H3C SecBlade LB典型配置指导V1[1].00
![H3C SecBlade LB典型配置指导V1[1].00](https://img.wendangku.net/img4d/02bprak0kqo6a85kypgb-d1.webp)
![H3C SecBlade LB典型配置指导V1[1].00](https://img.wendangku.net/img4d/02bprak0kqo6a85kypgb-82.webp)
SecBlade LB 典型配置指导
关键词:LB
摘 要:本文主要描述了SecBlade LB 在各种应用场景中的典型配置 缩略语:
缩略语
英文全名
中文解释
LB Load Balancing 负载均衡 SLB Server Load Balance 服务器负载均衡
NAT Network Address Translation 网络地址转换
DNAT Destination NAT
目的地址NAT VSIP
Virtual Service IP Address
虚服务IP 地址
U
n R
e g
i s
t e
r e
d
目 录
1 产品简介..................................................................................................................................4 2 应用场合. (5)
2.1 企业园区网中的中小型数据中心应用............................................................................5 2.2 电信运营商和门户网站的大型数据中心应用.................................................................6 3 注意事项..................................................................................................................................8 4 NAT 负载均衡组网配置举例 (8)
4.1 组网需求........................................................................................................................8 4.2 配置思路 (8)
4.3 使用版本........................................................................................................................9 4.4 配置步骤 (9)
4.4.1 S7503E 的配置....................................................................................................9 4.4.2 SecBlade LB 的配置..........................................................................................12 5 DR 负载均衡组网配置举例.. (19)
5.1 组网需求......................................................................................................................19 5.2 配置思路. (19)
5.3 使用版本......................................................................................................................19 5.4 配置步骤. (20)
5.4.1 S7503E 的配置 (20)
5.4.2 SecBlade LB 的配置..........................................................................................22 5.4.3 服务器网卡的配置.............................................................................................27 6 SecBlade LB 支持冗余备份方案配置举例 (34)
6.1 组网需求......................................................................................................................34 6.2 配置思路......................................................................................................................35 6.3 使用版本......................................................................................................................36 6.4 配置步骤. (36)
6.4.1 S7503E 的配置..................................................................................................36 6.4.2 SecBlade LB_1的配置......................................................................................40 6.4.3 SecBlade LB_2的配置......................................................................................41 6.4.4 LB 的主要配置截图.. (43)
7 相关资料 (44)
7.1 相关协议和标准 (44)
U
n R
e g
i s
t e
r e
d
7.2 其它相关资料 (44)
d
e
r
e
t
s
i
g
e
R
n
U
1 产品简介
H3C SecBlade LB 负载均衡业务板是H3C 公司面向电信运营商、门户网站、大中型企业、行业的数据中心开发的业界领先的负载均衡产品,可以用于H3C S9500 / S7500E 系列以太网交换机,作为H3C S9500 / S7500E 系列以太网交换机的业务模块提供负载均衡业务。H3C SecBlade LB
负载均衡业务板的外观如图1、图2所示。
图 1 S7500E
系列交换机SecBlade LB 负载均衡业务板外观
图2 S9500系列交换机SecBlade LB 负载均衡业务板外观
H3C SecBlade LB 负载均衡业务板作为H3C S9500 / S7500E 系列的插卡,随交换机部署在数据中心的汇聚层或核心层,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应
