h3c高端交換機(jī)安全插卡典型配置匯總s9500e oaa培訓(xùn)

1、H3C S9500E OAA培訓(xùn) 李秀軍 03616 密級(jí)：內(nèi)部公開杭州華三通信技術(shù)有限公司OAA構(gòu)架基本概念OAA插卡類型OAA插卡實(shí)現(xiàn)方案FW轉(zhuǎn)發(fā)原理與配置IPS/ACG原理與配置OAA問題定位指導(dǎo)目錄OAA技術(shù)背景OAA: Open Application Architecture 開放應(yīng)用架構(gòu)OAA：能夠讓眾多不同廠商生產(chǎn)的設(shè)備和軟件集成在一起，象一臺(tái)設(shè)備那樣工作，為客戶提供一體化的解決方案OAA體系結(jié)構(gòu)OAA體系的三個(gè)組成部分：路由交換部件、獨(dú)立業(yè)務(wù)部件和接口連接部件路由交換部件：路由器和交換機(jī)的主體部分，是用戶管理控制的核心獨(dú)立業(yè)務(wù)部件：是可以開放給第三方合作開發(fā)的主體，主要用來提

2、供各種獨(dú)特的業(yè)務(wù)服務(wù)功能接口連接部件：是路由交換接部件和獨(dú)立業(yè)務(wù)部件的接口連接體，通過這個(gè)部件將兩個(gè)不同廠商的設(shè)備連接在一起，以形成一個(gè)統(tǒng)一的產(chǎn)品OAA工作方式OAA四種工作模式：主機(jī)模式、重定向模式、鏡像模式、穿透模式主機(jī)模式：獨(dú)立業(yè)務(wù)系統(tǒng)就象網(wǎng)絡(luò)上的一臺(tái)主機(jī)，擁有自己的IP地址，作為網(wǎng)絡(luò)末梢存在。IP報(bào)文通過路由交換部件連接獨(dú)立業(yè)務(wù)部件的高速以太網(wǎng)口轉(zhuǎn)發(fā)。此模式下路由交換部件和獨(dú)立業(yè)務(wù)部件耦合最松。鏡像模式：路由交換部件根據(jù)要求，把特定的報(bào)文復(fù)制一份給獨(dú)立業(yè)務(wù)系統(tǒng)，原始報(bào)文繼續(xù)完成正常的轉(zhuǎn)發(fā)。而獨(dú)立業(yè)務(wù)系統(tǒng)收到這個(gè)報(bào)文以后進(jìn)行分析和處理，然后將報(bào)文丟棄。重定向模式：路由交換部件根據(jù)要求，把

3、特定的報(bào)文重定向給獨(dú)立的業(yè)務(wù)系統(tǒng)。獨(dú)立的業(yè)務(wù)系統(tǒng)處理以后，或丟棄，或通過。如果通過，則報(bào)文被原封不動(dòng)的還給路由器，路由器則繼續(xù)從當(dāng)初中斷的地方繼續(xù)處理，完成后續(xù)的轉(zhuǎn)發(fā)工作。穿透模式：獨(dú)立的業(yè)務(wù)系統(tǒng)沒有配置IP地址，并且一定要有外在的以太網(wǎng)口，數(shù)據(jù)從這個(gè)接口流入，穿過獨(dú)立業(yè)務(wù)系統(tǒng)，經(jīng)過高速以太口到達(dá)路由交換部件，或者反方向轉(zhuǎn)發(fā)。OAA信息交互及聯(lián)動(dòng)OAA信息交互包括兩種協(xié)議：ACSEI協(xié)議和ACFP協(xié)議ACFP Application control forward protocol，應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議，一種設(shè)備間的C/S（客戶端/服務(wù)端）模式的聯(lián)動(dòng)框架ACFP Client ACFP聯(lián)動(dòng)框架的客

4、戶端系統(tǒng)ACFP Server ACFP聯(lián)動(dòng)框架的服務(wù)端系統(tǒng)ACSEI a method for exchanging information between ACFP Client and ACFP Server，在ACFP Server與ACFP Client交互信息的一種方法。ACSEI協(xié)議：對(duì)ACFP聯(lián)動(dòng)提供很好的支撐，保障各種組網(wǎng)下ACFP Client與ACFP Server之間有效交互信息，確保業(yè)務(wù)協(xié)作運(yùn)行。有專門的ACSEI協(xié)議報(bào)文格式。ACFP協(xié)議：提供聯(lián)動(dòng)策略，確保路由交換部件和獨(dú)立業(yè)務(wù)部件的信息交互。通過SNMP協(xié)議進(jìn)行協(xié)議報(bào)文交互，提供專門的H3C-ACFP-MIBOA

