【交换机在江湖】实战案例二十六:IPS Module配置示例

[复制链接]
发表于 : 2015-6-19 15:09:01 最新回复:2016-09-18 15:45:22
6227 7
交换机在江湖
交换机在江湖 官方号

1 IPS Module简介

IPS Module按部署方式分为IPS部署和IDS部署。

在交换机上安装了IPS Module以后,您可以根据业务需要,将指定的流量重定向到IPS Module上进行检测。IPS Module检测完成后,将正常的流量重新注入交换机进行转发,将异常的流量丢弃。以1为例,您可以将企业办公区和外网访问服务器区的流量重定向到IPS Module去做安全检测。

1 部署IPS的业务流径

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-1

 

IDS部署时,交换机通过镜像方式,将指定的流量“复制”到IPS Module上。IPS Module只根据配置的安全策略对指定的威胁进行检测并记录,不参与流量转发。以2为例,您可以将企业办公区和外网访问服务器区的流量镜像到IPS Module去做安全检测。

2 IDS部署业务流径

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-2

 

IPS Module提供了CLI界面和简单易用的Web UIIPS Module还支持通过SNMP协议与标准网管进行通信,接受网管的集中管理。

 

1.1 IPS Module的外观

IPS Module是一款单板形态的入侵防御和入侵检测产品,可以应用于华为S7700S9700S12700系列交换机,为IP网络迅速灵活地整合入侵防御、反病毒、DDoS攻击防御等安全功能。

3 IPS Module外观结构

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-3

              【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-4

 

1.2 IPS Module支持的主要功能

IPS Module提供的主要安全功能如下表所示:

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-5

 

1.3 IPS Module与交换机的连接

IPS Module和交换机之间通过内部以太网接口转发数据。在IPS Module侧,两个内部以太网接口的编号固定为GE1/0/0GE1/0/1。在交换机侧,内部以太网接口的编号由IPS Module安装的槽位号决定。例如,当IPS Module安装在交换机的1号槽位时,交换机侧的两个内部以太网接口编号为XGE1/0/0XGE1/0/1

4 内部以太网接口的编号规则

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-6

另外,在IPS Module的面板上还提供了4GE接口,这些接口均不作为业务接口。其中,GE0/MGMT用于设备管理与维护,接口编号为GE0/0/0GE1GE3作为发送日志信息的源接口、双机热备的心跳接口和备份通道,对应的接口编号为GE0/0/1GE0/0/3

 

2 IPS Module配置示例

本示例重点展示如何配置IPS Module与交换机之间的接口连接以及流量重定向。如果想获得更多IPS策略配置,请参考《HUAWEI IPS Module V100R001 管理员指南》。

 

配置注意事项

表1-1 适用的版本

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-7

 

组网需求

在园区出口,通常核心交换机上行通过路由器访问外网,并部署IPS设备提供入侵防御、反病毒、DDoS攻击防御等安全功能。

 

通过在核心交换机上插IPS板卡对VLAN 301VLAN 302之间的流量做安全检测。

为提高安全设备可靠性,在核心交换机上部署2IPS板卡组成双机热备。2IPS板卡同时转发流量,当其中一块IPS板卡故障时,业务可以平滑切换到另一块IPS板卡。

5  IPS Module的双机热备组网图

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-8

为了提高带宽和链路可靠性,我们将内部以太网接口捆绑为Eth-Trunk接口,如5所示。交换机重定向引流,IPS Module使用Eth-Trunk主接口接收交换机转发过来的流量。

 

为了便于理解,我们可以把这种组网转化成图6

6 IPS Module双机热备逻辑组网图

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-9

 

配置思路

采用如下思路配置交换机和IPS Module

1.       在交换机上配置集群

2.       在交换上配置与IPS Module之间的接口和流量通路。

3.       在交换机上配置重定向,将流量转发到IPS Module进行安全检测。

4.       IPS Module上配置与交换机之间的接口和流量通路。

5.       IPS Module上配置双机热备。

6.       IPS Module上配置安全策略。

 

操作步骤

                           步骤 1     交换机:创建VLANVLANIF接口,并配置VLANIF接口的IP地址。

<HUAWEI> system-view

[HUAWEI] vlan batch 301 302

[HUAWEI] interface GigabitEthernet 3/0/1  // GE3/0/1作为交换机连接业务网络1的接口。

[HUAWEI-GigabitEthernet3/0/1] port link-type trunk

[HUAWEI-GigabitEthernet3/0/1] port trunk allow-pass vlan 301

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface vlanif301  // vlanif301作为业务网络1的网关。

[HUAWEI-vlanif301] ip address 10.10.10.1 24

[HUAWEI-vlanif301] quit

[HUAWEI] interface GigabitEthernet 3/0/0  // GE3/0/0作为交换机连接业务网络2的接口。

[HUAWEI-GigabitEthernet3/0/0] port link-type trunk

[HUAWEI-GigabitEthernet3/0/0] port trunk allow-pass vlan 302

[HUAWEI-GigabitEthernet3/0/0] quit

[HUAWEI] interface vlanif302  // vlanif302作为业务网络2的网关。

[HUAWEI-vlanif302] ip address 10.10.20.1 24

[HUAWEI-vlanif302] quit

 

