H3CSecPath系列ACG产品培训V1.0分解.ppt

网络带宽扩容的怪圈 P2P导致网络拥塞实例 如何应对工作效率的杀手？ 应用流量识别 应用流量控制 日志处理— 报表展示 用户上网行为审计 URL过滤 H3C ACG 应用控制网关产品 H3C SecBlade ACG H3C SecBlade ACG（Application Control Gateway）是业界第一款千兆高性能应用控制模块，可应用于H3C S7500E /S9500E/95系列交换机，创新性的将应用监控、审计与网络进行无缝融合。 SecBlade ACG模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。 H3C Secpath ACG8800-S3 SecBlade ACG插卡部署 基本配置---S75E交换机OAA配置 基本配置---插卡配置 登陆web：系统管理—OAA设置页面，配置OAA，确定，并且连通性测试成功。 创建安全区域，按照实际需求将相应接口加入安全区域，由于仅使用单块插卡，因此域应用模式选用【常规】模式： 基本配置---插卡配置 【常规】模式和【级联】模式： 在S75E 插卡安全区域配置中，域应用模式分为【常规】和【级联】两种。选择【级联】域应用模式，可以实现IPS+ACG插卡混插组网下流量级联处理，即实现业务流量依次经过SecBlade IPS和SecBlade ACG按相应段策略进行处理。 【常规】模式的匹配方式为：[context ID + VLAN ID],即[接口+VLAN ID]； 【级联】模式只匹配VLAN。 为什么会有两种模式呢？因为IPS/ACG插卡只对报文进行透传，不会改变报文的内容。报文进入交换机再重定向到插卡，插卡是根据[context ID + VLAN ID]进行匹配的，context ID这里可以看成是接口ID。以IPS+ACG顺序为例，报文进入交换机后，被重定向到IPS插卡，IPS处理完成后，将报文原样返回，此时的[context ID + VLAN ID]不变，虽然流量会再次被重定向到ACG插卡，但是不会匹配ACG的段，ACG就不会对该流量做任何处理。如果ACG选择为级联模式，就只会匹配报文的VLAN ID，就不会存在上面的问题。 【级联】模式只用于ACG+IPS混合插卡组网情况，单块插卡用【常规】模式即可。 Secpath ACG8800-S3的部署（一） Secpath ACG8800-S3的部署（二） 工作原理简介 Secpath ACG8800-S3的部署（三） 部署过程中，需要注意以下几点： 1.需要注意的是要将奇数号端口（例如g0/0/1）要作为内部域，偶数号端口(例如g0/0/2)作为外部域，这样才能确保ACG-8800根据内部域用户IP地址的不同分配到不同的业务单板上处理。 2. Combo口默认情况下使能g0/0/17—g0/0/24的光口。如果要使用电口的话需要在g0/0/25—g0/0/32端口下执行 undo shutdown，需要注意的是在电口模式下主控板的g0/0/25—g0/0/32口跟ACG上认出的g0/0/17—g0/0/24口是一一对应的。 3. ACG两块业务板各自有命令行界面和web页面。目前除了E6511(受限)版本外，每块业务单板需要分别独立配置，原则上两块单板针对业务的配置要相同。 4.业务板上的端口不是传统意义上的交换机口，上下是一对口。 WEB界面概述——WEB网管 WEB界面概述——登陆界面 WEB界面概述——系统状态 基本配置及维护—设备基本配置 配置管理口IP地址 配置安全区域 配置段 添加管理口静态路由（可选配置） 开启设备的二层回退功能 安全区域配置 段配置 接口管理 管理口路由配置 二层回退配置 设备升级原理 将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程 操作系统文件也称为启动文件，文件名为×××.bin，存放在 设备的CF中。在升级的时候可以选择上传的版本作为主用版本、备份版本或者其他。 三种方法： WEB 命令行（[H3C]bootimage upgrade tftp 11 get E6116P03.bin） bootrom 重新启动，即以新文件启动设备 可以在WEB中选择重启 可以通过在命令行输入“reboot”重启 升级过程中切勿断电 通过WEB界面进行设备升级软件版本 特征库版本升级 手动升级特征库版本（1） 首先在H3C官方网站下载特征库版本，地址如下： 手动升级特征库版本（2） 自动升级特征库版本 保存当前配置 保存当前配置：将用户的当前的配置信息保存到磁盘中。 配置文件管理 导入配置文件：将保存在本地主机或设备上的指定配置文件压