h3csecblade混合插卡组网培训.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,H3C SecBlade 混合插卡组网,安全产品组 巫继雨,日期：,12/1/2025,密级：,杭州华三通信技术有限公司,1、SecBladeIPS/ACG插卡硬件外观和软件适配,2、SecBlade插卡基本概念和工作方式,3、SecBlade FW+IPS/ACG插卡混插方案,4、SecBlade FW+IPS+ACG插卡混插方案,5、常见问题,硬件外观,接口,1个Console接口,1个CF卡接口，支持容量为256M、512M、1G的CF卡,2个USB接口（预留）,2个10/100/1000BASE-T电接口,2个千兆Combo（光电复合）接口,后插板10GE接口,CF卡,Console,2GE电口,2GE Combo,2GB DDR2内存,CF卡,Console,注：灰色标记部分为S5800插卡数据,H3C业务插卡配套关系,插卡,产品,FW,IPS,LB,ACG,SSL VPN,NetStream,AFC,SR88,SR66,S95E,S95,S75E,S58,插卡类型,插卡式的H3C SecBladeII FW系列单板类型：,LSRM1FW2A1 适用于H3C S9500E 防火墙业务板,LSBM1FW2A1 适用于H3C S9500 防火墙业务板,LSQM1FWBSC0 适用于H3C S7500E 防火墙业务板模块,LSWM1FW10 适用于H3C S5800 系列防火墙模块,RT-SPE-FWM-H3 适用于H3C SR6600 千兆防火墙业务板模块,IM-FW 适用于H3C SR8800防火墙业务处理板,插卡式的H3C SecBlade LB系列单板类型：,LSQM1LBSC0 适用于H3C S7500E-千兆负载均衡业务模块,LSRM1LB1A1 适用于H3C S9500E-负载均衡业务板,LSBM1LB1A1 适用于H3C S9500-负载均衡业务板,LSWM1LB10 适用于H3C S5800负载均衡业务板,插卡类型-续1,插卡式的H3C SecBlade IPS系列单板类型：,LSWM1IPS10 适用于H3C S5800/S5820X系列交换机；,LSQ1IPSSC0 适用于H3C S7500E系列以太网交换机；,LSB1IPS1A0 适用于H3C S9500系列以太网交换机；,LSR1IPS1A1 适用于H3C S9500E系列以太网交换机。,插卡式的H3C SecBlade ACG系列单板类型：,LSQ1ACGASC0 适用于H3C S7500E系列以太网交换机；,LSB1ACG1A0 适用于H3C S9500系列以太网交换机；,LSR1ACG1A1 适用于H3C S9500E系列以太网交换机。,1、SecBladeIPS/ACG插卡硬件外观和软件适配,2、SecBlade插卡基本概念和工作方式,3、SecBlade FW+IPS/ACG插卡混插方案,4、SecBlade FW+IPS+ACG插卡混插方案,5、常见问题,01 SecBladeII FW插卡,SecBladeII防火墙插卡是我司防火墙的旗舰级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一RMI的力作XLR 732。高端防火墙的软件，采用了我司最新的COMWARE V5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。,New,防火墙部署透明模式,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access,Vlan 100,Vlan 100,Vlan 101,VIF101,1.1.1.1,交换,处理,Access Vlan 200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:二层转发,7-8:二层转发,8-9:三层转发,9-12:二层转发,出方向：,12-9:二层转发,9-8:三层转发,8-7:二层转发,7-6:二层转发,6-1:二层转发,Vlan 1000,VIF 200,2.2.2.1,Vlan 200,9,Vlan 100,2-2-2方式,背板,防火墙部署三层转发,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access,Vlan 100,Vlan 100,Vlan 200,交换,处理,Access Vlan 200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:三层转发,7-12:二层转发,出方向：,12-7:二层转发,7-6:三层转发,61:二层转发,VIF 200,2.2.2.1,Vlan 200,9,VIF100,1.1.1.1,Vlan 