                           步骤 2     交换机:配置交换机与IPS Module之间连接的内部Eth-Trunk接口。

# 两块IPS Module上的4个内部以太网接口捆绑为一个Eth-Trunk接口。允许VLAN 301VLAN 302的流量通过,并关闭Eth-Trunk接口的MAC地址学习和STP功能。

[HUAWEI] interface Eth-Trunk 1 

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/0  // XGE1/0/0和XGE1/0/1作为连接IPS Module 1的接口,加入Eth-Trunk1。

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/1

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 2/0/0  // XGE2/0/0和XGE2/0/1作为连接IPS Module 2的接口,加入Eth-Trunk1。

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 2/0/1

[HUAWEI-Eth-Trunk1] port link-type trunk

[HUAWEI-Eth-Trunk1] port trunk allow-pass vlan 301 302  // Eth-Trunk1透传业务VLAN301-302的流量。

[HUAWEI-Eth-Trunk1] undo port trunk allow-pass vlan 1 

[HUAWEI-Eth-Trunk1] mac-address learning disable  //如果不关闭MAC地址学习,Eth-Trunk1接口会同时学习到上下行网络的MAC地址,导致MAC漂移。

[HUAWEI-Eth-Trunk1] stp disable  //交换机上的接口默认开启了STP。在本组网中,从交换机转发给IPS Module的流量与从IPS Module返回的流量相同,会被交换机认为是环路报文而丢弃,导致业务不通。因此,需要关闭交换机Eth-Trunk接口的STP功能。

[HUAWEI-Eth-Trunk1] quit

 

# 配置Eth-Trunk接口的负载分担方式。

说明:

当流量从交换机转发到IPS Module时,首先通过跨板Eth-Trunk分流。为保证报文经过IPS Module的来回路径一致,必须采用增强型负载分担方式,此处以根据源IP地址和目的IP地址为例。

[HUAWEI] load-balance-profile ips
[HUAWEI-load-balance-profile-ips] ipv4 field sip dip
[HUAWEI-load-balance-profile-ips] quit
[HUAWEI] interface Eth-Trunk 1
[HUAWEI-Eth-Trunk1] load-balance enhanced profile ips
[sysname-Eth-Trunk1] quit
 

                           步骤 3     交换机:配置上、下行接口与Eth-Trunk1的单向隔离,以避免ARP漂移。

[HUAWEI] interface GigabitEthernet 3/0/0

[HUAWEI-GigabitEthernet3/0/0] am isolate Eth-Trunk 1

[HUAWEI-GigabitEthernet3/0/0] quit

[HUAWEI] interface GigabitEthernet 3/0/1

[HUAWEI-GigabitEthernet3/0/1] am isolate Eth-Trunk 1

[HUAWEI-GigabitEthernet3/0/1] quit

 

                           步骤 4     交换机:配置流策略,将VLAN 301VLAN 302之间的流量重定向到IPS Module

# 创建ACL

[HUAWEI] acl 3001  // acl3001定义为从业务网络1到业务网络2 的流量。

[HUAWEI-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 10.10.20.0 0.0.0.255

[HUAWEI-acl-adv-3001] quit

[HUAWEI] acl 3002  // acl3002定义为从业务网络2到业务网络1 的流量。

[HUAWEI-acl-adv-3002] rule permit ip source 10.10.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

[HUAWEI-acl-adv-3002] quit

 

# 配置流分类。

[HUAWEI] traffic classifier classifier1

[HUAWEI-classifier-classifier1] if-match acl 3001

[HUAWEI-classifier-classifier1] quit

[HUAWEI] traffic classifier classifier2

[HUAWEI-classifier-classifier2] if-match acl 3002

[HUAWEI-classifier-classifier2] quit

 

# 配置流行为,将流量重定向到Eth-Trunk1

[HUAWEI] traffic behavior behavior1

[HUAWEI-behavior-behavior1] redirect interface Eth-Trunk 1

[HUAWEI-behavior-behavior1] quit

 

# 配置流策略并应用到接口的入方向上。

[HUAWEI] traffic policy policy1  // 来自业务网络1的流量重定向到Eth-Trunk1。

[HUAWEI-trafficpolicy-policy1] classifier classifier1 behavior behavior1

[HUAWEI-trafficpolicy-policy1] quit

[HUAWEI] traffic policy policy2  // 来自业务网络2的流量重定向Eth-Trunk1。

[HUAWEI-trafficpolicy-policy2] classifier classifier2 behavior behavior1

[HUAWEI-trafficpolicy-policy2] quit

[HUAWEI] interface GigabitEthernet 3/0/1  // 在连接业务网络1的接口入方向应用policy1。

[HUAWEI-GigabitEthernet3/0/1] traffic-policy policy1 inbound

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface GigabitEthernet 3/0/0  // 在连接业务网络2的接口入方向应用policy2。

[HUAWEI-GigabitEthernet3/0/0] traffic-policy policy2 inbound

[HUAWEI-GigabitEthernet3/0/0] quit

 

