H3C-SecBlade-II-(防火墙板卡)开局指导.doc

H3C SecBladeII开局指导书Deployment Instructions for H3C SecBladeII Beta Test杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.(仅供内部使用)(For internal use)拟制：Drafted by:8042-test,ts-secpathDate日期2009-3-23审核：Reviewed by:Date日期审核：Reviewed by:Date日期批准：Approved by:Date日期修订记录Revision Records日期Date修订版本Revision描述Description作者Author2009-3-23V 1.10增加了对SR88系列路由器的支持；修改部分内容巫继雨目 录1 产品简介与基本工作原理11.1 产品简介11.2 基本工作原理12 版本配套与硬件安装22.1 版本配套22.2 硬件安装22.3 网络连接32.3.1 SecBladeII接口介绍32.3.2 SecBladeII与S7500E/S9500/SR8800业务线缆连接42.4 SecBladeII的管理42.4.1 WEB方式管理42.4.2 命令行方式管理53 防火墙基础配置63.1 防火墙的几个基本概念63.1.1 虚拟设备63.1.2 安全区域63.1.3 会话73.2 防火墙的基本工作流程93.3 防火墙的基本配置104 透明模式基本转发配置（二层转发）124.1 组网需求124.2 典型配置124.2.1 命令行下的配置124.2.2 WEB配置134.3 工作流程154.4 注意事项155 路由模式基本转发配置（三层转发）165.1 组网需求165.2 实现方式165.2.1 三层子接口方式185.2.2 三层VLAN虚接口方式216 MCE典型应用配置256.1 组网需求256.2 配置方法266.2.1 S9500的配置266.2.2 SecBlade II的配置276.3 工作流程317 自带GE口的业务应用317.1 inline转发317.1.1 组网需求317.1.2 典型配置327.1.3 工作流程327.2 普通防火墙应用338 SecBladeII的基本维护338.1 版本维护338.1.1 设置设备启动时加载的版本338.1.2 下载版本到CF卡338.1.3 重启设备348.2 配置维护348.2.1 配置文件组成348.2.2 配置保存348.2.3 配置导入35开局指导书Customer sites Deployment Instructions关键词：Key words:摘 要：Abstract:缩略语清单：List of abbreviations: 缩略语Abbreviations英文全名Full spelling 中文解释Chinese explanation & 注意：本文中的配置均以SecBladeII和S9500为例，SecBlade与S7500E系列交换机以及SR88细类路由器配合的配置类似，不单独介绍。1 产品简介与基本工作原理1.1 产品简介 H3C SecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。SecBlade 防火墙插卡采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，交换机的原有业务处理不会受到任何影响。1.2 基本工作原理SecBladeII插卡与交换机(路由器)通过内部10GE总线进行通信。其工作原理如下： 图1 SecBladeII与交换机的报文转发 如上图，S9500第2号槽位上接入SecBladeII，3号槽位为普通业务口，g3/0/1和g3/0/2接口运行业务，SecBladeII和S9500内部数据交互口在S9500系统上表现为int Ten-GigabitEthernet 2/1/1，在SecBladeII上表现为Ten-GigabitEthernet 0/0。数据包的转发过程如下：(1) 数据包通过业务板g3/0/1送给S9500；(2) S9500通过与SecBladeII的内部总线int Ten-GigabitEthernet 2/1/1（trunk）送给SecBladeII的Ten-GigabitEthernet 0/0（或者子接口）。(3) SecBladeII进行相关防火墙功能处理后，通过Ten-GigabitEthernet 0/0（或者子接口）送回S9500；(4) S9500做相关处理后通过业务口g3/0/2正常转发。 2 版本配套与硬件安装2.1 版本配套H3C SecBladeII插卡目前包括的单板类型为LSB1FW2A0（用于H3C S9500系列以太网交换机）、LSQ1FWBSC0（用于H3C S7500E系列以太网交换机）和IM-FW（用于H3C SR8800系列路由器），其对应的软硬件配套关系如下：SecBladeIIS7500ES9500SR88SECBLADEII-CMW520-R3102P10及以上S7500E-CMW5.20-E6200及以上S9500-CMW520-F2130及以上SR8800-CMW520-R3229-SI及以上2.2 硬件安装SecBladeII的硬件安装与S7500E/S9500/SR8800其它单板相同，支持热插拔。