企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG.docx

1、企业网最佳实践20多业务板卡配置指导书FW+IPS+ACG企业网最佳实践2.0多业务板卡配置指导书FW+IPS+ACGCatalog 目 录概述 5最佳实践网络结构 5典型组网 5组网设计 7流量设计 8S75E交换机设计部署 11S75E部署典型组网 11部署说明 11Internet出口二层vlan通道部署 11OSPF单区域部署 12OSPF协议internet路由引入 12OSPF接口Hello Time调整 1375E双机环境中的NQA部署 14SecBlade FW板卡设计部署 15SecBlade FW部署典型组网 15FW侧部署说明 16WEB管理接口配置 16三层接口与安全区

2、域部署 16静态路由部署 18访问控制策略部署 18NAT部署 19S75E侧部署说明 21vlan与接口部署 21双出口环境下的路由部署 22SecBlade IPS/ACG设计部署 22SecBlade IPS部署典型组网 22S75E交换机侧部署说明 23OAA与接口配置 23IPS侧部署说明 25WEB管理接口配置 25OAA配置 26安全区域配置 27段配置 29段策略配置 29二层回退配置 30SecBlade IPS+ACG设计部署 31SecBlade IPS+ACG部署典型组网 31S75E交换机侧部署说明 32IPS侧部署说明 32ACG侧部署说明 33整网双机HA设计部署

3、 34整网双机HA部署 34链路故障切换 34交换机与园区核心相连链路故障切换 34交换机与internet相连链路故障切换 35板卡故障切换 36FW板卡故障切换 36IPS/ACG板卡故障切换 37整机故障切换； 38Figure List 图目录图1 企业网FW+IPS+ACG最佳实践internet出口典型组网图 6图2 企业网FW+IPS+ACG最佳实践园区汇聚典型组网图 6图3 园区出口组网双机设计示例图 7图4 下行流量示意图 9图5 上行流量示意图 10图6 S75E交换机部署结构图 11图7 S75E交换机NQA部署追踪流量示意图 14图8 SecBlade FW部署结构图

4、15图9 SecBlade IPS部署典型组网流量图 23图10 SecBlade IPS+ACG部署结构图 31图11 S75E与园区核心相连链路故障切换示意图 35图12 75E与internet相连链路故障切换示意图 36图13 FW板卡故障切换示意图 37图14 IPS板卡故障切换示意图 38图15 整机故障切换示意图 39概述企业网最佳实践2.0多业务板卡解决方案一FW+IPS+ACG组合主要针对企业网S75E交换核心集成FW、IPS和ACG模块，提供防火墙安全、IPS入侵防御及ACG流量管理的能力。特点为部署简便、配置灵活、层次清晰，适合企业园区网络核心/出口交换机实施使用。本文档

5、描述企业网络中S75E交换核心、FW、IPS和ACG模块的集中部署，提供了以我们推荐的企业网参考模型为范例的配置过程。主要分为以下几个模块的设计部署： FW+IPS+ACG园区最佳实践中的S75E交换机设计部署 FW+IPS+ACG园区最佳实践中的FW板卡设计部署 FW+IPS+ACG园区最佳实践中的IPS与ACG板卡设计部署 FW+IPS+ACG园区最佳实践中的双机HA设计部署本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式，各个板卡的详细特性使用（如FW的入侵检测；ACG的带宽管理与应用识别；IPS的URL过滤与DDoS攻击防御等）不作为描述重点，具体单产品特性实现配置方式，

6、请参考各产品相关配置指导。最佳实践网络结构典型组网本方案主要针对企业网园区出口与汇聚位置需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW、IPS与ACG板卡业务特性功能，同时保证流量路径清晰，满足双机HA切换的相关需求。其中企业园区汇聚位置FW+IPS+ACG板卡配置部署方式与internet出口组网部署方式相似并有所简化，以下配置指导内容主要以internet出口为主，园区汇聚组网请参考以下配置内容根据实际项目情况简化使用，本文中不再赘述。图1 企业网FW+IPS+ACG最佳实践internet出口典型组网图图2 企业网FW+IPS+ACG最佳实践园区汇聚典型组网图组网设

7、计图3 园区出口组网双机设计示例图 园区出口S75E交换机集成多业务板卡，连接Internet出口与园区核心。为FW提供连接Internet的二层通道，与园区核心路由交换设备通过OSPF动态路由协议互连，并提供双机流量路径冗余。 SecBlade FW板卡作为internet出口三层网关，通过NAT、策略管理和入侵检测等功能，为内部网络提供基于L3-L4的流量保护。 SecBlade IPS板卡为整个网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。 SecBlade ACG板卡为整个网络提供基于L7的深度业

