hcsecblade混合插卡組網(wǎng)培訓(xùn)(共95張)

H3C混合插卡組網(wǎng)安全產(chǎn)品組巫繼雨日期：11/13/2019密級：杭州華三通信技術(shù)有限公司1、插卡硬件外觀和軟件適配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常見問題硬件外觀接口1個(gè)接口1個(gè)卡接口，支持容量為256M、512M、1G的卡2個(gè)接口（預(yù)留）2個(gè)10/100/1000電接口2個(gè)千兆（光電復(fù)合）接口后插板10接口卡2電口222內(nèi)存卡注：灰色標(biāo)記部分為S5800插卡數(shù)據(jù)H3C業(yè)務(wù)插卡配套關(guān)系插卡產(chǎn)品

88●66●S95E●●●●●S95●●●●●●S75E●●●●●●●S58●●●●插卡類型插卡式的H3C系列單板類型：12A1 適用于H3CS9500E防火墻業(yè)務(wù)板12A1 適用于H3CS9500防火墻業(yè)務(wù)板10適用于H3CS7500E防火墻業(yè)務(wù)板模塊110 適用于H3CS5800系列防火墻模塊3適用于H3C6600千兆防火墻業(yè)務(wù)板模塊 適用于H3C8800防火墻業(yè)務(wù)處理板插卡式的H3C系列單板類型：10 適用于H3CS7500千兆負(fù)載均衡業(yè)務(wù)模塊11A1 適用于H3CS9500負(fù)載均衡業(yè)務(wù)板11A1 適用于H3CS9500-負(fù)載均衡業(yè)務(wù)板110 適用于H3CS5800負(fù)載均衡業(yè)務(wù)板插卡類型-續(xù)1插卡式的H3C系列單板類型：110適用于H3CS58005820X系列交換機(jī)；10適用于H3CS7500E系列以太網(wǎng)交換機(jī)；11A0適用于H3CS9500系列以太網(wǎng)交換機(jī)；11A1適用于H3CS9500E系列以太網(wǎng)交換機(jī)。插卡式的H3C系列單板類型：10適用于H3CS7500E系列以太網(wǎng)交換機(jī)；11A0適用于H3CS9500系列以太網(wǎng)交換機(jī)；11A1適用于H3CS9500E系列以太網(wǎng)交換機(jī)。插卡類型-續(xù)2插卡式的H3C系列單板類型：10 適用于H3CS7500業(yè)務(wù)模塊11A1 適用于H3CS9500業(yè)務(wù)板模塊3 適用于H3C6600模塊插卡式的H3C系列單板類型：10 適用于H3CS7500E業(yè)務(wù)板11A1 適用于H3CS9500E業(yè)務(wù)板110 適用于H3CS5800系列業(yè)務(wù)板使用版本產(chǎn)品配套項(xiàng)目版本號（對外）說明主控板軟件1102107內(nèi)部版本9011V200R001B01D105升級后V10820075E配套版本S75005206307L03

95配套版本S9500310164695E配套版本S95005201136版本V2.1000223.202602+P04插卡可以在部門相應(yīng)目錄:(新內(nèi)部版本歸檔)/02安全產(chǎn)品獲取的最新版本開局版本，每個(gè)插卡版本都會附帶版本配套表，里面會列出和母體配套的版本，請?jiān)趯?shí)施時(shí)獲取。1、插卡硬件外觀和軟件適配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常見問題01插卡 防火墻插卡是我司防火墻的旗艦級產(chǎn)品，其硬件上采用了多核技術(shù)，處理核心是目前處理能力最強(qiáng)大的嵌入式處理器之一——的力作732。高端防火墻的軟件，采用了我司最新的V5平臺(V5R2)，配合精心構(gòu)架的底層驅(qū)動，能夠充分地發(fā)揮多核的優(yōu)勢。防火墻部署—透明模式

