- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-SSLO流量编排配置
本章节下载: 08-SSLO流量编排配置 (613.45 KB)
目 录
SSLO(SSL Orchestrator,SSL流量编排器)是一种集中管理安全网元设备(下面简称安全网元)的方案,通过预定义的编排策略对外部用户的访问流量进行智能化调度和控制。
随着SSL/TLS协议的普及,各种安全威胁被加密隐藏,用户对SSL/TLS流量的严格审查需求激增。为了防范这些威胁,企业通常会部署多个安全网元,如防火墙、IPS和WAF来保护其应用。然而,在传统的网络中,每个安全网元都需要对SSL/TLS流量进行重复的解密和加密,导致资源浪费和访问延迟。
如图1-1所示,企业内部服务器可提供HTTPS服务,为应对安全威胁并保护服务器安全,企业部署了多台FW、WAF和IPS等安全网元。通过SSLO流量编排和负载均衡技术,客户端的加密流量首先在Device设备上解密,然后根据编排的顺序和调度算法,依次发送到某台FW、NGFW和IPS等安全网元进行处理。处理后的流量以加密形式转发到内网服务器。
图1-1 SSLO流量编排示意图
SSLO流量编排功能包含如下基本概念:
· 安全网元:负责检测用户请求的网络安全设备。
· 安全资源池:由多个相同类型和部署模式的安全网元组成的集合,用于集中管理这些安全网元。
· 服务链:由多个安全资源池组成的集合,可以控制访问流量依序流经不同安全资源池。
SSLO流量编排主要包含以下三个方面的内容:
(1) 安全网元的资源池管理
SSLO流量编排支持安全网元的池化管理,即将相同类型和部署模式的安全网元纳入同一个安全资源池并对其进行健康检测。当某个安全网元故障时,能快速检测并重新调度业务流量至其他健康安全网元。
(2) 安全资源池的服务链编排
通过SSLO编排策略,可以控制流量按设定顺序经过不同的安全网元,实现对应用流量的灵活管理和网络负载的优化。
(3) SSL流量的加解密处理
SSLO流量编排功能支持对SSL流量进行解密,将明文流量转发给安全网元进行安全检测,然后再加密检测后的流量,转发给后台服务器。
SSLO流量编排功能主要在服务器负载均衡和出方向链路负载均衡场景下应用,通过在虚服务器中引用SSLO编排策略或服务链,可以实现业务流量在发送到服务器或链路前的SSLO流量编排处理。
基于七层虚服务器和基于四层虚服务器引用SSLO流量编排功能的处理流程不一样,具体如下:
图1-2 基于虚服务器实现SSLO流量编排的工作流程图
(1) 客户端向设备发送一个HTTPS访问请求,请求报文匹配上设备的虚服务器IP。设备将请求流量进行SSL解密。
(2) 设备根据负载均衡策略和调度算法,向后台实服务器发送报文前,将请求报文进行SSLO流量编排,根据SSLO编排策略和调度算法,将明文形式的请求报文先转发到FW类型安全资源池中的某一台FW设备进行处理。
(3) FW处理后的报文返回设备。
(4) 设备将FW处理后的报文,再以明文形式发往IPS类型安全资源池,根据调度算法选出某一台IPS设备进行处理。
(5) IPS处理后的报文返回设备。
(6) 设备对安全网元处理后的报文进行加密,发送到后台实服务器(在出链路负载均衡场景下,选择最佳链路,设备通过选定的最佳链路将流量转发给外网服务器)。
(7) 后台实服务器返回应答报文到设备,设备将应答报文进行解密。
(8) 设备对应答报文进行服务链编排,将明文形式的请求报文先转发到步骤(4)选出的IPS设备进行处理。
(9) IPS处理后的报文返回设备。
(10) 设备将IPS处理后的报文,再以明文形式发往步骤(2)选出的FW设备进行处理。
(11) FW处理后的报文返回设备。
(12) 设备对安全网元处理后的报文进行加密发送到客户端。
(1) 客户端向设备发送一个FTP访问请求,请求报文匹配上设备的虚服务器IP。
(2) 设备根据SSLO编排策略和调度算法,将请求报文先转发到FW类型安全资源池中的某一台FW设备进行处理。
(3) FW处理后的报文将返回设备。
(4) 设备将FW处理后的报文,再发往IPS类型安全资源池,根据调度算法选出某一台IPS设备进行处理。
(5) IPS处理后的报文返回设备。
(6) 设备对安全网元处理后的报文进行服务器负载均衡处理,发送到后台实服务器(在出链路负载均衡场景下,选择最佳链路,设备通过选定的最佳链路将流量转发给外网服务器)。
(7) 后台实服务器返回应答报文到设备。
(8) 设备对应答报文进行服务链编排,将请求报文先转发到步骤(4)选出的IPS设备进行处理。
(9) IPS处理后的报文返回设备。
(10) 设备将IPS处理后的报文,再发往步骤(2)选出的FW设备进行处理。
(11) FW处理后的报文返回设备。
(12) 设备对安全网元处理后的应答报文发送到客户端。
· 若客户端发送的是非加密的HTTP协议或四层的请求报文,设备无需进行解密和加密操作,只用进行流量编排处理,流量处理过程中都是明文形式。
· 内网服务器应答报文进入设备后不会再重新匹配SSLO编排策略,而是选择与客户端请求流量走一样的服务链和安全网元,但是安全网元的处理顺序相反。
· 若安全网元是镜像部署模式,数据流量通过设备的镜像端口复制到安全网元,安全检测后的报文不用再返回设备。
调度算法是指根据一定的规则和算法,将用户请求分配给安全资源池内相应的安全网元的过程。在安全资源池中,调度算法会根据安全网元的负载情况、用户请求的特性等因素,计算出处理请求的安全网元,实现资源的合理分配和任务的高效处理。不同的调度算法适用于不同的场景,需要根据具体应用的需求和系统特性来选择最合适的调度算法,以达到性能优化的目的。SSLO流量编排技术支持以下调度算法:
随机算法是将用户请求随机分发给安全资源池内的某台安全网元。经过一段时间后,各个安全网元的连接数大致相同。
随机算法适用于安全资源池内安全网元性能相近,每条流的负载大致相同的场景。
管理员可为每台参与调度的安全资源池成员配置权值。加权轮转算法根据安全资源池成员视图下配置的权值的大小,将请求依次分发给每个安全网元,权值越大,分配的请求越多。
加权轮转算法适用于安全网元性能不同,但每条流的负载大致相同的场景。
根据识别报文信息不同,SSLO流量编排支持的哈希算法分为源IP地址哈希算法、源IP地址+端口哈希算法、目的地址哈希算法和HTTP载荷哈希算法。
根据算法实现不同,SSLO流量编排技术支持的哈希算法分为普通哈希算法和CARP(Cache Array Routing Protocol,缓存阵列路由协议)哈希算法。
· 源IP地址哈希算法:适用于同一源IP地址发起的请求必须要调度到同一台安全网元的场景,多用于应用本身对请求的源IP地址有要求的环境。
¡ 普通源IP地址哈希算法
¡ CARP源IP地址哈希算法
· 源IP地址+端口哈希算法:适用于同一源IP地址和端口发起的请求必须要调度到同一台安全网元的场景,多用于应用本身对请求的源IP地址和端口有要求的环境。
¡ 普通源IP地址和端口哈希算法
¡ CARP源IP地址和端口哈希算法
· 目的IP地址哈希算法:适用于将发往同一目的IP地址的用户请求必须要调度到同一台安全网元的场景,该算法保证发送到相同目的IP地址的流量能够一直在同一台安全网元上进行处理。
¡ 普通目的IP地址哈希算法
¡ CARP目的IP地址哈希算法
· HTTP载荷哈希算法:设备将具有相同HTTP载荷的用户请求分配给相同的安全网元。
CARP哈希算法是在普通哈希算法的基础上进行了改进。在安全网元故障和安全资源池扩容的场景下,相比于普通哈希算法,采用CARP源哈希算法,能使当前所有可用安全网元负载分担变动最小,更好地保持流量调度的持续性。
· 在实际应用中,若某台安全网元由于故障等原因无法工作。则原来发送至该故障安全网元的请求,将被分配至安全资源池内其他可用的安全网元上。
¡ 采用普通IP地址哈希算法,原来发送至未故障的安全网元的请求,将根据源IP地址、源IP地址+端口、目的IP地址或HTTP载荷,在安全资源池内所有安全网元上进行重新分配。所有访问流量均需要重新分配,影响用户体验。
¡ 采用CARP IP地址哈希算法,原来发送至未故障的安全网元的请求,将继续被分配到原来的安全网元上。采用该算法,仅故障安全网元的访问流量会被重新分配,而不影响安全资源池内无故障安全网元的访问流量。
· 若因为安全资源池扩容等需求,在安全资源池中增加新的安全网元。
¡ 采用普通IP地址哈希算法,将根据源IP地址、源IP地址+端口、目的IP地址或HTTP载荷,将请求在安全资源池内所有安全网元上进行重新分配,包括新增安全网元和已有安全网元。
¡ 采用CARP IP地址哈希算法,只将一部分发送至原有安全网元的请求,分配至新增安全网元;大部分请求仍然分配到已有安全网元上。
管理员可为每台参与调度的安全网元配置权值,该权重通常反映了安全网元的处理能力或性能表现。
基于安全网元的加权最小连接算法总是将请求分发给加权活动连接数(当前安全网元在所有安全资源池中的活动连接总数/权值)最小的安全网元。
基于安全资源池成员的加权最小连接算法总是将请求分发给加权活动连接数(安全资源池成员在指定安全资源池中的活动连接数/权值)最小的安全资源池成员。
加权最小连接算法适用于安全网元性能相近,但每条流的负载和处理时间不同的场景。
根据安全网元的响应时间计算出当前负载能力的权值。响应时间越短,权值越大,分配到的新连接越多。
最快响应算法适用于安全网元性能相近,但每条流的负载较大、处理时间较长的场景。
SSLO流量编排功能可被负载均衡的虚服务器引用,支持与负载均衡业务相同的网关部署、旁挂部署和三角传输部署模式,以及支持主备模式的高可靠性组网。这些部署模式和组网方式的详细介绍,请参见“负载均衡配置指导”中的“服务器负载均衡”。
若采用三角传输部署模式时,因内网服务器返回的应答报文不经过设备,通过核心交换机直接透传到客户端,所以应答报文将不进行SSLO流量编排处理。
