h3csecblade混合插卡組網(wǎng)培訓(xùn)課件

H3CSecBlade混合插卡組網(wǎng)安全產(chǎn)品組巫繼雨日期：12/29/2022密級：杭州華三通信技術(shù)有限公司H3CSecBlade混合插卡組網(wǎng)安全產(chǎn)品組巫繼雨日期1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配硬件外觀接口1個Console接口1個CF卡接口，支持容量為256M、512M、1G的CF卡2個USB接口（預(yù)留）2個10/100/1000BASE-T電接口2個千兆Combo（光電復(fù)合）接口后插板10GE接口CF卡Console2GE電口2GECombo2GBDDR2內(nèi)存CF卡Console注：灰色標(biāo)記部分為S5800插卡數(shù)據(jù)硬件外觀接口1個Console接口1個CF卡接口，支持容量為H3C業(yè)務(wù)插卡配套關(guān)系

插卡產(chǎn)品FWIPSLBACGSSLVPNNetStreamAFCSR88●SR66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●H3C業(yè)務(wù)插卡配套關(guān)系插卡FWIPSLBACGS插卡類型插卡式的H3CSecBladeIIFW系列單板類型：LSRM1FW2A1 適用于H3CS9500E防火墻業(yè)務(wù)板LSBM1FW2A1 適用于H3CS9500防火墻業(yè)務(wù)板LSQM1FWBSC0適用于H3CS7500E防火墻業(yè)務(wù)板模塊LSWM1FW10 適用于H3CS5800系列防火墻模塊RT-SPE-FWM-H3適用于H3CSR6600千兆防火墻業(yè)務(wù)板模塊IM-FW 適用于H3CSR8800防火墻業(yè)務(wù)處理板插卡式的H3CSecBladeLB系列單板類型：LSQM1LBSC0 適用于H3CS7500E-千兆負(fù)載均衡業(yè)務(wù)模塊LSRM1LB1A1 適用于H3CS9500E-負(fù)載均衡業(yè)務(wù)板LSBM1LB1A1 適用于H3CS9500-負(fù)載均衡業(yè)務(wù)板LSWM1LB10 適用于H3CS5800負(fù)載均衡業(yè)務(wù)板插卡類型插卡式的H3CSecBladeIIFW系列單板類插卡類型-續(xù)1插卡式的H3CSecBladeIPS系列單板類型：LSWM1IPS10適用于H3CS5800/S5820X系列交換機；LSQ1IPSSC0適用于H3CS7500E系列以太網(wǎng)交換機；LSB1IPS1A0適用于H3CS9500系列以太網(wǎng)交換機；LSR1IPS1A1適用于H3CS9500E系列以太網(wǎng)交換機。插卡式的H3CSecBladeACG系列單板類型：LSQ1ACGASC0適用于H3CS7500E系列以太網(wǎng)交換機；LSB1ACG1A0適用于H3CS9500系列以太網(wǎng)交換機；LSR1ACG1A1適用于H3CS9500E系列以太網(wǎng)交換機。插卡類型-續(xù)1插卡式的H3CSecBladeIPS系列單插卡類型-續(xù)2插卡式的H3CSecBladeSSLVPN系列單板類型：LSQM1SSLSC0 適用于H3CS7500E-SSLVPN業(yè)務(wù)模塊LSBM1SSL1A1 適用于H3CS9500SSLVPN業(yè)務(wù)板模塊RT-SPE-SSL-H3 適用于H3CSR6600SSLVPN模塊插卡式的H3CSecBladeNetStream系列單板類型：LSQM1NSMSC0 適用于H3CS7500ENetStream業(yè)務(wù)板LSRM1NSM1A1 適用于H3CS9500ENetStream業(yè)務(wù)板LSWM1NSM10 適用于H3CS5800系列NetStream業(yè)務(wù)板插卡類型-續(xù)2插卡式的H3CSecBladeSSLVP使用版本產(chǎn)品配套項目版本號（對外）說明主控板軟件SecBladeIPS-IMW110-E2107內(nèi)部版本9011V200R001B01D105升級后BOOTWAREV108CPLD20075E配套版本S7500E-CMW520-F6307L03

