下载文档原格式
H3C S9500E&S12500系列交换机上ACG&IPS插卡MQC引流典型配置一、组网需求:某客户购买了两块SecBlade IPS插卡部署在S95E交换机上,为内网提供攻击检测和安全防护,两台交换机运行在IRF模式,外网用户访问服务器的流量经过IPS插卡,内部服务器互访的流量不上IPS插卡,并且两块插卡能实现主备,当其中一块插卡故障以后业务可以迅速切换到另一块插卡。
二、组网图:如上图所示:两台S9505E交换机堆叠,每台交换机上插一块IPS插卡,内部服务器网关部署在交换机上,服务器互访的流量不经过IPS插卡,外部用户防范服务器的流量正常情况下经过IPS-1,当IPS-1故障以后,流量经过IPS-2。
交换机版本:Comware Software, Version 5.20, Release 1238P08IPS插卡版本:i-Ware software, Version 1.10, Ess 2110P10三、配置步骤:交换机上关键配置:#acsei server enable //通过acsei协议对插卡进行时间同步和状态检测,实现主备切换#acl number 3001 //匹配上插卡的流量description Match-ALL-Addressrule 0 permit ipacl number 3002 //匹配上插卡的流量,用于备份description Match-ALL-Addressrule 0 permit ipacl number 3004 //内网互访的流量不上插卡description Match-Internal-Flowrule 0 permit ip destination 192.168.14.0 0.0.0.255rule 5 permit ip destination 192.168.15.0 0.0.0.255rule 10 permit ip destination 192.168.16.0 0.0.0.255rule 15 permit ip destination 192.168.17.0 0.0.0.255rule 20 permit ip destination 192.168.18.0 0.0.0.255#acl number 4000 //匹配广播、组播和ARP报文description Match-Multicast-Broadcast-ARPrule 0 permit dest-mac 0100-0000-0000 ff00-0000-0000rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffffrule 10 permit type 0806 ffff#vlan 1001 to 1008#vlan 4000 //用于IRF的BFD MAD检测description Mad-Detection#traffic classifier Internal-Flow-1 operator andif-match acl 3004traffic classifier Multicast-Broadcast-ARP operator andif-match acl 4000traffic classifier All-Address-1 operator andif-match acl 3001if-match forwarding-layer route //仅将三层转发流量引流traffic classifier All-Address-2 operator andif-match acl 3002if-match forwarding-layer route#traffic behavior Deny-Multicast-Broadcast-ARPfilter denytraffic behavior Redirect-To-IPS-1redirect interface Ten-GigabitEthernet1/4/0/1traffic behavior Redirect-To-IPS-2redirect interface Ten-GigabitEthernet2/4/0/1traffic behavior Allowfilter permit#qos policy Deny-Multicast-Broadcast-ARP //本地产生的组播、广播和ARP报文不上插卡classifier Multicast-Broadcast-ARP behavior Deny-Multicast-Broadcast-ARPqos policy DOWN_STREAMclassifier Multicast-Broadcast-ARP behavior Allow //广播等报文不上插卡classifier All-Address-1 behavior Redirect-To-IPS-1 //流量先上IPS-1classifier All-Address-2 behavior Redirect-To-IPS-2 //IPS-1故障后上IPS-2qos policy UP_STREAMclassifier Multicast-Broadcast-ARP behavior Allowclassifier Internal-Flow-1 behavior Allow //内网互访流量不上插卡classifier All-Address-1 behavior Redirect-To-IPS-1classifier All-Address-2 behavior Redirect-To-IPS-2#interface