hcsecblade混合插卡组网培训

,92,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,82,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,H3C 混合插卡组网,安全产品组 巫继雨,日期：11/13/2019,密级：,杭州华三通信技术有限公司,1、插卡硬件外观和软件适配,2、插卡基本概念和工作方式,3、 插卡混插方案,4、 插卡混插方案,5、常见问题,硬件外观,接口,1个接口,1个卡接口，支持容量为256M、512M、1G的卡,2个接口（预留）,2个10/100/1000电接口,2个千兆（光电复合）接口,后插板10接口,卡,2电口,2,2 2内存,卡,注：灰色标记部分为S5800插卡数据,H3C业务插卡配套关系,插卡,产品,88,66,S95E,S95,S75E,S58,插卡类型,插卡式的H3C 系列单板类型：,12A1 适用于H3C S9500E 防火墙业务板,12A1 适用于H3C S9500 防火墙业务板,10 适用于H3C S7500E 防火墙业务板模块,110 适用于H3C S5800 系列防火墙模块,3 适用于H3C 6600 千兆防火墙业务板模块,适用于H3C 8800防火墙业务处理板,插卡式的H3C 系列单板类型：,10 适用于H3C S7500千兆负载均衡业务模块,11A1 适用于H3C S9500负载均衡业务板,11A1 适用于H3C S9500-负载均衡业务板,110 适用于H3C S5800负载均衡业务板,插卡类型-续1,插卡式的H3C 系列单板类型：,110 适用于H3C S58005820X系列交换机；,10 适用于H3C S7500E系列以太网交换机；,11A0 适用于H3C S9500系列以太网交换机；,11A1 适用于H3C S9500E系列以太网交换机。,插卡式的H3C 系列单板类型：,10 适用于H3C S7500E系列以太网交换机；,11A0 适用于H3C S9500系列以太网交换机；,11A1 适用于H3C S9500E系列以太网交换机。,插卡类型-续2,插卡式的H3C 系列单板类型：,10适用于H3C S7500 业务模块,11A1适用于H3C S9500 业务板模块,3适用于H3C 6600 模块,插卡式的H3C 系列单板类型：,10适用于H3C S7500E 业务板,11A1适用于H3C S9500E 业务板,110适用于H3C S5800系列业务板,使用版本,产品配套项目,版本号（对外）,说明,主控板软件,1102107,内部版本,9011V200R001B01D105,升级后,V108,200,75E配套版本,S75005206307L03,95配套版本,S95003101646,95E配套版本,S95005201136,版本,V2.100022,3.202602 + P04,插卡可以在部门相应目录:,(新内部版本归档)/02安全产品获取的最新版本开局版本，每个插卡版本都会附带版本配套表，里面会列出和母体配套的版本，请在实施时获取。,1、插卡硬件外观和软件适配,2、插卡基本概念和工作方式,3、 插卡混插方案,4、 插卡混插方案,5、常见问题,01 插卡,防火墙插卡是我司防火墙的旗舰级产品，其硬件上采用了多核技术，处理核心是目前处理能力最强大的嵌入式处理器之一的力作 732。高端防火墙的软件，采用了我司最新的 V5平台(V5R2)，配合精心构架的底层驱动，能够充分地发挥多核的优势。