板板14671012

35821110101001001011011.1.1.1交換處理2001.1.1.22.2.2.2入方向：1->6:二層轉(zhuǎn)發(fā)6->7:二層轉(zhuǎn)發(fā)7->8:二層轉(zhuǎn)發(fā)8->9:三層轉(zhuǎn)發(fā)9->12:二層轉(zhuǎn)發(fā)出方向：12->9:二層轉(zhuǎn)發(fā)9->8:三層轉(zhuǎn)發(fā)8->7:二層轉(zhuǎn)發(fā)7->6:二層轉(zhuǎn)發(fā)6->1:二層轉(zhuǎn)發(fā)10002002.2.2.120091002-2-2方式背板防火墻部署—三層轉(zhuǎn)發(fā)

板板14671012

3582111010100100200交換處理2001.1.1.22.2.2.2入方向：1->6:二層轉(zhuǎn)發(fā)6->7:三層轉(zhuǎn)發(fā)7->12:二層轉(zhuǎn)發(fā)出方向：12->7:二層轉(zhuǎn)發(fā)7->6:三層轉(zhuǎn)發(fā)6>1:二層轉(zhuǎn)發(fā)2002.2.2.120091001.1.1.11002-3-2方式背板防火墻部署—三層轉(zhuǎn)發(fā)2

板板14671012

3582111010100100101101172.16.1.2/30交換處理2001.1.1.22.2.2.2入方向：1->6:二層轉(zhuǎn)發(fā)6->7:三層轉(zhuǎn)發(fā)7->8:二層轉(zhuǎn)發(fā)8->9:三層轉(zhuǎn)發(fā)9->12:二層轉(zhuǎn)發(fā)出方向：12->9:二層轉(zhuǎn)發(fā)9->8:三層轉(zhuǎn)發(fā)8->7:二層轉(zhuǎn)發(fā)7->6:三層轉(zhuǎn)發(fā)6->1：二層轉(zhuǎn)發(fā)10002002.2.2.12009101172.16.1.1/301001.1.1.1100也是2-3-2方式這是什么方式？背板有沒有這種方式

板板14671012

3582111010100100101101172.16.1.2/30交換處理2001.1.1.22.2.2.210002002.2.2.12009101172.16.1.1/30100172.16.0.1/30100100172.16.0.2/30答案：這個(gè)一般真沒有！02插卡包頭內(nèi)部網(wǎng)絡(luò)

防火墻協(xié)議數(shù)據(jù)內(nèi)容Internet（，入侵防御系統(tǒng)），是一種基于應(yīng)用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對數(shù)據(jù)報(bào)文的深度檢測，實(shí)時(shí)發(fā)現(xiàn)威脅并主動進(jìn)行處理。目前已成為應(yīng)用層安全防護(hù)的主流設(shè)備。03插卡 H3C（）是業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的P2帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制；同時(shí)，根據(jù)對網(wǎng)絡(luò)流量、用戶行為進(jìn)行深入分析，可以幫助用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，為開展各項(xiàng)業(yè)務(wù)提供數(shù)據(jù)支撐。 H3C系列包括2000、88003和應(yīng)用于H3CS759595E系列交換機(jī)的模塊。對用戶上網(wǎng)行為進(jìn)行深入分析，識別出相關(guān)應(yīng)用采取阻斷、限流、干擾、過濾、警告等控制手段通過采集相關(guān)訪問信息，實(shí)現(xiàn)事后行為審計(jì)行為識別行為控制行為審計(jì)實(shí)現(xiàn)目標(biāo)部署概念(1)安全區(qū)域和段安全區(qū)域是一個(gè)物理/網(wǎng)絡(luò)上的概念（特定的物理端口+）段可以看作是連接兩個(gè)安全區(qū)域的一個(gè)透明網(wǎng)橋策略被應(yīng)用在特定的段上。段+策略+網(wǎng)絡(luò)配置(地址、方向)部署概念(2)特征、規(guī)則和策略特征定義了一組檢測因子來決定如何對當(dāng)前網(wǎng)絡(luò)中的流量進(jìn)行檢測規(guī)則的范疇比特征要廣。規(guī)則=特征+啟用狀態(tài)+動作集策略是一個(gè)包含了多條規(guī)則的集合動作和動作集安全區(qū)域、段和策略的關(guān)系-AB部署概念(3)插卡工作方式 插卡與交換機(jī)背板相連，有兩種工作方式：、方式。 、、都工作在方式下，而和插卡則工作在方式下,方式下的插卡，可以通過二、三層轉(zhuǎn)發(fā)接收報(bào)文。方式下的插卡只能通過重定向轉(zhuǎn)發(fā)接收報(bào)文。 重定向報(bào)文的兩種方法：和重定向。其中，是我司自主開發(fā)的開放應(yīng)用框架協(xié)議，S759558都采用的方式和母體互聯(lián)；而重定向是S95上板卡的工作方式，S95通過重定向的方式將報(bào)文送到插卡處理?；玖鞒虉D插卡交換機(jī)重定向報(bào)文的方向性交換機(jī)只能對入方向的報(bào)文進(jìn)行重定向。入方向，是指報(bào)文相對與交換機(jī)背板而言。配置舉例：

