【正文】 方式下的插卡只能通過重定向轉發(fā)接收報文。 重定向報文的兩種方法： OAA和重定向 。其中， OAA是我司自主開發(fā)的開放應用框架協(xié)議， S75E/S95E/S58都采用 OAA的方式和母體互聯(lián)；而重定向是 S95上板卡的工作方式， S95通過重定向的方式將報文送到IPS/ACG插卡處理。 21 OAA基本流程圖 報 文 流A C F P S e r v e r報 文 入 接 口連 接 A C F P C l i e n t的 接 口A C F P C l i e n t連 接 A C F P s e r v e r的 接 口報 文轉 發(fā)出 接口紅 色 線 條 為 報文 重 流插卡 ?交換機重定向報文的方向性 交換機只能對入方向的報文進行重定向。 入方向，是指報文相對與交換機背板而言。 22 OAA配置舉例： 單塊插卡 OAA三層轉發(fā)應用場景 I n t e r n e t防 火 墻V L A N 2S 9 5 0 0 EV L A N 1 0 0 1內 網(wǎng) 1內 網(wǎng) 2內 網(wǎng) nV L A N 1 0 0 2V L A N 1 0 0 n… …S e c B l a d e I P SX G E 3 / 0 / 1interface VLANinterface2 ip address interface VLANinterface1001 ip address interface VLANinterface1002 ip address interface VLANinterface1003 ip address 23 01 S9500E OAA相關配置 配置主控板的 mib風格為 new（需要重啟） mibstyle new 使能 ACFP server和 ACSEI server功能。 acfp server enable acsei server enable 配置內聯(lián)接口所屬 VLAN interface VLANinterface100 ip address 24 S9500E相關配置 配置內聯(lián)接口，假設 IPS插卡位于 S9500E的 3號槽位，則交換機上對應內聯(lián)口為 TenGigabitEther3/0/1： interface TenGigabitEther3/0/1 port linktype trunk port trunk permit vlan all macaddress maxmaccount 0 port connectionmode extend 25 S9500E相關配置 配置 SNMPv3參數(shù) ， 這里配置為 SNMPv3用戶 ， 不認證不加密方式： snmpagent snmpagent localengineid 800063A20300E0FC960801 snmpagent sysinfo version all snmpagent group v3 v3group_no readview iso writeview iso snmpagent mibview included iso iso snmpagent usmuser v3 v3user_no v3group_no //用戶名 v3user_no在插卡上配置時會用到 26 IPS/ACG插卡相關配置 配置 OAA，確認連通性測試成功 27 IPS/ACG插卡相關配置 創(chuàng)建安全區(qū)域，按照實際需求將相應接口加入安全區(qū)域。啟用 OAA模式后，母體所有的接口在 IPS/ACG插卡上都是可見的。 域應用模式選用 【 常規(guī) 】 模式，目前僅 S75E支持 【 級聯(lián) 】 模式，既支持多塊 IPS/ACG插卡的組網(wǎng)。 對于單塊插卡的配置，內、外部域選擇流量上下行接口即可 28 02 S7500E相關配置 配置主控板的 mib風格為 new（需要重啟） mibstyle new 配置交換機主控板的流量轉發(fā)模式為 enhanced（需要重啟） switchmode l2enhanced 使能 ACFP server和 ACSEI server功能。 acfp server enable acsei server enable 配置內聯(lián)接口所屬 VLAN interface VLANinterface100 ip address 29 S7500E相關配置 配置內聯(lián)接口。假設 IPS插卡位于 S9500E的 2號槽位，則交換機上對應內聯(lián)口為 TenGigabitEther2/0/1： interface TenGigabitEther2/0/1 port linktype trunk port trunk permit vlan all port trunk pvid vlan 100 port connectionmode extend macaddress maclearning disable SNMP參數(shù)配置同前面 S95E配置。 30 03 S5800相關配置 使能 ACFP/ACSEI。 acfp server enable acsei server enable 配置管理 VLAN。 interface VLANinterface100 ip address 內聯(lián)口配置（僅配置為 Access口即可）。 interface TenGigabitEther1/2/1 port access vlan 100 port connectionmode extend SNMP參數(shù)設置同前。 31 單塊插卡重定向工作方式 （ 1）流入交換機某個端口的所有報文。 （ 2）將需要 IPS或者 ACG分析、管理的流量重定向或者鏡像到插卡上。 （ 3）將入口進入的其他流量正常轉發(fā)。 （ 4）交換機將報文重定向到插卡。 （ 5）通過 10GE通道，將流量傳入插卡。 （ 6）插卡處理完畢，將報文送回給交換機。 （ 7）交換機再進行正常的轉發(fā)處理。 I P S ( A C G ) 插 卡1 0 G E1 0 G E重 定 向 需 要 分析 和 監(jiān) 管 的 流量( 5 ) ( 6 )交 換處 理（ 1 ）報 文 正 常 轉 發(fā) ( 8 )( 2 )交 換 機( 3 )( 4 )( 7 ) 32 重定向配置舉例 ? PC1連接在 95的 e2/1/1端口，模擬內網(wǎng)（ vlan80）用戶。 ? PC2連接在 95的 e2/1/5端口，模擬外網(wǎng)（ vlan60）應用。 ? SecBlade IPS/ACG插卡通過10GE端口 g3/1/1與 95連接，作為 95的插卡，承載 IPS/ACG功能。 內 網(wǎng)外 網(wǎng)9 5S e c B l a d e I P S /A C GP C 1P C 2e 2 / 1 / 1e 2 / 1 / 5g 3 / 1 / 1VLAN80 VLAN60 33 S9500相關配置 定義重定向策略 在接口 e2/1/1和 e2/1/5入方向上配置重定向策略：內網(wǎng)接口將所有三層轉發(fā)的 ip報文重定向到插卡；外網(wǎng)接口將目的 ip為內網(wǎng) ip 的三層 ip報文重定向到插卡。 acl number 3000 rule 1 permit ip packetlevel route acl number 3001 rule 1 permit ip packetlevel route destination interface Ether2/1/1 port access vlan 80 trafficredirect inbound ipgroup 3000 interface GigabitEther3/1/1 80 interface Ether2/1/5 port access vlan 60 trafficredirect inbound ipgroup 3001 interface GigabitEther3/1/1 60 34 S9500相關配置 配置內聯(lián)接口 interface GigabitEther3/1/1 port linktype trunk port trunk permit vlan all macaddress maxmaccount 0 內網(wǎng)接口上過濾 ARP和二層轉發(fā)報文 acl number 4000 rule 1 deny packetlevel bridge ingress any egress any rule 0 deny arp ingress any egress any interface GigabitEther3/1/1 port linktype trunk port trunk permit vlan all packetfilter inbound li