5、A管理通道交換路由部件和獨(dú)立業(yè)務(wù)部件存在管理通道，由獨(dú)立異步串口實(shí)現(xiàn)交換路由部件通過異步串口能夠直接登錄和管理獨(dú)立業(yè)務(wù)部件管理通道支持的功能oap connect從交換路由部件連接到獨(dú)立業(yè)務(wù)部件oap reboot重啟獨(dú)立業(yè)務(wù)部件oap management-ip配置獨(dú)立業(yè)務(wù)部件管理IP地址IPS功能業(yè)務(wù)模塊千兆性能規(guī)格領(lǐng)先推出插卡式IPS架構(gòu)，安全與網(wǎng)絡(luò)深度融合無線控制器業(yè)務(wù)模塊業(yè)界容量最大，最大支持640個(gè)AP實(shí)現(xiàn)有線無線一體化網(wǎng)絡(luò)部署Netstream模塊支持V5、V8和V9多種日志格式，為客戶提供完整的網(wǎng)絡(luò)分析解決方案LB負(fù)載均衡模塊支持NAT、DR模式以及各種負(fù)載均衡算法，滿足各類用

6、戶的不同需求，在服務(wù)器群前端形成有效均衡，極大提升服務(wù)器組的性能。防火墻功能業(yè)務(wù)模塊萬兆處理能力多CPU架構(gòu)，突破安全處理瓶頸實(shí)現(xiàn)網(wǎng)絡(luò)和安全的無縫融合支持虛擬防火墻，支持NATS9500E豐富的多業(yè)務(wù)插卡ACG應(yīng)用控制網(wǎng)關(guān)模塊首創(chuàng)UAAE技術(shù)，實(shí)現(xiàn)對(duì)各種P2P與VoIP協(xié)議模型的深層次分析和控制ACG能夠精準(zhǔn)識(shí)別各種寬帶共享用戶，提高運(yùn)營網(wǎng)絡(luò)收入S9500E支持OAA插卡介紹S9500E產(chǎn)品目前支持6種OAA插卡 LSR1FW2A1防火墻插卡，僅支持主機(jī)模式 LSR1NSM1A1Netstream插卡，支持鏡像模式 LSR1LB1A1負(fù)載均衡（LoadBalance）插卡，僅支持主機(jī)模式 LS

7、R1WCM2A1無線插卡，僅支持主機(jī)模式 LSR1IPS1A1IPS插卡，支持鏡像模式和重定向模式 LSR1ACG1A1ACG插卡，支持鏡像模式和重定向模式注： LSR1SSL2A1（SSL VPN）和LSR1AFC2A1（異常流量清洗）插卡處于軟/硬件Ready狀態(tài)，市場(chǎng)有需要可以隨時(shí)立項(xiàng)支持SecBlade FW插卡工作方式SecBlade插卡與交換機(jī)背板相連，有兩種工作方式：Ethernet、Hig方式。FW、SSL VPN、LB都工作在Ethernet方式下，IPS和ACG工作在Hig方式下。Ethernet方式下的插卡，可以通過二、三層轉(zhuǎn)發(fā)接收?qǐng)?bào)文。Hig方式下的插卡只能通過重定向轉(zhuǎn)

8、發(fā)接收?qǐng)?bào)文。SecBlade 插卡通過內(nèi)聯(lián)口與交換機(jī)背板相連，在面板上只有管理口，沒有業(yè)務(wù)口。大部分插卡通過1個(gè)10G口，與交換機(jī)背板相連，而防火墻板卡就是這種工作方式跨vlan二層轉(zhuǎn)發(fā)組網(wǎng)需求：實(shí)現(xiàn)對(duì)同一網(wǎng)段主機(jī)間的報(bào)文進(jìn)行安全過濾，就是由數(shù)據(jù)鏈路層來完成不同VLAN間的通信。/24 5354跨vlan二層轉(zhuǎn)發(fā)配置方法：流量在交換機(jī)上的入接口和出接口分別屬于不同的VLAN。交換機(jī)與防火墻插卡相連的鏈路兩端的以太網(wǎng)口均配置為Trunk類型。防火墻插卡連接交換機(jī)的以太網(wǎng)口下配置多個(gè)子接口，每個(gè)子接口配置屬于不同的VLAN，這些VLAN和交換機(jī)上的VLAN一一對(duì)應(yīng)。將子接口加入不同的安全區(qū)域母體配