單塊插卡三層轉(zhuǎn)發(fā)應(yīng)用場景2172.16.160.250255.255.255.01001172.16.161.30255.255.255.2241002172.16.161.62255.255.255.2241003172.16.164.1255.255.255.001S9500E相關(guān)配置#配置主控板的風(fēng)格為（需要重啟）

#使能和功能。

#配置內(nèi)聯(lián)接口所屬100 100.100.100.1255.255.255.0

S9500E相關(guān)配置配置內(nèi)聯(lián)接口，假設(shè)插卡位于S9500E的3號槽位，則交換機(jī)上對應(yīng)內(nèi)聯(lián)口為3/0/1：3/0/1

0

S9500E相關(guān)配置 配置3參數(shù)，這里配置為3用戶，不認(rèn)證不加密方式：

800063A20300E0960801

v3v3

v3v3v3用戶名v3在插卡上配置時(shí)會用到插卡相關(guān)配置配置，確認(rèn)連通性測試成功插卡相關(guān)配置創(chuàng)建安全區(qū)域，按照實(shí)際需求將相應(yīng)接口加入安全區(qū)域。啟用模式后，母體所有的接口在插卡上都是可見的。域應(yīng)用模式選用【常規(guī)】模式，目前僅S75E支持【級聯(lián)】模式，既支持多塊插卡的組網(wǎng)。

對于單塊插卡的配置，內(nèi)、外部域選擇流量上下行接口即可

02S7500E相關(guān)配置#配置主控板的風(fēng)格為（需要重啟）

#配置交換機(jī)主控板的流量轉(zhuǎn)發(fā)模式為（需要重啟）l2#使能和功能。

#配置內(nèi)聯(lián)接口所屬100 100.100.100.1255.255.255.0

S7500E相關(guān)配置配置內(nèi)聯(lián)接口。假設(shè)插卡位于S9500E的2號槽位，則交換機(jī)上對應(yīng)內(nèi)聯(lián)口為2/0/1：2/0/1

