书签分享收藏举报版权申诉 / 94

立即下载加入VIP免费专享

当前位置：首页 > 生活休闲 > 在线阅读 > h3csecblade混合插卡组网培训.ppt

h3csecblade混合插卡组网培训.ppt

上传人：牧羊曲112

文档编号：5432781

上传时间：2023-07-06

格式：PPT

页数：94

大小：10.09MB

《h3csecblade混合插卡组网培训.ppt》由会员分享，可在线阅读，更多相关《h3csecblade混合插卡组网培训.ppt（94页珍藏版）》请在三一办公上搜索。

1、H3C SecBlade 混合插卡组网,安全产品组巫继雨,日期：2023/7/6,密级：,杭州华三通信技术有限公司,1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案5、常见问题,硬件外观,CF卡,Console,2GE电口,2GE Combo,2GB DDR2内存,CF卡,Console,注：灰色标记部分为S5800插卡数据,H3C业务插卡配套关系,插卡类型,插卡式的H3C SecBladeII FW系列单板类型：LSRM1FW2A1

2、适用于H3C S9500E 防火墙业务板LSBM1FW2A1 适用于H3C S9500 防火墙业务板LSQM1FWBSC0 适用于H3C S7500E 防火墙业务板模块LSWM1FW10 适用于H3C S5800 系列防火墙模块RT-SPE-FWM-H3 适用于H3C SR6600 千兆防火墙业务板模块IM-FW 适用于H3C SR8800防火墙业务处理板插卡式的H3C SecBlade LB系列单板类型：LSQM1LBSC0 适用于H3C S7500E-千兆负载均衡业务模块LSRM1LB1A1 适用于H3C S9500E-负载均衡业务板LSBM1LB1A1 适用于H3C S9500-负载均

3、衡业务板LSWM1LB10 适用于H3C S5800负载均衡业务板,插卡类型-续1,插卡式的H3C SecBlade IPS系列单板类型：LSWM1IPS10 适用于H3C S5800/S5820X系列交换机；LSQ1IPSSC0 适用于H3C S7500E系列以太网交换机；LSB1IPS1A0 适用于H3C S9500系列以太网交换机；LSR1IPS1A1 适用于H3C S9500E系列以太网交换机。插卡式的H3C SecBlade ACG系列单板类型：LSQ1ACGASC0 适用于H3C S7500E系列以太网交换机；LSB1ACG1A0 适用于H3C S9500系列以太网交换机；LSR1

4、ACG1A1 适用于H3C S9500E系列以太网交换机。,插卡类型-续2,插卡式的H3C SecBlade SSL VPN系列单板类型：LSQM1SSLSC0适用于H3C S7500E-SSL VPN业务模块LSBM1SSL1A1适用于H3C S9500 SSL VPN业务板模块RT-SPE-SSL-H3适用于H3C SR6600 SSL VPN模块插卡式的H3C SecBlade NetStream系列单板类型：LSQM1NSMSC0适用于H3C S7500E NetStream业务板LSRM1NSM1A1适用于H3C S9500E NetStream业务板LSWM1NSM10适用于H3C

5、 S5800系列NetStream业务板,使用版本,SecBlade插卡可以在部门FTP相应目录:/New_Internal_Versions(新内部版本归档)/02-IP安全产品/xxxx获取的最新版本开局版本，每个插卡版本都会附带版本配套表，里面会列出和母体配套的版本，请在实施时获取。,1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案5、常见问题,01 SecBladeII FW插卡,SecBladeII防火墙插卡是我司防火墙的旗舰

6、级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一RMI的力作XLR 732。高端防火墙的软件，采用了我司最新的COMWARE V5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。,New,防火墙部署透明模式,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access Vlan 100,Vlan 100,Vlan 101,VIF101,交换处理,Access Vlan 200,入方向：1-6:二层转发6-7:二层转发7-8:二层转发8-9:三

7、层转发9-12:二层转发,出方向：12-9:二层转发9-8:三层转发8-7:二层转发7-6:二层转发6-1:二层转发,Vlan 1000,VIF 200,Vlan 200,9,Vlan 100,2-2-2方式,背板,防火墙部署三层转发,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access Vlan 100,Vlan 100,Vlan 200,交换处理,Access Vlan 200,入方向：1-6:二层转发6-7:三层转发7-12:二层转发,出方向：12-7:二层转发7-6:三层转发

