H3CSecBladeII开局指导(V1.10).docVIP

H3C SecBladeII开局指导书Deployment Instructions for H3C SecBladeII Beta Test 杭州华三通信技术有限公司 Hangzhou H3C Technologies Co., Ltd. (仅供内部使用)(For internal use) 拟制： Drafted by: 8042-test,ts-secpath Date 日期 2009-3-23 审核： Reviewed by: Date 日期 审核： Reviewed by: Date 日期 批准： Approved by: Date 日期 修订记录Revision Records 日期Date 修订版本Revision 描述Description 作者Author 2009-3-23 V 1.10 增加了对SR88系列路由器的支持；修改部分内容 巫继雨 目 录 1 产品简介与基本工作原理 1 1.1 产品简介 1 1.2 基本工作原理 1 2 版本配套与硬件安装 2 2.1 版本配套 2 2.2 硬件安装 2 2.3 网络连接 3 2.3.1 SecBladeII接口介绍 3 2.3.2 SecBladeII与S7500E/S9500/SR8800业务线缆连接 4 2.4 SecBladeII的管理 4 2.4.1 WEB方式管理 4 2.4.2 命令行方式管理 5 3 防火墙基础配置 6 3.1 防火墙的几个基本概念 6 3.1.1 虚拟设备 6 3.1.2 安全区域 6 3.1.3 会话 7 3.2 防火墙的基本工作流程 9 3.3 防火墙的基本配置 10 4 透明模式基本转发配置（二层转发） 12 4.1 组网需求 12 4.2 典型配置 12 4.2.1 命令行下的配置 12 4.2.2 WEB配置 13 4.3 工作流程 15 4.4 注意事项 15 5 路由模式基本转发配置（三层转发） 16 5.1 组网需求 16 5.2 实现方式 16 5.2.1 三层子接口方式 18 5.2.2 三层VLAN虚接口方式 21 6 MCE典型应用配置 25 6.1 组网需求 25 6.2 配置方法 26 6.2.1 S9500的配置 26 6.2.2 SecBlade II的配置 27 6.3 工作流程 31 7 自带GE口的业务应用 31 7.1 inline转发 31 7.1.1 组网需求 31 7.1.2 典型配置 32 7.1.3 工作流程 32 7.2 普通防火墙应用 33 8 SecBladeII的基本维护 33 8.1 版本维护 33 8.1.1 设置设备启动时加载的版本 33 8.1.2 下载版本到CF卡 33 8.1.3 重启设备 34 8.2 配置维护 34 8.2.1 配置文件组成 34 8.2.2 配置保存 34 8.2.3 配置导入 35 开局指导书Customer sites Deployment Instructions 关键词：Key words: 摘 要：Abstract: 缩略语清单：List of abbreviations: 缩略语Abbreviations 英文全名Full spelling 中文解释Chinese explanation ( 注意： 本文中的配置均以SecBladeII和S9500为例，SecBlade与S7500E系列交换机以及SR88细类路由器配合的配置类似，不单独介绍。 产品简介与基本工作原理 产品简介 H3C SecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。SecBlade 防火墙插卡采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，交换机的原有业务处理不会受到任何影响。 基本工作原理 SecBladeII插卡与交换机(路由器)通过内部10GE总线进行通信。其工作原理如下： SecBladeII与交换机的报文转发 如上图，S9500第2号槽位上接入SecBladeII，3号槽位为普通业务口，g3/0/1和g3/0/2接口运行业务，SecBladeII和S9500内部数据交互口在S9500系统上表现为int Ten-GigabitEthernet 2/1/1，在SecBladeII上表现为Ten-GigabitEthernet 0/0。 数据包的转发过程如下： 数据包通过业务板g3/0/1送给S9500； S9500通过与SecBlad