#原创分享#XSec安装+部署+调测实战

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励60000+“

【初识xsec】

XSec即集成安全平台，平台内有AF、AC、AD、DAS、LAS、OSM、BVT、VPN、EDR等虚拟设备组件，适用于不同场景不通部署方式的安全防护需求。本次实施只用到XSec里面的AF组件做安全防护，两台XSec服务器单臂部署在核心交换机，交换机通过策略路由将需要的过滤的流量引流至XSec，通过XSec里面的安全设备进行过滤，过滤完成后将流量回注到核心交换机。

流量走向如下图：

【安装xsec】

1、制作系统镜像

使用软碟通将XSec 5.0.2镜像写入优盘，写入方式选择“USB-HDD+"，记得勾选“刻录校验”

2、制作完镜像启动盘后，将下图3个安装包及其md5文件复制到优盘中的cssp_vma文件夹中

3、将优盘插到服务器USB口上，重启服务器选择优盘启动，进入XSec安装界面

4、同意软件许可，进行下一步，选择安装方式为格式化安装

5、选择系统安装在哪个盘上，选择SSD系统盘即可

6、输入format格式化系统盘安装XSec

7、测试系统盘读写性能

8、此处选择“是”，接下来就是等待安装过程中

9、安装成功看到提示后拔掉优盘，然后点击“确定”按钮，服务器自动重启引导进入系统

10、系统启动后界面显示https://10***，不要输入这个IP进行登录，因为这是XSec底层后台无法登录，需要等几分钟通过https://***登录XSec

【配置XSec】

配置之前将所需要的网口功能及IP进行规划，和超融合一样，分类管理、VXLAN、存储、业务四类网络，规划如下：

网口功能	主机1	主机2	IP地址
管理口	eth0	eth0	***（需要N+2个IP地址，N为主机数量）
VXLAN	eth1	eth1	系统自动生成IP，如果和内网冲突可以自定义
业务口	eth2、eth3	eth2、eth3	链路聚合
存储口	eth4、eth5	eth4、eth5	单交换机链路聚合

两台XSec和两个核心交换机对接示例图：

业务口将eth2和eth3做聚合口，核心交换机也需要做相应的链路聚合，VLXAN和存储口两台服务器直连。

1、电脑直连服务器eth0口，在浏览器中输入https://***，并使用默认账号密码：**/**登录安全服务平台。

2、我这里有2台服务器选择集群模式，输入管理口IP和XSec管理IP地址，注意“设置XSec运行在当前主机”两台服务器只能有1台设备勾选，勾选的设备为主控，以后初始化工作均在主控设备上进行操作，未勾选此选项的设备只需要设置管理口IP将管理口接入网络即可。

3、选择需要添加到集群的主机，输入集群管理IP（此IP为XSec底层集群IP）

4、设置数据通信口（VXLAN）的接口，默认生成了地址，如果和内网冲突可以手动设置

5、添加存储网口，因为两台XSec的存储口是直连的，所以选择"单交换机链路聚合"

6、设置硬盘用途，默认系统设置好硬盘用途

7、接下来耐心等待初始化

8、XSec初始化完成后进入设备界面导入授权，将授权导入能够看到用户信息和设备授权信息，确认无误后立即激活

9、将XSec对应版本的AF组件模板导入平台

10、将两台主机的eth2和eth3做链路聚合，将两个聚合口作为物理出口

【虚拟路由器和vAF配置】

在做配置之前将物理出口、虚拟路由器、AF添加到拓扑中，并将设备之间连线

虚拟路由器配置：

配置接口，分别连接核心交换机与两台AF

eth0：与核心交换机互联口

eth1：连接vAF1

eth2：连接vAF3

配置默认路由回指到核心交换机上，下一跳为虚拟路由器和核心交换机互联IP

配置策略路由，将不同流量分别引入两台AF

AF配置：

划分区域配置接口IP

通过静态路由将下一跳回指到虚拟路由器上，由此可以将过滤完的流量回注到核心交换机

配置应用控制策略，来对流量进行过滤

配置安全防护策略对漏洞攻击进行防护

【核心交换机配置】

核心交换机配置策略路由引流至Xsec，下面给出华为交换机策略路由配置示例：

1、配置ACL

[quidway]acl number 3999

[quidway-acl-adv-3999]rule 5 permit ip destination IP地址 反掩码

(2)创建流分类

traffic classifier  chenfei_p1

if-match acl 3999

(3) 创建流行为

traffic behavior chenfei_b1

redirect  ip next-hop IP地址（这个IP是虚拟路由器连接物理出口的eth0口IP）

(4)创建流策略

traffic policy chenfei_p1

classifier  chenfei_p1 behavior chenfei_b1

(5)接口应用流策略

interface xg2/0/4

traffic-policy chenfei_p1 inbound

(6)检查策略路由

使用display traffic policy命令，检查流策略配置

使用display traffic classifier命令，检查流分类配置

使用display traffic behavior命令，检查流行为配置使用

使用display traffic-policy applied-record命令，检查State字段，如果是success则表示流策略应用成功。

感谢楼主！本文对XSEC上架以及部署调试等都做了详细的说明，从U盘的刻录到一步步的安装和调测都配上了相对应的图片。很用心，干货满满！期待楼主的下次分享！

您好，您的文章已被收录到原创分享计划并放到技术博客中，以便让更多的小伙伴们关注和学习，文章将交由专家评审小组评审，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！
发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=124801

感谢分享，很详细

学习了，感谢分享

感谢分享，学习了

感谢分享

支持支持

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享