8、61:二层转发,VIF 200,Vlan 200,9,VIF100,Vlan 100,2-3-2方式,背板,防火墙部署三层转发2,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access Vlan 100,Vlan 100,Vlan 101,VIF101,交换处理,Access Vlan 200,入方向：1-6:二层转发6-7:三层转发7-8:二层转发8-9:三层转发9-12:二层转发,出方向：12-9:二层转发9-8:三层转发8-7:二层转发7-6:三层转发6-1：二层转发,Vlan

9、1000,VIF 200,Vlan 200,9,VIF101,VIF100,Vlan 100,也是2-3-2方式,这是什么方式？,背板,有没有这种方式,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access Vlan 100,Vlan 100,Vlan 101,VIF101,交换处理,Access Vlan 200,Vlan 1000,VIF 200,Vlan 200,9,VIF101,VIF100,Vlan 100,VIF100,答案：这个一般真没有！,02 SecBlade IPS

10、插卡,包头,内部网络,IPS,防火墙,协议,数据内容,IPS（Intrusion Prevention System，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。,03 SecBlade ACG插卡,H3C SecPath ACG（Application Control Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行

11、为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。H3C ACG系列包括SecPath ACG 2000-M、SecPath ACG8800-S3和应用于H3C S75E/S95/S95E系列交换机的SecBlade ACG模块。,对用户上网行为进行深入分析，识别出相关应用,采取阻断、限流、干扰、过滤、警告等控制手段,通过采集相关访问信息，实现事后行为审计,行为识别,行为控制,行为审计,ACG实现目标,部署概念(1),安全区域和段安全区域是一个物理/网络上的概念（特定的物理端口+VLAN ID）段可以看作是连接两个安全区域的一个透明网桥策略被应用在特定的段

12、上。段+策略+网络配置(IP地址、方向),部署概念(2),特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集,安全区域、段和策略的关系,WAN,DMZ-WWW,INTERNAL,Segment,Zone A,Policy,Policy,Policy,PORT,PORT,Zone B,部署概念(3),SecBlade IPS/ACG插卡工作方式,SecBlade插卡与交换机背板相连，有两种工作方式：Ethernet、Hig方式。SecBladeII FW、SSL VPN、LB都工作

13、在Ethernet方式下，而IPS和ACG插卡则工作在Hig方式下,Ethernet方式下的插卡，可以通过二、三层转发接收报文。Hig方式下的插卡只能通过重定向转发接收报文。重定向报文的两种方法：OAA和重定向。其中，OAA是我司自主开发的开放应用框架协议，S75E/S95E/S58都采用OAA的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到IPS/ACG插卡处理。,OAA基本流程图,插卡,交换机重定向报文的方向性交换机只能对入方向的报文进行重定向。入方向，是指报文相对与交换机背板而言。,OAA配置举例：单块插卡OAA三层转发应用场景,interface V

14、LAN-interface2 ipinterface VLAN-interface1001 ipinterface VLAN-interface1002 ipinterface VLAN-interface1003 ip,01 S9500E OAA相关配置,#配置主控板的mib风格为new（需要重启）mib-style new#使能ACFP server和ACSEI server功能。acfp server enable acsei server enable#配置内联接口所属VLANinterface VLAN-interface100ip address 100.100.100.1 255

15、.255.255.0,S9500E相关配置,配置内联接口，假设IPS插卡位于S9500E的3号槽位，则交换机上对应内联口为Ten-GigabitEthernet3/0/1：interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit vlan all mac-address max-mac-count 0 port connection-mode extend,S9500E相关配置,配置SNMPv3参数，这里配置为SNMPv3用户，不认证不加密方式：snmp-agent snmp-agent local-en

16、gineid 800063A20300E0FC960801 snmp-agent sys-info version all snmp-agent group v3 v3group_no read-view iso write-view iso snmp-agent mib-view included iso iso snmp-agent usm-user v3 v3user_no v3group_no/用户名v3user_no在插卡上配置时会用到,IPS/ACG插卡相关配置,配置OAA，确认连通性测试成功,IPS/ACG插卡相关配置,创建安全区域，按照实际需求将相应接口加入安全区域。启用OAA

17、模式后，母体所有的接口在IPS/ACG插卡上都是可见的。域应用模式选用【常规】模式，目前仅S75E支持【级联】模式，既支持多块IPS/ACG插卡的组网。,对于单块插卡的配置，内、外部域选择流量上下行接口即可,02 S7500E相关配置,#配置主控板的mib风格为new（需要重启）mib-style new#配置交换机主控板的流量转发模式为enhanced（需要重启）switch-mode l2-enhanced#使能ACFP server和ACSEI server功能。acfp server enable acsei server enable#配置内联接口所属VLANinterface VL

