hcsecblade混合插卡组网培训(共95张)

H3C混合插卡组网安全产品组巫继雨日期：11/13/2019密级：杭州华三通信技术有限公司1、插卡硬件外观和软件适配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常见问题硬件外观接口1个接口1个卡接口，支持容量为256M、512M、1G的卡2个接口（预留）2个10/100/1000电接口2个千兆（光电复合）接口后插板10接口卡2电口222内存卡注：灰色标记部分为S5800插卡数据H3C业务插卡配套关系插卡产品

88●66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●插卡类型插卡式的H3C系列单板类型：12A1 适用于H3CS9500E防火墙业务板12A1 适用于H3CS9500防火墙业务板10适用于H3CS7500E防火墙业务板模块110 适用于H3CS5800系列防火墙模块3适用于H3C6600千兆防火墙业务板模块 适用于H3C8800防火墙业务处理板插卡式的H3C系列单板类型：10 适用于H3CS7500千兆负载均衡业务模块11A1 适用于H3CS9500负载均衡业务板11A1 适用于H3CS9500-负载均衡业务板110 适用于H3CS5800负载均衡业务板插卡类型-续1插卡式的H3C系列单板类型：110适用于H3CS58005820X系列交换机；10适用于H3CS7500E系列以太网交换机；11A0适用于H3CS9500系列以太网交换机；11A1适用于H3CS9500E系列以太网交换机。插卡式的H3C系列单板类型：10适用于H3CS7500E系列以太网交换机；11A0适用于H3CS9500系列以太网交换机；11A1适用于H3CS9500E系列以太网交换机。插卡类型-续2插卡式的H3C系列单板类型：10 适用于H3CS7500业务模块11A1 适用于H3CS9500业务板模块3 适用于H3C6600模块插卡式的H3C系列单板类型：10 适用于H3CS7500E业务板11A1 适用于H3CS9500E业务板110 适用于H3CS5800系列业务板使用版本产品配套项目版本号（对外）说明主控板软件1102107内部版本9011V200R001B01D105升级后V10820075E配套版本S75005206307L03

95配套版本S9500310164695E配套版本S95005201136版本V2.1000223.202602+P04插卡可以在部门相应目录:(新内部版本归档)/02安全产品获取的最新版本开局版本，每个插卡版本都会附带版本配套表，里面会列出和母体配套的版本，请在实施时获取。1、插卡硬件外观和软件适配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常见问题01插卡 防火墙插卡是我司防火墙的旗舰级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一——的力作732。高端防火墙的软件，采用了我司最新的V5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。防火墙部署—透明模式

板板14671012

35821110101001001011011.1.1.1交换处理2001.1.1.22.2.2.2入方向：1->6:二层转发6->7:二层转发7->8:二层转发8->9:三层转发9->12:二层转发出方向：12->9:二层转发9->8:三层转发8->7:二层转发7->6:二层转发6->1:二层转发10002002.2.2.120091002-2-2方式背板防火墙部署—三层转发

板板14671012

3582111010100100200交换处理2001.1.1.22.2.2.2入方向：1->6:二层转发6->7:三层转发7->12:二层转发出方向：12->7:二层转发7->6:三层转发6>1:二层转发2002.2.2.120091001.1.1.11002-3-2方式背板防火墙部署—三层转发2

板板14671012

3582111010100100101101172.16.1.2/30交换处理2001.1.1.22.2.2.2入方向：1->6:二层转发6->7:三层转发7->8:二层转发8->9:三层转发9->12:二层转发出方向：12->9:二层转发9->8:三层转发8->7:二层转发7->6:三层转发6->1：二层转发10002002.2.2.12009101172.16.1.1/301001.1.1.1100也是2-3-2方式这是什么方式？背板有没有这种方式

板板14671012

3582111010100100101101172.16.1.2/30交换处理2001.1.1.22.2.2.210002002.2.2.12009101172.16.1.1/30100172.16.0.1/30100100172.16.0.2/30答案：这个一般真没有！02插卡包头内部网络

