园区网多业务板卡配置指导书.docVIP

园区网最佳实践2.0多业务板卡配置指导书 —FW+IPS+LB Catalog 目 录 概述 5 最佳实践网络结构 5 典型组网 5 组网设计 7 流量设计 8 S75E交换机设计部署 10 S75E部署典型组网 10 部署说明 10 二层vlan通道部署 10 OSPF单区域部署 11 OSPF协议静态路由引入 12 OSPF接口Hello Time调整 12 S75E双机环境中的NQA部署 13 SecBlade FW板卡设计部署 14 SecBlade FW部署典型组网 14 FW侧部署说明 15 WEB管理接口配置 15 三层接口与安全区域部署 15 静态路由部署 16 访问控制策略部署 17 S75E侧部署说明 17 SecBlade LB设计部署 18 SecBlade LB部署典型组网 18 LB侧部署说明 19 WEB管理接口配置 19 接口与路由部署 20 虚服务部署 21 S75E侧部署说明 22 SecBlade IPS设计部署 23 SecBlade IPS部署典型组网 23 S75E侧部署说明 23 OAA与接口配置 23 IPS侧部署说明 25 WEB管理接口配置 25 OAA配置 27 安全区域配置 28 段配置 29 段策略配置 29 二层回退配置 31 整网双机HA设计部署 31 整网双机HA部署 31 链路故障切换 32 交换机与园区核心相连链路故障切换 32 交换机与服务器相连链路故障切换 32 板卡故障切换 33 FW板卡故障切换 33 LB板卡故障切换 34 IPS板卡故障切换 35 整机故障切换； 36 Figure List 图目录 图1 园区网FW+IPS+LB最佳实践典型组网图 6 图2 整网双机设计示例图 7 图3 上下行流量示意图 9 图4 S75E交换机部署结构图 10 图5 S75E交换机NQA部署追踪流量示意图 13 图6 SecBlade FW部署结构图 14 图7 SecBlade LB部署结构图 19 图8 SecBlade IPS部署典型组网流量图 23 图9 S75E与园区核心相连链路故障切换示意图 32 图10 75E与服务器相连链路故障切换示意图 33 图11 FW板卡故障切换示意图 34 图12 LB板卡故障切换示意图 35 图13 IPS板卡故障切换示意图 36 图14 整机故障切换示意图 37 概述 园区网最佳实践2.0多业务板卡解决方案一FW+IPS+LB组合主要针对园区网S75E交换核心集成FW、IPS和LB模块，提供防火墙安全、IPS入侵防御及LB负载均担的能力。特点为部署简便、配置灵活、层次清晰，适合园区DMZ区域交换机实施使用。 本文档描述园区网络中S75E交换核心、FW、IPS和LB模块的集中部署，提供了以我们推荐的园区网参考模型为范例的配置过程。主要分为以下几个模块的设计部署： FW+IPS+LB园区DMZ区域最佳实践中的S75E交换机设计部署 FW+IPS+LB园区DMZ区域最佳实践中的FW板卡设计部署 FW+IPS+LB园区DMZ区域最佳实践中的LB板卡设计部署 FW+IPS+LB园区DMZ区域最佳实践中的IPS板卡设计部署 FW+IPS+LB园区DMZ区域最佳实践中的双机HA设计部署 本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式，各个板卡的详细特性使用（如FW的入侵检测；LB的服务器负载均担；IPS的URL过滤与攻击防御等）不作为描述重点，具体单产品特性实现配置方式，请参考各产品相关配置指导。 最佳实践网络结构 典型组网 本方案主要针对园区网园区DMZ区域需求设计，在满足网络基础架构简单的前提下，在S75E交换机上实现FW、IPS与LB板卡业务特性功能，同时保证流量路径清晰，满足双机HA切换的相关需求。 园区网FW+IPS+LB最佳实践典型组网图 组网设计 整网双机设计示例图 园区DMZ区域S75E交换机集成多业务板卡，连接DMZ区域服务器与园区网络。为LB连接服务器与FW连接LB提供二层通道，与园区核心路由交换设备通过OSPF动态路由协议互连，并提供双机流量路径冗余。 SecBlade FW板卡为S75E到LB之间提供三层转发，并通过NAT、策略管理和入侵检测等功能，为内部网络提供基于L3-L4的流量保护。 SecBlade LB板卡采用在线部署方式，作为服务器网关，缺省路由下一跳指向FW板卡。双机环境中两块板卡均使能源地址转换功能，确保流量往返路径一致。 SecBlade IPS板卡为网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。在本最佳实践中，IPS板卡处理FW到LB板卡间的二层流量。 在整网双机备份组网环境中