H3C 异常流量清洗系统典型配置案例-6W100-整本手册
H3C 异常流量清洗系统典型配置案例
H3C 异常流量清洗系统典型配置案例
关键词:流量清洗 摘 要:本文简单描述了 H3C 异常流量清洗系统业务的特点,并给出了异常流量清洗系统的典型应用及 基本的配置案例。 缩略语:
缩略语 DoS DDoS AFD AFC SecCenter NTCM Denial of Service Distributed Denial of Service Anomaly Flow Detector Anomaly Flow Cleaner SecCenter Network Traffic Clean Management 英文全名 拒绝服务 分布式拒绝服务 异常流量检测 异常流量清洗 SecCenter 流量清洗管理平台 中文解释
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第1页,共29页
H3C 异常流量清洗系统典型配置案例
目 录
1 特性简介 ............................................................................................................................................... 3 2 特性使用 ............................................................................................................................................... 3
2.1 配置指南............................................................................................................................................... 3 2.1.1 流量清洗业务配置指南 .............................................................................................................. 3 2.2 注意事项............................................................................................................................................... 4
3 支持的设备和版本................................................................................................................................. 4
3.1 支持的设备 ........................................................................................................................................... 4 3.2 设备版本............................................................................................................................................... 4 3.2.1 S7500E版本............................................................................................................................... 4 3.2.2 SecBlade AFD版本.................................................................................................................... 4 3.2.3 SecBlade AFC版本.................................................................................................................... 4 3.2.4 SecCenter(NTCM)版本......................................................................................................... 4 3.3 配置保存............................................................................................................................................... 5
4 配置案例 ............................................................................................................................................... 5
