S75EFWIPSLB部署方案

1、多业务板卡配置指导书FW+IPS+LBCatalog 目 录概述5最佳实践网络结构5典型组网5组网设计7流量设计8S75E交换机设计部署10S75E部署典型组网10部署说明10二层vlan通道部署10OSPF单区域部署11OSPF协议静态路由引入12OSPF接口Hello Time调整12S75E双机环境中的NQA部署13SecBlade FW板卡设计部署14SecBlade FW部署典型组网14FW侧部署说明15WEB管理接口配置15三层接口与安全区域部署15静态路由部署16访问控制策略部署17S75E侧部署说明17SecBlade LB设计部署18SecBlade LB部署典型组网18LB

2、侧部署说明19WEB管理接口配置19接口与路由部署20虚服务部署21S75E侧部署说明22SecBlade IPS设计部署23SecBlade IPS部署典型组网23S75E侧部署说明23OAA与接口配置23IPS侧部署说明25WEB管理接口配置25OAA配置27安全区域配置28段配置29段策略配置29二层回退配置31整网双机HA设计部署31整网双机HA部署31链路故障切换32交换机与园区核心相连链路故障切换32交换机与服务器相连链路故障切换32板卡故障切换33FW板卡故障切换33LB板卡故障切换34IPS板卡故障切换35整机故障切换；36Figure List 图目录图1 企业网FW+IPS

3、+LB最佳实践典型组网图6图2 整网双机设计示例图7图3 上下行流量示意图9图4 S75E交换机部署结构图10图5 S75E交换机NQA部署追踪流量示意图13图6 SecBlade FW部署结构图14图7 SecBlade LB部署结构图19图8 SecBlade IPS部署典型组网流量图23图9 S75E与园区核心相连链路故障切换示意图32图10 75E与服务器相连链路故障切换示意图33图11 FW板卡故障切换示意图34图12 LB板卡故障切换示意图35图13 IPS板卡故障切换示意图36图14 整机故障切换示意图37概述企业网最佳实践2.0多业务板卡解决方案一FW+IPS+LB组合主要针对

4、企业网S75E交换核心集成FW、IPS和LB模块，提供防火墙安全、IPS入侵防御及LB负载均担的能力。特点为部署简便、配置灵活、层次清晰，适合企业园区DMZ区域交换机实施使用。本文档描述企业网络中S75E交换核心、FW、IPS和LB模块的集中部署，提供了以我们推荐的企业网参考模型为范例的配置过程。主要分为以下几个模块的设计部署：l FW+IPS+LB园区DMZ区域最佳实践中的S75E交换机设计部署l FW+IPS+LB园区DMZ区域最佳实践中的FW板卡设计部署l FW+IPS+LB园区DMZ区域最佳实践中的LB板卡设计部署l FW+IPS+LB园区DMZ区域最佳实践中的IPS板卡设计部署l F

5、W+IPS+LB园区DMZ区域最佳实践中的双机HA设计部署本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式，各个板卡的详细特性使用（如FW的入侵检测；LB的服务器负载均担；IPS的URL过滤与攻击防御等）不作为描述重点，具体单产品特性实现配置方式，请参考各产品相关配置指导。最佳实践网络结构典型组网本方案主要针对企业网园区DMZ区域需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW、IPS与LB板卡业务特性功能，同时保证流量路径清晰，满足双机HA切换的相关需求。图1 企业网FW+IPS+LB最佳实践典型组网图组网设计图2 整网双机设计示例图 园区DMZ区域S75E

6、交换机集成多业务板卡，连接DMZ区域服务器与园区网络。为LB连接服务器与FW连接LB提供二层通道，与园区核心路由交换设备通过OSPF动态路由协议互连，并提供双机流量路径冗余。 SecBlade FW板卡为S75E到LB之间提供三层转发，并通过NAT、策略管理和入侵检测等功能，为内部网络提供基于L3-L4的流量保护。 SecBlade LB板卡采用在线部署方式，作为服务器网关，缺省路由下一跳指向FW板卡。双机环境中两块板卡均使能源地址转换功能这个是否还有其它方法？有安全要求的服务器或IPS是否要查看接入的源地址信息，确保流量往返路径一致。 SecBlade IPS板卡为网络提供基于L4-L7的攻

