H3C SR6600 IPSACG插卡开局指导书
H3C SR6600 IPS&ACG插卡开局指导书
杭州华三通信技术有限公司
Hangzhou H3C Technologies Co., Ltd.
版权所有侵权必究
All rights reserved
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第i页
目录
1 SECBLADE安全插卡概述 (2)
1.1产品简介 (2)
1.2主要特点 (3)
2 方案一:SR6600三层口转发部署IPS/ACG插卡基本配置 (4)
2.1组网需求 (4)
2.2组网图 (4)
2.3配置步骤 (4)
3 方案二:SR6600三层子接口转发部署IPS/ACG插卡基本配置 (7)
4 方案三:SR6600三层聚合口转发部署IPS/ACG插卡基本配置 (7)
4.1组网需求 (7)
4.2配置步骤 (7)
5 方案四:SR6600部署NAT SERVER配合IPS/ACG基本配置 (8)
5.1组网需求 (8)
5.2组网图 (8)
5.3配置步骤 (8)
6 方案五:SR6600部署NAT OUTBOUND配合IPS/ACG基本配置 (9)
6.1组网需求 (9)
6.2组网图 (9)
6.3配置步骤 (9)
7 方案六:SR6600部署FW+IPS/ACG插卡基本配置 (10)
7.1组网需求 (10)
7.2组网图 (10)
7.3数据流量处理走向说明 (10)
7.4配置步骤 (12)
8 开局常见注意事项 (17)
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第ii页
关键词Key words:IPS插卡、ACG插卡、FW插卡、OAA
摘要Abstract:
本文主要描述了SecBlade IPS、SecBlade ACG,配合SR6600不同组网环境的典型组网及配置方案,以及在实际应用过程中的注意事项,供开局参考。
缩略语清单List of abbreviations:
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第1页
1 SecBlade安全插卡概述
1.1 产品简介
H3C SecBlade IPS、H3C SecBlade ACG插卡产品采用H3C公司最新硬件平台和体系架构,支持分布式部署和集中管理,可灵活扩展。通过基于Web浏览器的管理界面,管理员可以快速熟悉系统的操作管理。H3C SecBlade IPS/ACG插卡,可以和S5800/S5820X系列低端交换机、
S7500E/S10500系列中端交换机、S9500系列/S9500E系列/S12500系列高端交换机以及
SR6600/SR8800路由器配合使用;可以在已使用该交换机/路由器的用户网络中快速部署,满足对流量运营管理的需要。
H3C SecBlade IPS单板类型:
●LSWM1IPS10:适用于H3C S5800/S5820X系列交换机
●LSQ1IPSSC0:适用于H3C S7500E系列交换机
●LSB1IPS1A0:适用于H3C S9500系列交换机
●LSR1IPS1A1:适用于H3C S9500E系列交换机
●LST1IPS1A1:适用于H3C S12500系列交换机
●SPE-IPS-200:适用于H3C SR6600系列路由器
●IM-IPS:适用于H3C SR8800系列路由器
H3C SecBlade ACG单板类型:
●LSWM1ACG10:适用于H3C S5800/S5820X系列交换机
●LSQ1ACGASC0:适用于H3C S7500E系列交换机
●LSB1ACG1A0:适用于H3C S9500系列交换机
●LSR1ACG1A1:适用于H3C S9500E系列交换机
●LST1ACG1A1:适用于H3C S12500系列交换机
●SPE-ACG-200:适用于H3C SR6600系列路由器
●IM-ACG:适用于H3C SR8800系列路由器
H3C SecBlade II 防火墙插卡采用H3C公司最新的硬件平台和体系架构,是H3C公司面向大型企业和运营商客户开发的新一代电信级防火墙产品。SecBlade II 防火墙插卡采用了专用多核多线程高性能处理器和高速存储器,在高速处理安全业务的同时,交换机的原有业务处理不会受到任何影响。
插卡式H3C SecBlade II防火墙单板类型:
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第2页
●LSWM1FW10:适用于H3C S5800/S5820X系列交换机
●LSQ1FWBSC0:适用于H3C S7500E系列交换机;
●LSB1FW2A0:适用于H3C S9500系列交换机;
●LSR1FW2A1:适用于H3C S9500E系列交换机;
●LST1FW2A1:适用于H3C S12500系列交换机;
●SPE-FWM 、SPE-FWM-200:适用H3C SR6600系列路由器;
●IM-FW-II:适用H3C SR8800系列路由器。
1.2 主要特点
●将主网络设备的转发业务和安全处理有机融合在一起,在实现主网络设备高性能数据转发
的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
●SecBlade IPS/ACG插卡基于H3C公司领先的OAA(Open Application Architecture)架
构开发,通过内部10GE以太网接口与主网络设备相连。H3C主网络设备的线速转发能
力,保证了其与安全业务插卡之间的高速数据转发。