                           步骤 5     从交换机登录IPSWeb界面

a 使用以太网线直接连接管理PCIPS ModuleGE0/MGMT接口。

b 将管理PCIP地址设置为在192.168.0.2192.168.0.254范围内的任意一个IP地址。

c在管理PC中打开网络浏览器,访问https://192.168.0.1:8443

d在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin@123”,单击“登录”

e修改缺省管理员账号的密码,单击“确定”,进入Web界面。

说明:

为提高安全性,密码必须满足最小复杂度要求,即包含英文大写字母(AZ)、英文小写字母(az)、数字(09)、特殊字符(如!@#$%等)中的三种。

请牢记输入的新密码避免无法登录。

 

                           步骤 6     IPS Module:内部以太网接口捆绑为Eth-Trunk接口,并配置接口对。

两块IPS Module的配置完全相同,下面仅提供一块IPS Module的配置。

a选择网络>接口,单击GE1/0/0接口所在行的【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-10,将GE1/0/0接口切换为Access类型。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-11

 

b单击GE1/0/1接口所在行的【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-12,将GE1/0/1接口切换为Access类型。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-13

 

c单击“新建”,配置接口Eth-Trunk1

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-14

 

d选择网络>接口对,单击“新建”,创建接口对。通过将内部以太网接口组成接口对,报文从一个接口进入后,从其对应的另一个接口出去,不再查找MAC转发表。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-15

 

e选择网络>接口,单击Eth-Trunk1接口所在行的【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-16,修改Eth-Trunk1允许通过的VLAN301302

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-17

 

                           步骤 7     IPS Module:配置两块IPS Module之间的心跳口和备份通道。

单击“新建”,将GE0/0/1GE0/0/2捆绑为Eth-Trunk接口,作为心跳口和备份通道。

说明:

·        两块IPS Module的心跳口IP地址必须在同一个网段。

·        两块IPS ModuleEth-Trunk接口的成员接口必须完全相同。

#在第一块IPS Module上配置心跳口。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-18

 

#在第一块IPS Module上配置心跳口。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-19

 

                           步骤 8     IPS Module:配置双机热备。

# 选择系统 > 双机热备,单击“配置”,配置双机热备。

【交换机在江湖】实战案例二十六:IPS Module配置示例-1334287-20

----结束

 

后续处理

1 测试业务网络12内主机是否能正常通信。如有异常,请检查配置。

2 IPS Module上执行shutdown命令关闭Eth-Trunk1接口,检查双机状态和业务状态。检查后恢复接口。

3 根据业务需求,配置精细化的安全策略,配置业务。

 

1.3 案例小结

部署IPS Module需要考虑2个因素:交换机的引流方式以及IPS Module上的接口。

 

交换机引流方式

要使用IPS Module实现安全功能,必须首先将流量引导到IPS Module,实现交换机与IPS Module的数据连通。

 

l   划分VLAN引流:交换机和IPS Module之间通过VLAN方式组网,将有互通需求的接口划分在同一个VLAN内实现二层的互通。

 

l   重定向引流:交换机上配置流策略,将需要检测的流量重定向到IPS Module的接口上,实现流量二层互通。在IPS Module上完成安全检测以后,再通过接口对回注到交换机。

 

接口选择

IPS Module的两个内部以太网接口都工作在二层,您可以直接使用这两个内部以太网接口与交换机互通,也可以在内部以太网接口上配置子接口与交换机互通。

 

通过将内部以太网接口或子接口两两组成接口对,报文从一个接口进入后,从其对应的另一个接口出去,不再查找MAC转发表。

 

为了提高接口带宽和链路可靠性,建议您将内部以太网接口捆绑成Eth-Trunk接口,使用Eth-Trunk主接口或子接口与交换机互通。

 

更多IPS Module的部署方式请参见《HUAWEI IPS Module V100R001 部署指南》。

 

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
Merlin_Security
Merlin_Security   发表于 2015-7-13 10:55:04 已赞(0) 赞(0)

这是做的负载模式吗?

  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2015-7-13 19:18:57 已赞(0) 赞(0)

回复 3 楼

是的,这个举例负载分担模式的,也可以使用主备的方式。

  • x
  • 常规:

点评 回复

leo
leo  精英 发表于 2015-6-19 15:33:26 已赞(0) 赞(0)

非常不错,支持一下

  • x
  • 常规:

点评 回复

Merlin_Security
Merlin_Security   发表于 2015-7-15 09:36:13 已赞(0) 赞(0)

我在产品手册上没有看到配置主备的命令,能否给出相应的配置?

  • x
  • 常规:

点评 回复

WSD17
WSD17   发表于 2015-10-2 21:12:23 已赞(0) 赞(0)

非常不错,支持一下
  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2015-7-16 09:29:07 已赞(0) 赞(0)

回复 5 楼

IPS Module的双机热备只能配置负载分担模式,不支持配置主备模式。NGFW Module的双机热备负载分担和主备都支持。

  • x
  • 常规:

点评 回复

wintter
wintter   发表于 2016-9-13 11:31:25 已赞(0) 赞(0)

非常好的资料,收藏啦

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录