H3C SecBlade多插卡混合组网技术介绍

1、H3C SecBlade 多插卡混合组网技术介绍技术创新 变革未来引入SecBlade 系列安全插卡是H3C 公司自主研发的、 面向大型企业用户、运营商等开发的新一代专业安全 设备。通过在网络设备上部署SecBlade 插卡，使网络设备 在进行常规数据流量转发的同时，进一步提高了设备 在安全方面的处理能力。目录OAA的基本工作原理SecBlade系列插卡简介SecBlade系列插卡的部署方式SecBlade系列多插卡部署举例OAA简介4OAA(Open Application Architecture, 开放应用体系架构):公开软硬件接口及标 准规范，提供一个开放平台，供第三方 厂商在此基础上

2、开发出各种丰富的功能，达到深度集成，优势互补，合作共赢的目的。OAA硬件体系架构OAA硬件体系结构分为三个部分：路由交换部件、独 立业务部件以及接口连接部件。 路由交换部件：是路由器和交换机的主体部分，这部分有着完整的路由器或交换机的功能，也是用户管理控制的核心 独立业务部件：是可以开放给第三方合作开发的主体，主要 用来提供各种独特的业务服务功能 接口连接部件：是路由交换部件和独立业务部件的接口连接 体，通过这个部件将两个不同厂商的设备连接在一起，以形 成一个整体独立业务部件接口连接部件路由交换部件5OAA的四种工作模式（一）报文到达路由交换设备以后，路由交换设备根据路由 信息转发到业务部件上

3、，业务部件将处理完以后把报 文发回给路由交换部件防火墙模块，负载均衡模块和SSL VPN模块工作 在主机模式HOST6OAA的四种工作模式（二）报文到达路由交换设备以后，路由交换设备根据重定向策 略把报文重定向给业务部件，业务部件将处理完以后把需 要返回的报文发回给路由交换部件重定向有两种方式，一种是通过路由交换设备的ACL、QoS等功能把报文重定向给业务模块，令一种是业务模块直接给路由交换部件下发重定向策略。IPS和ACG模块工作在重定向模式。Redirect7OAA的四种工作模式（三）报文到达路由交换设备以后，路由交换设备根 据根据ACL或者其它规则判断是否应该被镜像 给业务部件，如果要镜

4、像，就拷贝一份报文并 再将其送到独立业务部件，原报文继续转发， 业务部件将镜像报文处理完以后直接丢弃。NS模块工作在镜像模式Mirror8OAA的四种工作模式（四）报文到达路由交换设备以后，路由交换 设备根据路由信息转发到业务部件上， 业务部件将处理完以后直接把报文发送 出去，不再发回给路由交换部件Pass-through9OAA协议规范10ACFP （Application Control ForwardProtocol，应用控制转发协议):一种设备间的C/S（客户端/服务端）模式的联动框架,定义了 一种C/S模式的联动规范。ACSEI (A Method for Exchanging In

5、formation between ACFP Client and ACFP Server):ACFP Server与ACFP Client 交互信息的一种方法 ，一套协议规范。ACSEI 是ACFP的支撑协议，为ACFP联动提供很好的支撑，保障ACFP client与ACFPserver之间有效交互信息、协作运行某种业务ACFP简介ACFP是基于OAA架构设计的应用控制转发协议。路由交换部件作为ACFP Server，独立业务部件是ACFP Client。ACFP Server路由交换部件ACFP Client独立业务部件接口连接部件11ACFP联动12ACFP联动就是指独立业务部件可以向路

6、 由交换部件发指令，改变路由交换部件 的功能联动功能主要是通过SNMP协议实现的， 通过SNMP获取接口信息，下发联动策略 和规则独立业务部件仿照网管系统的功能，向路由交换部件发送各种SNMP命令路由交换部件上支持SNMP Agent功能，可以执行收到的这些命令ACFP管理13ACFP联动提供了一套机制，使得ACFPclient能够控制ACFP server上的流量 将ACFP server上的流量镜像、重定向到ACFP client 允许、拒绝ACFP server上的流量通过 对ACFP server上的流量进行限速 在报文中携带上下文ID，通过上下文ID使得 ACFP server和AC

