• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath F1000-AK系列 防火墙 用户FAQ-6W101

整本手册

本章节下载  (480.63 KB)

整本手册

H3C SecPath F1000-AK系列防火墙

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W101-20181229

 

 

Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


  录

1 硬件类FAQ

F1000-AK系列包含哪些设备,主要硬件差异是什么?

F1000-AK系列硬件简介

2 软件类FAQ

如何查看当前运行的版本及各板卡的信息?

过滤显示信息时,如果要过滤的内容中含有空格,怎么办?

3 防火墙业务功能类FAQ

NAT、NAT444、ALG

会话

安全域

对象策略

域间策略

IPSec

PKI

4 DPI相关特性FAQ

AVC带宽管理和DPI其他业务的异同?

配置了接444口带宽,为什么不生效?

带宽策略、接口带宽和Qos作用的先后顺序?

带宽策略里面的优先级和带宽通道里面转发优先级、重标记DSCP有什么用途和区别?

带宽策略里面不同匹配项之间“与”和“或”的关系?

带宽策略生效优先级和父子策略生效优先级?

打了流量好长时间,为什么流量报表和流量日志没有统计显示?

配置基于每用户/每IP限速时,怎么限速不准确?

为什么使用实时带宽查询命令显示不了当前连接数?

每用户和每IP最大带宽限速、并发连接数限制、新建速率限制?

转发优先级和保证带宽谁的优先级高?

AV的工作原理是什么?

AV能识别的报文有哪些?

在域间引用了AV策略,为什么无法命中?

AV的病毒例外和应用例外作用的先后顺序?

域间不引用AV策略,DIM也有AV命中统计?

配置协议检测方向动作时,AV命中统计和DIM命中统计不一致?

长时间打流,流量日志和威胁日志不更新?

配置了阻断JPG文件的文件过滤,为什么打开的网页中仍然有图片?

为什么会发生文件过滤偶尔不生效或产生错误动作的现象?

为什么文件过滤日志和报表中没有内容?

URL过滤的特征?

黑名单、白名单、预定义分类、自定义分类动作执行优先级?

URL规则使用正则表达式时的限制?

正则表达式下的特殊字符

什么是云端查询?

IPS入侵防御系统和DPI其他业务的异同?

IPS处理与黑名单的优先级?

IPS动作之间的关系?

IPS动作优先级?

报文同时与多个IPS特征匹配成功如何执行?

在特征库没有发生变化时,突然以前可以识别的攻击识别不了了?

APR和DPI其他业务的异同?

NBAR支持那些协议?

PBAR是基于源端口还是目的端口的应用?

自定义的PBAR应用能设置最多可以配置多少端口?

NBAR的signature最多可以设置多少个?

5 SLB 特性(有些款型可能不支持SLB,以具体规格为准)

SLB虚服务器、实服务组、实服务器的概念?

SLB如何排查业务不通的问题?

SLB的HTTP类型下,设置规则为cookie,如果一个报文中包含多个请求,只检查第一个请求的cookie吗?

SLB负载均衡动作中,删除头部,如果一个报文中包含多个请求,只删除第一个请求的头部吗?

SLB的L参数模板中的set ip tos 命令与action中的set ip tos 命令有什么区别?

6 Outbound LLB

OutBound链路负载虚服务和静态路由、策略路由的关系是什么?

流量匹配上就近性,可是为什么就近性仍然会老化掉呢?

就近性和持续性都存在,流量先是去匹配哪个呢?

就近性与link带宽限制同时起作用吗?

就近性计算时的参数影响是什么样的?

就近性表项已经存在时,修改就近性探测方法,会怎么样?

为什么已经在实服务组下使能就近性功能了,却仍然没有生成就进行表项?

为什么修改link的cost会清除就近性表项,而修改带宽不会呢?

为什么所有link-group都去使能就近性,就近性表项仍然存在呢?

SIP流量时,为什么有时不能产生就近性表项呢?

为什么link没有被引用,却也是active的呢?

为什么nqa的debug中总打印一些abandon的error信息呢?

带宽算法是什么意思?

最大带宽算法是什么意思?

带宽繁忙保护对算法对选路的影响?

Link1是持续性表项,同时link1配置带宽保护,为什么会有很多失败呢?

虚服务上同时配置连接限制,和连接数限制策略limit-policy,是怎么生效的?

 


H3C SecPath F1000-AK系列防火墙 用户FAQ

1  硬件类FAQ

F1000-AK系列包含哪些设备,主要硬件差异是什么?