U
n R
e g
i s
t e
r e
d
速度和业务连续性。
H3C SecBlade LB 负载均衡业务板开创性地实现了应用与网络的深度融合,利用网络设备强大的路由、交换能力,可以适应各种复杂组网环境,同时,在网络设备上将各种应用进行识别和区分,并对数据中心服务器上的应用进行健康检测和性能检测,然后采用自适应的智能算法将各种应用的访问请求以最高效的方式分发到不同服务器上,从而为数据中心带来了三大价值:提高数据中心的应用访问速度、提高数据中心的业务连续性、提高数据中心的应用访问总容量;从而降低了数据中心的采购成本和运维成本,同时增加了数据中心的灵活性和可扩展性。
2 应用场合
SecBlade LB 主要应用在数据中心的业务负载分担。 典型应用场景有下面两种情况。
2.1 企业园区网中的中小型数据中心应用
在企业园区网络中,为了实现对企业数据中心提供的服务的快速访问,需要采用负载均衡功能来分担对企业数据中心的访问流量。在这种应用环境下,可以将SecBlade LB 负载均衡业务板插在核心交换机上,服务器群通过接入交换机连接到核心交换机上,服务器网关指向负载均衡业务板,负载均衡业务板采用NAT 方式实
现服务器负载均衡。如图3所示。
U
n R
e g
i s
t e
r e
d
图3 SecBlade LB 负载均衡业务板在企业园区网的中小型数据中心的应用
2.2 电信运营商和门户网站的大型数据中心应用
电信运营商和门户网站的大型数据中心是负载均衡设备主要的应用场景,在这种应用环境下,可以将SecBlade LB 负载均衡业务板插在双机冗余的汇聚层交换机上,每台汇聚层交换机上可以各插1-2块SecBlade LB 负载均衡业务板,负载均衡业务板之间启用VRRP ,以提高可靠性。如图4所示。
U
n R
e g
i s
t e
r e
d
图4 SecBlade LB 负载均衡业务板在大型数据中心的应用
U
n R
e g
i s
t e
r e
d
3 注意事项
l SecBlade LB 设备的接口无需加入安全区域;
l SecBlade LB 版本升级与SecBlade II 防火墙单板一样; l 确保交换机和LB 上配置了正确的路由; l 确保“虚服务”启用;
l
75E 插卡和95插卡在配置上没有区别,本文均以75E 插卡为例进行说明。
4 NAT 负载均衡组网配置举例
4.1 组网需求
当内部服务器是私网地址的时候,可以使用插卡在网络地址转换工作模式下的负载
均衡技术,把私网服务器向外映射为一个公网地址,供用户使用。
组网图如下:
图5 NAT 负载均衡组网图
4.2 配置思路
先配置S7503E ,将连接内网服务器的端口配置在同一个VLAN ,将连接外网的接口及与SecBlade LB 相连的10GE 接口分别配置在另外一个VLAN 。 配置SecBlade LB ,需要配置10GE 接口及路由等。
U
n R
e g
i s
t e
r e
d
确保S7503E 与SecBlade LB 、内网服务器、外网都能互通。
4.3 使用版本
本举例的设备版本信息如下: S7503E 的版本:Ess 6210L01
SecBlade LB 的版本:SecBlade LB-CMW520- Release 3201
4.4 配置步骤
& 说明:
以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。
4.4.1 S7503E 的配置
#
version 5.20, Ess 6210 #
sysname S7503E #
domain default enable system #
switch-mode standard
#
vlan 1 #
vlan 10 #
vlan 110
description Outside #
vlan 200
description Servers # ftth #
U
n R
e g
i s
t e
r e
d
domain system
access-limit disable state active idle-cut disable
self-service-url disable #
interface NULL0 #
interface Vlan-interface10 description to SecBlade_LB
ip address 192.168.10.1 255.255.255.252 #
interface Vlan-in110
description Outside
ip address 202.38.1.2 255.255.255.0 #
interface GigabitEthernet4/0/1 port access vlan 200 description Server_1 #
interface GigabitEthernet4/0/2
port access vlan 200 description Server_2 #
interface GigabitEthernet4/0/3
#
interface GigabitEthernet4/0/4 #
interface GigabitEthernet4/0/5
#
interface GigabitEthernet4/0/6 #
interface GigabitEthernet4/0/7 #
interface GigabitEthernet4/0/8 #
interface GigabitEthernet4/0/9 #
interface GigabitEthernet4/0/10 #
interface GigabitEthernet4/0/11 #
U
n R
e g
i s
t e
r e
d
interface GigabitEthernet4/0/12 #
interface GigabitEthernet4/0/13 #
interface GigabitEthernet4/0/14 #
interface GigabitEthernet4/0/15 #
interface GigabitEthernet4/0/16 port access vlan 110 #
interface GigabitEthernet4/0/17 #
interface GigabitEthernet4/0/18
#
interface GigabitEthernet4/0/19 #
interface GigabitEthernet4/0/20 #
interface GigabitEthernet4/0/21 #
interface GigabitEthernet4/0/22 #
interface GigabitEthernet4/0/23 #
interface GigabitEthernet4/0/24
#
interface M-Ethernet0/0/0 #
interface Ten-GigabitEthernet2/0/1 port link-type trunk
undo port trunk permit vlan 1 port trunk permit vlan 10 200 #
interface Ten-GigabitEthernet2/0/2 #
ip route-static 0.0.0.0 0.0.0.0 202.38.1.1
ip route-static 172.16.1.0 255.255.255.0 192.168.10.2 #
user-interface aux 0 user-interface vty 0 4 #
U
n R
e g
i s
t e
r e
d
4.4.2 SecBlade LB 的配置
1. 命令行配置