7、FP client能互通报文上下文环 境ACFP信息ACFP server信息： 所能支持的工作模式：分为主机、穿透、镜像和重定向四种 联动策略的最长有效期 联动策略存储的持久性 当前所支持的上下文ID的类型dis acfp server-info14Server-Info: Max Life-Time:PersistentRules: ContextType:ipserverredirectmirror 2147483647(s)falseHGPlus-contextACFP信息15ACFP client信息： ACFP client ID： ACFP client的描述信息 ACFP cl

8、ient的硬件类别及版本号 ACFP client的操作系统及版本 ACFP client的应用软件名称及其版本 ACFP client的IP地址 ACFP client所能支持的工作模式dis acfp client-info ACFP client total number: 2 ClientID:3Description: Application Control Gateway Hw-Info:2.0OS-Info:i-Ware software, Version 1.10 App-Info:Ess 6117P11Client IP:10.255.254.12Client Mode: r

9、edirectmirrorACFP联动16ACFP联动内容中设置联动策略与联动规 则两级组织，基于策略管理匹配规则的 流量，达到一种弹性管理的目的。ACFP联动策略： ACFP联动策略指ACFP client发送给ACFP server所要实施的联动策略，包含策略索引、状 态、时间、优先级以及下发的接口等信息ACFP联动规则： ACFP联动规则指ACFP client发送给ACFPserver所要实施的联动规则，包含关联的联动策略、匹配的IP地址、规则动作及状态等信息ACFP联动ACFP联动策略：S7506Edis acfp policy-info ACFP policy total numb

10、er: 217(s)313000:00:00enabledeletePolicy-Index: ContextID: Life-Time: End-Time: Effect-Status: Priority:310312147483647(s)24:00:00active4GigabitEthernet1/2/0/6ClientID: Rule-Num: Exist-Time: Start-Time: Admin-Status:DstIfFailAction: In-Interface: Out-Interface: Dest-Interface:Ten-GigabitEthernet1/4/

11、0/1(s)313000:00:00enable deletePolicy-Index: ContextID: Life-Time: End-Time: Effect-Status: Priority:410422147483647(s)24:00:00active 4GigabitEthernet1/2/0/7ClientID: Rule-Num: Exist-Time: Start-Time: Admin-Status:DstIfFailAction: In-Interface: Out-Interface: Dest-Interface:Ten-GigabitEthernet1/4/0/

12、1ACFP联动ACFP联动规则S7506Edis acfp rule-info policyACFP rule total number:418ClientID:3SIP:10.0.1.0DIP:0.0.0.0Action:redirectPolicy-Index:3SMask:0.0.0.255 DMask:255.255.255.255Status:activeRule-Index:3OperationStatus:succeededClientID:3 SIP:0.0.0.0 DIP:60.191.99.0Action:redirectPolicy-Index:3 SMask:255.2

13、55.255.255 DMask:0.0.0.255Status:activeRule-Index:4OperationStatus:succeededClientID:3SIP:0.0.0.0DIP:10.0.1.0Action:redirectPolicy-Index:4 SMask:255.255.255.255 DMask:0.0.0.255Status:activeRule-Index:3OperationStatus:succeededClientID:3 SIP:60.191.99.0 DIP:0.0.0.0Action:redirectPolicy-Index:4 SMask:

14、0.0.0.255 DMask:255.255.255.255Status:activeRule-Index:4OperationStatus:succeededACFP联动19ACFP联动策略表明下发策略的物理接口， 联动规则表明什么样的流量被引入到内联接口 上在激活过程中，段被拆分为ACFP联动策略，业务策略被拆分为ACFP联动规则ACFP联动策略和规则通过SNMP协议下 发到路由交换设备上。段上配置一条或多条业务策略，如果IP 地址一样，则下发到路由交换设备上都 只是一条联动规则，因为网络设备只需 要知道怎么引流，无需关心如何动作ACFP适用注意事项20ACFP不支持策略路由业务和Net