F1000-AK系列包括F1000-AK110、F1000-AK120、F1000-AK130、F1000-AK140、F1000-AK150、F1000-AK160、F1000-AK170、F1000-AK180防火墙(以下简称为F1000-AK系列)是面向SMB市场的高性能VPN集成网关产品。硬件上基于多核处理器架构,为1U的独立盒式防火墙。

端口差异如下:

·     F1000-AK110、F1000-AK120提供8个千兆电口、2个Combo口及2个Bypass口。

·     F1000-AK130、F1000-AK140、F1000-AK150、F1000-AK160、F1000-AK170:提供16个千兆电口、8个千兆光口。

·     F1000-AK180:提供16个千兆电口及8个千兆光口、2个SFP+万兆光口。

F1000-AK系列硬件简介

F1000-AK110/F1000-AK120两款设备的的产品外观基本类似,F1000-AK130/F1000-AK140 /F1000-AK150/F1000-AK160/F1000-AK170/F1000-AK180外观类似,下面仅以F1000-AK180为例进行说明:

设备面板有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1 设备前视图(F1000-AK180)

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R/1000BASE-X以太网光口

4: 配置口(CONSOLE)

5: USB口(仅支持供电)

6: 设备指示灯

7: 硬盘扩展插槽

 

图2 设备后视图(F1000-AK180)

1: 电源模块插槽0

2: 电源模块插槽1

3: 接口板插槽

4: 接地螺钉

 

2  软件类FAQ

如何查看当前运行的版本及各板卡的信息?

可以使用命令display version查看系统当前运行的主机程序版本、各板卡重启原因和运行时间:

<H3C> display version

H3C Comware Software, Version 7.1.064, Ess 9503

Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1000-AK-130 uptime is 0 weeks, 4 days, 3 hours, 16 minutes

Last reboot reason: User reboot

 

Boot image: flash:/fw-cmw710-boot-E9503.bin

Boot image version: 7.1.064, Ess 9503

  Compiled Mar 10 2016 16:00:00

System image: flash:/fw-cmw710-system-E9503.bin

System image version: 7.1.064, Ess 9503

  Compiled Mar 10 2016 16:00:00

 

CPU type: Multi-core CPU

DDR3 SDRAM Memory      8190M bytes

Board PCB        Version:Ver.A

Basic  BootWare  Version: 1.00

Extend BootWare  Version: 1.00

[SubSlot 0]12GE  (Hardware)Ver.A, (Driver)1.0

过滤显示信息时,如果要过滤的内容中含有空格,怎么办?

必须用“”把所带空格的命令括起来。如:display current-configuration | include "traffic behavior",如果不加“”,则命令行会认为第一个空格后的输入为非法输入。

3  防火墙业务功能类FAQ

NAT、NAT444、ALG

·     静态Nat444要注意什么?

静态NAT444公网地址不支持ARP响应,如果NAT地址池和出接口地址在同一网段,需要在对端设备加一条路由,目的地址为NAT转换之后的地址,下一跳为出接口地址或者将地址池地址配置接口的sub地址。

·     当Nat server配置global地址为loopback口地址的时候要注意什么呢?

Nat server配置global地址为loopback口时,需要在设备的上一跳加一条正向路由,这条路由的目的地址为loopback口地址,下一跳为设备入接口地址。

·     NAT接口分配原则是什么?

区分协议和区分原始端口号

对于TCP/UDP,如果原始端口号在1~1023,转换后也是在1~1023,如果原始接口大于1024,就是从1024开始分配。

会话

·     ASPF ICMP差错报文检测能够识别哪些ICMP差错报文?

当前识别的icmp-err的组合有下面这些:()中为ICMP报文的类型,[]中为ICMP的代码范围。

     type                            code

   ICMP_UNREACH(3)                [0, 12]

   ICMP_SOURCEQUENCH(4)           [0, 0]

   ICMP_REDIRECT(5)               [0, 3]

   ICMP_TIMXCEED(11)              [0, 1]

   ICMP_PARAMPROB(12)             [0, 1]

安全域

·     系统默认安全域有哪些?

目前,系统默认支持5个安全域。如下:Trust、Untrust、DMZ、Local和Management域。

·     安全域的特性方面,和V5版本相比,有哪些差异?

主要有如下差异:

(1)     V7的版本,创建安全域时,无域ID的概念。

(2)     V7的版本,安全域没有优先级、共享等属性。

(3)     同一安全域之间,默认策略是deny的。

·     管理口默认在安全域中吗?

