CrossBeam Break--CrossBeam配置使用总结系列

network

CrossBeam Break--CrossBeam配置使用总结系列（一）

    CrossBeam是全球著名的UTM产品厂商，在全球UTM产品占有率份额上是领导者。
      CP UTM-1 (相当于CBS的C系列)，但是底层的系统完全是不同的，也和NOKIA的IPSO是完全不一样。我们都知道UTM-1是SPLAT，NOKIA是IPSO,CBS的系统是XOS(也是基于LINUX的系统)。
  CBS系统的体系架构在硬件上是有CPM,NPM,APM组成。CPM又称管理控制模块，主要用于管理APM和APM，要管理其他模块需要先登录到CPM的CBS系统，然后通过unix su 登录到地到Linux平台，最后可以直接登录到各个APM应用模块(VAP-GROUP).这样就可以实现通过CPM管理APM

network

CrossBeam Break--CrossBeam配置使用总结系列（二）
本帖被 admin 执行加亮操作(2008-04-15)
[    hide=5]一.CrossBeam NPM模块提供GB级别的吞吐率，可以支持光口。对大型满足接入环境的高吞吐率环境的需求是绰绰有余。

二.做负载均衡如果使用的是CrossBeam，其处理能力上其特殊之处不在于他的接口。主要还是看他的背板支持的总带宽，比如X80举例，能支持处理40GB的流量。因此CrossBeam处理网络流量的一个亮点应该是他背板的处理速度，是非常优秀的。应该比NOKIA或者CP UTM-1有优势的。之前，一业界牛人为某行测试完CBS后的感言，NOKIA CP平台上做压力测试时每秒新建并发连接数不过5k/per s,但是CBS却能达到1W以上，同时还有次cisco asa能达到1.5w。(呵呵，大家知道CBS上跑的CP,深度状态检测机制，cisco是数据转发机制，在但检测的细粒度方面应该不如CP)，所以使用CBS 跑CP在性能上已经充分说明一点是aboslutely no problem .

三.使用负载均衡的方式，

checkpoint使用的是clusterXL,该模块时收费的，如果使用免费的，则只能实现热备(Active/Standby).Nokia 的负载均衡方式可以使用VRRP或者ip clusting，都是免费的，可以实现负载均衡实现（Active/Active）。CrossBeam使用的是open 的3rd cluster，当然也是免费实现（Active/Active）负载均衡。因此这里如果考虑Cluster时，需要结合性能，建议使用crossbeam。

四. 从配置和切换的角度来看

CrossBeam可以一次性将所有相关配置的命令写成脚本，一次全部执行，因此很适合网关设备等对failover要求很高的企业，能最大程度降低配置复杂的切换，特别是cluster之类的切换，比如nokia就需要先建立cluster 然后建立sic等等。（当然也会有简单的办法，但是每一步的操作还是要手动去调）crossbeam使用脚本，一次性搞定大多数配置，节省切换时间。曾经听某位同事说做过一个带custer的切换2分钟搞定，看来还是比较方便的。

五.从管理和配置的角度

CrossBeam是基于APM应用模块的，因此我们只需要针对不同的APM模块做操作就可以，CrossBeam的有自己的管理理念，把所有的安全应用使用一个管理网段，增强安全应用本身管理上的安全性。同时他的N+1备份机制不错，做过一个测试是把一对Cluster的APM 拔掉一块（冷切换）,这个时候，跑在这个APM上的火墙模块，自动漂移到备用的APM上开始工作。
关于链路的切换，时间也是非常短的，手工拔掉其中一根网线，一般只丢一个包，遗憾的是没有看到不丢包的现象。所以他的备份机制还是非常优秀的。

最后，关于CrossBeam这些体会只是个人实际经验中的感觉，并不一定准确，也许还有一些亮点，因为自己了解的不够深入，没有讲出来，这里说这些就当抛砖引玉，给大家的讨论开个头吧。[/hide]

network

CrossBeam Break--CrossBeam配置使用总结系列（三）
本帖被 admin 执行加亮操作(2008-04-15)
这里我介绍的是CrossBeam 目前高端X80系列，X80设备包含一下模块：
1.机框子一个。
2.CPM两块
3.NPM两块
4.APM12块
5.备用硬盘一块
6.改锥一把
7.光电转换口N个
8.光盘介质两张
以上模块都是根据用户需要来定制的，如果需要可以全部都买。
设备规格如下：
高：762mm
宽：444.5mm
深：444.5mm
机箱重量： 45公斤
最大重量（14个槽位插满卡）：86公斤
X80电源采用两路交流电源供电，电压范围100-240V，每路电源的最大功率为1000瓦。
拿到设备后首先我们要对设备进行初始化。初始化配置需要将机器起来，然后接上串口线，即可以开始配置。(步骤如下)

========================================================
                      Welcome to the Configuration Interview

This program is designed to guide you through the configuration of
your system by prompting you with a series of simple questions.


