h3csecblade混合插卡组网培训课件

H3CSecBlade混合插卡组网安全产品组巫继雨日期：12/29/2022密级：杭州华三通信技术有限公司H3CSecBlade混合插卡组网安全产品组巫继雨日期1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配硬件外观接口1个Console接口1个CF卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口CF卡Console2GE电口2GECombo2GBDDR2内存CF卡Console注：灰色标记部分为S5800插卡数据硬件外观接口1个Console接口1个CF卡接口，支持容量为H3C业务插卡配套关系

插卡产品FWIPSLBACGSSLVPNNetStreamAFCSR88●SR66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●H3C业务插卡配套关系插卡FWIPSLBACGS插卡类型插卡式的H3CSecBladeIIFW系列单板类型：LSRM1FW2A1 适用于H3CS9500E防火墙业务板LSBM1FW2A1 适用于H3CS9500防火墙业务板LSQM1FWBSC0适用于H3CS7500E防火墙业务板模块LSWM1FW10 适用于H3CS5800系列防火墙模块RT-SPE-FWM-H3适用于H3CSR6600千兆防火墙业务板模块IM-FW 适用于H3CSR8800防火墙业务处理板插卡式的H3CSecBladeLB系列单板类型：LSQM1LBSC0 适用于H3CS7500E-千兆负载均衡业务模块LSRM1LB1A1 适用于H3CS9500E-负载均衡业务板LSBM1LB1A1 适用于H3CS9500-负载均衡业务板LSWM1LB10 适用于H3CS5800负载均衡业务板插卡类型插卡式的H3CSecBladeIIFW系列单板类插卡类型-续1插卡式的H3CSecBladeIPS系列单板类型：LSWM1IPS10适用于H3CS5800/S5820X系列交换机；LSQ1IPSSC0适用于H3CS7500E系列以太网交换机；LSB1IPS1A0适用于H3CS9500系列以太网交换机；LSR1IPS1A1适用于H3CS9500E系列以太网交换机。插卡式的H3CSecBladeACG系列单板类型：LSQ1ACGASC0适用于H3CS7500E系列以太网交换机；LSB1ACG1A0适用于H3CS9500系列以太网交换机；LSR1ACG1A1适用于H3CS9500E系列以太网交换机。插卡类型-续1插卡式的H3CSecBladeIPS系列单插卡类型-续2插卡式的H3CSecBladeSSLVPN系列单板类型：LSQM1SSLSC0 适用于H3CS7500E-SSLVPN业务模块LSBM1SSL1A1 适用于H3CS9500SSLVPN业务板模块RT-SPE-SSL-H3 适用于H3CSR6600SSLVPN模块插卡式的H3CSecBladeNetStream系列单板类型：LSQM1NSMSC0 适用于H3CS7500ENetStream业务板LSRM1NSM1A1 适用于H3CS9500ENetStream业务板LSWM1NSM10 适用于H3CS5800系列NetStream业务板插卡类型-续2插卡式的H3CSecBladeSSLVP使用版本产品配套项目版本号（对外）说明主控板软件SecBladeIPS-IMW110-E2107内部版本9011V200R001B01D105升级后BOOTWAREV108CPLD20075E配套版本S7500E-CMW520-F6307L03

95配套版本S9500-CMW310-R1646-EI95E配套版本S9500E-CMW520-B1136SecCenter版本SecCenterIPSMV2.10-B0022iMCiMCPLAT3.20-R2602+P04SecBlade插卡可以在部门FTP相应目录:/New_Internal_Versions(新内部版本归档)/02-IP安全产品/xxxx获取的最新版本开局版本，每个插卡版本都会附带版本配套表，里面会列出和母体配套的版本，请在实施时获取。使用版本产品配套项目版本号（对外）说明主控板软件SecBla1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配01SecBladeIIFW插卡 SecBladeII防火墙插卡是我司防火墙的旗舰级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一——RMI的力作XLR732。高端防火墙的软件，采用了我司最新的COMWAREV5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。New01SecBladeIIFW插卡 SecBladeII防防火墙部署—透明模式FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101交换处理AccessVlan200入方向：1->6:二层转发6->7:二层转发7->8:二层转发8->9:三层转发9->12:二层转发出方向：12->9:二层转发9->8:三层转发8->7:二层转发7->6:二层转发6->1:二层转发Vlan1000VIF200Vlan2009Vlan1002-2-2方式背板防火墙部署—透明模式FTPServerFWSwtich板防火墙部署—三层转发FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan200交换处理AccessVlan200入方向：1->6:二层转发6->7:三层转发7->12:二层转发出方向：12->7:二层转发7->6:三层转发6>1:二层转发VIF200Vlan2009VIF100Vlan1002-3-2方式背板防火墙部署—三层转发FTPServerFWSwtich板防火墙部署—三层转发2FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101/30交换处理AccessVlan200入方向：1->6:二层转发6->7:三层转发7->8:二层转发8->9:三层转发9->12:二层转发出方向：12->9:二层转发9->8:三层转发8->7:二层转发7->6:三层转发6->1：二层转发Vlan1000VIF200Vlan2009VIF101/30VIF100Vlan100也是2-3-2方式这是什么方式？背板防火墙部署—三层转发2FTPServerFWSwtich有没有这种方式FTPServerFWSwtich板Swtich板14671012FTPclient35821110GE10GEaccess