管理口GigabitEthernet1/0/0默认已加入Management安全域。

对象策略

·     IPv4地址对象组包含哪些地址类型?

主要包括主机地址类型、域名地址类型、网段类型地址、范围类型地址。一个对象组可以包含多种地址类型。对象组可以嵌套,即一个对象组可以包含另外一个对象组。

·     对象策略的规则匹配顺序是什么?

当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照域间实例视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。

·     对象策略的类型

对象策略有2种类型:IPv4地址对象策略、IPv6地址对象策略。

·     对象策略中,VRF参数所指vpn-instance指的是入接口还是出接口的vpn-instance?

入接口的vpn instance。

域间策略

·     安全域之间,默认域间策略是怎么样的?

默认是deny的。

·     域间策略有哪2种方式

包括2种方式:对象组策略和包过滤策略,建议根据实际组网情况独立使用。

·     如果packet-filter和object-policy两者在域间策略中同时存在的时候,优先匹配哪一个?

优先匹配object-policy。

·     对象组支持引用对象组,那么对象组多级引用对象组,深度上,最深支持几层引用?

支持5层深度的引用。

·     域间策略和NAT操作的顺序是怎样的?

NAT server是在域间策略前作转换,域间策略匹配NAT server转换后的IP地址;

NAT outbound是在域间策略后进行转换,域间策略匹配NAT outbund转换前的IP地址。

·     GRE、L2TP等隧道流量域间策略的配置,需要关注哪些问题?

对隧道流量,需要配置两条策略。在解封装方向,需要配置如下两条策略:

(1)     物理入接口所在安全域到Local域之间的域间策略;

(2)     Tunnel或者VT所在安全域到物理出接口所在安全域之间的域间策略。

加封装方向需要配置如下两条策略:

(1)     1物理入接口所在安全域到tunnel或者VT口所在安全域之间的域间策略;

(2)     Local域到物理出接口所在安全域之间的域间策略。

IPSec

·     IPsec策略的相应配置中带有vpn-instance时,其中ACL的规则需要带vpn-instance吗?

ACL的规则里面需要配置vpn instance参数,只需要在规则的源端配置vpn instance参数。

PKI

·     PKI域下usage配置为何不生效?

usage命令是PKI提供一个指定证书扩展用途的命令,证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终以CA服务器的实际情况为准。

4  DPI相关特性FAQ

AVC带宽管理和DPI其他业务的异同?

·     不同点:

AVC带宽管理不需要创建和引用app-profile,配置开启即生效;AVC带宽管理traffic-policy是在系统视图下配置的,全局生效,不论端口类型,只与策略的匹配条件有关;AVC带宽管理策略和通道的条数不受限制,只与设备内存有关。

·     相同点:

都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能,AVC带宽管理以DIM的会话拓展信息来限速,此外,基于应用应用组的限速则需要DIM识别后才能成功限速。

配置了接444口带宽,为什么不生效?

接口带宽供其他模块调用,并不单独生效,需要配置带宽策略才生效,且需开启带宽策略,空策略亦可。此外,接口带宽只在流量方向的出接口生效,意思就是在流量方向的出接口配置接口带宽才会生效,反向亦可。

带宽策略、接口带宽和Qos作用的先后顺序?

流量从入接口进入,首先受到入接口的默认接口带宽(如1G口默认接口带宽是1G,10G口是10G)的限制,接着受到入接口配置inbound方向qos的限制,然后根据带宽策略的匹配条件对流量进行筛选,筛选通过的流量进入对应的带宽通道,受到带宽通道的限速,如果出接口配置了接口带宽(如:bandwidth 100000,即100M接口带宽),会继续受到出接口的接口带宽限制,最终受到qos的outbound方向的限制。(一般情况下,DPI业务不与Qos配合使用,功能有重复,且Qos业务会影响到AVC带宽管理的一些配置)。

带宽策略里面的优先级和带宽通道里面转发优先级、重标记DSCP有什么用途和区别?

带宽策略下的优先级只是作为一个流量的匹配项,其实质就是检测报文中相应字段有没有DSCP的标记(如:af11、ef等),有则限速,无则不作处理。其用处和其他匹配项(如:源目的安全域、源目的地址等)相同。

带宽通道里面的转发优先级是针对带宽通道而言的,就是当链路发生阻塞时,优先转发优先级高的通道,这个是真正意义上的优先级,并不是带宽策略里面的优先级。

带宽通道里面的重标记DSCP和带宽策略里面优先级时对应的,它的作用就是改变初始报文中的DSCP标记,用来区分不同的流量,可通过抓包工具在IP层发现修改DSCP标记是否生效。

带宽策略里面不同匹配项之间“与”和“或”的关系?

