企业网最佳实践20多业务板卡配置指导书FW+IPS+ACGWord格式文档下载.docx

企业网最佳实践20多业务板卡配置指导书FW+IPS+ACGWord格式文档下载.docx

《企业网最佳实践20多业务板卡配置指导书FW+IPS+ACGWord格式文档下载.docx》由会员分享，可在线阅读，更多相关《企业网最佳实践20多业务板卡配置指导书FW+IPS+ACGWord格式文档下载.docx（35页珍藏版）》请在冰豆网上搜索。

75E双机环境中的NQA部署14

SecBladeFW板卡设计部署15

SecBladeFW部署典型组网15

FW侧部署说明16

WEB管理接口配置16

三层接口与安全区域部署16

静态路由部署18

访问控制策略部署18

NAT部署19

S75E侧部署说明21

vlan与接口部署21

双出口环境下的路由部署22

SecBladeIPS/ACG设计部署22

SecBladeIPS部署典型组网22

S75E交换机侧部署说明23

OAA与接口配置23

IPS侧部署说明25

WEB管理接口配置25

OAA配置26

安全区域配置27

段配置29

段策略配置29

二层回退配置30

SecBladeIPS+ACG设计部署31

SecBladeIPS+ACG部署典型组网31

S75E交换机侧部署说明32

IPS侧部署说明32

ACG侧部署说明33

整网双机HA设计部署34

整网双机HA部署34

链路故障切换34

交换机与园区核心相连链路故障切换34

交换机与internet相连链路故障切换35

板卡故障切换36

FW板卡故障切换36

IPS/ACG板卡故障切换37

整机故障切换；

38

FigureList图目录

图1企业网FW+IPS+ACG最佳实践internet出口典型组网图6

图2企业网FW+IPS+ACG最佳实践园区汇聚典型组网图6

图3园区出口组网双机设计示例图7

图4下行流量示意图9

图5上行流量示意图10

图6S75E交换机部署结构图11

图7S75E交换机NQA部署追踪流量示意图14

图8SecBladeFW部署结构图15

图9SecBladeIPS部署典型组网流量图23

图10SecBladeIPS+ACG部署结构图31

图11S75E与园区核心相连链路故障切换示意图35

图1275E与internet相连链路故障切换示意图36

图13FW板卡故障切换示意图37

图14IPS板卡故障切换示意图38

图15整机故障切换示意图39

概述

企业网最佳实践2.0多业务板卡解决方案一FW+IPS+ACG组合主要针对企业网S75E交换核心集成FW、IPS和ACG模块，提供防火墙安全、IPS入侵防御及ACG流量管理的能力。

特点为部署简便、配置灵活、层次清晰，适合企业园区网络核心/出口交换机实施使用。

本文档描述企业网络中S75E交换核心、FW、IPS和ACG模块的集中部署，提供了以我们推荐的企业网参考模型为范例的配置过程。

主要分为以下几个模块的设计部署：

●FW+IPS+ACG园区最佳实践中的S75E交换机设计部署

●FW+IPS+ACG园区最佳实践中的FW板卡设计部署

●FW+IPS+ACG园区最佳实践中的IPS与ACG板卡设计部署

●FW+IPS+ACG园区最佳实践中的双机HA设计部署

本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式，各个板卡的详细特性使用（如FW的入侵检测；

ACG的带宽管理与应用识别；

IPS的URL过滤与DDoS攻击防御等）不作为描述重点，具体单产品特性实现配置方式，请参考各产品相关配置指导。

最佳实践网络结构

典型组网

本方案主要针对企业网园区出口与汇聚位置需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW、IPS与ACG板卡业务特性功能，同时保证流量路径清晰，满足双机HA切换的相关需求。

其中企业园区汇聚位置FW+IPS+ACG板卡配置部署方式与internet出口组网部署方式相似并有所简化，以下配置指导内容主要以internet出口为主，园区汇聚组网请参考以下配置内容根据实际项目情况简化使用，本文中不再赘述。

图1企业网FW+IPS+ACG最佳实践internet出口典型组网图

图2企业网FW+IPS+ACG最佳实践园区汇聚典型组网图

组网设计

图3园区出口组网双机设计示例图

•园区出口S75E交换机集成多业务板卡，连接Internet出口与园区核心。

为FW提供连接Internet的二层通道，与园区核心路由交换设备通过OSPF动态路由协议互连，并提供双机流量路径冗余。

•SecBladeFW板卡作为internet出口三层网关，通过NAT、策略管理和入侵检测等功能，为内部网络提供基于L3-L4的流量保护。

•SecBladeIPS板卡为整个网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。

S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。

•SecBladeACG板卡为整个网络提供基于L7的深度业务识别与带宽管理功能。

S75E与ACG板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。

•在整网双机备份组网环境中，S75E通过NQA对internet上行链路进行追踪检测，确保故障时秒级的流量路径自动切换；

在FW板卡故障时，S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换；

在IPS/ACG板卡故障时，S75E通过OAA协议，可实现流量不中断转发，而且IPS/ACG板卡在CPU与系统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。