100

參數(shù)配置同前面S95E配置。03S5800相關(guān)配置#使能。

#配置管理。100100.100.100.1255.255.252.0#內(nèi)聯(lián)口配置（僅配置為口即可）。1/2/1100

#參數(shù)設(shè)置同前。單塊插卡重定向工作方式（1）流入交換機(jī)某個(gè)端口的所有報(bào)文。（2）將需要或者分析、管理的流量重定向或者鏡像到插卡上。（3）將入口進(jìn)入的其他流量正常轉(zhuǎn)發(fā)。（4）交換機(jī)將報(bào)文重定向到插卡。（5）通過10通道，將流量傳入插卡。（6）插卡處理完畢，將報(bào)文送回給交換機(jī)。（7）交換機(jī)再進(jìn)行正常的轉(zhuǎn)發(fā)處理。重定向配置舉例1連接在95的e2/1/1端口，模擬內(nèi)網(wǎng)（80）用戶。2連接在95的e2/1/5端口，模擬外網(wǎng)（60）應(yīng)用。插卡通過10端口g3/1/1與95連接，作為95的插卡，承載功能。8060S9500相關(guān)配置#定義重定向策略 在接口e2/1/1和e2/1/5入方向上配置重定向策略：內(nèi)網(wǎng)接口將所有三層轉(zhuǎn)發(fā)的報(bào)文重定向到插卡；外網(wǎng)接口將目的為內(nèi)網(wǎng)的三層報(bào)文重定向到插卡。#3000130011192.168.0.00.0.0.255#2/1/18030003/1/180#2/1/56030013/1/160S9500相關(guān)配置 #配置內(nèi)聯(lián)接口#3/1/1

0# #內(nèi)網(wǎng)接口上過濾和二層轉(zhuǎn)發(fā)報(bào)文#400010#3/1/1

4000插卡配置#配置安全域#配置段和段策略1、插卡硬件外觀和軟件適配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常見問題插卡三層轉(zhuǎn)發(fā)混插方案1

內(nèi)網(wǎng)用戶依次經(jīng)過和插卡進(jìn)行流量分析，訪問外網(wǎng)。位于一號槽位，而位于二號槽位。

防火墻上配置兩個(gè)子接口0/0.2和0/0.9。S9500E上配置9并設(shè)置三層虛接口與防火墻0/0.9通信。內(nèi)網(wǎng)的上行流量通過配置默認(rèn)路由，從防火墻的0/0.9接口進(jìn)，經(jīng)處理后從0/0.2子接口出，然后經(jīng)到。插卡在外面0/0.90/0.2S95E相關(guān)配置#配置防火墻10口1/0/1

149103040506070#配置S9500E連接內(nèi)網(wǎng)用戶的接口0/0/111011010.11.1.1255.255.255.0#配置S9500E連接的出接口0/0/32

2#在S9500E的9上配置三層虛接口，用于交換機(jī)與防火墻通信9

10.253.1.2255.255.255.0#默認(rèn)路由指向板卡0.0.0.00.0.0.010.253.1.1S95E相關(guān)配置#配置主控板的風(fēng)格為。

#使能和功能。

#配置內(nèi)聯(lián)接口所屬1000

10.254.1.2255.255.255.0S95E相關(guān)配置#配置內(nèi)聯(lián)接口2/0/1

0#配置3參數(shù)， 相關(guān)配置配置防火墻上行流量出口（下行流量入口） 0/0.2

1q2192.168.20.133255.255.252.0配置防火墻上行流量入口（下行流量出口）0/0.9T095001q910.253.1.1255.255.255.0配置下行流量路由，將下行流量轉(zhuǎn)發(fā)給S9500E相應(yīng)出接口10.0.0.0255.0.0.010.253.1.2插卡相關(guān)配置配置，確認(rèn)連通性測試成功插卡相關(guān)配置因?yàn)榱髁渴窍冉?jīng)過防火墻，再到插卡，所以的內(nèi)部域接口為防火墻的10口。由于經(jīng)防火墻處理后的流量帶2，因此，內(nèi)部區(qū)域指定為防火墻出方向的2。外部域接口為S9500E連外網(wǎng)的出口。插卡三層轉(zhuǎn)發(fā)混插方案2內(nèi)網(wǎng)用戶依次經(jīng)過插卡和進(jìn)行流量統(tǒng)計(jì)分析，訪問外網(wǎng)。防火墻上配置兩個(gè)子接口，0/0.20和0/0.30。S9500E上配置20并設(shè)置三層虛接口與防火墻通信。上行流量會經(jīng)重定向到，處理后按路由配置從0/0.20子接口進(jìn)入防火墻處理，再從0/0.30子接口出，最后到。插卡在里面0/0.200/0.30S95E相關(guān)配置#配置防火墻的10口2/0/1