7、击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。在本最佳实践中，IPS板卡处理FW到LB板卡间的二层流量。 在整网双机备份组网环境中，S75E通过NQA对LB板卡进行追踪检测，确保故障时秒级的流量路径自动切换；在FW板卡故障时，S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换；在LB板卡故障时，S75E通过NQA感知故障并通过取消OSPF路由发布方式使流量切换到另一台设备上；在IPS板卡故障时，S75E通过OAA协议感知板卡状态，流量在交换机内直接转发，而且IPS板卡在CPU与系统资源占用较高时

8、还可通过二层回退机制使流量达到直接转发不丢包的效果。 本典型组网配置指导同样适用于S75E+FW、S75E+LB和S75E+IPS的交换机DMZ区域单板卡应用场景及S75E+FW+LB、S75E+FW+IPS和S75E+LB+IPS的交换机DMZ区域双板卡组合应用场景。流量设计企业网园区DMZ区域S75E+FW+IPS+LB最佳实践中，主要以用户访问DMZ区服务器及服务器返回流量为主。（具体流量路径请参考下图）图3 上下行流量示意图S75E交换机设计部署S75E部署典型组网图4 S75E交换机部署结构图部署说明在本典型组网设计中，对外S75E作为DMZ区域网关，与园区内部路由交换机设备间部署O

9、SPF路由协议，可为网络提供路由动态学习与故障快速收敛能力；对内S75提供FW到LB间和LB到服务器间的二层vlan通道连接，并部署NQA对LB板卡进行追踪，确保故障时路由可以快速切换。以下配置仅以左侧主路径S75E交换机进行配置举例。二层vlan通道部署部署需要承载的二层vlan，与FW、LB板卡相关S75E接口vlan配置请参考下文相关内容。vlan 12 description FWToLBvlan 100 description LBToServer 配置二层通道vlaninterface GigabitEthernet7/0/1 port access vlan 100interfa

10、ce GigabitEthernet7/0/2 port access vlan 100interface GigabitEthernet7/0/3 port access vlan 100 将连接服务器的物理接口划入通道vlan中OSPF单区域部署在该组网中，OSPF网络规模较小，路由表不大，路由变化时计算开销也不多，配置尽量简化。这里建议采用单区域的部署方式，DMZ区域S75E设备与园区核心路由交换设备都位于OSPF区域0中。vlan 10 description ToCoreSwitch 配置与园区核心相连的vlaninterface Vlan-interface10 ip addres

11、s 52 配置与园区核心相连的vlan接口地址interface GigabitEthernet7/0/24 port access vlan 10 将相关物理接口划分至相应vlan，ospf 1area network 配置OSPF区域，宣告内部vlan接口OSPF协议静态路由引入在S75E交换机上，部署去往内部LB虚服务的静态路由并将配置的静态路由引入到OSPF中向园区核心发布。同时发布不同cost值的路由确保主备路径，保证主DMZ区域交换机故障时路由可以切换到备机上。主用路径S75E配置：ip

12、route-static 0 55 配置本S75E所连LB虚服务主机路由网关下一跳指向本机FW板卡直连接口地址ospf 1import-route static cost 100 配置本地静态路由引入OSPF协议向园区网络发布备用路径S75E配置：ip route-static 0 55 配置本S75E所连LB虚服务主机路由网关下一跳指向本机FW板卡直连接口地址ospf 1import-route static cost 200 配置本地静态路由引入OSPF协议向园区

13、网络发布*主备S75E通过配置OSPF引入路由的cost值达到路径备份的目的。OSPF接口Hello Time调整OSPF Hello Time默认时间为10秒，相应的Dead Time 为40秒。在通常情况下会影响到HA 收敛时间。建议可调整OSPF Hello Time时间为1秒，相应得Dead Time时间4秒，HA收敛时间较为理想，Ping丢包2个左右，FTP应用层流量有短暂停顿并可恢复。缩短OSPF Hello Time时间，会增加OSPF Hello 报文流量，但对本方案中网络内部1GE带宽来说没有问题。一般OSPF网络节点少于8个且用户对整网收敛时间有较高要求时，推荐将Hello

14、 Time调整为1，另外在实际部署中还应根据设备和网络的资源利用情况适当调整参数。此处还需要注意的是调整时要确保全网OSPF路由器接口的Hello Timer值统一。interface Vlan-interface10 ospf timer hello 1 在启用OSPF的vlan接口下配置hello Timer值为1S75E双机环境中的NQA部署在整网双机环境中，S75E为了避免LB卡故障S75E设备无法感知切换的问题，需要进行NQA部署。75E交换机通过追踪LB接口网关地址，确保当本地LB板卡故障时，去往LB虚服务的静态路由失效，从而不再向园区OSPF网络发布路由，达到使去往DMZ服务的流