95配套版本S9500-CMW310-R1646-EI95E配套版本S9500E-CMW520-B1136SecCenter版本SecCenterIPSMV2.10-B0022iMCiMCPLAT3.20-R2602+P04SecBlade插卡可以在部門FTP相應(yīng)目錄:/New_Internal_Versions(新內(nèi)部版本歸檔)/02-IP安全產(chǎn)品/xxxx獲取的最新版本開局版本，每個插卡版本都會附帶版本配套表，里面會列出和母體配套的版本，請在實施時獲取。使用版本產(chǎn)品配套項目版本號（對外）說明主控板軟件SecBla1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配01SecBladeIIFW插卡 SecBladeII防火墻插卡是我司防火墻的旗艦級產(chǎn)品，其硬件上采用了多核技術(shù)，處理核心是目前處理能力最強大的嵌入式處理器之一——RMI的力作XLR732。高端防火墻的軟件，采用了我司最新的COMWAREV5平臺(V5R2)，配合精心構(gòu)架的底層驅(qū)動，能夠充分地發(fā)揮多核的優(yōu)勢。New01SecBladeIIFW插卡 SecBladeII防防火墻部署—透明模式FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101交換處理AccessVlan200入方向：1->6:二層轉(zhuǎn)發(fā)6->7:二層轉(zhuǎn)發(fā)7->8:二層轉(zhuǎn)發(fā)8->9:三層轉(zhuǎn)發(fā)9->12:二層轉(zhuǎn)發(fā)出方向：12->9:二層轉(zhuǎn)發(fā)9->8:三層轉(zhuǎn)發(fā)8->7:二層轉(zhuǎn)發(fā)7->6:二層轉(zhuǎn)發(fā)6->1:二層轉(zhuǎn)發(fā)Vlan1000VIF200Vlan2009Vlan1002-2-2方式背板防火墻部署—透明模式FTPServerFWSwtich板防火墻部署—三層轉(zhuǎn)發(fā)FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan200交換處理AccessVlan200入方向：1->6:二層轉(zhuǎn)發(fā)6->7:三層轉(zhuǎn)發(fā)7->12:二層轉(zhuǎn)發(fā)出方向：12->7:二層轉(zhuǎn)發(fā)7->6:三層轉(zhuǎn)發(fā)6>1:二層轉(zhuǎn)發(fā)VIF200Vlan2009VIF100Vlan1002-3-2方式背板防火墻部署—三層轉(zhuǎn)發(fā)FTPServerFWSwtich板防火墻部署—三層轉(zhuǎn)發(fā)2FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101/30交換處理AccessVlan200入方向：1->6:二層轉(zhuǎn)發(fā)6->7:三層轉(zhuǎn)發(fā)7->8:二層轉(zhuǎn)發(fā)8->9:三層轉(zhuǎn)發(fā)9->12:二層轉(zhuǎn)發(fā)出方向：12->9:二層轉(zhuǎn)發(fā)9->8:三層轉(zhuǎn)發(fā)8->7:二層轉(zhuǎn)發(fā)7->6:三層轉(zhuǎn)發(fā)6->1：二層轉(zhuǎn)發(fā)Vlan1000VIF200Vlan2009VIF101/30VIF100Vlan100也是2-3-2方式這是什么方式？背板防火墻部署—三層轉(zhuǎn)發(fā)2FTPServerFWSwtich有沒有這種方式FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101/30交換處理AccessVlan200Vlan1000VIF200Vlan2009VIF101/30VIF100/30Vlan100VIF100/30答案：這個一般真沒有！有沒有這種方式FTPServerFWSwtich板Swt02SecBladeIPS插卡包頭內(nèi)部網(wǎng)絡(luò)IPS防火墻協(xié)議數(shù)據(jù)內(nèi)容InternetIPS（IntrusionPreventionSystem，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對數(shù)據(jù)報文的深度檢測，實時發(fā)現(xiàn)威脅并主動進(jìn)行處理。目前已成為應(yīng)用層安全防護(hù)的主流設(shè)備。02SecBladeIPS插卡包頭內(nèi)部網(wǎng)絡(luò)IPS防火墻03SecBladeACG插卡 H3CSecPathACG（ApplicationControlGateway）是業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制；同時，根據(jù)對網(wǎng)絡(luò)流量、用戶行為進(jìn)行深入分析，可以幫助用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，為開展各項業(yè)務(wù)提供數(shù)據(jù)支撐。 H3CACG系列包括SecPathACG2000-M、SecPathACG8800-S3和應(yīng)用于H3CS75E/S95/S95E系列交換機的SecBladeACG模塊。03SecBladeACG插卡 H3CSecPath對用戶上網(wǎng)行為進(jìn)行深入分析，識別出相關(guān)應(yīng)用采取阻斷、限流、干擾、過濾、警告等控制手段通過采集相關(guān)訪問信息，實現(xiàn)事后行為審計行為識別行為控制行為審計ACG實現(xiàn)目標(biāo)對用戶上網(wǎng)行為進(jìn)行深入分析，識別出相關(guān)應(yīng)用采取阻斷、限流、干部署概念(1)安全區(qū)域和段安全區(qū)域是一個物理/網(wǎng)絡(luò)上的概念（特定的物理端口+VLANID）段可以看作是連接兩個安全區(qū)域的一個透明網(wǎng)橋策略被應(yīng)用在特定的段上。段+策略+網(wǎng)絡(luò)配置(IP地址、方向)部署概念(1)安全區(qū)域和段部署概念(2)特征、規(guī)則和策略特征定義了一組檢測因子來決定如何對當(dāng)前網(wǎng)絡(luò)中的流量進(jìn)行檢測規(guī)則的范疇比特征要廣。規(guī)則=特征+啟用狀態(tài)+動作集策略是一個包含了多條規(guī)則的集合動作和動作集部署概念(2)特征、規(guī)則和策略安全區(qū)域、段和策略的關(guān)系WANINTERNALSegmentZoneAPolicyPolicyPolicyPORTPORTZoneB部署概念(3)安全區(qū)域、段和策略的關(guān)系WANINTERNALSegmentSecBladeIPS/ACG插卡工作方式

SecBlade插卡與交換機背板相連，有兩種工作方式：Ethernet、Hig方式。 SecBladeIIFW、SSLVPN、LB都工作在Ethernet方式下，而IPS和ACG插卡則工作在Hig方式下,Ethernet方式下的插卡，可以通過二、三層轉(zhuǎn)發(fā)接收報文。Hig方式下的插卡只能通過重定向轉(zhuǎn)發(fā)接收報文。 重定向報文的兩種方法：OAA和重定向。其中，OAA是我司自主開發(fā)的開放應(yīng)用框架協(xié)議，S75E/S95E/S58都采用OAA的方式和母體互聯(lián)；而重定向是S95上板卡的工作方式，S95通過重定向的方式將報文送到IPS/ACG插卡處理。SecBladeIPS/ACG插卡工作方式 SecBladOAA基本流程圖插卡交換機重定向報文的方向性交換機只能對入方向的報文進(jìn)行重定向。入方向，是指報文相對與交換機背板而言。OAA基本流程圖插卡交換機重定向報文的方向性O(shè)AA配置舉例：

單塊插卡OAA三層轉(zhuǎn)發(fā)應(yīng)用場景

interfaceVLAN-interface2ipaddress50interfaceVLAN-interface1001ipaddress024interfaceVLAN-interface1002ipaddress224interfaceVLAN-interface1003ipaddressOAA配置舉例：

單塊插卡OAA三層轉(zhuǎn)發(fā)應(yīng)用場景inter01S9500EOAA相關(guān)配置#配置主控板的mib風(fēng)格為new（需要重啟）mib-stylenew#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置內(nèi)聯(lián)接口所屬VLANinterfaceVLAN-interface100 ipaddress

01S9500EOAA相關(guān)配置#配置主控板的mib風(fēng)格S9500E相關(guān)配置

配置內(nèi)聯(lián)接口，假設(shè)IPS插卡位于S9500E的3號槽位，則交換機上對應(yīng)內(nèi)聯(lián)口為Ten-GigabitEthernet3/0/1：interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitvlanall mac-addressmax-mac-count0portconnection-modeextend

S9500E相關(guān)配置配置內(nèi)聯(lián)接口，假設(shè)IPS插卡位于S9500E相關(guān)配置 配置SNMPv3參數(shù)，這里配置為SNMPv3用戶，不認(rèn)證不加密方式：snmp-agentsnmp-agentlocal-engineid800063A20300E0FC960801snmp-agentsys-infoversionallsnmp-agentgroupv3v3group_noread-viewisowrite-viewisosnmp-agentmib-viewincludedisoisosnmp-agentusm-userv3v3user_nov3group_no//用戶名v3user_no在插卡上配置時會用到S9500E相關(guān)配置 配置SNMPv3參數(shù)，這里配置為SNMIPS/ACG插卡相關(guān)配置配置OAA，確認(rèn)連通性測試成功