安全网元支持二层部署、三层部署以及镜像模式部署。
图1-3 安全网元部署模式图
二层模式的安全网元的出入口需分别连接到SSLO设备的两个独立网口。若经过交换机连接,需通过划分VLAN来隔离上行和下行流量,避免流量直接返回到SSLO设备而绕过安全网元。
安全网元上的两个二层接口应配置成跨VLAN Bridge。SSLO设备上的两个网口需要分别配置与一个VPN实例关联。
三层模式的安全网元支持双臂和单臂连接到SSLO设备。双臂连接时,SSLO设备上的两个网口需要配置与同一个VPN实例关联;单臂连接时,SSLO设备的对应网口配置与一个VPN实例关联,与其他安全网元隔离。
在同一个安全资源池内的三层安全网元可以连接到SSLO设备上的同一网口,而不同的安全资源池的三层安全网元不能连接到同一个网口。
镜像模式的安全网元可以直接或通过交换机连接至SSLO设备的一个网口,该网口需要与独立的VPN实例关联。
SSLO流量编排功能具体配置思路如图1-4所示。
图1-4 SSLO编排配置思路图
SSLO流量编排功能配置任务如下:
(1) 配置安全网元
(2) 配置安全资源池
(3) 配置服务链
(4) 配置SSLO编排策略
安全网元部署模式分为二层部署、三层部署以及镜像部署。创建安全网元时,需要根据网络实际情况指定安全网元的部署模式。
· 三层部署模式:安全网元工作在网络层,对不同网络间的数据包进行安全控制和策略检查。
· 二层部署模式:安全网元工作在数据链路层,用于本地网络中的数据帧传输和交换,实现对本地网络内部流量的安全控制和保护。
· 镜像部署模式:安全网元旁路连接到网络设备(如交换机)上的指定镜像端口,该端口复制的数据流量会发送到安全网元上进行实时监控和分析。
对于镜像部署模式的安全网元,需要在设备上指定安全网元的IPv4地址、MAC地址以及设备上流向安全网元的请求流量对应的出接口,否则该安全网元不可用。
对于二层和三层模式的安全网元,需要指定设备上流向安全网元的请求流量对应的出接口和互联IP地址,以及设备上来自安全网元的请求流量对应的入接口和互联IP地址,否则该安全网元不可用。
镜像模式、二层模式和三层模式的安全网元配置任务如下:
(1) 创建安全网元
(2) 配置安全网元,以下配置请选择一项进行配置。
(3) (可选)配置安全网元的通用参数
(4) 开启安全网元
(1) 进入系统视图。
system-view
(2) 创建安全网元,并进入安全网元视图。
sslo security-node node-name [ mode { layer2 | layer3 | mirror } ]
创建安全网元时必须为其指定类型;而在进入已创建的安全网元视图时可以不指定类型,但若要指定类型,则必须与创建时的类型一致。
(3) (可选)配置安全网元的描述信息。
description text
缺省情况下,未配置安全网元的描述信息。
设备出接口:即客户端请求流量从此接口进入安全网元,到达安全网元的服务器应答流量从此接口返回设备。
设备入接口:即从安全网元返回的客户端请求流量从此接口进入设备,服务器应答流量从此接口进入安全网元。
· 对于二层模式安全网元:
出接口互联IP地址:即设备的入接口IP地址。
入接口互联IP地址:即设备的出接口IP地址。
· 对于三层模式安全网元:
出接口互联IP地址:即安全网元的入接口IP地址。
入接口互联IP地址:即安全网元的出接口IP地址。
(1) 进入系统视图。
system-view
(2) 进入二层或三层模式的安全网元视图。
sslo security-node node-name [ mode { layer2 | layer3 } ]
(3) 指定设备上请求流量流向安全网元的出接口。
to-security-node-interface { interface-name | interface-type interface-number }
缺省情况下,未配置设备上请求流量流向安全网元的出接口。
(4) 配置设备上请求流量流向安全网元的出接口互联地址。
to-security-node-nexthop ipv4-address
缺省情况下,未配置设备上请求流量流向安全网元的出接口互联地址。
(5) 指定设备上请求流量从安全网元返回的入接口。
from-security-node-interface { interface-name | interface-type interface-number }
缺省情况下,未配置设备上请求流量从安全网元返回的入接口。
(6) 配置设备上请求流量从安全网元返回的入接口互联地址。
from-security-node-nexthop ipv4-address
缺省情况下,未配置设备上请求流量从安全网元返回的入接口互联地址。
(1) 进入系统视图。
system-view
(2) 进入镜像模式的安全网元视图。
sslo security-node node-name [ mode mirror ]
(3) 配置安全网元的IP地址。
ip-address ipv4-address
缺省情况下,未配置镜像模式安全网元的IPv4地址。
(4) 配置安全网元的MAC地址。
mac-address mac-address
缺省情况下,未配置镜像模式的安全网元的MAC地址。
(5) 指定设备上请求流量流向安全网元的出接口。
to-security-node-interface { interface-name | interface-type interface-number }
缺省情况下,未配置设备上请求流量流向安全网元的出接口。
目前,二层模式的安全网元只支持引用ICMP类型的健康检测模板,其他模式的安全网元支持引用ICMP、TCP、UDP类型的健康检测模板。
镜像模式下,安全网元引用健康检测方法时,若指定了发送NQA探测报文的接口,探测的目的地址为网元IP地址;否则,使用NQA模板中配置的目的地址。
二层或三层模式下,安全网元引用健康检测方法时,建议配置发送NQA探测报文的接口,健康检测将使用该接口互联地址和VPN进行探测;否则,使用NQA模板中配置的目的地址。
(1) 进入系统视图。
system-view
(2) 进入安全网元视图。
sslo security-node node-name
(3) 配置安全网元的权值。
weight weight-value
缺省情况下,安全网元的权值为100。
配置安全网元的权值,可以调整安全网元在调度算法所使用的权值。
a. 指定安全网元的健康检测方法。
probe template-name [ to-security-node-interface | from-security-node-interface ]
缺省情况下,未指定安全网元的健康检测方法。
b. 配置安全网元健康检测的成功条件。
success-criteria { all | at-least min-number }
缺省情况下,只有全部方法都通过检测才认为健康检测成功。
c. 开启安全网元的健康检测日志功能。
probe log enable
缺省情况下,安全网元的健康检测日志功能处于开启状态。
当某个安全网元需要进行维护或升级等操作时,管理员可通过本功能关闭安全网元。关闭安全网元后,流量会直接跳过所有安全资源池下引用的该安全网元,该安全网元将不再参与新的调度,但已经建立的连接会继续保持。
(1) 进入系统视图。
system-view
(2) 进入安全网元视图。
sslo security-node node-name
(3) 开启安全网元。
service enable
缺省情况下,安全网元处于开启状态。
根据安全网元的部署模式,创建相应的安全资源池,并将同一模式的安全网元归入其中。部署模式包括二层部署、三层部署和镜像部署。通过这种方式可以更好地组织和管理安全网元,并实现安全网元的平滑扩展。
配置安全资源池成员的权值和调用优先级,可以调整安全资源池成员在调度算法中所使用的权值,以及安全资源池成员在池中的调用优先级。
设备根据安全资源池中配置的调度算法,计算出处理用户请求的安全网元。对于调度算法的详细介绍,请参见“调度算法”。
加权最小连接算法根据计算范围不同,可分为:
· 基于安全网元的调度算法:算法所使用的参数为安全网元的整体性能参数,使用的权值为安全网元视图下配置的权值。
· 基于安全资源池成员的调度算法:算法所使用的参数为安全资源池成员在当前安全资源池中的性能参数,使用的权值为安全资源池成员视图下配置的权值。
针对SSL卸载流量,如果直接将其发送给安全网元可能导致端口识别问题。通过配置SSL流量的端口映射功能,将SSLO设备发送给安全网元的流量中的目的端口替换为指定端口号。当安全网元返回消息时,SSLO设备再将端口号替换回原始端口。这样可以确保流量在网络中正常传输并且端口识别不会受到影响。
若配置安全资源池下所有成员都故障时的处理方式为Bypass,流量将跳过故障安全资源池,转发给服务链下一个安全资源池进行处理。
若开启安全资源池的Bypass功能,不管资源池成员状态可不可用,流量会直接跳过该安全资源池,转发给服务链下一个安全资源池进行处理。
若同时开启以上两个功能,开启安全资源池的Bypass功能生效。
镜像模式下,安全资源池引用健康检测方法时,若指定了发送NQA探测报文的接口,探测的目的地址为网元IP地址;否则,使用NQA模板中配置的目的地址。
二层或三层模式下,安全资源池引用健康检测方法时,建议配置发送NQA探测报文的接口,健康检测将使用该接口互联地址和VPN进行探测;否则,使用NQA模板中配置的目的地址。
(1) 进入系统视图。
system-view
(2) 创建安全资源池,并进入安全资源池视图。
sslo security-pool pool-name [ mode { layer2 | layer3 | mirror } ]