8、务识别与带宽管理功能。S75E与ACG板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。 在整网双机备份组网环境中，S75E通过NQA对internet上行链路进行追踪检测，确保故障时秒级的流量路径自动切换；在FW板卡故障时，S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换；在IPS/ACG板卡故障时，S75E通过OAA协议，可实现流量不中断转发，而且IPS/ACG板卡在CPU与系统资源占用较高时还可通过二层回退机制使流量达到直接转发不丢包的效果。 本典型组网配置指导同样适用于S75E+FW、S75E+ACG和S75E+IPS的交换机inter

9、net出口单板卡应用场景及S75E+FW+ACG、S75E+FW+IPS和S75E+ACG+IPS的交换机internet出口双板卡组合应用场景。流量设计企业网园区出口S75E+FW+IPS+ACG最佳实践中，主要包含两类应用业务流量：（具体流量路径请参考下图） 内部园区网络用户访问internet流量； internet用户访问园区内部公网服务器流量；图4 下行流量示意图图5 上行流量示意图S75E交换机设计部署S75E部署典型组网图6 S75E交换机部署结构图部署说明在本典型组网设计中，对外FW板卡作为internet出口网关，S75E只作为internet链路接入设备，为internet

10、与FW之间提供二层通道连接。对内，S75E与园区内部核心交换机设备间部署OSPF路由协议，可为网络提供路由动态学习与故障快速收敛能力。Internet出口二层vlan通道部署配置75E作为internet链路接入设备，为internet局方网关设备到FW间提供二层通道连接。vlan 10 description InternetToFW 配置二层通道vlaninterface GigabitEthernet7/0/24 port access vlan 10 将internet接口物理接口划入通道vlan中OSPF单区域部署在该组网中，OSPF网络规模较小，路由表不大，路由变化时计算开销也不多

11、，配置可以简化一些。这里建议采用单区域的部署方式，出口S75E设备与核心交换机都位于OSPF区域0中。vlan 11 description ToCoreSwitch1vlan 12 description ToCoreSwitch2 配置与园区核心相连的vlaninterface Vlan-interface11 ip address 100.1.11.1 255.255.255.0interface Vlan-interface12 ip address 100.1.12.1 255.255.255.0 配置与园区核心相连的vlan接口地址interface GigabitEthernet

12、7/0/1 port access vlan 11interface GigabitEthernet7/0/2 port access vlan 12 将相关物理接口划分至不同vlan，ospf 1area 0.0.0.0 network 100.1.11.0 0.0.0.255 network 100.1.12.0 0.0.0.255 配置OSPF区域，宣告内部vlan接口OSPF协议internet路由引入由于考虑internet双出口地址和路由不同问题，需要在S75E上部署对应internet明细路由的静态路由指向不同的FW网关，此时需要对internet路由进行汇总，确保流量分担与来回

13、路径一致。在S75E交换机上，通过部署静态路由并将配置的静态路由引入到OSPF中向内部园区核心发布，保证每个访问都能走到正确的出口交换设备与FW上。同时发布不同cost值的缺省路由确保其他目的的internet流量转发，与双出口互为主备，保证某个出口故障时不会对内部访问internet造成障碍。ip route-static 0.0.0.0 0.0.0.0 100.100.1.1 配置缺省路由网关下一跳指向FW板卡直连接口地址ip route-static 5.5.5.0 255.255.255.0 100.100.1.1ip route-static 7.7.7.0 255.255.255.

14、0 100.100.1.1ip route-static 21.0.0.0 255.0.0.0 100.100.1.1 配置本S75E所连internet出口的公网聚合明细路由网关下一跳指向FW板卡直连接口地址ospf 1 default-route-advertise cost 100 配置向内部网络发布OSPF缺省路由，并通过设置不同cost 值明确主备路径import-route static 配置本地静态路由引入OSPF协议向园区网络发布OSPF接口Hello Time调整OSPF Hello Time默认时间为10秒，相应的Dead Time 为40秒。在通常情况下会影响到HA 收敛

15、时间。建议可调整OSPF Hello Time时间为1秒，相应得Dead Time时间4秒，HA收敛时间较为理想，Ping丢包2个左右，FTP应用层流量有短暂停顿并可恢复。缩短OSPF Hello Time时间，会增加OSPF Hello 报文流量，但对本方案中网络内部1GE带宽来说没有问题。一般OSPF网络节点少于8个且用户对整网收敛时间有较高要求时，推荐将Hello Time调整为1，另外在实际部署中还应根据设备和网络的资源利用情况适当调整参数。此处还需要注意的是调整时要确保全网OSPF路由器接口的Hello Timer值统一。interface Vlan-interface11 ospf timer hello 1interface Vlan-interface12 ospf timer hello 1 在启用OSPF的vlan接口下配置hello Timer值为175E双机环境中的NQA部署在整网双机环境中，S75E为了避免internet出口链路