- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (1.46 MB)
目 录
H3C SecCenter CSAP-SA-C综合日志审计平台插卡是H3C公司开发的智能业务平台模块,该模块可安装在F1000系列防火墙上。本手册介绍了综合日志审计平台插卡与设备的适配关系、模块的安装与拆卸以及模块的基础配置。
综合日志审计平台插卡适用于多款安全产品,具体请见下表。
表2-1 综合日志审计平台插卡与设备的适配关系
|
模块名称 |
适配安全设备款型 |
适配的槽位 |
适配主机的软件版本 |
|
综合日志审计平台插卡 |
· F1020、F1030、F1050、F1060、F1070、F1080 · F100-A-G2、F100-A-EI、F100-E-G2、F100-A-SI、F100-E-EI · F1020-GM、F1030-GM、F1070-GM、F1070-GM-L · F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK370 · F1000-AI-20、F1000-AI-30、F1000-AI-50 · F1000-920-AI、F1000-930-AI、F1000-950-AI、F1000-960-AI、F1000-970-AI、F1000-980-AI、F1000-990-AI · F1000-E-VG、F1000-V70 · F1000-C-G2、F1000-C-EI、F1000-E-G2、F1000-S-G2、F1000-A-G2 · F100-A-G3、F100-E-G3、F100-A80-WiNet |
Slot 1 |
F9360P07及以上版本 |
图3-1 综合日志审计平台插卡外观
|
1: 10/100/1000BASE-T以太网电口 |
2: 1000BASE-X以太网光口 |
|
3: USB口 |
4: 配置口(CONSOLE) |
|
5: 拉手 |
6: 电源键 |
|
7: 1000BASE-X以太网光口 |
8: 10/100/1000BASE-T以太网电口(管理以太网口) |
综合日志审计平台插卡各接口与网卡的对应关系,请见下表。
表3-1 网卡对应关系表
|
网卡名 |
接口 |
|
enp11s0f0 |
面板口0(10/100/1000BASE-T以太网电口) |
|
enp11s0f1 |
面板口1(10/100/1000BASE-T以太网电口) |
|
enp11s0f2 |
面板口2(1000BASE-X以太网光口) |
|
enp11s0f3 |
面板口3(1000BASE-X以太网光口) |
|
enp1s0f0 |
暂不可用 |
|
enp1s0f1 |
暂不可用 |
|
enp3s0f0 |
内联口 |
|
enp3s0f1 |
暂不可用 |
综合日志审计平台插卡通过内联以太网接口(以下简称为内联口)与设备互联,对接不同设备时的内联口名称不同,以安装在F1080设备上举例,在模块侧显示的内联口名称为enp3s0f0,在设备侧显示的编号为GE1/1/0。
本节介绍了综合日志审计平台插卡的基本属性,具体的接口等属性请参见“5 附录A 综合日志审计平台插卡接口属性”。
表3-2 综合日志审计平台插卡基本属性
|
属性 |
规格 |
|
处理器 |
Intel C3578,2.2 GHz |
|
DDR |
8GB DDR4 |
|
存储介质 |
960GB SSD |
|
操作系统 |
Linux |
|
热插拔 |
不支持 |
|
对外接口 |
· 2个千兆以太网电口(含1个管理以太网接口) · 1个Console口 · 2个USB口(USB 2.0) · 2个千兆以太网光口 |
|
外形尺寸(宽 × 深 × 高) |
150 mm × 243.6 mm × 40.1 mm |
|
重量 |
1Kg |
|
功耗(静态) |
18W |
|
功耗(满负荷时) |
28W |
|
工作环境温度 |
0°C to 45°C |
|
工作环境相对湿度 |
5%~95% RH,无冷凝 |
综合日志审计平台插卡的电源键指示灯,用于指示模块的工作状态。若对模块执行启动或待机操作,需长按2秒电源键。
表3-3 电源键指示灯状态说明
|
指示灯状态 |
指示灯含义 |
|
绿色常亮 |
系统处于上电状态 |
|
红色常亮 |
系统处于待机状态 |
安装综合日志审计平台插卡前,请注意以下内容:
· 在安装过程中,操作者需自行准备并佩戴防静电腕带,请确保防静电腕带已经正确接地并与皮肤良好接触。
· 在安装过程中,请不要用力过猛,以免对设备器件造成损坏。
安装完成后,综合日志审计平台插卡有一部分漏在设备外面,会导致设备整体长度增加72mm。