IPS/ACG插卡相關(guān)配置配置OAA，確認(rèn)連通性測試成IPS/ACG插卡相關(guān)配置創(chuàng)建安全區(qū)域，按照實際需求將相應(yīng)接口加入安全區(qū)域。啟用OAA模式后，母體所有的接口在IPS/ACG插卡上都是可見的。域應(yīng)用模式選用【常規(guī)】模式，目前僅S75E支持【級聯(lián)】模式，既支持多塊IPS/ACG插卡的組網(wǎng)。

對于單塊插卡的配置，內(nèi)、外部域選擇流量上下行接口即可

IPS/ACG插卡相關(guān)配置創(chuàng)建安全區(qū)域，按照實際需求將相應(yīng)接02S7500E相關(guān)配置#配置主控板的mib風(fēng)格為new（需要重啟）mib-stylenew#配置交換機主控板的流量轉(zhuǎn)發(fā)模式為enhanced（需要重啟）switch-model2-enhanced#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置內(nèi)聯(lián)接口所屬VLANinterfaceVLAN-interface100 ipaddress

02S7500E相關(guān)配置#配置主控板的mib風(fēng)格為newS7500E相關(guān)配置

配置內(nèi)聯(lián)接口。假設(shè)IPS插卡位于S9500E的2號槽位，則交換機上對應(yīng)內(nèi)聯(lián)口為Ten-GigabitEthernet2/0/1：interfaceTen-GigabitEthernet2/0/1 portlink-typetrunk porttrunkpermitvlanall

porttrunkpvidvlan100

portconnection-modeextend mac-addressmac-learningdisable SNMP參數(shù)配置同前面S95E配置。S7500E相關(guān)配置配置內(nèi)聯(lián)接口。假設(shè)IPS插卡位于03S5800相關(guān)配置#使能ACFP/ACSEI。acfpserverenableacseiserverenable#配置管理VLAN。interfaceVLAN-interface100ipaddress#內(nèi)聯(lián)口配置（僅配置為Access口即可）。interfaceTen-GigabitEthernet1/2/1portaccessvlan100portconnection-modeextend

#SNMP參數(shù)設(shè)置同前。03S5800相關(guān)配置#使能ACFP/ACSEI。單塊插卡重定向工作方式（1）流入交換機某個端口的所有報文。（2）將需要IPS或者ACG分析、管理的流量重定向或者鏡像到插卡上。（3）將入口進(jìn)入的其他流量正常轉(zhuǎn)發(fā)。（4）交換機將報文重定向到插卡。（5）通過10GE通道，將流量傳入插卡。（6）插卡處理完畢，將報文送回給交換機。（7）交換機再進(jìn)行正常的轉(zhuǎn)發(fā)處理。單塊插卡重定向工作方式（1）流入交換機某個端口的所有報文。重定向配置舉例PC1連接在95的e2/1/1端口，模擬內(nèi)網(wǎng)（vlan80）用戶。PC2連接在95的e2/1/5端口，模擬外網(wǎng)（vlan60）應(yīng)用。SecBladeIPS/ACG插卡通過10GE端口g3/1/1與95連接，作為95的插卡，承載IPS/ACG功能。VLAN80VLAN60重定向配置舉例PC1連接在95的e2/1/1端口，模擬內(nèi)網(wǎng)（S9500相關(guān)配置#定義重定向策略

在接口e2/1/1和e2/1/5入方向上配置重定向策略：內(nèi)網(wǎng)接口將所有三層轉(zhuǎn)發(fā)的ip報文重定向到插卡；外網(wǎng)接口將目的ip為內(nèi)網(wǎng)ip的三層ip報文重定向到插卡。#aclnumber3000rule1permitippacket-levelrouteaclnumber3001rule1permitippacket-levelroutedestination55#interfaceEthernet2/1/1portaccessvlan80traffic-redirectinboundip-group3000interfaceGigabitEthernet3/1/180#interfaceEthernet2/1/5portaccessvlan60traffic-redirectinboundip-group3001interfaceGigabitEthernet3/1/160S9500相關(guān)配置#定義重定向策略S9500相關(guān)配置 #配置內(nèi)聯(lián)接口#interfaceGigabitEthernet3/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0# #內(nèi)網(wǎng)接口上過濾ARP和二層轉(zhuǎn)發(fā)報文#aclnumber4000rule1denypacket-levelbridgeingressanyegressanyrule0denyarpingressanyegressany#interfaceGigabitEthernet3/1/1portlink-typetrunkporttrunkpermitvlanallpacket-filterinboundlink-group4000S9500相關(guān)配置 #配置內(nèi)聯(lián)接口 #內(nèi)網(wǎng)接口上過濾ARP和IPS/ACG插卡配置#配置安全域#配置段和段策略IPS/ACG插卡配置#配置安全域#配置段和段策略1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配FW+IPS/ACG插卡三層轉(zhuǎn)發(fā)混插方案1

內(nèi)網(wǎng)用戶依次經(jīng)過SecBladeFW和ACG插卡進(jìn)行流量分析，訪問外網(wǎng)。SecBladeFW位于一號槽位，而ACG位于二號槽位。

防火墻上配置兩個子接口XGE0/0.2和XGE0/0.9。S9500E上配置VLAN9并設(shè)置三層虛接口與防火墻XGE0/0.9通信。內(nèi)網(wǎng)的上行流量通過配置默認(rèn)路由，從防火墻的XGE0/0.9接口進(jìn)，經(jīng)處理后從XGE0/0.2子接口出，然后經(jīng)ACG到Internet。

IPS/ACG插卡在FW外面XGE0/0.9XGE0/0.2FW+IPS/ACG插卡三層轉(zhuǎn)發(fā)混插方案1S95E相關(guān)配置#配置防火墻10GE口interfaceTen-GigabitEthernet1/0/1portlink-typetrunkporttrunkpermitVLAN1to49to103040506070#配置S9500E連接內(nèi)網(wǎng)用戶的接口interfaceGigabitEthernet0/0/1portaccessVLAN110interfaceVLAN-interface110ipaddress#配置S9500E連接internet的出接口interfaceGigabitEthernet0/0/32descriptionTo_InternetportaccessVLAN2#在S9500E的VLAN9上配置三層虛接口，用于交換機與防火墻通信interfaceVLAN-interface9descriptionto_FW-linkipaddress#默認(rèn)路由指向FW板卡iproute-staticS95E相關(guān)配置#配置防火墻10GE口#配置S9500E連S95E相關(guān)配置#配置主控板的mib風(fēng)格為new。mib-stylenew#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置內(nèi)聯(lián)接口所屬VLANinterfaceVLAN-interface1000descriptionTo_ACGipaddressS95E相關(guān)配置#配置主控板的mib風(fēng)格為new。S95E相關(guān)配置#配置內(nèi)聯(lián)接口interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置SNMPv3參數(shù)，