防火墙协议数据内容Internet（，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。03插卡 H3C（）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。 H3C系列包括2000、88003和应用于H3CS759595E系列交换机的模块。对用户上网行为进行深入分析，识别出相关应用采取阻断、限流、干扰、过滤、警告等控制手段通过采集相关访问信息，实现事后行为审计行为识别行为控制行为审计实现目标部署概念(1)安全区域和段安全区域是一个物理/网络上的概念（特定的物理端口+）段可以看作是连接两个安全区域的一个透明网桥策略被应用在特定的段上。段+策略+网络配置(地址、方向)部署概念(2)特征、规则和策略特征定义了一组检测因子来决定如何对当前网络中的流量进行检测规则的范畴比特征要广。规则=特征+启用状态+动作集策略是一个包含了多条规则的集合动作和动作集安全区域、段和策略的关系-AB部署概念(3)插卡工作方式 插卡与交换机背板相连，有两种工作方式：、方式。 、、都工作在方式下，而和插卡则工作在方式下,方式下的插卡，可以通过二、三层转发接收报文。方式下的插卡只能通过重定向转发接收报文。 重定向报文的两种方法：和重定向。其中，是我司自主开发的开放应用框架协议，S759558都采用的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到插卡处理。基本流程图插卡交换机重定向报文的方向性交换机只能对入方向的报文进行重定向。入方向，是指报文相对与交换机背板而言。配置举例：

单块插卡三层转发应用场景2172.16.160.250255.255.255.01001172.16.161.30255.255.255.2241002172.16.161.62255.255.255.2241003172.16.164.1255.255.255.001S9500E相关配置#配置主控板的风格为（需要重启）

#使能和功能。

#配置内联接口所属100 100.100.100.1255.255.255.0

S9500E相关配置配置内联接口，假设插卡位于S9500E的3号槽位，则交换机上对应内联口为3/0/1：3/0/1

0

S9500E相关配置 配置3参数，这里配置为3用户，不认证不加密方式：

800063A20300E0960801

v3v3

v3v3v3用户名v3在插卡上配置时会用到插卡相关配置配置，确认连通性测试成功插卡相关配置创建安全区域，按照实际需求将相应接口加入安全区域。启用模式后，母体所有的接口在插卡上都是可见的。域应用模式选用【常规】模式，目前仅S75E支持【级联】模式，既支持多块插卡的组网。

对于单块插卡的配置，内、外部域选择流量上下行接口即可

02S7500E相关配置#配置主控板的风格为（需要重启）

#配置交换机主控板的流量转发模式为（需要重启）l2#使能和功能。

#配置内联接口所属100 100.100.100.1255.255.255.0

S7500E相关配置配置内联接口。假设插卡位于S9500E的2号槽位，则交换机上对应内联口为2/0/1：2/0/1

100

参数配置同前面S95E配置。03S5800相关配置#使能。

#配置管理。100100.100.100.1255.255.252.0#内联口配置（仅配置为口即可）。1/2/1100

#参数设置同前。单块插卡重定向工作方式（1）流入交换机某个端口的所有报文。（2）将需要或者分析、管理的流量重定向或者镜像到插卡上。（3）将入口进入的其他流量正常转发。（4）交换机将报文重定向到插卡。（5）通过10通道，将流量传入插卡。（6）插卡处理完毕，将报文送回给交换机。（7）交换机再进行正常的转发处理。重定向配置举例1连接在95的e2/1/1端口，模拟内网（80）用户。2连接在95的e2/1/5端口，模拟外网（60）应用。插卡通过10端口g3/1/1与95连接，作为95的插卡，承载功能。8060S9500相关配置#定义重定向策略 在接口e2/1/1和e2/1/5入方向上配置重定向策略：内网接口将所有三层转发的报文重定向到插卡；外网接口将目的为内网的三层报文重定向到插卡。#3000130011192.168.0.00.0.0.255#2/1/18030003/1/180#2/1/56030013/1/160S9500相关配置 #配置内联接口#3/1/1

0# #内网接口上过滤和二层转发报文#400010#3/1/1

4000插卡配置#配置安全域#配置段和段策略1、插卡硬件外观和软件适配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常见问题插卡三层转发混插方案1

