75E IPSACG插卡开局指导书1.docVIP

关键词Key words：IPS插卡、ACG插卡、FW插卡、OAA、混插方案 摘 要Abstract： 本文主要描述了SecBlade IPS以及SecBlade ACG，配合S75E及SecBlade FW不同组网环境的典型组网及配置方案，以及在实际应用过程中的注意事项，供插卡开局同学参考。 缩略语清单List of abbreviations： Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释 IPS Intrusion Prevention System 入侵防御 ACG Application Control Gateway 应用控制网关 FW FireWall 防火墙 SecBlade安全插卡概述 产品简介 H3C SecBlade ACG和H3C SecPath IPS插卡式产品采用H3C公司最新的硬件平台和体系架构，支持分布式部署和集中管理，可灵活扩展。通过基于浏览器的管理界面，管理员可以快速熟悉系统的操作管理。H3C SecBlade ACG/IPS插卡，可以和S7500E系列/S9500系列高端交换机配合使用，可以在已使用该高端交换机的用户网络中方便部署，满足对流量运营管理的需要。 插卡式的H3C SecBlade ACG系列单板类型： LSQ1ACGASC0：适用于H3C S7500E系列以太网交换机； LSB1ACG1A0：适用于H3C S9500系列以太网交换机。 插卡式的H3C SecBlade IPS系列单板类型： LSQ1IPSSC0：适用于H3C S7500E系列交换机； LSB1IPS1A0：适用于H3C S9500系列交换机。 主要特点 将的转发和业务处理有机融合在一起实现高性能数据转发的同时，能够根据组网的特点处理安全业务，实现安全防护和监控。架构相连轻松适应不断的企业和电信运营商。 图3.1 单块插卡三层转发典型组网图 用户需求 用户S7506E与防火墙通过以太网线相连。交换机内划分多个VLAN区分内外网段。使用一个C类地址连接外网，其余网段作为内网业务VLAN。（小说网） 如图3.1所示，VLAN2连接外网，VLAN1001~VLAN100n连接内网用户。按需求配置进入S7506E的流量重定向到SecBlade IPS，经匹配的安全防护及流量管理策略处理后在S7506E上进行三层转发，转发到相应出接口。 S75E主控板相关配置 #三层转发基本配置 interface VLAN-interface2 //连接外网VLAN虚接口配置 ip address 50 interface VLAN-interface1001 //连接内网VLAN虚接口配置 ip address 0 24 interface VLAN-interface1002 ip address 2 24 interface VLAN-interface1003 ip address OAA相关配置 S75E主控上OAA相关配置 #配置主控板的mib风格为new。Txt mib-style new # 使能ACFP server和ACSEI server功能。 acfp server enable acsei server enable # 配置交换机主控板的流量转发模式为enhanced（主控板流量转发模式配置完毕后需保存配置并重启整个交换机，所做配置才会整机生效。） switch-mode l2-enhanced # 配置内联接口所属VLAN（此VLAN 100只为OAA管理用，对流量转发不起作用） interface VLAN-interface100 ip address //此IP地址为对应插卡web配置时OAA server的地址 # 配置内联接口，如图3.1所示，IPS插卡位于S75E的3号槽位，因此对应内联口Ten-GE3/0/1 interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit VLAN all port trunk pvid VLAN 100 p