收藏
下载资源

园区网多业务板卡配置指导书-FWIPSLB

上传人:新** 文档编号:499199974 上传时间:2023-01-11 格式:DOCX 页数:37 大小:2.25MB
返回 下载 相关 举报
园区网多业务板卡配置指导书-FWIPSLB_第1页
第1页 / 共37页
园区网多业务板卡配置指导书-FWIPSLB_第2页
第2页 / 共37页
园区网多业务板卡配置指导书-FWIPSLB_第3页
第3页 / 共37页
园区网多业务板卡配置指导书-FWIPSLB_第4页
第4页 / 共37页
园区网多业务板卡配置指导书-FWIPSLB_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《园区网多业务板卡配置指导书-FWIPSLB》由会员分享,可在线阅读,更多相关《园区网多业务板卡配置指导书-FWIPSLB(37页珍藏版)》请在金锄头文库上搜索。

1、园区网最佳实践2.0多业务板卡配置指导书FW+IPS+LBCatalog 目 录概述5最佳实践网络结构5典型组网5组网设计7流量设计8S75E交换机设计部署10S75E部署典型组网10部署说明10二层vlan通道部署10OSPF单区域部署11OSPF协议静态路由引入12OSPF接口Hello Time调整12S75E双机环境中的NQA部署13SecBlade FW板卡设计部署14SecBlade FW部署典型组网14FW侧部署说明15WEB管理接口配置15三层接口与安全区域部署15静态路由部署16访问控制策略部署17S75E侧部署说明17SecBlade LB设计部署18SecBlade LB

2、部署典型组网18LB侧部署说明19WEB管理接口配置19接口与路由部署20虚服务部署21S75E侧部署说明22SecBlade IPS设计部署23SecBlade IPS部署典型组网23S75E侧部署说明23OAA与接口配置23IPS侧部署说明25WEB管理接口配置25OAA配置27安全区域配置28段配置29段策略配置29二层回退配置31整网双机HA设计部署31整网双机HA部署31链路故障切换32交换机与园区核心相连链路故障切换32交换机与服务器相连链路故障切换32板卡故障切换33FW板卡故障切换33LB板卡故障切换34IPS板卡故障切换35整机故障切换;36Figure List 图目录图1

3、 园区网FW+IPS+LB最佳实践典型组网图6图2 整网双机设计示例图7图3 上下行流量示意图9图4 S75E交换机部署结构图10图5 S75E交换机NQA部署追踪流量示意图13图6 SecBlade FW部署结构图14图7 SecBlade LB部署结构图19图8 SecBlade IPS部署典型组网流量图23图9 S75E与园区核心相连链路故障切换示意图32图10 75E与服务器相连链路故障切换示意图33图11 FW板卡故障切换示意图34图12 LB板卡故障切换示意图35图13 IPS板卡故障切换示意图36图14 整机故障切换示意图37概述园区网最佳实践2.0多业务板卡解决方案一FW+IP

4、S+LB组合主要针对园区网S75E交换核心集成FW、IPS和LB模块,提供防火墙安全、IPS入侵防御及LB负载均担的能力。特点为部署简便、配置灵活、层次清晰,适合园区DMZ区域交换机实施使用。本文档描述园区网络中S75E交换核心、FW、IPS和LB模块的集中部署,提供了以我们推荐的园区网参考模型为范例的配置过程。主要分为以下几个模块的设计部署:l FW+IPS+LB园区DMZ区域最佳实践中的S75E交换机设计部署l FW+IPS+LB园区DMZ区域最佳实践中的FW板卡设计部署l FW+IPS+LB园区DMZ区域最佳实践中的LB板卡设计部署l FW+IPS+LB园区DMZ区域最佳实践中的IPS板

5、卡设计部署l FW+IPS+LB园区DMZ区域最佳实践中的双机HA设计部署本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式,各个板卡的详细特性使用(如FW的入侵检测;LB的服务器负载均担;IPS的URL过滤与攻击防御等)不作为描述重点,具体单产品特性实现配置方式,请参考各产品相关配置指导。最佳实践网络结构典型组网本方案主要针对园区网园区DMZ区域需求设计,在满足网络基础架构简单的前提下,在S75E交换机上实现FW、IPS与LB板卡业务特性功能,同时保证流量路径清晰,满足双机HA切换的相关需求。图1 园区网FW+IPS+LB最佳实践典型组网图组网设计图2 整网双机设计示例图 园区D

6、MZ区域S75E交换机集成多业务板卡,连接DMZ区域服务器与园区网络。为LB连接服务器与FW连接LB提供二层通道,与园区核心路由交换设备通过OSPF动态路由协议互连,并提供双机流量路径冗余。 SecBlade FW板卡为S75E到LB之间提供三层转发,并通过NAT、策略管理和入侵检测等功能,为内部网络提供基于L3-L4的流量保护。 SecBlade LB板卡采用在线部署方式,作为服务器网关,缺省路由下一跳指向FW板卡。双机环境中两块板卡均使能源地址转换功能这个是否还有其它方法?有安全要求的服务器或IPS是否要查看接入的源地址信息,确保流量往返路径一致。 SecBlade IPS板卡为网络提供基