带宽策略里面有多个匹配项,除了用户与用户组、应用于应用组之间是“或”的关系,其他匹配项之间是“与”的关系,意思就是用户和用户组只要匹配上至少一个即可,应用和应用组之间只要匹配上至少一个即可;此外,各匹配项自身可配置多个选项,自身多个选项只要匹配上至少一个,即此匹配项匹配成功。

带宽策略生效优先级和父子策略生效优先级?

带宽策略配置多条策略后,同时开启,最先配置的带宽策略先生效,从web和命令行直观就是从上到下,依次匹配;父子策略开启,先匹配父策略,父策略匹配上了才能继续匹配子策略,子策略匹配上了走子策略引用的带宽通道,子策略配置的带宽通道受父策略配置的带宽通道的限制。

打了流量好长时间,为什么流量报表和流量日志没有统计显示?

两个原因,第一个,确保流量打通了,确确实实打到设备里面了;第二个,查看流量报表和流量日志,必须开启会话统计,就是必须敲“session statistics enable ”这个命令,过一小段时间便会有流量统计。

配置基于每用户/每IP限速时,怎么限速不准确?

要学会计算整体限速,比如每用户限速是100kbps,10个用户就是1M;每IP限速100kbps,10个IP就是1M。如果限制了整体最大带宽,那么每用户限速*用户数量<整体最大带宽,同理,每IP限速*IP数量<整体最大带宽,意思就是如果每用户/每IP限速乘积大于整体带宽,显示的就是整体带宽的数值,而不是计算后的每用户/每IP限速。

为什么使用实时带宽查询命令显示不了当前连接数?

可以用display traffic-policy statistics connection-limit maximum per-rule all来统计显示每条策略CC(当前连接数)、RC(拒绝连接数)、CL(总连接数限制),目前版本需要先配置CL(总连接数限制)后,可在带宽通道“会话连接数限制-整体并发连接数”设置即可,才能查看到CC和RC;

此外,可以使用命令display traffic-policy statistics bandwidth rule all来统计显示每条策略生效时的实时带宽(目前版本暂不支持每用户、每IP的带宽限速显示)。

每用户和每IP最大带宽限速、并发连接数限制、新建速率限制?

针对带宽策略rule而言,最大带宽限速指的是整体最大带宽的限速,是每条rule的整体限速,而每用户、每IP最大带宽限速最终都要受到整体最带带宽的限制,且每用户和每IP相互排斥,只能选择其中一项;同理,并发连接数和新建速率也区分整体rule的和每用户、每IP的。

 转发优先级和保证带宽谁的优先级高?

首先要明确两者使用的情况,转发优先级是配置即生效,而保证带宽只是在链路发生拥塞时确保关键业务不受影响才生效的。比如同样的两条关键业务的保证带宽同时生效,转发优先级高的通道就优先转发,两者不是一个时间段的概念。保证带宽只是确保它有一条最低的带宽供其占用,具体转发不转发在不配置转发优先级的情况下是自由竞争谁先转发,配置了转发优先级后,才明确谁具有优先转发的级别。

AV的工作原理是什么?

AV通过深度包检测(DPI)技术对报文的载荷做协议分析、特征查找、内容提取来进行策略匹配并执行告警、阻断、重定向动作。AV防病毒需要创建和引用app-profile,同时可配置自定义的AV防病毒策略,也有系统预定义的default策略;且与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能。

AV能识别的报文有哪些?

目前我司AV现有实现是,支持FTP/HTTP/IMAP/POP3/SMTP等协议传输的报文进行检测。

在域间引用了AV策略,为什么无法命中?

初步认为有两个原因:

·     第一,首先查看设备有无license,若无license设备则无法正常命中病毒报文;

·     第二,AV的命中规则没有下发到DIM内核,在域间引用AV策略以后,下发配置生效,设备会将引用的AV策略的规则下发DIM内核;若AV规则未能正常下发,DIM内核中没有AV的命中规则,当设备接收到病毒报文时,没有对应的规则命中匹配,病毒报文也就无法正常匹配了。

AV的病毒例外和应用例外作用的先后顺序?

病毒报文经过设备首先会被检测是否匹配病毒例外,若符合病毒例外,则直接按病毒例外的动作执行;当不匹配病毒例外时,再去检测是否匹配应用例外的动作,如果匹配则执行应用例外的动作,若不匹配则按照AV策略的规则动作执行。

域间不引用AV策略,DIM也有AV命中统计?

