Xsec等保一体机实施案例

【拓扑】如图

【环境说明】

服务器配置需求：

服务器至少需要4个网口。其中2个口作为引流口，1个口作为管理口，用来登录设备做初始化配置，另一个是vxlan口，由于该平台的机制，导致该网口不能使用，作为扩容保留口。

需提前准备：

1、确认下哪些主机的流量需要被镜像到等保一体机，提供下IP地址；比如主机X的IP地址是A，通过引流策略将所有访问A的流量都镜像到等保一体机做流量清洗。

2、准备下等保一体机的2个管理地址、掩码、网关等基础信息；该地址用于管理等保一体机。

3、准备一个IP地址，该地址可以被访问到。该地址用于将DAS、LAS等安全组件发布出去，供主机X等接入使用。

4、引流操作，需要网络工程师配合在引流交换机上做引流策略。

注意事项：

1、如果交换机做了堆叠或者单台部署，则只需要一个引流口。

2、如果是2个引流口，则一共需要5个IP地址，2个管理地址，1个虚拟服务发布地址，2个引流口地址。

3、如果是1个引流口，则一共需要4个IP地址，2个管理地址，1个虚拟服务发布地址，1个引流口地址。

因为交换机上要配置策略路由，策略路由的下一跳地址就是引流口地址，所以引流口地址必须和现有的业务地址能通信。

【等保一体机配置】

注意事项：

1、本次实施需要使用xsec版本为502R2。

2、本次实施完成需要打一个定制包。具体联系高治远17854225864获取。

3、测试key的使用时间，可以到服务器后台使用vtsn_tool -t进行查看，为0则过期了

4、BVT模板在X-sec里已用云镜替代，若想独立部署需要自定义应用进行上传

5、组件若上传了一直循环创建（创建了一次又让你点立即生效），或打开控制台页面返回502，都是模板版本高于Xsec5.0.2版本，因此需要打SP-JG03的补丁包，打包后即可正常创建和打开页面

6、部分组件打开页面提示报错信息获取失败，所有模块不可用，大概率是由于浏览器插件不兼容导致，一般切换为chrome或firefox浏览器重新访问即可，小概率同上打包后即可解决。

7、如果需要安全组件的地址和核心交换机的地址通信，则需要配置SNAT（可选配置）。

等保一体机初始化配置完成后，需要搭建内部拓扑，如下图：

说明：由于本案例中两台ISW未做堆叠，均有流量在跑，故需要两个引流口。

【虚拟组件配置注意事项】

1、引流

通过AD将网络流量引流到到等保一体机内进行流量清洗。

配置如下策略路由

注意AD需要开启对称路由模式

2、AF配置

AF双虚拟网线模式部署于引流口与AD之间，对流量进行清洗。

3、其他虚拟组件

剩余的组件均单臂部署，各自配置IP地址，且内网可访问

感谢楼主的无私分享。

感谢分享，有助于工作

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢楼主的无私分享。

Xsec哪来的虚拟服务发布地址？