100,2-3-2方式,背板,防火墙部署三层转发2,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access,Vlan 100,Vlan 100,Vlan 101,VIF101,172.16.1.2/30,交换,处理,Access Vlan 200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:三层转发,7-8:二层转发,8-9:三层转发,9-12:二层转发,出方向：,12-9:二层转发,9-8:三层转发,8-7:二层转发,7-6:三层转发,6-1：二层转发,Vlan 1000,VIF 200,2.2.2.1,Vlan 200,9,VIF101,172.16.1.1/30,VIF100,1.1.1.1,Vlan 100,也是2-3-2方式,这是什么方式？,背板,有没有这种方式,FTP Server,FW,Swtich板,Swtich板,1,4,6,7,10,12,FTP client,3,5,8,2,11,10GE,10GE,access,Vlan 100,Vlan 100,Vlan 101,VIF101,172.16.1.2/30,交换,处理,Access Vlan 200,1.1.1.2,2.2.2.2,Vlan 1000,VIF 200,2.2.2.1,Vlan 200,9,VIF101,172.16.1.1/30,VIF100,172.16.0.1/30,Vlan 100,VIF100,172.16.0.2/30,答案：这个一般真没有！,02 SecBlade IPS插卡,包头,内部网络,IPS,防火墙,协议,数据内容,Internet,IPS,（,Intrusion Prevention System,，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。,03 SecBlade ACG插卡,H3C SecPath ACG（Application Control Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。,H3C ACG系列包括SecPath ACG 2000-M、SecPath ACG8800-S3和应用于H3C S75E/S95/S95E系列交换机的SecBlade ACG模块。,对用户上网行为进行深入分析，识别出相关应用,采取阻断、限流、干扰、过滤、警告等控制手段,通过采集相关访问信息，实现事后行为审计,行为识别,行为控制,行为审计,ACG实现目标,部署概念(1),安全区域和段,安全区域是一个物理,/,网络上的概念（,特定的物理端口,+VLAN ID,）,段可以看作是,连接两个安全区域,的一个透明网桥,策略被应用在特定的段上,。段,+,策略,+,网络配置,(IP,地址、方向,),部署概念(2),特征、规则和策略,特征定义了一组检测因子来决定如何对当前网络中的流量进行检测,规则的范畴比特征要广。规则,=,特征,+,启用状态,+,动作集,策略是一个包含了多条规则的集合,动作和动作集,安全区域、段和策略的关系,WAN,DMZ-WWW,INTERNAL,Segment,Zone A,Policy,Policy,Policy,PORT,PORT,Zone B,部署概念(3),SecBlade IPS/ACG插卡工作方式,SecBlade,插卡与交换机背板相连，有两种工作方式：,Ethernet,、,Hig,方式。,SecBladeII FW,、,SSL VPN,、,LB,都工作在,Ethernet,方式下，而,IPS,和,ACG,插卡则工作在,Hig,方式下,Ethernet,方式下的插卡，可以通过二、三层转发接收报文。,Hig,方式下的插卡只能通过重定向转发接收报文。,重定向报文的两种方法：,OAA,和重定向,。其中，,OAA,是我司自主开发的开放应用框架协议，,S75E/S95E/S58都采用OAA的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到IPS/ACG插卡处理。,OAA基本流程图,插卡,交换机重定向报文的方向性,交换机只能对入方向的报文进行重定向。,入方向，是指报文相对与交换机背板而言。,OAA配置举例：,单块插卡OAA三层转发应用场景,interface VLAN-interface2,ip address 172.16.160.250 255.255.255.0,interface VLAN-interface1001,ip address 172.16.161.30 255.255.255.224,interface VLAN-interface1002,ip address 172.16.161.62 255.255.255.224,interface VLAN-interface1003,ip address 172.16.164.1 255.255.255.0,01 S9500E OAA相关配置,#配置主控板的mib风格为new（需要重启）,mib-style new,#使能ACFP server和ACSEI server功能。