S95E相關(guān)配置#配置內(nèi)聯(lián)接口FW相關(guān)配置配置防火墻上行流量出口（下行流量入口） interfaceTen-GigabitEthernet0/0.2descriptionTO-INTERNETvlan-typedot1qvid2ipaddress33配置防火墻上行流量入口（下行流量出口）interfaceTen-GigabitEthernet0/0.9descriptionT0-S9500E-linkvlan-typedot1qvid9ipaddress配置下行流量路由，將下行流量轉(zhuǎn)發(fā)給S9500E相應(yīng)出接口iproute-staticFW相關(guān)配置配置防火墻上行流量出口（下行流量入口） ACG插卡相關(guān)配置配置OAA，確認(rèn)連通性測試成功ACG插卡相關(guān)配置配置OAA，確認(rèn)連通性測試成功ACG插卡相關(guān)配置因為流量是先經(jīng)過防火墻，再到ACG插卡，所以ACG的內(nèi)部域接口為防火墻的10GE口。由于經(jīng)防火墻處理后的流量帶VLAN2Tag，因此，ACG內(nèi)部區(qū)域指定VLANID為防火墻出方向的VLANID2。外部域接口為S9500E連外網(wǎng)的出口。ACG插卡相關(guān)配置因為流量是先經(jīng)過防火墻，再到ACG插卡，所FW+IPS/ACG插卡三層轉(zhuǎn)發(fā)混插方案2內(nèi)網(wǎng)用戶依次經(jīng)過ACG插卡和SecBladeFW進(jìn)行流量統(tǒng)計分析，訪問外網(wǎng)。防火墻上配置兩個子接口，XGE0/0.20和XGE0/0.30。S9500E上配置VLAN20并設(shè)置三層虛接口與防火墻通信。上行流量會經(jīng)OAA重定向到ACG，處理后按路由配置從XGE0/0.20子接口進(jìn)入防火墻處理，再從XGE0/0.30子接口出，最后到Internet。IPS/ACG插卡在FW里面XGE0/0.20XGE0/0.30FW+IPS/ACG插卡三層轉(zhuǎn)發(fā)混插方案2內(nèi)網(wǎng)用戶依次經(jīng)過S95E相關(guān)配置#配置防火墻的10GE口interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitVLAN1to49to103040506070#配置S9500E內(nèi)網(wǎng)入接口interfaceGigabitEthernet7/0/1portaccessVLAN10interfaceVLAN-interface10ipaddress#S9500E上VLAN20配置三層虛接口，用于交換機與防火墻通信interfaceVLAN-interface20descriptionto_FW-linkipaddressiproute-staticS95E相關(guān)配置#配置防火墻的10GE口ACG插卡相關(guān)配置因為流量是先經(jīng)過ACG，再到防火墻。所以ACG的內(nèi)部域接口為S9500E連內(nèi)部網(wǎng)絡(luò)的接口，外部域接口為防火墻的10GE口，VLANID為防火墻入方向的VLANIDACG插卡相關(guān)配置因為流量是先經(jīng)過ACG，再到防火墻。所以AFW相關(guān)配置#配置防火墻上行流量入口。interfaceTen-GigabitEthernet0/0.20descriptionTO-ACGVLAN-typedot1qvid20ipaddress#配置防火墻上行流量出口。interfaceTen-GigabitEthernet0/0.30descriptionTO-INTERNETVLAN-typedot1qvid30ipaddress#配置下行流量路由，將下行流量轉(zhuǎn)發(fā)給S9500E，OAA會根據(jù)策略重定向到ACG插卡繼續(xù)處理。iproute-staticFW相關(guān)配置#配置防火墻上行流量入口。1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配域應(yīng)用模式 在IPS/ACG插卡安全區(qū)域配置中，域應(yīng)用模式分為【常規(guī)】和【級聯(lián)】兩種。選擇【級聯(lián)】域應(yīng)用模式，可以實現(xiàn)插卡混插組網(wǎng)下流量級聯(lián)處理，即實現(xiàn)業(yè)務(wù)流量依次經(jīng)過SecBladeIPS和SecBladeACG按相應(yīng)段策略進(jìn)行處理。 【舉例】：如果流量經(jīng)過插卡的順序為：ACG---IPS，則ACG的內(nèi)部域應(yīng)該為常規(guī)模式，外部域為級聯(lián)模式，而IPS的內(nèi)部域為級聯(lián)模式，外部域為常規(guī)模式。域應(yīng)用模式 在IPS/ACG插卡安全區(qū)域配置中，域應(yīng)用模式分域應(yīng)用模式區(qū)別常規(guī)模式：（1）若安全域中沒有指定VLANID，則精確匹配接口；（2）若安全域中指定了VLANID，則精確匹配接口和VLAN_ID。級聯(lián)模式 當(dāng)報文攜帶的VLAN_ID為有效值時，只匹配報文的VLAN_ID?！咀⒁狻浚簝H有S75E系列交換機支持IPS/ACG插卡的級聯(lián)模式。域應(yīng)用模式區(qū)別常規(guī)模式：【注意】：僅有S75E系列交換機支持S75ESecBladeFW+IPS+ACG混插組網(wǎng) 用戶網(wǎng)絡(luò)中配置三個內(nèi)網(wǎng)接口，屬于三個不同VLAN，每個內(nèi)網(wǎng)接口的流量都要重定向到插卡上，上行流量依次經(jīng)過SecBladeACG、SecBladeIPS以及SecBladeFW按配置策略進(jìn)行處理；一個外網(wǎng)接口，屬于單獨VLAN。Slot2Slot4Slot3S75ESecBladeFW+IPS+ACG混插組網(wǎng) 用S7500E配置#將內(nèi)網(wǎng)用戶接口加入指定VLAN，并在內(nèi)網(wǎng)VLAN配置三層轉(zhuǎn)發(fā)IP。interfaceVLAN-interface10 ipaddressinterfaceGigabitEthernet8/0/1 portaccessVLAN10#訪問外網(wǎng)接口加入VLAN30。interfaceGigabitEthernet8/0/3 portaccessVLAN30#S7500E內(nèi)網(wǎng)VLAN20上配置三層接口IP，用于連接防火墻子接口XGE0/0.20。interfaceVLAN-interface20 ipaddress#配置路由，實現(xiàn)流量三層轉(zhuǎn)發(fā)到防火墻。 iproute-staticS7500E配置#將內(nèi)網(wǎng)用戶接口加入指定VLAN，并在內(nèi)網(wǎng)VS7500EOAA配置mib-stylenewacfpserverenableacseiserverenableswitch-model2-enhanced#配置內(nèi)聯(lián)接口所屬VLAN（此VLAN100只為OAA管理用，對流量轉(zhuǎn)發(fā)不起作用）interfaceVLAN-interface100ipaddress#配置內(nèi)聯(lián)接口interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitVLANallporttrunkpvidVLAN100portconnection-modeextend#配置SNMPv3參數(shù)，這里配置為SNMPv3用戶，不認(rèn)證不加密方式

