H3C IPS配置指导
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作者 Author 车渝
2013-05-27
H3C 机密,未经许可不得扩散
第 2 页, 共 12 页
内部公开
目 录Table of Contents
H3C IPS插卡配置指导...................................................................................................................1
traffic classifier test-TGE-bridge operator and
if-match forward-level bridge //从服务器回来的报文,此处以cams、DNS服务器为例说明
traffic classifier from-server operator and
IPS 插卡通过内部的高速 10G 以太接口与主网络设备相连,H3C 主网络设备的 后插卡具有的线速转发能力,更保证了与业务插卡间通畅的数据转发。
IPS 插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的 同时,主网络设备的原有业务处理不会受到任何影响。
IPS 插卡可以插在主网络设备上的多个槽位,并且在一台主网络设备上可插入 多块插卡进行性能扩展,轻松适应不断升级的企业和电信运营商网络。
2013-05-27
H3C 机密,未经许可不得扩散
第 1 页, 共 12 页
日期 Date
2013-1-9
修订版本 Revision version 1.00
修订记录Revision record 修改描述
change Description
初稿完成 initial transmittal
内部公开
filter permit //从内网出去的流量,打上各自所属的vlan标签
traffic behavior test-in-10
remark vlan 10
redirect address 192.168.1.1
traffic behavior test-in-20
remark vlan 20
redirect address 192.168.1.1
2 推荐测试版本及适配列表
2.1 测试推荐版本
推荐版本 IPS插卡版本:B2101 95 V5版本:R2121SP02
版本大小 29,015,324字节 30062,128字节
发布日期 2008-12-23 2008-09-24
2013-05-27
H3C 机密,未经许可不得扩散
第 5 页, 共 12 页
//deny
traffic behavior deny
filter deny
# //qos区 //目的ip是内网用户的报文直接permit(为了发重定向页面); 过滤arp报文;过滤二层报文。这里要注意配置acl的顺序,过滤内网用户报文的mqc规 则一定要先于过滤二层报文的规则配置,因为同一级别的规则先下发先生效。
批准 Approved by
车渝/06289、
Date 日期
Date 日期
Date 日期
2013-5-9 yyyy-mm-dd yyyy-mm-dd
杭州华三通信技术有限公司 Hangzhou H3C Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
traffic classifier to-server operator and
if-match acl 3064 //从内网出去的流量,(到服务器的除外),且目的mac是交换机的mac地址
traffic classifier test-in operator and
if-match destination-mac 000f-e2b2-d3a2
插卡式的 H3C IPS 系列单板类型: LSQ1IPSSC0:适用于 H3C S7500E 系列交换机; LSB1IPS1A0:适用于 H3C S9500 系列交换机。
1.2 主要特点
将主网络设备的转发和业务处理有机融合在一起,在实现主网络设备高性能数 据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
内部公开
杭州华三通信技术有限公司 Hangzhou H3C
Technologies Co., Ltd.
文档编号 Document ID 文档状态 Document Status
密级 Confidentiality level 内部公开
H3C IPS插卡配置指导
拟制 Prepared by
评审人 Reviewed by
if-match acl 3002 //除从服务器过来的ip的其他ip报文,且目的mac是交换机的mac地址
traffic classifier test-out operator and
if-match destination-mac 000f-e2b2-d3a2
if-match acl 3000 //去往服务器的ip
#
//vlan 20 连接内网2的vlan接口
vlan 20
description neiwang2
#
//vlan 30 S9512的出接口
vlan 30
description internet
#
2013-05-27
ቤተ መጻሕፍቲ ባይዱ
H3C 机密,未经许可不得扩散
第 6 页, 共 12 页
内部公开
//创建流分类 //ip地址是内网ip的报文;我们必须在IPS插卡的内联口permit内网用户的ip地址,不然 的话,重定向报文是发不出来的。因为重定向报文是从内联口发到用户的,是属于二层报文,
2013-05-27
H3C 机密,未经许可不得扩散
第 3 页, 共 12 页
内部公开
关键词Key words:IPS插卡、IPS插卡、FW插卡、混插方案 摘 要Abstract:
本文主要描述了IPS不同组网环境的典型组网及配置方案,以及在实际应用过程中的注 意事项,供插卡开局同学参考。
缩略语清单List of abbreviations:
1 IPS安全插卡概述.........................................................................................................................5 1.1 产品简介 ................................................................................................................................... 5 1.2 主要特点 ................................................................................................................................... 5 2 推荐测试版本及适配列表 .......................................................................................................... 5 2.1 测试推荐版本 ........................................................................................................................... 5 3 基本配置方案 .............................................................................................................................. 6 3.1 用户需求 ................................................................................................................................... 