创建安全资源池时必须为其指定类型;而在进入已创建的安全资源池视图时可以不指定类型,但若要指定类型,则必须与创建时的类型一致。
(3) 配置安全资源池中安全网元的类型。
type { acg | dlp | fw | ips | ngfw | waf }
缺省情况下,未配置安全资源池中安全网元的类型。
配置安全资源池类型后,请确保添加的安全网元设备实际类型与安全资源池类型一致。
(4) (可选)配置安全资源池的描述信息。
description text
缺省情况下,未配置安全资源池的描述信息。
(5) 添加安全资源池成员,并进入安全资源池成员视图。
security-node node-name
缺省情况下,不存在安全资源池成员。
安全资源池只能添加与自身部署模式相同的安全网元,例如:二层模式的安全资源池只能添加二层模式的安全网元。
(6) (可选)配置安全资源池成员。
a. 配置安全资源池成员的权值。
weight weight-value
缺省情况下,安全网元的权值为100。
b. 配置安全资源池成员的调用优先级。
priority priority-value
缺省情况下,安全网元的调用优先级为4。
c. 开启安全资源池成员。
service enable
缺省情况下,安全资源池下成员处于开启状态。
关闭安全资源池成员后,流量会直接跳过该资源池成员,该成员将不参与新的调度,但已经建立的连接会继续保持。
(7) 返回安全资源池视图。
quit
(8) (可选)配置安全资源池的调度算法。
a. 配置安全资源池的调度算法。
predictor hash [ carp ] address { destination | source | source-ip-port } [ mask mask-length ]
predictor hash [ carp ] http [ offset offset ] [ start start-string ] [ end end-string | length length ]
predictor { least-connection member | least-time member | random | round-robin }
缺省情况下,安全资源池的调度算法为加权轮转算法。
b. 配置安全资源池中可被调度算法调用的安全网元数量限制。
selected-node-limit min min-number max max-number
缺省情况下,安全资源池中调用优先级最高的成员全部被调度算法调用。
(9) (可选)配置安全资源池的健康检测功能,请依次进行如下配置。
a. 指定安全资源池的健康检测方法。
probe template-name [ from-security-node-interface | to-security-node-interface ]
缺省情况下,未指定安全资源池的健康检测方法。
b. 配置安全资源池健康检测的成功条件。
success-criteria { all | at-least min-number }
缺省情况下,只有全部方法都通过检测才认为健康检测成功。
(10) (可选)配置安全资源池的故障处理方式。
fail-action { drop | bypass }
缺省情况下,安全资源池中所有成员故障时的处理方式为Bypass。
(11) (可选)开启安全资源池的Bypass功能。
bypass
缺省情况下,安全资源池的Bypass功能处于关闭状态。
(12) (可选)配置安全资源池SSL流量的端口映射功能。
ssl mapping-port port
缺省情况下,未配置安全资源池SSL流量的端口映射。
在服务链中添加安全资源池,并调整安全资源池顺序,使匹配服务链的用户访问流量按照排列顺序从上到下通过各个安全资源池进行处理。
服务链的工作模式包括Bypass、断网和通用模式。
· Bypass模式:报文会直接跳过SSLO编排策略。在某些情况下,可能需要绕过安全设备对特定流量进行处理,或者避免对特定服务或应用进行安全设备流量管控时,可以使用Bypass模式。
· 断网模式:用来关闭所有服务链,丢弃所有走服务链的报文。当需要临时停止所有服务链的流量传送时,可以使用断网模式。例如,在网络维护、故障排查或安全漏洞修复过程中暂时关闭所有服务链的情况。
· 通用模式:报文按照设定的SSLO编排策略经过安全设备进行相关处理和分析。通用模式是服务链的默认工作模式,适用于大多数情况下的网络流量处理,确保所有流量按照规定的SSLO编排策略进行安全处理和管控。
(1) 进入系统视图。
system-view
(2) 创建服务链,并进入服务链视图。
sslo service-chain service-chain-name
(3) 向服务链中添加安全资源池并调整安全资源池位置。
security-pool pool-name-1 [ insert-after pool-name-2 | insert-before pool-name-2 | bottom | top ]
缺省情况下,未添加任何安全资源池。
(4) 返回系统视图。
quit
(5) (可选)配置服务链的工作模式。
sslo work-mode { bypass | normal | shutdown }
缺省情况下,服务链工作模式为通用模式。
在四层虚服务器(IP、工作在四层的TCP、UDP、LINK-IP类型)和七层虚服务器(HTTP类型)中引用SSLO编排策略,可以使匹配上该虚服务器的流量进行加解密处理及流量编排控制。
一个SSLO编排策略下只能引用一条服务链。
通用类型的SSLO编排策略可被IP、TCP、UDP、HTTP和LINK-IP类型的虚服务器引用。HTTP类型的SSLO编排策略可被HTTP类型的虚服务器引用。
(1) 进入系统视图。
system-view
(2) 创建SSLO编排策略,并进入SSLO编排策略视图。
sslo policy policy-name [ type { generic | http } ]
创建SSLO编排策略时必须为其指定类型;而在进入已创建的SSLO编排策略视图时可以不指定类型,但若要指定类型,则必须与创建时的类型一致。
(3) (可选)配置SSLO编排策略的描述信息。
description text
缺省情况下,未配置SSLO编排策略的描述信息。
(4) 添加服务链。
service-chain service-chain-name
缺省情况下,SSLO编排策略下不存在服务链。
(5) (可选)配置SSLO编排策略的匹配方式。
match-mode { all-rules | any-rule }
缺省情况下,匹配方式为匹配任一规则。
(6) 配置匹配规则。
¡ 入接口匹配规则
match match-rule-name interface { interface-type interface-number | interface-name }
¡ 源IP地址类型的匹配规则
match match-rule-name source ipv4 { range start-ipv4-address end-ipv4-address | subnet ipv4-address { mask-length | mask } | object-group-name }
¡ 目的IP地址类型的匹配规则
match match-rule-name destination ipv4 { range start-ipv4-address end-ipv4-address | subnet ipv4-address { mask-length | mask } | object-group-name }
¡ 目的端口的匹配规则
match match-rule-name destination-port port
¡ HTTP URL类型的匹配规则
match match-rule-name url expression
仅HTTP类型的SSLO编排策略支持配置本命令。
¡ HTTP首部匹配规则
match match-rule-name header header-name pattern [ case-sensitive ] regex expression
仅HTTP类型的SSLO编排策略支持配置本命令。
¡ 基于用户的匹配规则
match match-rule-name [ identity-domain domain-name ] user user-name
缺省情况下,SSLO编排策略中不存在匹配规则。
(7) 调整匹配规则的排序。
move match match-rule-name1 { after match-rule-name2 | before match-rule-name2 | bottom | top }
缺省情况下,SSLO编排策略的匹配规则按照创建时间的先后进行排序。
在服务器负载均衡场景中,配置SSLO流量编排可以在客户端加密流量发送到后台实服务器之前进行解密,解密后的请求流量会根据匹配的SSLO编排策略或默认服务链,按照预定编排顺序发送到健康的安全网元进行安全检测,设备将检测后的流量再加密转发到内网服务器进行处理。这种方式不仅节省了设备资源,还保证了内网实服务器的安全。
虚服务器引用SSLO编排策略,能够根据SSLO编排策略中的匹配规则,使走流量编排的报文根据不同的报文内容进行不同的服务链编排处理。
当虚服务器下的SSLO编排策略没有匹配上,或者没有配置SSLO编排策略时,则可以使用默认服务链来进行SSLO编排。
有关服务器负载均衡虚服务器的相关配置,请参见“负载均衡配置指导”中的“服务器负载均衡”。
(1) 创建虚服务器,并配置虚服务器的IP地址和端口号。只有匹配上虚服务器的IP地址和端口号的请求报文才会被进行负载均衡和SSLO流量编排处理。
system-view
