双机热备下挂模式的tsm联动.doc

配置双机热备下旁挂模式的TSM联动 组网需求 某公司组网如图1所示，销售部所有PC通过接入交换机连接到核心交换机上，然后通过1000M光纤专线连接到公司总部。两台核心交换机为双机热备组网，正常情况下由核心交换机1转发所有流量，当核心交换机1发生故障时，流量切换到核心交换机2。 图1 销售部直接访问公司总部组网图  为了保障内部网络安全，公司在总部部署了TSM终端安全管理系统，控制销售部PC接入公司总部网络，并使用USG实施接入控制。 说明： TSM终端安全管理系统能够为企业提供整套的内网安全解决方案，实现从终端到业务系统的控制和管理功能。系统由TSM管理器、TSM控制器、安全接入控制网关、TSM代理组成，具体请参考TSM产品文档。 USG在TSM终端安全管理系统中承担安全接入控制网关的角色，通过与TSM控制器联动实现对网络访问权限的控制。 部署USG后的组网如图2所示，公司总部被划分为认证前域、隔离域和认证后域。认证前域是指终端主机在通过身份认证之前能够访问的区域，如DNS服务器、外部认证源、TSM控制器、TSM管理器等；隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域，如补丁服务器、防病毒服务器等；认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域，如ERP系统、财务系统、数据库系统等。 在核心交换机上配置策略路由或者重定向（本举例中以策略路由为例），将销售部PC访问公司总部的所有流量引流到USG，USG根据TSM控制器下发的策略来判断流量是否可以通过。允许通过的流量按照默认路由回送到核心交换机处理，不允许通过的流量直接丢弃。公司总部回来的流量直接由核心交换机转发。 图2 部署USG后的组网图  该部署模式对原来组网方式的可靠性没有任何影响，分析如下： 说明： 由于部署USG后，只改变了上行流量的路径，所以只对上行流量做分析。 当USG_A或者USG_A与核心交换机1之间的链路发生故障时，上行数据流走向如图3所示。 图3 USG_A或者USG_A与核心交换机1之间的链路发生故障时上行数据流走向示意图  当核心交换机1发生故障时，上行数据流走向如图4所示。 图4 核心交换机1发生故障时上行数据流走向示意图  业务规划 在该应用场景中，相关的网络规划如图1所示。 图1 网络规划示意图  说明： 两台USG的HRP备份通道接口（心跳口）必须直接相连，中间不能连接交换机。 USG的数据规划如表1所示。 表1 USG的数据规划 项目 数据 备注 USG_A (1) 接口号：GigabitEthernet 0/0/2 IP地址：/24 安全区域：Trust VRID：1 虚IP地址：/24 Link-group：1 由于USG是双机热备组网，上行口出现故障时必需引起主备倒换，所以该接口需要运行VRRP，对上行提供虚IP地址。 在核心交换机1上配置策略路由，下一跳为该接口的虚IP地址，即将上行流量引流到USG，所以该接口称为上行口或者引流口。 (2) 接口号：GigabitEthernet 0/0/3 IP地址：/24 安全区域：Untrust Link-group：1 该接口为USG回注给核心交换机1的接口，所以称为下行口或者回注口。 一般情况下，需要通过配置静态路由将流量回注到核心交换机1，静态路由的下一跳是与下行口相连的核心交换机的接口IP地址。此时核心交换机1作为3层设备使用，下行口不能运行VRRP，但当下行口出现故障时也必需引起主备倒换，通过配置下行口与上行口属于同一个Link-group实现。 说明： Link-group的功能使得同一个Link-group的接口拥有相同的Up/Down状态。当其中一个接口Down时，组内的其他接口也会Down。 (3) 接口号：GigabitEthernet 0/0/4 IP地址：/29 安全区域：DMZ 心跳口 USG_B (4) 接口号：GigabitEthernet 0/0/2 IP地址：/24 安全区域：Trust VRID：1 虚IP地址：/24 Link-group：1 上行口，同USG_A。 (5) 接口号：GigabitEthernet 0/0/3 IP地址：/24 安全区域：Untrust Link-group：1 下行口，同USG_A。 (6) 接口号：GigabitEthernet 0/0/4 IP地址：/29 安全区域：DMZ 心跳口 核心交换机上数据规划如表2所示。 表2 核心交换机数据规划 项目 数据 备注 核心交换机1 (7) 接口号：GigabitEthernet 0/0/2 VLAN：300 Vlanif 300的IP地址：/24 与USG_A的上行口相连。 (8) 接口号：Gig