S7500EOAA配置mib-stylenewACG插卡

登陸web：系統(tǒng)管理—>OAA設(shè)置頁面，配置OAA，確s連通性測試成功。

將內(nèi)網(wǎng)用戶接口加入SecBladeACG內(nèi)部區(qū)域，指定VLAN10、VLAN40和VLAN50，選擇【常規(guī)】模式；將SecBladeIPS內(nèi)聯(lián)口Ten-GigabitEthernet4/0/1加入到外部區(qū)域，指定VLAN20，選擇【級聯(lián)】模式ACG插卡 登陸web：系統(tǒng)管理—>OAA設(shè)置頁面，配置OAIPS插卡 將SecBladeACG內(nèi)聯(lián)口Ten-GigabitEthernet3/0/1加入內(nèi)部區(qū)域Lan_IPS，指定VLAN10、VLAN40和VLAN50，并配置為【級聯(lián)】模式；將防火墻內(nèi)聯(lián)口Ten-GigabitEthernet2/0/1加入外部區(qū)域Wan_IPS中，指定VLAN20。IPS插卡 將SecBladeACG內(nèi)聯(lián)口Ten-Giga防火墻配置#防火墻連接內(nèi)網(wǎng)子接口配置interfaceTen-GigabitEthernet0/0.20 ipaddress vlan-typedot1qvid20interfaceTen-GigabitEthernet0/0.30 ipaddress vlan-typedot1qvid30#下行流量轉(zhuǎn)發(fā)路由 iproute-static#web上將XGE0/0.20和XGE0/0.30加入安全區(qū)域防火墻配置#防火墻連接內(nèi)網(wǎng)子接口配置流量走向—上行

如左圖所示，GE8/0/1連接內(nèi)網(wǎng)1用戶，屬于VLAN10。當(dāng)有流量經(jīng)過該接口訪問外網(wǎng)時，ACG插卡以“接口+VLAN”方式精確匹配，檢查該流量匹配安全區(qū)域Lan_ACG，便將流量引入ACG插卡內(nèi)聯(lián)口Ten-GE3/0/1，根據(jù)所屬段上關(guān)聯(lián)策略處理流量。Slot2Slot4Slot3GE8/0/1

處理后流量返回到ACG插卡內(nèi)聯(lián)口依舊帶有VLAN10Tag，入接口信息為GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置為級聯(lián)模式，僅匹配流量VLANID，因此該流量匹配IPS插卡安全區(qū)域Lan_IPS，因此流量將被繼續(xù)重定向到IPS插卡內(nèi)聯(lián)口進(jìn)行處理。流量走向—上行 如左圖所示，GE8/0/1連接內(nèi)網(wǎng)1用戶，屬流量走向—上行(續(xù))Slot2Slot4Slot3GE8/0/1

上行流量按S7500E上配置路由(一般為默認(rèn)路由，指向防火墻和交換機的互聯(lián)vlan接口)，通過vlan20轉(zhuǎn)發(fā)到防火墻后，從防火墻子接口XGE0/0.20進(jìn)，由子接口XGE0/0.30出，在S7500E上vlan30內(nèi)二層轉(zhuǎn)發(fā)到相應(yīng)接口，從而連接Internet。流量走向—上行(續(xù))Slot2Slot4Slot3GE8/0流量走向—下行

Internet下行流量通過vlan30進(jìn)入防火墻，防火墻查找內(nèi)網(wǎng)路由，通過XGE0/0.20子接口在vlan20內(nèi)轉(zhuǎn)發(fā)給S7500E。Slot2Slot4Slot3GE8/0/1

流量走向—下行 Internet下行流量通過vlan30進(jìn)入流量走向—下行(續(xù))

經(jīng)過防火墻三層轉(zhuǎn)發(fā)處理后返回給S7500E的流量，帶有VLAN20的tag，入接口信息為Ten-GigabitEthernet2/0/1，此時的流量信息匹配IPS插卡外部域Wan_IPS，因此流量將被重定向到IPS插卡，根據(jù)對應(yīng)段關(guān)聯(lián)策略對流量進(jìn)行處理。

下行流量經(jīng)過IPS插卡處理后仍然帶VLAN20Tag，入接口信息為Ten-GE2/0/1。由于ACG插卡上安全區(qū)域Wan_ACG設(shè)置為級聯(lián)模式，僅匹配流量的VLANID20，因此將該流量會被引到ACG插卡內(nèi)聯(lián)口，隨后ACG按相應(yīng)段關(guān)聯(lián)策略進(jìn)行處理。ACG處理后流量返回給S75E，S75E進(jìn)行正常內(nèi)部轉(zhuǎn)發(fā)。Slot2Slot4Slot3GE8/0/1

流量走向—下行(續(xù)) 經(jīng)過防火墻三層轉(zhuǎn)發(fā)處理后返回給S750S95ESecBladeIPS+FW+ACG混插組網(wǎng) S95E不支持IPS/ACG的級聯(lián)組網(wǎng)，所以不能直接采用IPS+ACG直接對聯(lián)的混插方式，而中間應(yīng)該插入一臺具有三層轉(zhuǎn)發(fā)能力的板卡，因此可以采用的方式是IPS+FW+ACG，此方式和FW+IPS/ACG組網(wǎng)沒有本質(zhì)區(qū)別。

