數(shù)據(jù)中心最佳實(shí)踐多業(yè)務(wù)板卡配置指導(dǎo)書fwssl nxpowerlite

1、Catalog目錄概述最佳實(shí)踐網(wǎng)絡(luò)結(jié)構(gòu)典型組網(wǎng)組網(wǎng)設(shè)計(jì)流量設(shè)計(jì)典型組網(wǎng)一設(shè)計(jì)部署S75E/95交換機(jī)設(shè)計(jì)部署 S75E/95部署典型組網(wǎng)部署說明SecBlade FW板卡設(shè)計(jì)部署 SecBlade FW部署典型組網(wǎng)部署說明SecBlade SSL設(shè)計(jì)部署 SecBlade SSL部署典型組網(wǎng)部署說明整網(wǎng)雙機(jī)HA設(shè)計(jì)部署整網(wǎng)雙機(jī)HA部署鏈路故障切換 板卡故障切換 整機(jī)故障切換典型組網(wǎng)二設(shè)計(jì)部署S75E交換機(jī)設(shè)計(jì)部署 S75E部署典型組網(wǎng)部署說明SecBlade FW板卡設(shè)計(jì)部署 SecBlade FW部署典型組網(wǎng)部署說明SecBlade SSL設(shè)計(jì)部署 SecBlade SSL部署典型組網(wǎng)部署說

2、明整網(wǎng)雙機(jī)HA設(shè)計(jì)部署整網(wǎng)雙機(jī)HA部署鏈路故障切換 板卡故障切換整機(jī)故障切換44479121212122020202525252828283032343434343939404242424444444648Figure List 圖目錄圖1圖2圖3圖4圖5圖6典型組網(wǎng)一SSL單臂5典型組網(wǎng)二SSL. 6典型組網(wǎng)一設(shè)計(jì)示例圖7典型組網(wǎng)二設(shè)計(jì)示例圖8典型組網(wǎng)一流量示意圖10典型組網(wǎng)二流量示意圖11圖7 S75E/95典型組網(wǎng)一部署結(jié)構(gòu)圖12圖8 SecBlade FW典型組網(wǎng)一部署結(jié)構(gòu)圖20圖9 SecBlade SSL典型組網(wǎng)一部署結(jié)構(gòu)圖25圖10 SecBlade SSL雙機(jī)部署結(jié)構(gòu)圖26圖1

3、1 與園區(qū)相連鏈路故障切換示意圖29圖12 與下層交換機(jī)相連鏈路故障切換示意圖30圖13 FW板卡故障切換示意圖31圖14 SSL板卡故障切換示意圖32圖15 整機(jī)故障切換示意圖33圖16 S75E典型組網(wǎng)二部署結(jié)構(gòu)圖34圖17 SecBlade FW典型組網(wǎng)二部署結(jié)構(gòu)圖39圖18 SecBlade SSL典型組網(wǎng)二部署結(jié)構(gòu)圖42圖19 SecBlade SSL雙機(jī)部署結(jié)構(gòu)圖43圖20圖21與園區(qū)相連鏈路故障切換示意圖45與下層交換機(jī)相連鏈路故障切換示意圖46圖22 FW板卡故障切換示意圖47圖23 SSL板卡故障切換示意圖48圖24 整機(jī)故障切換示意圖49概述數(shù)據(jù)中心最佳實(shí)踐多業(yè)務(wù)板卡解決方

4、案一FW+SSL組合主要針對(duì)數(shù)據(jù)中心S75E/95交換集成FW和SSL模塊，提供安全和SSL卸載的能力。特點(diǎn)為部署簡便、配置靈活、層次清晰，適合企業(yè)園區(qū)數(shù)據(jù)中心交換機(jī)實(shí)施使用。本文檔描述數(shù)據(jù)中心絡(luò)中S75E/95交換、FW和SSL模塊的集中部署，提供了以的數(shù)據(jù)中心參考模型為范例的配置過程。主要分為以下幾個(gè)模塊的設(shè)計(jì)部署：FW+SSL園區(qū)數(shù)據(jù)中心最佳實(shí)踐中的S75E/95交換機(jī)設(shè)計(jì)部署FW+SSL園區(qū)數(shù)據(jù)中心最佳實(shí)踐中的FW板卡設(shè)計(jì)部署FW+SSL園區(qū)數(shù)據(jù)中心最佳實(shí)踐中的SSL板卡設(shè)計(jì)部署FW+SSL園區(qū)數(shù)據(jù)中心最佳實(shí)踐中的雙機(jī)HA設(shè)計(jì)部署本文檔主要針對(duì)S75E/95交換機(jī)上多業(yè)務(wù)板卡組合的流量

5、設(shè)計(jì)部署方式，各個(gè)板卡的詳細(xì)特性使用（如FW的檢測； SSL的資源配置等）描述重點(diǎn)，具體單產(chǎn)品特性實(shí)現(xiàn)配置方式，請(qǐng)參考各產(chǎn)品相關(guān)配置指導(dǎo)。最佳實(shí)踐網(wǎng)絡(luò)結(jié)構(gòu)典型組網(wǎng)本方案主要針對(duì)數(shù)據(jù)中心需求設(shè)計(jì)，在滿足網(wǎng)絡(luò)基礎(chǔ)架構(gòu)簡單的前提下，在S75E/95交換機(jī)上實(shí)現(xiàn)FW與SSL板卡業(yè)務(wù)特性功能。目前典型組網(wǎng)主要針對(duì)兩種情況。圖1 典型組網(wǎng)一SSL單臂圖2 典型組網(wǎng)二SSL兩套組網(wǎng)主要區(qū)別在于流量路徑順序與適用場景不同，典型組網(wǎng)一提供了多層服務(wù)器間安全防護(hù)，但不能保護(hù)SSL板卡；而組網(wǎng)二只能對(duì)SSL板卡與WEB服務(wù)器進(jìn)行安全防護(hù)，不能有效控務(wù)器間互訪，另外組網(wǎng)二只能使用S75E，目前S95不支持SSL板卡雙