6 3.2 S95主控板相关配置 .................................................................................................................. 6 3.3 SW相关配置 ...............................................................................................错误!未定义书签。 3.4 IPS插卡上的配置..................................................................................................................... 10 3.5 注意事项 ................................................................................................................................. 12
if-match acl 3000
# //流行为区
traffic behavior test-out
2013-05-27
H3C 机密,未经许可不得扩散
第 7 页, 共 12 页
内部公开
redirect address 192.168.1.1
//permit
traffic behavior permit
3 基本配置方案
内部公开
3.1 用户需求
S9512上插一块IPS插卡,VLAN10、VLAN20连接内网用户,VLAN30为S9512的出接 口,访问服务器区和Internet的流量都经过这个接口出去。根据需求,将内网访问internet 的流量重定向到IPS,经处理后送回S95,转发到相应出接口。
而我们又过滤了二层报文以防止广播风暴。
traffic classifier to-inner operator and
if-match acl 3001 //arp报文
traffic classifier test-TGE-arp operator and
if-match acl 4000 //二层报文
Abbreviations缩略语
Full spelling 英文全名
IPS
Intrusion Prevention System
FW
FireWall
Chinese explanation 中文解释 入侵防御系统 防火墙
2013-05-27
H3C 机密,未经许可不得扩散
第 4 页, 共 12 页
内部公开
3.2 S95主控板相关配置
#
version 5.20, Release 2135SP02
#
sysname ZXJF-S9512
#
link-aggregation group 1 mode manual
//创建链路聚合组
#
//vlan 10 连接内网1的vlan接口
vlan 10
description neiwang1
qos policy test-TGE
classifier to-inner behavior permit
classifier test-TGE-arp behavior deny
classifier test-TGE-bridge behavior deny
# //出接口上的qos策略,源ip是服务器的ip报文直接permit,其他报文重定向到IPS插卡 上去
1 IPS安全插卡概述
1.1 产品简介
H3C IPS插卡式产品采用H3C公司最新的硬件平台和体系架构,支持分布式部署和集中 管理,可灵活扩展。通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。 H3C IPS插卡,可以和S7500E系列/S9500系列高端交换机配合使用,可以在已使用该高端 交换机的用户网络中方便部署,满足对流量运营管理的需要。
2013-05-27
H3C 机密,未经许可不得扩散
第 2 页, 共 12 页
内部公开
目 录Table of Contents
H3C IPS插卡配置指导...................................................................................................................1
traffic classifier test-TGE-bridge operator and
if-match forward-level bridge //从服务器回来的报文,此处以cams、DNS服务器为例说明
traffic classifier from-server operator and
IPS 插卡通过内部的高速 10G 以太接口与主网络设备相连,H3C 主网络设备的 后插卡具有的线速转发能力,更保证了与业务插卡间通畅的数据转发。
IPS 插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的 同时,主网络设备的原有业务处理不会受到任何影响。
IPS 插卡可以插在主网络设备上的多个槽位,并且在一台主网络设备上可插入 多块插卡进行性能扩展,轻松适应不断升级的企业和电信运营商网络。
2013-05-27
H3C 机密,未经许可不得扩散
第 1 页, 共 12 页
日期 Date
2013-1-9
修订版本 Revision version 1.00
修订记录Revision record 修改描述
change Description
初稿完成 initial transmittal
内部公开
filter permit //从内网出去的流量,打上各自所属的vlan标签
traffic behavior test-in-10
remark vlan 10
redirect address 192.168.1.1
traffic behavior test-in-20
remark vlan 20
redirect address 192.168.1.1
2 推荐测试版本及适配列表
2.1 测试推荐版本
推荐版本 IPS插卡版本:B2101 95 V5版本:R2121SP02
版本大小 29,015,324字节 30062,128字节
发布日期 2008-12-23 2008-09-24
2013-05-27
H3C 机密,未经许可不得扩散
第 5 页, 共 12 页
//deny
traffic behavior deny
filter deny
# //qos区 //目的ip是内网用户的报文直接permit(为了发重定向页面); 过滤arp报文;过滤二层报文。这里要注意配置acl的顺序,过滤内网用户报文的mqc规 则一定要先于过滤二层报文的规则配置,因为同一级别的规则先下发先生效。
批准 Approved by
车渝/06289、
Date 日期
Date 日期
Date 日期
2013-5-9 yyyy-mm-dd yyyy-mm-dd
杭州华三通信技术有限公司 Hangzhou H3C Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
traffic classifier to-server operator and
if-match acl 3064 //从内网出去的流量,(到服务器的除外),且目的mac是交换机的mac地址
traffic classifier test-in operator and
if-match destination-mac 000f-e2b2-d3a2
插卡式的 H3C IPS 系列单板类型: LSQ1IPSSC0:适用于 H3C S7500E 系列交换机; LSB1IPS1A0:适用于 H3C S9500 系列交换机。
1.2 主要特点
将主网络设备的转发和业务处理有机融合在一起,在实现主网络设备高性能数 据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
内部公开
杭州华三通信技术有限公司 Hangzhou H3C
Technologies Co., Ltd.