15、量在网络核心处选择另一个DMZ区域交换机的目的。此设计可以使DMZ区域发生故障时，流量自动切换，受影响最小。图5 S75E交换机NQA部署追踪流量示意图首先需要在去往LB虚服务的静态路由配置上track追踪组。ip route-static 0 55 track 1 配置虚服务路由属于track组1ip route-static 52 配置去往FW与LB相连网段的静态路由*此处需要注意举例中的/30为FW与LB之间网段，NQA追踪的LB直连接口IP

16、：也属于此网段，不能对这个网段的静态路由进行track追踪。然后配置NQA内容nqa entry 1 1 type icmp-echo destination ip frequency 1000 next-hop probe timeout 500 reaction 1 checked-element probe-fail threshold-type consecutive 4 action-type trigger-only source ip 配置NQA使用icmp方式进行追踪检测，每1000ms发送一个探测报

17、文，每个探测报文响应超时时间为500ms，当连续4个报文没有响应时出发探测失败行为。nqa schedule 1 1 start-time now lifetime forever 配置NQA使能，启动探测。track 1 nqa entry 1 1 reaction 1 配置NQA与track组1进行联动，当NQA探测失败时出发track的失效，进而导致静态路由失效，OSPF不再对园区进行虚服务路由项的发布。SecBlade FW板卡设计部署SecBlade FW部署典型组网图6 SecBlade FW部署结构图FW侧部署说明在本部署方案中FW板卡主要处理园区网络与LB虚服务互访流量。因此需

18、要在FW上部署两个三层接口分别连接LB与S75E。（如图所示）（对于入侵检测等防火墙功能具体部署请参考相关产品配置手册。）WEB管理接口配置SecBlade FW属于WEB界面管理设备，首先需要在console界面下配置面板上的某个接口作为网管口，通过HTTP连接再进行后续配置。一般采用GE0/1接口作为web管理接口，其缺省IP地址为/24interface GigabitEthernet0/1ip address 可以将接口IP地址修改为与管理PC同一网段地址通过WEB进行管理接下来就可以通过WEB界面进行登陆配置管

19、理了。*缺省登陆用户名与密码均为h3c，区分大小写三层接口与安全区域部署首先在接口管理中建立新的三层子接口对应典型组网中的两个子网。创建子网接口时建议接口名称对应接口vlan的VID，这样便于分别不同三层接口。 配置vlan11对应S75E交换机，vlan12对应LB板卡修改安全区域，在untrust与trust域中添加相应接口。安全区域配置完成后可以在接口管理中看到相关接口已经隶属于不同的安全区域。静态路由部署SecBlade FW推荐采用静态路由方式建立路由表项。首先将缺省路由网关指向S75E对端地址。接着配置去往LB虚服务路由下一跳指向LB板卡。访问控制策略部署SecBlade FW通过

20、访问控制策略对流量报文进行控制，缺省不允许流量从优先级低的方向访问优先级高的方向，因此需要配置访问控制策略。（此部分更具体的配置请参考产品相关手册）创建untrust - trust、untrust - LB与LB- trust访问控制列表，允许控制权限内的访问。S75E侧部署说明在S75E侧，与SecBlade FW板卡相连的为一个10GE接口，因此需要将此接口配置为TRUNK模式，并部署相应2个vlan。vlan 11 description S75EToFWvlan 12 description FWToLB 配置相应vlaninterface Vlan-interface11 ip a

21、ddress 52 配置交换机与FW间vlan接口地址，作为FW访问园区网络的下一跳网关interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit vlan 11 12 配置S75E交换机与FW间物理接口并trunk相关vlanSecBlade LB设计部署SecBlade LB部署典型组网在本部署方案中，LB板卡采用在线方式部署，双机中通过源地址转换与75ENQA配合提供多路径冗余保护。图7 SecBlade LB部署结构图LB侧部署说明WEB管理接口配置Se

