S95系列交换机SecBlade IPSACG插卡开局指导Word格式.docx
《S95系列交换机SecBlade IPSACG插卡开局指导Word格式.docx》由会员分享,可在线阅读,更多相关《S95系列交换机SecBlade IPSACG插卡开局指导Word格式.docx(32页珍藏版)》请在冰点文库上搜索。
摘要Abstract:
本文主要描述了SecBladeIPS以及SecBladeACG,配合S95及SecBladeFW不同组网环境的典型组网及配置方案,以及在实际应用过程中的注意事项,供插卡开局同学参考。
缩略语清单Listofabbreviations:
Abbreviations缩略语
Fullspelling英文全名
Chineseexplanation中文解释
IPS
IntrusionPreventionSystem
入侵防御系统
ACG
ApplicationControlGateway
应用控制网关
FW
FireWall
防火墙
1SecBlade安全插卡概述
产品简介
H3CSecBladeACG和H3CSecPathIPS插卡式产品采用H3C公司最新的硬件平台和体系架构,支持分布式部署和集中管理,可灵活扩展。
通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。
H3CSecBladeACG插卡,可以和S7500E系列/S9500系列高端交换机配合使用,可以在已使用该高端交换机的用户网络中方便部署,满足对流量运营管理的需要。
插卡式的H3CSecBladeACG系列单板类型:
●LSQ1ACGASC0:
适用于H3CS7500E系列以太网交换机;
●LSB1ACG1A0:
适用于H3CS9500系列以太网交换机。
插卡式的H3CSecBladeIPS系列单板类型:
●LSQ1IPSSC0:
适用于H3CS7500E系列交换机;
●LSB1IPS1A0:
适用于H3CS9500系列交换机。
主要特点
●将主网络设备的转发和业务处理有机融合在一起,在实现主网络设备高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
●SecBladeIPS以及SecBladeACG插卡基于H3C公司领先的OAA(OpenApplicationArchitecture)架构开发,通过内部的高速10G以太接口与主网络设备相连,H3C主网络设备的后插卡具有的线速转发能力,更保证了与业务插卡间通畅的数据转发。
●SecBladeIPS以及SecBladeACG插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,主网络设备的原有业务处理不会受到任何影响。
●SecBladeIPS以及SecBladeACG插卡可以插在主网络设备上的多个槽位,并且在一台主网络设备上可插入多块插卡进行性能扩展,轻松适应不断升级的企业和电信运营商网络。
2推荐测试版本及适配列表
测试推荐版本
推荐版本
版本大小
发布日期
IPS插卡版本:
B2105
30,015,424字节
2008-12-23
ACG插卡版本:
B6110
27,046,000字节
95V3版本:
R1648P01
15,749,607字节
2008-10-21
95V5版本:
R2135SP02
31,062,139字节
2008-09-24
3方案一:
单块插卡基本配置方案
组网图
图3.1单块插卡典型组网图
用户需求
用户内网流量先通过接入交换机进行dot1x认证,认证之后可以免费访问局域网内部资源和内部服务器区,如果要访问Internet,则需要经过ACG二次认证后才能访问。
我们的策略是,只将访问Internet的流量引入插卡,访问服务器区和内网互访的流量直接经交换机转发。
如图3.1所示,S9512上插一块ACG插卡,VLAN10、VLAN20连接内网用户,VLAN30为S9512的出接口,访问服务器区和Internet的流量都经过这个接口出去。
根据需求,将内网访问internet的流量重定向到SecBladeACG,经处理后送回S95,转发到相应出接口。
这里的组网也可以看成是一个典型的流量计费项目组网图。
S95主控板相关配置
#
version5.20,Release2135SP02
sysnameZXJF-S9512
flow-templatetestbasicsipdipdmac
//创建基于sourceip、distip、distmac的流模版
link-aggregationgroup1modemanual
//创建链路聚合组
//vlan10连接内网1的vlan接口
vlan10
descriptionneiwang1
//vlan20连接内网2的vlan接口
vlan20
descriptionneiwang2
//vlan30S9512的出接口
vlan30
descriptioninternet
//创建流分类
//ip地址是内网ip的报文;
我们必须在ACG插卡的内联口permit内网用户的ip地址,不然的话,重定向报文是发不出来的。
因为重定向报文是从内联口发到用户的,是属于二层报文,而我们又过滤了二层报文以防止广播风暴。
trafficclassifierto-inneroperatorand
if-matchacl3001
//arp报文
trafficclassifiertest-TGE-arpoperatorand
if-matchacl4000
//二层报文
trafficclassifiertest-TGE-bridgeoperatorand
if-matchforward-levelbridge
//从服务器回来的报文,此处以cams、DNS服务器为例说明
trafficclassifierfrom-serveroperatorand
if-matchacl3002
//除从服务器过来的ip的其他ip报文,且目的mac是交换机的mac地址
trafficclassifiertest-outoperatorand
if-matchdestination-mac000f-e2b2-d3a2
if-matchacl3000
//去往服务器的ip