内网用户依次经过和插卡进行流量分析，访问外网。位于一号槽位，而位于二号槽位。

防火墙上配置两个子接口0/0.2和0/0.9。S9500E上配置9并设置三层虚接口与防火墙0/0.9通信。内网的上行流量通过配置默认路由，从防火墙的0/0.9接口进，经处理后从0/0.2子接口出，然后经到。插卡在外面0/0.90/0.2S95E相关配置#配置防火墙10口1/0/1

149103040506070#配置S9500E连接内网用户的接口0/0/111011010.11.1.1255.255.255.0#配置S9500E连接的出接口0/0/32

2#在S9500E的9上配置三层虚接口，用于交换机与防火墙通信9

10.253.1.2255.255.255.0#默认路由指向板卡0.0.0.00.0.0.010.253.1.1S95E相关配置#配置主控板的风格为。

#使能和功能。

#配置内联接口所属1000

10.254.1.2255.255.255.0S95E相关配置#配置内联接口2/0/1

0#配置3参数， 相关配置配置防火墙上行流量出口（下行流量入口） 0/0.2

1q2192.168.20.133255.255.252.0配置防火墙上行流量入口（下行流量出口）0/0.9T095001q910.253.1.1255.255.255.0配置下行流量路由，将下行流量转发给S9500E相应出接口10.0.0.0255.0.0.010.253.1.2插卡相关配置配置，确认连通性测试成功插卡相关配置因为流量是先经过防火墙，再到插卡，所以的内部域接口为防火墙的10口。由于经防火墙处理后的流量带2，因此，内部区域指定为防火墙出方向的2。外部域接口为S9500E连外网的出口。插卡三层转发混插方案2内网用户依次经过插卡和进行流量统计分析，访问外网。防火墙上配置两个子接口，0/0.20和0/0.30。S9500E上配置20并设置三层虚接口与防火墙通信。上行流量会经重定向到，处理后按路由配置从0/0.20子接口进入防火墙处理，再从0/0.30子接口出，最后到。插卡在里面0/0.200/0.30S95E相关配置#配置防火墙的10口2/0/1

149103040506070#配置S9500E内网入接口7/0/1101010.0.0.1255.0.0.09500E上20配置三层虚接口，用于交换机与防火墙通信20

20.0.0.2255.0.0.00.0.0.00.0.0.020.0.0.1插卡相关配置因为流量是先经过，再到防火墙。所以的内部域接口为S9500E连内部网络的接口，外部域接口为防火墙的10口，为防火墙入方向的相关配置#配置防火墙上行流量入口。0/0.20

1q2020.0.0.1255.0.0.0#配置防火墙上行流量出口。0/0.30

1q3030.0.0.1255.0.0.0#配置下行流量路由，将下行流量转发给S9500E，会根据策略重定向到插卡继续处理。10.0.0.0255.0.0.020.0.0.21、插卡硬件外观和软件适配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常见问题域应用模式 在插卡安全区域配置中，域应用模式分为【常规】和【级联】两种。选择【级联】域应用模式，可以实现插卡混插组网下流量级联处理，即实现业务流量依次经过和按相应段策略进行处理。 【举例】：如果流量经过插卡的顺序为：，则的内部域应该为常规模式，外部域为级联模式，而的内部域为级联模式，外部域为常规模式。域应用模式区别常规模式：（1）若安全域中没有指定，则精确匹配接口；（2）若安全域中指定了，则精确匹配接口和。级联模式 当报文携带的为有效值时，只匹配报文的。【注意】：仅有S75E系列交换机支持插卡的级联模式。S75E混插组网 用户网络中配置三个内网接口，属于三个不同，每个内网接口的流量都要重定向到插卡上，上行流量依次经过、以及按配置策略进行处理；一个外网接口，属于单独。Slot2Slot4Slot3S7500E配置#将内网用户接口加入指定，并在内网配置三层转发。10 10.0.0.1255.0.0.08/0/1 10#访问外网接口加入30。8/0/3 307500E内网20上配置三层接口，用于连接防火墙子接口0/0.20。20 20.0.0.2255.0.0.0#配置路由，实现流量三层转发到防火墙。 30.0.0.0255.0.0.020.0.0.1S7500E配置