●SecBlade IPS/ACG插卡采用了专用多核多线程高性能处理器和高速存储器,在高速处理
安全业务的同时,主网络设备的原有业务处理不会受到任何影响。
●SecBlade IPS/ACG插卡可以插在主网络设备上的多个槽位,并且在一台主网络设备上可
插入多块插卡进行性能扩展,轻松适应不断升级的企业和电信运营商网络。
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第3页
2 方案一:SR6600三层口转发部署IPS/ACG插卡基本配置
2.1 组网需求
用户网络通过SR6600连接Internet。内网划分多个网段以接入业务,在本案例中以SR6600为网关。
按需求配置进入SR6600的流量先重定向至SecBlade IPS,经攻击防护及流量管理等安全策略处理后可以继续转发的流量,由SecBlade IPS返回至SR6600执行三层路由,转发至相应出接口。
2.2 组网图
VLAN 1002
图1SR6600三层转发部署IPS插卡典型组网图
2.3 配置步骤
1、SR6600三层转发相关配置
# 在SR6600上配置三层转发。
#
interface GigabitEthernet3/0/0 //内网端口
port link-mode route
promiscuous
ip address 10.0.0.1 255.255.255.0
#
interface GigabitEthernet3/0/1 //外网端口
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第4页
port link-mode route
promiscuous
ip address 20.0.0.1 255.255.255.0
# 配置主控板的MIB风格为new。
mib-style new
# 使能ACFP server和ACSEI server功能。
acfp server enable
acsei server enable
# 配置OAA Server所属VLAN(此VLAN 4000只为OAA管理用,对流量转发不起作用)。
vlan 4000
# 配置内联接口,如图1所示,IPS插卡位于SR6600的5号槽位,因此对应内联接口为
Ten-GigabitEthernet5/0/1。
interface Ten-GigabitEthernet5/0/0.1
vlan-type dot1q vid 4000
ip address 172.31.255.1 255.255.255.0 //此IP地址为安全插卡Web配置的OAA Server地址interface Ten-GigabitEthernet5/0/0
port link-mode route
promiscuous
# 配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式。
snmp-agent
snmp-agent local-engineid 800063A203000FE26A39C4
snmp-agent sys-info version all
snmp-agent group v3 v3group_no read-view iso write-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 v3user_no v3group_no //用户名v3user_no在插卡上配置时会用到
2、插卡上的OAA相关配置
登录Web:“系统管理> 设备管理> OAA设置”页面,配置OAA,确认连通性测试成功。
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第5页
杭州华三通信技术有限公司 https://www.wendangku.net/doc/b817830969.html,
第6
页
图2 插卡OAA 配置页面
●
创建内部安全区域,按照实际组网需求将
SR6600内网接口加入IPS 内部安全区域。域应用模式选择【常规】模式。(SR6600不支持级联模式。)
图3 创建插卡内部安全区域
●
创建外部安全区域,按照实际组网需求将SR6600外网接口加入IPS 外部安全区域。域应用模式选择【常规】模式。
图4 创建插卡外部安全域
3 方案二:SR6600三层子接口转发部署IPS/ACG插卡基本配置
SR6600支持配置三层子接口进行转发,与普通物理口不同的是,子接口必须配置封装VLAN。将SR6600的三层子接口加入IPS/ACG的安全区域后,可以正常进行三层转发。其原理与普通三层口转发组网类似,不再赘述,请参考方案一配置。
4 方案三:SR6600三层聚合口转发部署IPS/ACG插卡基本配置4.1 组网需求
SR6600可以配置聚合口,如将GigabitEthernet3/0/0和GigabitEthernet4/0/0设置在一个静态链路聚合组内,将GigabitEthernet3/0/1和GigabitEthernet4/0/1设置在另一个静态链路聚合组内。然后在ACG/IPS配置界面中直接将聚合端口分别加入内部和外部安全区域中。具体配置与普通三层物理口转发组网类似,不再赘述,请参考方案一配置。
4.2 配置步骤
# 创建三层聚合接口1,并为该接口配置IP地址和子网掩码。
interface route-aggregation 1
ip address 10.0.0.1 24
# 分别将接口GigabitEthernet3/0/1至GigabitEthernet4/0/1加入到聚合组1中。
interface gigabitethernet 3/0/1