4.1 典型组网图 ........................................................................................................................................... 5 4.2 组网需求............................................................................................................................................... 5 4.3 流量清洗系统典型配置案例.................................................................................................................. 6 4.3.1 S7500E交换机侧的配置 ............................................................................................................ 6 4.3.2 SecBlade AFD插卡的配置......................................................................................................... 8 4.3.3 SecBlade AFC插卡的配置......................................................................................................... 9 4.3.4 管理平台(SecCenter NTCM)的配置 ...................................................................................... 11 4.3.5 测试实施及结果 ....................................................................................................................... 19 4.4 附录;镜像方式引流检测相关配置 ..................................................................................................... 28
5 相关资料 ............................................................................................................................................. 29
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第2页,共29页
H3C 异常流量清洗系统典型配置案例
1 特性简介
H3C 流量清洗系统一般通过旁挂于城域网设备,在不影响正常业务的同时,对城域网中出现的 DDoS 攻击流量进行过滤,实现对城域网和大客户网络业务的保护。 H3C 流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)及业务管理平台 (SecCenter NTCM)三部分组成。 异常流量检测设备对通过 BGP 引流、镜像或者分光的方式复制过来的用户流量,实时进行攻击检 测及异常流量分析。 异常流量清洗设备通过发布明细路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的 过滤,并把清洗后的“干净”流量回注给用户。 业务管理平台完成对异常流量检测设备、异常流量清洗设备的集中管理,并根据异常流量检测设 备上报的告警信息,通过邮件的方式通知运维人员或者用户,并可下发防御策略。另外,业务管 理平台可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。
2 特性使用
2.1 配置指南
H3C流量清洗系统功能业务的配置包括AFD、AFC板卡及S7500E交换机的基本配置,采用命令行 配置。流量清洗管理平台(SecCenter NTCM)的基本配置和业务相关配置,采用WEB界面配 置。本配置以BGP引流方式进行流量检测为例,镜像方式进行流量检测的配置请参见4.4 附录; 镜像方式引流检测相关配置。
2.1.1 流量清洗业务配置指南
S7500E 交换机和核心设备建立 BGP 邻居,将被保护 IP 的 32 位静态路由发布到核心设备实 现将流量引流到 S7500E 交换机(或者直接从核心设备镜像到 S7500E 交换机),然后镜像 给和 AFD 插卡相连的 10GE 端口,在 AFD 上配置 INLINE 转发对对流量进行学习,以生成 对应用户流量模型的各个阈值项。 AFC 和核心设备建立 BGP 邻居,将 AFC 下发的 Guard 路由发布到核心设备用来引流到 AFC 进行流量清洗,同时将清洗过的用户正常流量回注到 S7500E,并进一步回注到正常的 目的设备。 SecCenter(NTCM)管理平台配置相应保护 IP 下发到设备上,通过学习生成阈值模板或者 利用平台已有模板下发到流量检测和流量清洗设备,进行异常流量的检测和清洗。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第3页,共29页
H3C 异常流量清洗系统典型配置案例
2.2 注意事项
AFC 和 AFD 的系统时间配置必须和业务管理平台 SecCenter 的系统时间一致,都选择格林 威治时间,不然会导致业务管理平台统计显示报表数据不正确; 安装 SecCenter 的服务器的内存须大于 1.5G。
3 支持的设备和版本
3.1 支持的设备
SecBlade AFD、SecBlade AFC、S7500E 系列交换机、SecCenter(NTCM)管理平台。
3.2 设备版本
3.2.1 S7500E 版本
H3C Comware Platform Software Comware Software, Version 5.20, Release 6616P01 Comware Platform Software Version COMWAREV500R002B83D009SP01 H3C S7510E Software Version V600R006B02D083SP27 Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Oct 29 2010 16:22:06, RELEASE SOFTWARE
