75E的IRF2+多插卡配置案例MQC方式Word格式.docx
- 文档编号:19927867
- 上传时间:2023-01-12
- 格式:DOCX
- 页数:14
- 大小:225.48KB
75E的IRF2+多插卡配置案例MQC方式Word格式.docx
《75E的IRF2+多插卡配置案例MQC方式Word格式.docx》由会员分享,可在线阅读,更多相关《75E的IRF2+多插卡配置案例MQC方式Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
而售前的兄弟可能对这些限制并不了解。
但设备已经卖出去了,方案也已经和客户确定了,我们作为客户服务经理,就必须全面了解这个方案,才能实施好这个项目。
以下这些方案看上去和本文所要介绍的案例很像:
1、IRF2+IPS+FW;
2、IRF2+IPS+ACG+FW*2;
3、75E+IPS+ACG+FW(OAA);
4、75E+IPS+ACG+FW(MQC);
但是,本文中所介绍的案例,使用上面几个方案的配置方式来配,是肯定不行的。
而且,关于这种方案的案例,公司的案例库里也没有;
该方案的配置中需要注意的方面也很多。
所以我写了这篇案例,给大家提供一个思路,让大家了解这种方案的配置方式。
需要注意的是,该方案本身是有缺陷的,如非必要,请勿采用该方案进行组网,如果必须采用该方案,请在熟悉本案例后,详细了解本案例最后的FAQ第六条,并与二线沟通后再使用。
方案输出过程中得到了二线安全产品线、中低端交换机产品线各位兄弟的支持,在此表示衷心的感谢。
二.客户需求:
1,两个75E做IRF2,上面配置FW*2,IPS*2,ACG*2;
2,两个FW插卡互备,两个IPS做负载分担+互备,两个ACG做互备;
3,192.168.3.0/24是服务器网段,做DMZ区域;
4,192.168.1.0/24和192.168.2.0/24为trust区域,SR66为untrust区域。
5,DMZ区域、untrust区域和trust区域要使用FW进行隔离。
需要充分利用75E的交换性能,内网网段的网关不能放在FW上。
物理拓扑:
三.实施思路:
(本案例中所说的插卡内联口,都是指75E上连接插卡的内联口。
)
1,内网网关在75E上,内网的三层网关和FW做三层互联,FW往上再和75E做三层互联(使用vpn实例方式),三层流量从下往上的上行的路径是:
[75E(三层)—FW(三层)—ACG—IPS—75E_vpn(三层)—SR66]。
2,内网网段的网关放在75E上(原因:
需要充分利用75E的交换性能),DMZ区域网关放在FW上(原因:
DMZ区域和trust区域要使用FW进行隔离)。
3,FW起三层做VRRP。
4,使用MQC方式引流(IRF2不能使用OAA方式进行跨框引流)
5,上行的MQC重定向策略,在FW内联口和ACG内联口下发;
下行的MQC重定向策略,在75E上联SR66的接口和IPS接口下发,都使用inbound方向。
所以,我们规划:
内网网段192.168.1.0/24连接到G1/10/0/1和G3/10/0/1,vlan为101;
内网网段192.168.2.0/24连接到G1/10/0/2和G3/10/0/2,vlan为102;
内网网段192.168.3.0/24连接到G1/10/0/3和G3/10/0/3,vlan为103。
75E上联SR66的接口G1/10/0/23和G3/10/0/23,vlan为1103互联地址:
75E_vpn上联口是172.16.1.177/28,SR66是172.16.1.190/28。
FW插卡内联口T1/0/0/1和T3/0/0/1。
FW上联口做vrrp,vlan为1102,互联地址:
FW1是172.16.1.161/28,FW2是172.16.1.162/28,vrrp虚地址是172.16.1.163/28,75E_vpn下联口地址172.16.1.174/28。
FW下联口也做vrrp,vlan为1101,互联地址:
FW1是172.16.1.145/28,FW2是172.16.1.146/28,vrrp虚地址是172.16.1.147/28,75E上联FW接口地址172.16.1.158/28。
ACG插卡内联口T1/2/0/1和T3/2/0/1。
IPS插卡内联口T1/1/0/1和T3/1/0/1。
逻辑拓扑:
四.配置:
在75E上接口、路由配置(聚合配置省略)
vlan101
interfaceVlan-interface101//内网网段的网关
ipaddress192.168.1.25424
#
vlan102
interfaceVlan-interface102//内网网段的网关
ipaddress192.168.2.25424
vlan103//内网DMZ区域,网关在FW上
vlan1101
interfaceVlan-interface1101//75E上行和FW互联
ipaddress172.16.1.15828
iproute-static0.0.0.00.0.0.0192.168.138.147//指到FW的vrrp虚地址
FW1上配置(三层接口、路由和vrrp配置),FW2类似:
interfaceTen-GigabitEthernet0/0.1101
vlan-typedot1qvid1101
ipaddress172.16.1.145255.255.255.240
vrrpvrid10virtual-ip172.16.1.147
vrrpvrid10priority120
interfaceTen-GigabitEthernet0/0.1102
vlan-typedot1qvid1102
ipaddress172.16.1.161255.255.255.240
vrrpvrid20virtual-ip172.16.1.163
vrrpvrid20priority120
#
interfaceTen-GigabitEthernet0/0.103
vlan-typedot1qvid103