,acfp server enable,acsei server enable,#配置内联接口所属VLAN,interface VLAN-interface100,ip address 100.100.100.1 255.255.255.0,S9500E相关配置,配置内联接口，假设IPS插卡位于S9500E的3号槽位，则交换机上对应内联口为Ten-GigabitEthernet3/0/1：,interface Ten-GigabitEthernet3/0/1,port link-type trunk,port trunk permit vlan all,mac-address max-mac-count 0,port connection-mode extend,S9500E相关配置,配置,SNMPv3参数,，这里配置为,SNMPv3用户,，不认证不加密方式：,snmp-agent,snmp-agent local-engineid 800063A20300E0FC960801,snmp-agent sys-info version all,snmp-agent group v3 v3group_no read-view iso write-view iso,snmp-agent mib-view included iso iso,snmp-agent usm-user v3 v3user_no v3group_no,/用户名v3user_no在插卡上配置时会用到,IPS/ACG插卡相关配置,配置OAA，确认连通性测试成功,IPS/ACG插卡相关配置,创建安全区域，按照实际需求将相应接口加入安全区域。启用OAA模式后，母体所有的接口在IPS/ACG插卡上都是可见的。,域应用模式选用【常规】模式，目前仅S75E支持【级联】模式，既支持多块IPS/ACG插卡的组网。,对于单块插卡的配置，内、外部域选择流量上下行接口即可,02 S7500E相关配置,#配置主控板的mib风格为new（需要重启）,mib-style new,#配置交换机主控板的流量转发模式为enhanced（需要重启）,switch-mode l2-enhanced,#使能ACFP server和ACSEI server功能。,acfp server enable,acsei server enable,#配置内联接口所属VLAN,interface VLAN-interface100,ip address 100.100.100.1 255.255.255.0,S7500E相关配置,配置内联接口。假设IPS插卡位于S9500E的2号槽位，则交换机上对应内联口为Ten-GigabitEthernet2/0/1：,interface Ten-GigabitEthernet2/0/1,port link-type trunk,port trunk permit vlan all,port trunk pvid vlan 100,port connection-mode extend,mac-address mac-learning disable,SNMP参数配置同前面S95E配置。,03 S5800相关配置,#使能ACFP/ACSEI。,acfp server enable,acsei server enable,#配置管理VLAN。,interface VLAN-interface100,ip address 100.100.100.1 255.255.252.0,#内联口配置（仅配置为Access口即可）。,interface Ten-GigabitEthernet1/2/1,port access vlan 100,port connection-mode extend,#SNMP参数设置同前。,单块插卡重定向工作方式,（1）流入交换机某个端口的所有报文。,（2）将需要IPS或者ACG分析、管理的流量重定向或者镜像到插卡上。,（3）将入口进入的其他流量正常转发。,（4）交换机将报文重定向到插卡。,（5）通过10GE通道，将流量传入插卡。,（6）插卡处理完毕，将报文送回给交换机。,（7）交换机再进行正常的转发处理。,重定向配置举例,PC1,连接在,95,的,e2/1/1,端口，模拟内网（,vlan80,）用户。,PC2,连接在,95,的,e2/1/5,端口，模拟外网（,vlan60,）应用。,SecBlade,IPS/ACG,插卡,通过,10GE,端口,g3/1/1,与,95,连接，作为,95,的插卡，承载,IPS/ACG,功能。,VLAN80,VLAN60,S9500相关配置,#定义重定向策略,在接口e2/1/1和e2/1/5入方向上配置重定向策略：内网接口将所有三层转发的ip报文重定向到插卡；外网接口将目的ip为内网ip 的三层ip报文重定向到插卡。