15、stream业务ACFP重定向的报文处理和部分QoS处理互斥，重定向到ACFP client后返回的报文不进行上述QoS处理ACFP不支持将同一个流镜像或重定向到多个ACFP clientACFP不支持下列报文的处理：广播报文、组播报文ACFP镜像和重定向功能只处理小于等于1500字节（指的是三层报文的长度，不包括链路层报文头）的IP 报文，大于1500的报文将被丢弃对于VLANID-context上下文ID类型的设备，ACFP功 能使能后，某些VLAN ID不应再被其它模块使用，否 则可能导致部分数据报文转发错误ACSEI简介21ACSEI是一种私有协议，它为ACFP server和clie

16、nt提供了一种交互信息的方 法，可以为ACFP联动提供很好的支撑， 保障ACFP client与ACFP server之间有 效交互信息、协作运行某种业务。作为ACFP的支撑协议，ACSEI包括server和client两种实体 ACSEI Server:路由交换设备 ACSEI Client：多业务插卡ACSEI功能22ACSEI协议主要功能如下： ACSEI client向ACSEI server注册、注销 ACSEI server给ACSEI client分配ID，用于保证 各ACSEI client的唯一性与清晰性 ACSEI client与ACSEI server之间的互相监控、 互

17、相感知 ACSEI server与ACSEI client之间的信息交互（包括时钟同步等） 通过ACSEI server对ACSEI client实施简单的控 制，例如，关闭ACSEI client、重启ACSEI clientACSEI定时器23ACSEI server用到两个定时器，分别是时钟同 步定时器和监控定时器： 时钟同步定时器：定时触发ACSEI server向ACSEI client发送时钟同步信息通告报文 监控定时器：定时触发ACSEI server向ACSEI client发送 监控请求报文ACSEI client启动两个定时器，分别为注册定 时器和监控定时器： 注册定时器：

18、定时触发ACSEI client以组播方式（组播MAC地址为010F-E200-0021）发送注册请求报文 监控定时器：定时触发ACSEI client向ACSEI server发送 监控请求报文ACSEI server定时器的值可以由用户手工设置，但是ACSEI client定时器的值不能设置。ACSEI处理过程24ACSEI协议运行分两个阶段：注册阶段和会话阶段。 注册阶段， ACFP Client 向ACFP Server发送注册请求报文， ACFP Server回应注册确认或注册拒绝报文，注册确认报文中 ACFP Server分配给ACFP Client 唯一的Client ID。AC

19、FP Client 收到注册确认报文、ACFP Server发送完注册确认报文后，对应 的ACFP Server与Client间建立会话，进入会话阶段。ACFP Server 以ACFP Client发送的注册请求报文的源MAC作为分配Client ID的标识，以免ACFP Client恶意重复注册。 会话阶段， ACFP Client与ACFP Server可以互相发送信息通告报 文，通告彼此信息；ACFP Server可以向ACFP Client发送操作通 告报文，指示ACFP Client进行一些操作；ACFP Client与ACFP Server可以互相发送监控报文，监控对方。ACSE

20、I工作流程ACSEI ServerACSEI ClientRegister RequestRegister Reply注册阶段Session会话阶段Monitoring25互相监控ACSEI信息26查看ACSEI client相关信息：dis acsei client summary Total Client Number: 1Client ID: 1 Status: OpenMAC Address: 3ce5-a613-3f5a Interface: Ten-GigabitEthernet3/4/0/1 Last registered:05/27/20119:09:02dis acsei c

21、lient info Total Client Number: 1Client ID: 1Client Description: Application Control Gateway Hardware: 2.0System Software: i-Ware software, Version 1.10 Application Software: Ess 6117P11CPU: RMI XLR732PCB Version: Ver.ACPLD Version: 2.0Bootrom Version: 1.19 CF card: 247MB Memory: 1995MB Harddisk: 0M

