企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG.docx
《企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG.docx》由会员分享,可在线阅读,更多相关《企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG.docx(35页珍藏版)》请在冰豆网上搜索。
企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG
企业网最佳实践2.0多业务板卡配置指导书
—FW+IPS+ACG
Catalog目录
概述5
最佳实践网络结构5
典型组网5
组网设计7
流量设计8
S75E交换机设计部署11
S75E部署典型组网11
部署说明11
Internet出口二层vlan通道部署11
OSPF单区域部署12
OSPF协议internet路由引入12
OSPF接口HelloTime调整13
75E双机环境中的NQA部署14
SecBladeFW板卡设计部署15
SecBladeFW部署典型组网15
FW侧部署说明16
WEB管理接口配置16
三层接口与安全区域部署16
静态路由部署18
访问控制策略部署18
NAT部署19
S75E侧部署说明21
vlan与接口部署21
双出口环境下的路由部署22
SecBladeIPS/ACG设计部署22
SecBladeIPS部署典型组网22
S75E交换机侧部署说明23
OAA与接口配置23
IPS侧部署说明25
WEB管理接口配置25
OAA配置26
安全区域配置27
段配置29
段策略配置29
二层回退配置30
SecBladeIPS+ACG设计部署31
SecBladeIPS+ACG部署典型组网31
S75E交换机侧部署说明32
IPS侧部署说明32
ACG侧部署说明33
整网双机HA设计部署34
整网双机HA部署34
链路故障切换34
交换机与园区核心相连链路故障切换34
交换机与internet相连链路故障切换35
板卡故障切换36
FW板卡故障切换36
IPS/ACG板卡故障切换37
整机故障切换;38
FigureList图目录
图1企业网FW+IPS+ACG最佳实践internet出口典型组网图6
图2企业网FW+IPS+ACG最佳实践园区汇聚典型组网图6
图3园区出口组网双机设计示例图7
图4下行流量示意图9
图5上行流量示意图10
图6S75E交换机部署结构图11
图7S75E交换机NQA部署追踪流量示意图14
图8SecBladeFW部署结构图15
图9SecBladeIPS部署典型组网流量图23
图10SecBladeIPS+ACG部署结构图31
图11S75E与园区核心相连链路故障切换示意图35
图1275E与internet相连链路故障切换示意图36
图13FW板卡故障切换示意图37
图14IPS板卡故障切换示意图38
图15整机故障切换示意图39
概述
企业网最佳实践2.0多业务板卡解决方案一FW+IPS+ACG组合主要针对企业网S75E交换核心集成FW、IPS和ACG模块,提供防火墙安全、IPS入侵防御及ACG流量管理的能力。
特点为部署简便、配置灵活、层次清晰,适合企业园区网络核心/出口交换机实施使用。
本文档描述企业网络中S75E交换核心、FW、IPS和ACG模块的集中部署,提供了以我们推荐的企业网参考模型为范例的配置过程。
主要分为以下几个模块的设计部署:
●FW+IPS+ACG园区最佳实践中的S75E交换机设计部署
●FW+IPS+ACG园区最佳实践中的FW板卡设计部署
●FW+IPS+ACG园区最佳实践中的IPS与ACG板卡设计部署
●FW+IPS+ACG园区最佳实践中的双机HA设计部署
本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式,各个板卡的详细特性使用(如FW的入侵检测;ACG的带宽管理与应用识别;IPS的URL过滤与DDoS攻击防御等)不作为描述重点,具体单产品特性实现配置方式,请参考各产品相关配置指导。
最佳实践网络结构
典型组网
本方案主要针对企业网园区出口与汇聚位置需求设计,在满足网络基础架构简单的前提下,在S75E交换机上实现FW、IPS与ACG板卡业务特性功能,同时保证流量路径清晰,满足双机HA切换的相关需求。
其中企业园区汇聚位置FW+IPS+ACG板卡配置部署方式与internet出口组网部署方式相似并有所简化,以下配置指导内容主要以internet出口为主,园区汇聚组网请参考以下配置内容根据实际项目情况简化使用,本文中不再赘述。
图1企业网FW+IPS+ACG最佳实践internet出口典型组网图
图2企业网FW+IPS+ACG最佳实践园区汇聚典型组网图
组网设计
图3园区出口组网双机设计示例图
•园区出口S75E交换机集成多业务板卡,连接Internet出口与园区核心。
为FW提供连接Internet的二层通道,与园区核心路由交换设备通过OSPF动态路由协议互连,并提供双机流量路径冗余。
•SecBladeFW板卡作为internet出口三层网关,通过NAT、策略管理和入侵检测等功能,为内部网络提供基于L3-L4的流量保护。
•SecBladeIPS板卡为整个网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。
S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。
•SecBladeACG板卡为整个网络提供基于L7的深度业务识别与带宽管理功能。
S75E与ACG板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。