6、臂模式。組網(wǎng)設(shè)計(jì)圖3 典型組網(wǎng)一設(shè)計(jì)示例圖數(shù)據(jù)中心匯聚S75E/95交換機(jī)集成多業(yè)務(wù)板卡，連接內(nèi)部服務(wù)器與園區(qū)。S75E/95為FW到服務(wù)器提供二層vlan通道，同時(shí)作為路由轉(zhuǎn)發(fā)為FW、SSL與路由設(shè)備三者間提供三層路由轉(zhuǎn)發(fā)能力。SecBlade FW板卡作為服務(wù)器網(wǎng)關(guān)，采用三層路由模式為園區(qū)網(wǎng)絡(luò)用戶與服務(wù)器間的流量提供轉(zhuǎn)發(fā)，并提供防御、策略管理等功能。SecBlade SSL板卡采用單臂旁掛部署方式。缺省網(wǎng)關(guān)指定在S75E/95上。外部用戶訪問SSL服務(wù)終結(jié)在SSL板卡后，完成解封裝的流量再通過FW內(nèi)部服務(wù)器。其它園區(qū)網(wǎng)絡(luò)服務(wù)器流量只通過FW板卡。在整網(wǎng)雙機(jī)備份組網(wǎng)環(huán)境中，S75E/95通過

7、OSPF與MSTP與上下游路由交換設(shè)備完成靠性組網(wǎng)，確保故障時(shí)秒級(jí)的流量路徑自動(dòng)切換；在FW板卡故障時(shí)，S75E/95通過VRRP切換到備機(jī)FW板卡上，確保秒級(jí)的故障自動(dòng)切換；在SSL板卡故障時(shí)，S75E/95同樣通過VRRP切換服務(wù)至備機(jī)SSL板卡上，確保秒級(jí)的故障自動(dòng)切換。當(dāng)整機(jī)故障時(shí)，所有流量路徑設(shè)備均切換至備機(jī)進(jìn)行轉(zhuǎn)發(fā)，通過OSPF、VRRP與MSTP三者配合，仍然可以達(dá)到秒級(jí)的故障自動(dòng)切換。圖4 典型組網(wǎng)二設(shè)計(jì)示例圖數(shù)據(jù)中心匯聚S75E交換機(jī)集成多業(yè)務(wù)板卡，連接內(nèi)部服務(wù)器與園區(qū)。S75E為FW到核心路由設(shè)備提供二層vlan通道，同時(shí)作為三層網(wǎng)關(guān)為內(nèi)部服務(wù)器、SSL與FW提供三者間的三

8、層路由轉(zhuǎn)發(fā)能力。SecBlade FW板卡采用三層路由模式為園區(qū)網(wǎng)絡(luò)用戶與服務(wù)器間的流量提供OSPF路由轉(zhuǎn)發(fā)，并提供防御、策略管理等功能。SecBlade SSL板卡采用部署方式。缺省網(wǎng)關(guān)指定在FW上。外部用戶SSL服務(wù)終結(jié)在SSL板卡后，完成解封裝的流量再通過S75E路由轉(zhuǎn)發(fā)內(nèi)部服務(wù)器。其它園區(qū)網(wǎng)絡(luò)服務(wù)器流量從FW板直接通過S75E路由轉(zhuǎn)發(fā)。在整網(wǎng)雙機(jī)備份組網(wǎng)環(huán)境中，S75E通過MSTP與下游交換設(shè)備完成靠性組網(wǎng)，確保下游鏈路故障時(shí)秒級(jí)的流量路徑自動(dòng)切換；當(dāng)S75E與上游設(shè)備鏈路斷開時(shí)，F(xiàn)W板卡與路由設(shè)備間通過OSPF協(xié)議自動(dòng)收斂，確保流量快速恢復(fù)。在FW板卡故障時(shí)，流量通過OSPF與VRR

9、P切換至備機(jī)FW板卡，保證秒級(jí)的流量路徑自動(dòng)收斂；在SSL板卡故障時(shí)，F(xiàn)W與S75E同樣通過VRRP切換服務(wù)至備機(jī)SSL板卡上，確保秒級(jí)的故障自動(dòng)切換。當(dāng)整機(jī)故障時(shí)，所有流量路徑設(shè)備均切換至備機(jī)進(jìn)行轉(zhuǎn)發(fā)，通過OSPF、VRRP與MSTP三者配合，仍然可以達(dá)到秒級(jí)的故障自動(dòng)切換。流量設(shè)計(jì)在S75E/95+FW+SSL最佳實(shí)踐中，主要流量為移動(dòng)用戶通過SSL服務(wù)器資源流量，園區(qū)用戶直接服務(wù)器資源流量與服務(wù)器間互訪流量，具體流量路徑請(qǐng)參考下圖。圖5 典型組網(wǎng)一流量示意圖圖6 典型組網(wǎng)二流量示意圖典型組網(wǎng)一設(shè)計(jì)部署S75E/95交換機(jī)設(shè)計(jì)部署S75E/95部署典型組網(wǎng)圖7 S75E/95典型組網(wǎng)一部署