(1) 操作者面对设备的后面板。
(2) 由于综合日志审计平台插卡占用设备的两个槽位,用十字螺丝刀逆时针拧松假面板上的螺钉,取下假面板并保管好。
图3-2 拆卸设备假面板
(3) 从包装袋中取出综合日志审计平台插卡,并将综合日志审计平台插卡沿着插槽导轨水平缓慢地推进接口模块扩展卡插槽,直到综合日志审计平台插卡与设备紧密接触。
(4) 使用十字螺丝刀顺时针方向旋转,拧紧模块上的松不脱螺钉。
图3-3 安装模块
拆卸综合日志审计平台插卡前,请注意以下内容:
· 在拆卸之前,请将模块上的线缆拔出,以免在拆卸过程中对线缆造成损坏。
· 在拆卸过程中,操作者需自行准备并佩戴防静电腕带,请确保防静电腕带已经正确接地并与皮肤良好接触。
· 在拆卸过程中,请不要用力过猛,以免对设备器件造成损坏。
· 若不再安装新的模块,请及时安装假面板,以保证设备的良好通风散热并防止灰尘进入设备。
· 请将拆卸下来的模块放置到防静电垫子上或防静电袋中。
(1) 使用十字螺丝刀逆时针方向松开模块上的螺钉。
(2) 拉动拉手使其与设备内连接器端子脱离。
(3) 用双手水平缓慢地取出模块。
(4) 将拆卸下来的综合日志审计平台插卡,应以电路板面朝上的方式放置在抗静电的工作台上或者放入防静电袋中。
图3-4 拆卸综合日志审计平台插卡
(5) 若该槽位不再安装综合日志审计平台插卡,请安装上假面板,如果还需要安装其他接口模块,安装步骤请参见“3.2.2 安装”。
安装完成后,在设备运行正常的情况下,可在设备侧使用display interface brief命令查看内联口的物理连接状态和数据链路层协议状态是否为UP。
如果扩展端口的物理连接状态和数据链路层协议状态均没有UP:
· 您可以按照手册中介绍的方法重新安装综合日志审计平台插卡。
· 如果重新安装后,综合日志审计平台插卡仍无法正常工作,请您联系H3C技术支持人员。
综合日志审计平台插卡前面板提供一个CONSOLE口用于用户初次登录使用。综合日志审计平台插卡常见组网图,具体如下图所示。
终端(PC)通过配置线缆与综合日志审计平台插卡的CONSOLE口相连,对综合日志审计平台插卡进行初始化配置。
综合日志审计平台插卡通过内联口与Device互通,在综合日志审计平台插卡侧体现为enp1s0f0,在设备侧体现为1个10GE端口(例如XGE1/1/0),用户可通过管理以太网口enp11s0f0对综合日志审计平台插卡进行远程管理和升级。
配置电缆是一根8芯屏蔽电缆,一端是压接的RJ-45插头,插入综合日志审计平台插卡的CONSOLE口;另一端为1个DB-9(孔)插头,可插入配置终端(例如PC)的9芯(针)串口插座。配置电缆如下图所示。
· 连接时请认准接口上的标识,以免误插入其它接口。
· 当连接PC和综合日志审计平台插卡时,应先安装配置电缆的DB-9端到PC机,再连接RJ-45到综合日志审计平台插卡;在拆下时,先拔出RJ-45端,再拔下DB-9端。
通过终端配置综合日志审计平台插卡时,配置电缆的连接步骤如下:
(1) 将配置电缆的DB-9孔式插头接到终端(例如PC)的串口。
(2) 将配置电缆的RJ-45一端连到综合日志审计平台插卡的配置口(CONSOLE)上。
在终端上需要使用“终端仿真程序”与智能业务平台连接,这里的“终端仿真程序”可选用超级终端等软件,这些程序的详细介绍和使用方法请参见该程序的使用指导。
终端仿真程序的参数设置如下:
· 波特率:115200
· 数据位:8
· 停止位:1
· 奇偶校验:无
· 流量控制:无
当综合日志审计平台插卡软件程序完成启动后,用户通过CONSOLE口登录设备时,终端仿真程序上会显示如下图所示的用户登录界面。
用户初次登录综合日志审计平台插卡时,是以超级用户身份登录。用户名为root,密码缺省为Csap_sa_yunzhi@v1。按Enter键,进入用户命令行界面,如下图所示。
图4-4 root用户命令行界面
为保证系统安全,请用户首次登录综合日志审计平台插卡后,使用passwd命令修改root用户登录密码。关于passwd命令的使用方法,请参见“6.3 passwd命令使用方法”。
配置智能业务平台系统中的enp11s0f0网卡的IP地址。
Linux系统网卡获取IP地址可通过DHCP动态获取,也可以手动配置。为保证后续业务稳定运行,建议将网卡手动配置为固定的IP地址。
要配置永久固定的IP地址,需要在网卡的配置文件中进行修改。网卡的配置文件位于/etc/sysconfig/network-scripts目录下,网卡配置文件的命令为:“ifcfg-”+网卡名称,比如enp11s0f0的网卡配置文件命名为ifcfg-enp11s0f0。
(1) 使用VI编辑器打开enp11s0f0的配置文件。
关于VI编辑器的使用方法,请参见“6.1 VI编辑器的使用方法”。
