园区网多业务板卡配置指导书-FWIPSLB

跑堂
0 ℃
2019-10-19

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页园区网最佳实践2.0多业务板卡配置指导书—FW+IPS+LB文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页Catalog目录概述5最佳实践网络结构5典型组网5组网设计7流量设计8S75E交换机设计部署10S75E部署典型组网10部署说明10二层vlan通道部署10OSPF单区域部署11OSPF协议静态路由引入12OSPF接口HelloTime调整12S75E双机环境中的NQA部署13SecBladeFW板卡设计部署14SecBladeFW部署典型组网14FW侧部署说明15WEB管理接口配置15三层接口与安全区域部署15静态路由部署16访问控制策略部署17S75E侧部署说明17SecBladeLB设计部署18SecBladeLB部署典型组网18LB侧部署说明19WEB管理接口配置19接口与路由部署20虚服务部署21S75E侧部署说明22SecBladeIPS设计部署23SecBladeIPS部署典型组网23S75E侧部署说明23OAA与接口配置23IPS侧部署说明25WEB管理接口配置25OAA配置27安全区域配置28段配置29段策略配置29二层回退配置31文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页整网双机HA设计部署31整网双机HA部署31链路故障切换32交换机与园区核心相连链路故障切换32交换机与服务器相连链路故障切换32板卡故障切换33FW板卡故障切换33LB板卡故障切换34IPS板卡故障切换35整机故障切换；36文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页FigureList图目录图1园区网FW+IPS+LB最佳实践典型组网图....................................................................................................6图2整网双机设计示例图.....................................................................................................................................7图3上下行流量示意图.........................................................................................................................................9图4S75E交换机部署结构图...............................................................................................................................10图5S75E交换机NQA部署追踪流量示意图.......................................................................................................13图6SecBladeFW部署结构图..............................................................................................................................14图7SecBladeLB部署结构图...............................................................................................................................19图8SecBladeIPS部署典型组网流量图..............................................................................................................23图9S75E与园区核心相连链路故障切换示意图...............................................................................................32图1075E与服务器相连链路故障切换示意图....................................................................................................33图11FW板卡故障切换示意图............................................................................................................................34图12LB板卡故障切换示意图.............................................................................................................................35图13IPS板卡故障切换示意图............................................................................................................................36图14整机故障切换示意图.................................................................................................................................37文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页概述园区网最佳实践2.0多业务板卡解决方案一FW+IPS+LB组合主要针对园区网S75E交换核心集成FW、IPS和LB模块，提供防火墙安全、IPS入侵防御及LB负载均担的能力。特点为部署简便、配置灵活、层次清晰，适合园区DMZ区域交换机实施使用。本文档描述园区网络中S75E交换核心、FW、IPS和LB模块的集中部署，提供了以我们推荐的园区网参考模型为范例的配置过程。主要分为以下几个模块的设计部署：FW+IPS+LB园区DMZ区域最佳实践中的S75E交换机设计部署FW+IPS+LB园区DMZ区域最佳实践中的FW板卡设计部署FW+IPS+LB园区DMZ区域最佳实践中的LB板卡设计部署FW+IPS+LB园区DMZ区域最佳实践中的IPS板卡设计部署FW+IPS+LB园区DMZ区域最佳实践中的双机HA设计部署本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式，各个板卡的详细特性使用（如FW的入侵检测；LB的服务器负载均担；IPS的URL过滤与攻击防御等）不作为描述重点，具体单产品特性实现配置方式，请参考各产品相关配置指导。最佳实践网络结构典型组网本方案主要针对园区网园区DMZ区域需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW、IPS与LB板卡业务特性功能，同时保证流量路径清晰，满足双机HA切换的相关需求。文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页图1园区网FW+IPS+LB最佳实践典型组网图文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页组网设计图2整网双机设计示例图•园区DMZ区域S75E交换机集成多业务板卡，连接DMZ区域服务器与园区网络。为LB连接服务器与FW连接LB提供二层通道，与园区核心路由交换设备通过OSPF动态路由协议互连，并提供双机流量路径冗余。•SecBladeFW板卡为S75E到LB之间提供三层转发，并通过NAT、策略管理和入侵检测等功能，为内部网络提供基于L3-L4的流量保护。•SecBladeLB板卡采用在线部署方式，作为服务器网关，缺省路由下一跳指向FW板卡。双机环境中两块板卡均使能源地址转换功能，确保流量往返路径一致。•SecBladeIPS板卡为网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。在本最佳实践中，IPS文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页板卡处理FW到LB板卡间的二层流量。•在整网双机备份组网环境中，S75E通过NQA对LB板卡进行追踪检测，确保故障时秒级的流量路径自动切换；在FW板卡故障时，S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换；在LB板卡故障时，S75E通过NQA感知故障并通过取消OSPF路由发布方式使流量切换到另一台设备上；在IPS板卡故障时，S75E通过OAA协议感知板卡状态，流量在交换机内直接转发，而且IPS板卡在CPU与系统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。•本典型组网配置指导同样适用于S75E+FW、S75E+LB和S75E+IPS的交换机DMZ区域单板卡应用场景及S75E+FW+LB、S75E+FW+IPS和S75E+LB+IPS的交换机DMZ区域双板卡组合应用场景。流量设计园区网园区DMZ区域S75E+FW+IPS+LB最佳实践中，主要以用户访问DMZ区服务器及服务器返回流量为主。（具体流量路径请参考下图）文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页图3上下行流量示意图文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司页,共37页S75E交换机设计部署S75E部署典型组网图4S75E交换机部署结构图部署说明在本典型组网设计中，对外S75E作为DMZ区域网关，与园区内部路由交换机设备间部署OSPF路由协议，可为网络提供路由动态学习与故障快速收敛能力；对内S75提供FW到LB间和LB到服务器间的二层vlan通道连接，并部署NQA对LB板卡进行追踪，确保故障时路由可以快速切换。以下配置仅以左侧主路径S75E交换机进行配置举例。二层vlan通道部署部署需要承载的二层vlan，与FW、LB板卡相关S75E接口vlan配置请参考下文相关内容。vlan12文章标题园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB文档密级：内部公开杭州华三通信技术有限公司ww