trafficclassifierto-serveroperatorand
if-matchacl3064
//从内网出去的流量,(到服务器的除外),且目的mac是交换机的mac地址
trafficclassifiertest-inoperatorand
//流行为区
//从internet回来的报文,打上vlan30的标签,重定向到linkgroup1
trafficbehaviortest-out
remarkservice-vlan-id30
redirectlink-aggregationgroup1
//permit
trafficbehaviorpermit
filterpermit
//从内网出去的流量,打上各自所属的vlan标签,重定向到linkgroup1
trafficbehaviortest-in-10
remarkservice-vlan-id10
trafficbehaviortest-in-20
remarkservice-vlan-id20
//deny
trafficbehaviordeny
filterdeny
#
//qos区
//ACG内联口上的qos策略,目的ip是内网用户的报文直接permit(为了发重定向页面);
过滤arp报文;
过滤二层报文。
这里要注意配置acl的顺序,过滤内网用户报文的mqc规则一定要先于过滤二层报文的规则配置,因为同一级别的规则先下发先生效。
qospolicytest-TGE
classifierto-innerbehaviorpermit
classifiertest-TGE-arpbehaviordeny
classifiertest-TGE-bridgebehaviordeny
//出接口上的qos策略,源ip是服务器的ip报文直接permit,其他报文重定向到ACG插卡上去
qospolicytest-out
classifierfrom-camsbehaviorpermit
classifiertest-outbehaviortest-out
//入接口上的ip报文,目的ip是服务器ip的报文直接permit,其他重定向到ACG插卡上
qospolicytest-in-10
classifierto-camsbehaviorpermit
classifiertest-inbehaviortest-in-10
qospolicytest-in-20
classifiertest-inbehaviortest-in-20
//acl区
//所有ip报文
aclnumber3000
rule0permitip
//目的ip是内网用户的报文。
如果内网有多个网段,则在这里加多个aclrule
aclnumber3001
rule0permitipdestination10.1.0.00.0.255.255
rule1permitipdestination20.1.0.00.0.255.255
//源ip是服务器ip的报文,即从服务器回来的报文
aclnumber3002
rule0permitipsource30.1.0.00.0.255.255
//目的ip是服务器的报文,即内网用户访问服务器的流量
aclnumber3064
rule0permitipdestination30.1.0.00.0.255.255
aclnumber4000
rule0permittype0806ffff
//在内网入接口上应用qos策略
interfaceGigabitEthernet10/1/1
portaccessvlan10
flow-templatetest
qosapplypolicytest-in-10inbound
interfaceGigabitEthernet10/1/2
portaccessvlan20
qosapplypolicytest-in-20inbound
//在出接口上应用qos策略
interfaceGigabitEthernet10/3/4
portaccessvlan30
flow-templatetest
qosapplypolicytest-outinbound
//在ACG的内联口上应用qos策略,同时需要注意其他配置项,trunk口,禁止mac地址学习,linkgroup1
interfaceTen-GigabitEthernet4/1/1
portlink-typetrunk
porttrunkpermitvlanall
mac-addressmac-learningdisable
qosapplypolicytest-TGEinbound
portlink-aggregationgroup1
return
<
ZXJF-S9512>
总体上来讲,95交换机上最麻烦的就是acl的配置,如果局点ip地址较多,并且网段不集中,acl的配置就会相对多一点。
在配置的时候,头脑一定要清醒,最好一次配对,不然后继排查起来会比较费劲。
SW相关配置
SW上主要是配置dot1x一次认证。
配置如下:
//系统启用用户配置的domian(此处为huabei)
domaindefaultenabletest
//全局使能dot1x
dot1x
//创建scheme
radiusschemetest
server-typestandard
primaryauthentication30.1.0.3//camsip地址
primaryaccounting30.1.0.3
keyauthenticationtest//key
keyaccountingtest
user-name-formatwithout-domain//用户登录方式,带后缀还是不带
//创建domain,引用刚才创建的scheme
domaintest
schemeradius-schemetest
authenticationradius-schemetest
accountingradius-schemetest
domainsystem
//在连接PC的那个接口上起dot1x认证
interfaceGigabitEthernet2/0/1
dot1x
ACG插卡上的配置
(1)配置安全区域
在ACG插卡的内部域加上连接内网交换机的几个接口对应的VLANid。
这里入接口共有2个,所以一共有2个VLANid。