Internal Control Network
========================

  A network address needs to be specified for the system's internal
  control network to allow the processor modules to communicate.
  This network requires a 16-bit network mask and should not conflict
  with any other network X80 will communicate with. If you change the  default value to something other than 1.1.0.0, X80 MUST be rebooted  to make this setting effective. To reboot the system use the  "reload" command at the end of the interview.


Enter the control network address <1.1.0.0>:1.1.0.0

System Identifier
=================

  The system identifier is used to identify the different X80 systems that are connected together via the "Control Link". All of the systems connected together in this fashion should have the same Internal Control Network address and unique system identifiers. Modifying this parameter will also require a system reload.


Enter the system identifier <0 - 255>[0]: 1

Hostname
========

Enter the system hostname : CrossBeam

Configuring the Primary CP:

Enter IP address and mask for Management port : 192.168.1.253/24


  Each CPM has an Gigabit Ethernet interface called "Logging interface" that can be used for a variety of different operations, such as packet logging or the mounting of remote disks, etc.

Configure the Logging interface <Y or N>[N]:
Default gateway <A.B.C.D>: 192.168.1.253

Configure CP redundancy <Y or N>[N]: N

Management Access
=================

  Access to these management services is limited to specified hosts
  or networks. Please enter the network that you want to access these
  management services

Enter Network address for Management Access : 0.0.0.0/0

Would you like to add more networks <Y or N>[N]:

NTP Server
==========

  Synchronizing the X80's system clock with an accurate source is
  important for proper correlation of security events. The X80 uses
  NTP (Network Time Protocol) to achieve time sychronization. The IP
  address of a Network Time Protocol (NTP) server must be specified.

Configure NTP Server <Y or N>[Y]:N

Select a time zone based on the location of your system.
Select a continent or ocean.
1) Africa                                                                     
2) Americas                                                                    
3) Antarctica                                                                  
4) Arctic Ocean                                                               
5) Asia
Etc . . .                                                              

Enter choice <1 - 11>: 5

Select a country.

1) United Arab Emirates  18) Jordan                35) Philippines         
2) Afghanistan          19) Japan                36) Pakistan              
3) Armenia              20) Kyrgyzstan            37) Palestine            
4) Azerbaijan            21) Cambodia              38) Qatar               
5) Bangladesh            22) Korea (North)        39) Russia               
6) Bahrain            23) Korea (South)        40) Saudi Arabia         
7) Brunei                24) Kuwait                41) Singapore            
8) Bhutan                25) Kazakhstan            42) Syria               
9) China                26) Laos                  43) Thailand              
10) Cyprus              27) Lebanon              44) Tajikistan            
11) Georgia            28) Sri Lanka            45) Turkmenistan         
12) Hong Kong          29) Myanmar (Burma)      46) East Timor            
13) Indonesia            30) Mongolia              47) Taiwan               
14) Israel              31) Macau                48) Uzbekistan            
15) India                32) Malaysia              49) Vietnam              
16) Iraq                  33) Nepal                50) Yemen

Enter choice <1 - 50>: 9

Select region.

1) east China - Beijing, Guangdong, Shanghai, etc.                           
2) Heilongjiang                                                               
3) central China - Gansu, Guizhou, Sichuan, Yunnan, etc.                     
4) Tibet & most of Xinjiang Uyghur                                            
5) southwest Xinjiang Uyghur                                                  

Enter choice <1 - 5>: 1

System Time
===========
  The current date and time on this system is Sun Sep  3 04:37:09 EDT 2006

Would you like to modify System time <Y or N>[N]: Y
  Enter the time in hh:mm:ss format : 16:00:00

  Please provide the date in "Mon DD YYYY" format, where
      Mon : month in the form Jan, Feb, etc.
      DD  : day of month (1 - 31),
      YYYY: year such as 2002.