,防火墙部署透明模式,板,板,1,4,6,7,10,12,3,5,8,2,11,10,10,100,100,101,101,1.1.1.1,交换,处理,200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:二层转发,7-8:二层转发,8-9:三层转发,9-12:二层转发,出方向：,12-9:二层转发,9-8:三层转发,8-7:二层转发,7-6:二层转发,6-1:二层转发,1000,200,2.2.2.1,200,9,100,2-2-2方式,背板,防火墙部署三层转发,板,板,1,4,6,7,10,12,3,5,8,2,11,10,10,100,100,200,交换,处理,200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:三层转发,7-12:二层转发,出方向：,12-7:二层转发,7-6:三层转发,61:二层转发,200,2.2.2.1,200,9,100,1.1.1.1,100,2-3-2方式,背板,防火墙部署三层转发2,板,板,1,4,6,7,10,12,3,5,8,2,11,10,10,100,100,101,101,172.16.1.2/30,交换,处理,200,1.1.1.2,2.2.2.2,入方向：,1-6:二层转发,6-7:三层转发,7-8:二层转发,8-9:三层转发,9-12:二层转发,出方向：,12-9:二层转发,9-8:三层转发,8-7:二层转发,7-6:三层转发,6-1：二层转发,1000,200,2.2.2.1,200,9,101,172.16.1.1/30,100,1.1.1.1,100,也是2-3-2方式,这是什么方式？,背板,有没有这种方式,板,板,1,4,6,7,10,12,3,5,8,2,11,10,10,100,100,101,101,172.16.1.2/30,交换,处理,200,1.1.1.2,2.2.2.2,1000,200,2.2.2.1,200,9,101,172.16.1.1/30,100,172.16.0.1/30,100,100,172.16.0.2/30,答案：这个一般真没有！,02 插卡,包头,内部网络,防火墙,协议,数据内容,Internet,（ ，入侵防御系统），是一种基于应用层、主动防御的产品，它以在线方式部署于网络关键路径，通过对数据报文的深度检测，实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。,03 插卡,H3C （ ）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户行为进行深入分析，可以帮助用户全面了解网络应用模型和流量趋势，为开展各项业务提供数据支撑。,H3C 系列包括 2000、 88003和应用于H3C S759595E系列交换机的 模块。,对用户上网行为进行深入分析，识别出相关应用,采取阻断、限流、干扰、过滤、警告等控制手段,通过采集相关访问信息，实现事后行为审计,行为识别,行为控制,行为审计,实现目标,部署概念(1),安全区域和段,安全区域是一个物理/网络上的概念（特定的物理端口 + ）,段可以看作是连接两个安全区域的一个透明网桥,策略被应用在特定的段上。 段 + 策略 + 网络配置 (地址、方向),部署概念(2),特征、规则和策略,特征定义了一组检测因子来决定如何对当前网络中的流量进行检测,规则的范畴比特征要广。规则 = 特征 + 启用状态 + 动作集,策略是一个包含了多条规则的集合,动作和动作集,安全区域、段和策略的关系,-,A,B,部署概念(3),插卡工作方式,插卡与交换机背板相连，有两种工作方式：、方式。,、 、都工作在方式下，而和插卡则工作在方式下, 方式下的插卡，可以通过二、三层转发接收报文。方式下的插卡只能通过重定向转发接收报文。,重定向报文的两种方法：和重定向。其中，是我司自主开发的开放应用框架协议，S759558都采用的方式和母体互联；而重定向是S95上板卡的工作方式，S95通过重定向的方式将报文送到插卡处理。,基本流程图,插卡,交换机重定向报文的方向性,交换机只能对入方向的报文进行重定向。入方向，是指报文相对与交换机背板而言。,配置举例：单块插卡三层转发应用场景,2,172.16.160.250 255.255.255.0,1001,172.16.161.30 255.255.255.224,1002,172.16.161.62 255.255.255.224,1003,172.16.164.1 255.255.255.0,01 S9500E 相关配置,# 配置主控板的风格为（需要重启）,# 使能 和 功能。