10、結(jié)構(gòu)圖部署說明在本最佳實(shí)踐典型組網(wǎng)設(shè)計(jì)中，對(duì)下S75E/95為服務(wù)器與FW之間提供二層通道連接；對(duì)上S75E/95與路由設(shè)備建立OSPF連接傳遞路由；對(duì)內(nèi)S75E/95需要為SSL、FW與路由設(shè)備三者間提供路由轉(zhuǎn)發(fā)。*S75E與S95對(duì)物理接口標(biāo)識(shí)方式有所不同，如7槽位1接口，S75E標(biāo)識(shí)為7/0/1，S95為7/1/1。且S75E上的FW板卡接口顯示為10GE接口，如Ten-GigabitEthernet3/0/1，而S95上的FW板卡接口顯示為GE接口，如GigabitEthernet3/1/1，但接口實(shí)際速率均為10GE。以下配置舉例均以S75E接口為例。*S75E與S95的SSL板卡背

11、板物理接口區(qū)別較大。在S75E上可以看到2個(gè)10GE和4個(gè)GE接口，但只能使用4個(gè)GE接口進(jìn)行流量轉(zhuǎn)發(fā)；在S95上只能看到和使用1個(gè)10GE接口。如SSL板卡在4槽位，則S75E上可以使用接口為GigabitEthernet4/0/1GigabitEthernet4/0/4；S95上可以使用接口為GigabitEthernet4/1/1。vlan與接口部署vlan 10description ToSSL 配置與SSL間的三層vlanvlan 20description ToFW 配置與FW間的三層vlanvlan 11description ToCoreSwitch1vlan 12descri

12、ption ToCoreSwitch2 配置與交換設(shè)備間三層vlanvlan 101description FWToServerWEBvlan 102description FWToServerAPPvlan 103description FWToServerDB 配置FW與服務(wù)器間二層通道vlanerface Vlan-erface10ip address 配置與SSL相連的vlan接口地址erface Vlan-erface20ip address 配置與FW相連的vlan接口地址erface Vlan-erface11ip address 52erface Vlan-erface12ip

13、 address 52 配置與路由設(shè)備相連的vlan接口地址erface GigabitEthernet7/0/1port acs vlan 11erface GigabitEthernet7/0/2port acs vlan 12 配置與路由設(shè)備相連接口vlanerface GigabitEthernet7/0/23port link-type trunkport trunk permit vlan 101 to 103erface GigabitEthernet7/0/24port link-type trunkport trunk permit vlan 101 to 103 配置與接入

14、交換設(shè)備相連接口vlanerface GigabitEthernet4/0/1port acs vlan 10speed 1000duplex full 配置與SSL板卡相連接口vlan，此處使用S75E第一個(gè)GE接口舉例*SSL板卡在S75E上使用時(shí)目前必須在交換機(jī)側(cè)配置接口為acs接口，并且手工配置speed 1000與duplex full命令接口才能生效。erface Ten-GigabitEthernet3/0/1port link-type trunkport trunk permit vlan 20 101 to 103 配置與FW板卡相連接口vlan聚合接口部署S75E聚合接口

15、部署：erface Bridge-Aggregation1 創(chuàng)建聚合端口1erface GigabitEthernet7/0/3port link-aggregation group 1erface GigabitEthernet7/0/4port link-aggregation group 1erface GigabitEthernet7/0/5port link-aggregation group 1erface GigabitEthernet7/0/6port link-aggregation group 1 將物理接口加入聚合端口1erface Bridge-Aggregation1

16、port link-type trunkport trunk permit vlan 10 20 101 to 103 配置聚合接口承載vlan*此處需注意配置順序，必須先創(chuàng)建聚合接口，然后將物理接口加入聚合接口，最后在聚合接口上部署vlan等配置才能成功將配置下發(fā)到聚合接口所屬的所有物理接口上去。S95聚合接口部署：link-aggregation group 1 mode manual 創(chuàng)建聚合組1erface GigabitEthernet7/1/3port link-aggregation group 1erface GigabitEthernet7/1/4port link-aggr

17、egation group 1erface GigabitEthernet7/1/5port link-aggregation group 1erface GigabitEthernet7/1/6port link-aggregation group 1 將物理接口加入聚合組1erface GigabitEthernet7/1/3port link-type trunkport trunk permit vlan 10 20 101 to 103 配置聚合接口承載vlan*在95上配置聚合接口時(shí)，當(dāng)完成創(chuàng)建聚合組與將物理接口加入聚合組后，在聚合組中任一物理接口上配置vlan內(nèi)容均會(huì)同步到同聚合

18、組中其他物理接口上去。MSTP部署在本最佳實(shí)踐組網(wǎng)中，當(dāng)存在接入交換機(jī)多設(shè)備冗余情況下，S75E/95需要部署MSTP確保二層網(wǎng)絡(luò)無環(huán)路，且故障時(shí)可快速自動(dòng)收斂。主S75E/95設(shè)備：stp instance 1 root primarystp enablestp region-configurationregion-name MSTPinstance 1 vlan 101 to 103active region-configuration備S75E/95設(shè)備：stp instance 1 root secondarystp enablestp region-configurationregi