S95ESecBladeIPS+FW+ACG混插組網(wǎng) SS95E配置三層轉(zhuǎn)發(fā)相關(guān)配置#配置上行流量（內(nèi)網(wǎng)到外網(wǎng)）入接口interfaceVlan-interface11ipaddressinterfaceGigabitEthernet7/0/10portaccessvlan11#VLan20配置三層虛接口，用于S95E和FW插卡通信interfaceVlan-interface20ipaddress#配置上行流量（內(nèi)網(wǎng)到外網(wǎng)）出接口interfaceGigabitEthernet7/0/9portaccessvlan30#防火墻內(nèi)聯(lián)接口配置interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitvlan12030#配置路由使上行流量轉(zhuǎn)發(fā)到FWiproute-staticOAA相關(guān)配置：#配置內(nèi)聯(lián)接口所屬VLAN（此VLAN4094只為OAA管理用，對流量轉(zhuǎn)發(fā)不起作用）。interfaceVlan-interface4094ipaddress#配置內(nèi)聯(lián)接口（ACG插卡內(nèi)聯(lián)口）。interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置內(nèi)聯(lián)接口（IPS插卡內(nèi)聯(lián)口）。interfaceTen-GigabitEthernet6/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置SNMPv3參數(shù)S95E配置三層轉(zhuǎn)發(fā)相關(guān)配置OAA相關(guān)配置：IPS插卡配置配置OAA配置安全區(qū)域IPS插卡配置配置OAA配置安全區(qū)域FW插卡配置#防火墻上行流量（內(nèi)網(wǎng)到外網(wǎng)）入口interfaceTen-GigabitEthernet0/0.20 vlan-typedot1qvid20 ipaddress#防火墻上行流量（內(nèi)網(wǎng)到外網(wǎng)）出口interfaceTen-GigabitEthernet0/0.30 vlan-typedot1qvid30 ipaddress#下行流量路由配置，將下行流量轉(zhuǎn)發(fā)給S9500Eiproute-static

FW插卡配置#防火墻上行流量（內(nèi)網(wǎng)到外網(wǎng)）入口ACG插卡配置配置OAA配置安全區(qū)域ACG插卡配置配置OAA配置安全區(qū)域流量走向—上行VLAN11的用戶流量進(jìn)入GE7/0/10后，匹配IPS內(nèi)部域LAN，流量被重定向到IPS插卡。流量經(jīng)過IPS處理后返回給S95E，終結(jié)在vlaninterface11上。S95E查找去往Internet的路由，從接口VIF20發(fā)送到防火墻插卡上，防火墻從XGE0/0.20接收報文，通過查找路由，在接口XGE0/0.30回送給S95E。S95E通過vlan30在XGE3/0/1收到防火墻處理后的流量，匹配ACG插卡內(nèi)部域FW-30，流量被重定向到ACG插卡處理，處理后的流量返回給S95E，S95E在vlan30內(nèi)二層轉(zhuǎn)發(fā)。

流量走向—上行VLAN11的用戶流量進(jìn)入GE7/0/10后，流量走向—下行VLAN30的下行流量進(jìn)入GE7/0/9接口，匹配ACG外部域WAN，流量被重定向到ACG插卡上，處理后的流量返回給S95E。Vlan30的流量通過XGE3/0/1轉(zhuǎn)發(fā)給防火墻插卡，終結(jié)在XGE0/0.30子接口上。防護(hù)墻查找去往內(nèi)網(wǎng)的路由，通過XGE0/0.20子接口轉(zhuǎn)發(fā)給S95E。S95E通過XGE3/0/1收到防火墻處理的報文，且報文攜帶vlan20的tag，匹配IPS的外部域FW-20，流量被重定向到IPS插卡上。經(jīng)過IPS處理的流量返回S75E，終結(jié)在vlaninterface20上。然后S95E查找路由，轉(zhuǎn)發(fā)到vlan11內(nèi)，通過二層轉(zhuǎn)發(fā)給客戶端。流量走向—下行VLAN30的下行流量進(jìn)入GE7/0/9接口，S95SecBladeIPS+FW+ACG混插組網(wǎng) S95混插和S75E混插區(qū)別：S75E混插時，插卡分為常規(guī)和級聯(lián)模式，而S95混插則沒有這兩個模式。S95不支持OAA方式，只能使用重定向?qū)⒘髁可纤蚐ecBlade插卡。在S95IPS/ACG插卡安全區(qū)域里只顯示插卡的10GE口一個接口，插卡的上下行方向只能通過VLANID來區(qū)分。

S95SecBladeIPS+FW+ACG混插組網(wǎng) S9組網(wǎng)圖

如左圖所示，VLAN100連接外網(wǎng)，內(nèi)網(wǎng)用戶按實際需求被劃分為VLAN80和VLAN81；防火墻配置XGE0/0.60和XGE0/0.100。安全區(qū)域中配置接口和VLANID，將匹配流量引到內(nèi)聯(lián)口，使上行流量依次經(jīng)過SecBladeACG和SecBladeIPS；然后進(jìn)行三層轉(zhuǎn)發(fā)，通過VLAN60將流量轉(zhuǎn)發(fā)到防火墻內(nèi)網(wǎng)子接口XGE0/0.60，交給防火墻處理；最后，經(jīng)過FW處理的流量在S9500上轉(zhuǎn)發(fā)到出接口訪問Internet。組網(wǎng)圖 如左圖所示，VLAN100連接外網(wǎng)，內(nèi)網(wǎng)用戶按實際需S95配置//允許三層ip報文通過aclnumber3000rule0permitippacket-levelroute//內(nèi)網(wǎng)接口1，屬于vlan80，將所有入方向ip報文打上vlan80tag，重定向到ACG的10GE口interfaceEthernet0/1/1portaccessvlan80traffic-redirectinboundip-group3000interfaceGigabitEthernet1/1/180S95配置//允許三層ip報文通過S95配置—續(xù)1#//與防火墻通信的vlanvlan60#//內(nèi)網(wǎng)兩個vlanvlan80#vlan81#//外網(wǎng)vlanvlan100#interfaceVlan-interface60ipaddress#interfaceVlan-interface80ipaddress#interfaceVlan-interface81ipaddressS95配置—續(xù)1##S95配置—續(xù)2//內(nèi)網(wǎng)接口2，屬于vlan81，將所有入方向ip報文打上vlan81tag，重定向到ACG的10GE口interfaceEthernet0/1/2 portaccessvlan81 traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitEthernet1/1/181