,# 配置内联接口所属,100,100.100.100.1 255.255.255.0,S9500E相关配置,配置内联接口，假设插卡位于S9500E的3号槽位，则交换机上对应内联口为3/0/1：,3/0/1,0,S9500E相关配置,配置3参数，这里配置为3用户，不认证不加密方式：,800063A20300E0960801,v3 v3,v3 v3 v3,用户名v3在插卡上配置时会用到,插卡相关配置,配置，确认连通性测试成功,插卡相关配置,创建安全区域，按照实际需求将相应接口加入安全区域。启用模式后，母体所有的接口在插卡上都是可见的。,域应用模式选用【常规】模式，目前仅S75E支持【级联】模式，既支持多块插卡的组网。,对于单块插卡的配置，内、外部域选择流量上下行接口即可,02 S7500E相关配置,# 配置主控板的风格为（需要重启）,# 配置交换机主控板的流量转发模式为（需要重启）,l2,# 使能 和 功能。,# 配置内联接口所属,100,100.100.100.1 255.255.255.0,S7500E相关配置,配置内联接口。假设插卡位于S9500E的2号槽位，则交换机上对应内联口为2/0/1：,2/0/1,100,参数配置同前面S95E配置。,03 S5800相关配置,# 使能。,# 配置管理。,100,100.100.100.1 255.255.252.0,# 内联口配置（仅配置为口即可）。,1/2/1,100,# 参数设置同前。,单块插卡重定向工作方式,（1）流入交换机某个端口的所有报文。,（2）将需要或者分析、管理的流量重定向或者镜像到插卡上。,（3）将入口进入的其他流量正常转发。,（4）交换机将报文重定向到插卡。,（5）通过10通道，将流量传入插卡。,（6）插卡处理完毕，将报文送回给交换机。,（7）交换机再进行正常的转发处理。,重定向配置举例,1连接在95的e2/1/1端口，模拟内网（80）用户。,2连接在95的e2/1/5端口，模拟外网（60）应用。,插卡通过10端口g3/1/1与95连接，作为95的插卡，承载功能。,80,60,S9500相关配置,#定义重定向策略,在接口e2/1/1和e2/1/5入方向上配置重定向策略：内网接口将所有三层转发的报文重定向到插卡；外网接口将目的为内网 的三层报文重定向到插卡。,#,3000,1,3001,1 192.168.0.0 0.0.0.255,#,2/1/1,80,3000 3/1/1 80,#,2/1/5,60,3001 3/1/1 60,S9500相关配置,#配置内联接口,#,3/1/1,0,#,#内网接口上过滤和二层转发报文,#,4000,1,0,#,3/1/1,4000,插卡配置,#配置安全域,#配置段和段策略,1、插卡硬件外观和软件适配,2、插卡基本概念和工作方式,3、 插卡混插方案,4、 插卡混插方案,5、常见问题,插卡三层转发混插方案 1,内网用户依次经过 和插卡进行流量分析，访问外网 。 位于一号槽位，而位于二号槽位。,防火墙上配置两个子接口0/0.2和0/0.9。S9500E上配置 9并设置三层虚接口与防火墙0/0.9通信。内网的上行流量通过配置默认路由，从防火墙的0/0.9接口进，经处理后从0/0.2子接口出，然后经到。,插卡在外面,0/0.9,0/0.2,S95E相关配置,#配置防火墙10口,1/0/1,1 4 9 10 30 40 50 60 70,#配置S9500E连接内网用户的接口,0/0/1,110,110,10.11.1.1 255.255.255.0,#配置S9500E连接的出接口,0/0/32,2,#在S9500E的9上配置三层虚接口，用于交换机与防火墙通信,9,10.253.1.2 255.255.255.0,#默认路由指向板卡,0.0.0.0 0.0.0.0 10.253.1.1,S95E相关配置,# 配置主控板的风格为。,# 使能 和 功能。