安装完成后，S7500E/S9500/SR8800能识别单板（如果不能识别，请仔细对照2.1版本配套）：S9500dis deviceSlot No.Brd Type Brd Status Subslot Num Sft Ver 0 LSB1SRP1N6 Master 0 S9500-CMW520-F2129P01 1 NONE Absent 0 None 2 LSB1GT12C0 Normal 3 S9500-CMW520-F2129P01 3 NONE Absent 0 None 4 LSB1FW2A0 Normal 0 S9500-CMW520-F2129P01 5 LSB1XP2B0 Normal 0 S9500-CMW520-F2129P01 6 LSB1F32GB0 Normal 2 S9500-CMW520-F2129P01.dis deviceSlot No. Brd Type Brd Status SubCard Num Sft Ver 0 SR02SRP1E3 Master 0 SR8800-CMW520-R3229 1 NONE Absent Absent None 2 SPE-1010 Normal 1 SR8800-CMW520-R3229 3 NONE Absent Absent None 4 NONE Absent Absent None 5 NONE Absent Absent None 6 IM-FW Normal 1 SR8800-CMW520-R32292.3 网络连接2.3.1 SecBladeII接口介绍 图2 SecBladeII接口介绍SecBladeII自带1个console口、4个千兆外部接口（int G0/1int G0/4，其中G0/3和G0/4为光电复用接口）和1个10GE的内部接口（interface Ten-GigabitEthernet 0/0）。4个外部千兆口主要用于管理，不推荐运行业务。10GE的内部接口用于与交换机(路由器)交互数据，运行业务，其基本的报文转发流程见图1。& 说明：S7500E/S9500系列交换机上的SecBladeII防火墙的前面板颜色为黑色，而SR8800系列路由器上的防火墙板卡前面板为白色。除此外，外部接口和位置完全相同。2.3.2 SecBladeII与S7500E/S9500/SR8800业务线缆连接 在插入SecBladeII后，一般情况下，S7500E/S9500/SR8800使用其他业务单板提供对外业务，S7500E/S9500/SR8800和防火墙的交互通过内部的10GE接口来完成。不推荐使用SecBladeII自带GE口处理业务，自带外部四个GE口只用来进行管理。2.4 SecBladeII的管理SecBladeII集成强大的WEB管理功能，大部分配置都能通过WEB完成，同时，支持命令行，命令行主要提供简单的配置、信息查看、故障诊断。推荐使用WEB方式进行配置。2.4.1 WEB方式管理SecBlade防火墙出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录防火墙的Web界面。默认的Web登录信息包括：l 用户名：h3cl 密码： h3cl 验证码：按照提示输入l SecBladeII的G0/1口默认IP地址：/24采用Web方式登录防火墙的步骤如下：(1) 连接设备和PC用以太网线将PC和设备的以太网口G0/1相连。(2) 为PC配置IP地址，保证能与设备互通修改IP地址为/24，例如。(3) 启动浏览器，输入登录信息在PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入 “”后回车，即可进入设备的Web登录页面，如图3 所示。输入用户名“h3c”、密码“h3c”和验证码后，单击按钮即可登录。图3 Web登录界面2.4.2 命令行方式管理如图2，SecBladeII自带console口，可以用串口线对SecBladeII进行管理，其串口参数与管理H3C主网络设备设置相同。3 防火墙基础配置3.1 防火墙的几个基本概念3.1.1 虚拟设备虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的防火墙（虚拟设备）。每个虚拟设备之间相互独立，业务单独控制，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”。3.1.2 安全区域防火墙作为网络安全设备，按照业务的重要性高低，将网络分为若干个安全区域，安全区域以防火墙接口为边界。引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。图4 防火墙安全区域缺省情况下，一个防火墙（或者虚拟）有4个业务安全区域： Local、Trust、DMZ、Untrust，其安全级别分别是100、85、50、5。还有一个特殊的管理区域Management，安全级别为100。如图4，把G0/1G0/3分别加入Trust、Untrust、DMZ区域，其含义是：以防火墙为边界，G0/1G0/3接口外的区域分别属于Trust、Untrust、DMZ区域，注意不包括防火墙接口本身，防火墙本身所有接口G0/1G0/3（加入Management域的接口除外），都属于Local区域。默认Local区域可以被任何区域访问，也即防火墙的自身接口是对所有区域开放的。3.1.3 会话所谓流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：l TCP流：通过五元组唯一标识l UDP流：通过五元组唯一标识l ICMP流：通过三元组 + ICMP type + ICMP code唯一标识l RAW IP流：不属于上述协议的，通过三元组标识所谓会话（Session），以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。