Vlan-interface1001ip address 192.168.11.254 255.255.255.0#interface Vlan-interface1002ip address 192.168.12.254 255.255.255.0#interface Vlan-interface1004ip address 192.168.14.254 255.255.255.0#interface Vlan-interface1005ip address 192.168.15.254 255.255.255.0#interface Vlan-interface1006ip address 192.168.16.254 255.255.255.0#interface Vlan-interface1007ip address 192.168.17.254 255.255.255.0#interface Vlan-interface1008ip address 192.168.18.254 255.255.255.0#interface Vlan-interface4000 //BFD MAD检测VLANmad bfd enablemad ip address 200.0.0.1 255.255.255.252 chassis 1mad ip address 200.0.0.2 255.255.255.252 chassis 2#interface GigabitEthernet1/2/0/17 //专用于MAD检测的端口,关闭STPport access vlan 4000stp disable#interface GigabitEthernet2/2/0/17port access vlan 4000stp disable#接口上下发MQC:#interface GigabitEthernet1/2/0/1port access vlan 1004qos apply policy UP_STREAM inbound#interface GigabitEthernet1/2/0/2port access vlan 1001qos apply policy DOWN_STREAM inbound#interface GigabitEthernet2/2/0/1port access vlan 1008qos apply policy UP_STREAM inbound#interface GigabitEthernet2/2/0/2port access vlan 1002qos apply policy DOWN_STREAM inbound#S95E与IPS插卡接口配置:#interface Ten-GigabitEthernet1/4/0/1port link-type trunkport trunk permit vlan 1 1001 to 1008 //必须允许VLAN 1通过,否则跨框重定向报文不生效stp disableqos apply policy Deny-Multicast-Broadcast-ARP inbound //防止本地产生的组播、广播、ARP报文从内敛口转发到插卡,S95E&S12500对于本机发出的协议报文,用MQC在outbound方向不能过滤,会导致环路,ospf邻居down等问题,所以需要在inbound方向过滤mac-address max-mac-count 0#interface Ten-GigabitEthernet2/4/0/1port link-type trunkport trunk permit vlan 1 1001 to 1008stp disableqos apply policy Deny-Multicast-Broadcast-ARP inboundmac-address max-mac-count 0#acsei server //配置acsei时间参数,一般保持默认即可acsei timer clock-sync 1 //配置插卡同步时间的间隔,单位分钟,默认5分钟acsei timer monitor 1 //配置对插卡的监控时间间隔,单位是秒,默认5秒#irf-port 1/1port group interface GigabitEthernet1/2/0/15port group interface GigabitEthernet1/2/0/16#irf-port 2/2port group interface GigabitEthernet2/2/0/15port group interface GigabitEthernet2/2/0/16#IPS插卡相关配置(两快IPS插卡的配置一样):1.去使能OAA ACFP Client。
SecPath系列防火墙IPSec典型配置举例关键词:IKE、IPSec摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。
缩略语:缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一:基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二:与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPsec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标,并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPsec 的使用和管理。