9、置#vlan 102 to 103/創(chuàng)建所需VLAN#interface Vlan-interface103/VLAN102的網(wǎng)關(guān) ip address 54 #interface GigabitEthernet2/1/12 port link-mode bridge port access vlan 102#interface GigabitEthernet2/1/13 port link-mode bridge port access vlan 103#interface Ten-GigabitEthernet6/1/1 port link-mode bridge/10GE接口工作在橋模式

10、 port link-type trunk port trunk permit vlan 1 102 to 103/將所需VLAN上送到SecBlade#SecBladeII FW配置#vlan 102 to 103/創(chuàng)建所需VLAN#vlan 1000 /SecBlade內(nèi)部轉(zhuǎn)發(fā)所需VLAN#interface Ten-GigabitEthernet0/0 port link-mode bridge/10GE接口工作在橋模式 port link-type trunk port trunk permit vlan 102 to 103interface Ten-GigabitEthernet0

11、/0.102/用于接收VLAN102報(bào)文 port link-mode bridge port access vlan 1000/所屬vlan為1000#interface Ten-GigabitEthernet0/0.103/用于接收VLAN103報(bào)文 port link-mode bridge port access vlan 1000/所屬vlan為10000路由模式轉(zhuǎn)發(fā)原理母體的10GE接口在Trunk類型下，可以與SecBlade II的10GE接口交互帶vlan tag的報(bào)文。SecBlade II 10GE接口的三層子接口（物理接口為路由模式）或vlan虛接口（物理接口為橋模式，

12、且配置為Trunk類型）能夠接收指定vlan tag的報(bào)文；在指定vlan內(nèi)發(fā)送報(bào)文。母體將帶vlan tag的報(bào)文發(fā)送給SecBlade后，相同vlan id的子接口或vlan虛接口將轉(zhuǎn)發(fā)報(bào)文或發(fā)送應(yīng)答報(bào)文（如arp，針對(duì)接口地址的訪問）根據(jù)目的IP地址查找轉(zhuǎn)發(fā)表或路由表，根據(jù)最長匹配原則找到出接口；找到出接口后，判斷安全域，執(zhí)行安全策略查找匹配目的IP的arp表項(xiàng)，同時(shí)根據(jù)出接口特性，封裝以太幀發(fā)送報(bào)文。若沒有目的IP對(duì)應(yīng)的arp表項(xiàng)，向出接口發(fā)送arp查詢。應(yīng)用環(huán)境內(nèi)部網(wǎng)絡(luò)劃分VLAN101、102、103，分配劃分到Trust、DMZ和Untrust安全區(qū)域，交換機(jī)作為二層，要求各VL

13、AN網(wǎng)關(guān)終結(jié)在SecBlade上，SecBlade實(shí)現(xiàn)：VLAN間的訪問控制；配置內(nèi)部服務(wù)器；訪問Internet。交換機(jī)的配置創(chuàng)建Vlanvlan 101 to 103 access接口配置interface GigabitEthernet2/1/11 port link-mode bridge port access vlan 101 10GE接口的配置interface Ten-GigabitEthernet6/1/1port link-mode bridgeport link-type trunk /10GE接口工作在Trunk模式port trunk permit vlan 1 10

14、1 to 103 /Trunk所需vlan到SecBlade三層子接口方式PC1、PC2、PC3分別屬于VLAN101、VLAN102、VLAN103，在SecBlade上創(chuàng)建三個(gè)三層子接口ten-g0/0.101、ten-g0/0.102、ten-g0/0.103，配置IP地址作為S9500E上的VLAN101、VLAN102、VLAN103的網(wǎng)關(guān)。IPS的定義包頭內(nèi)部網(wǎng)絡(luò) IPS防火墻協(xié)議數(shù)據(jù)內(nèi)容InternetIPS（Intrusion Prevention System，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動(dòng)防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對(duì)數(shù)據(jù)報(bào)文的深度檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)

