hcsecblade混合插卡组网培训.pptVIP

常见问题(续) 混插组网情况下，实施顺序是怎么样的？ 由于属于“没有转发能力”的插卡，属于透明模式部署，不会对现有组网在路由上造成影响，因此可以在实施完成防护墙等类型的板卡后，网络连通性测试已经通过后，再来部署插卡。 第九十一页，共九十五页。 常见问题(续) 和混插的情况下，谁放在外面？ 1，在做的情况下，插卡放在防火墙的里面。如果插卡放在外面，报文经过板卡后，已经无法区分内部的地址，对于行为审计和控制都是个问题。 2，如果没有做，则插卡放在外面和里面均可以，但建议放在外面。因为经过的二三层转发后，插卡仍然可以看做单独部署，只是内部域接口变成了连接防火墙的10接口而已。 第九十二页，共九十五页。 常见问题(续) 各种设备如何开局？ (技术支持文件)/19-安全产品系列资料/01-安全产品/19-安全板卡专栏/01-开局指导书/ 第九十三页，共九十五页。 流量走向—上行(续) Slot2 Slot4 Slot3 8/0/1 上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联接口) ，通过20转发到防火墙后，从防火墙子接口0/0.20进，由子接口0/0.30出，在S7500E上30内二层转发到相应接口，从而连接。 第五十九页，共九十五页。 流量走向—下行 下行流量通过30进入防火墙，防火墙查找内网路由，通过0/0.20子接口在20内转发给S7500E。 Slot2 Slot4 Slot3 8/0/1 第六十页，共九十五页。 流量走向—下行(续) 经过防火墙三层转发处理后返回给S7500E的流量，带有20的，入接口信息为2/0/1，此时的流量信息匹配插卡外部域，因此流量将被重定向到插卡，根据对应段关联策略对流量进行处理。 下行流量经过插卡处理后仍然带20 ，入接口信息为2/0/1。由于插卡上安全区域设置为级联模式，仅匹配流量的 20，因此将该流量会被引到插卡内联口，随后按相应段关联策略进行处理。处理后流量返回给S75E，S75E进行正常内部转发。 Slot2 Slot4 Slot3 8/0/1 第六十一页，共九十五页。 S95E 混插组网 S95E不支持的级联组网，所以不能直接采用直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是，此方式和组网没有本质区别。 第六十二页，共九十五页。 S95E配置 三层转发相关配置 # 配置上行流量（内网到外网）入接口 11 11.0.0.1 255.0.0.0 7/0/10 11 # 20配置三层虚接口，用于S95E和插卡通信 20 20.0.0.2 255.0.0.0 # 配置上行流量（内网到外网）出接口 7/0/9 30 # 防火墙内联接口配置 3/0/1 1 20 30 # 配置路由使上行流量转发到 30.0.0.0 255.0.0.0 20.0.0.1 相关配置： # 配置内联接口所属（此 4094只为管理用，对流量转发不起作用）。 4094 100.0.0.1 255.255.255.0 # 配置内联接口（插卡内联口）。 2/0/1 0 # 配置内联接口（插卡内联口）。 6/0/1 0 # 配置3参数 第六十三页，共九十五页。 插卡配置 配置 配置安全区域 第六十四页，共九十五页。 插卡配置 # 防火墙上行流量（内网到外网）入口 0/0.20 1q 20 20.0.0.1 255.0.0.0 # 防火墙上行流量（内网到外网）出口 0/0.30 1q 30 30.0.0.1 255.0.0.0 # 下行流量路由配置，将下行流量转发给S9500E 11.0.0.0 255.0.0.0 20.0.0.2 第六十五页，共九十五页。 插卡配置 配置 配置安全区域 第六十六页，共九十五页。 流量走向—上行 11的用户流量进入7/0/10后，匹配内部域，流量被重定向到插卡。流量经过处理后返回给S95E，终结在 11上。 S95E查找去往的路由，从接口20发送到防火墙插卡上，防火墙从0/0.20接收报文，通过查找路由，在接口0/0.30回送给S95E。 S95E通过 30在3/0/1收到防火墙处理后的流量，匹配插卡内部域30，流量被重定向到插卡处理，处理后的流量返回给S95E，S95E在 30内二层转发。 第六十七页，共九十五页。 流量走向—下行 30的下行流量进入7/0/9接口，匹配外部域，流量被重定向到插卡上，处理后的流量返回给S95E。 30的流量通过3/0/1转发给防火墙插卡，终结在0/0.30子接