在域间不引用任何AV策略,回放AV规则匹配的病毒报文,AV无命中统计信息,但DIM中有AV的命中统计;因为只要配置中存在app-profile引用AV策略,AV的规则就会在DIM中生效,所以DIM中有命中统计。

配置协议检测方向动作时,AV命中统计和DIM命中统计不一致?

配置协议的检测方向为上传或下载时,打流后发现AV的命中统计信息和DIM中AV的命中统计不一致,因为AV模块设置了方向过滤,配置了检测方向,就只命中检测方向的报文,DIM是全局统计没有设置方向过滤,对报文进行双向检测。

长时间打流,流量日志和威胁日志不更新?

两个原因,第一个,确保流量能够打通,确实达到设备上了;第二个,观察设备是否报内存门限告警,设备一旦报内存门限,日志报表上面的数据就不会再更新,除非设备重启。

配置了阻断JPG文件的文件过滤,为什么打开的网页中仍然有图片?

·     文件过滤只支持HTTP,FTP和SMTP三种协议,若网页是加密的HTTPS协议,则不支持。

·     若图片文件位于URI的参数部分(URL中“?”以后的部分为参数),则文件过滤不对其生效。

为什么会发生文件过滤偶尔不生效或产生错误动作的现象?

文件过滤是基于DIM(Deep Inspect Machine,深度检测引擎)的,新增或修改配置后需执行inspect active才能生效。在新增或修改完成到inspect active生效的这段时间通过的报文会发生不生效或产生错误动作的现象。

为什么文件过滤日志和报表中没有内容?

报表和日志功能需要命令行执行session statistics enable才能生效。

URL过滤的特征?

URL过滤只针对路径进行过滤,比如wwwbaidu.com/news ,过滤的就是输入的网址路径,不会对body字段进行过滤。而且URL过滤仅支持HTTP协议。

黑名单、白名单、预定义分类、自定义分类动作执行优先级?

白名单 >黑名单 〉自定义分类 〉预定义分类(未修改分类优先级)

自定义分类匹配原则:按照分类优先级匹配

预定义分类匹配原则:

(1)     同一规则两个预定义分类中,如果两个分类都被URL策略引用(或者都没有被策略引用),则按照分类优先级进行匹配。

(2)     如果一个被策略引用,另一个未被策略引用,则优先匹配被URL策略引用的分类。

URL规则使用正则表达式时的限制?

Host字段:regex是正则表达式,取值为3~224个字符的字符串,区分大小写,只能以字母、数字和下划线开头,不能以特殊符号开头,支持特殊字符配置,且必须包含连续的3个非通配符

Uri字段:regex是正则表达式,取值为3~224个字符的字符串,区分大小写,支持特殊字符配置,且必须包含连续的3个非通配符。

正则表达式下的特殊字符

要匹配在正则表达式中有特殊含义的字符时要在前面加“\”,例如:匹配“.”是在web上输入“\.”,而命令行中要输入\\.

什么是云端查询?

云端查询:设备收到HTTP报文时,如果HTTP报文中请求的域名不在预定义库,用户手动配置中都没有找到相应的分类时,就会向云端服务器发送请求报文,云端服务器返回报文的分类信息。

可以手动配置云端服务器:

[H3C] url-filter category server 184.37.0.40

IPS入侵防御系统和DPI其他业务的异同?

·     不同点

(1)     IPS功能需要安装License才能使用。License过期后,IPS功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。

(2)     设备支持预定义IPS特征,其由系统中的IPS特征库自动生成。预定义IPS特征的内容不能被创建、修改和删除,但是预定义IPS特征的动作属性和生效状态属性可以被修改。

(3)     IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型:

¡     黑名单:阻断符合特征的报文。如果设备上同时开启了黑名单过滤功能,则将该报文的源IP地址加入IP黑名单,再次收到来自此IP地址的报文时直接丢弃;如果设备上没有开启黑名单过滤功能,则仅阻断报文,而不会把报文的源IP地址加入IP黑名单。有关黑名单功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”。

¡     丢弃:丢弃符合特征的报文。

¡     允许:允许符合特征的报文通过。

¡     重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。

¡     重定向:把符合特征的报文重定向到指定的Web页面上。

¡     捕获:捕获符合特征的报文。

¡     日志:对符合特征的报文生成日志信息。

¡     邮件:对符合特征的报文生成邮件信息。

·     相同点

都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能IPS入侵防御系统以DIM的会话信息来进行识别,此外,攻击的识别也与APR的设置相关。

IPS处理与黑名单的优先级?

