双机热备下挂模式的tsm联动.docx

1、双机热备下挂模式的tsm联动配置双机热备下旁挂模式的TSM联动组网需求某公司组网如图1所示，销售部所有PC通过接入交换机连接到核心交换机上，然后通过1000M光纤专线连接到公司总部。两台核心交换机为双机热备组网，正常情况下由核心交换机1转发所有流量，当核心交换机1发生故障时，流量切换到核心交换机2。图1 销售部直接访问公司总部组网图 为了保障内部网络安全，公司在总部部署了TSM终端安全管理系统，控制销售部PC接入公司总部网络，并使用USG实施接入控制。 说明：TSM终端安全管理系统能够为企业提供整套的内网安全解决方案，实现从终端到业务系统的控制和管理功能。系统由TSM管理器、TSM控制器、安全

2、接入控制网关、TSM代理组成，具体请参考TSM产品文档。USG在TSM终端安全管理系统中承担安全接入控制网关的角色，通过与TSM控制器联动实现对网络访问权限的控制。部署USG后的组网如图2所示，公司总部被划分为认证前域、隔离域和认证后域。认证前域是指终端主机在通过身份认证之前能够访问的区域，如DNS服务器、外部认证源、TSM控制器、TSM管理器等；隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域，如补丁服务器、防病毒服务器等；认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域，如ERP系统、财务系统、数据库系统等。在核心交换机上配置策略路由或者重定向（本举例中以策略

3、路由为例），将销售部PC访问公司总部的所有流量引流到USG，USG根据TSM控制器下发的策略来判断流量是否可以通过。允许通过的流量按照默认路由回送到核心交换机处理，不允许通过的流量直接丢弃。公司总部回来的流量直接由核心交换机转发。图2 部署USG后的组网图 该部署模式对原来组网方式的可靠性没有任何影响，分析如下： 说明：由于部署USG后，只改变了上行流量的路径，所以只对上行流量做分析。当USG_A或者USG_A与核心交换机1之间的链路发生故障时，上行数据流走向如图3所示。图3 USG_A或者USG_A与核心交换机1之间的链路发生故障时上行数据流走向示意图 当核心交换机1发生故障时，上行数据流走

4、向如图4所示。图4 核心交换机1发生故障时上行数据流走向示意图 业务规划在该应用场景中，相关的网络规划如图1所示。图1 网络规划示意图 说明：两台USG的HRP备份通道接口（心跳口）必须直接相连，中间不能连接交换机。USG的数据规划如表1所示。表1 USG的数据规划项目数据备注USG_A(1)接口号：GigabitEthernet 0/0/2IP地址：10.1.1.2/24安全区域：TrustVRID：1虚IP地址：10.1.1.1/24Link-group：1由于USG是双机热备组网，上行口出现故障时必需引起主备倒换，所以该接口需要运行VRRP，对上行提供虚IP地址。在核心交换机1上配置策略

5、路由，下一跳为该接口的虚IP地址，即将上行流量引流到USG，所以该接口称为上行口或者引流口。(2)接口号：GigabitEthernet 0/0/3IP地址：10.2.2.1/24安全区域：UntrustLink-group：1该接口为USG回注给核心交换机1的接口，所以称为下行口或者回注口。一般情况下，需要通过配置静态路由将流量回注到核心交换机1，静态路由的下一跳是与下行口相连的核心交换机的接口IP地址。此时核心交换机1作为3层设备使用，下行口不能运行VRRP，但当下行口出现故障时也必需引起主备倒换，通过配置下行口与上行口属于同一个Link-group实现。说明：Link-group的功能使

6、得同一个Link-group的接口拥有相同的Up/Down状态。当其中一个接口Down时，组内的其他接口也会Down。(3)接口号：GigabitEthernet 0/0/4IP地址：10.10.10.2/29安全区域：DMZ心跳口USG_B(4)接口号：GigabitEthernet 0/0/2IP地址：10.1.1.3/24安全区域：TrustVRID：1虚IP地址：10.1.1.1/24Link-group：1上行口，同USG_A。(5)接口号：GigabitEthernet 0/0/3IP地址：10.3.3.1/24安全区域：UntrustLink-group：1下行口，同USG_A。