,# 配置内联接口所属,1000,10.254.1.2 255.255.255.0,S95E相关配置,# 配置内联接口,2/0/1,0,# 配置3参数，,相关配置,配置防火墙上行流量出口（下行流量入口）,0/0.2,1q 2,192.168.20.133 255.255.252.0,配置防火墙上行流量入口（下行流量出口）,0/0.9,T09500,1q 9,10.253.1.1 255.255.255.0,配置下行流量路由，将下行流量转发给S9500E相应出接口,10.0.0.0 255.0.0.0 10.253.1.2,插卡相关配置,配置，确认连通性测试成功,插卡相关配置,因为流量是先经过防火墙，再到插卡，所以的内部域接口为防火墙的10口。由于经防火墙处理后的流量带2 ，因此，内部区域指定 为防火墙出方向的 2。外部域接口为S9500E连外网的出口。,插卡三层转发混插方案 2,内网用户依次经过插卡和 进行流量统计分析，访问外网。,防火墙上配置两个子接口，0/0.20和0/0.30。S9500E上配置 20并设置三层虚接口与防火墙通信。上行流量会经重定向到，处理后按路由配置从0/0.20子接口进入防火墙处理，再从0/0.30子接口出，最后到。,插卡在里面,0/0.20,0/0.30,S95E相关配置,#配置防火墙的10口,2/0/1,1 4 9 10 30 40 50 60 70,#配置S9500E内网入接口,7/0/1,10,10,10.0.0.1 255.0.0.0,9500E上20配置三层虚接口，用于交换机与防火墙通信,20,20.0.0.2 255.0.0.0,0.0.0.0 0.0.0.0 20.0.0.1,插卡相关配置,因为流量是先经过，再到防火墙。所以的内部域接口为S9500E连内部网络的接口，外部域接口为防火墙的10口， 为防火墙入方向的,相关配置,# 配置防火墙上行流量入口。,0/0.20,1q 20,20.0.0.1 255.0.0.0,# 配置防火墙上行流量出口。,0/0.30,1q 30,30.0.0.1 255.0.0.0,# 配置下行流量路由，将下行流量转发给S9500E，会根据策略重定向到插卡继续处理。,10.0.0.0 255.0.0.0 20.0.0.2,1、插卡硬件外观和软件适配,2、插卡基本概念和工作方式,3、 插卡混插方案,4、 插卡混插方案,5、常见问题,域应用模式,在插卡安全区域配置中，域应用模式分为【常规】和【级联】两种。选择【级联】域应用模式，可以实现插卡混插组网下流量级联处理，即实现业务流量依次经过 和 按相应段策略进行处理。,【举例】：如果流量经过插卡的顺序为：，则的内部域应该为常规模式，外部域为级联模式，而的内部域为级联模式，外部域为常规模式。,域应用模式区别,常规模式：,（1）若安全域中没有指定 ，则精确匹配接口；,（2）若安全域中指定了 ，则精确匹配接口和。,级联模式,当报文携带的为有效值时，只匹配报文的。,【注意】：仅有S75E系列交换机支持插卡的级联模式。,S75E 混插组网,用户网络中配置三个内网接口，属于三个不同，每个内网接口的流量都要重定向到插卡上，上行流量依次经过 、 以及 按配置策略进行处理；一个外网接口，属于单独。,Slot2,Slot4,Slot3,S7500E配置,#将内网用户接口加入指定，并在内网配置三层转发。,10,10.0.0.1 255.0.0.0,8/0/1,10,#访问外网接口加入30。,8/0/3,30,7500E内网20上配置三层接口，用于连接防火墙子接口0/0.20。,20,20.0.0.2 255.0.0.0,#配置路由，实现流量三层转发到防火墙。,30.0.0.0 255.0.0.0 20.0.0.1,S7500E 配置,l2,# 配置内联接口所属（此 100只为管理用，对流量转发不起作用）,100,100.100.100.1 255.255.255.0,# 配置内联接口,3/0/1,100,# 配置3参数，这里配置为3用户，不认证不加密方式,插卡,登陆：系统管理设置页面，配置，确s连通性测试成功。