22、BIPS功能业务模 块千兆性能规格领先推出插卡式IPS架构，安 全与网络深度融合ACG应用控制网 关模块首创UAAE技术，实现对各种P2P 与VoIP协议模型的深层次分析和 控制LB负载均衡模块支持NAT、DR模式以及各种负 载均衡算法，满足各类用户的 不同需求，在服务器群前端形 成有效均衡，极BL大提升服务 器组的性能。防火墙功能业务 模块万兆处理能力多CPU架构，突破安全处理瓶颈S5800 FWS5800 IPSS5800S9500E/S7500EOAA业务模块27目录OAA的基本工作原理SecBlade系列插卡简介SecBlade系列插卡的部署方式SecBlade系列多插卡部署举例Sec

23、Blade Module ChassisH3C S9500H3C S7500EH3C S9500EH3C S12518SecBlade ModulesH3C S5800SecBlade系列产品介绍H3C SR66H3C SR88SecBlade For S5800SecBlade For S7500E/S9500/S9500E/S12500SecBlade For SR66/SR8829插卡配套关系插卡产品FWIPSLBACGSSL VPNNetStreamAFC/AFDS12500S95ES95S75ES58SR88SR6630安全多业务板卡典型应用场景internetFWFW FWFW业务

24、区1业务区2场景：IDC或运营商互联网出口 S95E/75E上部署多块FW板实现各业务区的NAT 多块FW板流量分担、相互备份 同样的场景也适用于IPS/ACG31业务区3安全多业务板卡典型应用场景IDC/园区互联网出口：两台S95E/75E作为出口交换机，形成主备或者IRF交换机上各配置LB/FW/IPS/ACG等多个插卡进行负载分担和安全防护LBFW IPSACGLBFWIPS ACGS95E/75EISP1ISP2IDC园区32安全多业务板卡典型应用场景服务器接入区： 两台S95E/75E作为服务器汇聚交换机，形成主备或者IRF 交换机上各配置LB/FW/IPS等插卡进行服务分担和安全防

25、护IPSLB FWIPSLB FWS95E/75EIDC核心33IDC汇聚IDC接入安全多业务板卡典型应用场景服务器 接入区： S5800作为接入交换机，配置FW或者IPS板卡对服务器进行保护S12500S5800S580034防火墙插卡部署方式透明部署: 交换机上报文的出入接口属于不同VLAN，防火墙工作在二层模式，通过防火墙实现跨VLAN二层转发。 交换机根据路由MAC地址表把报文转发到防火墙，板卡完成VLAN的切换，再把报文送回交换机。透明模式只建议单机使用Vlan100Vlan200Vlan 200Vlan 10010.0.0.1/2410.0.0.2/24交 换 业 务 板背板10G

26、E10GEFW根据MAC地址表转发二层流量接口35防火墙插卡部署方式路由模式部署 防火墙插卡工作在路由模式，作为网络中的一跳，通过各种路由协议实现报文的三层转发。 交换机可以直接把报文二层透传给防火墙也可以通 过虚接口和防火墙三层互联。 防火墙的路由模式可以通过三层子接口或者虚接口方式实现。Vlan100Vlan200Vlan 200Vlan 10010.0.0.2/2420.0.0.2/24交 换 业 务 板背板10GE10GEFW10.0.0.1/2420.0.0.1/24根据MAC地址表或者路由表转发三层流量接口36防火墙插卡部署方式路由模式 防火墙可以运行静态路由、OSPF、BGP等动

27、态路由协议。 可以通过VRRP或者动态路由协议实现主-备、主-主模式。FW-1FW-1交换机三层流量接口交换机路由模式：单卡路由模式：双卡Vlan11Vlan10Vlan11Vlan10Vlan11Vlan10FW-37防火墙插卡部署方式交换机可以工作在独立模式也可以工作在IRF模式，对防火墙没有任何影响。FW-1Vlan11Vlan11核心交换机IRF互联网交换机接入交换机1Vlan100Vlan100三层流量接口FW-2Vlan11L3SwitchVlan10Vlan10Vlan10Vlan100接入交换机2FW-1Vlan10Vlan11接入交换 机1Vlan100Vlan100接入交换