外部域为连接9508的接口,只有一个。
(2)配置段
(3)配置段策略
段策略有4个,分别对应内网免认证用户,外网免费资源,已认证用户和未认证用户。
其中,前两个策略基于ip,后两个策略基于用户;
前三个策略,都用默认的规则就可以了。
对未认证用户,要将默认的规则设置为block动作,再新增一个对HTTP服务的重定向的规则。
如图所示:
(4)重定向动作配置方法:
在对象管理—动作管理—阻断动作列表里面设置阻断动作:
在对象管理—动作管理—动作集里面将刚才配置的阻断动作添加到动作集里:
其它配置请参考ACG典型配置指导书,这里不再累述。
注意事项
1、该例其实可以看作一个典型的95插卡流量计费组网方案。
2、文中配置只用了服务器区的CAMS服务器为例说明,实际组网中,要将服务器区中所有ip地址按同样的方式排除,即不重定向至ACG插卡。
3、这里的组网相对复杂,如果实际组网中,只有一台核心交换机,配置会相对简单一点。
在动手配置前,先想好需求和配置方法,争取一次配对。
4、该例中的两个核心交换机没有做主备设置,关于存在主备链路的案例见方案三。
4方案二:
FW+IPS+ACG插卡混插方案
混插方案概述
95混插和75E混插不一样,75E混插时,插卡分为常规和级联模式,而95混插则没有这两个模式。
在95ACG或IPS插卡安全区域里只显示插卡的10GE口一个接口,插卡的上下行方向通过VLANid来区分。
图4.1创建安全区域页面
组网图
图4.2FW+IPS+ACG插卡混插典型组网图
用户网络中配置两个内网接口,属于两个不同VLAN,每个内网接口的流量都要重定向到插卡上,上行流量依次经过SecBladeACG、SecBladeIPS以及SecBladeFW,插卡会根据配置的策略对流量进行处理;
一个外网接口,属于单独VLAN。
如图4.2所示,VLAN100连接外网,内网用户按实际需求被划分为VLAN80和VLAN81;
防火墙配置XGE0/0.60和XGE0/0.100。
安全区域中配置接口和VLANID,将匹配流量引到内联口,使上行流量依次经过SecBladeACG和SecBladeIPS;
然后进行三层转发,通过VLAN60将流量转发到防火墙内网子接口XGE0/0.60,交给防火墙处理;
最后,经过FW处理的流量在S95上转发到出接口访问Internet。
95相关配置
config-versionS9500-CMW310-R1648P01
//允许三层ip报文通过
rule0permitippacket-levelroute
//过滤二层报文;
过滤arp报文
rule1denypacket-levelbridgeingressanyegressany
rule0denyarpingressanyegressany
//允许vlan60的报文
aclnumber4002
rule0permitipingress60egressany
//允许vlan80和vlan81的报文
aclnumber4003
rule0permitipingress80egressany
rule1permitipingress81egressany
//与防火墙通信的vlan
vlan60
//内网两个vlan
vlan80
vlan81
//外网vlan
vlan100
interfaceVlan-interface60
ipaddress60.0.0.1255.255.255.0
interfaceVlan-interface80
ipaddress80.0.0.1255.255.255.0
interfaceVlan-interface81
ipaddress81.0.0.1255.0.0.0
//内网接口1,属于vlan80,将所有入方向ip报文打上vlan80tag,重定向到ACG的10GE口
interfaceEthernet0/1/1
portaccessvlan80
traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitE
thernet1/1/180
//内网接口2,属于vlan81,将所有入方向ip报文打上vlan81tag,重定向到ACG的10GE口
interfaceEthernet0/1/2
portaccessvlan81
thernet1/1/181
//外网接口
interfaceEthernet0/1/17
portaccessvlan100
//ACG的10GE口,trunk口;
禁止mac地址学习;
过滤二层报文;
过滤arp;
将内网vlan80和vlan81的报文带上各自的tag,送到IPS的10GE口。
interfaceGigabitEthernet1/1/1
mac-addressmax-mac-count0
traffic-redirectinboundlink-group4003rule0system-index2interfaceGigabi
tEthernet2/1/180
packet-filterinboundlink-group4000rule1system-index7
packet-filterinboundlink-group4000rule0system-index8
traffic-redirectinboundlink-group4003rule1system-index13interfaceGigab
itEthernet2/1/181
//IPS的10GE口,trunk口;
将外网vlan60的报文带上tag送到ACG的10GE口。
interfaceGigabitEthernet2/1/1
traffic-redirectinboundlink-group4002rule0system-index3interfaceGigabi
tEthernet1/1/160
packet-filterinboundlink-group4000rule1system-index5
packet-filterinboundlink-group4000rule0system-index6
//防火墙的10GE接口,trunk口;
将从外网返回的报文打上vlan60tag,送到IPS的10GE口。
interfaceGig
升级会员 