3.2.2 SecBlade AFD 版本
H3C Comware Platform Software Comware Software, Version 5.20, Ess 3161 Comware Platform Software Version COMWAREV500R002B76D001GUARD004 H3C SecBlade AFD Software Version V300R001B04D025 Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Mar 25 2011 11:08:24, RELEASE SOFTWARE
3.2.3 SecBlade AFC 版本
H3C Comware Platform Software Comware Software, Version 5.20, Ess 3161 Comware Platform Software Version COMWAREV500R002B76D001GUARD004 H3C SecBlade AFC Software Version V300R001B04D025 Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Mar 25 2011 11:08:24, RELEASE SOFTWARE
3.2.4 SecCenter(NTCM)版本
产品名称:H3C SecCenter 安全管理中心 版本号:2.10-T0025P05 内部版本号:9010V200R001B04D011SP05
杭州华三通信技术有限公司 https://www.sodocs.net/doc/a13091329.html, 第4页,共29页
H3C 异常流量清洗系统典型配置案例
3.3 配置保存
通过 save 命令进行保存。
4 配置案例
4.1 典型组网图
图1 流量清洗系统典型组网
4.2 组网需求
为实现对攻击被保护IP 172.17.1.7 的流量的检测和清洗,在核心设备处旁路部署一套流量清洗系 统。S7500E交换机通过 10GE接口XGE12/0/1 和核心设备的接口XGE3/1/1 连接,进行引流检 测、清洗和流量回注。在S7500E交换机上插了 1 块SecBlade AFD插卡和一块SecBlade AFC插 卡,统一管理平台SecCenter通过带外网管的方式分别和AFD、AFC以及S7500E的管理接口进行 连接,组网图如图 1所示。 具体实现如下:
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第5页,共29页
H3C 异常流量清洗系统典型配置案例
流量检测:S7500E 通过 VLAN1510 接口和核心设备建立 BPG 邻居,将 SecCenter 下发到 S7500E 的被保护 IP 的 32 位静态路由发布到核心设备,实现将流量引流到 S7500E 交换 机,然后 S7500E 交换机镜像给和 AFD 检测卡相连的 10GE 接口进行流量检测。并将流量 通过 VLAN1511 接口回注给核心设备。S7500E 发布的 BGP 路由添加 no-advertise 属性, 确保清洗中心内部的路由不会被发布到城域网;同时在 S7500E 上配置路由策略不接收核心 设备发布的路由。 流量清洗:AFC 通过 Ten0/0.102(VLAN1512)子接口和核心设备建立 BPG 邻居,将 SecCenter 下发到 AFC 的被保护 IP 的 32 位 guard 路由发布到核心设备,并使该路由的优先 级高于上面 S7500E 发布的路由,实现将流量引流到 AFC 清洗卡进行流量清洗。AFC 板卡 通过默认路由将清洗过的正常流量经过 Ten0/0.103(VLAN1513)子接口回注给 S7500E 交 换机,S7500E 交换机同样通过 VLAN1511 接口回注给核心设备。同样,AFC 发布的 BGP 路由添加 no-advertise 属性,确保清洗中心内部的路由不会被发布到城域网;同时在 AFC 上 配置路由策略不接收核心设备发布的路由。 流量重定向:核心设备上对应 S7500E 交换机的回注接口(VLAN1511 接口)上配置重定向 策略,将从 S7500E 回注到核心设备的检测流量或者清洗流量指向正确的汇聚设备,实现用 户流量的回注。
表1 VLAN 分配列表 VLAN ID 1510 1511 1512 1513 作用描述 S7500E 和核心设备建立 BGP; S7500E 引流并镜像给 AFD 检测。 S7500E 将检测流量、清洗流量回注给核心设备。 AFC 和核心设备建立 BGP; AFC 引流清洗。 AFC 将清洗后流量回注到 S7500E 设备。 IP 地址 110.1.0.0/16 111.1.0.0/16 112.1.0.0/16 113.1.0.0/16
4.3 流量清洗系统典型配置案例
4.3.1 S7500E 交换机侧的配置
# 配置引流检测 VLAN 1510、回注 VLAN 1511,并创建对应 VLAN 虚接口,配置 IP 地址。
[S75-1]vlan 1510 [S75-1-vlan1510]quit [S75-1]interface vlan 1510 [S75-1-Vlan-interface1510]ip address 110.1.1.2 255.255.0.0 [S75-1-Vlan-interface1510]quit [S75-1]interface vlan 1511 [S75-1-Vlan-interface1511]ip address 111.1.1.2 255.255.0.0
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第6页,共29页
H3C 异常流量清洗系统典型配置案例
# 配置引流清洗 VLAN 1512,接收 AFC 清洗后流量回注的 VLAN1513 及对应 VLAN 虚接口,配 置 IP 地址。
[S75-1]vlan 1512 [S75-1-vlan1512]quit [S75-1]vlan 1513 [S75-1-vlan1513]quit [S75-1]interface vlan 1513 [S75-1-Vlan-interface1513]ip address 113.1.1.1 255.255.0.0