15、威脅并主動(dòng)進(jìn)行處理。目前已成為應(yīng)用層安全防護(hù)的主流設(shè)備。數(shù)據(jù)流重組協(xié)議識(shí)別分析并行處理支持近千種協(xié)議特征分析 并行處理包括攻擊特征、病毒特征轉(zhuǎn)發(fā)限流、整形阻斷、重定向、隔離等IPS的基本原理 數(shù)據(jù)流重組：把數(shù)據(jù)流重組到連接會(huì)話中 協(xié)議識(shí)別分析：分析錯(cuò)誤、識(shí)別流量、解析協(xié)議載荷 特征模式匹配：依靠已有數(shù)據(jù)庫來進(jìn)行攻擊特征或模式的匹配 根據(jù)不同的預(yù)設(shè)條件對(duì)經(jīng)過分析的數(shù)據(jù)執(zhí)行不同策略定制策略ACG簡介H3C SecPath ACG（Application Control Gateway）是業(yè)界識(shí)別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用

16、、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶行為進(jìn)行深入分析，可以幫助用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，為開展各項(xiàng)業(yè)務(wù)提供數(shù)據(jù)支撐。H3C ACG系列包括SecPath ACG 2000-M、SecPath ACG8800-S3和應(yīng)用于H3C S75E/S95E系列交換機(jī)的SecBlade ACG模塊。對(duì)用戶上網(wǎng)行為進(jìn)行深入分析，識(shí)別出相關(guān)應(yīng)用采取阻斷、限流、干擾、過濾、警告等控制手段通過采集相關(guān)訪問信息，實(shí)現(xiàn)事后行為審計(jì)行為識(shí)別行為控制行為審計(jì)ACG實(shí)現(xiàn)目標(biāo)部署概念(1)安全區(qū)域和段安全區(qū)域是一個(gè)物理/網(wǎng)絡(luò)上的概念（特定的物理端口 + VLAN ID）段可以看作是連

17、接兩個(gè)安全的區(qū)域的一個(gè)透明網(wǎng)橋策略被應(yīng)用在特定的段上。 段 + 策略 + 網(wǎng)絡(luò)配置 (IP地址、方向)部署概念(2)特征、規(guī)則和策略特征定義了一組檢測(cè)因子來決定如何對(duì)當(dāng)前網(wǎng)絡(luò)中的流量進(jìn)行檢測(cè)規(guī)則的范疇比特征要廣。規(guī)則 = 特征 + 啟用狀態(tài) + 動(dòng)作集策略是一個(gè)包含了多條規(guī)則的集合動(dòng)作和動(dòng)作集安全區(qū)域、段和策略的關(guān)系WANDMZ - WWWINTERNALSegmentZone APolicyPolicyPolicyPORTPORTZone B部署概念(3)IPS/ACG插卡工作方式SecBlade插卡與交換機(jī)背板相連，有兩種工作方式：Ethernet、Hig方式。 IPS和ACG插卡工作在H

18、ig方式下,Hig方式下的插卡只能通過重定向轉(zhuǎn)發(fā)接收?qǐng)?bào)文。重定向報(bào)文的兩種方法：OAA和重定向。其中，OAA是我司自主開發(fā)的開放應(yīng)用框架協(xié)議，S75E/S95E/S58都采用OAA的方式和母體互聯(lián)；而重定向是S95E上板卡的工作方式，S95E通過重定向的方式將報(bào)文送到IPS/ACG插卡處理。LSR1IPS1A1插卡介紹 入侵防御系統(tǒng)插卡，能夠深度檢測(cè)并且防御DDoS攻擊，支持流量精細(xì)控制，提供帶寬保護(hù)功能 性能規(guī)格 轉(zhuǎn)發(fā)性能：1G(256字節(jié)，1%攻擊流量）LSR1ACG1A1插卡介紹 應(yīng)用控制網(wǎng)關(guān)插卡，實(shí)現(xiàn)應(yīng)用識(shí)別、應(yīng)用控制和行為審計(jì)功能 性能規(guī)格 轉(zhuǎn)發(fā)性能：1G 并發(fā)會(huì)話數(shù)：1M 應(yīng)用識(shí)別

19、：智能應(yīng)用感知、應(yīng)用流量感知、用戶行為感知、上網(wǎng)內(nèi)容感知、即時(shí)升級(jí)的特征庫 應(yīng)用控制：細(xì)粒度應(yīng)用流量控制、根據(jù)五元組精確控制、URL過濾、內(nèi)容過濾、認(rèn)證與計(jì)費(fèi)管理、黑名單 行為審計(jì)：記錄訪問信息、用戶應(yīng)用使用分析、用戶行為的縱深分析、應(yīng)用流量的縱深分析基本功能點(diǎn) 單板識(shí)別及啟動(dòng) 串口通信功能 交換機(jī)登錄OAA插卡：oap connect（IPS和ACG不支持該功能） 交換機(jī)重啟OAA插卡：oap reboot ACSEI協(xié)議功能 OAA插卡名稱切換 接口MAC地址學(xué)習(xí)功能OAA插卡名稱切換說明 OAA插卡前插板硬件分為3種類型 FW、NSM、IPS、ACG、AFC前插板共用同一種硬件：基于RM