  Enter the date : Nov 2 2006

Management Services
===================

  Several methods are available for managing your X80 through the
  10/100 Ethernet interface on the Control Processor Module. Select
  the desired management services.

Enable Telnet server <Y or N>[N]: N
Enable FTP server <Y or N>[N]: N

  In order to manage the X80 box via the Crossbeam Graphical User
  Interface (GUI), the WEB server must be enabled.

Enable secure WEB server <Y or N>[N]: Y

Management Users
================

  The system software installation process creates a default account
  with the user name "admin" and a default password of "admin".
  It is recommended that you change this password.

Change "admin" password <Y or N>[Y]: N

  Additional CLI user accounts can be defined, each with its own user
  name and password.

Add additional CLI users <Y or N>[Y]: N

The X80 System and Management has been configured. You may continue with the Interview or go directly to CLI to complete the X80 configuration according to your requirements.
=========================================================================

Congratulations, you have finished the Interview.
To activate your interview settings, you MUST reload your system
using the following command at the prompt:

CrossBeam# reload all

Exiting the Interview...
=========================================================================

%WARNING: Command takes effect next system reload
CrossBeam#

CrossBeam# reload all
This command may take a few minutes.
Any unsaved configuration will be lost.
Do you want to save it to startup-config? <Y or N>[Y]: Y
#Start Configuration Validation
#
# No vap-group configured
# No circuit configured
# No interface configured
#
#End Configuration Validation

Configuration appears to be incomplete.
Do you still want to save the current configuration? <Y or N>[Y]: Y

network

CrossBeam Break--CrossBeam配置使用总结系列（四）
本帖被 admin 执行提前操作(2008-04-15)
初始化配置完成后，需要检查当前CrossBeam XOS是否需要更新，以及确认是否需要更新板卡的FLASH 和fireware，如果需要，则将XOS以及板卡的FLASH和FIREWARE全部更新到新的版本。XOS现在新的版本是XOS 8.0.0。如果新到的设备已经是最新的版本则不需要更新。直接开始配置APM上的应用了。
下面讲CrossBeam的APM的配置，也就是各种应用是如何在APM上运行起来的过程。
1.在CrossBeam上的各种应用都有自己的VAP Group,因此我们要使用APM首先需要定义我们应用的VAP Group。
创建一个VAP Group这里是详细的命令:

创建 lan区域防火墙的VAP-Group
CrossBeam# config vap-group firewall xslinux_v3
CrossBeam(config-vap-grp)# vap-count 2                指定 APM的数量
CrossBeam(config-vap-grp)# max-load-count 2          设置做load balance APM 的数量
CrossBeam(config-vap-grp)# ip-forwarding                启用ip forwarding
CrossBeam(config-vap-grp)# ip-flow-rule fwlb        设置ip 流名称，告诉NPM如何处理数据包。
CrossBeam(ip-flow-rule)# action load-balance              指定ip-flow-rule的动作
CrossBeam(ip-flow-rule)# activate                        激活ip-flow-rule规则
CrossBeam(ip-flow-rule)# end
CrossBeam# wr

应用的VAP Group 建立起来后，我们需要为应用建立Circuit，也就是配置应用的接口地址。比如说防火墙的应用，在CrossBeam上跑的防火墙就是CheckPoint , 因此如果玩CrossBeam最好能精通CP为佳。防火墙上分为external接口和internal接口，因此我们就需要创建external的circute和internal的circuit..配置如下:

创建防火墙外网的Circuit
CrossBeam# config circuit  fwoutside                    指定外网circuit的名称
CrossBeam(conf-cct)# device-name fwoutside            指定circuit在系统中显示出来的名字，不指定系统默认是VND10XX  
CrossBeam(conf-cct)# vap-group firewall                把这个circuit接到firewall的VAP-Group
CrossBeam(conf-cct-vapgroup)# ip-forwarding        启用这个VAP-Group的ip转发
CrossBeam(conf-cct-vapgroup)# no promiscuous-mode  不启用混杂模式(可选，默认不起用)
CrossBeam(conf-cct-vapgroup)# ip 10.90.8.1 /24  给Cicut 绑定到firewall的 VAP-Group配置ip地址
CrossBeam(conf-cct-vapgroup-ip)# end            退出，保存配置
CrossBeam# wr