22、cBlade FW属于WEB界面管理设备，首先需要在console界面下配置面板上的某个接口作为网管口，通过HTTP连接再进行后续配置。一般采用GE0/1接口作为web管理接口，其缺省IP地址为/24interface GigabitEthernet0/1ip address 可以将接口IP地址修改为与管理PC同一网段地址通过WEB进行管理接下来就可以通过WEB界面进行登陆配置管理了。*缺省登陆用户名与密码均为h3c，区分大小写接口与路由部署在接口管理中建立新的三层子接口对应典型组网中的两个子网。建议接口名称对应接口vl

23、an的VID，这样便于分别不同三层接口。 配置vlan12对应FW板卡，vlan100对应服务器组 配置缺省路由，网关指向FW板卡接口双机环境下，备机接口及路由部署如下：虚服务部署本文档只简单介绍创建虚服务过程，更详细配置内容请参考产品相关手册。首先创建真实服务器组。然后将真实服务器加入服务器组中。最后配置虚服务并使能*此处注意在双机环境下需要配置SNAT使能项，这样服务器对外部发起的连接可以根据主备不同的服务器网段接口地址进行回应。双机环境下备LB的虚服务大部分配置与主LB完全一致，只有真实服务器地址需要填写对应网段地址。S75E侧部署说明在交换机上只需配置连通FW到LB及LB到服务器的二层

24、通道即可。vlan 12 description FWToLBvlan 100 description LBToServer 配置LB板卡需要承载vlaninterface Ten-GigabitEthernet4/0/1 port link-type trunk port trunk permit vlan 12 100 配置75E的LB板卡接口承载上述vlanSecBlade IPS设计部署SecBlade IPS部署典型组网SecBlade IPS在本部署方案中使用在线部署方式，需要对上下行流量进行双向引流重定向上IPS板卡处理。在交换机FW与LB板卡的物理接口入方向做流量重定向，使流量

25、上IPS板卡，IPS板卡根据策略做允许、拒绝和记录等动作，不会对报文内容做任何修改。随后流量从IPS板卡转出时还是在同一vlan中，再到交换机的接口做vlan转发。具体过程如下图所示。由于IPS在整个网络中属于2层透明转发设备，不会对报文进行任何修改，整个网络从连通性上看加入IPS后不会产生任何变化影响。因此建议实施的时候将其放在最后进行上线配置，即其他设备都调试OK，流量转发与HA设计都以正常实现情况下再进行IPS的部署实施。图8 SecBlade IPS部署典型组网流量图S75E侧部署说明OAA与接口配置在75E交换机上，通过OAA架构实现流量重定向ACL向交换机接口的下发。需要配置OAA

26、相关内容将75E交换机与SecBlade IPS板卡进行联动。流量重定向的关键动作都是在IPS上完成，S75E只需要配置OAA相关内容和IPS板卡接口即可。当IPS板卡拔出或重启时，OAA会删除相关接口流量重定向规则，流量在交换机上直接三层转发。mib-style new 全局模式下配置MIB为H3C品牌新风格，即设备sysOID与私有MIB均在H3C企业ID 25506下。只需配置一次，配置后须重启（可所有配置完成后重启）snmp-agentsnmp-agent sys-info version allsnmp-agent group v3 v3group_no read-view iso

27、write-view isosnmp-agent mib-view included iso isosnmp-agent usm-user v3 v3user_no v3group_no 配置SNMPv3参数，这里配置为SNMPv3用户，不认证不加密方式acfp server enable acsei server enable 使能ACFP server和ACSEI server功能vlan 4000 description OAAForIPSinterface Vlan-interface4000ip address 配置OAA管理vlan

28、和三层接口interface Ten-GigabitEthernet2/0/1port link-type trunkport trunk permit vlan 12 4000port trunk pvid vlan 4000 port connection-mode extentedmac-address mac-learning disable 配置IPS板卡物理接口为trunk模式，承载所有将被引流上IPS的交换机物理接口待引流量所属vlan，pvid vlan为OAA管理vlan*此处必须配置port connection-mode extented，使能Hig转发模式。*接口必须配

29、置mac-address mac-learning disable，禁止MAC学习能力。*还有需要注意的是trunk的vlan与在IPS上配置的准备引流的接口vlan必须相同，确保流量从IPS转回的时候可以发送到正确的交换机三层接口上做下一步路由转发。switch-mode l2-enhanced 配置交换机主控板的流量转发模式为enhanced（主控板流量转发模式配置完毕后需保存配置并重启整个交换机，所做配置才会整机生效）*上述配置完成后需要保存配置并重启交换机才能全部生效。IPS侧部署说明WEB管理接口配置SecBlade IPS属于WEB界面管理设备，首先需要在console界面下配置面