7、(6)接口号：GigabitEthernet 0/0/4IP地址：10.10.10.3/29安全区域：DMZ心跳口核心交换机上数据规划如表2所示。表2 核心交换机数据规划项目数据备注核心交换机1(7)接口号：GigabitEthernet 0/0/2VLAN：300Vlanif 300的IP地址：10.1.1.4/24与USG_A的上行口相连。(8)接口号：GigabitEthernet 0/0/3IP地址：10.2.2.2/24与USG_A的下行口相连。核心交换机2(9)接口号：GigabitEthernet 0/0/2VLAN：300Vlanif 300的IP地址：10.1.1.5/24与

8、USG_B的上行口相连。(10)接口号：GigabitEthernet 0/0/3IP地址：10.3.3.2/24与USG_B的下行口相连。TSM控制器的数据规划如表3所示。表3 TSM控制器数据规划项目数据备注TSM控制器1IP地址：192.168.1.2/24端口：3288共享密钥：TSM_SecurityUSG上配置的端口与共享密钥需与TSM控制器上配置的相同。当终端用户在未通过身份认证的情况下尝试访问认证后域中的Web服务器时，在USG上配置Web页面推送功能，USG将给终端用户推送Web认证页面，方便终端用户通过Web页面进行身份认证。TSM控制器2IP地址：192.168.1.3/

9、24端口：3288共享密钥：TSM_Security同TSM控制器1。TSM管理器登录地址：https:/192.168.1.2:8443用户名：admin密码：Admin123与TSM控制器1安装在同一台服务器上，需登录TSM管理器对TSM部分进行配置。终端用户所在网段10.1.6.0/24销售部的终端用户所在网段。账号lee可访问的认证后域业务系统：172.16.1.10/24将“业务系统”加入认证后域，并应用于账号lee。隔离域补丁服务器：192.168.2.3/24病毒库服务器：192.168.2.5/24将补丁服务器地址和病毒库服务器地址加入隔离域，并应用于账号lee。认证前域DNS

10、服务器：192.168.3.3/24TSM控制器1：192.168.1.2/24TSM控制器2：192.168.1.3/24认证前域包括DNS服务器和两台TSM控制器。配置流程表1 双机热备旁挂模式的TSM联动配置流程过程操作备注1关闭USG的会话状态检测功能。必选终端用户在通过认证前后的数据流来回路径不一致，认证前数据流经过USG，通过认证后数据流不经过USG，故需要关闭USG的会话状态检测功能，确保USG不会因为认证前后来回的数据流路径不一致导致终端用户无法访问网络。2配置接口的相关数据，将接口加入安全区域，并配置域间包过滤。必选根据实际的网络规划，配置各个接口的IP地址，将接口加入安全区

11、域并配置域间包过滤。3配置TSM联动信息。必选4配置静态路由。必选5配置双机热备。必选配置HRP，模式为主备备份。6配置TSM。必选在TSM管理器上配置TSM控制器和认证前域、隔离域和认证后域，并应用到用户或者部门。配置过程操作步骤在USG_A上完成以下配置。关闭USG_A的会话状态检测功能。 system-viewUSG_A undo firewall session link-state check配置接口IP地址、将接口加入安全区域并配置域间包过滤。配置接口IP地址和描述信息。USG_A interface GigabitEthernet 0/0/2USG_A-GigabitEthern

12、et0/0/2 description /* in */USG_A-GigabitEthernet0/0/2 ip address 10.1.1.2 255.255.255.0USG_A-GigabitEthernet0/0/2 quitUSG_A interface GigabitEthernet 0/0/3USG_A-GigabitEthernet0/0/3 description /* out */USG_A-GigabitEthernet0/0/3 ip address 10.2.2.1 255.255.255.0USG_A-GigabitEthernet0/0/3 quitUSG_A

13、 interface GigabitEthernet 0/0/4USG_A-GigabitEthernet0/0/4 description /* heart */USG_A-GigabitEthernet0/0/4 ip address 10.10.10.2 255.255.255.248USG_A-GigabitEthernet0/0/4 quit将接口加入安全区域。USG_A firewall zone trustUSG_A-zone-trust add interface GigabitEthernet 0/0/2USG_A-zone-trust quitUSG_A firewall

14、zone untrustUSG_A-zone-untrust add interface GigabitEthernet 0/0/3USG_A-zone-untrust quitUSG_A firewall zone dmzUSG_A-zone-dmz add interface GigabitEthernet 0/0/4USG_A-zone-dmz quit配置安全策略。# 配置Local区域与Untrust区域之间的安全策略，使TSM控制器能够向USG下发策略信息。USG policy interzone local untrust inboundUSG-policy-interzone-