# 创建引流检测的 QoS 流镜像策略 afd。
[S75-1]traffic classifier afd [S75-1-classifier-afd]if-match service-vlan-id 1510 [S75-1-classifier-afd]quit [S75-1]traffic behavior afd [S75-1-behavior-afd]mirror-to interface Ten-GigabitEthernet 7/0/1 [S75-1-behavior-afd]quit [S75-1]qos policy afd [S75-1-qospolicy-afd]classifier afd behavior afd //镜像给 AFD 板卡
# 配置连接 AFD 插卡的 10GE 接口属性为 Trunk 类型,允许 Trunk VLAN1510。
[S75-1]interface Ten-GigabitEthernet 7/0/1 [S75-1-Ten-GigabitEthernet7/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet7/0/1]port trunk permit vlan 1510 [S75-1-Ten-GigabitEthernet7/0/1]undo port trunk permit vlan 1
# 配置连接 AFC 插卡的 10GE 接口属性为 Trunk 类型,允许 Trunk 引流清洗 VLAN1512 及 AFC 回注到 S7500E 的 VLAN 1513。
[S75-1]interface Ten-GigabitEthernet 9/0/1 [S75-1-Ten-GigabitEthernet9/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet9/0/1]port trunk permit vlan 1512 1513 [S75-1-Ten-GigabitEthernet7/0/1]undo port trunk permit vlan 1
# 配置连接核心设备的引流及回注的 10GE 接口属性为 Trunk 类型,允许 Trunk 引流检测 VLAN1510、回注 VLAN1511 及引流清洗 VLAN1512,并应用引流检测的 QoS 流镜像策略 afd。
[S75-1]interface Ten-GigabitEthernet 12/0/1 [S75-1-Ten-GigabitEthernet12/0/1]port link-type trunk [S75-1-Ten-GigabitEthernet12/0/1]port trunk permit vlan 1510 to 1512 [S75-1-Ten-GigabitEthernet12/0/1]undo port trunk permit vlan 1 [S75-1-Ten-GigabitEthernet12/0/1]qos apply policy afd inbound
# 配置 S7500E 不接收核心设备发布的路由的 BGP 过滤策略 ACL2000。
[S75-1]acl number 2000 [S75-1-acl-basic-2000]rule deny
# 配置 S7500E 向核心设备发布路由的 BGP 路由策略 afd,配置引流检测路由的 COST 值,且配 置对端不再向外发布的属性。
[S75-1]route-policy afd permit node 10 [S75-1-route-policy]apply cost 200
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第7页,共29页
H3C 异常流量清洗系统典型配置案例
[S75-1-route-policy]apply community no-advertise
# 配置发布静态路由引流检测的 BGP 60000,并引用上述过滤策略和路由策略。
[S75-1]bgp 60000 [S75-1-bgp]import-route static [S75-1-bgp]peer 110.1.1.1 filter-policy 2000 import [S75-1-bgp]peer 110.1.1.1 route-policy afd export [S75-1-bgp]peer 110.1.1.1 as-number 60000 [S75-1-bgp]peer 110.1.1.1 advertise-community
# 配置本地 telnet 类型用户。
[S75-1]local-user h3c [S75-1-luser-h3c] password cipher h3c [S75-1-luser-h3c]authorization-attribute level 3 [S75-1-luser-h3c]service-type telnet
# 配置使能 telnet server。
[S75-1]telnet server enable
# 配置 telnet 用户接口认证模式。
[S75-1]user-interface vty0 4 [S75-1-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。
[S75-1]snmp-agent community read public [S75-1]snmp-agent community write private [S75-1]snmp-agent sys-info version all
# 配置管理接口 IP 地址。
[S75-1]interface M-Ethernet0/0/0 [S75-1-M-Ethernet0/0/0]ip address 100.0.0.11 255.255.255.0
# 配置 NTP 服务作为主时钟,以使得 AFD 和 AFC 插卡同步时钟。
[S75-1]ntp-service refclock-master 1
# 配置默认路由,以转发 AFC 反弹给攻击源的报文。
[S75-1]ip route-static 0.0.0.0 0.0.0.0 111.1.1.1
4.3.2 SecBlade AFD 插卡的配置