,#,acl number 3000,rule 1 permit ip packet-level route,acl number 3001,rule 1 permit ip packet-level route destination 192.168.0.0 0.0.0.255,#,interface Ethernet2/1/1,port access vlan 80,traffic-redirect inbound ip-group 3000 interface GigabitEthernet3/1/1 80,#,interface Ethernet2/1/5,port access vlan 60,traffic-redirect inbound ip-group 3001 interface GigabitEthernet3/1/1 60,S9500相关配置,#配置内联接口,#,interface GigabitEthernet3/1/1,port link-type trunk,port trunk permit vlan all,mac-address max-mac-count 0,#,#内网接口上过滤ARP和二层转发报文,#,acl number 4000,rule 1 deny packet-level bridge ingress any egress any,rule 0 deny arp ingress any egress any,#,interface GigabitEthernet3/1/1,port link-type trunk,port trunk permit vlan all,packet-filter inbound link-group 4000,IPS/ACG插卡配置,#配置安全域,#配置段和段策略,1、SecBladeIPS/ACG插卡硬件外观和软件适配,2、SecBlade插卡基本概念和工作方式,3、SecBlade FW+IPS/ACG插卡混插方案,4、SecBlade FW+IPS+ACG插卡混插方案,5、常见问题,FW+IPS/ACG插卡三层转发混插方案 1,内网用户依次经过SecBlade FW和ACG插卡进行流量分析，访问外网,。,SecBlade FW位于一号槽位，而ACG位于二号槽位。,防火墙上配置两个子接口XGE0/0.2和XGE0/0.9。S9500E上配置VLAN 9并设置三层虚接口与防火墙XGE0/0.9通信。内网的上行流量通过配置默认路由，从防火墙的XGE0/0.9接口进，经处理后从XGE0/0.2子接口出，然后经ACG到Internet。,IPS/ACG插卡在FW外面,XGE0/0.9,XGE0/0.2,S95E相关配置,#配置防火墙10GE口,interface Ten-GigabitEthernet1/0/1,port link-type trunk,port trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70,#配置S9500E连接内网用户的接口,interface GigabitEthernet0/0/1,port access VLAN 110,interface VLAN-interface110,ip address 10.11.1.1 255.255.255.0,#配置S9500E连接internet的出接口,interface GigabitEthernet0/0/32,description To_Internet,port access VLAN 2,#在S9500E的VLAN9上配置三层虚接口，用于交换机与防火墙通信,interface VLAN-interface9,description to_FW-link,ip address 10.253.1.2 255.255.255.0,#默认路由指向FW板卡,ip route-static 0.0.0.0 0.0.0.0 10.253.1.1,S95E相关配置,#配置主控板的mib风格为new。,mib-style new,#使能ACFP server和ACSEI server功能。,acfp server enable,acsei server enable,#配置内联接口所属VLAN,interface VLAN-interface1000,description To_ACG,ip address 10.254.1.2 255.255.255.0,S95E相关配置,#配置内联接口,interface Ten-GigabitEthernet2/0/1,port link-type trunk,port trunk permit vlan all,port connection-mode extend,mac-address max-mac-count 0,#配置SNMPv3参数，,FW相关配置,配置防火墙上行流量出口（下行流量入口）,interface Ten-GigabitEthernet0/0.2,description