virtual-server virtual-server-name [ type { http | ip | tcp | udp } ]
创建虚服务器时必须为其指定类型;而在进入已创建的虚服务器视图时可以不指定类型,但若要指定类型,则必须与创建时的类型一致。
virtual ip address ipv4-address [ mask-length | mask | vpn-instance vpn-instance-name ]
virtual ipv6 address ipv6-address [ prefix-length | vpn-instance vpn-instance-name ]
缺省情况下,未配置虚服务器的IP地址。
port { port-number [ to port-number ] } &<1-n>
缺省情况下,IP、TCP和UDP类型虚服务器的端口号为0(表示任意端口号),HTTP类型虚服务器的端口号为80。
service enable
缺省情况下,虚服务器处于关闭状态。
(2) 配置虚服务器引用SSLO编排策略和默认服务链。对报文进行SSLO流量编排和安全检测处理。
¡ 引用SSLO编排策略
sslo-policy policy-name [ bottom | insert-after after-policy-name | insert-before before-policy-name | top ]
缺省情况下,未引用SSLO编排策略。
¡ 指定默认的服务链。
default sslo service-chain service-chain-name
缺省情况下,未指定默认的服务链。
(3) 配置服务器负载均衡的报文处理策略,使通过SSLO流量编排和安全检测处理后的安全报文负载分担到后台实服务器。请至少选择其中一项进行配置:
¡ 指定实服务组。
default server-farm server-farm-name [ backup backup-server-farm-name ] [ sticky sticky-name [ backup backup-sticky-name ] ]
缺省情况下,未指定实服务组。
¡ 指定虚服务器引用的负载均衡策略。
lb-policy policy-name
缺省情况下,虚服务器未引用任何负载均衡策略。
在出方向链路负载均衡场景中,配置SSLO流量编排可以对内网服务器的加密流量发送到外网服务器之前进行解密,解密后的流量会根据匹配的SSLO编排策略或默认服务链,按照预定编排顺序发送到健康的安全网元进行安全检测,设备将检测后的流量再进行加密,通过选定的最佳链路将流量转发给外网服务器进行处理。
虚服务器引用SSLO编排策略,能够根据SSLO编排策略中的匹配规则,使走流量编排的报文根据不同的报文内容进行不同的服务链编排处理。
当虚服务器下的SSLO编排策略没有匹配上,或者没有配置SSLO编排策略时,则可以使用默认服务链来进行SSLO编排。
在出方向链路负载均衡进行SSLO流量编排的场景下,设备作为SSL代理服务器时,需要向内网客户端发送证书表明自身的身份。但设备并不是直接将客户端访问的服务器证书发送给客户端,也不是简单地将自己的证书发送给客户端,而是根据客户端访问的服务器证书的内容,使用导入的SSL解密证书重新签发一本新的“服务器证书”发送给客户端。
用户导入SSL解密证书时,需要为其标识为“可信”或者“不可信”,用于签发不同可信度的新的“服务器证书”:
· 可信:表示客户端信任的证书。
· 不可信:表示客户端不信任的证书。
当设备接收到服务器证书后,设备将使用PKI域中的CA证书替客户端验证服务器是否可信。有关PKI域的详细介绍,请参见“安全配置指导”中的“PKI”。根据验证结果不同,设备会使用不同标识的SSL解密证书:
· 当服务器可信时:设备将使用可签发“可信”标识的SSL解密证书,签发一个新的“服务器证书”发送给客户端。
· 当服务器不可信时:设备将使用可签发“不可信”标识的SSL解密证书,签发一个新的“服务器证书”给客户端,由客户端决定是否继续访问不可信的服务器。
有关出方向链路负载均衡的相关配置,请参见“负载均衡配置指导”中的“出方向链路负载均衡”。
设备上只能存在一份可信SSL解密证书和一份不可信SSL解密证书,后续导入的可信或者不可信证书会覆盖原有的证书。
需要在客户端浏览器上安装并信任标识为可信的SSL解密证书。
为了正确导入SSL解密证书,需要满足以下要求:
· 具有完整的证书链,包括所有中间证书直至根证书。
· 证书应具备签发证书的功能。
· 证书必须是p12或pem格式,并且应包含私钥。同时,需要提供用于解密私钥的密码。
· 证书必须在有效期内。
导入成功后,设备将修改证书文件类型为CER格式。
设备不支持对HTTP2.0版本协议流量进行SSL代理。配置SSL透明代理功能后,如果服务器仅支持HTTP2.0版本协议,则会导致客户端无法访问服务器。
免卸载域名为PKI证书中的FQDN和通用名称(CN)字段。SSL透明代理时,优先匹配FQDN中的域名,当不存在FQDN,则检查CN字段中的域名是否为免卸载域名。匹配免卸载域名的SSL流量将不进行解密,直接进行流量编排。
(1) 创建虚服务器,并配置虚服务器的IP地址和端口号。只有匹配上虚服务器的IP地址和端口号的请求报文才会被进行出方向链路负载均衡和SSLO流量编排处理。
system-view
virtual-server virtual-server-name [ type link-ip ]
创建虚服务器时必须为其指定类型;而在进入已创建的虚服务器视图时可以不指定类型,但若要指定类型,则必须与创建时的类型一致。
virtual ip address ipv4-address [ mask-length | mask ]
virtual ipv6 address ipv6-address [ prefix-length ]
缺省情况下,未配置虚服务器的IP地址。
port { port-number [ to port-number ] } &<1-32>
缺省情况下,LINK-IP类型虚服务器的端口号为0(表示任意端口号)。
service enable
缺省情况下,虚服务器处于关闭状态。
(2) 配置虚服务器引用SSLO编排策略和默认服务链。对报文进行SSLO流量编排和安全检测处理。
¡ 引用SSLO编排策略
sslo-policy policy-name [ ssl-transparent ] [ bottom | insert-after after-policy-name | insert-before before-policy-name | top ]
缺省情况下,未引用SSLO编排策略。
¡ 指定默认的服务链。
default sslo service-chain service-chain-name [ ssl-transparent ]
缺省情况下,未指定默认的服务链。
(3) 配置出方向链路负载均衡的报文处理策略,使通过SSLO流量编排和安全检测处理后的安全报文负载分担到指定链路进行转发。请至少选择其中一项进行配置:
¡ 指定链路组。
default link-group link-group-name [ backup backup-link-group-name ] [ sticky sticky-name ]
缺省情况下,未指定链路组。
¡ 指定虚服务器引用的负载均衡策略。
lb-policy policy-name
缺省情况下,虚服务器没有引用任何负载均衡策略。
(4) 返回系统视图。
quit
(5) 配置出方向链路负载均衡的SSL透明代理,对客户端SSL/TLS流量进行解密与代理。
¡ 导入支持商密算法的SSL透明代理解密证书。
ssl-transparent cm-certificate import { trusted | untrusted | both } filename file-name
缺省情况下,不存在商密算法的SSL透明代理解密证书。
¡ (可选)删除商密算法的SSL透明代理解密证书。
ssl-transparent cm-certificate delete { trusted | untrusted | both }
(6) (可选)配置SSL透明代理的免卸载域名,对特定域名的SSL流量不进行解密,直接进行SSLO流量编排。此功能适用于需要保护隐私或避免解密干扰的特定域名。
¡ 添加免卸载域名。
ssl-transparent bypass-decrypt domain domain-name
缺省情况下,未配置免卸载域名。
¡ 激活免卸载域名。
ssl-transparent bypass-decrypt activate
缺省情况下,未激活免卸载域名。
在完成上述配置后,在任意视图下执行display命令可以显示配置后SSLO编排的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除SSLO编排的统计信息。
表1-1 SSLO编排显示和维护
|
配置 |
命令 |
|
显示SSLO编排策略的信息 |
display sslo policy [ name policy-name ] |
|
显示服务链的信息 |
display sslo service-chain [ name service-chain-name ] |
|
显示安全网元的信息 |
display sslo security-node { brief | name node-name } |
|
显示安全网元或安全资源池成员的统计信息 |
display sslo security-node statistics [ name security-node-name | service-chain service-chain-name [ security-pool security-pool-name [ name security-node-name ] ] ] [ slot slot-number ] |