# 创建黑洞类型 INLINE 转发组 100。
[AFD-01]inline-interfaces 100 blackhole
# 配置 10GE 接口属性为 Trunk 类型,允许 Trunk 引流检测 VLAN1510,加入 INLINE 转发组 100,并配置启用接口对外网流量的检测功能。
[AFD-01]interface Ten-GigabitEthernet 0/0 [AFD-01-Ten-GigabitEthernet0/0]port link-type trunk [AFD-01-Ten-GigabitEthernet0/0]port trunk permit vlan 1510 [AFD-01-Ten-GigabitEthernet0/0]undo port trunk permit vlan 1 [AFD-01-Ten-GigabitEthernet0/0]port inline-interfaces 100
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第8页,共29页
H3C 异常流量清洗系统典型配置案例
[AFD-01-Ten-GigabitEthernet0/0]guard interface outbound
# 配置 AFD 检测到有被保护 IP 受到攻击即上报攻击信息功能。
[AFD-01] guard traffic threshold 0
# 使能 AFD 插卡流量检测功能,并配置流量上报的源、目的 IP 及端口。
[AFD-01]ddos netstream enable [AFD-01]ddos netstream collector 100.0.0.48 30011 [AFD-01]ddos netstream exporter 100.0.0.109 30011
# 配置本地 telnet 类型用户。
[AFD-01]local-user h3c [AFD-01-luser-h3c] password cipher h3c [AFD-01-luser-h3c]authorization-attribute level 3 [AFD-01-luser-h3c]service-type telnet
# 配置使能 telnet server。
[AFD-01]telnet server enable
# 配置 telnet 用户接口认证模式。
[AFD-01]user-interface vty0 4 [AFD-01-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。
[AFD-01]snmp-agent community read public [AFD-01]snmp-agent community write private [AFD-01]snmp-agent sys-info version all [AFD-01] snmp-agent target-host trap address udp-domain 100.0.0.48 params securityname public
# 配置管理接口 IP 地址。
[AFD-01]interface GigabitEthernet0/2 [AFD-01-GigabitEthernet0/2]ip address 100.0.0.109 255.255.255.0
# 配置 NTP 服务,以同步 S7500E 的系统时钟。
[AFD-01]ntp-service unicast-server 100.0.0.11
# 配置信息中心主机为 SecCenter,以发送信息。
[AFD-01]info-center loghost 100.0.0.48
4.3.3 SecBlade AFC 插卡的配置
# 创建引流子接口,配置 VLAN ID1512,配置 IP 地址,并启用接口外网流量清洗功能。
[AFC_01]interface Ten-GigabitEthernet 0/0.1512 [AFC_01-Ten-GigabitEthernet0/0.1512]vlan-type dot1q vid 1512 [AFC_01-Ten-GigabitEthernet0/0.1512]ip address 112.1.1.2 255.255.0.0 [AFC_01-Ten-GigabitEthernet0/0.1512]guard interface outbound
# 创建回注子接口,配置 VLAN ID1513,配置 IP 地址。
[AFC_01]interface ten0/0.1513 [AFC_01-Ten-GigabitEthernet0/0.1513]vlan-type dot1q vid 1513
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第9页,共29页
H3C 异常流量清洗系统典型配置案例
[AFC_01-Ten-GigabitEthernet0/0.1513]ip address 113.1.1.2 255.255.255.0
# 配置 AFC 不接收核心设备发布的路由的 BGP 过滤策略 ACL2000。
[AFC-01]acl number 2000 [AFC-01-acl-basic-2000]rule deny
# 配置 AFC 向核心设备发布路由的 BGP 路由策略 afc,配置引流清洗路由的 COST 值,并保证此 值小于引流检测路由的 COST 值,并且配置对端不再发布的属性。
[AFC-01]route-policy afc permit node 10 [AFC-01-route-policy]apply cost 10 [AFC-01-route-policy]apply community no-advertise
# 配置发布 guard 路由引流清洗的 BGP 60001,并引用上述过滤策略和路由策略。
[AFC_01]bgp 60001 [AFC_01-bgp]import-route guard [AFC_01-bgp]peer 112.1.1.1 as-number 60000 [AFC_01-bgp]group expeer external [AFC_01-bgp]peer expeer filter-policy 2000 import [AFC_01-bgp]peer expeer route-policy afc export [AFC_01-bgp]peer expeer advertise-community [AFC_01-bgp]peer 112.1.1.1 group expeer