TO-INTERNET,vlan-type dot1q vid 2,ip address 192.168.20.133 255.255.252.0,配置,防火墙上行流量入口（下行流量出口）,interface Ten-GigabitEthernet0/0.9,description T0-S9500E-link,vlan-type dot1q vid 9,ip address 10.253.1.1 255.255.255.0,配置,下行流量路由，将下行流量转发给S9500E相应出接口,ip route-static 10.0.0.0 255.0.0.0 10.253.1.2,ACG插卡相关配置,配置OAA，确认连通性测试成功,ACG插卡相关配置,因为流量是先经过防火墙，再到ACG插卡，所以ACG的内部域接口为防火墙的10GE口。由于经防火墙处理后的流量带VLAN2 Tag，因此，ACG内部区域指定VLAN ID为防火墙出方向的VLAN ID 2。外部域接口为S9500E连外网的出口。,FW+IPS/ACG插卡三层转发混插方案 2,内网用户依次经过ACG插卡和SecBlade FW进行流量统计分析，访问外网。,防火墙上配置两个子接口，XGE0/0.20和XGE0/0.30。S9500E上配置VLAN 20并设置三层虚接口与防火墙通信。上行流量会经OAA重定向到ACG，处理后按路由配置从XGE0/0.20子接口进入防火墙处理，再从XGE0/0.30子接口出，最后到Internet。,IPS/ACG插卡在FW里面,XGE0/0.20,XGE0/0.30,S95E相关配置,#配置防火墙的10GE口,interface Ten-GigabitEthernet2/0/1,port link-type trunk,port trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70,#配置S9500E内网入接口,interface GigabitEthernet7/0/1,port access VLAN 10,interface VLAN-interface10,ip address 10.0.0.1 255.0.0.0,#S9500E上VLAN20配置三层虚接口，用于交换机与防火墙通信,interface VLAN-interface20,description to_FW-link,ip address 20.0.0.2 255.0.0.0,ip route-static 0.0.0.0 0.0.0.0 20.0.0.1,ACG插卡相关配置,因为流量是先经过,ACG,，再到防火墙。所以,ACG,的内部域接口为,S9500E,连内部网络的接口，外部域接口为防火墙的,10GE,口，,VLAN ID,为防火墙入方向的,VLAN ID,FW相关配置,#配置防火墙上行流量入口。,interface Ten-GigabitEthernet0/0.20,description TO-ACG,VLAN-type dot1q vid 20,ip address 20.0.0.1 255.0.0.0,#配置防火墙上行流量出口。,interface Ten-GigabitEthernet0/0.30,description TO-INTERNET,VLAN-type dot1q vid 30,ip address 30.0.0.1 255.0.0.0,#配置下行流量路由，将下行流量转发给S9500E，OAA会根据策略重定向到ACG插卡继续处理。,ip route-static 10.0.0.0 255.0.0.0 20.0.0.2,1、SecBladeIPS/ACG插卡硬件外观和软件适配,2、SecBlade插卡基本概念和工作方式,3、SecBlade FW+IPS/ACG插卡混插方案,4、SecBlade FW+IPS+ACG插卡混插方案,5、常见问题,域应用模式,在IPS/ACG插卡安全区域配置中，域应用模式分为,【常规】,和,【级联】,两种。选择【级联】域应用模式，可以实现插卡混插组网下流量级联处理，即实现业务流量依次经过SecBlade IPS和SecBlade ACG按相应段策略进行处理。,【举例】：如果流量经过插卡的顺序为：ACG-IPS，则ACG的内部域应该为常规模式，外部域为级联模式，而IPS的内部域为级联模式，外部域为常规模式。,域应用模式区别,常规模式：,（,1,）若安全域中没有指定,VLAN ID,，则精确匹配接口；,（,2,）若安全域中指定了,VLAN ID,，则精确匹配接口和,VLAN_ID,。,级联模式,当报文携带的,VLAN_ID,为有效值时，只匹配报文的,VLAN_ID,。,【注意】,：,仅有S75E系列交换机支持IPS/ACG插卡的级联模式。,S75E SecBlade FW+IPS+ACG混插组网,用户网络中配置三个内网接口，属于三个不同VLAN，每个内网接口的流量都要重定向到插卡上，上行流量依次经过SecBlade ACG、SecBlade IPS以及SecBlade FW按配置策略进行处理；一个外网接口，属于单独VLAN。