//內(nèi)網(wǎng)接口2，屬于vlan81，將所有入方向ip報文打上vlan81tag，重定向到ACG的10GE口interfaceEthernet0/1/2 portaccessvlan81 traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitEthernet1/1/181S95配置—續(xù)2//內(nèi)網(wǎng)接口2，屬于vlan81，將所有入方S95配置—續(xù)3//過濾二層報文；過濾arp報文aclnumber4000rule1denypacket-levelbridgeingressanyegressanyrule0denyarpingressanyegressany//允許vlan60的報文aclnumber4002rule0permitipingress60egressany//允許vlan80和vlan81的報文aclnumber4003rule0permitipingress80egressanyrule1permitipingress81egressanyS95配置—續(xù)3//過濾二層報文；過濾arp報文S95配置—續(xù)4//ACG的10GE口，trunk口；禁止mac地址學(xué)習(xí)、過濾二層報文、過濾arp；將內(nèi)網(wǎng)vlan80和vlan81的報文帶上各自的tag，送到IPS的10GE口。interfaceGigabitEthernet1/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0traffic-redirectinboundlink-group4003rule0system-index2interfaceGigabitEthernet2/1/180packet-filterinboundlink-group4000traffic-redirectinboundlink-group4003rule1system-index13interfaceGigabitEthernet2/1/181S95配置—續(xù)4//ACG的10GE口，trunk口；禁止mS95配置—續(xù)5//IPS的10GE口，trunk口；禁止mac地址學(xué)習(xí)；過濾二層報文；過濾arp；將外網(wǎng)vlan60的報文帶上tag送到ACG的10GE口。interfaceGigabitEthernet2/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0traffic-redirectinboundlink-group4002rule0system-index3interfaceGigabitEthernet1/1/160packet-filterinboundlink-group4000rule1system-index5packet-filterinboundlink-group4000rule0system-index6S95配置—續(xù)5//IPS的10GE口，trunk口；禁止mS95配置—續(xù)6//防火墻的10GE接口，trunk口；將從外網(wǎng)返回的報文打上vlan60tag，送到IPS的10GE口。interfaceGigabitEthernet4/1/1portlink-typetrunkporttrunkpermitvlanalltraffic-redirectinboundlink-group4002rule0system-index4interfaceGigabitEthernet2/1/160//95的默認(rèn)路由下一跳指向防火墻iproute-staticpreference60S95配置—續(xù)6//防火墻的10GE接口，trunk口；將從ACG插卡配置

將ACG插卡的10GE接口加入SecBladeACG內(nèi)外部區(qū)域，指定內(nèi)部域VLANid為VLAN80和VLAN81，外部域VLANid為VLAN60。ACG插卡配置 將ACG插卡的10GE接口加入SecBladIPS插卡配置 將IPS插卡的10GE口加入SecBladeIPS內(nèi)外部區(qū)域，指定內(nèi)部域vlanid為VLAN80和VLAN81，外部域VLANid為VLAN60IPS插卡配置 將IPS插卡的10GE口加入SecBlade防火墻插卡配置#vlan60#vlan100#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.60vlan-typedot1qvid60ipaddress#interfaceTen-GigabitEthernet0/0.100vlan-typedot1qvid100ipaddress#iproute-staticiproute-staticiproute-static防火墻插卡配置##流量走向—上行 Ethernet0/1/1連接內(nèi)網(wǎng)用戶屬于VLAN80。當(dāng)有流量經(jīng)過該接口訪問外網(wǎng)時，流量被重定向到ACG插卡，ACG插卡處理后，再將報文原封不動地送往IPS的內(nèi)聯(lián)口，此時報文的VLANid仍然為vlan80，IPS處理完成后，從10GE口送回95。 返回到95的流量根據(jù)95的路由表，轉(zhuǎn)發(fā)到防火墻處理，然后到internet。流量走向—上行 Ethernet0/1/1連接內(nèi)流量走向—下行 從internet回來的流量，從VLAN100進(jìn)，根據(jù)默認(rèn)路由，先到FW上處理，防火墻根據(jù)策略，將報文的VLANid轉(zhuǎn)換成VLAN60，重定向到IPS插卡，IPS插卡處理完成后，原封不動地再送到ACG，ACG處理完成后，將報文送回95，95再根據(jù)路由表進(jìn)行相應(yīng)流量轉(zhuǎn)發(fā)。 從上述流程可以看出，ACG、IPS的上行流量均為內(nèi)網(wǎng)流量+其VLANtag，下行流量均為防火墻處理后的流量，所以，上行流量到ACG、IPS插卡所帶打VLANtag相同，下行流量到IPS、ACG插卡的VLANtag也相同，ACG、IPS在配置安全區(qū)域時，所對應(yīng)的VLANid一樣。ACG、IPS插卡本身不具備置換VLANtag的能力。理解這一點，就能理解上面的流程了。流量走向—下行 從internet回來的流量，從1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配常見問題如何判斷OAA策略已經(jīng)下發(fā)成功？【H3C】displayacfppolicy-infoACFPpolicytotalnumber:2ClientID:1Policy-Index:1Rule-Num:1ContextID:4631Exist-Time:45790(s)Life-Time:2147483647(s)Start-Time:00:00:00End-Time:24:00:00Admin-Status:enableEffect-Status:active（策略已激活）DstIfFailAction:deletePriority:4In-Interface:GigabitEthernet7/0/23Out-Interface:Dest-Interface:Ten-GigabitEthernet3/0/1常見問題如何判斷OAA策略已經(jīng)下發(fā)成功？常見問題(續(xù))如何判斷數(shù)據(jù)報文是否被IPS/ACG插卡阻斷？ 將SecBladeIPS/ACG的工作模式設(shè)置為二層回退模式，這樣IPS/ACG插卡只是進(jìn)行報文的透明轉(zhuǎn)發(fā)，類似于一根“網(wǎng)線”，僅僅轉(zhuǎn)發(fā)數(shù)據(jù)報文。常見問題(續(xù))如何判斷數(shù)據(jù)報文是否被IPS/ACG插卡阻斷？常見問題(續(xù))如何判斷FW是否正確轉(zhuǎn)發(fā)了數(shù)據(jù)報文？

