- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-基本功能配置举例
本章节下载: 01-基本功能配置举例 (1.25 MB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)的配置举例。
平台用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP-28281、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档中所配置举例中,NETA、HOSTB、NETC到平台后置口路由可达,平台前置口到ServerA和ServerB路由可达。
本文假设您已了解平台特性。
如图1所示,NETA、HOSTB、NETC代表外网允许访问的终端。ServerA和ServerB属于内网对外开放服务器。部署平台后,配置2条应用通道,使得仅允许外网NETA、HOSTB、NETC可以访问到内网的这两台FTP服务器。
· 首先统计过平台的应用有哪些,在此测试环境中仅FTP应用
· 调查这些应用分别部署在哪些服务器上,明确访问方向。在此环境上FTP服务部署在内网ServerA和ServerB上,访问方向为外网访问内网服务器。
· 将所有需要被访问服务器的IP以及服务端口PORT统计全,设计服务映射列表。 申请后置需要的IP地址。在此测试环境中平台后置分配2个IP分别为内网2台服务器做映射。
· 当应用存在使用动态端口的情况,添加业务通道时,需分配与应用数量相同的监听IP来防止端口冲突。OPC、SIP、ORACLE和此举例中的FTP均是如此。
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的接口地址) |
连接地址 (连接服务器侧的接口地址) |
目的地址 (FTP服务器IP) |
|
172.16.1.0/24 172.16.11.250 188.33.0.0/24 |
172.16.1.11 |
192.168.1.10 |
192.168.10.30 |
|
172.16.1.12 |
192.168.99.30 |
本举例是在ESS 6702P01版本上进行配置和验证的。
通过平台前置机MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置机登录界面
该配置在系统管理员admin下操作。
点击“网络管理”→“网卡绑定”,选择GE0/1和GE0/2。
图3 网卡绑定
点“+”后会弹出工作模式和连接状态监测方式选项框,如下图:
图4 添加网卡绑定
表2 工作模式
|
选项 |
描述 |
备注 |
|
主备 |
同一时间只有一个接口处于活动状态,当主接口掉线时,即处于LINK-DOWN状态时,另一个接口立即由备份状态转变为活动状态 |
主备模式下,对端设备需要将对接的2个网口设置在一个vlan或一个桥中,切勿配置端口聚合 |
|
负载均衡 |
同一汇聚组里所有接口同时处于活动状态,按会话数负载流量。该模式可扩展网络设备带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性 |
负载均衡模式下,对端设备需要配置端口聚合 |
|
LACP |
根据LACP协议与对端协商端口工作状态。LACP是基于IEEE802.3ad标准的一种实现链路动态汇聚的协议。 |
LACP模式下,对端设备需要配置端口聚合,且对端设备需配置动态LACP,不支持静态LACP聚合模式 |
表3 连接状态检测方式表
|
选项 |
监测方式 |
备注 |
|
MII |
仅监测物理连接是否正常 |
|
|
ARP |
借助ARP响应机制,检测链路层是否可达 |
需要设置同网段其它设备的IP,通常设置网关IP HA环境下,bond口不能使用ARP探测方式 |
配置工作模式、连接状态监测方式完成后,点击“保存”后完成网卡绑定。
图5 完成网卡绑定
点击“网络管理”→“IP地址管理”,选中新增的绑定网卡,设置平台前置系统的IP。
图6 设置平台前置系统的IP
点击“+”,设置完后点“保存”退出。
图7 新建IP
图8 配置IP和掩码
点击“网络管理”>“路由配置”设置前置机的路由,如下图。
图9 路由管理
点击“新增路由”按钮添加路由。设置完毕后点“保存”退出。
图10 添加、保存前置路由
通过平台后置机MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图11 后置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台后置系统的IP。
图12 设置后置系统IP
设置完后点“保存”退出。
图13 添加、保存后置IP设置
如果需要配置多个IP,可以继续添加,如下图:
图14 添加IP
点击“网络管理”>“路由配置”设置后置机的路由,如下图。
图15 路由管理
点击“新增路由”按钮添加路由。设置完毕后点“保存”退出。
图16 添加、保存后置路由
前置或后置上只能各配置一条默认路由。
该配置在前、后置系统的安全管理员secrecy下操作
针对需要开放的服务,配置平台通道,点击“通道管理”,如下图:
图17 后置机系统-通道管理
点击“添加通道”
图18 添加通道
表4 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的多级平台接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
图19 设置ServerA监听通道参数1
表5 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的多级平台接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图20 设置ServerA连接通道参数2
该通道的作用是,内网服务器Server A 192.168.10.30,其21端口的FTP服务映射到平台后置172.16.1.11的21端口上。当外网的用户访问ftp://172.16.1.11时,平台会将请求转发到内网。随后以192.168.1.10这个连接IP作为源地址,192.168.10.30作为目标地址重新封装数据包,发送给Server A。
图21 设置ServerB监听通道参数1
图22 设置ServerB连接通道参数2
如果监听通道不需要挂载策略,直接点击保存并启用即可,或保存后手动启用,如下图:
图23 启用通道
平台默认不主动释放连接,若有业务存在客户端不释放连接的情况,需根据业务情况配置通道空闲超时时间,在连接无数据传输时,平台主动释放连接。否则会导致连接不释放占用系统并发连接,影响业务使用。
该配置在安全管理员secrecy下操作
每条端口类型的通道都可以对访问源IP进行限制。或者根据所选通道类型对相应内容进行过滤。这些都需要通过配置策 略和挂载策略来实现。
点击“策略管理”→“客户端地址”配置源地址限制,如下图:
图24 策略-客户端地址
点击“策略管理”中的“新增”添加策略集,如下图:
图25 新增策略集
策略集有两种过滤类型,分别是“白名单”和“黑名单”,设置完后点“保存”退出。
图26 配置、保存策略集
每个策略集可以容纳多条策略,点击策略中的“新增”,设置具体策略,如下图:
图27 新增策略
图28 保存策略
按照测试环境要求,创建了一个“客户端地址”白名单策略集,其中包含网段172.16.1.0/24、188.33.0.0/24,以及终端172.16.11.250/32,如下图:
图29 策略集-允许访问源1
将策略集挂载到通道上。停用通道后,编辑通道,如下图:
图30 策略集挂载通道
选择需要挂载的策略集,在此测试环境中,仅“允许访问源1”中的三条策略对象访问此通道,即通过平台访问内网Server A的FTP服务,Server B的FTP通道配置类似。保存后启用通道。
使用Host A、Net B、Net C分别访问FTP应用时,就需要访问前后置的监听172.16.1.11和172.16.1.12,来实现FTP应用的访问。
图31 访问监听地址172.16.1.11来访问FTP应用
图32 172.16.1.11界面
图33 访问监听地址172.16.1.12来访问FTP应用
图34 172.16.1.12界面
应用都能正常访问。
通过其它访问源访问ftp://172.16.1.11和ftp://172.16.1.12。
图35 其它访问源访问ftp://172.16.1.11
图36 其它访问源访问ftp://172.16.1.12
通过其它访问源,应用都无法正常访问。
不同于普通路由交换设备。平台连通性不能用单纯的ping或telnet来测试连通性。由于平台转发的仅仅是应用层数据,所以只能通过应用来测试。平台配置完后需要根据不同的业务来进行测试和验证其连通性。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