Vlan100Vlan100Vlan101VIF101/30交换处理AccessVlan200Vlan1000VIF200Vlan2009VIF101/30VIF100/30Vlan100VIF100/30答案：这个一般真没有！有没有这种方式FTPServerFWSwtich板Swt02SecBladeIPS插卡包头内部网络IPS防火墙协议数据内容InternetIPS（IntrusionPreventionSystem，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。02SecBladeIPS插卡包头内部网络IPS防火墙03SecBladeACG插卡 H3CSecPathACG（ApplicationControlGateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。 H3CACG系列包括SecPathACG2000-M、SecPathACG8800-S3和应用于H3CS75E/S95/S95E系列交换机的SecBladeACG模块。03SecBladeACG插卡 H3CSecPath对用户上网行为进行深入分析，识别出相关应用采取阻断、限流、干扰、过滤、警告等控制手段通过采集相关访问信息，实现事后行为审计行为识别行为控制行为审计ACG实现目标对用户上网行为进行深入分析，识别出相关应用采取阻断、限流、干部署概念(1)安全区域和段安全区域是一个物理/网络上的概念（特定的物理端口+VLANID）段可以看作是连接两个安全区域的一个透明网桥策略被应用在特定的段上。段+策略+网络配置(IP地址、方向)部署概念(1)安全区域和段部署概念(2)特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集部署概念(2)特征、规则和策略安全区域、段和策略的关系WANINTERNALSegmentZoneAPolicyPolicyPolicyPORTPORTZoneB部署概念(3)安全区域、段和策略的关系WANINTERNALSegmentSecBladeIPS/ACG插卡工作方式

SecBlade插卡与交换机背板相连，有两种工作方式：Ethernet、Hig方式。 SecBladeIIFW、SSLVPN、LB都工作在Ethernet方式下，而IPS和ACG插卡则工作在Hig方式下,Ethernet方式下的插卡，可以通过二、三层转发接收报文。Hig方式下的插卡只能通过重定向转发接收报文。 重定向报文的两种方法：OAA和重定向。其中，OAA是我司自主开发的开放应用框架协议，S75E/S95E/S58都采用OAA的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到IPS/ACG插卡处理。SecBladeIPS/ACG插卡工作方式 SecBladOAA基本流程图插卡交换机重定向报文的方向性交换机只能对入方向的报文进行重定向。入方向，是指报文相对与交换机背板而言。OAA基本流程图插卡交换机重定向报文的方向性OAA配置举例：

单块插卡OAA三层转发应用场景

interfaceVLAN-interface2ipaddress50interfaceVLAN-interface1001ipaddress024interfaceVLAN-interface1002ipaddress224interfaceVLAN-interface1003ipaddressOAA配置举例：

单块插卡OAA三层转发应用场景inter01S9500EOAA相关配置#配置主控板的mib风格为new（需要重启）mib-stylenew#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置内联接口所属VLANinterfaceVLAN-interface100 ipaddress

01S9500EOAA相关配置#配置主控板的mib风格S9500E相关配置

配置内联接口，假设IPS插卡位于S9500E的3号槽位，则交换机上对应内联口为Ten-GigabitEthernet3/0/1：interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitvlanall mac-addressmax-mac-count0portconnection-modeextend

S9500E相关配置配置内联接口，假设IPS插卡位于S9500E相关配置 配置SNMPv3参数，这里配置为SNMPv3用户，不认证不加密方式：snmp-agentsnmp-agentlocal-engineid800063A20300E0FC960801snmp-agentsys-infoversionallsnmp-agentgroupv3v3group_noread-viewisowrite-viewisosnmp-agentmib-viewincludedisoisosnmp-agentusm-userv3v3user_nov3group_no//用户名v3user_no在插卡上配置时会用到S9500E相关配置 配置SNMPv3参数，这里配置为SNMIPS/ACG插卡相关配置配置OAA，确认连通性测试成功

IPS/ACG插卡相关配置配置OAA，确认连通性测试成IPS/ACG插卡相关配置创建安全区域，按照实际需求将相应接口加入安全区域。启用OAA模式后，母体所有的接口在IPS/ACG插卡上都是可见的。域应用模式选用【常规】模式，目前仅S75E支持【级联】模式，既支持多块IPS/ACG插卡的组网。

对于单块插卡的配置，内、外部域选择流量上下行接口即可

IPS/ACG插卡相关配置创建安全区域，按照实际需求将相应接02S7500E相关配置#配置主控板的mib风格为new（需要重启）mib-stylenew#配置交换机主控板的流量转发模式为enhanced（需要重启）switch-model2-enhanced#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置内联接口所属VLANinterfaceVLAN-interface100 ipaddress