149103040506070#配置S9500E內(nèi)網(wǎng)入接口7/0/1101010.0.0.1255.0.0.09500E上20配置三層虛接口，用于交換機(jī)與防火墻通信20

20.0.0.2255.0.0.00.0.0.00.0.0.020.0.0.1插卡相關(guān)配置因?yàn)榱髁渴窍冉?jīng)過，再到防火墻。所以的內(nèi)部域接口為S9500E連內(nèi)部網(wǎng)絡(luò)的接口，外部域接口為防火墻的10口，為防火墻入方向的相關(guān)配置#配置防火墻上行流量入口。0/0.20

1q2020.0.0.1255.0.0.0#配置防火墻上行流量出口。0/0.30

1q3030.0.0.1255.0.0.0#配置下行流量路由，將下行流量轉(zhuǎn)發(fā)給S9500E，會根據(jù)策略重定向到插卡繼續(xù)處理。10.0.0.0255.0.0.020.0.0.21、插卡硬件外觀和軟件適配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常見問題域應(yīng)用模式 在插卡安全區(qū)域配置中，域應(yīng)用模式分為【常規(guī)】和【級聯(lián)】兩種。選擇【級聯(lián)】域應(yīng)用模式，可以實(shí)現(xiàn)插卡混插組網(wǎng)下流量級聯(lián)處理，即實(shí)現(xiàn)業(yè)務(wù)流量依次經(jīng)過和按相應(yīng)段策略進(jìn)行處理。 【舉例】：如果流量經(jīng)過插卡的順序?yàn)椋海瑒t的內(nèi)部域應(yīng)該為常規(guī)模式，外部域?yàn)榧壜?lián)模式，而的內(nèi)部域?yàn)榧壜?lián)模式，外部域?yàn)槌Ｒ?guī)模式。域應(yīng)用模式區(qū)別常規(guī)模式：（1）若安全域中沒有指定，則精確匹配接口；（2）若安全域中指定了，則精確匹配接口和。級聯(lián)模式 當(dāng)報(bào)文攜帶的為有效值時(shí)，只匹配報(bào)文的。【注意】：僅有S75E系列交換機(jī)支持插卡的級聯(lián)模式。S75E混插組網(wǎng) 用戶網(wǎng)絡(luò)中配置三個(gè)內(nèi)網(wǎng)接口，屬于三個(gè)不同，每個(gè)內(nèi)網(wǎng)接口的流量都要重定向到插卡上，上行流量依次經(jīng)過、以及按配置策略進(jìn)行處理；一個(gè)外網(wǎng)接口，屬于單獨(dú)。Slot2Slot4Slot3S7500E配置#將內(nèi)網(wǎng)用戶接口加入指定，并在內(nèi)網(wǎng)配置三層轉(zhuǎn)發(fā)。10 10.0.0.1255.0.0.08/0/1 10#訪問外網(wǎng)接口加入30。8/0/3 307500E內(nèi)網(wǎng)20上配置三層接口，用于連接防火墻子接口0/0.20。20 20.0.0.2255.0.0.0#配置路由，實(shí)現(xiàn)流量三層轉(zhuǎn)發(fā)到防火墻。 30.0.0.0255.0.0.020.0.0.1S7500E配置

l2#配置內(nèi)聯(lián)接口所屬（此100只為管理用，對流量轉(zhuǎn)發(fā)不起作用）100100.100.100.1255.255.255.0#配置內(nèi)聯(lián)接口3/0/1