#
version 5.20, Beta 3201 #
sysname SecBlade LB #
undo voice vlan mac-address 00e0-bb00-0000 #
domain default enable system # vlan 1 #
domain system
access-limit disable state active
self-service-url disable #
user-group system #
local-user h3c password simple h3c
authorization-attribute level 3 service-type telnet terminal #
interface NULL0 #
interface GigabitEthernet0/1
port link-mode route #
interface GigabitEthernet0/2 port link-mode route #
interface GigabitEthernet0/3 port link-mode route #
interface GigabitEthernet0/4 port link-mode route #
interface Ten-GigabitEthernet0/0 port link-mode route
U
n R
e g
i s
t e
r e
d
#
interface Ten-GigabitEthernet0/0.10 vlan-type dot1q vid 10 description to_S7503E
ip address 192.168.10.2 255.255.255.252 #
interface Ten-GigabitEthernet0/0.200 vlan-type dot1q vid 200 description Servers
ip address 192.168.1.254 255.255.255.0 #
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 #
load xml-configuration
#
user-interface con 0 user-interface aux 0 authentication-mode none user privilege level 3 user-interface vty 0 4 #
2. WEB 配置
在PC 上登录SecBlade LB 设备,如下图:
U
n R
e g
i s
t e
r e
d
图6 web 登录页面
创建实服务组:
图7 创建实服务组页面
U
n R
e g
i s
t e
r e
d
图8 实服务组的配置页面
创建实服务,加入到“Server_Farm ”实服务组中:
图9 创建实服务页面
U
n R
e g
i s
t e
r e
d
图10 实服务server1的具体配置页面
图11 实服务server2的具体配置页面
U n R e g i s t e
r e
d
创建虚服务:
图12 虚服务的创建页面
图13 虚服务的具体配置页面
U n R e g i s
t e r e
d
图14 配置虚服务完成
保存配置:
图15 保存配置
U
n R
e g
i s
t e
r e
d
5 DR 负载均衡组网配置举例
5.1 组网需求
当内部服务器是私网地址的时候,可以使用插卡在直接路由工作模式下的负载均衡技术,把私网服务器向外映射为一个公网地址,供用户使用。 组网图如下:
图16 DR 负载均衡组网图
5.2 配置思路
先配置S7503E ,将连接内网服务器的端口及与SecBlade LB 相连的10GE 接口配置在同一个VLAN ,将连接外网的接口配置在另外一个VLAN 。 配置SecBlade LB ,需要配置10GE 接口及路由等。
确保S7503E 与SecBlade LB 、内网服务器、外网都能互通。
5.3 使用版本
本举例的设备版本信息如下: S7503E 的版本:Ess 6210L01
U
n R
e g
i s
t e
r e
d
SecBlade LB 的版本:SecBlade LB-CMW520- Release 3201
5.4 配置步骤
& 说明:
以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。
5.4.1 S7503E 的配置
#
version 5.20, Ess 6210 #
sysname S7503E #
domain default enable system #
switch-mode standard # vlan 1 # vlan 110
description Outside
#
vlan 200
description Servers
#
ftth #
domain system
access-limit disable state active idle-cut disable
self-service-url disable #
interface NULL0 #
interface Vlan-interface110 description Outside
U
n R
e g
i s
t e
r e
d
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
H3C交换机DHCP服务器接口地址池典型配置指导
1.2 DHCP服务器接口地址池典型配置指导 1.2.1 组网图 图1-2 DHCP服务器接口地址池配置举例 1.2.2 应用要求 ●Switch A作为DHCP服务器,其VLAN接口1的IP地址为192.168.0.1/24; ●客户端属于VLAN1,通过DHCP方式动态获取IP地址; ●DHCP服务器通过接口地址池为MAC地址为000D-88F7-0001的客户文件服务器分配固定的IP地址192.168.0.10/24,为其它客户端主机分配192.168.0.0/24网段的IP地址,有效期限为10天。DNS服务器地址为192.168.0.20/24,WINS服务器地址为192.168.0.30/24。 1.2.3 适用产品、版本 表1-2 配置适用的产品与软硬件版本关系 1.2.4 配置过程和解释 # 使能DHCP服务
[SwitchA-Vlan-interface1] ip address 192.168.0.1 24 # 配置VLAN接口1工作在DHCP接口地址池模式 [SwitchA-Vlan-interface1] dhcp select interface # 配置DHCP接口地址池中的静态绑定地址 [SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address 000D-88F7-0001 # 配置DHCP接口地址池的地址池范围、DNS服务器地址、WINS服务器地址 [SwitchA-Vlan-interface1] dhcp server expired day 10 [SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20 [SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30 [SwitchA-Vlan-interface1] quit 1.2.5 完整配置 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001 dhcp server dns-list 192.168.0.20 dhcp server nbns-list 192.168.0.30 dhcp server expired day 10 # dhcp server forbidden-ip 192.168.0.10 dhcp server forbidden-ip 192.168.0.20 dhcp server forbidden-ip 192.168.0.30 # 1.2.6 配置注意事项 当DHCP服务器采用接口地址池模式分配地址时,在接口地址池中的地址分配完之后,将会从包含该接口地址池网段的全局地址池中挑选IP地址分配给客户端,从而导致获取到全局地址池地址的客户端与获取到接口地址池地址的客户端处在不同网段,无法正常进行通信。 故在本例中,建议从VLAN接口1申请IP地址的客户端数目不要超过250个。