黑名单优先级高于IPS处理。

IPS动作之间的关系?

重置、重定向、黑名单、丢弃、允许5个动作是与的关系,与捕获、日志、邮件是或的关系。

IPS动作优先级?

动作优先级从高到低的顺序为:重置 > 重定向 > (黑名单/丢弃) > 允许,其中黑名单与丢弃的优先级相同。

 报文同时与多个IPS特征匹配成功如何执行?

如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。

在特征库没有发生变化时,突然以前可以识别的攻击识别不了了?

一般情况下是由于port-mapping对于本可以识别的攻击报文的端口进行了设置,删除该port-mapping设置,攻击就可以正常识别了。

APR和DPI其他业务的异同?

·     不同点:分成PBAR(Port Based Application Recognition,基于端口的应用层协议识别)和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)两部分。

·     相同点:NBAR都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能。

NBAR支持那些协议?

NBAR支持HTTP、TCP、UDP协议的特征定义。

关于HTTP协议的NBAR特征定义

[H3C] nbar application body protocol http

[H3C-nbar-application-body] signature 1 field ?

uri          uri                                                             

  raw-uri      raw-uri                                                          

  raw-body     raw-body                                                        

  statusline   statusline                                                      

  raw-header   raw-header                                                       

  raw-cookie   raw-cookie                                                      

  raw-content  raw-content                                                     

  stat-code    stat-code                                                        

  stat-msg     stat-msg

关于UDP协议的NBAR特征定义。

[H3C] nbar application uuu protocol udp

[H3C-nbar-application-uuu] signature 1 ?

  hex     Add a signature pattern in hexadecimal                               

  offset  Add signature offset                                                  

  regex   Add signature pattern by regex                                       

  string  Add signature pattern by string

关于UDP协议的NBAR特征定义,类似于UDP协议的特征定义。

PBAR是基于源端口还是目的端口的应用?

PBAR是基于目的端口的应用识别,配置某个目的端口的PBAR后,经过该目的端口的消息流都被识别为该PBAR应用。该部分功能已经在Web上有所展现。

相关命令行如下:

[H3C] port-mapping application {应用名} port 3000 ?

  acl       Specify acl filtering                                              

  host      Specify a host range                                               

  protocol  Specify a Layer 4 protocol                                         

  subnet    Specify a subnet                                                   

  <cr>

自定义的PBAR应用能设置最多可以配置多少端口?

自定义的PBAR应用最多可以配置1024个端口。

NBAR的signature最多可以设置多少个?

NBAR的signature最多可以设置8个(在NBAR应用中只有特征定义时,多个个特征间只要有一个特征匹配报文,该NBAR就是识别)

注意:signature INTEGER<1-65535> string XXX INTEGER<1-65535>可以任意选择。

5  SLB 特性(有些款型可能不支持SLB,以具体规格为准)

SLB虚服务器、实服务组、实服务器的概念?

·     虚服务器:虚服务器是负载均衡设备上提供的一种虚拟服务,是为了判断是否需要对到达负载均衡设备的报文进行负载均衡而引入的概念。只有与虚服务器IP地址匹配的报文才会进行负载均衡处理。

·     实服务器:实服务器用来在负载均衡设备上模拟用户的业务服务器,用于指导报文转发。一台实服务器只能属于一个实服务组,而一个实服务组可以包含多台实服务器。

·     实服务器组:为了便于对多台服务器进行管理,可以依据这些服务器的共有属性划分成不同的组,称为实服务组。比如,可按照存储内容的不同划分为歌曲服务器组,视频服务器组或图片服务器组等。

SLB如何排查业务不通的问题?

(1)     display real-server brief查看虚服务、实服务的状态,状态是否处于Active状态;

(2)     display virtual-server statistics查看对应虚服务统计信息是否有变化,有变化说明报文已经匹配到虚服务,应从匹配的虚服务找问题原因。否则,查看为何没有命中虚服务;

(3)     查看Debug调试信息。

SLB的HTTP类型下,设置规则为cookie,如果一个报文中包含多个请求,只检查第一个请求的cookie吗?

如果一个报文中包含多个请求,默认只处理第一个请求,按照第一个请求进行负载分担,要处理每个请求需要配置http parameter:rebalance per-request

SLB负载均衡动作中,删除头部,如果一个报文中包含多个请求,只删除第一个请求的头部吗?