,Slot2,Slot4,Slot3,S7500E配置,#将内网用户接口加入指定VLAN，并在内网VLAN配置三层转发IP。,interface VLAN-interface10,ip address 10.0.0.1 255.0.0.0,interface GigabitEthernet8/0/1,port access VLAN 10,#访问外网接口加入VLAN30。,interface GigabitEthernet8/0/3,port access VLAN 30,#S7500E,内网,VLAN20,上配置三层接口,IP,，用于连接防火墙子接口,XGE0/0.20,。,interface VLAN-interface20,ip address 20.0.0.2 255.0.0.0,#配置路由，实现流量三层转发到防火墙。,ip route-static 30.0.0.0 255.0.0.0 20.0.0.1,S7500E OAA配置,mib-style new,acfp server enable,acsei server enable,switch-mode l2-enhanced,#配置内联接口所属VLAN（此VLAN 100只为OAA管理用，对流量转发不起作用）,interface VLAN-interface100,ip address 100.100.100.1 255.255.255.0,#配置内联接口,interface Ten-GigabitEthernet3/0/1,port link-type trunk,port trunk permit VLAN all,port trunk pvid VLAN 100,port connection-mode extend,#,配置,SNMPv3,参数，这里配置为,SNMPv3,用户，不认证不加密方式,ACG插卡,登陆web：系统管理OAA设置页面，配置OAA，确s连通性测试成功。,将内网用户接口加入SecBlade ACG内部区域，指定VLAN10、VLAN40和VLAN50，选择【常规】模式；将SecBlade IPS内联口Ten-GigabitEthernet4/0/1加入到外部区域，指定VLAN20，选择【级联】模式,IPS插卡,将SecBlade ACG内联口Ten-GigabitEthernet3/0/1加入内部区域Lan_IPS，指定VLAN10、VLAN40和VLAN50，并配置为【级联】模式；将防火墙内联口Ten-GigabitEthernet2/0/1加入外部区域Wan_IPS中，指定VLAN20,。,防火墙配置,#防火墙连接内网子接口配置,interface Ten-GigabitEthernet0/0.20,ip address 20.0.0.1 255.0.0.0,vlan-type dot1q vid 20,interface Ten-GigabitEthernet0/0.30,ip address 30.0.0.1 255.0.0.0,vlan-type dot1q vid 30,#,下行流量转发路由,ip route-static 10.0.0.0 255.0.0.0 20.0.0.2,#web,上将,XGE0/0.20,和,XGE0/0.30,加入安全区域,流量走向上行,如左图所示，GE8/0/1连接内网1用户，属于VLAN10。当有流量经过该接口访问外网时，ACG插卡以“接口+VLAN”方式精确匹配，检查该流量匹配安全区域Lan_ACG，便将流量引入ACG插卡内联口Ten-GE3/0/1，根据所属段上关联策略处理流量。,Slot2,Slot4,Slot3,GE8/0/1,处理后流量返回到ACG插卡内联口依旧带有VLAN10 Tag，入接口信息为GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置为级联模式，仅匹配流量VLAN ID，因此该流量匹配IPS插卡安全区域Lan_IPS，因此流量将被继续重定向到IPS插卡内联口进行处理。,流量走向上行(续),Slot2,Slot4,Slot3,GE8/0/1,上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联vlan接口)，通过vlan20转发到防火墙后，从防火墙子接口XGE0/0.20进，由子接口XGE0/0.30出，在S7500E上vlan30内二层转发到相应接口，从而连接Internet。,流量走向下行,Internet,下行流量通过vlan30进入防火墙，防火墙查找内网路由，通过XGE0/0.20子接口在vlan20内转发给S7500E。,Slot2,Slot4,Slot3,GE8/0/1,流量走向下行(续),经过防火墙三层转发处理后返回给S7500E的流量，带有VLAN20的tag，入接口信息为Ten-GigabitEthernet2/0/1，此时的流量信息匹配IPS插卡外部域Wan_IPS，因此流量将被重定向到IPS插卡，根据对应段关联策略对流量进行处理。