ipaddress192.168.3.252255.255.255.0
vrrpvrid30virtual-ip192.168.3.254
vrrpvrid30priority120
iproute-static0.0.0.00.0.0.0172.16.1.174
iproute-static192.168.1.0255.255.255.0172.16.1.158
iproute-static192.168.2.0255.255.255.0172.16.1.158
75E_vpn及vpn路由配置:
ipvpn-instancevpn_IPSACG//vpn实例
route-distinguisher65535:
1
interfaceLoopBack2//绑定到vpn实例
ipbindingvpn-instancevpn_IPSACG
interfaceVlan-interface1102//FW和75E的vpn实例互联vlan
ipaddress172.16.1.174255.255.255.240
interfaceVlan-interface1103//75E的vpn实例和SR66互联vlan
ipaddress172.16.1.177255.255.255.240
iproute-staticvpn-instancevpn_IPSACG0.0.0.00.0.0.0172.16.1.190
iproute-staticvpn-instancevpn_IPSACG192.168.0.0255.255.0.0172.16.1.163
75E上,MQC引流配置
以下是定义引流所用的ACL
aclnumber3501//部分上行流量
descriptionUP_stream1
rule0permitipsource192.168.1.00.0.0.255
rule5permitipsource192.168.3.00.0.0.255
aclnumber3502
descriptionUP_stream2//另部分上行流量
rule0permitipsource192.168.2.00.0.0.255
aclnumber3503//所有上行流量,可以根据需要把掩码做的更精确
descriptionUP_stream_all
rule0permitipsource192.168.0.00.0.255.255
aclnumber3511//部分下行流量
descriptiondown_stream1
rule0permitipdestination192.168.1.00.0.0.255
rule5permitipdestination192.168.3.00.0.0.255
aclnumber3512//另部分下行流量
descriptiondown_stream2
rule0permitipdestination192.168.2.00.0.0.255
aclnumber3513//所有下行流量,可以根据需要把掩码做的更精确
descriptiondown_stream_all
rule0permitipdestination192.168.0.00.0.255.255
aclnumber4000//广播组播流量
descriptionB_M_ARP
rule5permittype0806ffff
rule10permitdest-macffff-ffff-ffffffff-ffff-ffff
rule15permitdest-mac0100-0000-0000ff00-0000-0000
rule20permitdest-mac3300-0000-0000ff00-0000-0000
以下是定义流分类
trafficclassifierDown_IPS1operatorand//75E_vpn下行到IPS1的流量
if-matchacl3511//不是所有流量,是部分流量
if-matchservice-vlan-id1103//除了匹配ACL,还要匹配vlan
trafficclassifierDown_IPS1_backoperatorand//IPS1故障后,相同流量下行到IPS2(互备)
if-matchacl3511
if-matchservice-vlan-id1103
trafficclassifierDown_IPS2operatorand//75E_vpn下行到IPS2的流量(负载分担)
if-matchacl3512//不是所有流量,是部分流量
trafficclassifierDown_IPS2_backoperatorand//IPS2故障后,相同流量下行到IPS1(互备)
if-matchacl3512
trafficclassifierUP_IPS1operatorand//ACG上行到IPS1的流量
if-matchacl3501//不是所有流量,是部分流量
if-matchservice-vlan-id1102
trafficclassifierUP_IPS1_backoperatorand//IPS1故障后,相同流量上行到IPS2(互备)
if-matchacl3501
trafficclassifierUP_IPS2operatorand//ACG上行到IPS2的流量
if-matchacl3502//不是所有流量,是部分流量
trafficclassifierUP_IPS2_backoperatorand
if-matchacl3502//IPS2故障后,相同流量上行到IPS1(互备)
trafficclassifierUP_acgoperatorand//FW上行到ACG1的流量
if-matchacl3503//所有流量
trafficclassifierUP_acg_backoperatorand
if-matchacl3503//ACG1故障后,相同流量上行到ACG2(互备)
trafficclassifierDown_acgoperatorand//IPS下行到ACG1的流量
