S95系列交换机SecBlade IPSACG插卡开局指导.docx

S95系列交换机SecBlade IPSACG插卡开局指导.docx

《S95系列交换机SecBlade IPSACG插卡开局指导.docx》由会员分享，可在线阅读，更多相关《S95系列交换机SecBlade IPSACG插卡开局指导.docx（32页珍藏版）》请在冰豆网上搜索。

S95系列交换机SecBladeIPSACG插卡开局指导

杭州华三通信技术有限公司

HangzhouH3CTechnologiesCo.,Ltd.

文档编号DocumentID

密级Confidentialitylevel

内部公开

文档状态DocumentStatus

共57页Total57pages

S95系列交换机SecBladeIPS/ACG插卡开局指导

拟制

Preparedby

车渝/06289、

Date

日期

2009-1-9

评审人

Reviewedby

Date

日期

yyyy-mm-dd

批准

Approvedby

Date

日期

yyyy-mm-dd

杭州华三通信技术有限公司

HangzhouH3CTechnologiesCo.,Ltd.

版权所有XX

Allrightsreserved

修订记录Revisionrecord

日期

Date

修订版本Revisionversion

修改描述

changeDescription

作者

Author

2009-1-9

1.00

初稿完成initialtransmittal

车渝

目录TableofContents

关键词Keywords：

IPS插卡、ACG插卡、FW插卡、混插方案

摘要Abstract：

本文主要描述了SecBladeIPS以及SecBladeACG，配合S95及SecBladeFW不同组网环境的典型组网及配置方案，以及在实际应用过程中的注意事项，供插卡开局同学参考。

缩略语清单Listofabbreviations：

Abbreviations缩略语

Fullspelling英文全名

Chineseexplanation中文解释

IPS

IntrusionPreventionSystem

入侵防御系统

ACG

ApplicationControlGateway

应用控制网关

FW

FireWall

防火墙

1SecBlade安全插卡概述

产品简介

H3CSecBladeACG和H3CSecPathIPS插卡式产品采用H3C公司最新的硬件平台和体系架构，支持分布式部署和集中管理，可灵活扩展。

通过基于浏览器的管理界面，管理员可以快速熟悉系统的操作管理。

H3CSecBladeACG插卡，可以和S7500E系列/S9500系列高端交换机配合使用，可以在已使用该高端交换机的用户网络中方便部署，满足对流量运营管理的需要。

插卡式的H3CSecBladeACG系列单板类型：

●LSQ1ACGASC0：

适用于H3CS7500E系列以太网交换机；

●LSB1ACG1A0：

适用于H3CS9500系列以太网交换机。

插卡式的H3CSecBladeIPS系列单板类型：

●LSQ1IPSSC0：

适用于H3CS7500E系列交换机；

●LSB1IPS1A0：

适用于H3CS9500系列交换机。

主要特点

●将主网络设备的转发和业务处理有机融合在一起，在实现主网络设备高性能数据转发的同时，能够根据组网的特点处理安全业务，实现安全防护和监控。

●SecBladeIPS以及SecBladeACG插卡基于H3C公司领先的OAA（OpenApplicationArchitecture）架构开发，通过内部的高速10G以太接口与主网络设备相连，H3C主网络设备的后插卡具有的线速转发能力，更保证了与业务插卡间通畅的数据转发。

●SecBladeIPS以及SecBladeACG插卡采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，主网络设备的原有业务处理不会受到任何影响。

●SecBladeIPS以及SecBladeACG插卡可以插在主网络设备上的多个槽位，并且在一台主网络设备上可插入多块插卡进行性能扩展，轻松适应不断升级的企业和电信运营商网络。

2推荐测试版本及适配列表

测试推荐版本

推荐版本

版本大小

发布日期

IPS插卡版本：

B2105

30,015,424字节

2008-12-23

ACG插卡版本：

B6110

27,046,000字节

2008-12-23

95V3版本：

R1648P01

15,749,607字节

2008-10-21

95V5版本：

R2135SP02

31,062,139字节

2008-09-24

3方案一：

单块插卡基本配置方案

组网图

图3.1单块插卡典型组网图

用户需求

用户内网流量先通过接入交换机进行dot1x认证，认证之后可以免费访问局域网内部资源和内部服务器区，如果要访问Internet，则需要经过ACG二次认证后才能访问。