20、I處理器的防火墻應(yīng)用單板 SSL前插板用一種硬件：基于Cavium Octeon處理器的SSL應(yīng)用單板 WCM前插板用一種硬件：基于RMI處理器的無線控制器應(yīng)用單板 基于同一種硬件的插卡間可以互相切換，僅需要更換軟件和邏輯 查詢當(dāng)前OAA插卡類型：oaa-type get（診斷模式） 修改當(dāng)前OAA插卡類型：oaa-type set（診斷模式）（修改后需要重啟）OAA插卡引流說明 FW、LB、WCM插卡工作在主機(jī)模式，數(shù)據(jù)流經(jīng)過二三層轉(zhuǎn)發(fā)到前插板 NSM插卡工作在鏡像模式，數(shù)據(jù)流經(jīng)過手工配置鏡像的方式送往前插板 IPS和ACG插卡工作在鏡像模式/重定向模式，數(shù)據(jù)流可以通過手工配置方式送往前插板

21、，也可以通過ACFP協(xié)議自動(dòng)引流IPS&ACG: ACFP引流方案（一）重定向方式：1）在入端口下發(fā)ACL規(guī)則，報(bào)文（以一定格式攜帶相關(guān)信息）重定向到IPS插卡2）IPS封裝成相應(yīng)的格式，送往入端口所在單板3）入端口所在單板進(jìn)行正常轉(zhuǎn)發(fā)，送往目的端口IPS&ACG: ACFP引流方案（二）鏡像方式：1）在入端口下發(fā)ACL規(guī)則，報(bào)文（以一定格式攜帶相關(guān)信息）鏡像到IPS插卡2）鏡像報(bào)文送IPS插卡，另一份報(bào)文正常轉(zhuǎn)發(fā)IPS&ACG: ACFP引流產(chǎn)品實(shí)現(xiàn)1）引流IPS下發(fā)策略，通過ACFP協(xié)議下發(fā)ACL規(guī)則到安全域（物理端口），待檢測(cè)的流量重定向/鏡像到內(nèi)聯(lián)口，轉(zhuǎn)發(fā)到IPS（報(bào)文中添加DSA T

22、ag，攜帶Context ID和入端口信息）2）返回IPS收到報(bào)文后，根據(jù)一定的約定封裝報(bào)文內(nèi)容（攜帶兩層DSA Tag，用于S9500E側(cè)正常轉(zhuǎn)發(fā)）3）報(bào)文送到S9500E的環(huán)回口，按照原始報(bào)文格式進(jìn)行正常轉(zhuǎn)發(fā)IPS前插板VLAN 20 G1/1/1上行端口接核心路由器流量重定向到IPS單板（由CPU Code指定出設(shè)備和出端口）流量由IPS返回，直接轉(zhuǎn)發(fā)到報(bào)文入端口所在芯片環(huán)回口內(nèi)部業(yè)務(wù)端口環(huán)回口下行端口，接負(fù)載均衡器（LB）1234 InternetIP:G2/1/1G3/1/1 VLAN 20IPS&ACG: ACFP引流產(chǎn)品實(shí)現(xiàn)重定向報(bào)文到CPU，且分配相應(yīng)的CPU Code，用于控

23、制符合規(guī)則的流轉(zhuǎn)發(fā)到IPS單板； 即在下發(fā)重定向規(guī)則時(shí)，為了滿足報(bào)文攜帶Context ID和自身轉(zhuǎn)發(fā)的要求，需要把報(bào)文先重定向到CPU，分配一個(gè)CPU Code，再由CPU Code指定目的設(shè)備號(hào)和目的端口號(hào)G2/1/1，由G2/1/1轉(zhuǎn)發(fā)到IPS模塊。 同時(shí)，G2/1/1端口必須在初始化時(shí)設(shè)置成SP，保證從該端口出去的報(bào)文都能夠攜帶DSA Tag頭。此時(shí)的報(bào)文格式比較特殊，攜帶Marvell的TO_CPU的DSA Tag。IPS&ACG: ACFP引流產(chǎn)品實(shí)現(xiàn) Context ID分配由S9500E產(chǎn)品完成，根據(jù)DEV+PORT組合成一個(gè)Context ID，攜帶在TO_CPU的DSA T