19、on-name MSTPinstance 1 vlan 101 to 103active region-configuration 此部署將MSTP的主根與備根分別放置在主備S75E/95交換機(jī)上。*需注意MSTP域中所有二層交換設(shè)備必須配置stp region-configuration內(nèi)容一致。OSPF單區(qū)域部署在該組網(wǎng)中，OSPF網(wǎng)絡(luò)規(guī)模較小，路由表不大，路由變化時(shí)計(jì)算開銷也不多，配置可以簡化一些。這里建議采用單區(qū)域的部署方式，S75E/95與路由設(shè)備都位于OSPF區(qū)域0中。ospf 1area network network 配置OSPF區(qū)域，宣告內(nèi)部vlan接口OSPF協(xié)議靜態(tài)路由引

20、入S75E/95需要配置去往WEB服務(wù)的靜態(tài)路由，并將此路由引入OSPF發(fā)布到園區(qū)網(wǎng)絡(luò)中。在雙機(jī)部署環(huán)境中，主備S75E/95還需要通過調(diào)整發(fā)布路由的cost值來達(dá)到路由主備冗余的目的。主S75E/95設(shè)備：ip route-sic 0 配置WEB服務(wù)路由網(wǎng)關(guān)下一跳指向直連網(wǎng)段FW板卡VRRP虛地址ospf 1import-route sic cost 100 配置本地靜態(tài)路由引入OSPF協(xié)議向園區(qū)網(wǎng)絡(luò)發(fā)布備S75E/95設(shè)備：ip route-sic 0ospf 1import-route sic cost 200OSPF協(xié)議直連路由引入與路由策略部署S75E/95需要將直連的SSL網(wǎng)段路由

21、引入OSPF發(fā)布到園區(qū)網(wǎng)絡(luò)中，為了限制其他的直連路由被引入OSPF，此處還需要部署路由策略進(jìn)行過濾。在雙機(jī)部署環(huán)境中，主備S75E/95同樣需要通過調(diào)整發(fā)布路由的cost值來達(dá)到路由主備冗余的目的。acl number 2000rule 1 permit source 55 配置ACL定義需要發(fā)布的SSL直連路由route-policy direct permit node 0if-match acl 2000apply cost 100 配置路由策略，匹配定義的acl項(xiàng)路由則設(shè)置cost為100。此處備機(jī)設(shè)置cost為200。ospf 1import-route direct route-p

22、olicy direct 配置本地直連路由引入OSPF協(xié)議向園區(qū)網(wǎng)絡(luò)發(fā)布*目前SSL板卡只能支持使用板卡物理接口或VRRP虛接口地址提供SSL接入服務(wù)，在雙機(jī)環(huán)境下，將VRRP虛地址作為SSL接入服務(wù)地址，以提供主備冗余和故障切換。OSPF接口o Time調(diào)整OSPFo Time默認(rèn)時(shí)間為10秒，相應(yīng)的Dead Time 為40秒。在通常情況下會(huì)影響到HA 收斂時(shí)間。建議可調(diào)整OSPFo Time時(shí)間為1秒，相應(yīng)得Dead Time時(shí)間4秒，HA收斂時(shí)間較為理想，丟包2個(gè)左右，F(xiàn)TP應(yīng)用層流量有短暫停頓并可恢復(fù)?？s短OSPFo Time時(shí)間，會(huì)增加OSPFo 報(bào)文流量，但對(duì)本組網(wǎng)中網(wǎng)絡(luò)內(nèi)部1G

23、E帶寬來說沒有問題。一般OSPF網(wǎng)絡(luò)節(jié)點(diǎn)少于8個(gè)且用戶對(duì)整網(wǎng)收斂時(shí)間有較高要求時(shí)，將o Time調(diào)整為1，另外在實(shí)際部署中還應(yīng)根據(jù)設(shè)備和網(wǎng)絡(luò)的資源利用情況適當(dāng)調(diào)整參數(shù)。此處需要注意的是調(diào)整時(shí)要確保全網(wǎng)OSPF路由器接口的o Timer值。erface Vlan-erface11ospf timero 1erface Vlan-erface12ospf timero 1 在啟用OSPF的vlan接口下配置o Timer值為1VRRP部署在雙機(jī)環(huán)境中，S75E/95與SSL/FW連接的三層vlan接口還需要部署VRRP，以確保主備冗余和故障切換，切換后流量來回路徑一致。主S75E/95設(shè)備：erf

24、ace Vlan-erface10ip address vrrp vrid 1 virtual-ip 0vrrp vrid 1 priority 150 配置與SSL相連的vlan接口VRRPerface Vlan-erface20ip address vrrp vrid 2 virtual-ip 0vrrp vrid 2 priority 150 配置與FW相連的vlan接口VRRP本例中S75E/95 端與SSL 直連網(wǎng)接口地址為/ ， VRRP 虛地址為0；SSL端主備接口地址為1/2，VRRP虛地址為0。本例中 S75E/95 端與 FW 直連網(wǎng)接口地址為 / ， VRRP 虛地址為0

25、；FW端主備接口地址為1/2，VRRP虛地址為0。*此處需要注意，配置VRRP時(shí)，同一vlan內(nèi)FW板卡、S75E/95交換機(jī)與SSL板卡的接口vrrpvrid不能相同。如本例中的vlan10接口，兩塊SSL板卡vrid為10，兩臺(tái)S75E/95設(shè)備vrid為1。備S75E/95設(shè)備：erface Vlan-erface10ip address vrrp vrid 1 virtual-ip 0 配置與SSL相連的vlan接口VRRPerface Vlan-erface20ip address vrrp vrid 2 virtual-ip 0 配置與FW相連的vlan接口VRRPSecBlade