对于TCP/UDP/ICMP/RAW IP流，首包进入防火墙时开始创建会话，后续相同的流或者返回报文可以匹配该会话。以TCP 三次握手为例：图5 会话建立如图5 trust区域的:1564访问untrust区域的的23端口，首包syn报文开始创建一个双向会话（:1564:23），后续SYN_ACK和ACK报文都匹配到此会话后，完整的会话创建完成。后续数据流如果匹配到此会话则放行通过。3.2 防火墙的基本工作流程图6 防火墙的基本工作流程 & 注意：防火墙缺省下，高级别区域能访问低级别区域，低级别区域不能访问高级别区域。此缺省规则不能更改。3.3 防火墙的基本配置图7 SecBladeII基本图如图7 ，创建两个子接口ten-g0/0.1和ten-g0/0.2，分别属于trust和untrust区域。(1) 创建子接口ten-g0/0.1和ten-g0/0.2，“系统管理接口管理添加”图8 创建子接口ten-g0/0.1图9 创建子接口ten-g0/0.2(2) 将子接口ten-g0/0.1和ten-g0/0.2分别加入trust、 untrust区域以将ten-g0/0.1加入trust区域为例，ten-g0/0.2加入untrust域步骤类似，系统配置安全域管理：对trust域进行操作，将ten-g0/0.1加入：做了上述操作后，从高级别区域（如trust）能访问低级别区域（如untrust），反方向不能访问。4 透明模式基本转发配置（二层转发）4.1 组网需求 二层转发是指利用一种特殊的方式来实现将二层报文上送到SecBlade板卡，常见的部署场景是：用户VLAN最初终结在S9500上，例如VLAN102的网关VIF102配置在S95上。但此时用户要求将VLAN102的报文上送到防火墙上进行过滤，但网关还是放在S95上。此时我们就可以使用二层转发方式来实现：将S95上的VIF102改为VIF103，但地址不变；用户VLAN102报文上送SecBlade，SecBlade完成换VLAN标签的动作，即将VLAN102更改为VLAN103；然后报文终结在S95上的VIF103上。如图：PC1和PC2分别属于S9500的VLAN102和VLAN103，其IP地址分别为/24和53/24，PC1的网关为VIF103 54/24,需要通过SecBlade实现：PC1可以访问网关、PC1可以ping通PC2。4.2 典型配置4.2.1 命令行下的配置1. S9500的配置#vlan 102 to 103/创建所需VLAN#interface Vlan-interface103/VLAN102的网关 ip address 54 #interface GigabitEthernet2/1/12 port link-mode bridge port access vlan 102#interface GigabitEthernet2/1/13 port link-mode bridge port access vlan 103#interface Ten-GigabitEthernet6/1/1 port link-mode bridge/10GE接口工作在桥模式 port link-type trunk port trunk permit vlan 1 102 to 103/将所需VLAN上送到SecBlade#2. Secblade的配置#vlan 102 to 103/创建所需VLAN#vlan 1000 /SecBlade内部转发所需VLAN#interface Ten-GigabitEthernet0/0 port link-mode bridge/10GE接口工作在桥模式 port link-type trunk port trunk permit vlan 102 to 103#interface Ten-GigabitEthernet0/0.102/用于接收VLAN102报文 port link-mode bridge port access vlan 1000/所属vlan为1000#interface Ten-GigabitEthernet0/0.103/用于接收VLAN103报文 port link-mode bridge port access vlan 1000/所属vlan为10000#4.2.2 WEB配置(1) 创建子接口ten-g0/0.102、ten-g0/0.103（参考图8、图9）。(2) 进入WEB管理界面后，单击“系统管理”“安全域管理”，编辑trust安全域，将ten-GigabitEthernet0/0.102加入该域，注意所属VLAN为1000；同样的操作，将ten-GigabitEthernet0/0.103加入untrust安全域，所属VLAN也是1000。(3) 然后通过WEB页面配置trust与untrust之间的策略（通过面向对象ACL来实现）可实现安全过滤。下面是允许从untrust到trust的所有主动访问：4.3 工作流程经过交换机流量的来源和目的属于不同VLAN跨VLAN二层转发时，具体过程如下（以报文从PC1转发到PC2为例）：(1) PC1报文进入交换机，交换机对报文加上VLAN102 Tag标签，因为报文目的属于另一个VLAN 103，不能直接查MAC地址表转发，因此报文由Trunk口发送至防火墙插卡。