如果一个报文中包含多个请求,默认只处理第一个请求,要处理每个请求需要配置http parameter:header per-reques

SLB的L参数模板中的set ip tos 命令与action中的set ip tos 命令有什么区别?

set ip tos在参数模板中设置改变的是发向客户端的报文的tos值,在action中设置改变的是发向服务器的报文的tos值。

6  Outbound LLB

OutBound链路负载虚服务和静态路由、策略路由的关系是什么?

OutBound链路负载均衡虚服务优先级高于静态路由和策略路由,因此如果报文匹配到OutBound链路负载均衡的虚服务,则负载均衡模块优先处理;如果报文没有匹配到虚服务,则会依次匹配策略路由、静态路由。

流量匹配上就近性,可是为什么就近性仍然会老化掉呢?

LB只是转发中间的业务处理之一,LLB是处于慢转预处理和查fib之后的处理阶段。

某一会话的首报文到到达LB,LB会为其选路,选择好RS后,会话会有快转表项生成,此会话的后续报文就不用再次选择RS了,就直接按照快转表项中的进行转发。因此如果开启就近性,也不会匹配就近性表项,而是直接走快转了。

因为就近性表项的刷新,是靠流量匹配来刷新的。此时,因为没有流量来匹配就近性,所以就近性表项可能会老化掉。

就近性和持续性都存在,流量先是去匹配哪个呢?

先匹配持续性,如果持续性表项不匹配,再去匹配就近性表项,如果就近性表项也不匹配,就按照算法来选择链路。

既使能持续性又使能就近性时,如果持续表项和就近性表项都不存在的情况下,是先根据算法生成持续表项。然后根据探测结果生成就近性表项。

持续性表项和就近性表项同时存在的情况下,持续表项优先。

就近性与link带宽限制同时起作用吗?

如果link配置了带宽速率限制,即使就近性表项中该link为最优,也会因为带宽限制而不走它,而是选择次优。等这个link的带宽低于限制后,则再次被选择。

就近性计算时的参数影响是什么样的?

在就近性计算时是根据各参数来计算各链路的。某一参数的权值增大,就说明其影响力变大。比如TTL和COST:

RS1: TTL(3) COST(99) COST优

RS2: TTL(2) COST(100) TTL优

就近性下TTL权值1 COST权值50;那么最终应该是RS1比较优;

如果就近性下TTL权值100,COST权值50,那么最终应该是RS2比较优。

就近性表项已经存在时,修改就近性探测方法,会怎么样?

已经存在就近性表项时,修改就近性探测方法,则会立即清空就近性表项,然后再由报文触发,利用新的探测方法进行就近性探测。

为什么已经在实服务组下使能就近性功能了,却仍然没有生成就进行表项?

可以先检查就近性下有没有配置就近性探测方法。

因为就近性表项的产生依赖于就近性探测,因此如果此处没有配置有效的就近性探测方法,则不会生成就近性表项。

为什么修改link的cost会清除就近性表项,而修改带宽不会呢?

在就近性计算中,cost是其中一个计算参考值,所以在修改link的cost时,会立即清除已有的就近性表项,以便将来有流量触发时重新计算就近性;

虽然就近性计算中,带宽也是计算参考值,但是这里的带宽指的是剩余带宽,剩余带宽会根据网络状况实时变化,就近性计算不可能实时去响应其变化。在修改link的rate-limit band 时,修改的是link的总带宽,并不是剩余带宽。

为什么所有link-group都去使能就近性,就近性表项仍然存在呢?

就近性表项是针对全局的,针对所有link-group的。当所有link-group都去使能就近性时,表项不会立即删除,也不会进行就近性探测,表项不会生效。而是继续保留直到老化删除,或者手工删除。

SIP流量时,为什么有时不能产生就近性表项呢?

如果此时会话里已经有会话了,则会直接按照会话转发,不再触发就近性探测。

如果没有会话,但是已经有会话关联表了,则首包会匹配会话关联表,而建立会话,以后的报文直接走会话。

子会话会根据关联表建立会话,然后走非首包流程。

为什么link没有被引用,却也是active的呢?

link如果被link-group引用了,受outbound配置的限制。如果outbound配置不完全就会显示该link为inactive的。

Link如果没有被link-group引用,只要有IP且触发了探测,按照探测决定状态。若没有探测就直接UP。

为什么nqa的debug中总打印一些abandon的error信息呢?

*Jun 11 16:44:48:264 2015 H3C NQA/7/Error: -Context=1; NQA entry (t1-instance12d
9e7090?) abandon the unkonwn packet.