26、 FW板卡設(shè)計(jì)部署SecBlade FW部署典型組網(wǎng)圖8 SecBlade FW典型組網(wǎng)一部署結(jié)構(gòu)圖部署說明在本最佳實(shí)踐中FW板卡主要處理園區(qū)用戶服務(wù)器與服務(wù)器間互訪流量。因此需要在FW上部署多個(gè)三層接口分別連接S75E/95與各服務(wù)器。（對(duì)于檢測等功能具體實(shí)現(xiàn)請(qǐng)參考相關(guān)產(chǎn)品配置手冊(cè)。）WEB管理接口配置SecBlade FW屬于WEB界面管理設(shè)備，首先需要在console界面下配置面板上的某個(gè)接口作為口，通過HTTP連接再進(jìn)行后續(xù)配置。一般采用GE0/1接口作為web管理接口，其缺省IP地址為/24erface GigabitEthernet0/1ip address 可以將接口IP地址修改

27、為與管理PC同一網(wǎng)段地址通過WEB進(jìn)行管理接下來就可以通過WEB界面進(jìn)行登陸配置管理了。*缺省登陸用戶名與均為h3c，區(qū)分大小寫三層接口與安全區(qū)域部署首先在接口管理中建立新的三層子接口對(duì)應(yīng)典型組網(wǎng)中的兩個(gè)子網(wǎng)。創(chuàng)建子網(wǎng)接口時(shí)建議接口名稱對(duì)應(yīng)接口vlan的VID，這樣便于區(qū)分不同三層接口。 配置子接口20對(duì)應(yīng)S75E/95交換機(jī)，子接口101-103對(duì)應(yīng)各服務(wù)器創(chuàng)建安全區(qū)域，對(duì)應(yīng)多組服務(wù)器。修改安全區(qū)域，在untrust與新創(chuàng)建的WEB/APP/DB域中添加相應(yīng)接口。路由部署SecBlade FW本典型組網(wǎng)中采用靜態(tài)路由方式建立路由表項(xiàng)。將缺省路由網(wǎng)關(guān)指向S75E/95直連網(wǎng)段的VRRP虛地址。

28、控制策略部署SecBlade FW通過控制策略對(duì)流量報(bào)文進(jìn)行控制，缺省不允許流量從優(yōu)先級(jí)低的方向優(yōu)先級(jí)高的方向，因此需要配置控制策略。（此部分更具體的配置請(qǐng)參考產(chǎn)品相關(guān)手冊(cè)，本配置以允許所有舉例）創(chuàng)建untrust、WEB、APP和DB區(qū)域間控制列表，允許控制權(quán)限內(nèi)的。VRRP部署在雙機(jī)環(huán)境中，兩臺(tái)FW需要配置VRRP作為服務(wù)器主備網(wǎng)關(guān)，提供故障切換功能。同時(shí)還需要在與S75E/95相連vlan子接口配置VRRP，使故障切換時(shí)上下行流量路徑一致。當(dāng)前發(fā)布版本僅支持在命令行模式下配置VRRP相關(guān)內(nèi)容。主FW板卡：erface Ten-GigabitEthernet0/0.20vlan-type

29、dot1q vid 20ip address 1 vrrp vrid 20 virtual-ip 0vrrp vrid 20 priority 150 配置與S75E相連接口的VRRP，并通過優(yōu)先級(jí)協(xié)商主備。erface Ten-GigabitEthernet0/0.101vlan-type dot1q vid 101ip address vrrp vrid 101 virtual-ip 54vrrp vrid 101 priority 150erface Ten-GigabitEthernet0/0.102vlan-type dot1q vid 102ip address vrrp vrid

30、 102 virtual-ip 54vrrp vrid 102 priority 150erface Ten-GigabitEthernet0/0.103vlan-type dot1q vid 103ip address vrrp vrid 103 virtual-ip 54vrrp vrid 103 priority 150 配置服務(wù)器VRRP ，并通過優(yōu)先級(jí)協(xié)商主備， 本例中WEB 服務(wù)器網(wǎng)關(guān)地址應(yīng)配置為54/24。備FW板卡：erface Ten-GigabitEthernet0/0.20vlan-type dot1q vid 20ip address 2 vrrp vrid 20 vi

31、rtual-ip 0erface Ten-GigabitEthernet0/0.101vlan-type dot1q vid 101ip address vrrp vrid 101 virtual-ip 54erface Ten-GigabitEthernet0/0.102vlan-type dot1q vid 102ip address vrrp vrid 102 virtual-ip 54erface Ten-GigabitEthernet0/0.103vlan-type dot1q vid 103ip address vrrp vrid 103 virtual-ip 54SecBlade

32、 SSL設(shè)計(jì)部署SecBlade SSL部署典型組網(wǎng)在本部署方案中，SSL板卡采用單臂旁掛方式部署，雙機(jī)環(huán)境中通過VRRP保證主備冗余保護(hù)。圖9 SecBlade SSL典型組網(wǎng)一部署結(jié)構(gòu)圖部署說明接口與路由部署本典型組網(wǎng)中SSL板卡使用單臂旁掛方式部署在網(wǎng)絡(luò)中，只需要配置接口IP地址和缺省路由下一跳為FW直連接口即可。*S95與S75E的SecBlade SSL板卡上顯示的接口并不一致，S95顯示為一個(gè)10GE接口，而S75E上顯示為4個(gè)GE接口，在使用單臂旁掛方式時(shí)接口下具體命令配置基本相同，配置舉例中以使用第一個(gè)GE接口為例。S75E接口配置：erface GigabitEthernet