文档编号 Document ID 文档状态 Document Status
密级 Confidentiality level 内部公开
H3C IPS插卡配置指导
拟制 Prepared by
评审人 Reviewed by
if-match acl 3002 //除从服务器过来的ip的其他ip报文,且目的mac是交换机的mac地址
traffic classifier test-out operator and
if-match destination-mac 000f-e2b2-d3a2
if-match acl 3000 //去往服务器的ip
#
//vlan 20 连接内网2的vlan接口
vlan 20
description neiwang2
#
//vlan 30 S9512的出接口
vlan 30
description internet
#
2013-05-27
ቤተ መጻሕፍቲ ባይዱ
H3C 机密,未经许可不得扩散
第 6 页, 共 12 页
内部公开
//创建流分类 //ip地址是内网ip的报文;我们必须在IPS插卡的内联口permit内网用户的ip地址,不然 的话,重定向报文是发不出来的。因为重定向报文是从内联口发到用户的,是属于二层报文,
2013-05-27
H3C 机密,未经许可不得扩散
第 3 页, 共 12 页
内部公开
关键词Key words:IPS插卡、IPS插卡、FW插卡、混插方案 摘 要Abstract:
本文主要描述了IPS不同组网环境的典型组网及配置方案,以及在实际应用过程中的注 意事项,供插卡开局同学参考。
缩略语清单List of abbreviations:
1 IPS安全插卡概述.........................................................................................................................5 1.1 产品简介 ................................................................................................................................... 5 1.2 主要特点 ................................................................................................................................... 5 2 推荐测试版本及适配列表 .......................................................................................................... 5 2.1 测试推荐版本 ........................................................................................................................... 5 3 基本配置方案 .............................................................................................................................. 6 3.1 用户需求 ................................................................................................................................... 6 3.2 S95主控板相关配置 .................................................................................................................. 6 3.3 SW相关配置 ...............................................................................................错误!未定义书签。 3.4 IPS插卡上的配置..................................................................................................................... 10 3.5 注意事项 ................................................................................................................................. 12
if-match acl 3000
# //流行为区
traffic behavior test-out
2013-05-27
H3C 机密,未经许可不得扩散
第 7 页, 共 12 页
内部公开
redirect address 192.168.1.1
//permit
traffic behavior permit
3 基本配置方案
内部公开
3.1 用户需求
S9512上插一块IPS插卡,VLAN10、VLAN20连接内网用户,VLAN30为S9512的出接 口,访问服务器区和Internet的流量都经过这个接口出去。根据需求,将内网访问internet 的流量重定向到IPS,经处理后送回S95,转发到相应出接口。
而我们又过滤了二层报文以防止广播风暴。
traffic classifier to-inner operator and
if-match acl 3001 //arp报文
traffic classifier test-TGE-arp operator and
if-match acl 4000 //二层报文
Abbreviations缩略语
Full spelling 英文全名
IPS
Intrusion Prevention System
FW
FireWall
Chinese explanation 中文解释 入侵防御系统 防火墙
2013-05-27
H3C 机密,未经许可不得扩散
第 4 页, 共 12 页
内部公开
3.2 S95主控板相关配置
#
version 5.20, Release 2135SP02
#
sysname ZXJF-S9512
#
link-aggregation group 1 mode manual
//创建链路聚合组
#
//vlan 10 连接内网1的vlan接口
vlan 10
description neiwang1
qos policy test-TGE
classifier to-inner behavior permit
classifier test-TGE-arp behavior deny
classifier test-TGE-bridge behavior deny
# //出接口上的qos策略,源ip是服务器的ip报文直接permit,其他报文重定向到IPS插卡 上去
1 IPS安全插卡概述
1.1 产品简介
H3C IPS插卡式产品采用H3C公司最新的硬件平台和体系架构,支持分布式部署和集中 管理,可灵活扩展。通过基于浏览器的管理界面,管理员可以快速熟悉系统的操作管理。 H3C IPS插卡,可以和S7500E系列/S9500系列高端交换机配合使用,可以在已使用该高端 交换机的用户网络中方便部署,满足对流量运营管理的需要。