02S7500E相关配置#配置主控板的mib风格为newS7500E相关配置

配置内联接口。假设IPS插卡位于S9500E的2号槽位，则交换机上对应内联口为Ten-GigabitEthernet2/0/1：interfaceTen-GigabitEthernet2/0/1 portlink-typetrunk porttrunkpermitvlanall

porttrunkpvidvlan100

portconnection-modeextend mac-addressmac-learningdisable SNMP参数配置同前面S95E配置。S7500E相关配置配置内联接口。假设IPS插卡位于03S5800相关配置#使能ACFP/ACSEI。acfpserverenableacseiserverenable#配置管理VLAN。interfaceVLAN-interface100ipaddress#内联口配置（仅配置为Access口即可）。interfaceTen-GigabitEthernet1/2/1portaccessvlan100portconnection-modeextend

#SNMP参数设置同前。03S5800相关配置#使能ACFP/ACSEI。单块插卡重定向工作方式（1）流入交换机某个端口的所有报文。（2）将需要IPS或者ACG分析、管理的流量重定向或者镜像到插卡上。（3）将入口进入的其他流量正常转发。（4）交换机将报文重定向到插卡。（5）通过10GE通道，将流量传入插卡。（6）插卡处理完毕，将报文送回给交换机。（7）交换机再进行正常的转发处理。单块插卡重定向工作方式（1）流入交换机某个端口的所有报文。重定向配置举例PC1连接在95的e2/1/1端口，模拟内网（vlan80）用户。PC2连接在95的e2/1/5端口，模拟外网（vlan60）应用。SecBladeIPS/ACG插卡通过10GE端口g3/1/1与95连接，作为95的插卡，承载IPS/ACG功能。VLAN80VLAN60重定向配置举例PC1连接在95的e2/1/1端口，模拟内网（S9500相关配置#定义重定向策略

在接口e2/1/1和e2/1/5入方向上配置重定向策略：内网接口将所有三层转发的ip报文重定向到插卡；外网接口将目的ip为内网ip的三层ip报文重定向到插卡。#aclnumber3000rule1permitippacket-levelrouteaclnumber3001rule1permitippacket-levelroutedestination55#interfaceEthernet2/1/1portaccessvlan80traffic-redirectinboundip-group3000interfaceGigabitEthernet3/1/180#interfaceEthernet2/1/5portaccessvlan60traffic-redirectinboundip-group3001interfaceGigabitEthernet3/1/160S9500相关配置#定义重定向策略S9500相关配置 #配置内联接口#interfaceGigabitEthernet3/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0# #内网接口上过滤ARP和二层转发报文#aclnumber4000rule1denypacket-levelbridgeingressanyegressanyrule0denyarpingressanyegressany#interfaceGigabitEthernet3/1/1portlink-typetrunkporttrunkpermitvlanallpacket-filterinboundlink-group4000S9500相关配置 #配置内联接口 #内网接口上过滤ARP和IPS/ACG插卡配置#配置安全域#配置段和段策略IPS/ACG插卡配置#配置安全域#配置段和段策略1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配FW+IPS/ACG插卡三层转发混插方案1

内网用户依次经过SecBladeFW和ACG插卡进行流量分析，访问外网。SecBladeFW位于一号槽位，而ACG位于二号槽位。

防火墙上配置两个子接口XGE0/0.2和XGE0/0.9。S9500E上配置VLAN9并设置三层虚接口与防火墙XGE0/0.9通信。内网的上行流量通过配置默认路由，从防火墙的XGE0/0.9接口进，经处理后从XGE0/0.2子接口出，然后经ACG到Internet。

IPS/ACG插卡在FW外面XGE0/0.9XGE0/0.2FW+IPS/ACG插卡三层转发混插方案1S95E相关配置#配置防火墙10GE口interfaceTen-GigabitEthernet1/0/1portlink-typetrunkporttrunkpermitVLAN1to49to103040506070#配置S9500E连接内网用户的接口interfaceGigabitEthernet0/0/1portaccessVLAN110interfaceVLAN-interface110ipaddress#配置S9500E连接internet的出接口interfaceGigabitEthernet0/0/32descriptionTo_InternetportaccessVLAN2#在S9500E的VLAN9上配置三层虚接口，用于交换机与防火墙通信interfaceVLAN-interface9descriptionto_FW-linkipaddress#默认路由指向FW板卡iproute-staticS95E相关配置#配置防火墙10GE口#配置S9500E连S95E相关配置#配置主控板的mib风格为new。mib-stylenew#使能ACFPserver和ACSEIserver功能。acfpserverenableacseiserverenable#配置内联接口所属VLANinterfaceVLAN-interface1000descriptionTo_ACGipaddressS95E相关配置#配置主控板的mib风格为new。S95E相关配置#配置内联接口interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置SNMPv3参数，