28、机2Vlan11互联网交换机FW-2Vlan11Vlan10L3SwitchVlan10Vlan100Vlan10Vlan100L3SwitchVlan1138交换机1交换机2负载均衡板卡的部署方式负载均衡板卡只能工作在三层模式，转 发方式和防火墙的三层转发原理一样， 通过三层子接口或者三层虚接口实现。Vlan100Vlan200Vlan 200Vlan 10010.0.0.2/2420.0.0.2/24交 换 业 务 板背板10GE10GELB10.0.0.1/2420.0.0.1/24三层流量接口根据MAC地址表或者路由表转发39IPS/ACG插卡的部署方式通过在交换机入接口下发重定向策略

29、，将报文 通过互联接口重定向到业务板卡。业务板卡作为透明设备，仅做应用层检测处理，不改变二三层报文头，通过互联后送回交换机。交换机继续对送回的报文进行相应转发。Vlan100Vlan200Vlan 200Vlan 10010.0.0.2/2420.0.0.2/24交 换 业 务 板背板10GE10GEIPSRedirectRedirect二层流量接口40IPS/ACG插卡的重定向方式41OAA方式： 在IPS/ACG板卡上配置段和策略，确定需要引流 的物理接口、VLAN以及IP地址，然后把段和策 略通过ACFP协议和SNMP协议下发给交换机， 由交换机把匹配引流规则的报文通过内敛口重定 向给插

30、卡。MQC方式： 直接在交换机上配置传统的重定向策略，下发到相关接口的入方向，把报文重定向给插卡。OAA方式引流在某些交换机或者路由器 上和MQC、PBR互斥，不能同时下发到 交换机同一接口上。IPS/ACG插卡部署IPS/ACG是通过物理接口和VLAN来区分 不同安全域的，在MQC引流的情况下， 流量都是从IPS/ACG的万兆口进来的， 为了能区分方向，必须要求来回流量进 入插卡携带的VLAN不同。IPS-1Vlan11交换机IPS-1Vlan11 交换机 Vlan10Vlan11Vlan11Vlan11Vlan1042IPS/ACG卡部署方式IPS/ACG可以通过OAA或者MQC将流量引到

31、插卡上。OAA方式下通过对段设置不同的优先级可 以实现主备，MQC方式下，配合ACSEI可 以实现主备和双主。IPS-1IPS-1三层流量接口路由模式：单卡路由模式：双卡Vlan11 交换机 Vlan10IPS-Vlan11交换机Vlan1043IPS/ACG卡部署方式IPS/ACG级联： 插卡安全区域配置中，域应用模式有常规和级联两 种，级联域应用模式可以实现IPS+ACG插卡混插组 网下流量级联处理，即实现业务流量依次经过 SecBlade IPS和SecBlade ACG按相应段策略进行处 理。ACG-1Vlan11交换机IPS-1级联Vlan1044IPS/ACG卡部署方式FW-1Vl

32、an11Vlan11核心交换机IRF互联网交换机接入交换机1Vlan100Vlan100三层流量接口FW-2Vlan11L3SwitchVlan10Vlan10Vlan10Vlan100接入交换机2FW-1Vlan10Vlan11接入交换 机1Vlan100Vlan100接入交换机2Vlan11互联网交换机FW-2Vlan11Vlan10L3SwitchVlan10Vlan100Vlan10Vlan100L3SwitchVlan1145交换机1交换机2交换机可以工作在独立模式也可以工作在IRF模式， 但是和IPS/ACG插卡配合使用时存在较多限制，而且 不同产品支持的部署方式也不一样。NetS