30、板上的某个接口作为网管口，通过HTTPS连接再进行后续配置。一般采用meth0/2接口作为web管理接口，其缺省IP地址为/24system-viewH3Cinterface meth0/2H3C-ifip address 24*console登陆缺省用户名密码均为H3C，区分大小写。*web登陆缺省用户名密码均为admin，区分大小写。*IPS板卡的10GE接口缺省为down状态，第一次使用时需要将其手工配置up。OAA配置完成管理接口基本配置后，需要在SecBlade IPS上进行OAA功能配置。*SNMP及ip地址与前面75E配置举例对应，当

31、配置完成后点击确定。之后还可以通过“连通性测试”按钮来对OAA管理IP的连通性进行测试。此时在75E交换机上也可以通过以下命令查看ACFP状态，IPS板卡是否与交换机通信成功。H3Cdisplay acsei client info Total Client Number: 1 Client ID: 1 Client Description: Application Control Gateway Hardware: 1.0 System Software: i-Ware 1.0 Application Software: Beta 2104 CPU: RMI XLR732 PCB Versi

32、on: Ver.A CPLD Version: 1.0 Bootrom Version: 1.17 CF card: 1006MB Memory: 2185MB Harddisk: 0MB H3Cdisplay acfp client-infoACFP client total number: 1ClientID: 1Description: Application Control GatewayHw-Info: 1.0OS-Info: i-Ware 1.0App-Info: Beta 2104Client IP: Client Mode: redirect mirror安

33、全区域配置完成OAA相关设备，并查看OAA协议状态均正确情况下，可以进行安全区域配置、段配置和段策略配置。首先在安全区域中配置内部域接口域外部域接口，此处接口选择的是IPS板卡通过ACFP协议从75E交换机上获取到的交换机物理接口。*此处配置Ten-Ge3/0/1为与外部网络FW板卡相连接口，Ten-Ge4/0/1为与内部网络LB板卡相连接口。*安全区域配置中选定接口后可以选择添加相应vlan信息使用接口vlan规则组合进一步缩小引流范围，也可以选择此处不添加vlan信息，而在后面段策略配置中添加内部或外部域IP地址，使用接口IP规则进行引流。这两种组合方式适用于不同的需求场景。当需要重定向到

34、IPS处理的流量IP地址较规则，便于聚合，且聚合后IP地址组较少时，建议采用接口IP的方式定义引流；当流量IP较为凌乱，聚合后地址规则较多时，建议采用接口vlan的方式定义引流。简单来说就是先选组合后规则少的，规则数相同情况下IP优于vlan，配置的规则数量可在后面几步都完成后在75E交换机上通过display acfp rule-info policy命令查看。注意，目前SecBlade IPS不支持接口vlanip的引流规则定义方式，当三者都配置的时候，只有接口vlan生效。段配置安全区域配置完成后，配置段，并将相应安全区域加入段。*此处内联接口为IPS板卡接口，不需选择，会直接填充。段策

35、略配置接下来进行段策略的配置，此部分包括IPS、带宽管理、URL过滤、防病毒攻击和DDoS等内容，具体配置请参考产品相关配置手册。当完成相关策略的配置后，将策略应用在段上即可。此处以应用带宽管理策略为例。配置使用缺省策略，并将需要管理的内部网络地址添加上去。*此处可以填写内部或外部域IP，配合引流处理。在安全区域未配置vlan的情况下，只有配置的IP对应流量会被重定向至IPS，其他流量直接在交换机转发。若安全区域中已配置vlan，则此处配置IP对应流量会进行相关段策略处理，其他流量会依据vlan配置被重定向上IPS板卡，但直接在IPS进行二层转发，不作任何处理。请参考前面安全区域配置中的建议。全部配置完成后进行激活，显示激活完成则配置成功。当系统激活后可以在75E上通过display acfp policy-info与display acfp rule-info policy查看下发用来重定向流量的策略与规则。二层回退配置IPS板卡在遇到CPU运行高等系统资源占用严重导致的流量转发可能会出现丢包时，提供了二层回退功能，可以将流量进行二层直接转发，保证了IPS板卡处理性能不