100

#配置3參數(shù)，這里配置為3用戶，不認(rèn)證不加密方式插卡 登陸：系統(tǒng)管理—>設(shè)置頁面，配置，確s連通性測試成功。

將內(nèi)網(wǎng)用戶接口加入內(nèi)部區(qū)域，指定10、40和50，選擇【常規(guī)】模式；將內(nèi)聯(lián)口4/0/1加入到外部區(qū)域，指定20，選擇【級聯(lián)】模式插卡 將內(nèi)聯(lián)口3/0/1加入內(nèi)部區(qū)域，指定10、40和50，并配置為【級聯(lián)】模式；將防火墻內(nèi)聯(lián)口2/0/1加入外部區(qū)域中，指定20。防火墻配置#防火墻連接內(nèi)網(wǎng)子接口配置0/0.20 20.0.0.1255.0.0.0 1q200/0.30 30.0.0.1255.0.0.0 1q30#下行流量轉(zhuǎn)發(fā)路由 10.0.0.0255.0.0.020.0.0.2上將0/0.20和0/0.30加入安全區(qū)域流量走向—上行 如左圖所示，8/0/1連接內(nèi)網(wǎng)1用戶，屬于10。當(dāng)有流量經(jīng)過該接口訪問外網(wǎng)時(shí)，插卡以“接口”方式精確匹配，檢查該流量匹配安全區(qū)域，便將流量引入插卡內(nèi)聯(lián)口3/0/1，根據(jù)所屬段上關(guān)聯(lián)策略處理流量。Slot2Slot4Slot38/0/1

處理后流量返回到ACG插卡內(nèi)聯(lián)口依舊帶有VLAN10Tag，入接口信息為GegabitEthernet8/0/1；由于IPS插卡上Lan_IPS配置為級聯(lián)模式，僅匹配流量VLANID，因此該流量匹配IPS插卡安全區(qū)域Lan_IPS，因此流量將被繼續(xù)重定向到IPS插卡內(nèi)聯(lián)口進(jìn)行處理。流量走向—上行(續(xù))Slot2Slot4Slot38/0/1 上行流量按S7500E上配置路由(一般為默認(rèn)路由，指向防火墻和交換機(jī)的互聯(lián)接口)，通過20轉(zhuǎn)發(fā)到防火墻后，從防火墻子接口0/0.20進(jìn)，由子接口0/0.30出，在S7500E上30內(nèi)二層轉(zhuǎn)發(fā)到相應(yīng)接口，從而連接。流量走向—下行 下行流量通過30進(jìn)入防火墻，防火墻查找內(nèi)網(wǎng)路由，通過0/0.20子接口在20內(nèi)轉(zhuǎn)發(fā)給S7500E。Slot2Slot4Slot38/0/1流量走向—下行(續(xù)) 經(jīng)過防火墻三層轉(zhuǎn)發(fā)處理后返回給S7500E的流量，帶有20的，入接口信息為2/0/1，此時(shí)的流量信息匹配插卡外部域，因此流量將被重定向到插卡，根據(jù)對應(yīng)段關(guān)聯(lián)策略對流量進(jìn)行處理。 下行流量經(jīng)過插卡處理后仍然帶20，入接口信息為2/0/1。由于插卡上安全區(qū)域設(shè)置為級聯(lián)模式，僅匹配流量的20，因此將該流量會被引到插卡內(nèi)聯(lián)口，隨后按相應(yīng)段關(guān)聯(lián)策略進(jìn)行處理。處理后流量返回給S75E，S75E進(jìn)行正常內(nèi)部轉(zhuǎn)發(fā)。Slot2Slot4Slot38/0/1S95E混插組網(wǎng) S95E不支持的級聯(lián)組網(wǎng)，所以不能直接采用直接對聯(lián)的混插方式，而中間應(yīng)該插入一臺具有三層轉(zhuǎn)發(fā)能力的板卡，因此可以采用的方式是，此方式和組網(wǎng)沒有本質(zhì)區(qū)別。