|
显示安全资源池的信息 |
display sslo security-pool { brief | name security-pool-name } |
|
显示SSL透明代理免卸载的域名 |
display ssl-transparent bypass-decrypt domain |
|
显示SSL透明代理免卸载的IP地址 |
display ssl-transparent bypass-decrypt { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] }[ slot slot-number [ cpu cpu-number ] ] |
|
显示商密算法的SSL透明代理解密证书 |
display ssl-transparent cm-certificate |
|
显示客户端访问的服务器的证书 |
display ssl-transparent server-certificate
display ssl-transparent server-certificate [ slot slot-number [ cpu cpu-number ] ] |
|
清除安全网元或安全资源池成员的统计信息 |
reset sslo security-node statistics [ security-node-name | service-chain service-chain-name [ security-pool security-pool-name [ name security-node-name ] ] ] |
|
清除SSL透明代理免卸载的IP地址 |
reset ssl-transparent bypass-decrypt ip |
|
清除客户端访问的服务器的证书 |
reset ssl-transparent server-certificate |
企业内网服务器ServerA、ServerB和ServerC对外提供Web服务。企业部署了两台防火墙(sn1和sn2)、一台WAF(sn3)和一台IPS(sn4)设备,来保护内网服务器的安全。要求实现:
· 防火墙为二层部署模式,WAF为三层部署模式,IPS为镜像部署模式。
· 需要将客户端的请求流量依次调度给防火墙、WAF和IPS进行安全检测,检测后流量再负载分担到内网服务器。
图1-5 SSLO流量编排配置组网图
表1-2 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/1 |
|
Interface2 |
GigabitEthernet1/0/2 |
|
Interface3.100 |
GigabitEthernet1/0/3.100 |
|
Interface3.101 |
GigabitEthernet1/0/3.101 |
|
Interface4.200 |
GigabitEthernet1/0/4.200 |
|
Interface4.201 |
GigabitEthernet1/0/4.201 |
|
Interface5 |
GigabitEthernet1/0/5 |
|
Interface6 |
GigabitEthernet1/0/6 |
表1-3 组网图接口与IP地址对应关系
|
设备名称 |
接口 |
IP地址 |
VPN实例 |
VLAN |
互联设备 |
|
安全网元sn1 |
GE1/0/1 |
无 |
vpn1 |
VLAN100 |
Switch |
|
GE1/0/2 |
无 |
vpn2 |
VLAN200 |
||
|
安全网元sn2 |
GE1/0/1 |
无 |
vpn3 |
VLAN101 |
Switch |
|
GE1/0/2 |
无 |
vpn4 |
VLAN201 |
||
|
安全网元sn3 |
GE1/0/1 |
无 |
vpn5 |
VLAN300 |
Switch |
|
安全网元sn4 |
GE1/0/1 |
无 |
vpn6 |
VLAN400 |
Switch |
|
Switch |
GE1/0/1 |
无 |
无 |
VLAN100 VLAN101 |
Device |
|
GE1/0/2 |
无 |
无 |
VLAN200 VLAN201 |
||
|
GE1/0/3 |
无 |
无 |
VLAN300 |
||
|
GE1/0/4 |
无 |
无 |
VLAN400 |
||
|
GE1/0/5 |
无 |
无 |
VLAN100 |
安全网元sn1 |
|
|
GE1/0/6 |
无 |
无 |
VLAN200 |
||
|
GE1/0/7 |
无 |
无 |
VLAN101 |
安全网元sn2 |
|
|
GE1/0/8 |
无 |
无 |
VLAN201 |
||
|
GE1/0/9 |
无 |
无 |
VLAN300 |
安全网元sn3 |
|
|
GE1/0/10 |
无 |
无 |
VLAN400 |
安全网元sn4 |
|
|
Device |
Interface1 |
61.159.4.100/24 |
无 |
无 |
Host |
|
Interface2 |
192.168.1.100/24 |
无 |
无 |
Server |
|
|
Interface3.100 |
1.0.0.1 |
vpn1 |
VLAN100 |
Switch(互联安全网元sn1) |
|
|
Interface4.200 |
2.0.0.1 |
vpn2 |
VLAN200 |
||
|
Interface3.101 |
3.0.0.1 |
vpn3 |
VLAN101 |
Switch(互联安全网元sn2) |
|
|
Interface4.201 |
4.0.0.1 |
vpn4 |
VLAN201 |
||
|
Interface5.300 |
16.1.1.1/24 |
vpn5 |
VLAN300 |
Switch(互联安全网元sn3) |
|
|
Interface6.400 |
17.1.1.1/24 |
vpn6 |
VLAN400 |
Switch(互联安全网元sn4) |
(1) 配置安全网元
# 配置FW、WAF和IPS安全网元,确保安全网元与设备流量互通。
(2) 配置Switch
# 在Switch上创建VLAN 100、VLAN 200、VLAN 101、VLAN 201、VLAN300和VLAN400,将连接Device设备的接口链路类型设置为Trunk,并将这些接口分别加入VLAN 100、VLAN 200、VLAN 101、VLAN 201、VLAN300和VLAN400。
# 将连接安全网元的接口链路类型设置为Access,并将连接安全网元sn1的接口加入VLAN 100和VLAN 200,将连接安全网元sn2的接口加入VLAN 101和VLAN 201,将连接安全网元sn3的接口加入VLAN 300,将连接安全网元sn4的接口加入VLAN 400。
# 将安全网元sn3、sn4与Switch的互联接口IP地址分别配置在同一网段。
(3) 配置Device
a. 创建VPN实例
# 创建VPN实例vpn1。
[Sysname] sysname Device
[Device] ip vpn-instance vpn1
[Device-vpn-instance-vpn1] quit
[Device] ip vpn-instance vpn2
[Device-vpn-instance-vpn2] quit
[Device] ip vpn-instance vpn3
[Device-vpn-instance-vpn3] quit
[Device] ip vpn-instance vpn4
[Device-vpn-instance-vpn4] quit
[Device] ip vpn-instance vpn5
[Device-vpn-instance-vpn5] quit
[Device] ip vpn-instance vpn6
[Device-vpn-instance-vpn6] quit
b. 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 61.159.4.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 192.168.1.100 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
# 创建以太网子接口GigabitEthernet1/0/3.100和GigabitEthernet1/0/4.200,分别为其配置IP地址,配置GigabitEthernet1/0/3.100与vpn1关联,配置GigabitEthernet1/0/4.200与vpn2关联;并配置GigabitEthernet1/0/3.100终结VLAN 100的报文,GigabitEthernet1/0/4.200终结VLAN 200的报文,具体配置步骤如下。
[Device] interface gigabitethernet 1/0/3.100
[Device-GigabitEthernet1/0/3.100] ip address 1.0.0.1 255.0.0.0
[Device-GigabitEthernet1/0/3.100] ip binding vpn-instance vpn1
[Device-GigabitEthernet1/0/3.100] vlan-type dot1q vid 100
[Device-GigabitEthernet1/0/3.100] quit
[Device] interface gigabitethernet 1/0/4.200