S95E相关配置#配置内联接口FW相关配置配置防火墙上行流量出口（下行流量入口） interfaceTen-GigabitEthernet0/0.2descriptionTO-INTERNETvlan-typedot1qvid2ipaddress33配置防火墙上行流量入口（下行流量出口）interfaceTen-GigabitEthernet0/0.9descriptionT0-S9500E-linkvlan-typedot1qvid9ipaddress配置下行流量路由，将下行流量转发给S9500E相应出接口iproute-staticFW相关配置配置防火墙上行流量出口（下行流量入口） ACG插卡相关配置配置OAA，确认连通性测试成功ACG插卡相关配置配置OAA，确认连通性测试成功ACG插卡相关配置因为流量是先经过防火墙，再到ACG插卡，所以ACG的内部域接口为防火墙的10GE口。由于经防火墙处理后的流量带VLAN2Tag，因此，ACG内部区域指定VLANID为防火墙出方向的VLANID2。外部域接口为S9500E连外网的出口。ACG插卡相关配置因为流量是先经过防火墙，再到ACG插卡，所FW+IPS/ACG插卡三层转发混插方案2内网用户依次经过ACG插卡和SecBladeFW进行流量统计分析，访问外网。防火墙上配置两个子接口，XGE0/0.20和XGE0/0.30。S9500E上配置VLAN20并设置三层虚接口与防火墙通信。上行流量会经OAA重定向到ACG，处理后按路由配置从XGE0/0.20子接口进入防火墙处理，再从XGE0/0.30子接口出，最后到Internet。IPS/ACG插卡在FW里面XGE0/0.20XGE0/0.30FW+IPS/ACG插卡三层转发混插方案2内网用户依次经过S95E相关配置#配置防火墙的10GE口interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitVLAN1to49to103040506070#配置S9500E内网入接口interfaceGigabitEthernet7/0/1portaccessVLAN10interfaceVLAN-interface10ipaddress#S9500E上VLAN20配置三层虚接口，用于交换机与防火墙通信interfaceVLAN-interface20descriptionto_FW-linkipaddressiproute-staticS95E相关配置#配置防火墙的10GE口ACG插卡相关配置因为流量是先经过ACG，再到防火墙。所以ACG的内部域接口为S9500E连内部网络的接口，外部域接口为防火墙的10GE口，VLANID为防火墙入方向的VLANIDACG插卡相关配置因为流量是先经过ACG，再到防火墙。所以AFW相关配置#配置防火墙上行流量入口。interfaceTen-GigabitEthernet0/0.20descriptionTO-ACGVLAN-typedot1qvid20ipaddress#配置防火墙上行流量出口。interfaceTen-GigabitEthernet0/0.30descriptionTO-INTERNETVLAN-typedot1qvid30ipaddress#配置下行流量路由，将下行流量转发给S9500E，OAA会根据策略重定向到ACG插卡继续处理。iproute-staticFW相关配置#配置防火墙上行流量入口。1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配域应用模式 在IPS/ACG插卡安全区域配置中，域应用模式分为【常规】和【级联】两种。选择【级联】域应用模式，可以实现插卡混插组网下流量级联处理，即实现业务流量依次经过SecBladeIPS和SecBladeACG按相应段策略进行处理。 【举例】：如果流量经过插卡的顺序为：ACG---IPS，则ACG的内部域应该为常规模式，外部域为级联模式，而IPS的内部域为级联模式，外部域为常规模式。域应用模式 在IPS/ACG插卡安全区域配置中，域应用模式分域应用模式区别常规模式：（1）若安全域中没有指定VLANID，则精确匹配接口；（2）若安全域中指定了VLANID，则精确匹配接口和VLAN_ID。级联模式 当报文携带的VLAN_ID为有效值时，只匹配报文的VLAN_ID。【注意】：仅有S75E系列交换机支持IPS/ACG插卡的级联模式。域应用模式区别常规模式：【注意】：仅有S75E系列交换机支持S75ESecBladeFW+IPS+ACG混插组网 用户网络中配置三个内网接口，属于三个不同VLAN，每个内网接口的流量都要重定向到插卡上，上行流量依次经过SecBladeACG、SecBladeIPS以及SecBladeFW按配置策略进行处理；一个外网接口，属于单独VLAN。Slot2Slot4Slot3S75ESecBladeFW+IPS+ACG混插组网 用S7500E配置#将内网用户接口加入指定VLAN，并在内网VLAN配置三层转发IP。interfaceVLAN-interface10 ipaddressinterfaceGigabitEthernet8/0/1 portaccessVLAN10#访问外网接口加入VLAN30。interfaceGigabitEthernet8/0/3 portaccessVLAN30#S7500E内网VLAN20上配置三层接口IP，用于连接防火墙子接口XGE0/0.20。interfaceVLAN-interface20 ipaddress#配置路由，实现流量三层转发到防火墙。 iproute-staticS7500E配置#将内网用户接口加入指定VLAN，并在内网VS7500EOAA配置mib-stylenewacfpserverenableacseiserverenableswitch-model2-enhanced#配置内联接口所属VLAN（此VLAN100只为OAA管理用，对流量转发不起作用）interfaceVLAN-interface100ipaddress#配置内联接口interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitVLANallporttrunkpvidVLAN100portconnection-modeextend#配置SNMPv3参数，这里配置为SNMPv3用户，不认证不加密方式

