更新时间:2023-05-12 GMT+08:00

组网需求

适用产品和版本

设备

版本

备注

Eudemon1000E-T1

边界防护与响应服务:V600R007C20SPC602及其后续版本

-

组网需求说明

本方案适用企业内网有DNS服务器的场景。

该场景下,企业内网主机使用DNS服务器代理后的IP地址访问外部区域,出口天关1检测到威胁事件的源地址都是DNS服务器代理后的IP地址,非真实的内网IP地址,进而导致客户无法对失陷主机做对应处理。

针对上述问题,采用如下方案,如图1所示。增加天关2,将用户访问DNS服务器的流量镜像到天关2,并把检测日志上送到华为乾坤华为乾坤根据天关2的威胁日志识别真正的失陷主机。

下图以Eudemon1000E-T1GE0/0/7GE0/0/6为例,组成业务接口对,用于转发内外网的业务流量,同时使用三层接口GE0/0/3与云端对接。

图1 方案组网

约束或注意事项

  • 对交换机的要求:

    天关2对应的交换机需支持源+目的协议的镜像,建议只引流DNS流量。

  • Eudemon1000E-T1接口使用限制:
    • Eudemon1000E-T1不支持硬件Bypass功能。
    • 奇数编号接口用于连接上行设备,偶数编号接口用于连接下行局域网设备。
    • 默认情况下,接口编号相邻的接口两两组成二层接口对。