我们的策略是，只将访问Internet的流量引入插卡，访问服务器区和内网互访的流量直接经交换机转发。

如图3.1所示，S9512上插一块ACG插卡，VLAN10、VLAN20连接内网用户，VLAN30为S9512的出接口，访问服务器区和Internet的流量都经过这个接口出去。

根据需求，将内网访问internet的流量重定向到SecBladeACG，经处理后送回S95，转发到相应出接口。

这里的组网也可以看成是一个典型的流量计费项目组网图。

S95主控板相关配置

#

version5.20,Release2135SP02

#

sysnameZXJF-S9512

#

flow-templatetestbasicsipdipdmac

//创建基于sourceip、distip、distmac的流模版

#

link-aggregationgroup1modemanual

//创建链路聚合组

#

//vlan10连接内网1的vlan接口

vlan10

descriptionneiwang1

#

//vlan20连接内网2的vlan接口

vlan20

descriptionneiwang2

#

//vlan30S9512的出接口

vlan30

descriptioninternet

#

//创建流分类

//ip地址是内网ip的报文；我们必须在ACG插卡的内联口permit内网用户的ip地址，不然的话，重定向报文是发不出来的。

因为重定向报文是从内联口发到用户的，是属于二层报文，而我们又过滤了二层报文以防止广播风暴。

trafficclassifierto-inneroperatorand

if-matchacl3001

//arp报文

trafficclassifiertest-TGE-arpoperatorand

if-matchacl4000

//二层报文

trafficclassifiertest-TGE-bridgeoperatorand

if-matchforward-levelbridge

//从服务器回来的报文，此处以cams、DNS服务器为例说明

trafficclassifierfrom-serveroperatorand

if-matchacl3002

//除从服务器过来的ip的其他ip报文，且目的mac是交换机的mac地址

trafficclassifiertest-outoperatorand

if-matchdestination-mac000f-e2b2-d3a2

if-matchacl3000

//去往服务器的ip

trafficclassifierto-serveroperatorand

if-matchacl3064

//从内网出去的流量，（到服务器的除外），且目的mac是交换机的mac地址

trafficclassifiertest-inoperatorand

if-matchdestination-mac000f-e2b2-d3a2

if-matchacl3000

#

//流行为区

//从internet回来的报文，打上vlan30的标签，重定向到linkgroup1

trafficbehaviortest-out

remarkservice-vlan-id30

redirectlink-aggregationgroup1

//permit

trafficbehaviorpermit

filterpermit

//从内网出去的流量，打上各自所属的vlan标签，重定向到linkgroup1

trafficbehaviortest-in-10

remarkservice-vlan-id10

redirectlink-aggregationgroup1

trafficbehaviortest-in-20

remarkservice-vlan-id20

redirectlink-aggregationgroup1

//deny

trafficbehaviordeny

filterdeny

#

//qos区

//ACG内联口上的qos策略，目的ip是内网用户的报文直接permit（为了发重定向页面）；

过滤arp报文；过滤二层报文。

这里要注意配置acl的顺序，过滤内网用户报文的mqc规则一定要先于过滤二层报文的规则配置，因为同一级别的规则先下发先生效。

qospolicytest-TGE

classifierto-innerbehaviorpermit

classifiertest-TGE-arpbehaviordeny

classifiertest-TGE-bridgebehaviordeny

#

//出接口上的qos策略，源ip是服务器的ip报文直接permit，其他报文重定向到ACG插卡上去

qospolicytest-out

classifierfrom-camsbehaviorpermit

classifiertest-outbehaviortest-out

#

//入接口上的ip报文，目的ip是服务器ip的报文直接permit，其他重定向到ACG插卡上

qospolicytest-in-10

classifierto-camsbehaviorpermit

classifiertest-inbehaviortest-in-10

qospolicytest-in-20

classifierto-camsbehaviorpermit

classifiertest-inbehaviortest-in-20

//acl区