S7500EOAA配置mib-stylenewACG插卡

登陆web：系统管理—>OAA设置页面，配置OAA，确s连通性测试成功。

将内网用户接口加入SecBladeACG内部区域，指定VLAN10、VLAN40和VLAN50，选择【常规】模式；将SecBladeIPS内联口Ten-GigabitEthernet4/0/1加入到外部区域，指定VLAN20，选择【级联】模式ACG插卡 登陆web：系统管理—>OAA设置页面，配置OAIPS插卡 将SecBladeACG内联口Ten-GigabitEthernet3/0/1加入内部区域Lan_IPS，指定VLAN10、VLAN40和VLAN50，并配置为【级联】模式；将防火墙内联口Ten-GigabitEthernet2/0/1加入外部区域Wan_IPS中，指定VLAN20。IPS插卡 将SecBladeACG内联口Ten-Giga防火墙配置#防火墙连接内网子接口配置interfaceTen-GigabitEthernet0/0.20 ipaddress vlan-typedot1qvid20interfaceTen-GigabitEthernet0/0.30 ipaddress vlan-typedot1qvid30#下行流量转发路由 iproute-static#web上将XGE0/0.20和XGE0/0.30加入安全区域防火墙配置#防火墙连接内网子接口配置流量走向—上行

如左图所示，GE8/0/1连接内网1用户，属于VLAN10。当有流量经过该接口访问外网时，ACG插卡以“接口+VLAN”方式精确匹配，检查该流量匹配安全区域Lan_ACG，便将流量引入ACG插卡内联口Ten-GE3/0/1，根据所属段上关联策略处理流量。Slot2Slot4Slot3GE8/0/1

处理后流量返回到ACG插卡内联口依旧带有VLAN10Tag，入接口信息为GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置为级联模式，仅匹配流量VLANID，因此该流量匹配IPS插卡安全区域Lan_IPS，因此流量将被继续重定向到IPS插卡内联口进行处理。流量走向—上行 如左图所示，GE8/0/1连接内网1用户，属流量走向—上行(续)Slot2Slot4Slot3GE8/0/1

上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联vlan接口)，通过vlan20转发到防火墙后，从防火墙子接口XGE0/0.20进，由子接口XGE0/0.30出，在S7500E上vlan30内二层转发到相应接口，从而连接Internet。流量走向—上行(续)Slot2Slot4Slot3GE8/0流量走向—下行

Internet下行流量通过vlan30进入防火墙，防火墙查找内网路由，通过XGE0/0.20子接口在vlan20内转发给S7500E。Slot2Slot4Slot3GE8/0/1

流量走向—下行 Internet下行流量通过vlan30进入流量走向—下行(续)

经过防火墙三层转发处理后返回给S7500E的流量，带有VLAN20的tag，入接口信息为Ten-GigabitEthernet2/0/1，此时的流量信息匹配IPS插卡外部域Wan_IPS，因此流量将被重定向到IPS插卡，根据对应段关联策略对流量进行处理。

下行流量经过IPS插卡处理后仍然带VLAN20Tag，入接口信息为Ten-GE2/0/1。由于ACG插卡上安全区域Wan_ACG设置为级联模式，仅匹配流量的VLANID20，因此将该流量会被引到ACG插卡内联口，随后ACG按相应段关联策略进行处理。ACG处理后流量返回给S75E，S75E进行正常内部转发。Slot2Slot4Slot3GE8/0/1

流量走向—下行(续) 经过防火墙三层转发处理后返回给S750S95ESecBladeIPS+FW+ACG混插组网 S95E不支持IPS/ACG的级联组网，所以不能直接采用IPS+ACG直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是IPS+FW+ACG，此方式和FW+IPS/ACG组网没有本质区别。

S95ESecBladeIPS+FW+ACG混插组网 SS95E配置三层转发相关配置#配置上行流量（内网到外网）入接口interfaceVlan-interface11ipaddressinterfaceGigabitEthernet7/0/10portaccessvlan11#VLan20配置三层虚接口，用于S95E和FW插卡通信interfaceVlan-interface20ipaddress#配置上行流量（内网到外网）出接口interfaceGigabitEthernet7/0/9portaccessvlan30#防火墙内联接口配置interfaceTen-GigabitEthernet3/0/1portlink-typetrunkporttrunkpermitvlan12030#配置路由使上行流量转发到FWiproute-staticOAA相关配置：#配置内联接口所属VLAN（此VLAN4094只为OAA管理用，对流量转发不起作用）。interfaceVlan-interface4094ipaddress#配置内联接口（ACG插卡内联口）。interfaceTen-GigabitEthernet2/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置内联接口（IPS插卡内联口）。interfaceTen-GigabitEthernet6/0/1portlink-typetrunkporttrunkpermitvlanallportconnection-modeextendmac-addressmax-mac-count0#配置SNMPv3参数S95E配置三层转发相关配置OAA相关配置：IPS插卡配置配置OAA配置安全区域IPS插卡配置配置OAA配置安全区域FW插卡配置#防火墙上行流量（内网到外网）入口interfaceTen-GigabitEthernet0/0.20 vlan-typedot1qvid20 ipaddress#防火墙上行流量（内网到外网）出口interfaceTen-GigabitEthernet0/0.30 vlan-typedot1qvid30 ipaddress#下行流量路由配置，将下行流量转发给S9500Eiproute-static

