigabitEthernet 1/0/18

[L3SW1-GigabitEthernet1/0/18]port link-aggregation group 8

[L3SW1]int GigabitEthernet 1/0/19

[L3SW1-GigabitEthernet1/0/19]port link-aggregation group 8

# 配置聚合组VLAN信息

[L3SW1]int Bridge-Aggregation 8

[L3SW1-Bridge-Aggregation8]port access vlan 1710

# 查看聚合组接口配置

[L3SW1]int GigabitEthernet 1/0/18

[L3SW1-GigabitEthernet1/0/18]dis this

#

interface GigabitEthernet1/0/18

 port link-mode bridge

 port access vlan 1710

 port link-aggregation group 8

[L3SW1]int GigabitEthernet 1/0/19

[L3SW1-GigabitEthernet1/0/19]dis this

#

interface GigabitEthernet1/0/19

 port link-mode bridge

 port access vlan 1710

 port link-aggregation group 8

 

# 配置BGP进程

[L3SW1]#bgp 65535

#  配置BGP,AS号为65535

[L3SW1-bgp]router-id 171.0.0.1

# 配置路由器的Router ID

[L3SW1-bgp]undo synchronization

[L3SW1-bgp] address-family ipv4

[L3SW1-bgp-ipv4]peer 171.0.0.2 enable

# 与对端启用ipv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息

[L3SW1-bgp]peer 171.0.0.2 as-number 65534

# 配置对端邻居,对端AS号为65534

 [L3SW1-bgp]peer 171.0.0.2 description afc2100_01

# 配置对端描述,对端为afc2100

[L3SW1-bgp]peer 171.0.0.2 preferred-value 1

# 为从对等体接收的路由分配首选值,值越小越优先

[L3SW1-bgp]peer 171.0.0.2 keep-all-routes

# 保存所有来自对等体/对等体组的原始路由信息,即使这些路由没有通过已配置的入口策略

提示

如果配置的BGP IPv6协议,需要进入BGP IPv6单播视图。

 

# 查看BGP对端

[L3SW1] display bgp peer

 

 BGP local router ID : 171.0.0.1

 Local AS number : 65535

 Total number of peers : 1          Peers in established state : 1

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  171.0.0.2            65534        5        3    0       0 00:01:59 Established

 

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在核心交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW1]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

3. 配置下层交换机

创建VLAN 1711、VLAN1712和VLAN 1713,其中VLAN 1711对应171.0.1.0/24网段,作用为核心交换机L3SW1与下层网络直连路由,VLAN 1712对于171.0.2.0/24网段,作用为下层交换机端口聚合组与AFC通道输出聚合组进行直连路由通信,VLAN 1713对于171.0.3.0/24网段,为下层网络所在网段。

# 创建VLAN

[L3SW2]vlan 1711

[L3SW2-vlan1711]quit

[L3SW2]vlan 1712

[L3SW2-vlan1712]quit

[L3SW2]vlan 1713

[L3SW2-vlan1713]quit

# 配置VLAN IP

[L3SW2]int Vlan-interface 1711

[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24

[L3SW2-Vlan-interface1711]quit

[L3SW2]int Vlan-interface 1712

[L3SW2-Vlan-interface1712]ip address 171.0.2.1 24

[L3SW2-Vlan-interface1712]quit

[L3SW2]int Vlan-interface 1713

[L3SW2-Vlan-interface1713]ip address 171.0.3.1 24

[L3SW2-Vlan-interface1713]quit

# 创建端口聚合组并将接口加入到聚合组

[L3SW1]int Bridge-Aggregation 8

# 将接口G1/0/18和G1/0/19加入到聚合组

[L3SW2]int GigabitEthernet 1/0/18

[L3SW2-GigabitEthernet1/0/18]port link-aggregation group 8

[L3SW2]int GigabitEthernet 1/0/19

[L3SW2-GigabitEthernet1/0/19]port link-aggregation group 8

# 配置聚合组VLAN信息

[L3SW2]int Bridge-Aggregation 8

[L3SW2-Bridge-Aggregation8]port access vlan 1712

# 查看接口配置

[L3SW2]int GigabitEthernet 1/0/18

[L3SW2-GigabitEthernet1/0/18]dis this

#

interface GigabitEthernet1/0/18

 port link-mode bridge

 port access vlan 1712

 port link-aggregation group 8

[L3SW2]int GigabitEthernet 1/0/19

[L3SW2-GigabitEthernet1/0/19]dis this

#

interface GigabitEthernet1/0/19

 port link-mode bridge

 port access vlan 1712

 port link-aggregation group 8

为了保证上层网络与下层网络互通,需要配置路由协议实现,本实验在核心交换机与下层交换机直接配置OSPF路由进程,实现互通。

# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW2]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通,在L3SW1和L3SW2均配置OSPF协议,area id均为0 ,也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

5.3.6  验证配置

(1)     验证核心交换机L3SW1与【AFC】通道输入口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW1]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 3/3/3 ms

(2)     验证核心交换机L3SW1与【AFC】路由牵引是否成功

未在【AFC】上启用主机配置“防护”时,查看L3SW1的BGP路由表

[L3SW1]display bgp routing-table

 Total Number of Routes: 0

在【AFC】上勾选保护主机的“防护”按钮

图5-6 在【AFC】上勾选保护主机的“防护”按钮进行主机路由牵引

 

查看核心交换机L3SW1的路由表

[L3SW1]display bgp routing-table

 Total Number of Routes: 1

 BGP Local router ID is 171.0.0.1

 Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,

               h - history,  i - internal, s - suppressed, S - Stale

               Origin : i - IGP, e - EGP, ? - incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >  171.0.3.21/32      171.0.0.2       0                     1       65534i

提示

如果需要牵引的主机是一个网段时,可以进入【AFC】命令行在路由协议下手动宣告网段路由。如果是连续某几个IP,可以在“主机设置”中按照“171.0.3.1-171.0.3.254”勾选或取消后面的“防护”来进行IP段牵引。当与检测设备联动时可以实现自动牵引,而无需手动填写牵引IP。

 

(3)     验证下层交换机L3SW2与【AFC】通道输出口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW2]ping -a 171.0.2.1 171.0.2.2

Ping 171.0.2.2 (171.0.2.2) from 171.0.2.1: 56 data bytes, press CTRL_C to break

56 bytes from 171.0.2.2: icmp_seq=0 ttl=64 time=1.061 ms

56 bytes from 171.0.2.2: icmp_seq=1 ttl=64 time=0.798 ms

56 bytes from 171.0.2.2: icmp_seq=2 ttl=64 time=0.772 ms

56 bytes from 171.0.2.2: icmp_seq=3 ttl=64 time=0.824 ms

56 bytes from 171.0.2.2: icmp_seq=4 ttl=64 time=0.722 ms

--- Ping statistics for 171.0.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-

 

(4)     验证客户端与服务端是否互通

通过ping测试客户端是否与服务路由相通

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms

(5)     验证客户端与服务端通信是否进过【AFC】

在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来

图5-7 客户端ping服务器

 

在【AFC】上抓取客户端到服务器的ping包

抓包分析,在【AFC】通道的输入口slot1/0即gbe9,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-8 在AFC上抓包,查看输入口报文

 

抓包分析,在【AFC】通道的输出口Slot1/1即gbe10,可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-9 在AFC上抓包,查看输出口报文

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们