33、0/0/0ip address 1 配置S75E SecBlade SSL板卡接口IP地址*在S75E組網(wǎng)換機(jī)側(cè)與SSL板卡側(cè)接口對(duì)應(yīng)關(guān)系是：交換機(jī)Ge4/0/1 Ge0/0/0SSL板卡Ge4/0/2Ge0/0/1Ge4/0/3Ge0/0/2Ge4/0/4Ge0/0/3S95接口配置：erface TenGigabitEthernet0/0/0ip address 1 配置S95 SecBlade SSL板卡接口IP地址路由配置：ip route-sic 0 配置缺省路由網(wǎng)關(guān)下一跳指向S75E/95直連網(wǎng)段接口VRRP虛地址雙機(jī)環(huán)境下VRRP部署在雙板卡冗余環(huán)境中，兩塊SSL板卡通過VRRP

34、實(shí)現(xiàn)互為主備功能，并通過同一個(gè)VRRP虛地址為外部提供SSL接入服務(wù)。同時(shí)S75E/95交換機(jī)雙機(jī)間的直連鏈路需要trunk此vlan，確保VRRP互通。圖10 SecBlade SSL雙機(jī)部署結(jié)構(gòu)圖主SSL板卡VRRP部署：erface GigabitEthernet0/0/0ip address 1 vrrp vrid 10 virtual-ip 0vrrp vrid 10 priority 150 配置主SecBlade SSL板卡接口VRRP虛地址，并通過VRRP優(yōu)先級(jí)調(diào)整主備備SSL板卡VRRP部署：erface GigabitEthernet0/0/0ip address 2 vr

35、rp vrid 10 virtual-ip 0 配置主SecBlade SSL板卡接口VRRP虛地址，VRRP優(yōu)先級(jí)使用缺省值100。SSL服務(wù)部署當(dāng)完成上述網(wǎng)絡(luò)部署后，SSL板卡與園區(qū)用戶及服務(wù)器網(wǎng)絡(luò)連通，則用戶可通過SSL板卡VRRP虛地址管理SSL服務(wù)資源。本配置舉例中以網(wǎng)絡(luò)部署為主，SSL板卡具體資源管理及用戶相關(guān)配置請(qǐng)參考相關(guān)產(chǎn)品配置指導(dǎo)書，此處不做詳細(xì)描述。使用HTTPS 443端口可以以用戶登陸服務(wù)資源。使用HTTPS 444端口可以以管理員配置管理服務(wù)資源。整網(wǎng)雙機(jī)HA設(shè)計(jì)部署整網(wǎng)雙機(jī)HA部署前面的各設(shè)備板卡配置說明中已經(jīng)涵蓋了部分HA設(shè)計(jì)部署，此處對(duì)整網(wǎng)HA做說明，并對(duì)各種故

36、障下的流量路徑切換進(jìn)行描述，對(duì)重點(diǎn)配置進(jìn)行說明。典型組網(wǎng)中的HA設(shè)計(jì)主要針對(duì)以下幾種故障切換：鏈路故障切換；板卡故障切換；整機(jī)故障切換；*接口板故障與鏈路故障一致，主控板故障與整機(jī)故障一致。正常情況下的上下行流量路徑請(qǐng)參考本文檔前面流量設(shè)計(jì)組網(wǎng)圖，以下各個(gè)故障切換圖中均以上行流量切換路徑為例，切換后上下行流量來回路徑一致。鏈路故障切換交換機(jī)與園區(qū)相連鏈路故障切換當(dāng)S75E/95與園區(qū)網(wǎng)絡(luò)相連鏈路故障時(shí)，網(wǎng)絡(luò)依靠OSPF自動(dòng)收斂。上下行流量來回路徑一致。圖11 與園區(qū)相連鏈路故障切換示意圖交換機(jī)與服務(wù)器側(cè)L2交換機(jī)相連鏈路故障切換當(dāng)S75E/95與服務(wù)器側(cè)L2交換機(jī)相連鏈路故障時(shí)，服務(wù)器二層網(wǎng)絡(luò)

37、依靠MSTP收斂。圖12 與下層交換機(jī)相連鏈路故障切換示意圖此組網(wǎng)中當(dāng)左側(cè)S75E/95下連接口鏈路故障時(shí)，所有流量在通過走匯聚交換機(jī)間鏈路去往下游服務(wù)器，服務(wù)器網(wǎng)關(guān)VRRP未發(fā)生切換，上下行流量來回路徑一致。*S75E/95兩臺(tái)交換機(jī)間鏈路故障斷開不會(huì)對(duì)網(wǎng)絡(luò)流量產(chǎn)成影響，不會(huì)發(fā)生路徑切換。板卡故障切換FW板卡故障切換S75E/95的FW板卡故障時(shí)，F(xiàn)W上下接口均發(fā)生VRRP切換，流量只在FW板卡層面切換至備機(jī)板卡，其他節(jié)點(diǎn)流經(jīng)路徑不變，流量來回路徑一致。圖13 FW板卡故障切換示意圖此組網(wǎng)中當(dāng)左側(cè)FW板卡故障時(shí)，下行流量在路由器上根據(jù)VRRP選擇右側(cè)FW板卡，服務(wù)器上行流量根據(jù)VRRP將網(wǎng)關(guān)