配置高級ACL，指定需要調(diào)試的源/目的地址；用戶視圖下，打開調(diào)試開關(guān)：“debuggingippacketacl3999”；通過調(diào)試信息可以查看防火墻是否正常轉(zhuǎn)發(fā)報文（可以搜索pktid查詢相關(guān)報文、隱含視圖下，執(zhí)行“ifdiag23”，可以查看接口索引）*Jun2319:21:54:8072009H3CDPIPFWD/7/debug_case:Receiving,interface=Idx:0x00400000,version=4,headlen=20,tos=0,pktlen=40,pktid=9045,offset=0,ttl=127,protocol=6,checksum=37386,s=8,d=3prompt:ReceivingIPpacket常見問題(續(xù))如何判斷FW是否正確轉(zhuǎn)發(fā)了數(shù)據(jù)報文？*Jun常見問題(續(xù))如何判斷數(shù)據(jù)報文是否被FW安全策略阻斷？ 配置高級ACL，指定需要調(diào)試的源/目的地址； 用戶視圖下，打開調(diào)試開關(guān)：“debuggingfirewallpacket-filterallacl3999”Jun2319:20:31:8982009H3CFILTER/7/debug:Thread1,thetcppacketispermittedfromManagementtoLocal:(94269)->(380),48bytes,ACLnone.常見問題(續(xù))如何判斷數(shù)據(jù)報文是否被FW安全策略阻斷？Jun常見問題(續(xù))為什么流量沒有引到插卡上？

對于OAA插卡：

1，OAA不成功，連通性測試是否通過？IPSE2107及以前版本、ACGE6113版本存在缺陷，OAA互聯(lián)的VLANID必須小于255。 2，ACFP策略沒有下發(fā)到交換機，通過displayacfppolicy-info來判斷是否下發(fā)、下發(fā)是否正確。可能原因為，IPS/ACG未正確配置內(nèi)部域和外部域；安全域配置完成后，未進(jìn)行激活。對于FW插卡：1，三層模式下查看路由，下一跳是否指向FW地址；或在防火墻上debug制定報文；2，二層模式下，查看是否存在本vlan的vlan-interface，查看是否通過10GE接口學(xué)習(xí)到相應(yīng)MAC地址。常見問題(續(xù))為什么流量沒有引到插卡上？對于FW插卡：常見問題(續(xù))為什么攻擊防范或P2P限流不生效？

1，報文是否上送到IPS/ACG板卡？ 2，是否配置了正確的IPS/ACG策略，并且進(jìn)行了激活； 3，IPS/ACG插卡的特征庫是否升級到最新，設(shè)備是否有特征庫License授權(quán)常見問題(續(xù))為什么攻擊防范或P2P限流不生效？常見問題(續(xù))為什么在配置IPS/ACGManager的情況下，發(fā)現(xiàn)沒有任何日志信息？ 1，日志配置是否正確; 2，IPS/ACG插卡的管理口是否和ACGManager設(shè)備路由可達(dá)； 3，是否正確的同步了交換機的時間，交換機在發(fā)送給插卡時間時，原來并非采用格林威治時間，這樣經(jīng)常導(dǎo)致IPS/ACG插卡會+8個小時常見問題(續(xù))為什么在配置IPS/ACGManager的情常見問題(續(xù))混插組網(wǎng)情況下，實施順序是怎么樣的？ 由于IPS/ACG屬于“沒有轉(zhuǎn)發(fā)能力”的插卡，屬于透明模式部署，不會對現(xiàn)有組網(wǎng)在路由上造成影響，因此可以在實施完成SecBlade防護(hù)墻等Ethernet類型的板卡后，網(wǎng)絡(luò)連通性測試已經(jīng)通過后，再來部署IPS/ACG插卡。常見問題(續(xù))混插組網(wǎng)情況下，實施順序是怎么樣的？常見問題(續(xù))FW和IPS/ACG混插的情況下，誰放在外面？ 1，在FW做NAT的情況下，IPS/ACG插卡放在防火墻的里面。如果插卡放在外面，報文經(jīng)過FW板卡NAT后，已經(jīng)無法區(qū)分內(nèi)部的地址，對于行為審計和控制都是個問題。 2，如果FW沒有做NAT，則IPS/ACG插卡放在外面和里面均可以，但建議放在外面。因為經(jīng)過FW的二三層轉(zhuǎn)發(fā)后，IPS/ACG插卡仍然可以看做單獨部署，只是內(nèi)部域接口變成了連接防火墻的10GE接口而已。常見問題(續(xù))FW和IPS/ACG混插的情況下，誰放在外面？常見問題(續(xù))各種設(shè)備如何開局？

/Technical_Support_Documents(技術(shù)支持文件)/19-安全產(chǎn)品系列資料/01-安全產(chǎn)品/19-安全板卡專欄/01-開局指導(dǎo)書/常見問題(續(xù))各種設(shè)備如何開局？/Technical_Suph3csecblade混合插卡組網(wǎng)培訓(xùn)演講完畢，謝謝觀看！演講完畢，謝謝觀看！H3CSecBlade混合插卡組網(wǎng)安全產(chǎn)品組巫繼雨日期：12/29/2022密級：杭州華三通信技術(shù)有限公司H3CSecBlade混合插卡組網(wǎng)安全產(chǎn)品組巫繼雨日期1、SecBladeIPS/ACG插卡硬件外觀和軟件適配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常見問題1、SecBladeIPS/ACG插卡硬件外觀和軟件適配硬件外觀接口1個Console接口1個CF卡接口，支持容量為256M、512M、1G的CF卡2個USB接口（預(yù)留）2個10/100/1000BASE-T電接口2個千兆Combo（光電復(fù)合）接口后插板10GE接口CF卡Console2GE電口2GECombo2GBDDR2內(nèi)存CF卡Console注：灰色標(biāo)記部分為S5800插卡數(shù)據(jù)硬件外觀接口1個Console接口1個CF卡接口，支持容量為H3C業(yè)務(wù)插卡配套關(guān)系

插卡產(chǎn)品FWIPSLBACGSSLVPNNetStreamAFCSR88●SR66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●H3C業(yè)務(wù)插卡配套關(guān)系插卡FWIPSLBACGS插卡類型插卡式的H3CSecBladeIIFW系列單板類型：LSRM1FW2A1 適用于H3CS9500E防火墻業(yè)務(wù)板LSBM1FW2A1 適用于H3CS9500防火墻業(yè)務(wù)板LSQM1FWBSC0適用于H3CS7500E防火墻業(yè)務(wù)板模塊LSWM1FW10 適用于H3CS5800系列防火墻模塊RT-SPE-FWM-H3適用于H3CSR6600千兆防火墻業(yè)務(wù)板模塊IM-FW 適用于H3CSR8800防火墻業(yè)務(wù)處理板插卡式的H3CSecBladeLB系列單板類型：LSQM1LBSC0 適用于H3CS7500E-千兆負(fù)載均衡業(yè)務(wù)模塊LSRM1LB1A1 適用于H3CS9500E-負(fù)載均衡業(yè)務(wù)板LSBM1LB1A1 適用于H3CS9500-負(fù)載均衡業(yè)務(wù)板LSWM1LB10 適用于H3CS580