S95E配置三層轉(zhuǎn)發(fā)相關(guān)配置#配置上行流量（內(nèi)網(wǎng)到外網(wǎng)）入接口1111.0.0.1255.0.0.07/0/1011#20配置三層虛接口，用于S95E和插卡通信2020.0.0.2255.0.0.0#配置上行流量（內(nèi)網(wǎng)到外網(wǎng)）出接口7/0/930#防火墻內(nèi)聯(lián)接口配置3/0/1

12030#配置路由使上行流量轉(zhuǎn)發(fā)到30.0.0.0255.0.0.020.0.0.1相關(guān)配置：#配置內(nèi)聯(lián)接口所屬（此4094只為管理用，對流量轉(zhuǎn)發(fā)不起作用）。4094100.0.0.1255.255.255.0#配置內(nèi)聯(lián)接口（插卡內(nèi)聯(lián)口）。2/0/1

0#配置內(nèi)聯(lián)接口（插卡內(nèi)聯(lián)口）。6/0/1

0#配置3參數(shù)插卡配置配置配置安全區(qū)域插卡配置#防火墻上行流量（內(nèi)網(wǎng)到外網(wǎng)）入口0/0.20 1q20 20.0.0.1255.0.0.0#防火墻上行流量（內(nèi)網(wǎng)到外網(wǎng)）出口0/0.30 1q30 30.0.0.1255.0.0.0#下行流量路由配置，將下行流量轉(zhuǎn)發(fā)給S9500E11.0.0.0255.0.0.020.0.0.2插卡配置配置配置安全區(qū)域流量走向—上行11的用戶流量進(jìn)入7/0/10后，匹配內(nèi)部域，流量被重定向到插卡。流量經(jīng)過處理后返回給S95E，終結(jié)在11上。S95E查找去往的路由，從接口20發(fā)送到防火墻插卡上，防火墻從0/0.20接收報(bào)文，通過查找路由，在接口0/0.30回送給S95E。S95E通過30在3/0/1收到防火墻處理后的流量，匹配插卡內(nèi)部域30，流量被重定向到插卡處理，處理后的流量返回給S95E，S95E在30內(nèi)二層轉(zhuǎn)發(fā)。

流量走向—下行30的下行流量進(jìn)入7/0/9接口，匹配外部域，流量被重定向到插卡上，處理后的流量返回給S95E。30的流量通過3/0/1轉(zhuǎn)發(fā)給防火墻插卡，終結(jié)在0/0.30子接口上。防護(hù)墻查找去往內(nèi)網(wǎng)的路由，通過0/0.20子接口轉(zhuǎn)發(fā)給S95E。S95E通過3/0/1收到防火墻處理的報(bào)文，且報(bào)文攜帶20的，匹配的外部域20，流量被重定向到插卡上。經(jīng)過處理的流量返回S75E，終結(jié)在20上。然后S95E查找路由，轉(zhuǎn)發(fā)到11內(nèi)，通過二層轉(zhuǎn)發(fā)給客戶端。S95混插組網(wǎng) S95混插和S75E混插區(qū)別：S75E混插時(shí)，插卡分為常規(guī)和級聯(lián)模式，而S95混插則沒有這兩個(gè)模式。S95不支持方式，只能使用重定向?qū)⒘髁可纤筒蹇?。在S95插卡安全區(qū)域里只顯示插卡的10口一個(gè)接口，插卡的上下行方向只能通過來區(qū)分。組網(wǎng)圖 如左圖所示，100連接外網(wǎng)，內(nèi)網(wǎng)用戶按實(shí)際需求被劃分為80和81；防火墻配置0/0.60和0/0.100。安全區(qū)域中配置接口和，將匹配流量引到內(nèi)聯(lián)口，使上行流量依次經(jīng)過和；然后進(jìn)行三層轉(zhuǎn)發(fā)，通過60將流量轉(zhuǎn)發(fā)到防火墻內(nèi)網(wǎng)子接口0/0.60，交給防火墻處理；最后，經(jīng)過處理的流量在S9500上轉(zhuǎn)發(fā)到出接口訪問。S95配置允許三層報(bào)文通過30000內(nèi)網(wǎng)接口1，屬于80，將所有入方向報(bào)文打上80，重定向到的10口0/1/18030001/1/180S95配置—續(xù)1#與防火墻通信的60#內(nèi)網(wǎng)兩個(gè)80#81#外網(wǎng)100#6060.0.0.1255.255.255.0#8080.0.0.1255.255.255.0#8181.0.0.1255.0.0.0S95配置—續(xù)2內(nèi)網(wǎng)接口2，屬于81，將所有入方向報(bào)文打上81，重定向到的10口0/1/2 81 3000011/1/181內(nèi)網(wǎng)接口2，屬于81，將所有入方向報(bào)文打上81，重定向到的10口0/1/2 81 3000011/1/181S95配置—續(xù)3過濾二層報(bào)文；過濾報(bào)文400010允許60的報(bào)文4002060允許80和81的報(bào)文4003080181S95配置—續(xù)4的10口，口；禁止地址學(xué)習(xí)、過濾二層報(bào)文、過濾；將內(nèi)網(wǎng)80和81的報(bào)文帶上各自的，送到的10口。1/1/1