防火墙双机热备配置案例
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
telnet 远程登录交换机典型配置指导
telnet 远程登录交换机典型配置指导
[H3C-luser-guest]password simple 123456 [H3C-luser-guest]service-type telnet level 3 [H3C-luser-guest]quit [H3C]user-interface vty 0 [H3C-ui-vty0]authentication-mode scheme [H3C-ui-vty0]quit [H3C]save The configuration will be written to the device. Are you sure?[Y/N]y
Please input the file name(*.cfg)(To leave the existing filename unchanged press the enter key): Now saving current configuration to the device. Saving configuration. Please wait... ... Unit1 save configuration flash:/20111025.cfg successfully [H3C] %Apr 3 17:39:34:984 2000 H3C CFM/3/CFM_LOG:- 1 -Unit1 saved
Cisco交换机配置实例双机热备
Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config
6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
华为链路聚合典型配置指导
链路聚合典型配置指导(版本切换前) 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务 的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一 聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。 组网图 链路聚合配置示例图 应用要求 设备Switch A用3个端口聚合接入设备Switch B,从而实现出/入负荷在各成 员端口中分担。 Switch A 的接入端口为GigabitEthernet1/0/1 ?GigabitEthernet1/0/3 。 适用产品、版本 配置过程和解释 说明: 以下只列出对Switch A的配置,对Switch B也需要作相同的配置,才能实现链路聚合。 配置聚合组,实现端口的负载分担(下面两种方式任选其一) 采用手工聚合方式 #创建手工聚合组1。
[SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 采用静态LACP聚合方式 #创建静态LACP聚合组1。
H3C交换机IRF典型配置指导
目录 1 IRF典型配置举例 ······························································································································· 1-1 1.1 简介 ··················································································································································· 1-1 1.2 使用限制············································································································································ 1-1 1.2.1 硬件限制 ································································································································· 1-1 1.2.2 软件限制 ································································································································· 1-1 1.2.3 单板使用限制 ·························································································································· 1-1 1.2.4 IRF端口连接限制 ···················································································································· 1-1 1.3 选择MAD检测方式····························································································································· 1-2 1.4 使用四台设备搭建IRF典型配置举例(LACP MAD检测方式) ························································· 1-2 1.4.1 适用产品和版本 ······················································································································ 1-2 1.4.2 组网需求 ································································································································· 1-2 1.4.3 搭建IRF的配置························································································································ 