,将内网用户接口加入 内部区域，指定10、40和50，选择【常规】模式；将 内联口4/0/1加入到外部区域，指定20，选择【级联】模式,插卡,将 内联口3/0/1加入内部区域，指定10、40和50，并配置为【级联】模式；将防火墙内联口2/0/1加入外部区域中，指定20 。,防火墙配置,#防火墙连接内网子接口配置,0/0.20,20.0.0.1 255.0.0.0,1q 20,0/0.30,30.0.0.1 255.0.0.0,1q 30,#下行流量转发路由,10.0.0.0 255.0.0.0 20.0.0.2,上将0/0.20和0/0.30加入安全区域,流量走向上行,如左图所示，8/0/1连接内网1用户，属于10。当有流量经过该接口访问外网时，插卡以“接口”方式精确匹配，检查该流量匹配安全区域，便将流量引入插卡内联口3/0/1，根据所属段上关联策略处理流量。,Slot2,Slot4,Slot3,8/0/1,处理后流量返回到ACG插卡内联口依旧带有VLAN10 Tag，入接口信息为GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置为级联模式，仅匹配流量VLAN ID，因此该流量匹配IPS插卡安全区域Lan_IPS，因此流量将被继续重定向到IPS插卡内联口进行处理。,流量走向上行(续),Slot2,Slot4,Slot3,8/0/1,上行流量按S7500E上配置路由(一般为默认路由，指向防火墙和交换机的互联接口) ，通过20转发到防火墙后，从防火墙子接口0/0.20进，由子接口0/0.30出，在S7500E上30内二层转发到相应接口，从而连接。,流量走向下行,下行流量通过30进入防火墙，防火墙查找内网路由，通过0/0.20子接口在20内转发给S7500E。,Slot2,Slot4,Slot3,8/0/1,流量走向下行(续),经过防火墙三层转发处理后返回给S7500E的流量，带有20的，入接口信息为2/0/1，此时的流量信息匹配插卡外部域，因此流量将被重定向到插卡，根据对应段关联策略对流量进行处理。,下行流量经过插卡处理后仍然带20 ，入接口信息为2/0/1。由于插卡上安全区域设置为级联模式，仅匹配流量的 20，因此将该流量会被引到插卡内联口，随后按相应段关联策略进行处理。处理后流量返回给S75E，S75E进行正常内部转发。,Slot2,Slot4,Slot3,8/0/1,S95E 混插组网,S95E不支持的级联组网，所以不能直接采用直接对联的混插方式，而中间应该插入一台具有三层转发能力的板卡，因此可以采用的方式是，此方式和组网没有本质区别。,S95E配置,三层转发相关配置,# 配置上行流量（内网到外网）入接口,11,11.0.0.1 255.0.0.0,7/0/10,11,# 20配置三层虚接口，用于S95E和插卡通信,20,20.0.0.2 255.0.0.0,# 配置上行流量（内网到外网）出接口,7/0/9,30,# 防火墙内联接口配置,3/0/1,1 20 30,# 配置路由使上行流量转发到,30.0.0.0 255.0.0.0 20.0.0.1,相关配置：,# 配置内联接口所属（此 4094只为管理用，对流量转发不起作用）。,4094,100.0.0.1 255.255.255.0,# 配置内联接口（插卡内联口）。,2/0/1,0,# 配置内联接口（插卡内联口）。,6/0/1,0,# 配置3参数,插卡配置,配置,配置安全区域,插卡配置,# 防火墙上行流量（内网到外网）入口,0/0.20,1q 20,20.0.0.1 255.0.0.0,# 防火墙上行流量（内网到外网）出口,0/0.30,1q 30,30.0.0.1 255.0.0.0,# 下行流量路由配置，将下行流量转发给S9500E,11.0.0.0 255.0.0.0 20.0.0.2,插卡配置,配置,配置安全区域,流量走向上行,11的用户流量进入7/0/10后，匹配内部域，流量被重定向到插卡。流量经过处理后返回给S95E，终结在 11上。,S95E查找去往的路由，从接口20发送到防火墙插卡上，防火墙从0/0.20接收报文，通过查找路由，在接口0/0.30回送给S95E。