LB服务器负载均衡(双机热备)配置参考H3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州华三通信技术有限公司版权所有 侵权必究前言本文参考LB在江西电信网上营业厅实施方案更改,作为服务器负载均衡双机热备配置参考所用,如有不妥之处请指正,多谢。
修订记录Revision Records日期Date 修订版本Revision描述Description作者Author2009-7-29 (V1.00) 初稿06399目录1组网拓扑: (5)1.1对组网拓扑说明: (5)1.2LB上业务调用说明: (6)2数据流量走向说明: (7)2.1数据流量走向说明: (7)3组网配置 (8)3.1防火墙配置 (8)3.2S65配置: (8)3.3S75配置 (9)3.3.1S75-01配置: (9)3.3.2S75-01配置: (9)3.4LB配置 (10)3.4.1LB配置: (10)4配置注意事项 (12)1 组网拓扑组网拓扑::图1 组网拓扑图1.1 对组网拓扑说明:两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器,两台S65交换机作为核心路由交换设备,下连WEB 服务器和应用服务器,服务器对外提供WEB 访问和用户登陆查询相关信息。
两台防火墙启用双机热备,实现业务冗余备份,同时配置两个Vrrp 组(做主备模式),对外网Vrrp 组vrid 2(218.65.103.252)作为外网到内网转发数据报文的下一跳(可以保证在防火墙),对内vrrp 组 vrid 1(172.16.101.3)作为S65到外网转发数据报文的下一跳,防火墙上两个Vrrp做互相Track,保证上、下行数据报文转发一致。
S65交换机上也配置两个Vrrp组,Vrrp组vrid6(172.16.101.6)作为防火墙转发外网到内网数据流量的下一跳,Vrrp组vrid 15(134.224.15.121)作为下连服务器(服务器上的默认网关为S6503上vrid 15(134.224.15.121))和旁路LB 的网关。
S75E IPS/ACG插卡开局指导杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision record目录Table of Contents1 SECBLADE安全插卡概述 (7)1.1产品简介 (7)1.2主要特点 (7)2 推荐测试版本及适配列表 (8)2.1测试推荐版本 (8)2.2S75E主控适配列表 (8)3 方案一:单块插卡OAA基本配置 (8)3.1三层转发方案 (8)3.1.1组网图 (8)3.1.2用户需求 (9)3.1.3S75E主控板相关配置 (9)3.1.4OAA相关配置 (10)3.2二层转发方案 (12)3.2.1组网图 (12)3.2.2用户需求 (12)3.2.3相关配置 (13)3.2.4注意事项 (13)4 方案二:FW+IPS/ACG插卡三层转发混插方案 (13)4.1IPS/ACG插卡在FW外面 (13)4.1.1组网图 (13)4.1.2用户需求 (14)4.1.3S75E配置 (14)4.1.4ACG插卡相关配置 (16)4.1.5FW相关配置 (17)4.1.6注意事项 (18)4.2IPS/ACG单板在FW里面 (18)4.2.1组网图 (18)4.2.2用户需求 (19)4.2.3S75E相关配置 (19)4.2.4ACG插卡相关配置 (20)4.2.5FW相关配置 (22)4.2.6注意事项 (23)5 方案三:FW+IPS/ACG插卡二层转发混插方案 (23)5.1组网图 (23)5.2用户需求 (24)5.3S75E配置 (24)5.4ACG插卡相关配置 (25)5.5FW相关配置 (27)6 方案四:FW+IPS+ACG插卡混插方案 (27)6.1混插方案概述 (27)6.2IPS、ACG插卡直连接入网络 (28)6.2.1组网图 (28)6.2.2用户需求 (29)6.2.3流量转发相关配置 (29)6.2.4OAA相关的配置 (32)6.3IPS直连,ACG旁挂接入网络 (33)6.3.1组网图 (33)6.3.2用户需求 (34)6.3.3IPS插卡相关配置 (34)6.3.4ACG相关配置 (36)6.3.5注意事项 (38)7 方案五:存在主备链路的插卡方案 (38)7.1组网图 (38)7.2用户需求 (39)7.3S75E配置 (40)7.4ACG插卡相关配置 (42)7.5FW相关配置 (44)7.6注意事项 (44)8 方案六:S75E插卡混插流量计费典型配置方案 (45)8.1组网图 (45)8.2用户需求 (45)8.3S75E交换机OAA配置 (46)8.4插卡配置 (47)8.4.1插卡OAA配置 (47)8.4.2ACG插卡的安全域配置 (48)8.4.3IPS插卡安全区域配置 (48)8.5流量计费相关配置 (49)8.5.1S5100交换机配置 (49)8.5.2ACG WEB配置 (50)8.5.3ACG Console口配置 (52)8.5.4CAMS服务器配置 (53)8.5.5S5100交换机上启动dot1X (53)8.5.6客户端登陆测试认证 (53)8.6注意事项 (54)9 开局常见注意事项 (56)10 附录 (58)10.1S75E打补丁方法 (58)关键词Key words:IPS插卡、ACG插卡、FW插卡、OAA、混插方案摘要Abstract:本文主要描述了SecBlade IPS以及SecBlade ACG,配合S75E及SecBlade FW不同组网环境的典型组网及配置方案,以及在实际应用过程中的注意事项,供插卡开局同学参考。