if-matchacl3513//所有流量
trafficclassifierDown_acg_backoperatorand
if-matchacl3513//ACG1故障后,相同流量下行到ACG2(互备)
trafficclassifierB_M_ARPoperatorand//广播组播
if-matchacl4000
以下是定义流行为
trafficbehaviorredirct-to-IPS1//重定向到IPS1
redirectinterfaceTen-GigabitEthernet1/1/0/1
trafficbehaviorredirct-to-IPS2//重定向到IPS2
redirectinterfaceTen-GigabitEthernet3/1/0/1
trafficbehaviorredirct-to-ACG1//重定向到ACG1
redirectinterfaceTen-GigabitEthernet1/2/0/1
trafficbehaviorredirct-to-ACG2//重定向到ACG2
redirectinterfaceTen-GigabitEthernet3/2/0/1
trafficbehaviorpermit
filterpermit
trafficbehaviordeny
filterdeny
以下是重定向策略
qospolicyDown_IPS//75E_vpn下行到IPS的流量
classifierB_M_ARPbehaviorpermit//广播组播通过
classifierDown_IPS1behaviorredirct-to-IPS1//流分类对应流行为
classifierDown_IPS2behaviorredirct-to-IPS2
classifierDown_IPS1_backbehaviorredirct-to-IPS2
classifierDown_IPS2_backbehaviorredirct-to-IPS1
//流量匹配
后按
的流行为进行重定向,没有匹配
的,查找下一个规则即规则
进行匹配,于是实现了流量的负载分担;
IPS1板卡故障后,流量也查找下一个规则,即规则
,匹配不上后,会继续查找规则
,规则
能够匹配,流量走IPS2板卡,即实现了IPS板卡的互备。
//
qospolicyUP_IPS//ACG上行到IPS的流量
classifierUP_IPS1behaviorredirct-to-IPS1//流分类对应流行为
classifierUP_IPS2behaviorredirct-to-IPS2
classifierUP_IPS1_backbehaviorredirct-to-IPS2
classifierUP_IPS2_backbehaviorredirct-to-IPS1
qospolicyUP_acg//FW上行到ACG的
classifierUP_acgbehaviorredirct-to-ACG1//流分类对应流行为
classifierUP_acg_backbehaviorredirct-to-ACG2
qospolicyDown_ACG
classifierDown_acgbehaviorredirct-to-ACG1
classifierDown_acg_backbehaviorredirct-to-ACG2
qospolicydeny_l2
classifierB_M_ARPbehaviordeny
以下是把策略在接口下下发
interfaceGigabitEthernet1/10/0/23//75Evpn上联SR66的物理接口
portlink-modebridge
portaccessvlan1103
qosapplypolicyDown_IPSinbound//下行流量进入接口后重定向到IPS内联口
(另一聚合物理口和聚合配置省略)
interfaceTen-GigabitEthernet1/0/0/1//防火墙1内联口
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan1031101to1102
qosapplypolicyUP_acginbound//上行流量出防火墙后重定向到ACG
interfaceTen-GigabitEthernet3/0/0/1//防火墙2的内联口
porttrunkpermitvlan1031101to1102
interfaceTen-GigabitEthernet1/1/0/1//IPS1内联口
descriptionSecBlade_IPS1
porttrunkpermitvlan1102to1103
stpdisable
qosapplypolicyDown_ACGinbound//下行流量通过IPS后,重定向到ACG
qosapplypolicydeny_l2outbound//过滤广播组播流量
mac-addressmac-learningdisable//禁止mac地址学习
interfaceTen-GigabitEthernet3/1/0/1//IPS2的内联口
descriptionSecBlade_IPS2
stpdisable
qosapplypolicydeny_l2outbound
mac-addressmac-learningdisable
interfaceTen-GigabitEthernet1/2/0/1//ACG1内联口
descriptionSecBlade_ACG1
stpdisable
qosapplypolicyUP_IPSinbound//上行流量经过ACG后,重定向到IPS
interfaceTen-GigabitEthernet3/2/0/1//ACG2的内联口
stpdisable
qosapplypolicyUP_IPSinbound//上行流量经过ACG后,重定向到IPS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 75 IRF2 插卡 配置 案例 MQC 方式