7、于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。在本最佳实践中,IPS板卡处理FW到LB板卡间的二层流量。 在整网双机备份组网环境中,S75E通过NQA对LB板卡进行追踪检测,确保故障时秒级的流量路径自动切换;在FW板卡故障时,S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换;在LB板卡故障时,S75E通过NQA感知故障并通过取消OSPF路由发布方式使流量切换到另一台设备上;在IPS板卡故障时,S75E通过OAA协议感知板卡状态,流量在交换机内直接转发,而且IPS板卡在CPU与系

8、统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。 本典型组网配置指导同样适用于S75E+FW、S75E+LB和S75E+IPS的交换机DMZ区域单板卡应用场景及S75E+FW+LB、S75E+FW+IPS和S75E+LB+IPS的交换机DMZ区域双板卡组合应用场景。流量设计园区网园区DMZ区域S75E+FW+IPS+LB最佳实践中,主要以用户访问DMZ区服务器及服务器返回流量为主。(具体流量路径请参考下图)图3 上下行流量示意图S75E交换机设计部署S75E部署典型组网图4 S75E交换机部署结构图部署说明在本典型组网设计中,对外S75E作为DMZ区域网关,与园区内部路由交

9、换机设备间部署OSPF路由协议,可为网络提供路由动态学习与故障快速收敛能力;对内S75提供FW到LB间和LB到服务器间的二层vlan通道连接,并部署NQA对LB板卡进行追踪,确保故障时路由可以快速切换。以下配置仅以左侧主路径S75E交换机进行配置举例。二层vlan通道部署部署需要承载的二层vlan,与FW、LB板卡相关S75E接口vlan配置请参考下文相关内容。vlan 12 description FWToLBvlan 100 description LBToServer 配置二层通道vlaninterface GigabitEthernet7/0/1 port access vlan 10

10、0interface GigabitEthernet7/0/2 port access vlan 100interface GigabitEthernet7/0/3 port access vlan 100 将连接服务器的物理接口划入通道vlan中OSPF单区域部署在该组网中,OSPF网络规模较小,路由表不大,路由变化时计算开销也不多,配置尽量简化。这里建议采用单区域的部署方式,DMZ区域S75E设备与园区核心路由交换设备都位于OSPF区域0中。vlan 10 description ToCoreSwitch 配置与园区核心相连的vlaninterface Vlan-interface10 i

11、p address 10.1.1.2 255.255.255.252 配置与园区核心相连的vlan接口地址interface GigabitEthernet7/0/24 port access vlan 10 将相关物理接口划分至相应vlan,ospf 1area 0.0.0.0 network 10.1.1.0 0.0.0.3 配置OSPF区域,宣告内部vlan接口OSPF协议静态路由引入在S75E交换机上,部署去往内部LB虚服务的静态路由并将配置的静态路由引入到OSPF中向园区核心发布。同时发布不同cost值的路由确保主备路径,保证主DMZ区域交换机故障时路由可以切换到备机上。主用路径S7

12、5E配置:ip route-static 10.1.10.10 255.255.255.255 10.1.11.2 配置本S75E所连LB虚服务主机路由网关下一跳指向本机FW板卡直连接口地址ospf 1import-route static cost 100 配置本地静态路由引入OSPF协议向园区网络发布备用路径S75E配置:ip route-static 10.1.10.10 255.255.255.255 10.1.12.2 配置本S75E所连LB虚服务主机路由网关下一跳指向本机FW板卡直连接口地址ospf 1import-route static cost 200 配置本地静态路由引入O

13、SPF协议向园区网络发布*主备S75E通过配置OSPF引入路由的cost值达到路径备份的目的。OSPF接口Hello Time调整OSPF Hello Time默认时间为10秒,相应的Dead Time 为40秒。在通常情况下会影响到HA 收敛时间。建议可调整OSPF Hello Time时间为1秒,相应得Dead Time时间4秒,HA收敛时间较为理想,Ping丢包2个左右,FTP应用层流量有短暂停顿并可恢复。缩短OSPF Hello Time时间,会增加OSPF Hello 报文流量,但对本方案中网络内部1GE带宽来说没有问题。一般OSPF网络节点少于8个且用户对整网收敛时间有较高要求时,

14、推荐将Hello Time调整为1,另外在实际部署中还应根据设备和网络的资源利用情况适当调整参数。此处还需要注意的是调整时要确保全网OSPF路由器接口的Hello Timer值统一。interface Vlan-interface10 ospf timer hello 1 在启用OSPF的vlan接口下配置hello Timer值为1S75E双机环境中的NQA部署在整网双机环境中,S75E为了避免LB卡故障S75E设备无法感知切换的问题,需要进行NQA部署。75E交换机通过追踪LB接口网关地址,确保当本地LB板卡故障时,去往LB虚服务的静态路由失效,从而不再向园区OSPF网络发布路由,达到使去

15、往DMZ服务的流量在网络核心处选择另一个DMZ区域交换机的目的。此设计可以使DMZ区域发生故障时,流量自动切换,受影响最小。图5 S75E交换机NQA部署追踪流量示意图首先需要在去往LB虚服务的静态路由配置上track追踪组。ip route-static 10.1.10.10 255.255.255.255 10.1.11.2 track 1 配置虚服务路由属于track组1ip route-static 10.1.12.0 255.255.255.252 10.1.11.2 配置去往FW与LB相连网段的静态路由*此处需要注意举例中的10.1.12.0/30为FW与LB之间网段,NQA追踪的LB直连接口IP:10.1.12.2也属于此网段,不能对这个网段的静态路由进行track追踪。然后配置NQA内容nqa

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号