,下行流量经过IPS插卡处理后仍然带VLAN20 Tag，入接口信息为Ten-GE2/0/1。由于ACG插卡上安全区域Wan_ACG设置为级联模式，仅匹配流量的VLAN ID 20，因此将该流量会被引到ACG插卡内联口，随后ACG按相应段关联策略进行处理。ACG处理后流量返回给S75E，S75E进行正常内部转发。,Slot2,Slot4,Slot3,GE8/0/1,S95E SecBlade IPS+FW+ACG混插组网,S95E不支持IPS/ACG的级联组网，所以不能直接采用IPS+ACG直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是IPS+FW+ACG，此方式和FW+IPS/ACG组网没有本质区别。,S95E配置,三层转发相关配置,#配置上行流量（内网到外网）入接口,interface Vlan-interface11,ip address 11.0.0.1 255.0.0.0,interface GigabitEthernet7/0/10,port access vlan 11,#VLan20配置三层虚接口，用于S95E和FW插卡通信,interface Vlan-interface20,ip address 20.0.0.2 255.0.0.0,#配置上行流量（内网到外网）出接口,interface GigabitEthernet7/0/9,port access vlan 30,#防火墙内联接口配置,interface Ten-GigabitEthernet3/0/1,port link-type trunk,port trunk permit vlan 1 20 30,#配置路由使上行流量转发到FW,ip route-static 30.0.0.0 255.0.0.0 20.0.0.1,OAA相关配置：,#配置内联接口所属VLAN（此VLAN 4094只为OAA管理用，对流量转发不起作用）。,interface Vlan-interface4094,ip address 100.0.0.1 255.255.255.0,#配置内联接口（ACG插卡内联口）。,interface Ten-GigabitEthernet2/0/1,port link-type trunk,port trunk permit vlan all,port connection-mode extend,mac-address max-mac-count 0,#配置内联接口（IPS插卡内联口）。,interface Ten-GigabitEthernet6/0/1,port link-type trunk,port trunk permit vlan all,port connection-mode extend,mac-address max-mac-count 0,#配置SNMPv3参数,IPS插卡配置,配置,OAA,配置安全区域,FW插卡配置,#防火墙上行流量（内网到外网）入口,interface Ten-GigabitEthernet0/0.20,vlan-type dot1q vid 20,ip address 20.0.0.1 255.0.0.0,#,防火墙上行流量（内网到外网）出口,interface Ten-GigabitEthernet0/0.30,vlan-type dot1q vid 30,ip address 30.0.0.1 255.0.0.0,#下行流量路由配置，将下行流量转发给S9500E,ip route-static 11.0.0.0 255.0.0.0 20.0.0.2,ACG插卡配置,配置,OAA,配置安全区域,流量走向上行,VLAN11,的用户流量进入,GE7/0/10,后，匹配,IPS,内部域,LAN,，流量被重定向到,IPS,插卡。流量经过,IPS,处理后返回给,S95E,，终结在,vlan,interface11,上。,S95E,查找去往,Internet,的路由，从接口,VIF20,发送到防火墙插卡上，防火墙从,XGE0/0.20,接收报文，通过查找路由，在接口,XGE0/0.30,回送给,S95E,。,S95E,通过,vlan,30,在,XGE3/0/1,收到防火墙处理后的流量，匹配,ACG,插卡内部域,FW-30,，流量被重定向到,ACG,插卡处理，处理后的流量返回给,S95E,，,S95E,在,vlan,30,内二层转发。,流量走向下行,VLAN30,的下行流量进入,GE7/0/9,接口，匹配,ACG,外部域,WAN,，流量被重定向到,ACG,插卡上，处理后的流量返回给,S95E,。,Vlan30,的流量通过,XGE3/0/1,转发给防火墙插卡，终结在,XGE0/0.30,子接口上。防护墙查找去往内网的路由，通过,XGE0/0.20,子接口转发给,S95E,。,S95E,通过,XGE3/0/1