•本典型组网配置指导同样适用于S75E+FW、S75E+ACG和S75E+IPS的交换机internet出口单板卡应用场景及S75E+FW+ACG、S75E+FW+IPS和S75E+ACG+IPS的交换机internet出口双板卡组合应用场景。

流量设计

企业网园区出口S75E+FW+IPS+ACG最佳实践中，主要包含两类应用业务流量：

（具体流量路径请参考下图）

●内部园区网络用户访问internet流量；

●internet用户访问园区内部公网服务器流量；

图4下行流量示意图

图5上行流量示意图

S75E交换机设计部署

S75E部署典型组网

图6S75E交换机部署结构图

部署说明

在本典型组网设计中，对外FW板卡作为internet出口网关，S75E只作为internet链路接入设备，为internet与FW之间提供二层通道连接。

对内，S75E与园区内部核心交换机设备间部署OSPF路由协议，可为网络提供路由动态学习与故障快速收敛能力。

Internet出口二层vlan通道部署

配置75E作为internet链路接入设备，为internet局方网关设备到FW间提供二层通道连接。

vlan10

descriptionInternetToFW

――配置二层通道vlan

interfaceGigabitEthernet7/0/24

portaccessvlan10

――将internet接口物理接口划入通道vlan中

OSPF单区域部署

在该组网中，OSPF网络规模较小，路由表不大，路由变化时计算开销也不多，配置可以简化一些。

这里建议采用单区域的部署方式，出口S75E设备与核心交换机都位于OSPF区域0中。

vlan11

descriptionToCoreSwitch1

vlan12

descriptionToCoreSwitch2

――配置与园区核心相连的vlan

interfaceVlan-interface11

ipaddress100.1.11.1255.255.255.0

interfaceVlan-interface12

ipaddress100.1.12.1255.255.255.0

――配置与园区核心相连的vlan接口地址

interfaceGigabitEthernet7/0/1

portaccessvlan11

interfaceGigabitEthernet7/0/2

portaccessvlan12

――将相关物理接口划分至不同vlan，

ospf1

area0.0.0.0

network100.1.11.00.0.0.255

network100.1.12.00.0.0.255

――配置OSPF区域，宣告内部vlan接口

OSPF协议internet路由引入

由于考虑internet双出口地址和路由不同问题，需要在S75E上部署对应internet明细路由的静态路由指向不同的FW网关，此时需要对internet路由进行汇总，确保流量分担与来回路径一致。

在S75E交换机上，通过部署静态路由并将配置的静态路由引入到OSPF中向内部园区核心发布，保证每个访问都能走到正确的出口交换设备与FW上。

同时发布不同cost值的缺省路由确保其他目的的internet流量转发，与双出口互为主备，保证某个出口故障时不会对内部访问internet造成障碍。

iproute-static0.0.0.00.0.0.0100.100.1.1

――配置缺省路由网关下一跳指向FW板卡直连接口地址

iproute-static5.5.5.0255.255.255.0100.100.1.1

iproute-static7.7.7.0255.255.255.0100.100.1.1

iproute-static21.0.0.0255.0.0.0100.100.1.1

――配置本S75E所连internet出口的公网聚合明细路由网关下一跳指向FW板卡直连接口地址

default-route-advertisecost100

――配置向内部网络发布OSPF缺省路由，并通过设置不同cost值明确主备路径

import-routestatic

――配置本地静态路由引入OSPF协议向园区网络发布

OSPF接口HelloTime调整

OSPFHelloTime默认时间为10秒，相应的DeadTime为40秒。

在通常情况下会影响到HA收敛时间。

建议可调整OSPFHelloTime时间为1秒，相应得DeadTime时间4秒，HA收敛时间较为理想，Ping丢包2个左右，FTP应用层流量有短暂停顿并可恢复。

缩短OSPFHelloTime时间，会增加OSPFHello报文流量，但对本方案中网络内部1GE带宽来说没有问题。

一般OSPF网络节点少于8个且用户对整网收敛时间有较高要求时，推荐将HelloTime调整为1，另外在实际部署中还应根据设备和网络的资源利用情况适当调整参数。

此处还需要注意的是调整时要确保全网OSPF路由器接口的HelloTimer值统一。

ospftimerhello1

――在启用OSPF的vlan接口下配置helloTimer值为1

75E双机环境中的NQA部署

在整网双机环境中，S75E为了避免internet出口链路