18、AN-interface100ip address 100.100.100.1 255.255.255.0,S7500E相关配置,配置内联接口。假设IPS插卡位于S9500E的2号槽位，则交换机上对应内联口为Ten-GigabitEthernet2/0/1：interface Ten-GigabitEthernet2/0/1port link-type trunk port trunk permit vlan all port trunk pvid vlan 100 port connection-mode extendmac-address mac-learning disableSNMP参

19、数配置同前面S95E配置。,03 S5800相关配置,#使能ACFP/ACSEI。acfp server enable acsei server enable#配置管理VLAN。interface VLAN-interface100 ip address 100.100.100.1 255.255.252.0#内联口配置（仅配置为Access口即可）。interface Ten-GigabitEthernet1/2/1 port access vlan 100 port connection-mode extend#SNMP参数设置同前。,单块插卡重定向工作方式,（1）流入交换机某个端口的所有

20、报文。（2）将需要IPS或者ACG分析、管理的流量重定向或者镜像到插卡上。（3）将入口进入的其他流量正常转发。（4）交换机将报文重定向到插卡。（5）通过10GE通道，将流量传入插卡。（6）插卡处理完毕，将报文送回给交换机。（7）交换机再进行正常的转发处理。,重定向配置举例,PC1连接在95的e2/1/1端口，模拟内网（vlan80）用户。PC2连接在95的e2/1/5端口，模拟外网（vlan60）应用。SecBlade IPS/ACG插卡通过10GE端口g3/1/1与95连接，作为95的插卡，承载IPS/ACG功能。,VLAN80,VLAN60,S9500相关配置,#定义重定向策略在接口e2/

21、1/1和e2/1/5入方向上配置重定向策略：内网接口将所有三层转发的ip报文重定向到插卡；外网接口将目的ip为内网ip 的三层ip报文重定向到插卡。#acl number 3000 rule 1 permit ip packet-level route acl number 3001 rule 1 permit ip#interface Ethernet2/1/1 port access vlan 80 traffic-redirect inbound ip-group 3000 interface GigabitEthernet3/1/1 80#interface Ethernet2/1/5

22、 port access vlan 60 traffic-redirect inbound ip-group 3001 interface GigabitEthernet3/1/1 60,S9500相关配置,#配置内联接口#interface GigabitEthernet3/1/1 port link-type trunk port trunk permit vlan all mac-address max-mac-count 0#,#内网接口上过滤ARP和二层转发报文#acl number 4000 rule 1 deny packet-level bridge ingress any e

23、gress any rule 0 deny arp ingress any egress any#interface GigabitEthernet3/1/1 port link-type trunk port trunk permit vlan all packet-filter inbound link-group 4000,IPS/ACG插卡配置,#配置安全域,#配置段和段策略,1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案5、

24、常见问题,FW+IPS/ACG插卡三层转发混插方案 1,内网用户依次经过SecBlade FW和ACG插卡进行流量分析，访问外网。SecBlade FW位于一号槽位，而ACG位于二号槽位。防火墙上配置两个子接口XGE0/0.2和XGE0/0.9。S9500E上配置VLAN 9并设置三层虚接口与防火墙XGE0/0.9通信。内网的上行流量通过配置默认路由，从防火墙的XGE0/0.9接口进，经处理后从XGE0/0.2子接口出，然后经ACG到Internet。,IPS/ACG插卡在FW外面,XGE0/0.9,XGE0/0.2,S95E相关配置,#配置防火墙10GE口 interface Ten-Gig

25、abitEthernet1/0/1 port link-type trunkport trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70#配置S9500E连接内网用户的接口 interface GigabitEthernet0/0/1 port access VLAN 110interface VLAN-interface110 ip address 10.11.1.1 255.255.255.0,#配置S9500E连接internet的出接口 interface GigabitEthernet0/0/32 description To_Intern

26、et port access VLAN 2#在S9500E的VLAN9上配置三层虚接口，用于交换机与防火墙通信 interface VLAN-interface9 description to_FW-link ip address 10.253.1.2 255.255.255.0#默认路由指向FW板卡ip route-static 0.0.0.0 10.253.1.1,S95E相关配置,#配置主控板的mib风格为new。mib-style new#使能ACFP server和ACSEI server功能。acfp server enable acsei server enable#配置内联接口