,S95E通过 30在3/0/1收到防火墙处理后的流量，匹配插卡内部域30，流量被重定向到插卡处理，处理后的流量返回给S95E，S95E在 30内二层转发。,流量走向下行,30的下行流量进入7/0/9接口，匹配外部域，流量被重定向到插卡上，处理后的流量返回给S95E。,30的流量通过3/0/1转发给防火墙插卡，终结在0/0.30子接口上。防护墙查找去往内网的路由，通过0/0.20子接口转发给S95E。,S95E通过3/0/1收到防火墙处理的报文，且报文携带20的，匹配的外部域20，流量被重定向到插卡上。,经过处理的流量返回S75E，终结在 20上。然后S95E查找路由，转发到11内，通过二层转发给客户端。,S95 混插组网,S95混插和S75E混插区别：,S75E混插时，插卡分为常规和级联模式，而S95混插则没有这两个模式。,S95不支持方式，只能使用重定向将流量上送插卡。在S95 插卡安全区域里只显示插卡的10口一个接口，插卡的上下行方向只能通过 来区分。,组网图,如左图所示，100连接外网，内网用户按实际需求被划分为80和81；防火墙配置0/0.60和0/0.100。安全区域中配置接口和 ，将匹配流量引到内联口，使上行流量依次经过 和 ；然后进行三层转发，通过60将流量转发到防火墙内网子接口0/0.60，交给防火墙处理；最后，经过处理的流量在S9500上转发到出接口访问。,S95配置,允许三层报文通过,3000,0,内网接口1，属于80，将所有入方向报文打上80 ，重定向到的10口,0/1/1,80,3000,1/1/1 80,S95配置续1,#,与防火墙通信的,60,#,内网两个,80,#,81,#,外网,100,#,60,60.0.0.1 255.255.255.0,#,80,80.0.0.1 255.255.255.0,#,81,81.0.0.1 255.0.0.0,S95配置续2,内网接口2，属于81，将所有入方向报文打上81 ，重定向到的10口,0/1/2,81,3000 0 1 1/1/1 81,内网接口2，属于81，将所有入方向报文打上81 ，重定向到的10口,0/1/2,81,3000 0 1 1/1/1 81,S95配置续3,过滤二层报文；过滤报文,4000,1,0,允许60的报文,4002,0 60,允许80和81的报文,4003,0 80,1 81,S95配置续4,的10口，口；禁止地址学习、过滤二层报文、过滤；将内网 80和 81的报文带上各自的，送到的10口。,1/1/1,0,4003 0 2 2/1/1 80,4000,4003 1 13 2/1/1 81,S95配置续5,的10口，口；禁止地址学习；过滤二层报文；过滤；将外网 60的报文带上送到的10口。,2/1/1,0,4002 0 3 1/1/1 60,4000 1 5,4000 0 6,S95配置续6,防火墙的10接口，口；将从外网返回的报文打上 60 ，送到的10口。,4/1/1,4002 0 4 2/1/1 60,95的默认路由下一跳指向防火墙,100.0.0.0 255.255.255.0 60.0.0.2 60,插卡配置,将插卡的10接口加入 内外部区域，指定内部域 为 80和 81，外部域 为 60 。,插卡配置,将插卡的10口加入 内外部区域，指定内部域 为 80和 81，外部域 为 60,防火墙插卡配置,#,60,#,100,#,0/0,#,0/0.60,1q 60,60.0.0.2 255.255.255.0,#,0/0.100,1q 100,100.0.0.2 255.255.255.0,#,0.0.0.0 0.0.0.0 100.0.0.1,80.0.0.0 255.255.255.0 60.0.0.1,81.0.0.0 255.0.0.0 60.0.0.1,流量走向上行,0/1/1连接内网用户属于 80。当有流量经过该接口访问外网时，流量被重定向到插卡，插卡处理后，再将报文原封不动地送往的内联口，此时报文的 仍然为 80，处理完成后，从10口送回95。