//所有ip报文

aclnumber3000

rule0permitip

//目的ip是内网用户的报文。

如果内网有多个网段，则在这里加多个aclrule

aclnumber3001

rule0permitipdestination10.1.0.00.0.255.255

rule1permitipdestination20.1.0.00.0.255.255

//源ip是服务器ip的报文，即从服务器回来的报文

aclnumber3002

rule0permitipsource30.1.0.00.0.255.255

//目的ip是服务器的报文，即内网用户访问服务器的流量

aclnumber3064

rule0permitipdestination30.1.0.00.0.255.255

#

//arp报文

aclnumber4000

rule0permittype0806ffff

#

//在内网入接口上应用qos策略

interfaceGigabitEthernet10/1/1

portaccessvlan10

flow-templatetest

qosapplypolicytest-in-10inbound

interfaceGigabitEthernet10/1/2

portaccessvlan20

flow-templatetest

qosapplypolicytest-in-20inbound

#

//在出接口上应用qos策略

interfaceGigabitEthernet10/3/4

portaccessvlan30

flow-templatetest

qosapplypolicytest-outinbound

#

//在ACG的内联口上应用qos策略，同时需要注意其他配置项，trunk口，禁止mac地址学习，linkgroup1

interfaceTen-GigabitEthernet4/1/1

portlink-typetrunk

porttrunkpermitvlanall

mac-addressmac-learningdisable

qosapplypolicytest-TGEinbound

portlink-aggregationgroup1

#

return

总体上来讲，95交换机上最麻烦的就是acl的配置，如果局点ip地址较多，并且网段不集中，acl的配置就会相对多一点。

在配置的时候，头脑一定要清醒，最好一次配对，不然后继排查起来会比较费劲。

SW相关配置

SW上主要是配置dot1x一次认证。

配置如下：

#

//系统启用用户配置的domian（此处为huabei）

domaindefaultenabletest

#

//全局使能dot1x

dot1x

#

//创建scheme

radiusschemetest

server-typestandard

primaryauthentication30.1.0.3//camsip地址

primaryaccounting30.1.0.3

keyauthenticationtest//key

keyaccountingtest

user-name-formatwithout-domain//用户登录方式，带后缀还是不带

#

//创建domain，引用刚才创建的scheme

domaintest

schemeradius-schemetest

authenticationradius-schemetest

accountingradius-schemetest

domainsystem

#

//在连接PC的那个接口上起dot1x认证

interfaceGigabitEthernet2/0/1

portaccessvlan10

dot1x

#

ACG插卡上的配置

（1）配置安全区域

在ACG插卡的内部域加上连接内网交换机的几个接口对应的VLANid。

这里入接口共有2个，所以一共有2个VLANid。

外部域为连接9508的接口，只有一个。

（2）配置段

（3）配置段策略

段策略有4个，分别对应内网免认证用户，外网免费资源，已认证用户和未认证用户。

其中，前两个策略基于ip，后两个策略基于用户；前三个策略，都用默认的规则就可以了。

对未认证用户，要将默认的规则设置为block动作，再新增一个对HTTP服务的重定向的规则。

如图所示：

（4）重定向动作配置方法：

在对象管理—动作管理—阻断动作列表里面设置阻断动作：

在对象管理—动作管理—动作集里面将刚才配置的阻断动作添加到动作集里：

其它配置请参考ACG典型配置指导书，这里不再累述。

注意事项

1、该例其实可以看作一个典型的95插卡流量计费组网方案。

2、文中配置只用了服务器区的CAMS服务器为例说明，实际组网中，要将服务器区中所有ip地址按同样的方式排除，即不重定向至ACG插卡。

3、这里的组网相对复杂，如果实际组网中，只有一台核心交换机，配置会相对简单一点。

在动手配置前，先想好需求和配置方法，争取一次配对。

4、该例中的两个核心交换机没有做主备设置，关于存在主备链路的案例见方案三。

4方案二：

FW+IPS+ACG插卡混插方案

混插方案概述

95混插和75E混插不一样，75E混插时，插卡分为常规和级联模式，而95混插则没有这两个模式。

在95ACG或IPS插卡安全区域里只显示插卡的10GE口一个接口，插卡的上下行方向通过VLANid来区分。

如图所示：

图4.1创建安全区域页面

组网图