15、local-untrust-inbound policy 0USG-policy-interzone-local-untrust-inbound-0 policy source 192.168.1.0 0.0.0.255USG-policy-interzone-local-untrust-inbound-0 action permitUSG-policy-interzone-local-untrust-inbound-0 quitUSG-policy-interzone-local-untrust-inbound quit# 配置Local区域与Trust区域之间的安全策略，使USG能够推送用

16、于认证的Web页面给用户。USG policy interzone local trust outboundUSG-policy-interzone-local-trust-inbound policy 0USG-policy-interzone-local-trust-inbound-0 action permitUSG-policy-interzone-local-trust-inbound-0 quitUSG-policy-interzone-local-trust-inbound quit# 打开Local与DMZ之间的域间包过滤，使两台USG之间能够交互HRP报文。USG_A fir

17、ewall packet-filter default permit interzone local dmzWarning:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data flows. Are you sure you want to continue?Y/Ny 配置TSM联动。进入USG与TSM联动配置视图，指定缺省ACL规则组号。 说明：如果ACL 309

18、93999已经被占用，需要先删除ACL 30993999再进行配置，以免USG生成ACL规则时产生冲突。USG_A right-manager server-groupUSG_A-rightm default acl 3099在USG上添加TSM控制器，以便USG能够连接TSM控制器实施联动。由于有两台TSM控制器，所以需要执行两遍server ip命令添加两台TSM控制器。 说明：server ip命令中的port和shared-key请务必与TSM控制器侧的配置保持一致，否则USG不能与TSM控制器连接，TSM功能就无法使用。USG_A-rightm server ip 192.168.1

19、.2 port 3288 shared-key TSM_SecurityUSG_A-rightm server ip 192.168.1.3 port 3288 shared-key TSM_Security配置Web认证。当终端用户在未通过身份认证的情况下尝试访问网络时，实现USG自动向终端主机推送Web认证页面的功能，方便终端用户通过Web页面进行身份认证。USG_A-rightm right-manager authentication url http:/192.168.1.2:8080/webauthUSG_A-rightm right-manager authentication

20、url http:/192.168.1.3:8080/webauth“192.168.1.2”和“192.168.1.3”为TSM控制器的IP地址。启用服务器组，使USG立即连接TSM控制器发送联动请求，连接成功后，USG可以接收到TSM服务器下发的角色和角色规则。USG_A-rightm right-manager server-group enable配置逃生通道功能，将最少TSM控制器数量设定为1。这样当USG可以成功连接的TSM控制器达到或超过1台，就正常进行TSM的检测。当USG不能与任何一台TSM控制器连接上的话，就打开逃生通道，允许所有用户终端访问受控网络。这样可以避免终端用户因

21、TSM控制器出现故障而无法访问网络。USG_A-rightm right-manager server-group active-minimum 1USG_A-rightm right-manager status-detect enableUSG_A-rightm quit在Trust和Untrust域间出方向应用ACL 3099，使终端用户可以与认证前域正常通信，同时也使逃生通道的放行规则可以正确下发到Trust和Untrust域间。USG_A policy interzone trust untrust outboundUSG_A-policy-interzone-trust-untru

22、st-outbound apply packet-filter right-managerUSG_A-policy-interzone-trust-untrust-outbound quit配置从USG到核心交换机1的静态路由。这条路由的下一跳应该是GigabitEthernet 0/0/3所连的核心交换机的接口IP地址。因为GigabitEthernet 0/0/3是USG与认证后域相连的接口，USG完成流量检测后需要从该接口将流量转发给认证后域，以保证业务的运行。USG_A ip route-static 0.0.0.0 0.0.0.0 10.2.2.2配置双机热备。配置Link-grou

23、p，将引流口和回注口加入Link-group 1。USG_A interface GigabitEthernet 0/0/2USG_A-GigabitEthernet0/0/2 link-group 1USG_A-GigabitEthernet0/0/2 quitUSG_A interface GigabitEthernet 0/0/3USG_A-GigabitEthernet0/0/3 link-group 1USG_A-GigabitEthernet0/0/3 quit配置VRRP组的虚拟IP地址。USG_A interface GigabitEthernet 0/0/2USG_A-Gig

24、abitEthernet0/0/2 vrrp vrid 1 virtual-ip 10.1.1.1 masterUSG_A-GigabitEthernet0/0/2 quit配置HRP备份通道。USG_A hrp interface GigabitEthernet 0/0/4启用HRP功能。USG_A hrp enable在USG_B上完成以下配置。USG_B的配置与USG_A基本相同，不同之处在于： 各接口IP地址。 VRRP管理组配置为slave。 静态路由的下一跳IP地址。配置核心交换机1（仅给出配置思路，具体请参考实际组网使用的核心交换机产品文档）。配置接口IP地址。配置Vlanif