38、切換至右側(cè)FW板卡，確保來回路徑一致。此處需注意由于FW板卡故障時(shí)，服務(wù)器二層網(wǎng)絡(luò)MSTP未發(fā)生變化，所以右側(cè)FW板卡與服務(wù)器間流量均需繞行左側(cè)S75E/95交換機(jī)。SSL板卡故障切換S75E/95的SSL板卡故障時(shí)，SSL板卡接口發(fā)生VRRP切換，流量只在SSL板卡層面切換至備機(jī)板卡，其他節(jié)點(diǎn)流經(jīng)路徑不變，流量來回路徑一致。圖14 SSL板卡故障切換示意圖整機(jī)故障切換當(dāng)S75E/95整機(jī)發(fā)生故障時(shí)，園區(qū)網(wǎng)絡(luò)服務(wù)器流量依據(jù)OSPF在設(shè)備層進(jìn)行路由切換，SSL板卡虛地址與FW服務(wù)器網(wǎng)關(guān)也同時(shí)發(fā)生VRRP切換。上下行流量來回路徑一致圖15 整機(jī)故障切換示意圖典型組網(wǎng)二設(shè)計(jì)部署S75E交換機(jī)設(shè)計(jì)部署

39、S75E部署典型組網(wǎng)圖16 S75E典型組網(wǎng)二部署結(jié)構(gòu)圖部署說明在本方案典型組網(wǎng)設(shè)計(jì)中，S75E/95作為服務(wù)器三層網(wǎng)關(guān)，并為FW與路由設(shè)備間提供二層vlan通道。在雙機(jī)環(huán)境中，兩臺(tái)S75E之間鏈路還需要部分VRRP鏈路二層vlan。vlan與接口部署vlan 10description FWToSSL 配置FW與SSL間二層通道vlanvlan 11description FWToCoreSwitch1vlan 12description FWToCoreSwitch2 配置FW與交換設(shè)備間二層通道vlanvlan 20description ToFW 配置與FW間三層vlanvlan 30

40、description ToSSL 配置與SSL間三層vlanvlan 101description ToServerWEBvlan 102description ToServerAPPvlan 103description ToServerDB 配置與服務(wù)器間三層網(wǎng)關(guān)vlanerface Vlan-erface20ip address 1 4 配置與FW相連的vlan接口地址erface Vlan-erface30ip address 1 4 配置與FW相連的vlan接口地址erface Vlan-erface101ip address erface Vlan-erface102ip add

41、ress erface Vlan-erface103ip address 配置與服務(wù)器相連的vlan接口地址erface GigabitEthernet7/0/1port acs vlan 11erface GigabitEthernet7/0/2port acs vlan 12 配置與路由設(shè)備相連接口vlanerface GigabitEthernet7/0/23port link-type trunkport trunk permit vlan 101 to 103erface GigabitEthernet7/0/24port link-type trunkport trunk perm

42、it vlan 101 to 103 配置與接入交換設(shè)備相連接口vlanerface Ten-GigabitEthernet3/0/1port link-type trunkport trunk permit vlan 10 to 12 20 配置與FW板卡相連接口vlanerface GigabitEthernet4/0/1port acs vlan 10speed 1000duplex fullerface GigabitEthernet4/0/2port acs vlan 30speed 1000duplex full 配置與SSL板卡相連接口vlan，本文中使用S75E第一、二個(gè)GE接

43、口舉例erface Bridge-Aggregation1port link-type trunkport trunk permit vlan 10 20 30 101 to 103 配置聚合接口承載vlan聚合接口和MSTP部署方式與典型組網(wǎng)一相同，具體請(qǐng)參考本文前面部分。路由與VRRP部署在本典型組網(wǎng)中，S75E/95使用缺省路由方式與園區(qū)網(wǎng)絡(luò)相連，缺省路由下一跳指向FW直連接口的VRRP虛地址。ip route-sic 0 配置缺省路由下一跳指向FW直連接口的VRRP虛地址。如果SSL啟用了IP網(wǎng)絡(luò)服務(wù)，則還需要在S75E上部署一條IP網(wǎng)絡(luò)服務(wù)地址段的靜態(tài)路由下一跳指向SSL直連接口的V

44、RRP虛地址。未啟用時(shí)則不需要配置。ip route-sic 0 配置IP網(wǎng)絡(luò)服務(wù)地址段的靜態(tài)路由下一跳指向SSL直連接口的VRRP虛地址。同時(shí)S75E作為服務(wù)器網(wǎng)關(guān)在雙機(jī)情況下，需要使用VRRP提供網(wǎng)關(guān)主備冗余，同時(shí)配置VRRPtrack追蹤FW板卡VLAN接口狀態(tài)，達(dá)到故障同步切換流量不中斷目的。主S75E設(shè)備：erface Vlan-erface101ip address vrrp vrid 101 virtual-ip 54vrrp vrid 101 priority 150vrrp vrid 101 preempt-mode timer delay 20vrrp vrid 101 t

45、rackerface Vlan-erface10 reduced 60erface Vlan-erface102ip address vrrp vrid 102 virtual-ip 54vrrp vrid 102 priority 150vrrp vrid 102 preempt-mode timer delay 20vrrp vrid 102 trackerface Vlan-erface10 reduced 60erface Vlan-erface103ip address vrrp vrid 103 virtual-ip 54vrrp vrid 103 priority 150vrrp

46、 vrid 103 preempt-mode timer delay 20vrrp vrid 103 trackerface Vlan-erface10 reduced 60 在服務(wù)器網(wǎng)關(guān)vlan接口下配置VRRP內(nèi)容。本例中服務(wù)器網(wǎng)關(guān)地址均為100.1.*.254。*此處注意配置preempt-mode timer delay目的在于當(dāng)FW板卡出現(xiàn)重啟時(shí)，VRRP需要等FW與路由設(shè)備OSPF鄰居建好后再搶占回來，否則會(huì)出現(xiàn)較長時(shí)間流量中斷。20s為配置較簡單情況下經(jīng)驗(yàn)值，具體項(xiàng)目中可根據(jù)配置情況適當(dāng)調(diào)整。備S75E設(shè)備：erface Vlan-erface101ip address vrrp