图4.2FW+IPS+ACG插卡混插典型组网图

用户需求

用户网络中配置两个内网接口，属于两个不同VLAN，每个内网接口的流量都要重定向到插卡上，上行流量依次经过SecBladeACG、SecBladeIPS以及SecBladeFW，插卡会根据配置的策略对流量进行处理；一个外网接口，属于单独VLAN。

如图4.2所示，VLAN100连接外网，内网用户按实际需求被划分为VLAN80和VLAN81；防火墙配置XGE0/0.60和XGE0/0.100。

安全区域中配置接口和VLANID，将匹配流量引到内联口，使上行流量依次经过SecBladeACG和SecBladeIPS；然后进行三层转发，通过VLAN60将流量转发到防火墙内网子接口XGE0/0.60，交给防火墙处理；最后，经过FW处理的流量在S95上转发到出接口访问Internet。

95相关配置

#

config-versionS9500-CMW310-R1648P01

#

//创建链路聚合组

link-aggregationgroup1modemanual

#

//允许三层ip报文通过

aclnumber3000

rule0permitippacket-levelroute

#

//过滤二层报文；过滤arp报文

aclnumber4000

rule1denypacket-levelbridgeingressanyegressany

rule0denyarpingressanyegressany

//允许vlan60的报文

aclnumber4002

rule0permitipingress60egressany

//允许vlan80和vlan81的报文

aclnumber4003

rule0permitipingress80egressany

rule1permitipingress81egressany

#

//与防火墙通信的vlan

vlan60

#

//内网两个vlan

vlan80

#

vlan81

#

//外网vlan

vlan100

#

interfaceVlan-interface60

ipaddress60.0.0.1255.255.255.0

#

interfaceVlan-interface80

ipaddress80.0.0.1255.255.255.0

#

interfaceVlan-interface81

ipaddress81.0.0.1255.0.0.0

#

//内网接口1，属于vlan80，将所有入方向ip报文打上vlan80tag，重定向到ACG的10GE口

interfaceEthernet0/1/1

portaccessvlan80

traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitE

thernet1/1/180

#

//内网接口2，属于vlan81，将所有入方向ip报文打上vlan81tag，重定向到ACG的10GE口

interfaceEthernet0/1/2

portaccessvlan81

traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitE

thernet1/1/181

#

//外网接口

interfaceEthernet0/1/17

portaccessvlan100

#

//ACG的10GE口，trunk口；禁止mac地址学习；过滤二层报文；过滤arp；将内网vlan80和vlan81的报文带上各自的tag，送到IPS的10GE口。

interfaceGigabitEthernet1/1/1

portlink-typetrunk

porttrunkpermitvlanall

mac-addressmax-mac-count0

traffic-redirectinboundlink-group4003rule0system-index2interfaceGigabi

tEthernet2/1/180

packet-filterinboundlink-group4000rule1system-index7

packet-filterinboundlink-group4000rule0system-index8

traffic-redirectinboundlink-group4003rule1system-index13interfaceGigab

itEthernet2/1/181

#

//IPS的10GE口，trunk口；禁止mac地址学习；过滤二层报文；过滤arp；将外网vlan60的报文带上tag送到ACG的10GE口。

interfaceGigabitEthernet2/1/1

portlink-typetrunk

porttrunkpermitvlanall

mac-addressmax-mac-count0

traffic-redirectinboundlink-group4002rule0system-index3interfaceGigabi

tEthernet1/1/160

packet-filterinboundlink-group4000rule1system-index5

packet-filterinboundlink-group4000rule0system-index6

#

//防火墙的10GE接口，trunk口；将从外网返回的报文打上vlan60tag，送到IPS的10GE口。

interfaceGig