[Device-GigabitEthernet1/0/4.200] ip address 2.0.0.1 255.0.0.0
[Device-GigabitEthernet1/0/4.200] ip binding vpn-instance vpn2
[Device-GigabitEthernet1/0/4.200] vlan-type dot1q vid 200
[Device-GigabitEthernet1/0/4.200] quit
# 参考以上步骤配置GigabitEthernet1/0/3.101、GigabitEthernet1/0/4.201、GigabitEthernet1/0/5.300和GigabitEthernet1/0/6.400的IP地址、关联的VPN实例,以及终结VLAN ID的报文。
[Device] interface gigabitethernet 1/0/3.101
[Device-GigabitEthernet1/0/3.101] ip address 3.0.0.1 255.0.0.0
[Device-GigabitEthernet1/0/3.101] ip binding vpn-instance vpn3
[Device-GigabitEthernet1/0/3.101] vlan-type dot1q vid 101
[Device-GigabitEthernet1/0/3.101] quit
[Device] interface gigabitethernet 1/0/4.201
[Device-GigabitEthernet1/0/4.201] ip address 4.0.0.1 255.0.0.0
[Device-GigabitEthernet1/0/4.201] ip binding vpn-instance vpn4
[Device-GigabitEthernet1/0/4.201] vlan-type dot1q vid 201
[Device-GigabitEthernet1/0/4.201] quit
[Device] interface gigabitethernet 1/0/5.300
[Device-GigabitEthernet1/0/5.300] ip binding vpn-instance vpn5
[Device-GigabitEthernet1/0/5.300] ip address 16.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/5.300] vlan-type dot1q vid 300
[Device-GigabitEthernet1/0/5.300] quit
[Device] interface gigabitethernet 1/0/6.400
[Device-GigabitEthernet1/0/6.400] ip binding vpn-instance vpn6
[Device-GigabitEthernet1/0/6.400] ip address 17.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/6.400] vlan-type dot1q vid 400
[Device-GigabitEthernet1/0/6.400] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达Host的下一跳IPv4地址为61.159.4.1,实际环境中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0.0.0.0 61.159.4.1
[Device] ip route-static vpn-instance vpn1 2.0.0.0 24 1.0.0.2
[Device] ip route-static vpn-instance vpn2 1.0.0.0 24 2.0.0.2
[Device] ip route-static vpn-instance vpn3 4.0.0.0 24 3.0.0.2
[Device] ip route-static vpn-instance vpn4 3.0.0.0 24 4.0.0.2
d. 配置NQA
# 创建ICMP类型的NQA模板t1。
安全资源池引用NQA模板后,设备会自动探测资源池下成员的IP地址和端口。缺省情况下,连续两次探测开始时间的时间间隔为5000毫秒,连续探测成功和失败的次数分别为3次,探测的超时时间为3000毫秒。本举例NQA模板的各参数均采用缺省值。实际组网中,请根据具体情况配置相应的参数值。
[Device] nqa template icmp t1
[Device-nqatplt-icmp-t1] quit
e. 配置二层模式安全网元
# 创建安全网元sn1,配置设备上请求流量从安全网元返回的入接口为GigabitEthernet1/0/3.100,互联IP地址为2.0.0.1;配置设备上请求流量流向安全网元的出接口为GigabitEthernet1/0/4.200,互联IP地址为1.0.0.1。
[Device] sslo security-node sn1 mode layer2
[Device-sslo-security-node-l2-sn1] from-security-node-interface gigabitethernet 1/0/3.100
[Device-sslo-security-node-l2-sn1] from-security-node-nexthop 2.0.0.1
[Device-sslo-security-node-l2-sn1] to-security-node-interface gigabitethernet 1/0/4.200
[Device-sslo-security-node-l2-sn1] to-security-node-nexthop 1.0.0.1
[Device-sslo-security-node-l2-sn1] quit
# 创建安全网元sn2,配置设备上请求流量从安全网元返回的入接口为GigabitEthernet1/0/3.101,互联IP地址为4.0.0.1;配置设备上请求流量流向安全网元的出接口为GigabitEthernet1/0/4.201,互联IP地址为3.0.0.1。
[Device] sslo security-node sn2 mode layer2
[Device-sslo-security-node-l2-sn2] from-security-node-interface gigabitethernet 1/0/3.101
[Device-sslo-security-node-l2-sn2] from-security-node-nexthop 4.0.0.1
[Device-sslo-security-node-l2-sn2] to-security-node-interface gigabitethernet 1/0/4.201
[Device-sslo-security-node-l2-sn2] to-security-node-nexthop 3.0.0.1
[Device-sslo-security-node-l2-sn2] quit
f. 配置三层模式安全网元
# 创建安全网元sn3,配置设备上请求流量从安全网元返回的入接口为GigabitEthernet1/0/5.300,互联IP地址为16.1.1.6;配置设备上请求流量流向安全网元的出接口为GigabitEthernet1/0/5.300,互联IP地址为16.1.1.6。
[Device] sslo security-node sn3 mode layer3
[Device-sslo-security-node-l3-sn3] from-security-node-interface gigabitethernet 1/0/5.300
[Device-sslo-security-node-l3-sn3] from-security-node-nexthop 16.1.1.6
[Device-sslo-security-node-l3-sn3] to-security-node-interface gigabitethernet 1/0/5.300
[Device-sslo-security-node-l3-sn3] to-security-node-nexthop 16.1.1.6
[Device-sslo-security-node-l3-sn3] quit
g. 配置镜像模式安全网元
# 创建安全网元sn4,配置设备上请求流量流向安全网元的出接口为GigabitEthernet1/0/6.400,IP地址为17.1.1.7,MAC地址为0001-0002-0003(为网元设备的MAC地址)。
[Device] sslo security-node sn4 mode mirror
[Device-sslo-security-node-mirror-sn4] to-security-node-interface gigabitethernet 1/0/6.400
[Device-sslo-security-node-mirror-sn4] ip-address 17.1.1.7
[Device-sslo-security-node-mirror-sn4] mac-address 0001-0002-0003
[Device-sslo-security-node-mirror-sn4] quit
h. 配置安全资源池