47、 vrid 101 virtual-ip 54erface Vlan-erface102ip address vrrp vrid 102 virtual-ip 54erface Vlan-erface103ip address vrrp vrid 103 virtual-ip 54在雙機(jī)環(huán)境中，S75E與SSL/FW連接的三層vlan接口還需要部署VRRP，以確保主備冗余和故障切換，切換后流量來回路徑一致。主S75E設(shè)備：erface Vlan-erface20ip address 1 vrrp vrid 20 virtual-ip 0vrrp vrid 20 priority 150 配置與

48、FW相連的vlan接口VRRPerface Vlan-erface30ip address 1 vrrp vrid 30 virtual-ip 0vrrp vrid 30 priority 150 配置與SSL相連的vlan接口VRRP本例中S75E 端與FW 直連網(wǎng)接口地址為1/2 ， VRRP 虛地址為0；FW端主備接口地址為/，VRRP虛地址為0。本例中S75E 端與SSL 直連網(wǎng)接口地址為1/2 ， VRRP 虛地址為0；SSL端主備接口地址為/，VRRP虛地址為0。備S75E設(shè)備：erface Vlan-erface20ip address 2 vrrp vrid 20 virtua

49、l-ip 0 配置與FW相連的vlan接口VRRPerface Vlan-erface30ip address 2 vrrp vrid 30 virtual-ip 0 配置與SSL相連的vlan接口VRRPSecBlade FW板卡設(shè)計(jì)部署SecBlade FW部署典型組網(wǎng)圖17 SecBlade FW典型組網(wǎng)二部署結(jié)構(gòu)圖部署說明在本最佳實(shí)踐中FW板卡主要處理園區(qū)用戶服務(wù)器流量和園區(qū)用戶SSL服務(wù)流量。因此需要在FW上部署多個(gè)三層接口分別連接S75E、園區(qū)路由設(shè)備和SSL板卡。（對(duì)于檢測等功能具體實(shí)現(xiàn)請(qǐng)參考相關(guān)產(chǎn)品配置手冊(cè)。）FW板卡部分部署方式與典型組網(wǎng)一相同，此處只列出部署結(jié)果，配置方法請(qǐng)

50、參考本文前面部分章節(jié)。三層接口與安全區(qū)域部署路由部署SecBlade FW本典型組網(wǎng)中采用靜態(tài)路由方式建立服務(wù)器路由表項(xiàng)，與路由設(shè)備之間建立OSPF鄰居關(guān)系，并將靜態(tài)路由重發(fā)布到OSPF區(qū)域中。同時(shí)FW板卡還需要將SSL服務(wù)的直連網(wǎng)段路由發(fā)布到OSPF中，使移動(dòng)用戶可以查到SSL服務(wù)的路由。此處需注意OSPF相關(guān)部署目前FW版本只支持通過命令行方式完成。配置去往服務(wù)器網(wǎng)絡(luò)的靜態(tài)路由，下一跳指向S75E直連接口的VRRP虛地址。ospf 1import-route sic cost 100import-route direct cost 100area network network 在命令行下

51、配置OSPF區(qū)域，宣告內(nèi)部vlan接口，將靜態(tài)路由重發(fā)布到OSPF區(qū)域中，并通過設(shè)置cost來調(diào)整主備FW路徑。此處如果需要配置路由策略進(jìn)行直連路由發(fā)布過濾可參考本文前面相關(guān)章節(jié)配置方法?？刂撇呗圆渴餠RRP部署在雙機(jī)環(huán)境中，兩臺(tái)FW需要在與S75E和SSL板卡直連接口配置VRRP，使故障切換時(shí)上下行流量路徑一致。當(dāng)前FW發(fā)布版本僅支持在命令行模式下配置VRRP相關(guān)內(nèi)容。主FW板卡：erface Ten-GigabitEthernet0/0.10vlan-type dot1q vid 10ip address vrrp vrid 10 virtual-ip 0vrrp vrid 10 prio

52、rity 150 配置與S75E相連接口的VRRP，并通過優(yōu)先級(jí)協(xié)商主備。erface Ten-GigabitEthernet0/0.20vlan-type dot1q vid 20ip address vrrp vrid 2 virtual-ip 0vrrp vrid 2 priority 150 配置與SSL相連接口的VRRP，并通過優(yōu)先級(jí)協(xié)商主備。本例中S75E 端與SSL 直連網(wǎng)接口地址為1/2 ， VRRP 虛地址為0；SSL端主備接口地址為/，VRRP虛地址為0。備FW板卡：erface Ten-GigabitEthernet0/0.10vlan-type dot1q vid 10ip address vrrp vrid 10 virtual-ip 0erface Ten-GigabitEthernet0/0.20vlan-type dot1q vid 20ip address vrrp vrid 2 virtual-ip 0SecBlade SSL設(shè)計(jì)部署SecBlade SSL部署典型組網(wǎng)在本部署方案中，SSL方式部署，雙機(jī)環(huán)境中通過VRRP保證主備冗余保護(hù)。板卡采用圖18 SecBlade SSL典型組網(wǎng)二部署結(jié)構(gòu)圖部署說明接口與路由部署本典型組網(wǎng)中SSL板卡使用方式部署在網(wǎng)絡(luò)中，只需要配置接口IP地址和靜