协议栈对icmp报文全局上送,每个rawip icmp socket,都会收到其他模块icmp报文或者本模块其他icmp socket报文,对于这些报文会丢弃。

带宽算法是什么意思?

进入虚服务器视图 virtual-server vritual-server-name;

配置链路的带宽由接口统计:bandwidth interface statistics enable

缺省情况下,链路的带宽由负载均衡模块自行统计

剩余带宽=link的最大带宽-当前带宽

如果要测试带宽,一般都配置link的最大带宽

rate-limit bandwidth [ inbound | outbound ] bandwidth-value

是配置link的最大带宽,和接口带宽没有关系

只有VS下打开了bandwidth interface statistics enable,link的当前带宽不再使用LB自行统计的带宽,而是使用link的所在的接口的带宽作为link的当前带宽。

LB自行统计带宽,是指的LB分发给该link的报文,每秒做一次,然后下一秒分配连接时,就根据前一秒的这个值来确定链路带宽。

bandwidth:带宽算法,即报文根据link的权值与剩余带宽比例分发到各link上。

假如rs1的weight是3,剩余带宽100M;

rs2的weight是2,剩余带宽200M;

rs3的weight是1,剩余带宽是300M

那么三个link怎么分配?

大致比例:大致:3*100 : 2*200 : 1* 300

最大带宽算法是什么意思?

max-bandwidth:最大带宽算法,即报文总是分发给当前空闲带宽最大的link。

不论是否配置接口下获取带宽,总带宽都是根据link下配置的rate-limit band。

而如果虚服务下配置了从接口获取带宽,那么当前使用的带宽就从接口的Last来获取;如果没有配置从接口获取带宽,就从display real-server statist 的Throughput来获取。

如果在虚服务下配置从接口统计带宽,那么LB是从接口的Last统计中来获取带宽的。

接口的Last统计间隔,根据在接口上配置 flow-interval 来配置,比如 flow-interval 5 就是每5秒统计一次;

LB则是固定的每一秒都向接口Last获取一次值,得到当前使用带宽,再用配置在link下的rate-limit band 总带宽,来减去当前使用带宽,得到当前空闲带宽,进行比较。

接口最小统计间隔是5秒,这5秒内都只有同一个接口的流量是最小的,所以这5秒内LB分配也只有这个link1被选中。下一个5秒时,link1的流量就会统计为较大,那么就会在剩下的link里选择一个最大剩余带宽的,选中后就再次开始这个过程的循环。总之,接口统计5秒时间内,都只会选择同一个link;下一个5秒时间内,再次选择剩余带宽最小的link。

可能会出现多个链路中,只有某几个链路有流量,其他几个链路一直没有流量的情况?

最大带宽算法就是会选择一个link-group中剩余带宽最大的link,如果有多个link剩余带宽一样大,就会把排在前边的选出来(可能和你创建link的顺序有关),之前被选过的link的剩余带宽会在其他link被选期间再次变大,从而再次被选,导致有几个一直没有机会被选。

带宽繁忙保护对算法对选路的影响?

(1)     link-group中配置最大带宽算法,link1配置带宽繁忙比,并且剩余带宽最大:

根据最大带宽算法,先分配给link1,当link1的带宽超过保护带宽后,此时link1停止分配连接,连接分配给link2;当link1的带宽下降至保护带宽以下时,因为剩余带宽最大,再次因为最大带宽算法而分配连接。

(2)     link-group下使能就近性功能,当link1带宽超过保护带宽后,将不参与算法,也将不参与就近性探测。当带宽小于保护带宽后,重新加入算法,重新被就近性探测。

(3)     link-group下配置持续性,link1配置带宽保护,若持续性表项为link1,则将不受带宽保护的影响,而继续按照持续性向link1分配连接。

当链路使用带宽超过设置的繁忙比例即认为链路繁忙,默认繁忙比为70%,如果所有链路都超过繁忙比,那链路保护失效,算法重新回到最初配置的算法。

Link1是持续性表项,同时link1配置带宽保护,为什么会有很多失败呢?

持续性组下有个功能 override-limit enable,开启该功能后,如果该连接匹配了已有的持续性表项,将不受link上的带宽(指的带宽保护bandwidth busy-rate和max-bandwidth,以及带宽速率rate-limit bandwidth)及连接参数(rate-limit connection和connection-limit max )以及虚服务器上的连接数限制(指的lb-limit-policy)影响。

虚服务上同时配置连接限制,和连接数限制策略limit-policy,是怎么生效的?

是虚服务下直接配置的连接限制先过滤一次,然后再通过limit-policy过滤一次,两重过滤。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们