33、tream插卡的部署方式镜像方式 报文到达交换机接口，交换机判断报文是否匹配接口入方向的镜像策略。 如果匹配到镜像策略，交换机把报文复制一份送到插卡进 行分析，插卡处理完后不再送回给交换机，直接丢弃。 原报文在交换机内继续按照原先的路径转发，不受镜像策略影响。 交换机入接口能同时支持重定向和镜像，因此，NS板卡 的部署不与其它板卡冲突Vlan 200Vlan 10010.0.0.2/2420.0.0.2/24交 换 业 务 板背板10GE10GENS二层流量接口Mirror46Mirror目录OAA的基本工作原理SecBlade系列插卡简介SecBlade系列插卡的部署方式SecBlade系列

34、多插卡部署举例单框多插卡部署的两种应用48并行部署：单类板卡性能扩展 多FW/LB流量分担 多IPS/ACG流量分担 保证流量来回路径经过同一板卡 插卡故障以后流量能快速切换串行部署：多类板卡功能叠加 两组合、三组合、四组合 让流量依次经过各板卡两块FW/LB并行部署防火墙和LB可以通过VRRP、等价路由实现多块插卡负载分担并同时互相备份。需要使能双机热备，进行会话同步。FW/LB-1三层流量接口交换机负载分担Vlan11Vlan10Vlan11Vlan10FW/LB-Vlan1349Vlan 9多块防火墙/LB并行部署如果有超过两块插卡做负载分担，必须 保证报文来回路径一致，因为设备双机 热

35、备只支持两台设备回话的同步，可以 使用NAT等方式保证报文来回经过同一 设备。FW/LB-1三层流量接口交换机负载分担Vlan11Vlan10Vlan11Vlan10FW/LB-Vlan13Vlan 9FW/LB-1Vlan11Vlan10Vlan11Vlan10FW/LB-50IPS/ACG并行部署IPS/ACG插卡不管几块做负载分担，都需要保证报文 来回经过同一块插卡，分流的方式可以采用OAA或者 MQC。 OAA方式下可以在不同的插卡设置不同的内部域（或者外部域）IP，将流量引到不同插卡上。 MQC方式下可以根据IP地址把流量引到不同插卡上。IPS/ACG-1三层流量接口交换机负载分担V

36、lan11Vlan10Vlan11Vlan10IPS/ACG-2Vlan13Vlan 9基数IP51偶数IP多板卡串行部署52规划互联VLAN和路由协议 FW、LB、交换机最好通过三层互联 路由协议可以使用静态路由+VRRP或者动态路 由，当三层互联VLAN超过3个时，推荐采用动 态路由根据用户的需求确定流量走向 互联网出口：LB实现outbound负载均衡是，尽量部署在最外层，ACG要部署在NAT转换之前 服务器接入：服务器网关尽量设置在FW或LB上多板卡串行部署尽量流量经过IPS/ACG后三层流量终结在交换 机上，而不是插卡上（让IPS/ACG上下行流量 属于不同VLAN）。IPS/ACG

37、vlan12vlan12vlan13vlan13FW/LBS95E/S75Evlan100vlan100vlan13L3Switchvlan100IPS/ACGvlan12vlan12vlan100vlan100FW/LBS95E/S75Evlan100vlan100三层流量接口53多板卡串行部署IPS/ACGvlan12vlan100vlan12FW/LBS95E/S75Evlan100vlan100IPS/ACG注意安全区域的规划，让流量的上下行经过板卡的顺序一致vlan12vlan12vlan12vlan13vlan13FW/LBS95E/S75Evlan100vlan100vlan13

38、L3Switchvlan100三层流量接口54IPS/ACG与FW/LB串行设计IPS/ACGvlan12vlan12vlan13vlan13FW/LBS95E/S75Evlan100vlan100vlan13L3Switchvlan100FW/LB与交换机三层互联IPS/ACG部署：上下行流量经过IPS/ACG后 三层终结在交换机上（上行vlan100，下行 vlan13）IPS/ACGvlan12vlan12vlan13vlan13FW/LBS95E/S75Evlan100vlan100vlan13L3Switchvlan100三层流量接口55IPS与ACG串行设计尽量不要让流量连续穿行I