,返回到95的流量根据95的路由表，转发到防火墙处理，然后到。,流量走向下行,从回来的流量，从 100进，根据默认路由，先到上处理，防火墙根据策略，将报文的 转换成 60，重定向到插卡，插卡处理完成后，原封不动地再送到，处理完成后，将报文送回95，95再根据路由表进行相应流量转发。,从上述流程可以看出，、的上行流量均为内网流量+其 ，下行流量均为防火墙处理后的流量，所以，上行流量到、插卡所带打 相同，下行流量到、插卡的 也相同，、在配置安全区域时，所对应的 一样。、插卡本身不具备置换 的能力。理解这一点，就能理解上面的流程了。,1、插卡硬件外观和软件适配,2、插卡基本概念和工作方式,3、 插卡混插方案,4、 插卡混插方案,5、常见问题,常见问题,如何判断策略已经下发成功？,【H3C】,: 2,: 1 : 1,: 1 : 4631,: 45790 (s) : 2147483647(s),: 00:00:00 : 24:00:00,: : （策略已激活）,: : 4,: 7/0/23,:,: 3/0/1,常见问题(续),如何判断数据报文是否被插卡阻断？,将 的工作模式设置为二层回退模式，这样插卡只是进行报文的透明转发，类似于一根“网线”，仅仅转发数据报文。,常见问题(续),如何判断是否正确转发了数据报文？,配置高级，指定需要调试的源/目的地址；用户视图下，打开调试开关：“ 3999”；通过调试信息可以查看防火墙是否正常转发报文（可以搜索查询相关报文、隐含视图下，执行“ 23”，可以查看接口索引）,* 23 19:21:54:807 2009 H3C 7:, = :0x00400000, = 4, = 20, = 0,= 40, = 9045, = 0, = 127, = 6,= 37386, s = 192.168.96.18, d = 192.168.101.13,:,常见问题(续),如何判断数据报文是否被安全策略阻断？,配置高级，指定需要调试的源/目的地址；,用户视图下，打开调试开关：“ 3999”,23 19:20:31:898 2009 H3C 7:,1, : (192.168.96.19 4269)-(192.168.101.13 80), 48 , .,常见问题(续),为什么流量没有引到插卡上？,对于插卡：,1，不成功，连通性测试是否通过？ E2107及以前版本、 E6113版本存在缺陷，互联的 必须小于255。,2，策略没有下发到交换机，通过 来判断是否下发、下发是否正确。可能原因为，未正确配置内部域和外部域；安全域配置完成后，未进行激活。,对于插卡：,1，三层模式下查看路由，下一跳是否指向地址；或在防火墙上制定报文；,2，二层模式下，查看是否存在本的，查看是否通过10接口学习到相应地址。,常见问题(续),为什么攻击防范或P2P限流不生效？,1，报文是否上送到板卡？,2，是否配置了正确的策略，并且进行了激活；,3，插卡的特征库是否升级到最新，设备是否有特征库授权,常见问题(续),为什么在配置 的情况下，发现没有任何日志信息？,1，日志配置是否正确;,2，插卡的管理口是否和 设备路由可达；,3，是否正确的同步了交换机的时间，交换机在发送给插卡时间时，原来并非采用格林威治时间，这样经常导致插卡会+8个小时,常见问题(续),混插组网情况下，实施顺序是怎么样的？,由于属于“没有转发能力”的插卡，属于透明模式部署，不会对现有组网在路由上造成影响，因此可以在实施完成防护墙等类型的板卡后，网络连通性测试已经通过后，再来部署插卡。,常见问题(续),和混插的情况下，谁放在外面？,1，在做的情况下，插卡放在防火墙的里面。如果插卡放在外面，报文经过板卡后，已经无法区分内部的地址，对于行为审计和控制都是个问题。,2，如果没有做，则插卡放在外面和里面均可以，但建议放在外面。因为经过的二三层转发后，插卡仍然可以看做单独部署，只是内部域接口变成了连接防火墙的10接口而已。,常见问题(续),各种设备如何开局？,(技术支持文件)/19-安全产品系列资料/01-安全产品/19-安全板卡专栏/01-开局指导书/,