创建防火墙内网的Circuit
CrossBeam# config circuit fwinternal                      指定内网circuit的名称
CrossBeam(conf-cct)# device-name fwinternal
CrossBeam(conf-cct)# vap-group internal
CrossBeam(conf-cct-vapgroup)# ip-forwarding
CrossBeam(conf-cct-vapgroup)# no promiscuous-mode
CrossBeam(conf-cct-vapgroup)# ip 172.10.0.1/24 increment-per-vap 172.10.0.2 alias 172.10.0.3/24                每个VAP-group有他们自己的地址，同时也有虚地址         
CrossBeam(conf-cct-vapgroup)# end                  保存，退出。
CrossBeam# wr

network

CrossBeam Break--CrossBeam配置使用总结系列（五）
本帖被 admin 执行加亮操作(2008-04-15)
在上一章中我们已经讲了配置VAP Group以及Circuit，设计到应用部分的配置最重要的地方就已经配置好。下面我们继续介绍，如何讲应用的Circuit绑定到NPM的无力端口。以及如何实现端口复用和NPM板卡的冗余。
具体配置如下:
配置物理端口，将Circuit和物理端口绑定
CrossBeam# configure interface gigabitethernet 1/1
CrossBeam(conf-intf-gig)# logical fwoutside
CrossBeam(intf-gig-logical)# circuit fwoutside
CrossBeam(intf-gig-logical)# end
CrossBeam# configure interface gigabitethernet 1/2
CrossBeam(conf-intf-gig)# logical internal
CrossBeam(intf-gig-logical)# circuit internal
CrossBeam(intf-gig-logical)# end
配置不同NPM上端口冗余
CrossBeam# config interface gigabitethernet 2/1        配置端口，启用物理端口
CrossBeam#(conf-intf-gig)# end
配置端口冗余。
CrossBeam# configure redundancy-interface master gigabitethernet 1/1 backup gigabitethernet 2/1 mac-usage master failovermode preemption-on

network

CrossBeam Break--CrossBeam配置使用总结系列（六）
本帖被 admin 执行加亮操作(2008-04-15)
。。。。。。。。。

配置路由和DNS

前面的章节中，我们已经介绍到了配置Circuit绑定到NPM物理端口，下面我们继续，这里要说的是CrossBeam平台路由和DNS的配置以及应用的安装。
一般我们在CPM上配置防火墙的路由，
CrossBeam# config ip route vap-group firewall 192.168.1.0 255.255.255.0 192.168.1.1
配置VAP Group的DNS
CrossBeam#config dns server 202.99.8.1 vap-group firewall
接口和路由配置后，APM上防火墙的部署环境就已经准备好了，万事俱备，只欠东风。下面我们就以防火墙为例，说明在XOS上安装应用的方法。
首先，从FTPSERVER上拷贝CheckPoint安装文件到防火墙VAP-Group的unix su模式下的/crossbeam/apps/目录
然后，检查可以安装的程序包。
CrossBeam# show application
App ID        : fw1      
Version        : NGXR65
第三，开始安装防火墙
CrossBeam# application FW1 vap-group firewall version NGXR62 install
CheckPoint防火墙的安装基本上与NOKIA平台和Secureplatform大同小异，因此具有CheckPoint配置能力的朋友，安装基于XOS的CP没什么问题。
这里安装过程就不再重复了。
安装完成后，就进入CP的配置过程了，基于XOS的CP安装时，好像是只能安防火墙module的，分布式部署的情况是需要和smartcenter建立SIC。然后剩下的工作大家应当都知道怎么做了，其实在CrossBeam上部署CP难就难再部署平台的准备上，防火墙的使用是和其他平台一样。因此还是那句话，会CP的朋友看了我前面的文章应当都会在CrossBeam平台上部署CheckPoint防火墙了,相信大家的实力

当然，这里只是举一个CrossBeam平台上部署防火墙应用的典型案例，这是CrossBeam上相对来说最具价值的例子，其他产品的部署比如websense、sourcefire 、esafe、iwss、imss、等等应用的部署都是相对好做一点的。

如果将这些产品全部部署，CrossBeam在我们企业中就真是名副其实的UTM了，不经功能强大，性能超群、而且稳定性一级棒，没有6个9，5个9应该差不多，最典型的一处就是光电源冗余就是4路。 怎么样，大家认为CrossBeam值得去研究吧。我个人的感觉用5个字来形容就是"很好、很强大"。