[root@H3LINUX100 ~]# vi /etc/sysconfig/network-scripts/ifcfg-enp11s0f0
配置文件内容如下所示:
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=quy
UUID=db19dc60-6676-43d8-aa8d-ba6df2cfe6da
DEVICE=enp11s0f0
ONBOOT=no
(2) 修改配置文件。
修改配置项:
· BOOTPROTO=dhcp为BOOTPROTO=static,即修改网卡IP地址的获取方式为手动配置;
· 修改ONBOOT=no为ONBOOT=yes,即修改为系统启动时,网卡自动启动。
· 增加如下三项:IPADDR、NETMASK、GATEWAY,即配置网卡的IP地址、掩码和网关地址。如配置IP地址为1.1.1.1,掩码为255.255.255.0,网关为1.1.1.3,并设置为开机自动启动。
配置文件内容修改如下所示:
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=quy
UUID=db19dc60-6676-43d8-aa8d-ba6df2cfe6da
DEVICE=enp11s0f0
ONBOOT=yes
IPADDR=1.1.1.1
NETMASK=255.255.255.0
GATEWAY=1.1.1.3
(3) 重启网卡服务。
[root@H3LINUX100 ~]# systemctl restart network.service
(4) 查看enp11s0f0网卡的是否获取了IP地址。
[root@H3LINUX100 ~]# ifconfig enp11s0f0
结果如下所示,表明已配置好永久IP地址。
enp11s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 1.1.1.1 netmask 255.255.255.0 broadcast 1.1.1.255
inet6 fe80::2a0:c9ff:fe00:0 prefixlen 64 scopeid 0x20<link>
ether 00:a0:c9:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 1248 bytes 95322 (93.0 KiB)
RX errors 0 dropped 196 overruns 0 frame 0
TX packets 67 bytes 9122 (8.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device memory 0x81760000-8177ffff
(5) 查看是否配置了网关地址。
[root@H3LINUX100 ~]# ip route
结果如下所示,表明智能业务平台的网卡enp11s0f0(IP地址为1.1.1.1)已经有了网关地址1.1.1.2。
default via 1.1.1.2 dev enp11s0f0 proto static metric 100
1.1.1.0/24 dev enp11s0f0 proto kernel scope link src 1.1.1.1 metric 100
智能业务平台缺省情况下,开启了SSH服务。用户可通过SSH远程登录对智能业务平台进行配置或者升级。
[root@H3LINUX100 ~]# systemctl status sshd.service
结果如图4-5所示,表明SSH服务已经开启。
图4-5 查看SSH服务状态
用户通过SSH远程登录时,可使用超级用户root身份或者普通用户身份登录。
超级用户root身份用于用户安装、升级智能业务平台。普通用户身份用于管理智能业务平台,如配置路由、上传智能业务平台软件版本等。
· 使用SSH服务登录智能业务平台时,请确保enp11s0f0已经配置了IP地址、掩码和网关。
· 请确保用户PC与智能业务平台的enp11s0f0间路由可达。
· 登录前,请确保用户所在的PC已经开启了SSH Client功能。
超级用户和普通用户远程登录智能业务平台的方式不同:
· 使用超级用户root身份远程登录。
如图4-6所示,为root用户首次登录,系统会询问是否保存目的主机的公开密钥指纹,选择yes即可。图4-7为再次登录,不再询问是否保存公开密钥指纹。
¡ root用户SSH远程登录方式一:
[root@H3LINUX100 ~]# ssh root@1.1.1.1
图4-6 root用户SSH远程登录(1)
¡ root用户SSH远程登录方式二:
[root@H3LINUX100 ~]# ssh 1.1.1.1
图4-7 root用户SSH远程登录(2)
· 使用普通用户身份远程登录:
使用普通用户登录时,若没有创建过普通用户,需要先以超级用户root身份登录。使用useradd和passwd命令创建普通用户和登录密码,然后再用普通用户身份登录。
例如创建普通用户user,密码设置为123456:
[root@H3LINUX100 ~]# useradd user
[root@H3LINUX100 ~]# passwd 123456
结果如下图所示,表明已成功创建user用户并授权。
如图4-9所示,为user用户首次登录,系统会询问是否保存目的主机的公开密钥指纹,选择yes即可。图4-10所示,为再次登录,不再询问是否保存公开密钥指纹。
普通用户SSH远程登录:
[root@H3LINUX100 ~]# ssh [email protected]
图4-9 普通用户SSH远程登录(1)
图4-10 普通用户SSH远程登录(2)
表5-1 Console口属性
|
属性 |
描述 |
|
连接器类型 |
RJ-45 |
|
符合标准 |
EIA/TIA-232 |
|
波特率 |
115200 bit/s |
|
Console口可选用线缆及最大传输距离 |
普通异步串行口电缆,传输距离≤15m |
|
支持服务 |
· 与字符终端相连 · 与本地终端(可以是PC)的串口相连,并在终端上运行终端仿真程序 |
表5-2 千兆以太网电口属性
|
属性 |
描述 |
|
连接器类型 |
RJ-45 |
|
速率 |
1000Mbit/s全双工 |
|
使用电缆规格 |
5类及5类以上双绞线 |
|
最大传输距离 |
100 m |
|
符合标准 |
IEEE 802.3i,802.3u,802.3ab |
|
作用与服务 |
用于连接计算机或远端网管工作站进行应用程序升级及网管 |
表5-3 千兆以太网光口属性
|
属性 |
描述 |
|
连接器类型 |
LC |
|
接口光模块类型 |
SFP |
|
接口标准 |
1000BASE-X |
|
速率 |
1000Mbps |
|
工作方式 |
全双工模式 |
表5-4 USB口属性
|
属性 |
描述 |
|
接口类型 |
USB2.0 |
|
符合标准 |
xHCI |
|
作用与服务 |
用于和综合日志审计平台插卡上的Flash文件系统进行文件交互,例如:上传或下载应用程序文件、配置文件等 |
表5-5 接口指示灯状态及含义
|
指示灯状态 |
指示灯含义 |
|
绿色常亮 |
端口工作在1000Mbps模式下,并且端口已连接 |
|
绿色闪烁 |
端口工作在1000Mbps模式下,正在接收或发送数据 |
|
灯灭 |
端口断开连接 |
VI编辑器有三种工作模式,分别是命令行模式、插入模式与末行模式。这三种模式的作用分别是:
· 命令行模式(command mode):以 vi命令打开一个文件就直接进入命令行模式。在这个模式中,你可以使用上下左右按键来移动光标,你可以使用删除字符或删除整行来处理文件内容, 也可以使用复制、粘贴来处理你的文件数据。
· 插入模式(insert mode):插入模式可以对内容进行编辑,按下i,I,o,O,a,A,r,R等任何一个字母之后即可进入插入模式。如果要回到命令行模式时,按下Esc按键即可退出插入模式。
· 末行模式(last-line mode):在末行模式当中,输入“:”,“/”,“?”三个中的任何一个按钮,就可以将光标移动到最底下那一行。在这个模式当中,可以执行搜寻关键字、读取文件、保存文件、大量替换字符、离开vi、显示行号等等操作。如果要回到命令行模式时,则可以通过按下Esc按键返回。
使用方法:vi filename。
修改enp11s0f0的配置文件为例,介绍vi编辑器的基本使用方法:
(1) 打开ifcfg-enp11s0f0文件。
[root@H3LINUX100 ~]# vi /etc/sysconfig/network-scripts/ifcfg-enp11s0f0
内容如下图所示,此时进入了命令行模式。
(2) 修改配置文件
将光标移动至第四行行尾,按键盘的小写“a”,光标会移动到“p”字符的后面。此时,进入了插入模式。进入此模式后,用户可根据需要,修改ifcfg-enp11s0f0配置文件,如下图所示。
修改完成后,按键盘上的“Esc”键,即可退回命令行模式。此时,并未实际修改ifcfg-enp11s0f0配置文件。
(3) 保存配置文件
在当前模式下,用户输入“:”后,进入末行模式。该模式下,用户可以输入命令来对文件进行保存、退出、强制退出、强制保存等操作,如:
· w,表示写入
· q,表示退出
· wq,表示写入并保存
· wq!,表示写入并强制保存