FW插卡配置#防火墙上行流量（内网到外网）入口ACG插卡配置配置OAA配置安全区域ACG插卡配置配置OAA配置安全区域流量走向—上行VLAN11的用户流量进入GE7/0/10后，匹配IPS内部域LAN，流量被重定向到IPS插卡。流量经过IPS处理后返回给S95E，终结在vlaninterface11上。S95E查找去往Internet的路由，从接口VIF20发送到防火墙插卡上，防火墙从XGE0/0.20接收报文，通过查找路由，在接口XGE0/0.30回送给S95E。S95E通过vlan30在XGE3/0/1收到防火墙处理后的流量，匹配ACG插卡内部域FW-30，流量被重定向到ACG插卡处理，处理后的流量返回给S95E，S95E在vlan30内二层转发。

流量走向—上行VLAN11的用户流量进入GE7/0/10后，流量走向—下行VLAN30的下行流量进入GE7/0/9接口，匹配ACG外部域WAN，流量被重定向到ACG插卡上，处理后的流量返回给S95E。Vlan30的流量通过XGE3/0/1转发给防火墙插卡，终结在XGE0/0.30子接口上。防护墙查找去往内网的路由，通过XGE0/0.20子接口转发给S95E。S95E通过XGE3/0/1收到防火墙处理的报文，且报文携带vlan20的tag，匹配IPS的外部域FW-20，流量被重定向到IPS插卡上。经过IPS处理的流量返回S75E，终结在vlaninterface20上。然后S95E查找路由，转发到vlan11内，通过二层转发给客户端。流量走向—下行VLAN30的下行流量进入GE7/0/9接口，S95SecBladeIPS+FW+ACG混插组网 S95混插和S75E混插区别：S75E混插时，插卡分为常规和级联模式，而S95混插则没有这两个模式。S95不支持OAA方式，只能使用重定向将流量上送SecBlade插卡。在S95IPS/ACG插卡安全区域里只显示插卡的10GE口一个接口，插卡的上下行方向只能通过VLANID来区分。

S95SecBladeIPS+FW+ACG混插组网 S9组网图

如左图所示，VLAN100连接外网，内网用户按实际需求被划分为VLAN80和VLAN81；防火墙配置XGE0/0.60和XGE0/0.100。安全区域中配置接口和VLANID，将匹配流量引到内联口，使上行流量依次经过SecBladeACG和SecBladeIPS；然后进行三层转发，通过VLAN60将流量转发到防火墙内网子接口XGE0/0.60，交给防火墙处理；最后，经过FW处理的流量在S9500上转发到出接口访问Internet。组网图 如左图所示，VLAN100连接外网，内网用户按实际需S95配置//允许三层ip报文通过aclnumber3000rule0permitippacket-levelroute//内网接口1，属于vlan80，将所有入方向ip报文打上vlan80tag，重定向到ACG的10GE口interfaceEthernet0/1/1portaccessvlan80traffic-redirectinboundip-group3000interfaceGigabitEthernet1/1/180S95配置//允许三层ip报文通过S95配置—续1#//与防火墙通信的vlanvlan60#//内网两个vlanvlan80#vlan81#//外网vlanvlan100#interfaceVlan-interface60ipaddress#interfaceVlan-interface80ipaddress#interfaceVlan-interface81ipaddressS95配置—续1##S95配置—续2//内网接口2，属于vlan81，将所有入方向ip报文打上vlan81tag，重定向到ACG的10GE口interfaceEthernet0/1/2 portaccessvlan81 traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitEthernet1/1/181