27、所属VLAN interface VLAN-interface1000description To_ACG ip address 10.254.1.2 255.255.255.0,S95E相关配置,#配置内联接口 interface Ten-GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan allport connection-mode extendmac-address max-mac-count 0#配置SNMPv3参数，,FW相关配置,配置防火墙上行流量出口（下行流量入口）interface Ten-Giga

28、bitEthernet0/0.2description TO-INTERNETvlan-type dot1q vid 2ip配置防火墙上行流量入口（下行流量出口）interface Ten-GigabitEthernet0/0.9description T0-S9500E-linkvlan-type dot1q vid 9ip配置下行流量路由，将下行流量转发给S9500E相应出接口 ip,ACG插卡相关配置,配置OAA，确认连通性测试成功,ACG插卡相关配置,因为流量是先经过防火墙，再到ACG插卡，所以ACG的内部域接口为防火墙的10GE口。由于经防火墙处理后的流量带VLAN2 Tag，因此，

29、ACG内部区域指定VLAN ID为防火墙出方向的VLAN ID 2。外部域接口为S9500E连外网的出口。,FW+IPS/ACG插卡三层转发混插方案 2,内网用户依次经过ACG插卡和SecBlade FW进行流量统计分析，访问外网。防火墙上配置两个子接口，XGE0/0.20和XGE0/0.30。S9500E上配置VLAN 20并设置三层虚接口与防火墙通信。上行流量会经OAA重定向到ACG，处理后按路由配置从XGE0/0.20子接口进入防火墙处理，再从XGE0/0.30子接口出，最后到Internet。,IPS/ACG插卡在FW里面,XGE0/0.20,XGE0/0.30,S95E相关配置,#配

30、置防火墙的10GE口 interface Ten-GigabitEthernet2/0/1port link-type trunkport trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70#配置S9500E内网入接口 interface GigabitEthernet7/0/1 port access VLAN 10interface VLAN-interface10 ip address 10.0.0.1 255.0.0.0#S9500E上VLAN20配置三层虚接口，用于交换机与防火墙通信 interface VLAN-interface20 d

31、escription to_FW-link ip address 20.0.0.2 255.0.0.0 ip route-static 0.0.0.0 20.0.0.1,ACG插卡相关配置,因为流量是先经过ACG，再到防火墙。所以ACG的内部域接口为S9500E连内部网络的接口，外部域接口为防火墙的10GE口，VLAN ID为防火墙入方向的VLAN ID,FW相关配置,#配置防火墙上行流量入口。interface Ten-GigabitEthernet0/0.20description TO-ACGVLAN-type dot1q vid 20ip#配置防火墙上行流量出口。interface T

32、en-GigabitEthernet0/0.30description TO-INTERNETVLAN-type dot1q vid 30ip#配置下行流量路由，将下行流量转发给S9500E，OAA会根据策略重定向到ACG插卡继续处理。ip route-static 10.0.0.0 255.0.0.0 20.0.0.2,1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案5、常见问题,域应用模式,在IPS/ACG插卡安全区域配置中，域应用

33、模式分为【常规】和【级联】两种。选择【级联】域应用模式，可以实现插卡混插组网下流量级联处理，即实现业务流量依次经过SecBlade IPS和SecBlade ACG按相应段策略进行处理。【举例】：如果流量经过插卡的顺序为：ACG-IPS，则ACG的内部域应该为常规模式，外部域为级联模式，而IPS的内部域为级联模式，外部域为常规模式。,域应用模式区别,常规模式：（1）若安全域中没有指定VLAN ID，则精确匹配接口；（2）若安全域中指定了VLAN ID，则精确匹配接口和VLAN_ID。级联模式当报文携带的VLAN_ID为有效值时，只匹配报文的VLAN_ID。,【注意】：仅有S75E系列交换机支持

34、IPS/ACG插卡的级联模式。,S75E SecBlade FW+IPS+ACG混插组网,用户网络中配置三个内网接口，属于三个不同VLAN，每个内网接口的流量都要重定向到插卡上，上行流量依次经过SecBlade ACG、SecBlade IPS以及SecBlade FW按配置策略进行处理；一个外网接口，属于单独VLAN。,S7500E配置,#将内网用户接口加入指定VLAN，并在内网VLAN配置三层转发IP。interface VLAN-interface10ip address 10.0.0.1 255.0.0.0 interface GigabitEthernet8/0/1port acce