(2) 防火墙子接口ten-g0/0.102收到VLAN102的报文，发现其VLAN tag与子接口号ten-g0/0.102相同，去掉报文中的Tag标签（此处为SecBlade的一个特殊处理：即VLAN标签和子接口编号相同时，即去掉VLAN标签），加上防火墙VLAN的Tag标签VLAN 1000，之后对报文进行相关处理（防火墙的各种安全功能）。(3) 防火墙插卡去掉报文中防火墙VLAN的Tag标签VLAN1000，加上出方向子接口ten-g0/0.103对应VLAN的Tag标签VLAN103（出方向子接口可以通过查MAC地址表确定）后把报文发送至交换机。(4) 交换机在对应的VLAN中转发报文。4.4 注意事项(1) SecBlade II XGE口在二层模式下上面配置的子接口的编号和子接口本身所属VLAN的ID不能相同。 interface Ten-GigabitEthernet0/0.102 port link-mode bridge port access vlan 1000 /这个编号不能与子接口的编号102相同(2) 接口工作在桥模式下，使用二层子接口实现跨vlan转发，出入报文域由二层子接口所在安全域确定，不受物理口（即10GE接口）所在安全域的影响。(3) 子接口下面可不配置port access vlan 1000，则该子接口PVID默认为1，不建议使用默认PVID。(4) 命令行子接口下配置的 port access vlan 1000是指报文进入SecBladeII，去掉已有tag（如VLAN 102），SecBladeII内部转发用的VLAN tag为vlan1000。5 路由模式基本转发配置（三层转发）5.1 组网需求内部网络划分VLAN101、102、103，分配划分到Trust、DMZ和Untrust安全区域，S9500作为二层，要求各VLAN网关终结在SecBlade上，SecBlade实现：VLAN间的访问控制；配置内部服务器；访问Internet。5.2 实现方式SecBlade有两种作为VLAN网关的配置方式：三层子接口和VLAN虚接口，但其实现原理本质上一样。在这两种实现方式中，S9500的配置保持不变。9500的配置：#vlan 101 description LAN#vlan 102 description DMZ#vlan 103 description WAN#interface GigabitEthernet2/1/11 port link-mode bridge port access vlan 101#interface GigabitEthernet2/1/12 port link-mode bridge port access vlan 102#interface GigabitEthernet2/1/13 port link-mode bridge port access vlan 103#interface Ten-GigabitEthernet6/1/1 port link-mode bridge port link-type trunk/10GE接口工作在Trunk模式 port trunk permit vlan 1 101 to 103/Trunk所需vlan到SecBlade#5.2.1 三层子接口方式1. 组网图 PC1、PC2、PC3分别属于VLAN101、VLAN102、VLAN103，在SecBlade上创建三个三层子接口ten-g0/0.101、ten-g0/0.102、ten-g0/0.103，配置IP地址作为S9500上的VLAN101、VLAN102、VLAN103的网关。2. SecBlade的配置(1) 命令行配置# version 5.20, Release 3102P10#acl number 3000/用于PC1 NAT访问Internet rule 0 permit ip source 55 rule 5 deny ip#vlan 1#interface Ten-GigabitEthernet0/0 port link-mode route/10GE口工作在路由模式#interface Ten-GigabitEthernet0/0.101/VLAN101的网关 vlan-type dot1q vid 101/接收vlan标签为101的报文 description LAN_Gateway ip address #interface Ten-GigabitEthernet0/0.102/VLAN102的网关 vlan-type dot1q vid 102/接收vlan标签为102的报文 description DMZ_Gateway ip address #interface Ten-GigabitEthernet0/0.103/VLAN103的网关 nat outbound 3000/配置NAT访问Internet nat server protocol tcp global www inside www/配置内部WWW服务器 vlan-type dot1q vid 103/接收vlan标签为103的报文 description WAN ip address # ip route-static #(2) Web页面配置将接口Ten-GigabitEthernet0/0.101、Ten-GigabitEthernet0/0.102和Ten-GigabitEthernet0/0.103分别添加到Trust、DMZ和Untrust域。注意：子接口所属VLAN无需配置，也无法配置。 