# 使能 AFC 插卡流量检测功能,并配置流量上报的源、目的 IP 及端口。
[AFC-01]ddos netstream enable [AFC-01]ddos netstream collector 100.0.0.48 30011 [AFC-01]ddos netstream exporter 100.0.0.108 30011
# 配置本地 telnet 类型用户。
[AFC-01]local-user h3c [AFC-01-luser-h3c] password cipher h3c [AFC-01-luser-h3c]authorization-attribute level 3 [AFC-01-luser-h3c]service-type telnet
# 配置使能 telnet server。
[AFC-01]telnet server enable
# 配置 telnet 用户接口认证模式。
[AFC-01]user-interface vty0 4 [AFC-01-ui-vty0-4]authentication-mode scheme
# 配置 SNMP 代理相关参数。
[AFC-01]snmp-agent community read public [AFC-01]snmp-agent community write private [AFC-01]snmp-agent sys-info version all [AFC-01] snmp-agent target-host trap address udp-domain 100.0.0.48 params securityname public
# 配置管理接口 IP 地址。
[AFC-01]interface GigabitEthernet0/2
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第10页,共29页
H3C 异常流量清洗系统典型配置案例
[AFC-01-GigabitEthernet0/2]ip address 100.0.0.108 255.255.255.0
# 配置 NTP 服务,以同步 S7500E 的系统时钟。
[AFC-01]ntp-service unicast-server 100.0.0.11
# 配置信息中心主机为 SecCenter,以发送信息。
[AFC-01]info-center loghost 100.0.0.48
# 配置将回注流量转发到 S7500E 的默认路由。
[S75-1]ip route-static 0.0.0.0 0.0.0.0 113.1.1.1
# 配置核心设备引流接口 IP 的静态 ARP。
[AFC_01]arp static 112.1.1.1 000f-e27c-41f3
4.3.4 管理平台(SecCenter NTCM)的配置
设备上相关配置均完成,SecCenter 系统安装并成功启动后,才能登录 SecCenter 管理平台进行 设备添加、保护 IP 添加等相关操作。
1. 系统管理配置 # 首先要启动 SecCenter 服务,保证 SecCenter 服务管理器中的三种服务均成功启动。
图2 启动 SecCenter 服务
# 输入地址例如http://100.0.0.48/SecCenter,进入SecCenter的web登录界面。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第11页,共29页
H3C 异常流量清洗系统典型配置案例 图3 进入 SecCenter 的 Web 登录界面
# 输入初始用户名和密码(admin/admin123),登录后需更改初始密码。
图4 输入登录用户名和密码
# 导入 License 文件,浏览定位到正确的 License 文件后,确认导入。
图5 导入 License 文件
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第12页,共29页
H3C 异常流量清洗系统典型配置案例
# 添加设备,先添加设备访问模板(设备访问参数不同时,则需要分别手工填写),然后添加 S7500E、AFD、AFC 设备即可。设备添加无先后顺序要求。 选择“系统管理-〉设备管理-〉设备访问模板管理-〉增加模板”,进入添加模板界面,填写 模板 h3c 的相关参数后,确认添加。
图6 添加模板
进入“系统管理-〉设备管理-〉添加设备”,填写或选择相应参数,点击<添加>按钮,即可添 加要监控的设备,页面如下:
图7 添加设备
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第13页,共29页
H3C 异常流量清洗系统典型配置案例
这里的“设备主机名或 IP 地址”为设备管理接口的 IP 地址,“设备标签”可自己定义。“时间矫 正”选取“以格林威治时钟处理”。3 款设备添加完成后,设备列表显示如下。
图8 设备列表
2. 流量清洗业务配置管理 # 添加清洗中心。 进入“流量清洗业务管理-〉清洗中心管理-〉添加清洗中心”,填写“清洗中心名称”及描述 后,点击 添加防御设备和清洗设备。
图9 添加清洗中心
选择 AFC+S7510E,点击<确定>按钮。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第14页,共29页
H3C 异常流量清洗系统典型配置案例 图10 选择防御设备
选择 AFD+S7510E,点击<确定>按钮。
图11 选择检测设备
最后点击<添加>,即可添加“7510E+AFD+AFC”清洗中心。
图12 清洗中心显示信息
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第15页,共29页
H3C 异常流量清洗系统典型配置案例
清洗中心列表界面如下。
图13 清洗中心列表
# 添加回注路径。 选择“流量清洗业务管理-〉回注路径管理-〉添加”,输入路由名称,选择清洗中心,输入下 一跳地址,点击<添加>按钮。
图14 添加路由
添加成功后列表界面如下。
图15 添加路由成功后的显示信息