H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求:
组网图中需要三台PC, PC1和PC4在Trust区域;PC2处于DMZ区域,其IP地址与PC1和PC4在同一网段,PC3位于Untrust区域,为外部网络。
G0/0接口和G1/0接口属于同一个桥组Bridge1。
对于访问控制有如下要求:
在防火墙G0/1接口上配置NAT,使Trust区域与DMZ区域通过地址转换才能访问Untrust区域;
通过NAT Server使DMZ区域对Untrust区域提供WWW服务;
在G1/0接口绑定ASPF策略并配合包过滤,使得Trust区域用户可以访问DMZ区域设备;但DMZ区域不能访问Trust区域;
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。
二、组网图:
支持混合模式的产品型号有:Secpath F1000-A/F1000-S/F100-E/F100-A;版本要求Comware software, Version 3.40, ESS 1622及以后。
四、配置关键点:
1、每一个桥组都是独立的,报文不可能在分属不同桥组的端口之间
传输。
换句话说,从一个桥组端口接收到的报文,只能从相同桥
组的其他端口发送出去。
防火墙上的一个接口不能同时加入两个
或两个以上的桥组。
2、要实现不同桥组之间或二层接口和三层接口之间数据转发,需要
创建桥组虚接口,并且将桥组虚接口加入到相应的区域。
SecBlade防火墙插卡虚拟设备、安全域及域间策略典型配置举例关键词:Web、TCP、IP摘要:本文简单描述了SecBlade防火墙插卡虚拟设备、安全域、会话管理、ASPF、包过滤模块的特点,详细描述了虚拟设备、安全域、会话管理、ASPF、包过滤模块的典型配置和详细步骤。
缩略语:缩略语英文全名中文解释HTTP Hypertext Transfer Protocol WWW服务程序所用的协议TCP Transfer Control Protocol 传输控制协议Protocol 网际协议IP Internet目录1 特性简介 (3)2 特性使用指南 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 配置举例 (4)3.1 组网需求 (4)3.2 配置思路 (4)3.3 使用版本 (5)3.4 设备基本配置 (5)3.4.1 交换机配置 (5)3.4.2 SecBlade配置 (5)3.5 业务典型配置举例 (6)3.5.1 虚拟设备的创建、设置、选择、删除 (6)3.5.2 安全域的创建、设置、删除 (7)3.5.3 同一虚拟设备内,面向对象的包过滤 (9)3.5.4 不同虚拟设备之间的面向对象的包过滤 (12)3.5.5 ASPF(ICMP、TCP非SYN报文的包过滤) (15)4 相关资料 (16)1 特性简介z虚拟设备:虚拟设备是一个逻辑概念,一台防火墙设备可以逻辑上划分为多个部分,每一个部分可以作为一台单独的设备。
在防火墙产品中,要求大多数防火墙特性支持虚拟设备化,每个虚拟设备之间相互独立,一般情况下不允许相互通信,这就是所谓的“虚拟防火墙”,每个部分是一个虚拟防火墙实例(VFI)。
z安全区域:所谓安全区域,是一个抽象的概念,它可以包含三层接口,二层VLAN子接口,也可以包括二层物理Trunk接口+VLAN,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。
引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类(划分到不同的区域),能够实现策略的分层管理z会话管理:会话管理是为了简化NAT、ASPF、ALG、攻击防范、连接数限制等功能模块的设计而引申出来的一个项目,能够处理各种会话信息,根据会话状态进行老化处理,并提供给各业务模块一个统一的接口。
SecBlade防火墙插卡NAT典型配置举例关键词:NAT、PAT、私有地址、公有地址、地址池摘要:本文简单描述了SecBlade防火墙插卡NAT模块相关业务的特点,详细描述了NAT各特性的典型应用,并给出NAT基本的配置案例。
缩略语:缩略语英文全名中文解释Translator 网络地址转换AddressNAT NetworkALG Application Level Gateway 应用层网关ACL Access Control List 访问控制列表VPN Virtual Private Network 虚拟专用网PAT Port Address Translation 端口地址转换Translation 端口地址不转换No-PAT No-PortAddress目录1 特性简介 (3)2 特性使用 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 支持的设备 (3)3.1 支持的设备 (3)3.2 使用版本 (3)3.3 配置保存 (4)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (5)4.3 NAT业务典型配置举例 (6)4.3.1 Easy IP方式NAT (6)4.3.2 PAT方式NAT (7)4.3.3 no-PAT 方式NAT (9)4.3.4 NAT Static (11)4.3.5 NAT Server (15)4.3.6 关于多实例的NAT (17)5 相关资料 (20)5.1 相关协议和标准 (20)5.2 其它相关资料 (20)1 特性简介NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。