在ten-g0/0.3接口上，配置Easy-IP方式的NAT Outbound，用于PC1访问Internet在ten-g0/0.3接口上，配置NAT Server（以HTTP协议为例）配置Web服务器地址对象，注意IP地址为NAT Server映射的inside地址。配置面向对象ACL（允许Untrust访问DMZ区的Web服务器）3. 工作流程内网PC将网关指向Secblade II上的三层子接口。带相应vlan tag的报文经S9500的10GE口trunk发送到SecBlade II的相应子接口，终结VLAN。报文在SecBlade II各子接口间进行路由转发时候触发域间的面向对象ACL。5.2.2 三层VLAN虚接口方式1. 组网图PC1、PC2、PC3分别属于VLAN101、VLAN102、VLAN103，在SecBlade上创建三个VLAN虚接口vlan-interface 101、vlan-interface 102、vlan-interface 103，配置IP地址作为S9500上的VLAN101、VLAN102、VLAN103的网关。2. SecBlade的配置(1) 命令行配置#acl number 3000/用于PC1 NAT访问Internet rule 0 permit ip source 55 rule 5 deny ip#vlan 1#vlan 101 to 103/创建相应VLAN#interface Vlan-interface101/VLAN101的网关 description LAN_Gateway ip address #interface Vlan-interface102/VLAN102的网关 description DMZ_Gateway ip address #interface Vlan-interface103/VLAN103的网关 description WAN ip address nat outbound 3000/配置NAT访问Internet nat server protocol tcp global www inside www/配置WWW内部服务器#interface Ten-GigabitEthernet0/0 port link-mode bridge/10G接口工作在桥模式 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 101 to 103/接收vlan报文# ip route-static #(2) WEB配置将接口Ten-GigabitEthernet0/0所属VLAN101和Vlan-interface 101添加到Trust域；同样将Ten-GigabitEthernet0/0所属VLAN102和Vlan-interface 102添加到DMZ域；将Ten-GigabitEthernet0/0所属VLAN103和Vlan-interface 103分别添加到Untrust域。注意：在VLAN虚接口方式下，配置安全区域时，除了添加相应vlan-interface外，必须添加10GE接口所属VLAN。图10 图11 图12 配置Easy-IP方式的NAT Outbound配置NAT Server（以HTTP协议为例）配置Web服务器地址对象配置面向对象ACL（允许从Untrust访问DMZ的Web服务）3. 工作流程内网PC将网关指向Secblade II上的三层VLAN虚接口。带相应vlan tag的报文经S9500的10GE口trunk发送到SecBlade II的相应子接口，终结到相应的VLAN Interface。报文在SecBlade II各VLAN虚接口间进行路由转发时候触发域间的面向对象ACL。6 MCE典型应用配置6.1 组网需求MGBP-MPLS VPN组网，S95交换机作为PE，SecBlade II作为MCE为每个VPN实例提供安全业务。组网示意图如下：S9500上有个vpn-instance test，图中VLAN30下用户属于该VPN实例，SecBladeII划分虚拟设备，各虚拟设备作为MCE单独处理VPN实例的报文，实现VPN实例内的安全过滤。6.2 配置方法(1) SecBlade II与95交换机连接的10GE口划分三层子接口XGE0/0.30，并绑定相应的vpn实例，提供vpn实例VLAN30的三层终结。对每个vpn实例，各自创建一个三层子接口，SecBlade II利用这个三层子接口把收到的各个vpn实例的数据转发给95交换机。(2) SecBlade II可以根据实际情况选择运行OSPF多实例，交换私网路由，并发布到mbgp中去。(3) SecBlade II可以针对每个vpn实例创建相应的虚拟设备，这样每个vpn实例可以独立设计安全策略，攻击防范设置等安全业务。6.2.1 S9500的配置# PE的公网接口，使能mplsinterface Vlan-interface20ip address 2 40 mpls mpls ldp# 95交换机和SecBlade II进行vpn实例test数据交互的三层接口interface Vlan-interface4000 description to-SecBlade II ip binding vpn-instance test ip address 52# 95交换机和SecBlade II连接的10GE口，设置为trunkinterface Ten-GigabitEthernet2/1/1 port link-type trunk port trunk permit vlan all# mbgp配置bgp 65411 undo synchronization group inpeer