//内网接口2，属于vlan81，将所有入方向ip报文打上vlan81tag，重定向到ACG的10GE口interfaceEthernet0/1/2 portaccessvlan81 traffic-redirectinboundip-group3000rule0system-index1interfaceGigabitEthernet1/1/181S95配置—续2//内网接口2，属于vlan81，将所有入方S95配置—续3//过滤二层报文；过滤arp报文aclnumber4000rule1denypacket-levelbridgeingressanyegressanyrule0denyarpingressanyegressany//允许vlan60的报文aclnumber4002rule0permitipingress60egressany//允许vlan80和vlan81的报文aclnumber4003rule0permitipingress80egressanyrule1permitipingress81egressanyS95配置—续3//过滤二层报文；过滤arp报文S95配置—续4//ACG的10GE口，trunk口；禁止mac地址学习、过滤二层报文、过滤arp；将内网vlan80和vlan81的报文带上各自的tag，送到IPS的10GE口。interfaceGigabitEthernet1/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0traffic-redirectinboundlink-group4003rule0system-index2interfaceGigabitEthernet2/1/180packet-filterinboundlink-group4000traffic-redirectinboundlink-group4003rule1system-index13interfaceGigabitEthernet2/1/181S95配置—续4//ACG的10GE口，trunk口；禁止mS95配置—续5//IPS的10GE口，trunk口；禁止mac地址学习；过滤二层报文；过滤arp；将外网vlan60的报文带上tag送到ACG的10GE口。interfaceGigabitEthernet2/1/1portlink-typetrunkporttrunkpermitvlanallmac-addressmax-mac-count0traffic-redirectinboundlink-group4002rule0system-index3interfaceGigabitEthernet1/1/160packet-filterinboundlink-group4000rule1system-index5packet-filterinboundlink-group4000rule0system-index6S95配置—续5//IPS的10GE口，trunk口；禁止mS95配置—续6//防火墙的10GE接口，trunk口；将从外网返回的报文打上vlan60tag，送到IPS的10GE口。interfaceGigabitEthernet4/1/1portlink-typetrunkporttrunkpermitvlanalltraffic-redirectinboundlink-group4002rule0system-index4interfaceGigabitEthernet2/1/160//95的默认路由下一跳指向防火墙iproute-staticpreference60S95配置—续6//防火墙的10GE接口，trunk口；将从ACG插卡配置

将ACG插卡的10GE接口加入SecBladeACG内外部区域，指定内部域VLANid为VLAN80和VLAN81，外部域VLANid为VLAN60。ACG插卡配置 将ACG插卡的10GE接口加入SecBladIPS插卡配置 将IPS插卡的10GE口加入SecBladeIPS内外部区域，指定内部域vlanid为VLAN80和VLAN81，外部域VLANid为VLAN60IPS插卡配置 将IPS插卡的10GE口加入SecBlade防火墙插卡配置#vlan60#vlan100#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.60vlan-typedot1qvid60ipaddress#interfaceTen-GigabitEthernet0/0.100vlan-typedot1qvid100ipaddress#iproute-staticiproute-staticiproute-static防火墙插卡配置##流量走向—上行 Ethernet0/1/1连接内网用户属于VLAN80。当有流量经过该接口访问外网时，流量被重定向到ACG插卡，ACG插卡处理后，再将报文原封不动地送往IPS的内联口，此时报文的VLANid仍然为vlan80，IPS处理完成后，从10GE口送回95。 返回到95的流量根据95的路由表，转发到防火墙处理，然后到internet。流量走向—上行 Ethernet0/1/1连接内流量走向—下行 从internet回来的流量，从VLAN100进，根据默认路由，先到FW上处理，防火墙根据策略，将报文的VLANid转换成VLAN60，重定向到IPS插卡，IPS插卡处理完成后，原封不动地再送到ACG，ACG处理完成后，将报文送回95，95再根据路由表进行相应流量转发。 从上述流程可以看出，ACG、IPS的上行流量均为内网流量+其VLANtag，下行流量均为防火墙处理后的流量，所以，上行流量到ACG、IPS插卡所带打VLANtag相同，下行流量到IPS、ACG插卡的VLANtag也相同，ACG、IPS在配置安全区域时，所对应的VLANid一样。ACG、IPS插卡本身不具备置换VLANtag的能力。理解这一点，就能理解上面的流程了。流量走向—下行 从internet回来的流量，从1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配常见问题如何判断OAA策略已经下发成功？【H3C】displayacfppolicy-infoACFPpolicytotalnumber:2ClientID:1Policy-Index:1Rule-Num:1ContextID:4631Exist-Time:45790(s)Life-Time:2147483647(s)Start-Time:00:00:00End-Time:24:00:00Admin-Status:enableEffect-Status:active（策略已激活）DstIfFailAction:deletePriority:4In-Interface:GigabitEthernet7/0/23Out-Interface:Dest-Interface:Ten-GigabitEthernet3/0/1常见问题如何判断OAA策略已经下发成功？常见问题(续)如何判断数据报文是否被IPS/ACG插卡阻断？ 将SecBladeIPS/ACG的工作模式设置为二层回退模式，这样IPS/ACG插卡只是进行报文的透明转发，类似于一根“网线”，仅仅转发数据报文。常见问题(续)如何判断数据报文是否被IPS/ACG插卡阻断？常见问题(续)如何判断FW是否正确转发了数据报文？

配置高级ACL，指定需要调试的源/目的地址；用户视图下，打开调试开关：“debuggingippacketacl3999”；通过调试信息可以查看防火墙是否正常转发报文（可以搜索pktid查询相关报文、隐含视图下，执行“ifdiag23”，可以查看接口索引）*Jun2319:21:54:8072009H3CDPIPFWD/7/debug_case:Receiving,interface=Idx:0x00400000,version=4,headlen=20,tos=0,pktlen=40,pktid=9045,offset=0,ttl=127,protocol=6,checksum=37386,s=8,d=3prompt:ReceivingIPpacket常见问题(续)如何判断FW是否正确转发了数据报文？*Jun常见问题(续)如何判断数据报文是否被FW安全策略阻断？ 配置高级ACL，指定需要调试的源/目的地址； 用户视图下，打开调试开关：“debuggingfirewallpacket-filterallacl3999”Jun2319:20:31:8982009H3CFILTER/7/debug:Thread1,thetcppacketispermittedfromManagementtoLocal:(94269)->(380),48bytes,ACLnone.常见问题(续)如何判断数据报文是否被FW安全策略阻断？Jun常见问题(续)为什么流量没有引到插卡上？