35、ss VLAN 10#访问外网接口加入VLAN30。interface GigabitEthernet8/0/3port access VLAN 30#S7500E内网VLAN20上配置三层接口IP，用于连接防火墙子接口XGE0/0.20。interface VLAN-interface20ip#配置路由，实现流量三层转发到防火墙。ip route-static 30.0.0.0 255.0.0.0 20.0.0.1,S7500E OAA配置,mib-style new acfp server enable acsei server enable switch-mode l2-enhanced

36、#配置内联接口所属VLAN（此VLAN 100只为OAA管理用，对流量转发不起作用）interface VLAN-interface100ip address 100.100.100.1 255.255.255.0#配置内联接口interface Ten-GigabitEthernet3/0/1port link-type trunkport trunk permit VLAN allport trunk pvid VLAN 100port connection-mode extend#配置SNMPv3参数，这里配置为SNMPv3用户，不认证不加密方式,ACG插卡,登陆web：系统管理OAA设

37、置页面，配置OAA，确s连通性测试成功。将内网用户接口加入SecBlade ACG内部区域，指定VLAN10、VLAN40和VLAN50，选择【常规】模式；将SecBlade IPS内联口Ten-GigabitEthernet4/0/1加入到外部区域，指定VLAN20，选择【级联】模式,IPS插卡,将SecBlade ACG内联口Ten-GigabitEthernet3/0/1加入内部区域Lan_IPS，指定VLAN10、VLAN40和VLAN50，并配置为【级联】模式；将防火墙内联口Ten-GigabitEthernet2/0/1加入外部区域Wan_IPS中，指定VLAN20。,防火墙配置,

38、#防火墙连接内网子接口配置interface Ten-GigabitEthernet0/0.20ipvlan-type dot1q vid 20 interface Ten-GigabitEthernet0/0.30ip address 30.0.0.1 255.0.0.0 vlan-type dot1q vid 30#下行流量转发路由#web上将XGE0/0.20和XGE0/0.30加入安全区域,流量走向上行,如左图所示，GE8/0/1连接内网1用户，属于VLAN10。当有流量经过该接口访问外网时，ACG插卡以“接口+VLAN”方式精确匹配，检查该流量匹配安全区域Lan_ACG，便将流量引入

39、ACG插卡内联口Ten-GE3/0/1，根据所属段上关联策略处理流量。,GE8/0/1,流量走向上行(续),GE8/0/1,上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联vlan接口)，通过vlan20转发到防火墙后，从防火墙子接口XGE0/0.20进，由子接口XGE0/0.30出，在S7500E上vlan30内二层转发到相应接口，从而连接Internet。,流量走向下行,Internet下行流量通过vlan30进入防火墙，防火墙查找内网路由，通过XGE0/0.20子接口在vlan20内转发给S7500E。,GE8/0/1,流量走向下行(续),经过防火墙三层转发处理

40、后返回给S7500E的流量，带有VLAN20的tag，入接口信息为Ten-GigabitEthernet2/0/1，此时的流量信息匹配IPS插卡外部域Wan_IPS，因此流量将被重定向到IPS插卡，根据对应段关联策略对流量进行处理。,下行流量经过IPS插卡处理后仍然带VLAN20 Tag，入接口信息为Ten-GE2/0/1。由于ACG插卡上安全区域Wan_ACG设置为级联模式，仅匹配流量的VLAN ID 20，因此将该流量会被引到ACG插卡内联口，随后ACG按相应段关联策略进行处理。ACG处理后流量返回给S75E，S75E进行正常内部转发。,GE8/0/1,S95E SecBlade IPS+

41、FW+ACG混插组网,S95E不支持IPS/ACG的级联组网，所以不能直接采用IPS+ACG直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是IPS+FW+ACG，此方式和FW+IPS/ACG组网没有本质区别。,S95E配置,三层转发相关配置#配置上行流量（内网到外网）入接口interface Vlan-interface11 ipinterface GigabitEthernet7/0/10 port access vlan 11#VLan20配置三层虚接口，用于S95E和FW插卡通信interface Vlan-interface20 ip#配置上行流量（内

42、网到外网）出接口interface GigabitEthernet7/0/9 port access vlan 30#防火墙内联接口配置interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit vlan 1 20 30#配置路由使上行流量转发到FW ip,OAA相关配置：#配置内联接口所属VLAN（此VLAN 4094只为OAA管理用，对流量转发不起作用）。interface Vlan-interface4094 ip address 100.0.0.1 255.255.255.0#配置内联接口（ACG插