24、ag中（DEV占用7個(gè)bit，PORT占用6個(gè)bit），合在一起組成一個(gè)13bit的Context ID值；由于平臺(tái)認(rèn)為0是非法的Context ID，當(dāng)DEV為0且PORT為0時(shí)，Context賦值成0 x1FFF（8191），需要9011產(chǎn)品側(cè)進(jìn)行特殊處理。IPS&ACG: ACFP引流產(chǎn)品實(shí)現(xiàn)轉(zhuǎn)發(fā)從S9500E過來的報(bào)文，需要打上兩層DSA Tag，外層DSA Tag為FROM_CPU的DSA Tag，DSA Tag的封裝格式見表2，用于指定報(bào)文去往源端口所在芯片的LBP（固定為48），供LBP進(jìn)行特殊處理；內(nèi)層DSA_Tag為FORWARD的DSA Tag，DSA Tag的封裝格式見表

25、3，用于攜帶報(bào)文的源設(shè)備和源端口信息，保證報(bào)文在Ingress方向進(jìn)行正常的轉(zhuǎn)發(fā)處理。IPS&ACG: ACFP引流產(chǎn)品實(shí)現(xiàn) Context ID分配由S9500E產(chǎn)品完成，根據(jù)DEV+PORT組合成一個(gè)Context ID，攜帶在TO_CPU的DSA Tag中（DEV占用7個(gè)bit，PORT占用6個(gè)bit），合在一起組成一個(gè)13bit的Context ID值；由于平臺(tái)認(rèn)為0是非法的Context ID，當(dāng)DEV為0且PORT為0時(shí)，Context賦值成0 x1FFF（8191），需要9011產(chǎn)品側(cè)進(jìn)行特殊處理。IPS&ACG各步驟報(bào)文格式S9500E重定向/鏡像送往IPS的報(bào)文格式（含主動(dòng)發(fā)

26、送的協(xié)議報(bào)文）IPS檢測(cè)完畢后返回給S9500E的報(bào)文格式IPS發(fā)送的協(xié)議報(bào)文格式IPS主動(dòng)發(fā)送的控制報(bào)文格式（發(fā)送到攻擊源端和攻擊目的端的報(bào)文格式）OAA方式配置步驟1）使能ACSEI和ACFP Server功能2）配置SNMP版本及用戶名3）配置管理VLAN及接口地址（ACFP互通IP地址）4）配置內(nèi)聯(lián)口類型及工作模式（TRUNK，工作在擴(kuò)展模式）參考配置：ACFP方式配置注意事項(xiàng)及使用限制1）內(nèi)聯(lián)口必須配置為TRUNK端口，且PVID不能設(shè)置成管理VLAN的VLAN ID2）內(nèi)聯(lián)口工作模式必須是在擴(kuò)展模式（port connection-mode extend）3）ACFP動(dòng)態(tài)引流模式和

27、手工配置模式的切換，僅需要在內(nèi)聯(lián)口修改工作模式4）經(jīng)過ACFP協(xié)議引流到IPS插卡后返回的報(bào)文，在LBP口可以匹配MQC規(guī)則5）ACFP動(dòng)態(tài)引流模式IPS+ACG混插組網(wǎng)時(shí)，同一條流不能既經(jīng)過IPS又經(jīng)過ACG處理，如果有這種混合應(yīng)用，目前只能支持手工配置模式（非ACFP模式）解決方案：利用FW把IPS和ACG隔離，IPS工作在FW之外，ACG工作在FW之內(nèi)，實(shí)現(xiàn)ACFP動(dòng)態(tài)引流6）安全區(qū)域配置不支持聚合接口，只支持普通的物理端口（ACL無法在聚合組配置，和產(chǎn)品MQC實(shí)現(xiàn)保持一致）7）由于報(bào)文會(huì)從內(nèi)聯(lián)口重新進(jìn)入交換機(jī)一次，會(huì)導(dǎo)致MAC地址在不同的端口上來回學(xué)習(xí)，引起混亂，因此需要在內(nèi)聯(lián)口上禁止MAC地址學(xué)習(xí)（ mac-address max-mac-count 0 ）OAA方式常見問題分析（一）1）IPS/ACG單板插入后打印forwarding故障，確認(rèn)單板的邏輯CPLD是否最新的003。LSR1IPS1 1/6: uptime is 0 weeks, 0 days, 17 hour