在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。
通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度;同时给内部网络提供一种“隐私”保护,也可以按照用户的需要提供给外部网络一定的服务。
H3C SecBlade IPS插卡典型配置案例关键词:OAA IPS插卡摘要:本文主要介绍H3C SecBlade IPS插卡的典型配置案例。
缩略语:目录1 特性简介 (3)2 应用场合 (3)3 LSQ1IPSSC0插卡典型配置(该插卡只适用于S7500E交换机,可配置OAA) (3)3.1 组网需求 (3)3.2 配置思路 (4)3.3 配置步骤 (5)4 LSB1IPS1A0插卡典型配置(该插卡只适用于命令行为Comware V3的S9500交换机) (9)4.1 组网需求 (9)4.2 配置思路 (10)4.3 配置步骤 (11)5 相关资料 (15)1 特性简介H3C SecBlade IPS产品是一款主动式入侵防御系统,能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件等;在不同层面上配置带宽管理策略,阻断或限制P2P应用,从而帮助IT部门完成应用系统、网络基础设施和系统性能保护的关键任务。
IPS特性主要是入侵防御功能,依据上千种常见攻击特征库,对系统漏洞进行的攻击进行防御。
2 应用场合应用于流量较大的环境,例如校园主干网出口等。
3 LSQ1IPSSC0插卡典型配置(该插卡只适用于S7500E交换机,可配置OAA)3.1 组网需求为了对经过S7500E交换机的流量进行检测,在S7500E交换机的2号槽位上安装了1块SecBlade IPS插卡。
交换机的GigabitEthernet3/0/1、GigabitEthernet3/0/2为内网接口,GigabitEthernet3/0/20为外网接口,内网和外网的流量都需要经过SecBlade IPS插卡的检测:●交换机的GigabitEthernet3/0/1和GigabitEthernet3/0/2连接内网方向,GigabitEthernet3/0/20连接外网方向。
●交换机的Ten-GigabitEthernet2/0/1为Trunk类型,和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。
当流量到达GigabitEthernet3/0/1和GigabitEthernet3/0/2时,将自动经过内联接口重定向到SecBlade IPS插卡进行检测,SecBlade IPS插卡检测完毕并做了相应的处理后再经过内联接口重定向回交换机,经交换机转发到GigabitEthernet3/0/20,反之亦然。
图1 交换机和SecBlade IPS插卡的转发组网图3.2 配置思路1. 配置S7500E交换机为了实现S7500E交换机和SecBlade IPS插卡的转发组网配置,需要在S7500E交换机上进行以下配置:●配置设备的MIB(Management Information Base,管理信息库)风格。
●配置SNMPv3参数,这里配置为SNMPv3用户,采用不认证不加密方式。
●使能ACFP server和ACSEI server功能。
●配置一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。
●配置内联接口为Trunk模式,pvid为100(要求与SecBlade IPS插卡的OAA设置页面中的VLAN设置保持一致),允许VLAN 2到VLAN 4094的报文通过,并且配置接口模式为扩展模式。
●配置交换机主控板的流量转发模式。
●保存配置,重启交换机。
2. 配置SecBlade IPS插卡为了实现S7500E交换机和SecBlade IPS插卡的转发组网配置,需要在SecBladeIPS插卡上进行以下配置。
SecBlade IPS插卡的主要配置都在Web网管上实现。
●通过命令行配置管理口IP地址,通过管理IP地址登录SecBlade IPS插卡的Web管理界面。
●配置OAA client和内联接口,测试与交换机的连通性。
●创建安全域,把交换机的接口加入安全域。
●创建段,把相应的内部域和外部域加入各自的段。
3.3 配置步骤说明:以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。
本文档不严格与具体软、硬件版本对应。
(1) 配置S7500E交换机# 配置MIB为H3C品牌新风格,即设备sysOID与私有MIB均在H3C企业ID 25506下。
只需配置一次,配置后须重启(可所有配置完成后重启)。
<Sysname> system-view[Sysname] mib-style new# 配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式。
[Sysname] snmp-agent[Sysname] snmp-agent sys-info version all[Sysname] snmp-agent group v3 v3group_no read-view iso write-view iso[Sysname] snmp-agent mib-view included iso iso[Sysname] snmp-agent usm-user v3 v3user_no v3group_no# 使能ACFP server和ACSEI server功能。