l2#配置内联接口所属（此100只为管理用，对流量转发不起作用）100100.100.100.1255.255.255.0#配置内联接口3/0/1

100

#配置3参数，这里配置为3用户，不认证不加密方式插卡 登陆：系统管理—>设置页面，配置，确s连通性测试成功。

将内网用户接口加入内部区域，指定10、40和50，选择【常规】模式；将内联口4/0/1加入到外部区域，指定20，选择【级联】模式插卡 将内联口3/0/1加入内部区域，指定10、40和50，并配置为【级联】模式；将防火墙内联口2/0/1加入外部区域中，指定20。防火墙配置#防火墙连接内网子接口配置0/0.20 20.0.0.1255.0.0.0 1q200/0.30 30.0.0.1255.0.0.0 1q30#下行流量转发路由 10.0.0.0255.0.0.020.0.0.2上将0/0.20和0/0.30加入安全区域流量走向—上行 如左图所示，8/0/1连接内网1用户，属于10。当有流量经过该接口访问外网时，插卡以“接口”方式精确匹配，检查该流量匹配安全区域，便将流量引入插卡内联口3/0/1，根据所属段上关联策略处理流量。Slot2Slot4Slot38/0/1

处理后流量返回到ACG插卡内联口依旧带有VLAN10Tag，入接口信息为GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置为级联模式，仅匹配流量VLANID，因此该流量匹配IPS插卡安全区域Lan_IPS，因此流量将被继续重定向到IPS插卡内联口进行处理。流量走向—上行(续)Slot2Slot4Slot38/0/1 上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联接口)，通过20转发到防火墙后，从防火墙子接口0/0.20进，由子接口0/0.30出，在S7500E上30内二层转发到相应接口，从而连接。流量走向—下行 下行流量通过30进入防火墙，防火墙查找内网路由，通过0/0.20子接口在20内转发给S7500E。Slot2Slot4Slot38/0/1流量走向—下行(续) 经过防火墙三层转发处理后返回给S7500E的流量，带有20的，入接口信息为2/0/1，此时的流量信息匹配插卡外部域，因此流量将被重定向到插卡，根据对应段关联策略对流量进行处理。 下行流量经过插卡处理后仍然带20，入接口信息为2/0/1。由于插卡上安全区域设置为级联模式，仅匹配流量的20，因此将该流量会被引到插卡内联口，随后按相应段关联策略进行处理。处理后流量返回给S75E，S75E进行正常内部转发。Slot2Slot4Slot38/0/1S95E混插组网 S95E不支持的级联组网，所以不能直接采用直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是，此方式和组网没有本质区别。

S95E配置三层转发相关配置#配置上行流量（内网到外网）入接口1111.0.0.1255.0.0.07/0/1011#20配置三层虚接口，用于S95E和插卡通信2020.0.0.2255.0.0.0#配置上行流量（内网到外网）出接口7/0/930#防火墙内联接口配置3/0/1

12030#配置路由使上行流量转发到30.0.0.0255.0.0.020.0.0.1相关配置：#配置内联接口所属（此4094只为管理用，对流量转发不起作用）。4094100.0.0.1255.255.255.0#配置内联接口（插卡内联口）。2/0/1

0#配置内联接口（插卡内联口）。6/0/1

0#配置3参数插卡配置配置配置安全区域插卡配置#防火墙上行流量（内网到外网）入口0/0.20 1q20 20.0.0.1255.0.0.0#防火墙上行流量（内网到外网）出口0/0.30 1q30 30.0.0.1255.0.0.0#下行流量路由配置，将下行流量转发给S9500E11.0.0.0255.0.0.020.0.0.2插卡配置配置配置安全区域流量走向—上行11的用户流量进入7/0/10后，匹配内部域，流量被重定向到插卡。流量经过处理后返回给S95E，终结在11上。S95E查找去往的路由，从接口20发送到防火墙插卡上，防火墙从0/0.20接收报文，通过查找路由，在接口0/0.30回送给S95E。S95E通过30在3/0/1收到防火墙处理后的流量，匹配插卡内部域30，流量被重定向到插卡处理，处理后的流量返回给S95E，S95E在30内二层转发。