43、卡内联口）。interface Ten-GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan all port connection-mode extend mac-address max-mac-count 0#配置内联接口（IPS插卡内联口）。interface Ten-GigabitEthernet6/0/1 port link-type trunk port trunk permit vlan all port connection-mode extend mac-address max-mac-count 0

44、#配置SNMPv3参数,IPS插卡配置,配置OAA,配置安全区域,FW插卡配置,#防火墙上行流量（内网到外网）入口interface Ten-GigabitEthernet0/0.20 vlan-type dot1q vid 20#防火墙上行流量（内网到外网）出口interface Ten-GigabitEthernet0/0.30 vlan-type dot1q vid 30 ip#下行流量路由配置，将下行流量转发给S9500E ip,ACG插卡配置,配置OAA,配置安全区域,流量走向上行,VLAN11的用户流量进入GE7/0/10后，匹配IPS内部域LAN，流量被重定向到IPS插卡。流量经

45、过IPS处理后返回给S95E，终结在vlan interface11上。S95E查找去往Internet的路由，从接口VIF20发送到防火墙插卡上，防火墙从XGE0/0.20接收报文，通过查找路由，在接口XGE0/0.30回送给S95E。S95E通过vlan 30在XGE3/0/1收到防火墙处理后的流量，匹配ACG插卡内部域FW-30，流量被重定向到ACG插卡处理，处理后的流量返回给S95E，S95E在vlan 30内二层转发。,流量走向下行,VLAN30的下行流量进入GE7/0/9接口，匹配ACG外部域WAN，流量被重定向到ACG插卡上，处理后的流量返回给S95E。Vlan30的流量通过XG

46、E3/0/1转发给防火墙插卡，终结在XGE0/0.30子接口上。防护墙查找去往内网的路由，通过XGE0/0.20子接口转发给S95E。S95E通过XGE3/0/1收到防火墙处理的报文，且报文携带vlan20的tag，匹配IPS的外部域FW-20，流量被重定向到IPS插卡上。经过IPS处理的流量返回S75E，终结在vlan interface20上。然后S95E查找路由，转发到vlan11内，通过二层转发给客户端。,S95 SecBlade IPS+FW+ACG混插组网,S95混插和S75E混插区别：S75E混插时，插卡分为常规和级联模式，而S95混插则没有这两个模式。S95不支持OAA方式，只

47、能使用重定向将流量上送SecBlade插卡。在S95 IPS/ACG插卡安全区域里只显示插卡的10GE口一个接口，插卡的上下行方向只能通过VLAN ID来区分。,组网图,如左图所示，VLAN100连接外网，内网用户按实际需求被划分为VLAN80和VLAN81；防火墙配置XGE0/0.60和XGE0/0.100。安全区域中配置接口和VLAN ID，将匹配流量引到内联口，使上行流量依次经过SecBlade ACG和SecBlade IPS；然后进行三层转发，通过VLAN60将流量转发到防火墙内网子接口XGE0/0.60，交给防火墙处理；最后，经过FW处理的流量在S9500上转发到出接口访问Inte

48、rnet。,S95配置,/允许三层ip报文通过acl number 3000 rule 0 permit ip packet-level route/内网接口1，属于vlan80，将所有入方向ip报文打上vlan80 tag，重定向到ACG的10GE口interface Ethernet0/1/1 port access vlan 80 traffic-redirect inbound ip-group 3000 interface GigabitEthernet1/1/1 80,S95配置续1,#/与防火墙通信的vlanvlan 60#/内网两个vlanvlan 80#vlan 81#/外网

49、vlanvlan 100,#interface Vlan-interface60#interface Vlan-interface80#interface Vlan-interface81,S95配置续2,/内网接口2，属于vlan81，将所有入方向ip报文打上vlan81 tag，重定向到ACG的10GE口interface Ethernet0/1/2port access vlan 81 traffic-redirect inbound ip-group 3000 rule 0 system-index 1 interface GigabitEthernet1/1/1 81/内网接口2，属

50、于vlan81，将所有入方向ip报文打上vlan81 tag，重定向到ACG的10GE口interface Ethernet0/1/2port access vlan 81 traffic-redirect inbound ip-group 3000 rule 0 system-index 1 interface GigabitEthernet1/1/1 81,S95配置续3,/过滤二层报文；过滤arp报文acl number 4000 rule 1 deny packet-level bridge ingress any egress any rule 0 deny arp ingress