port link-aggregation group 1
interface gigabitethernet 4/0/1
port link-aggregation group 1
# 配置全局聚合负载分担模式为源IP地址和目的IP地址相结合的方式。
link-aggregation load-sharing mode source-ip destination-ip
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第7页
5 方案四:SR6600部署NAT Server配合IPS/ACG基本配置
5.1 组网需求
客户内部共有3台FTP服务器,对外映射并提供服务的公网IP地址为202.38.1.1/16。在SR6600上配置NAT Server,并实施负载分担使3台服务器可以同时提供服务。要求经SR6600转发的流量经过IPS/ACG板卡安全策略处理。具体配置与普通三层物理口转发组网类似,不再赘述,请参考方案一配置。
5.2 组网图
SecBlade
GE3/0/0GE3/0/1
图5SR6600配置负载分担内部服务器配合IPS插卡典型配置组网
5.3 配置步骤
# 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。
nat server-group 0
inside ip 10.110.10.1 port 21
inside ip 10.110.10.2 port 21
inside ip 10.110.10.3 port 21
# 配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。
interface gigabitethernet 3/0/1
nat server protocol tcp global 202.38.1.1 ftp inside server-group 0
# 将GigabitEthernet3/0/0和GigaibtEthernet3/0/1加入ACG/IPS的安全域,其他配置均相同,不再赘述。
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第8页
6 方案五:SR6600部署NAT Outbound配合IPS/ACG基本配置6.1 组网需求
客户内部网络通过SR6600与Internet相连,在公网出口处拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16。通过配置NAT使得内部网络中仅10.110.10.0/24网段的用户可以访问Internet。要求经SR6600转发的流量经过IPS/ACG板卡安全策略处理。具体配置与普通三层物理口转发组网类似,不再赘述,请参考方案一配置。
6.2 组网图
SecBlade
GE3/0/0GE3/0/1
图6SR6600配置NAT Outbound配合IPS插卡典型配置组网
6.3 配置步骤
# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
system-view
nat address-group 1 202.38.1.2 202.38.1.3
# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
acl number 2001
rule permit source 10.110.10.0 0.0.0.255
rule deny
# 在出接口GigabitEthernet3/0/1上配置ACL 2001与IP地址池1相关联。
interface gigabitethernet 3/0/1
nat outbound 2001 address-group 1
# 将GigabitEthernet3/0/0和GigabitEthernet3/0/1加入ACG/IPS的安全域,其他参照方案一。杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第9页
7 方案六:SR6600部署FW+IPS/ACG插卡基本配置
7.1 组网需求
客户内部网络通过SR6600与外网相连,在SR6600上同时部署SecBlade FW和SecBlade
IPS/ACG板卡。由于IPS、ACG板卡与SR6600配合时引流原理相同,因此在本例中以IPS/ACG板卡泛指其中之一。
内外网之间互访流量需通过策略路由送至防火墙板、通过OAA引流送至IPS/ACG板执行安全策略处理。本组网中要求SR6600必须运行在Release 2603P07及以上版本。
7.2 组网图
图7SR6600同时部署FW插卡和IPS/ACG插卡典型配置组网
7.3 数据流量处理走向说明
如图7所示:
1. SR6600 与外网互连接口①配置PBR将下行进入路由器的流量通过SR6600与FW插卡内联
端口②牵引至FW插卡处理;
2. FW插卡配置路由,使下行流量通过SR6600与FW插卡内联端口③返回给路由器,上行流量杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第10页
则SR6600与FW插卡内联端口②返回给路由器(SR6600与SecBlade II内部仅有一个万兆端口,此处的端口②和端口③通常是内联万兆口的两个三层子接口);
3. ACG上配置OAA ACFP引流策略,将⑤、④接口关联。⑤接口为SR6600与内网互连端口,