1-3 1.4.4 LACP MAD配置 ······················································································································ 1-8 1.4.5 业务配置 ······························································································································· 1-10 1.4.6 验证配置 ······························································································································· 1-14 1.4.7 配置文件 ······························································································································· 1-16 1.5 使用四台设备搭建IRF典型配置举例(BFD MAD检测方式)·························································· 1-21 1.5.1 适用产品和版本 ···················································································································· 1-21 1.5.2 组网需求 ······························································································································· 1-21 1.5.3 搭建IRF的配置······················································································································ 1-22 1.5.4 BFD MAD配置 ······················································································································ 1-26 1.5.5 业务配置 ······························································································································· 1-28 1.5.6 验证配置 ······························································································································· 1-33 1.5.7 配置文件 ······························································································································· 1-35
防火墙典型配置举例
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
EPON灵活QINQ典型配置指导手册V1.0
EPON灵活QINQ典型配置指导手册 编号: 版本:V1.0 编制:技术中心热线部 审核:熊志军 批准: 瑞斯康达科技发展股份有限公司
文档修订记录 文档说明: 本文档主要用于指导工程师完成EPON灵活QINQ典型配置,本文以某商用网络为例,介绍了新在EPON系统上具体的配置操作步骤和注意事项。
前言 读者对象: 本文档适合ISCOM5000系列EPON设备灵活QinQ操作维护管理人员使用,主要面向各区域工程师。本文档介绍ISCOM5000系列EPON设备根据灵活QinQ的配置、常用故障排查方法、FAQ 等内容。 编写时间:2010年3月 相关参考手册: ISCOM 5000 EPON设备主要手册及用途如下
目录 前言 (3) 一、Q-IN-Q概述 (6) 二、技术介绍 (6) 2.1 QinQ报文格式 (6) 2.2 QinQ封装 (7) 2.2.1 基于端口的QinQ封装 (7) 2.2.2 基于流的QinQ封装 (7) 三、典型案例配置 (8) 3.1 EPON交换端口VLAN配置 (8) 3.2 根据以太网报文类型灵活Q-IN-Q 应用拓扑 (10) 3.3三种数据的业务流向及处理过程 (12) 3.4配置流程 (13) 3.5 具体数据配置流程: (14) 1) 创建加载板卡 (14) 2) 在olt上配置数据业务,创建vlan ,修改TPID值 (14) 3)配置3槽位PON板第一个PON口 (14) 4)配置上联GE口(PORT 11) (15) 5)配置上联GE口(PORT 12) (15) 6)配置网管地址及网关 (15) 7)EPON 以太网报文类型灵活Q-IN-Q配置实例 (15) 8)灵活Q-IN-Q抓包样本 (15) 四、常见故障处理FAQ (16) EPON以太网报文类型灵活Q-IN-Q常见FAQ (16) Q1:在配置根据以太网报文的灵活Q-IN-Q时,若两种数据存在一样的以太网报文类 型,该怎么区分? (16) Q2:为什么从OLT上无法PING通EOC及交换机的网管地址,而经过USR或者BRAS 的网管服务器可以PING通EOC、交换机及OLT。 (16) Q3:为什么同一台电脑在测试过一个业务后,马上测试另外一种业务,该电脑会存在
防火墙双机热备配置及组网指导
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
路由器-GRE-Over-IPSec典型配置
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
- NewStart HA 典型配置指导
- H3C交换机IRF典型配置指导
- H3C交换机最详细配置实例手册
- MSR常见应用场景配置指导(内部服务器访问典型配置篇)
- 基于MAC的VLAN典型配置指导
- 华为链路聚合典型配置指导(终审稿)
- MSR常见应用场景配置指导(内部服务器访问典型配置篇)
- H3C SecPath+U200典型配置指导
- 最新802.1X典型配置指导
- 华为链路聚合典型配置指导
- Cluster典型配置指导
- H3C 带GK的VOIP典型配置指导
- H3C-VLAN典型配置指导
- 16-组播典型配置指导
- 高级IPv4 ACL典型配置指导
- H3C SecBlade LB典型配置指导V1[1].00
- DHCP服务器接口地址池典型配置指导
- H3C监控典型配置指导及案例分析
- telnet 远程登录交换机典型配置指导
- 华为链路聚合典型配置指导