•在整网双机备份组网环境中,S75E通过NQA对internet上行链路进行追踪检测,确保故障时秒级的流量路径自动切换;在FW板卡故障时,S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换;在IPS/ACG板卡故障时,S75E通过OAA协议,可实现流量不中断转发,而且IPS/ACG板卡在CPU与系统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。
•本典型组网配置指导同样适用于S75E+FW、S75E+ACG和S75E+IPS的交换机internet出口单板卡应用场景及S75E+FW+ACG、S75E+FW+IPS和S75E+ACG+IPS的交换机internet出口双板卡组合应用场景。
流量设计
企业网园区出口S75E+FW+IPS+ACG最佳实践中,主要包含两类应用业务流量:
(具体流量路径请参考下图)
●内部园区网络用户访问internet流量;
●internet用户访问园区内部公网服务器流量;
图4下行流量示意图
图5上行流量示意图
S75E交换机设计部署
S75E部署典型组网
图6S75E交换机部署结构图
部署说明
在本典型组网设计中,对外FW板卡作为internet出口网关,S75E只作为internet链路接入设备,为internet与FW之间提供二层通道连接。
对内,S75E与园区内部核心交换机设备间部署OSPF路由协议,可为网络提供路由动态学习与故障快速收敛能力。
Internet出口二层vlan通道部署
配置75E作为internet链路接入设备,为internet局方网关设备到FW间提供二层通道连接。
vlan10
descriptionInternetToFW
――配置二层通道vlan
interfaceGigabitEthernet7/0/24
portaccessvlan10
――将internet接口物理接口划入通道vlan中
OSPF单区域部署
在该组网中,OSPF网络规模较小,路由表不大,路由变化时计算开销也不多,配置可以简化一些。
这里建议采用单区域的部署方式,出口S75E设备与核心交换机都位于OSPF区域0中。
vlan11
descriptionToCoreSwitch1
vlan12
descriptionToCoreSwitch2
――配置与园区核心相连的vlan
interfaceVlan-interface11
ipaddress100.1.11.1255.255.255.0
interfaceVlan-interface12
ipaddress100.1.12.1255.255.255.0
――配置与园区核心相连的vlan接口地址
interfaceGigabitEthernet7/0/1
portaccessvlan11
interfaceGigabitEthernet7/0/2
portaccessvlan12
――将相关物理接口划分至不同vlan,
ospf1
area0.0.0.0
network100.1.11.00.0.0.255
network100.1.12.00.0.0.255
――配置OSPF区域,宣告内部vlan接口
OSPF协议internet路由引入
由于考虑internet双出口地址和路由不同问题,需要在S75E上部署对应internet明细路由的静态路由指向不同的FW网关,此时需要对internet路由进行汇总,确保流量分担与来回路径一致。
在S75E交换机上,通过部署静态路由并将配置的静态路由引入到OSPF中向内部园区核心发布,保证每个访问都能走到正确的出口交换设备与FW上。
同时发布不同cost值的缺省路由确保其他目的的internet流量转发,与双出口互为主备,保证某个出口故障时不会对内部访问internet造成障碍。
iproute-static0.0.0.00.0.0.0100.100.1.1
――配置缺省路由网关下一跳指向FW板卡直连接口地址
iproute-static5.5.5.0255.255.255.0100.100.1.1
iproute-static7.7.7.0255.255.255.0100.100.1.1
iproute-static21.0.0.0255.0.0.0100.100.1.1
――配置本S75E所连internet出口的公网聚合明细路由网关下一跳指向FW板卡直连接口地址
ospf1
default-route-advertisecost100
――配置向内部网络发布OSPF缺省路由,并通过设置不同cost值明确主备路径
import-routestatic
――配置本地静态路由引入OSPF协议向园区网络发布
OSPF接口HelloTime调整
OSPFHelloTime默认时间为10秒,相应的DeadTime为40秒。
在通常情况下会影响到HA收敛时间。
建议可调整OSPFHelloTime时间为1秒,相应得DeadTime时间4秒,HA收敛时间较为理想,Ping丢包2个左右,FTP应用层流量有短暂停顿并可恢复。
缩短OSPFHelloTime时间,会增加OSPFHello报文流量,但对本方案中网络内部1GE带宽来说没有问题。
一般OSPF网络节点少于8个且用户对整网收敛时间有较高要求时,推荐将HelloTime调整为1,另外在实际部署中还应根据设备和网络的资源利用情况适当调整参数。
此处还需要注意的是调整时要确保全网OSPF路由器接口的HelloTimer值统一。
interfaceVlan-interface11
ospftimerhello1
interfaceVlan-interface12
ospftimerhello1
――在启用OSPF的vlan接口下配置helloTimer值为1
75E双机环境中的NQA部署
在整网双机环境中,S75E为了避免internet出口链路
升级会员 