· q!,不保存,并强制退出
如下图所示,在最后一行输入命令,保存配置文件。按Enter回车键后,退回到用户命令行界面。
网卡的IP地址的临时IP地址在设备重启后,临时IP地址就失效,请用户根据实际情况选择使用。
配置网卡的临时IP的地址配置方法。
(1) 配置enp11s0f0的IP地址为1.1.1.1,掩码为24。
[root@H3LINUX100 ~]# ifconfig enp11s0f0 1.1.1.1/24
(2) 查看enp11s0f0网卡的IP地址。
[root@H3LINUX100 ~]# ifconfig enp11s0f0
结果如下所示,表明已配置好临时IP地址。
passwd命令用来修改/配置Linux用户的登录密码。初始登录配置综合日志审计平台插卡和创建普通用户时,均需要修改/配置用户登录密码。
使用方法:passwd或者passwd username。
以下介绍常见的2种修改/配置登录密码的情况:
· 初始登录时,修改超级用户root登录密码。
在root用户命令行界面输入passwd命令。
[root@H3LINUX100 ~]# passwd
如下图所示,输入完passwd后,系统会要求用户输入2次新密码,且2次输入的新密码需保持一致。
图6-5 修改root登录密码
· 超级用户root创建普通用户时,设置普通用户登录密码。
在root用户命令行界面使用useradd命令创建普通用户后,新用户还无法登录。需使用passwd命令设置普通用户登录密码。
[root@H3LINUX100 ~]# useradd user
[root@H3LINUX100 ~]# passwd user
如下图所示,在root用户命令行界面配置user用户的登录密码。
cd命令用于切换登录用户的工作路径。
使用方法:cd [绝对路径/相对路径/特殊字符]。
以下介绍几种常见的方法:
· 由root根目录切换到/opt/EScan路径:
[root@H3LINUX100 ~]# cd /opt/EScan
[root@H3LINUX100 EScan]#
· 由/opt/EScan目录切换到/opt/Adaptec路径:
[root@H3LINUX100 EScan]# cd ../Adaptec
· 由/opt/EScan目录切换到root根目录路径:
[root@H3LINUX100 EScan]# cd ~
· 由/opt/EScan目录切换到/opt路径:
[root@H3LINUX100 EScan]# cd ..
用于查看文件内容。
使用方法:cat filename。
例如:查看扫描器版本。
[root@H3LINUX100 ~]# cat /opt/EScan/conf/configsVersion
用于压缩、解压文件夹。
使用方法:tar options filename。
例如:压缩EScan文件夹为EScan.tar.gz。
[root@H3LINUX100 EScan]# tar -czvf EScan EScan.tar.gz
例如:解压缩EScan.tar.gz文件夹。
[root@H3LINUX100 EScan]# tar -xzvf EScan.tar.gz
用于复制文件。
使用方法:cp source destination。
例如:备份/opt/EScan.tar.gz到/h3Linux目录下。
[root@H3LINUX100 ~]# cp /opt/EScan.tar.gz /h3Linux
用于创建目录。
使用方法:mdkir directory。
例如:创建USB目录用于挂载U盘。
[root@H3LINUX100 /]# mkdir USB
通过ifconfig命令显示网卡信息,enp3s0f1网卡无法显示。
请按以下步骤进行检查:
(1) 通过reboot命令重启综合日志审计平台插卡,
(2) 重启之后通过以下命令重新加载网卡驱动,即可恢复enp3s0f1丢失的网卡
modprobe –r igb
modprobe –r ixgbe
modprobe igb
modprobe ixgbe
模块上电后,配置终端无显示信息或显示乱码。
首先要做以下检查:
· 电源系统是否正常。
· CONSOLE口电缆是否正确连接。
如果以上检查未发现问题,很可能有如下原因:
· CONSOLE口电缆连接的串口错误(实际选择的串口与终端设置的串口不符)。
· 配置终端参数设置错误(参数要求:设置波特率为115200,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100)。
· CONSOLE口电缆本身有问题。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