# 创建二层模式的安全资源池sp1,配置其调度算法为加权轮转算法,并指定其健康检测方法为t1,添加安全网元sn1和sn2为安全资源池成员。
[Device] sslo security-pool sp1 mode layer2
[Device-sslo-security-pool-l2-sp1] type fw
[Device-sslo-security-pool-l2-sp1] predictor round-robin
[Device-sslo-security-pool-l2-sp1] probe t1 to-security-node-interface
[Device-sslo-security-pool-l2-sp1] security-node sn1
[Device-sslo-security-pool-l2-sp1-#member#-sn1] quit
[Device-sslo-security-pool-l2-sp1] security-node sn2
[Device-sslo-security-pool-l2-sp1-#member#-sn2] quit
# 创建三层模式的安全资源池sp2,并指定其健康检测方法为t1,添加安全网元sn3为安全资源池成员。
[Device] sslo security-pool sp2 mode layer3
[Device-sslo-security-pool-l3-sp2] type waf
[Device-sslo-security-pool-l3-sp2] probe t1 to-security-node-interface
[Device-sslo-security-pool-l3-sp2] security-node sn3
[Device-sslo-security-pool-l3-sp2-#member#-sn3] quit
# 创建镜像模式的安全资源池sp3,并指定其健康检测方法为t1,添加安全网元sn4为安全资源池成员。
[Device] sslo security-pool sp3 mode mirror
[Device-sslo-security-pool-mirror-sp3] type ips
[Device-sslo-security-pool-mirror-sp3] probe t1
[Device-sslo-security-pool-mirror-sp3] security-node sn4
[Device-sslo-security-pool-mirror-sp3-#member#-sn4] quit
i. 配置服务链
# 创建服务链sc1,向服务链中添加安全资源池sp1、sp2和sp3。
[Device] sslo service-chain sc1
[Device-sslo-service-chain-sc1] security-pool sp1
[Device-sslo-service-chain-sc1] security-pool sp2
[Device-sslo-service-chain-sc1] security-pool sp3
# 创建服务链sc2,向服务链中添加安全资源池sp3。
[Device] sslo service-chain sc2
[Device-sslo-service-chain-sc2] security-pool sp3
j. 配置SSLO编排策略
# 创建通用类型SSLO编排策略sslop,添加服务链sc1,并配置匹配规则为:匹配源IP子网为109.1.0.0/16。
[Device] sslo policy sslop type generic
[Device-sslo-policy-generic-sslop] service-chain sc1
[Device-sslo-policy-generic-sslop] match 1 source ipv4 subnet 109.1.0.0 16
k. 配置服务器负载均衡业务
# 创建实服务组sf,配置其调度算法为加权轮转算法,并指定其健康检测方法为t1。
[Device] server-farm sf
[Device-sfarm-sf] predictor round-robin
[Device-sfarm-sf] probe t1
[Device-sfarm-sf] quit
# 创建实服务器rs1,配置其IPv4地址为192.168.1.1、端口号为8080、权值为150,并加入实服务组sf。
[Device] real-server rs1
[Device-rserver-rs1] ip address 192.168.1.1
[Device-rserver-rs1] port 8080
[Device-rserver-rs1] weight 150
[Device-rserver-rs1] server-farm sf
[Device-rserver-rs1] quit
# 请参考以上步骤,创建实服务器rs2,配置其IPv4地址为192.168.1.2、端口号为8080、权值为120,并加入实服务组sf。创建实服务器rs3,配置其IPv4地址为192.168.1.3、端口号为8080、权值为80,并加入实服务组sf。
# 创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,端口号为443,指定其缺省主用实服务组为sf,缺省服务链为sc2,SSLO编排策略为sslop,并开启此虚服务器。
[Device] virtual-server vs type http
[Device-vs-http-vs] virtual ip address 61.159.4.100
[Device-vs-http-vs] port 443
[Device-vs-http-vs] default server-farm sf
[Device-vs-http-vs] default sslo service-chain sc2
[Device-vs-http-vs] sslo-policy sslop
[Device-vs-http-vs] service enable
[Device-vs-http-vs] quit
# 显示所有安全网元的详细信息。
[Device] display sslo security-node
security-node: sn1
Description:
State: Unknown
Mode: Layer2
Interface to security node: GigabitEthernet1/0/4.200
Nexthop to security node: 1.0.0.1
Interface from security node: GigabitEthernet1/0/3.100
Nexthop from security node: 2.0.0.1
Weight: 100
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
security-node: sn2
Description:
State: Unknown
Mode: Layer2
Interface to security node: GigabitEthernet1/0/4.201
Nexthop to security node: 3.0.0.1
Interface from security node: GigabitEthernet1/0/3.101
Nexthop from security node: 4.0.0.1
Weight: 100
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
security-node: sn3
Description:
State: Unknown
Mode: Layer3
Interface to security node: GigabitEthernet1/0/5.300
Nexthop to security node: 16.1.1.6
Interface from security node: GigabitEthernet1/0/5.300
Nexthop from security node: 16.1.1.6
Weight: 100
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
security-node: sn4
Description:
State: Unknown
Mode: Mirror
Interface to security node: GigabitEthernet1/0/6.400
IPv4 address: 17.1.1.7
MAC address: 0001-0002-0003
Weight: 100
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
# 显示所有安全资源池的详细信息。
[Device] display sslo security-pool
Security pool: sp1
Description:
Mode: Layer2
Type: FW
Predictor: Round robin
SSL mapping port: 0
Bypass: Disabled
Fail-action: Bypass
Selected node limit: Disabled
Probe information:
Probe success criteria: All
Probe method:
t1
Total security node: 2
Active security node: 0
Reference count: 1
Security node list:
Name State Weight Priority Service