对于OAA插卡：

1，OAA不成功，连通性测试是否通过？IPSE2107及以前版本、ACGE6113版本存在缺陷，OAA互联的VLANID必须小于255。 2，ACFP策略没有下发到交换机，通过displayacfppolicy-info来判断是否下发、下发是否正确。可能原因为，IPS/ACG未正确配置内部域和外部域；安全域配置完成后，未进行激活。对于FW插卡：1，三层模式下查看路由，下一跳是否指向FW地址；或在防火墙上debug制定报文；2，二层模式下，查看是否存在本vlan的vlan-interface，查看是否通过10GE接口学习到相应MAC地址。常见问题(续)为什么流量没有引到插卡上？对于FW插卡：常见问题(续)为什么攻击防范或P2P限流不生效？

1，报文是否上送到IPS/ACG板卡？ 2，是否配置了正确的IPS/ACG策略，并且进行了激活； 3，IPS/ACG插卡的特征库是否升级到最新，设备是否有特征库License授权常见问题(续)为什么攻击防范或P2P限流不生效？常见问题(续)为什么在配置IPS/ACGManager的情况下，发现没有任何日志信息？ 1，日志配置是否正确; 2，IPS/ACG插卡的管理口是否和ACGManager设备路由可达； 3，是否正确的同步了交换机的时间，交换机在发送给插卡时间时，原来并非采用格林威治时间，这样经常导致IPS/ACG插卡会+8个小时常见问题(续)为什么在配置IPS/ACGManager的情常见问题(续)混插组网情况下，实施顺序是怎么样的？ 由于IPS/ACG属于“没有转发能力”的插卡，属于透明模式部署，不会对现有组网在路由上造成影响，因此可以在实施完成SecBlade防护墙等Ethernet类型的板卡后，网络连通性测试已经通过后，再来部署IPS/ACG插卡。常见问题(续)混插组网情况下，实施顺序是怎么样的？常见问题(续)FW和IPS/ACG混插的情况下，谁放在外面？ 1，在FW做NAT的情况下，IPS/ACG插卡放在防火墙的里面。如果插卡放在外面，报文经过FW板卡NAT后，已经无法区分内部的地址，对于行为审计和控制都是个问题。 2，如果FW没有做NAT，则IPS/ACG插卡放在外面和里面均可以，但建议放在外面。因为经过FW的二三层转发后，IPS/ACG插卡仍然可以看做单独部署，只是内部域接口变成了连接防火墙的10GE接口而已。常见问题(续)FW和IPS/ACG混插的情况下，谁放在外面？常见问题(续)各种设备如何开局？

/Technical_Support_Documents(技术支持文件)/19-安全产品系列资料/01-安全产品/19-安全板卡专栏/01-开局指导书/常见问题(续)各种设备如何开局？/Technical_Suph3csecblade混合插卡组网培训演讲完毕，谢谢观看！演讲完毕，谢谢观看！H3CSecBlade混合插卡组网安全产品组巫继雨日期：12/29/2022密级：杭州华三通信技术有限公司H3CSecBlade混合插卡组网安全产品组巫继雨日期1、SecBladeIPS/ACG插卡硬件外观和软件适配2、SecBlade插卡基本概念和工作方式3、SecBladeFW+IPS/ACG插卡混插方案4、SecBladeFW+IPS+ACG插卡混插方案5、常见问题1、SecBladeIPS/ACG插卡硬件外观和软件适配硬件外观接口1个Console接口1个CF卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口CF卡Console2GE电口2GECombo2GBDDR2内存CF卡Console注：灰色标记部分为S5800插卡数据硬件外观接口1个Console接口1个CF卡接口，支持容量为H3C业务插卡配套关系

插卡产品FWIPSLBACGSSLVPNNetStreamAFCSR88●SR66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●H3C业务插卡配套关系插卡FWIPSLBACGS插卡类型插卡式的H3CSecBladeIIFW系列单板类型：LSRM1FW2A1 适用于H3CS9500E防火墙业务板LSBM1FW2A1 适用于H3CS9500防火墙业务板LSQM1FWBSC0适用于H3CS7500E防火墙业务板模块LSWM1FW10 适用于H3CS5800系列防火墙模块RT-SPE-FWM-H3适用于H3CSR6600千兆防火墙业务板模块IM-FW 适用于H3CSR8800防火墙业务处理板插卡式的H3CSecBladeLB系列单板类型：LSQM1LBSC0 适用于H3CS7500E-千兆负载均衡业务模块LSRM1LB1A1 适用于H3CS9500E-负载均衡业务板LSBM1LB1A1 适用于H3CS9500-负载均衡业务板LSWM1LB10 适用于H3CS580