配置为引流策略的Out-Interface,④接口为SR6600与IPS/ACG内部互连端口,配置为引流策略的Dest- Interface。通过这种配置方法形成2条引流规则:下行方向的流量如果报文的出接口是⑤,那么流量将通过ACFP策略先重定向至ACG板卡处理,待安全板卡处理完成将报文返回后再继续进行转发;而上行方向的流量如果报文的入接口是⑤,那么流量将通过ACFP策略先重定向至ACG板卡处理,待安全板卡处理完成将报文返回后再继续进行转发);
4. 在接口④上配置PBR策略路由,将经过IPS/ACG处理完成后返回的上行流量,通过接口③出
方向转发到FW板卡;
5. 在接口⑤上配置PBR策略路由,将SR6600与内网互连端口接收的上行流量转发至FW板卡上。
需要注意的是:在网络正常运行期间,由于在接口⑤上同时配置了PBR和ACFP,而ACFP引流策略的优先级要高于PBR,因此SR6600从接口⑤接收到的上行流量优先匹配ACFP引流策略重定向上ACG板卡处理。
当FW出现故障时,对于下行流量,①接口PBR策略路由失效,流量从SR6600外网口到达后,判断该流量将通过SR6600接口⑤出方向转发,因此匹配ACFP策略先重定向至ACG处理,返回后SR6600继续经过接口⑤转发至内网;对于上行流量,SR6600从接口⑤入方向接收的流量匹配ACFP 策略后先重定向至ACG处理,返回后④接口PBR策略路由失效,流量直接通过SR6600路由转发。综上,防火墙板卡出现故障无法处理业务报文时,上下行流量仍然均能通过ACG插卡处理,保证ACG 板卡处理的业务流量来回路径一致。
当ACG出现故障时,对于下行流量,经过FW处理返回至SR6600的报文,因为ACSEI协议检测到ACG单板故障后,使OAA流量的ACFP策略失效,流量直接转发至内网;同理,对于上行流量,SR6600从内网接口⑤收到业务流量后,高优先级的ACFP重定向策略失效后,PBR策略路由生效,将上行流量重定向至防火墙板处理,防火墙处理后返回的流量直接转发至外网。综上,IPS/ACG板卡出现故障无法处理业务报文时,上下行流量也仍然能通过FW插卡处理,保证FW板卡处理的业务流量来回路径一致。
当FW、IPS/ACG板卡均发生故障时,OAA的ACFP引流策略和PBR策略路由都将失效,业务流量将在SR6600路由器上直接转发。
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第11页
7.4 配置步骤
图8典型配置组网图
1、SR6600相关配置
# 使能ACFP和ACSEI。
acfp server enable
acsei server enable
# 配置Loopback地址,并将该地址作为router-id。
interface LoopBack0
ip address 60.255.1.6 255.255.255.255
# ACL 3000用于识别匹配下行流量。
acl number 3000
rule 0 permit ip destination 20.1.0.0 0.0.255.255 # ACL 3001用于识别匹配上行流量。
acl number 3001
rule 0 permit ip source 20.1.0.0 0.0.255.255
# 下行流量转发至防火墙处理PBR策略。
# 上行流量转发至防火墙处理PBR策略。
policy-based-route up permit node 5
if-match acl 3001
apply ip-address next-hop 30.2.1.2
# SR6600外网接口(即接口①),配置PBR将下行流量转发至防火墙单板。
interface GigabitEthernet3/1/0
port link-mode route
promiscuous
ip address 60.1.7.2 255.255.255.0
ip policy-based-route down
# SR6600内网接口(即接口⑤),配置PBR将上行流量转发至防火墙单板。
interface GigabitEthernet3/1/1
port link-mode route
promiscuous
ip address 10.2.1.1 255.255.0.0
ip policy-based-route up
# SR6600与IPS/ACG板卡的内联接口(即接口④)
interface Ten-GigabitEthernet4/0/0
port link-mode route
promiscuous
ip policy-based-route up
# SR6600与IPS/ACG交互OAA协议报文的子接口(仅用于OAA ACFP引流)
interface Ten-GigabitEthernet4/0/1.4000
vlan-type dot1q vid 4000
ip address 172.31.255.1 255.255.255.0
# SR6600与FW板卡的内联接口,并新建两个子接口(即接口②及接口③)。
interface Ten-GigabitEthernet5/0/0
port link-mode route
interface Ten-GigabitEthernet5/0/0.1
vlan-type dot1q vid 10
ip address 30.1.1.1 255.255.255.0
interface Ten-GigabitEthernet5/0/0.2
vlan-type dot1q vid 20
ip address 30.2.1.1 255.255.255.0
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第13页
# SR6600路由协议配置
ospf 1