流量走向—下行30的下行流量进入7/0/9接口，匹配外部域，流量被重定向到插卡上，处理后的流量返回给S95E。30的流量通过3/0/1转发给防火墙插卡，终结在0/0.30子接口上。防护墙查找去往内网的路由，通过0/0.20子接口转发给S95E。S95E通过3/0/1收到防火墙处理的报文，且报文携带20的，匹配的外部域20，流量被重定向到插卡上。经过处理的流量返回S75E，终结在20上。然后S95E查找路由，转发到11内，通过二层转发给客户端。S95混插组网 S95混插和S75E混插区别：S75E混插时，插卡分为常规和级联模式，而S95混插则没有这两个模式。S95不支持方式，只能使用重定向将流量上送插卡。在S95插卡安全区域里只显示插卡的10口一个接口，插卡的上下行方向只能通过来区分。组网图 如左图所示，100连接外网，内网用户按实际需求被划分为80和81；防火墙配置0/0.60和0/0.100。安全区域中配置接口和，将匹配流量引到内联口，使上行流量依次经过和；然后进行三层转发，通过60将流量转发到防火墙内网子接口0/0.60，交给防火墙处理；最后，经过处理的流量在S9500上转发到出接口访问。S95配置允许三层报文通过30000内网接口1，属于80，将所有入方向报文打上80，重定向到的10口0/1/18030001/1/180S95配置—续1#与防火墙通信的60#内网两个80#81#外网100#6060.0.0.1255.255.255.0#8080.0.0.1255.255.255.0#8181.0.0.1255.0.0.0S95配置—续2内网接口2，属于81，将所有入方向报文打上81，重定向到的10口0/1/2 81 3000011/1/181内网接口2，属于81，将所有入方向报文打上81，重定向到的10口0/1/2 81 3000011/1/181S95配置—续3过滤二层报文；过滤报文400010允许60的报文4002060允许80和81的报文4003080181S95配置—续4的10口，口；禁止地址学习、过滤二层报文、过滤；将内网80和81的报文带上各自的，送到的10口。1/1/1

04003022/1/180400040031132/1/181S95配置—续5的10口，口；禁止地址学习；过滤二层报文；过滤；将外网60的报文带上送到的10口。2/1/1

04002031/1/160400015400006S95配置—续6防火墙的10接口，口；将从外网返回的报文打上60，送到的10口。4/1/1

4002042/1/16095的默认路由下一跳指向防火墙100.0.0.0255.255.255.060.0.0.260插卡配置 将插卡的10接口加入内外部区域，指定内部域为80和81，外部域为60。插卡配置 将插卡的10口加入内外部区域，指定内部域为80和81，外部域为60防火墙插卡配置#60#100#0/0

#0/0.601q6060.0.0.2255.255.255.0#0/0.1001q100100.0.0.2255.255.255.0#0.0.0.00.0.0.0100.0.0.180.0.0.0255.255.255.060.0.0.181.0.0.0255.0.0.060.0.0.1流量走向—上行 0/1/1连接内网用户属于80。当有流量经过该接口访问外网时，流量被重定向到插卡，插卡处理后，再将报文原封不动地送往的内联口，此时报文的仍然为80，处理完成后，从10口送回95。 返回到95的流量根据95的路由表，转发到防火墙处理，然后到。流量走向—下行 从回来的流量，从100进，根据默认路由，先到上处理，防火墙根据策略，将报文的转换成60，重定向到插卡，插卡处理完成后，原封不动地再送到，处理完成后，将报文送回95，95再根据路由表进行相应流量转发。 从上述流程可以看出，、的上行流量均为内网流量+其，下行流量均为防火墙处理后的流量，所以，上行流量到、插卡所带打相同，下行流量到、插卡的也相同，、在配置安全区域时，所对应的一样。、插卡本身不具备置换的能力。理解这一点，就能理解上面的流程了。1、插卡硬件外观和软件适配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常见问题常见问题如何判断策略已经下发成功？【H3C】:2:1:1:1