75e多业务板卡配置指导书-FW+IPS.docVIP

75e多业务板卡配置指导书 —FW +IPS Catalog 目 录 概述 4 本文档描述数据中心网络中S75E交换核心、FW和IPS模块的集中部署，提供范例的配置过程。 4 组网举例 4 组网设计 6 实验组网设计部署 8 S75E交换机设计部署 8 S75E部署典型组网 8 部署说明 8 SecBlade FW板卡设计部署 12 SecBlade FW部署典型组网 12 部署说明 12 SecBlade IPS设计部署 15 SecBlade IPS部署典型组网 16 S75E SecBlade IPS部署说明 16 整网双机HA设计部署 22 整网双机HA部署 22 链路故障切换 22 板卡故障切换 24 整机故障切换 26 Figure List 图目录 图1 典型组网一――服务器网关在FW 5 图2 典型组网一设计示例图 6 图3 典型组网一流量示意图 7 图4 S75E实验组网部署结构图 8 图5 SecBlade FW典型组网一部署结构图 12 图6 SecBlade IPS典型组网一结构流量图 16 图7 与园区核心相连链路故障切换示意图 23 图8 与下层交换机相连链路故障切换示意图 24 图9 FW板卡故障切换示意图 25 图10 IPS板卡故障切换示意图 26 图11 整机故障切换示意图 27 概述 数据中心最佳实践多业务板卡解决方案一FW+IPS组合主要针对数据中心S75E交换核心集成FW和IPS模块，提供防火墙安全和IPS入侵防御的能力。特点为部署简便、配置灵活、层次清晰，适合企业园区数据中心交换机实施使用。 本文档描述数据中心网络中S75E交换核心、FW和IPS模块的集中部署，提供范例的配置过程。 组网举例 本方案主要针对安徽农信网络安全改造需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW与IPS板卡业务特性功能。 典型组网一――服务器网关在FW 组网设计 典型组网一设计示例图 中心汇聚S75E交换机集成多业务板卡，连接内部服务器与园区核心。S75E为FW到服务器提供二层vlan通道，同时作为路由转发核心为内部服务器与园区网络提供三层转发能力。 SecBlade FW板卡作为服务器网关，采用三层路由模式为园区网络用户与服务器间的流量提供转发，并提供攻击防御、策略管理等功能。 SecBlade IPS板卡为网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作； IPS板卡处理FW到园区核心交换机间的三层流量。 在整网双机备份组网环境中，S75E通过OSPF与上下游路由交换设备完成高可靠性组网，确保故障时秒级的流量路径自动切换；在FW板卡故障时，S75E均可通过感知背板物理接口状态对配置的路由进行相关调整保证秒级的流量路径自动切换；在IPS板卡故障时，S75E通过OAA协议感知板卡状态，流量在交换机内直接转发. 流量设计 在S75E+FW+IPS试验中，主要流量为园区用户访问服务器资源流量与服务器间互访流量，具体流量路径请参考下图。 典型组网一流量示意图 实验组网设计部署 S75E交换机设计部署 S75E部署典型组网 S75E实验组网部署结构图 部署说明 试验的组网设计中，对下S75E为服务器与FW之间提供二层通道连接；对上S75E与核心路由设备建立OSPF连接传递路由。 vlan与接口部署 vlan 10 description ToFW ―― 配置与FW间三层vlan vlan 11 description ToCoreSwitch1 vlan 12 description ToCoreSwitch2 ―― 配置与核心交换设备间三层vlan vlan 101 description FWToServerWEB vlan 102 description FWToServerAPP vlan 103 description FWToServerDB ―― 配置FW与服务器间二层通道vlan interface Vlan-interface10 ip address 52 ―― 配置与FW相连的vlan接口地址 interface Vlan-interface11 ip address 52 interface Vlan-interface12 ip address 52 ―― 配置与核心路由设备相连的vlan接口地址 interface GigabitEthernet7/0/1 port access vlan 11 interface GigabitEthernet7/0/2 port access vlan 12 ―― 配置与核心路由设备相连接口vlan i