area 0.0.0.0
network 60.1.7.0 0.0.0.255
network 60.255.1.6 0.0.0.0
network 10.2.0.0 0.0.255.255
# SR6600 SNMP相关参数配置。
snmp-agent
snmp-agent local-engineid 800063A203000FE272664C
snmp-agent sys-info version all
snmp-agent group v3 v3group_no read-view iso write-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 v3user_no v3group_no
2、SecBlade FW相关配置
# 配置防火墙面板口Ge0/1地址,作为带外管理口(默认配置Ge0/1已加入Management区域,可以与Management区域和Local区域互相访问)。
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.100.68 255.255.255.0
# 配置防火墙与SR6600互联万兆口,新建两个三层子接口并配置IP地址(此处需注意将新建的子接口加入相应的安全区域,否则该子接口无法转发数据)。
interface Ten-GigabitEthernet0/0
port link-mode route
interface Ten-GigabitEthernet0/0.2
vlan-type dot1q vid 10
ip address 30.1.1.2 255.255.255.0
interface Ten-GigabitEthernet0/0.3
vlan-type dot1q vid 20
ip address 30.2.1.2 255.255.255.0
# 配置路由。在本例中上行流量通过Ten0/0.2转发,下行流量通过Ten0/0.3转发
ip route-static 0.0.0.0 0.0.0.0 30.1.1.1
ip route-static 20.1.0.0 255.255.0.0 30.2.1.1
3、SecBlade IPS/ACG相关配置
在【系统管理/网络管理/ACFP Client配置】界面,进行ACFP Client配置。出厂默认配置已勾选“使能ACFP Client”,“Server安全用户名”即SR6600上SNMP用户名,在本例中未配置“Server 认证密码”和“Server加密密码”,“Server IP地址”即SR6600的OAA Server IP地址
172.31.255.1/24,“Client IP地址”应与Server IP地址在同一网段,例如172.31.255.2/24,VLAN 杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第14页
杭州华三通信技术有限公司 https://www.wendangku.net/doc/b817830969.html,
第15页
ID 为Server IP 地址接口封装VLAN 。配置完成后可以通过“连通性检测”按钮进行初步检查。
下图为配置界面示例,且为B35平台软件版本,与B31平台软件版本稍有区别。
图9 ACFP Client 配置界面示例
在【系统管理/网络管理/ACFP 联动策略】界面配置联动策略。这里所配置的策略将通过ACFP 下发至SR6600主机。
图10 ACFP 联动策略配置界面示例
在本例中,需要将SR6600路由器内网接口G3/1/1出方向转发的流量(即下行方向流量)先重
定向至ACG 板卡。配置时点击按钮【新建联动策略】,选择源接口为any ,目的接口是G3/1/1。
图11 ACFP 联动策略及规则配置界面示例
策略配置完成后,需要继续在该策略内建立规则,使得只有符合规则的流量才会重定向至IPS 、ACG 板卡。配置时点击【新建】,选择需要执行重定向的报文为指定报文,在本例中具体为“IPv4协议”,报文目标IP 地址为“20.1.0.0/16”。
策略及其包含规则同步至SR6600后,路由器将使得从任意接口接收且即将从G3/1/1转发的报文,协议为IPv4、目标地址为20.1.0.0/16的数据流量先重定向至IPS/ACG 板卡处理,待返回后再从G3/1/1转发。
杭州华三通信技术有限公司 https://www.wendangku.net/doc/b817830969.html,
第16页
图12 ACFP 联动规则配置界面示例
点击【确定】后,回到【策略配置】界面。可以看到策略中已经添加的第一条规则的相关内容。
图13 ACFP 联动策略及规则配置界面示例
同理,为SR6600 G3/1/1接口入方向流量(即上行流量)配置规则。在本例中具体为源端口为G3/1/1,目的端口为any ,报文协议为IPv4,报文源IP 为20.1.0.0/16。
配置完成后可以得到两条ACFP 策略,成功同步至SR6600后,也可以在路由上通过命令“display acfp policy ”查看。
图14 ACFP 联动策略配置界面示例
8 开局常见注意事项
(1) SR6600配合IPS/ACG不支持二层组网模型。
(2) SR6600不支持IPS/ACG 级联组网,即无法实现OAA的ACFP联动策略将业务报文连续
两次重定向至IPS/ACG板卡后再进行转发处理。
(3) SR6600各转发接口下均需配置为promiscuous模式。
杭州华三通信技术有限公司https://www.wendangku.net/doc/b817830969.html, 第17页