- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (714.07 KB)
目 录
H3C SeerEngine-SEC安全控制器是为解决SDN网络架构中的网络安全问题而生,与H3C ADNET解决方案深度融合,提供数据中心网络、广域网络和园区网络场景中的网络安全解决方案。H3C SeerEngine-SEC安全控制器与H3C广域网SDN方案融合,实现“总部——分支”组网下的广域网边界安全防护,面向用户业务网络提供安全策略、IPS、防病毒、URL过滤等四至七层的网络安全检测和防护能力。
H3C SeerEngine-SEC安全控制器是SDN网络安全业务的统一管理控制平台,集中纳管网络安全服务资源,包括物理设备如防火墙,以及NFV类型的虚拟防火墙等,并与H3C ADWAN控制器实时对接,可根据用户网络业务的开通情况,动态分配网络安全资源。H3C SeerEngine-SEC安全控制器提供面向用户业务网络的安全策略管理视图,用户可根据自身业务需求设置网络安全策略,H3C SeerEngine-SEC安全控制器结合用户的业务网络部署情况,在用户的业务流量路径上分配网络安全资源和部署网络安全策略;同时H3C SeerEngine-SEC安全控制器也面向系统管理人员提供系统维护视图,可对系统运行状态、设备连接状态、策略部署状态进行统一的监控。
为了降低异常断电导致系统故障无法恢复的概率,建议服务器使用的RAID卡必须支持数据掉电保护功能且超级电容必须在位。
在统一数字底盘中运行SeerEngine-SEC的硬件配置如表2-1所示。
表2-1 硬件配置需求(单机/集群)
|
部署方式 |
节点配置数量 |
单节点详细配置 |
可支持最大设备数量 |
可支持最大策略 |
|
单机 |
1 |
CPU:16核,2.0GHz主频 内存:128GB及以上 磁盘:需要配置RAID,RAID模式可选RAID1、RAID5、RAID10。RAID卡1GB Cache,支持数据掉电保护且超级电容必须在位。以下配置任选其一: · 磁盘配置1: ¡ 系统盘:配置RAID后容量2TB及以上,SSD固态硬盘 ¡ ETCD盘:配置RAID后容量50GB及以上,SSD固态硬盘,安装路径:/var/lib/etcd · 磁盘配置2: ¡ 系统盘:配置RAID后容量2TB及以上,7.2K RPM SATA/SAS机械硬盘 ¡ ETCD盘:配置RAID后容量50GB及以上,7.2K RPM SATA/SAS机械硬盘,安装路径:/var/lib/etcd 网口: · 普通模式:1*1Gbps及以上带宽 · 冗余模式(工作模式推荐配置为mode2或mode4):2*1Gbps Linux Bonding |
10 |
12万/物理设备 |
|
集群 |
3 |
CPU:16核,2.0GHz主频 内存:96GB及以上 磁盘:需要配置RAID,RAID模式可选RAID1、RAID5、RAID10。RAID卡1GB Cache,支持数据掉电保护且超级电容必须在位。以下配置任选其一: · 磁盘配置1: ¡ 系统盘:配置RAID后容量2TB及以上,SSD固态硬盘 ¡ ETCD盘:配置RAID后容量50GB及以上,SSD固态硬盘,安装路径:/var/lib/etcd · 磁盘配置2: ¡ 系统盘:配置RAID后容量2TB及以上,7.2K RPM SATA/SAS机械硬盘 ¡ ETCD盘:配置RAID后容量50GB及以上,7.2K RPM SATA/SAS机械硬盘,安装路径:/var/lib/etcd 网口: · 普通模式:1*1Gbps及以上带宽 · 冗余模式(工作模式推荐配置为mode2或mode4):2*1Gbps Linux Bonding |
1000 |
12万/物理设备 |
服务器必须支持CentOS 7.5及以上版本的操作系统。
H3C SeerEngine-SEC安全控制器是H3C 统一数字底盘的一个应用组件,请先安装统一数字底盘,再通过统一数字底盘平台部署服务安装安全控制器组件。
广域网应用场景下,H3C安全控制器与H3C ADWAN控制器深度融合,需先在统一数字底盘上部署H3C ADWAN控制器组件。
H3C SeerEngine-SEC安全控制器通过浏览器登录和配置,支持的浏览器类型及版本:Chrome 65及以上。
安装环境请参考表2-2中所示的各个检测项目,确保安装SeerEngine-SEC的条件已经具备。
|
检测项 |
检测标准 |
|
|
服务器 |
硬件检查 |
请检查硬件是否符合要求(包括CPU、内存、硬盘、网卡等) 请检查是否支持CentOS 7.5及以上版本的操作系统 |
|
软件检查 |
请检查系统时间已配置完成,建议配置NTP时间同步,整网使用统一的时钟源同步时间 |