internal peer group inpeer peer group inpeer # ipv4-family vpnv4 peer inpeer enable peer enable peer group inpeer peer enable peer group inpeer # ipv4-family vpn-instance jt import-route direct import-route static # ipv4-family vpn-instance test import-route direct import-route static# 公网运行ospfospf 1 area network network 02 network 10 network 53 6.2.2 SecBlade II的配置1. 命令行配置： # SecBlade II的10GE口，和95交换机连接interface Ten-GigabitEthernet0/0 port link-mode route# 三层子接口，提供vpn实例test的三层终结interface Ten-GigabitEthernet0/0.30 vlan-type dot1q vid 30ip binding vpn-instance test ip address 0 52# 三层子接口，SecBlade II利用这个三层子接口把收到的vpn实例test的数据转发给95交换机interface Ten-GigabitEthernet0/0.4000 vlan-type dot1q vid 4000ip binding vpn-instance test ip address 52# 2. WEB配置：(1) 创建虚拟设备test，系统管理虚拟设备管理虚拟设备配置创建。 (2) 把绑定vpn实例test的三层子接口g0/0.30、g0/0.4000加入虚拟设备test，系统管理虚拟设备管理接口成员。(3) 虚拟设备test上创建两个安全域（test_unstrust、test_trust），级别分别为25、100，系统管理安全区域管理创建。(4) 把三层子接口g0/0.30和g0/0.4000加入test_untrust、test_trust，系统管理安全区域管理，对test_untrust和test_trust两个区域进行操作，分别将接口加入。 这样，就可以在虚拟设备test里面单独对g0/0.30和g0/0.4000进行安全管理了。6.3 工作流程SecBlade II上的10GE三层子接口XGE0/0.30和XGE0/0.4000，95交换机上的vlan-interface4000都绑定vpn实例test。vpn实例test的私网报文通过95交换机Vlan 30的接口进入，通过交换机上的10GE口（trunk）二层转发到SecBlade II的10GE的三层子接口XGE0/0.30上。SecBlade II再通过10GE的三层子接口XGE0/0.4000把报文转发回95交换机。95交换机根据私网路由打上mpls外网标签和私网标签发送出去。7 自带GE口的业务应用SecBladeII采用GE口单独运行业务，相当于一个独立的防火墙，不保护S9500的数据。此功能可以和上面保护S9500报文组网方式一起使用。7.1 inline转发7.1.1 组网需求图13 inline转发组网图如图，要求SecBladeII作为透明模式，将从g0/3收到的报文通过g0/4转发出去，同时，将g0/4收到的报文从g0/3口转发。7.1.2 典型配置(1) 将g0/3和g0/4接口改成二层方式，以g0/3为例，“系统管理接口管理”，选择g0/3，操作修改，将“工作模式”改成“二层模式”.(2) 进入WEB管理界面后，单击“网络管理”“Inline”“Inline转发”，配置“策略ID”为“1”，将端口GigabitEthernet0/3和GigabitEthernet0/4设置为同一转发组。 (3) 将GigabitEthernet0/3加入trust安全域，将GigabitEthernet0/4加入untrust安全域；7.1.3 工作流程配置inline转发后，报文的转发不再根据MAC表进行，配置在的同一组的一对接口，直接相互转发。7.2 普通防火墙应用SecBladeII可以利用自带的4个GE口，当成独立的防火墙使用。插卡面板上的4个 GE口也可以进行二三层的转发，可以设置为二层端口，进行二层转发或者配合interface vlan接口进行路由，也可以设置为三层端口，进行三层转发。但对于SecbladeII 插卡，不推荐这样组网。相关的组网需求及配置可参见F1000E相关文档。8 SecBladeII的基本维护8.1 版本维护8.1.1 设置设备启动时加载的版本boot-loader file f1000e.bin main /设置启动的应用程序文件名 This command will set the boot file. Continue? Y/N:y dis boot-loader /显示启动的应用程序文件名 The boot file used this time:cfa0:/f1000e.bin attribute: main The boot file used next time:cfa0:/f1000e.bin attribute: main The boot file used next time:cfa0:/F1000E.BIN attribute: backup 8.1.2 下载版本到CF卡可以在命令行下，通过TFT