04003022/1/180400040031132/1/181S95配置—續(xù)5的10口，口；禁止地址學(xué)習(xí)；過濾二層報(bào)文；過濾；將外網(wǎng)60的報(bào)文帶上送到的10口。2/1/1

04002031/1/160400015400006S95配置—續(xù)6防火墻的10接口，口；將從外網(wǎng)返回的報(bào)文打上60，送到的10口。4/1/1

4002042/1/16095的默認(rèn)路由下一跳指向防火墻100.0.0.0255.255.255.060.0.0.260插卡配置 將插卡的10接口加入內(nèi)外部區(qū)域，指定內(nèi)部域?yàn)?0和81，外部域?yàn)?0。插卡配置 將插卡的10口加入內(nèi)外部區(qū)域，指定內(nèi)部域?yàn)?0和81，外部域?yàn)?0防火墻插卡配置#60#100#0/0

#0/0.601q6060.0.0.2255.255.255.0#0/0.1001q100100.0.0.2255.255.255.0#0.0.0.00.0.0.0100.0.0.180.0.0.0255.255.255.060.0.0.181.0.0.0255.0.0.060.0.0.1流量走向—上行 0/1/1連接內(nèi)網(wǎng)用戶屬于80。當(dāng)有流量經(jīng)過該接口訪問外網(wǎng)時(shí)，流量被重定向到插卡，插卡處理后，再將報(bào)文原封不動地送往的內(nèi)聯(lián)口，此時(shí)報(bào)文的仍然為80，處理完成后，從10口送回95。 返回到95的流量根據(jù)95的路由表，轉(zhuǎn)發(fā)到防火墻處理，然后到。流量走向—下行 從回來的流量，從100進(jìn)，根據(jù)默認(rèn)路由，先到上處理，防火墻根據(jù)策略，將報(bào)文的轉(zhuǎn)換成60，重定向到插卡，插卡處理完成后，原封不動地再送到，處理完成后，將報(bào)文送回95，95再根據(jù)路由表進(jìn)行相應(yīng)流量轉(zhuǎn)發(fā)。 從上述流程可以看出，、的上行流量均為內(nèi)網(wǎng)流量+其，下行流量均為防火墻處理后的流量，所以，上行流量到、插卡所帶打相同，下行流量到、插卡的也相同，、在配置安全區(qū)域時(shí)，所對應(yīng)的一樣。、插卡本身不具備置換的能力。理解這一點(diǎn)，就能理解上面的流程了。1、插卡硬件外觀和軟件適配2、插卡基本概念和工作方式3、插卡混插方案4、插卡混插方案5、常見問題常見問題如何判斷策略已經(jīng)下發(fā)成功？【H3C】:2:1:1:1