25、300的接口IP地址为10.1.1.4/24。将接口GigabitEthernet 0/0/2加入VLAN 300。配置GigabitEthernet 0/0/3的接口IP地址为10.2.2.2。1 配置两台核心交换机互连的接口允许VLAN 300通过。配置路由，将与USG下行口相连的接口IP地址所在的网段发布出去，即10.2.2.0/24。 说明：Vlanif 300的接口IP地址所在的网段不用发布出去。1 配置策略路由，将来自终端用户所在网段的流量引流到USG的上行口，注意使用上行口的虚IP地址，即10.1.1.1。1 配置双机热备。配置核心交换机2。核心交换机2的配置与核心交换机1基本相

26、同，不同之处在于： 各接口IP地址。 发布的OSPF路由不同，核心交换机2发布的网段为10.3.3.0/24。配置TSM。配置SACG和SC。# 在TSM管理器的导航栏单击“接入控制”。# 在左侧菜单栏选择“接入控制配置 硬件SACG”。# 选择“硬件SACG”页签。# 单击“增加”。# 输入硬件安全接入控制网关的连接参数。 说明： 类型选择“防火墙”。 主用IP配置为USG_A的GigabitEthernet 0/0/3接口IP地址。 备用IP配置为USG_B的GigabitEthernet 0/0/3接口IP地址。 Key配置与USG中shared-key的值一致（举例中为TSM_Secu

27、rity）。 将两台SC服务器地址加入列表，当列表中的SC服务器与SACG连接异常时，TSM管理器将会告警。 单击“添加”将终端主机的IP地址范围加入列表。图1 配置防火墙的连接参数 # 单击“确定”。# 在TSM管理器的导航栏单击“系统配置”。# 在左侧菜单栏选择“服务器配置 SC配置”。# 单击“增加”。# 输入TSM控制器的相关参数。图2 配置TSM控制器 # 单击“确定”。配置认证前域。# 在TSM管理器的导航栏单击“接入控制”。# 在左侧菜单栏选择“接入控制配置 硬件SACG”。# 选择“前域”页签。# 单击“增加”。# 输入认证前域的相关参数。 说明：配置完TSM控制器之后TSM控

28、制器默认已加入认证前域，无需在“前域”中再次配置。本举例中只需将DNS服务器加入前域即可。图3 增加认证前域 # 单击“确定”。配置隔离域和认证后域。 说明：配置隔离域和认证后域之前需要先配置受控域，隔离域和认证后域再从受控域中选择。# 在TSM管理器的导航栏单击“接入控制”。# 在左侧菜单栏选择“接入控制配置 硬件SACG”。# 选择“受控域”页签。# 单击“增加”。# 输入受控域的相关参数。图4 增加受控域 # 单击“确定”。# 选择“隔离域”页签。# 单击“增加”。图5 配置隔离域 # 单击“确定”。# 选择“后域”页签。# 单击“增加”。图6 配置认证后域 # 单击“确定”。应用隔离域

29、和认证后域。 说明：本举例中只以隔离域和认证后域应用于某个账号为例，应用于部分操作相同。# 在TSM管理器的导航栏单击“部门管理”。# 在左侧菜单栏选择“部门用户 部门用户管理”。# 选择“用户”页签。# 单击“添加”。# 输入用户名，创建用户成功后单击该用户右侧的。# 在弹出的“账号管理”页面中单击“添加”。# 输入账号的相关信息。图7 创建账号 # 单击“确定”。# 单击账号lee右侧的。# 选中“配置方式”中的“自定义设置”。# 将配置的隔离域和认证后域应用在账号lee。图8 应用隔离域和后域到账号 # 单击“确定”。配置安全认证策略。本举例配置的策略是补丁检查和防病毒软件策略。配置策略

30、时必须选中“严重违规时禁止接入网络”，配置完成后，需要将该策略应用于终端用户才能生效。具体配置过程请参见TSM管理器操作指南。结果验证1 查看认证服务器状态。# 在主用USG上查看认证服务器状态。HRP_M display right-manager server-group Server group state : Enable Server number : 2 Server ip address Port State Master 192.168.1.2 3288 active Y 192.168.1.3 3288 active N active表示TSM服务器与USG连接状态正常。# 在备用USG上查看认证服务器状态。HRP_S dis