sn1 Probe-failed 100 4 enable
sn2 Probe-failed 100 4 enable
Security pool: sp2
Description:
Mode: Layer3
Type: IPS
Predictor: Round robin
SSL mapping port: 0
Bypass: Disabled
Fail-action: Bypass
Selected node limit: Disabled
Probe information:
Probe success criteria: All
Probe method:
t1
Total security node: 1
Active security node: 0
Reference count: 1
Security node list:
Name State Weight Priority Service
sn3 Probe-failed 100 4 enable
Security pool: sp3
Description:
Mode: Mirror
Type: IPS
Predictor: Round robin
SSL mapping port: 0
Bypass: Disabled
Fail-action: Bypass
Selected node limit: Disabled
Probe information:
Probe success criteria: All
Probe method:
t1
Total security node: 1
Active security node: 0
Reference count: 1
Security node list:
Name State Weight Priority Service
sn4 Probe-failed 100 4 enable
# 显示服务链的详细信息。
[Device] display sslo service-chain
Service-chain: sc1
Description:
Operating mode: Normal
Total security pools: 2
Security pool list:
Name Mode
sp1 Layer2
sp2 Layer3
sp3 Mirror
Service-chain: sc2
Description:
Operating mode: Normal
Total security pools: 1
Security pool list:
Name Mode
sp3 Mirror
# 显示SSLO编排策略的详细信息。
[Device] display sslo policy
SSLO policy: sslop
Description:
Type: Generic
Match mode: Any
Service chains: sc1
Match rules:
match 1 source ipv4 subnet 109.1.0.0 16
#
sysname Device
#
ip vpn-instance vpn1
#
ip vpn-instance vpn2
#
ip vpn-instance vpn3
#
ip vpn-instance vpn4
#
ip vpn-instance vpn5
#
ip vpn-instance vpn6
#
nqa template icmp t1
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.159.4.100 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 192.168.1.100 255.255.255.0
#
interface GigabitEthernet1/0/3.100
ip binding vpn-instance vpn1
ip address 1.0.0.1 255.0.0.0
vlan-type dot1q vid 100
#
interface GigabitEthernet1/0/3.101
ip binding vpn-instance vpn3
ip address 3.0.0.1 255.0.0.0
vlan-type dot1q vid 101
#
interface GigabitEthernet1/0/4.200
ip binding vpn-instance vpn2
ip address 2.0.0.1 255.0.0.0
vlan-type dot1q vid 200
#
interface GigabitEthernet1/0/4.201
ip binding vpn-instance vpn4
ip address 4.0.0.1 255.0.0.0
vlan-type dot1q vid 201
#
interface GigabitEthernet1/0/5.300
port link-mode route
ip binding vpn-instance vpn5
ip address 16.1.1.1 255.255.255.0
vlan-type dot1q vid 300
#
interface GigabitEthernet1/0/6.400
port link-mode route
ip binding vpn-instance vpn6
ip address 17.1.1.1 255.255.255.0
vlan-type dot1q vid 400
#
ip route-static vpn-instance 0.0.0.0 0.0.0.0 61.159.4.1
ip route-static vpn-instance vpn1 2.0.0.0 24 1.0.0.2
ip route-static vpn-instance vpn2 1.0.0.0 24 2.0.0.2
ip route-static vpn-instance vpn3 4.0.0.0 24 3.0.0.2
ip route-static vpn-instance vpn4 3.0.0.0 24 4.0.0.2
#
sslo security-node sn1 mode layer2
from-security-node-interface GigabitEthernet1/0/3.100
from-security-node-nexthop 2.0.0.1
to-security-node-interface GigabitEthernet1/0/4.200
to-security-node-nexthop 1.0.0.1
#
sslo security-node sn2 mode layer2
from-security-node-interface GigabitEthernet1/0/3.101
from-security-node-nexthop 4.0.0.1
to-security-node-interface GigabitEthernet1/0/4.201
to-security-node-nexthop 3.0.0.1
#
sslo security-node sn3 mode layer3
from-security-node-interface GigabitEthernet1/0/5.300
from-security-node-nexthop 16.1.1.6
to-security-node-interface GigabitEthernet1/0/5.300
to-security-node-nexthop 16.1.1.6
#
sslo security-node sn4 mode mirror
to-security-node-interface GigabitEthernet1/0/6.400
ip-address 17.1.1.7
mac-address 0001-0002-0003
#
sslo security-pool sp1 mode layer2
probe t1
type fw
security-node sn1
security-node sn2
#
sslo security-pool sp2 mode layer3
probe t1
type waf
security-node sn3
#
sslo security-pool sp3 mode mirror
probe t1
type ips
security-node sn4
#
sslo service-chain sc1
security-pool sp1
security-pool sp2
security-pool sp3
#
sslo service-chain sc2
security-pool sp3
#
sslo policy sslop type generic
service-chain sc1
match 1 source ipv4 subnet 109.1.0.0 16
#
server-farm sf
probe t1
#
real-server rs1
ip address 192.168.1.1
port 8080
weight 150
server-farm sf
#
virtual-server vs3 type http
port 443
virtual ip address 61.159.4.100
default server-farm sf
default sslo service-chain sc2
sslo-policy sslop
service enable
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