39、PS和ACG（可以 让中间隔一个FW）IPSvlan11vlan12vlan13vlan11FWvlan100vlan12ACGvlan13vlan100L3-VPNvlan11vlan12vlan13L3Switchvlan100IPSvlan12vlan12vlan100vlan13FWvlan100vlan100ACGvlan13vlan100vlan13L3Switchvlan100三层流量接口56双框多板卡设计的要点57双框多板卡即在单框多板卡串行的基础 上，实现框与框之间的交换机和板卡的 备份，在设计时同样遵循串行设计原则备份方式 建议采用主备方式，让流量来回经过同一个机框 VRR

40、P和动态路由是广泛采用的备份技术双框的两种工作方式 IRF方式：两交换机形成堆叠，两套板卡类似于工作在同一台交换机上 非IRF方式：类似于两套串行工作的机框，框与框之间通过互联口进行协议交互实现备份两种工作方式的对比互联vlan规划和流量走向没有任何区别，FW、LB配置没有任何区别IRF下，IPS/ACG可以相互备份，非IRF下，两个框上IPS/ACG不能相互备份，但 插卡故障不影响业务IRF下，上行和下行链路可以分别跨框聚合，非IRF下，可能需要使用STP来避免 环路电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/

41、15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机-IRFInternetVlan12Vlan12交换机1核心

42、交换机1交换机2核心交换 机2Vlan100Vlan100L2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan12Vlan1358互联网出口（非IRF）板卡类型负载均衡板卡防火墙板卡IPS板卡部署方式在线部署在线部署在线部署引流方式路由路由重定向1工作模式三层路由模式三层路由模式二层透明模式备份模式主备模式主备模式独立模式2电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机-1InternetVlan12Vlan

43、12交换机1多业务交换机-2核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13在多个运营商线路之间进行 链路负载均衡，在出方向进 行源地址NAT转换，在入方 向进行目的地址转换；实现24层安全防护和安全 区域隔离。实现47层的安全防护交换机采用非IRF方式组网， 需要采用动态路由方式或者 静态路由+VRRP方式实现 主备。59场景描述：互联网出口进行安全防护，

44、部署 了链路负载均衡，IPS和防火墙；有OAA和MQC两种端口重定向方式；IPS模块在板卡故障时，直接透传；整机故障时，随整机进行切换；数据流（上行）：VLAN100的流量进入交换机，在S75E的入 接口通过二层转发至FW-1，经过FW-1处理 完毕后，通过VLAN13返回至交换机。VLAN13的流量在防火墙与交换机连接的内部接口重定向至IPS-1；VLAN13的流量经过IPS-1处理后返回交换 机，进行转发；流量下一跳为交换机的三 层接口，经过交换机三层转发后转发至 VLAN12；VLAN12的流量通过二层转发到LB-1，LB- 1对报文进行源地址NAT转换后，按照负载 均衡算法发送到对应的

45、Internet出口链路。防火墙和LB为三层模式，工作在主备方式；IPS工作在二层模式。为了连接互联网的多个接口，出口采用了2台交换机，每台交换机有两条物理链路 连接到S75E，每个交换机上的两个物理端口在一个网段。所以如果采用路由器需 要使用交换板。在实际部署中，也有直接将运营商的线路连接到多业务交换机的组网，在这种组 网下，多运营商出口的链路负载分担流量将经过两台多业务交换机之间的链路。电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机

46、1多业务交换机核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan1260Vlan13Vlan12Vlan13互联网出口上行流量（非IRF）数据流（下行）：来自互联网的VLAN11流量通过交换机进入多业务交换机；VLAN11的流量转发至LB-1，在LB板卡做 目的地址NAT转换，处理完毕后，通过VLAN12返回至交换机。VLAN12的流量在LB与交换机的内部接口 做重定向，报文重定向到IPS-1；VL