[Sysname] acfp server enable[Sysname] acsei server enable# 配置内联接口。
●创建一个VLAN,确保与交换机本身存在的VLAN不冲突,如VLAN100,并配置VLAN虚接口的IP地址。
[Sysname] vlan 100[Sysname-vlan100] quit[Sysname] interface Vlan-interface100[Sysname-Vlan-interface100] ip address 100.100.100.1 255.255.255.0 [Sysname-Vlan-interface100] quit●# 配置内联接口为Trunk模式,pvid为100(要求与SecBlade IPS插卡的OAA设置页面中的VLAN配置保持一致),允许VLAN 2到VLAN 4094的报文通过,并且配置接口模式为扩展模式。
[Sysname] interface Ten-GigabitEthernet2/0/1[Sysname-Ten-GigabitEthernet] port link-type trunk[Sysname-Ten-GigabitEthernet] undo port trunk permit vlan 1[Sysname-Ten-GigabitEthernet] port trunk permit vlan 2 to 4094[Sysname-Ten-GigabitEthernet] port trunk pvid vlan 100[Sysname-Ten-GigabitEthernet] port connection-mode extented[Sysname-Ten-GigabitEthernet] quit# 配置交换机主控板的流量转发模式为enhanced(主控板流量转发模式配置完毕后需保存配置并重启整个交换机,所做配置才会整机生效。
)。
[Sysname] switch-mode l2-enhanced[Sysname] quit# 保存配置,并重启交换机。
<Sysname> save<Sysname> reboot说明:配置内联接口时,槽位为n的OAA插卡就要与T en-GigabitEthernetn/0/1的内联接口相对应。
例如:2号槽位的OAA插卡对应内联接口Ten-(2) 配置SecBlade IPS插卡# 配置管理口IP,并开启管理口(可选)。
<Sysname> system-view[Sysname] interface meth0/2[Sysname-if]ip address 192.168.0.11 255.255.255.0 //192.168.1.1是默认IP,并且管理口的IP也可以在Web上修改[Sysname-if] undo shutdown[Sysname-if] quit# 登录SecBlade IPS插卡的Web网管,用户名和密码都是admin。
图2 SecBlade IPS插卡登录界面# 配置OAA。
配置OAA client和内联接口,并测试与交换机的连通性图3 配置OAA server配置完成后,点击<连通性测试>按钮,出现如下提示后,即表明与交换机连通。
图4 连通测试成功●配置安全区域SecBlade IPS插卡和S7500E正确配置OAA以后,在SecBlade IPS插卡上新建安全区域时可以把S7500E任意物理接口加入安全区域。
需要注意的是:内联接口不可以加入安全区域。
将交换机的接口分别加入安全区域。
在本例中,应将GigabitEthernet3/0/1和GigabitEthernet3/0/2加入内部安全区域“Inisde”,GigabitEthernet3/0/20加入外部安全区域“Outside”,如图5 所示:GigabitEthernet 3/0/1GigabitEthernet 3/0/2Inside图5 创建安全区域●配置段Inside Outside 接口:GigabitEthernet3/0/1,GigabitEthernet3/0/2接口:GigabitEthernet3/0/20图6 新建段说明:Inside Ten-GigabitEthernet2/0/1Outside图7 配置段4 LSB1IPS1A0插卡典型配置(该插卡只适用于命令行为Comware V3的S9500交换机)4.1 组网需求为对经过交换机的流量进行深度检测,在交换机上插了2块SecBlade IPS插卡。
交换机Ethernet5/1/1、Ethernet5/1/2为内网接口,Ethernet5/1/3为外网接口,内网和外网的流量需要经过SecBlade IPS插卡深度检测,并在2块SecBlade IPS插卡上实现负载分担。
组网图如图8 所示。
具体实现如下:●交换机的Ethernet5/1/1,Ethernet5/1/2和Ethernet5/1/3均为Access类型,分别属于VLAN 10,VLAN 20和VLAN 30,VLAN 10和20是内网VLAN,VLAN 30是外网VLAN。
●交换机的万兆以太网口GigabitEthernet3/1/1和万兆以太网口GigabitEthernet4/1/1为Trunk类型,分别和2块SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。