|
|
客户端 |
请确保浏览器版本符合要求 |
|
SeerEngine-SEC的安装流程如表3-1所示。
|
步骤 |
具体操作 |
说明 |
|
服务器准备 |
· 单机部署模式准备1台服务器 · 集群部署模式准备至少3台服务器 |
必选 硬件和软件需求,请参见服务器配置需求 |
|
安装H3Linux操作系统及UC 2.0 Installer平台 |
在服务器上安装UC 2.0 Installer平台 |
必选 请参见《H3C 统一数字底盘部署指导》 |
|
部署统一数字底盘 |
配置集群参数 |
必选 请参见《H3C 统一数字底盘部署指导》 |
|
创建集群 |
||
|
部署统一数字底盘应用安装包 |
||
|
部署SD-WAN组件 |
部署SD-WAN应用安装包 |
必选 当前安全控制器版本适配了WAN场景,因此需要安装WAN控制器组件 |
|
部署SeerEngine-SEC组件 |
部署SeerEngine-SEC应用安装包 |
必选 |
部署SeerEngine-SEC前需要先部署统一数字底盘,然后在统一数字底盘中部署SeerEngine-SEC组件。统一数字底盘的安装步骤请参见《H3C 统一数字底盘部署指导》。
SD-WAN作为组件运行在统一数字底盘上,组件的部署、升级和卸载等操作只能在统一数字底盘上进行。
SeerEngine-SEC安全控制器当前支持场景为SDWAN场景,因此部署SeerEngine-SEC前需要先部署SeerEngine-SDWAN组件。SeerEngine-SDWAN的安装步骤请参见《H3C SeerEngine-SDWAN部署指导》。
SeerEngine-SEC作为组件运行在统一数字底盘上,组件的部署、升级和卸载等操作只能在统一数字底盘上进行。
(1) 在浏览器中输入“https:// 统一数字底盘 Installer_ip_address:30000/central/”,登录统一数字底盘 Installer平台。其中“统一数字底盘 Installer_ip_address”必须为北向业务虚IP地址。输入用户名和密码(默认用户名为admin,密码为Pwd@12345)。
(2) 进入“系统 > 部署管理”页面,单击<安装>按钮,进入上传安装包页面。
(3) 单击<上传>按钮,将组件安装包上传到系统。
(4) 上传完成后,单击<下一步>按钮,解析安装包并进入组件选择页面。
(5) 在组件选择页面,勾选“安全控制器”,并选中SeerEngine-SEC组件,选择上传的安全控制器版本,单击<下一步>按钮。
图6-1 选择安装包
(6) 参数配置无需配置,单击<下一步>按钮。
(7) 如果已创建网络,直接单击<下一步>按钮即可;如果未创建网络,可以直接单击<创建网络>按钮创建网络,再单击<下一步>按钮。
(8) 选择已创建的安全控制器管理网络与子网,单击<下一步>按钮。
图6-2 选择管理网络及子网
(9) 确认安全控制器的容器IP地址从管理网络下子网分配,地址确认正确无冲突问题后单击<部署>按钮。
图6-3 确认容器网络信息后部署
(10) 等待组件部署完成后即完成部署操作。
图6-4 组件部署中
为防止系统异常无法恢复导致的数据丢失,需要开启远端备份功能,定期将配置备份到远端服务器上。
通过备份与恢复功能可以对系统数据进行定期备份提供系统可靠性。
(1) 进入“系统 > 备份恢复”页面,可以看到设备的定时备份信息,默认会在每天零点进行配置备份。
图7-1 配置定时备份
(2) 单击<开始备份>按钮,勾选需要备份的组件,单击<备份>按钮,开始备份。
图7-2 配置备份
(3) 单击备份文件“操作”列的恢复按钮,可进行配置恢复操作。
本章节介绍SeerEngine-SEC组件的升级及卸载步骤,统一数字底盘的升级及卸载步骤请参见《H3C 统一数字底盘部署指导》。
为防止数据丢失,卸载或重装卸载统一数字底盘、安全控制器之前,需要对SYSTEM和SeerEngine-Security两个组件进行备份,并将备份文件下载到本地。
在统一数字底盘上支持对组件进行保留配置升级。升级组件可能会导致业务中断,请谨慎操作。升级步骤如下:
(1) 登录统一数字底盘平台,进入“系统 > 部署管理”页面,展开安全控制器,在下拉菜单中单击升级按钮。
图8-1 部署管理页签
(2) 单击<上传>按钮,将新的组件安装包上传。
(3) 上传完成后,勾选上传的安装包后,单击<升级>按钮。
图8-2 升级页签
(1) 登录统一数字底盘平台,进入“系统 > 部署管理”页面。
(2) 勾选安全控制器,单击<卸载>按钮,在弹出的对话框中单击<确认>按钮,完成组件的删除操作。
图8-3 卸载组件
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