47、AN12的流量经过IPS处理后返回交换机 进行转发，流量下一跳为交换机的三层接 口；VLAN12的流量经过交换机三层转发后流 量进入VLAN13，进入防火墙，经过FW处 理后流量进入VLAN100，然后转发至下一 级交换机；防火墙和LB为三层模式，工作在主备方式；IPS工作在二层模式。为了连接互联网的多个接口，出口采用了2台交换机，每台交换机有两条物理 链路连接到多业务交换机，每个交换机上的两个物理端口在一个网段。所以 如果采用路由器需要使用交换板。电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/1

48、5多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13互联网出口下行流量（非IRF）61互联网出口的另一种形式电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan

49、12Vlan12多业务交换机核心交换 机1核心交换机2Vlan100L3SwitchVlan100L2SwitchL2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13三层流量接口在这种方式下，如果流量经过LB负载均衡后应该走网 通链路，流量将会经过两台多业务交换机之间的链路 转发到对应的运营商线路。电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机Intern

50、etVlan12Vlan12多业务交换机核心交换 机1核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan1362动态路由协议方式：电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13 COST 50IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12 COST50COST 100 Vlan12交换机1多业务交换机核

51、心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2COST 100 Vlan13Vlan12 Vlan13L3SwitchVlan100 COST 50COST 100 Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13AREA 1VRRPArea 0外部地址63内部地址三层互联接口运行OSPF动态路由协议，设置为AREA 1；核心交换机之间运行OSPF，为Area 0；LB外部三层接口使用静态路由+VRRP；使用动态路由协议，配置比较简单，通过控制路由的cost值调整流量路

52、径。互联网出口路由规划（非IRF）使用静态路由+VRRP方式，LB板卡，FW板卡，多业务交换机的三层接口 运行VRRP。这种方式的配置量较大。静态路由+VRRP方式：电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15InternetVlan12Vlan12交换机1交换机2Vlan100Vlan100三层流量接口FW-2Vlan13Vlan12Vlan13Vlan100Vlan100Area 0核心交换机1核心交换机2多业务交换机多业务交换机L3SwitchL2SwitchL2SwitchL3Swi

53、tchVlan100Vlan100Vlan12Vlan13Vlan12Vlan13VRRPVRRPVRRP外部地址64内部地址互联网出口路由规划（非IRF）互联网出口HA机制（非IRF）FW和LB：通过路由或者VRRP进行故障倒换；IPS：建议采用OAA方式，保 证在单板故障时业务不中断；交换机：通过路由或者VRRP进行故障倒换；电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换 机2Vlan10

54、0L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan1265Vlan13Vlan12Vlan13互联网出口链路故障切换（非IRF）电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2S

55、witchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13链路故障切换仅涉及到LB公网口流量横穿另外一交换机，板卡间流量走向不变。电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2V

56、lan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan1366互联网出口链路故障切换（非IRF）电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vl

57、an100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13链路故障切换仅涉及到LB公网口流量横穿另外一交换机，板卡间流量走向不变。电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan10

58、0Vlan100Vlan12Vlan13Vlan12Vlan1367互联网出口LB故障切换（非IRF）电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13电

59、信网通FW-1LB-1LB-2Vlan11Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机交换机2Vlan15核心交换核心交换 机1机2L3SwitchVlan100Vlan100L2SwitchL2Switch三层流量接口FW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan13LB-1故障后，流量切换到LB-2，但下行流量同样切换到IPS-2。上下行流量经过的IPS不一致

60、，影响攻击检测效果。解决办法：OAA引流将互联接口的流量引到IPS。68互联网出口LB故障切换（非IRF）电信网通FW-1LB-1LB-2Vlan11Vlan15Vlan12Vlan13Vlan13IPS-1IPS-2Vlan11/15Vlan11/15多业务交换机InternetVlan12Vlan12交换机1多业务交换机核心交换 机1交换机2核心交换 机2Vlan100L3SwitchVlan100L2SwitchL2SwitchFW-2Vlan13Vlan12Vlan13L3SwitchVlan100Vlan100Vlan100Vlan100Vlan12Vlan13Vlan12Vlan1