# 添加用户。 进入“流量清洗业务管理-〉清洗用户管理-〉添加用户”,填写用户信息,选择所属区域后, 点击<添加>按钮。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第16页,共29页
H3C 异常流量清洗系统典型配置案例 图16 添加用户
添加成功,用户列表如下。
图17 用户列表
# 添加业务。 在用户列表界面中,点击“业务管理”图标
图18 业务列表
,进入业务列表,点击<添加业务>。
清洗业务添加界面如下。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第17页,共29页
H3C 异常流量清洗系统典型配置案例 图19 清洗业务添加界面
依次填写或选择各项后,点击<添加>按钮。
图20 填写相关信息
添加成功,业务列表如下。
杭州华三通信技术有限公司 https://www.sodocs.net/doc/a13091329.html, 第18页,共29页
H3C 异常流量清洗系统典型配置案例 图21 添加业务成功的显示界面
每点击一次<添加>按钮最多可添加 256 个同一网段的防护 IP。 回注路径是指从 S7500E 回注到核心设备上的路由,因为有主备两个核心设备的组网需求,所 以可以选择添加两个回注路径,一个为主一个为备,供添加清洗业务时选择。 防御策略和检测策略也可以选择 SecCenter 已有的不同带宽类型的模板,添加业务后各保护 IP 直接为检测状态,可对流量进行检测和引流清洗。
至此,SecCenter 管理平台业务的基本配置已经完成,SecCenter 会自动下发各保护 IP 到 AFD 和 AFC 插卡进行流量学习,并同时下发各个保护 IP 的 32 位静态路由到 S7500E 上,形如:ip route-static 172.17.1.7 255.255.255.255 111.1.1.1 description sc-purify-main , S7500E 通 过 BGP 协议将该静态路由下发到核心设备上进行引流检测。 后续,用户可以根据各保护 IP 学习到的流量峰值生成阈值,进行流量检测和流量清洗。
4.3.5 测试实施及结果
1. 流量检测功能 # 正常流量峰值学习。 客户端 PC(IP 为 201.0.0.3)利用客户端模拟软件模拟多个客户端访问保护服务器(IP 为 172.17.1.7)。 选择“清洗用户管理-〉业务管理-〉防护 IP 管理”,点击保护 IP 172.17.1.7 对应检测设备的链 接,如下。
图22 进入业务列表页面
进入阈值列表页面,可以看到检测设备上根据客户流量学习生成对应峰值统计。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第19页,共29页
H3C 异常流量清洗系统典型配置案例 图23 峰值统计信息
# 阈值模型生成下发。 在上图阈值列表页面中,点击
图24 进入阈值调整界面
进入阈值调整界面。
在“依据当前峰值”选项中点击选择“5 倍峰值”后,则生成各项的阈值。
杭州华三通信技术有限公司
https://www.sodocs.net/doc/a13091329.html,
第20页,共29页
H3C S5600系列交换机典型配置举例
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
H3C路由器配置实例
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
ict企业网关h3c路由器配置实例
ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable
# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11
h3c路由器典型配置案例
version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp
interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]
[史上最详细]H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
H3C-MSR系列路由器IPsec典型配置举例(V7)
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。
3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址 # 配置接口GigabitEthernet2/0/1的IP地址。
H3C路由器配置实例
ip http enable 开启WEB 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤: 设备和版本:MSR系列、version 5.20, R1508P02
最新H3C单臂路由配置实例
H3C单臂路由配置 H3c交换机配置
第一章 PLC的硬件与工作原理 5、手持式编程器可以为PLC编写语句表方式的程序。 6、PLC一般能(能,不能)为外部传感器提供24V直流电源。 7、PLC的输出接口类型有继电器,晶闸管与场效应晶体管。 8、PLC的软件系统可分为系统程序和用户程序两大部分。 10、PLC采用_循环扫描_工作方式,其过程可分为五个阶段:_自诊断检查__, 通信处理,输入采样,_执行用户程序_和_输出改写_,称为一个扫描周期。
H3C路由器静态路由配置综合实例
静态路由配置案例。 路由器A配置: [routeA]interface e0 [routeA-e0]ip address 192.168.0.1 255.255.255.0 [routeA]interface s0 [routeA-s0]ip address 192.168.1.1 255.255.255.0 [routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.3.0 255.255.255.0 192.168.1. 2 preference 60 [设置静态路由,优先级为60] 路由器B配置: [routeB]interface e0 [routeB-e0]ip address 192.168.3.1 255.255.255.0 [routeB]interface s0 [routeB-s0]ip address 192.168.2.1 255.255.255.0
[routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.0.0 255.255.255.0 192.168.1. 1 preference 60 [设置静态路由,优先级为60] 使用默认路由配置: 缺省路由也是一种静态路由.简单地说,缺省路由就是在没有找到任保匹配置的路由项情况下,才使用的路由.即只有当无任何合适的路由时,缺省路由才被使用. [rotueA]ip route-statci 0.0.0.0 0.0.0.0 s0 preference 60 『注意』 上面命令中用到了Serial 0,接口的名字,如串口封装PPP 或HDLC协议,这时可以不用指定下一跳地址,只需指定发送接口即可。对于以太口,Serial口封装了非点到点协议比如fr、x25等,必须配置下一跳的ip地址。
史上最详细H3C路由器NAT典型配置案例
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求 ·某公司内网使用的IP地址为。 ·该公司拥有和两个外网IP地址。 需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。 2. 组网图
H3C PPP和PPPoE配置举例
1.5 PPP典型配置举例 1.5.1 PAP单向认证举例 1. 组网需求 如图1-3所示,Router A和Router B之间用接口Serial2/1/0互连,要求Router A 用PAP方式认证Router B,Router B不需要对Router A进行认证。 2. 组网图 图1-3 配置PAP单向认证组网图 3. 配置步骤 (1) 配置Router A # 为Router B创建本地用户。
h3cf100-配置实例
网络环境:固定IP,光钎接入。 硬件环境:IbmX3650M3一台(OA),双网卡,一台H3C F100-A防火墙一台。 客户需求:要求内部网络通过防火墙访问外网,外网客户端通过防火墙能够访问内部OA服务器。 实施步骤:服务器做好系统并把数据库调试好。 防火墙的调试,通过串口线连接本子PC和防火墙,用超级终端。可用2种调试方法。Web 界面的调试和命令行的调试。 先是第一种方法。具体操作如下: 1》因为机器默认是没有ip和用户名和密码的,所以就需要超级终端通过命令行来给机器配置,操作如下:因为机器本身带一条console口的串口线,把另一端连接到带串口的笔记本上,因为有的本子没有9针的串口,所以最好买一条九针转U口的,连到笔记本的U口上面,接下来就是打串口的驱动了,在网上下个万能的串口驱动也是能用的(附件里有自己用的一个驱动),连接好以后,把防火墙通上电。 2》在本子上点击开始-程序-附件-通讯-超级终端,打开后是新建连接,在名称里输入comm1,选第一个图标,点击确定,在连接时使用的下拉菜单中选直接连接到串口1,点击确定,然后 在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位 为1,流量控制为无,按[确定]按钮,返回超级终端窗口。 接下来配置 超级终端属性 在超级终端中选择[属性/设置]一项,进入图4-5所示的属性设置窗口。选择 终端仿真类型为VT100或自动检测,按[确定]按钮,返回超级终端窗口。 连通后在超级终端里会显示防火墙的信息。 机子会提示你 Ctrl+B
你不用管,这是进ROOT菜单的。 接下来就要为防火墙配置管理IP,用户名和密码了 配置有2种模式,一般情况下用路由模式,先配置IP 为使防火墙可以与其它网络设备互通,必须先将相应接口加入到某一安全区域中,且将缺省的过滤行为设置为允许,并为接口(以GigabitEthernet0/0 为例)这是lan0的接口,配置IP地址。 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C-zone-trust] quit [H3C] firewall packet-filter default permit [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address Lan0口配置的ip是接下来就为本机PC配置ip,因为接的是LAN0口,所以把ip配置成,配置好后在 本子上运行CMD,PING 通后,接下来就是为防火墙配置用户名和密码 例如:建立一个用户名和密码都为admin,帐户类型为telnet,权限等级为3的 管理员用户,运行下面的命令: [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 配置好后从调试本子的IE中,敲入,回车 就进入WEB界面,敲入admin后就进入WEB的配置管理界面。 假设
史上最详细H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,您懂的。 1、11 NAT典型配置举例 1、11、1 内网用户通过NAT地址访问外网(静态地址转换) 1、组网需求 内部网络用户10、110、10、8/24使用外网地址202、38、1、100访问Internet。 2、组网图 图1-5 静态地址转换典型配置组网图 3、配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10、110、10、8到外网地址202、38、1、100之间的一对一静态地址转换映射。
相关文档
- 史上最详细H3C路由器NAT典型配置案例
- H3C IPv6 静态路由配置
- [史上最详细]H3C路由器NAT典型配置案例
- H3C路由器配置实例
- H3C路由器配置实例
- [史上最详细]H3C路由器NAT典型配置案例.pptx
- ict企业网关h3c路由器配置实例
- H3C路由器ADSL路由器配置实例
- H3C华为路由器配置实例
- 史上最详细H3C路由器NAT典型配置案例
- H3C路由器配置实例
- H3C MSR系列路由器policy-route典型配置案例
- H3C路由器配置模版
- H3C路由器配置实例
- H3C路由器静态路由配置综合实例
- [史上最详细]H3C路由器NAT典型配置案例
- H3C路由器开启web
- H3C路由器配置实例.pdf
- 最新H3C单臂路由配置实例
- H3C单臂路由配置实例