30 元
下载资源

数据中心多业务板卡设计

上传人:lx****y 文档编号:243369046 上传时间:2024-09-21 格式:PPTX 页数:50 大小:1.31MB
返回 下载 相关 举报
数据中心多业务板卡设计_第1页
第1页 / 共50页
数据中心多业务板卡设计_第2页
第2页 / 共50页
数据中心多业务板卡设计_第3页
第3页 / 共50页
点击查看更多>>
资源描述
,50,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,杭州华三通信技术有限公司,21,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,35,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,38,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,数据中心多业务插卡设计,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,案例分析,IPS,功能业务模块,千兆性能规格,领先推出插卡式,IPS,架构,安全与网络深度融合,ACG,应用控制网关模块,首创,UAAE,技术,实现对各种,P2P,与,VoIP,协议模型的深层次分析和控制,LB,负载均衡模块,支持,NAT,、,DR,模式以及各种负载均衡算法,满足各类用户的不同需求,在服务器群前端形成有效均衡,极,BL,大提升服务器组的性能。,防火墙功能业务模块,万兆处理能力,多,CPU,架构,突破安全处理瓶颈,交换机数据中心相关业务模块,S5800 FW,S5800 IPS,S5800,S9500E/S7500E,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,插卡的工作,模式(一),主机模式,:FW/LB/SSL VPN,插卡,报文到交换机接口,报文被交换机根据路由信息或者,MAC,转发到业务部件上,插卡将处理后的报文通过路由或者,MAC,发回给交换机,10GE,10GE,Vlan 100,Vlan 201,VIF201,172.16.1.2/30,交换,处理,VIF 200,2.2.2.1,Vlan 200,VIF201,172.16.1.1/30,VIF100,1.1.1.1,Vlan 100,背板,MAC,学习,二层转发,路由三层转发,1.1.1.2,2.2.2.2,插卡的工作,模式(二),重定向模式:,IPS,、,ACG,插卡,报文到达交换机接口,交换机判断报文是否匹配接口入方向的重定向策略(,OAA,下发或者手工配置),没有匹配到的报文按照原先的路径转发,匹配到重定向策略的报文送到业务插卡,经过处理后通过互联接口送回交换机,按照原先的路径转发,10GE,10GE,交换,处理,VIF 200,2.2.2.1,Vlan 200,VIF100,1.1.1.1,Vlan 100,背板,1.1.1.2,2.2.2.2,接口入方向匹配重定向策略,插卡的工作,模式(三),镜像模式:,Netstream,插卡,10GE,10GE,交换,处理,VIF 200,2.2.2.1,Vlan 200,VIF100,1.1.1.1,Vlan 100,背板,1.1.1.2,2.2.2.2,报文到达交换机接口,交换机判断报文是否匹配接口入方向的镜像策略(手工配置),报文在交换机内按照原先的路径转发,匹配到镜像策略的报文被送到插卡进行分析,处理完后不再送回给交换机,接口入方向匹配镜像策略,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署建议,防火墙板卡部署建议,负载均衡板卡部署建议,IPS/ACG,板,卡部署建议,网流分析板卡的部署建议,多业务板卡部署方式,多业务板卡部署建议,防火墙模块部署建议,路由模式:,防火墙作为网络中路由的一跳,可以运行,BGP,,,OSPF,和,RIP,等路由协议,可以在连接的网络之间进行,NAT,转换,FW-1,FW-1,多业务交换机,三层流量接口,多业务交换机,多业务交换机,路由模式:单机,路由模式:主备,Vlan12,:12.1.1.3,Vlan13,:13.1.1.3,Vlan12,:12.1.1.3,Vlan13,:13.1.1.3,Vlan12,:12.1.1.2,Vlan13,:13.1.1.2,FW-,防火墙模块部署,建议(续),透明模式:,二层防火墙,相当于网络中的一根网线,对其他设备来说是“透明”的,不作为网络中路由的一跳;防火墙的出接口和入接口为同一网段,但是要求出、入接口必须属于不同的,VLAN,注意:,透明模式建议只使用于单机模式。,FW-1,多业务交换机,Vlan12,Vlan13,VLAN 12,:,12.1.1.2,VLAN13,:,12.1.1.3,上游设备,下游设备,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署建议,防火墙板卡部署建议,负载均衡板卡部署建议,IPS/ACG,板,卡部署建议,网流分析板卡的部署建议,多业务板卡部署方式,多业务板卡部署建议,负载均衡模块部署建议,链路负载均衡:对一组链路提供负载均衡业务。分为,inbound,和,outbound,两种方式。,outbound,:,分担,内网,用户通过多条链路访问,外网服务器的流量,。,inbound,:,分担,外网用户访问内网服务器的流量,。,负载均衡模块部署建议(续),负载均衡模块在实际网络流量设计中可以采用,如下两种,方式,:,直联方式 :,LB,设备直接部署在网络的主干中,服务器和客户端之间的负载均衡报文直接由,LB,设备进行路由,旁挂模式:,指,LB,设备不作为服务器和客户端之间的路由设备,而是旁挂在路由设备上,在实际部署中,负载均衡模块多采用直连方式进行部署;由于往返路径不一致导致的一系列问题,一般不采用旁挂方式进行部署。,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署建议,防火墙板卡部署建议,负载均衡板卡部署建议,IPS/ACG,板,卡部署建议,网流分析板卡的部署建议,多业务板卡部署方式,多业务板卡部署建议,IPS/ACG,板,卡部署建议,IPS/ACG,在,具体的部署上有两种方式:,OAA,方式,:,IPS,板卡和所在交换机之间通过,ACSEI,协议进行命令交互,,,ACL,下发,优点:,板卡和交换机之间自动进行交互,配置简单,易于操作,缺点:,由于各产品实现的差异,这种方式无法应用在双机,IRF,组网情况下,MQC,手动,方式,:,IPS,板卡和所在交换机之间通过命令行手动进行,交互,优点:,可以应用在双机,IRF,组网情况下,缺点:,配置复杂,配置工作量大,结论:在非,IRF,模式下用,OAA,方式;在,IRF,模式下使用,MQC,手动方式。,看,IRF,下如何用,MQC,引流,ACG-1,ACG-2,S95E-IRF,Internet,交换机,2,核心,交换机,Vlan1001-1002,L3Switch,三层流量接口,Vlan1004-1008,T1/5/0/1,T2/5/0/1,Vlan1001-1002,Vlan1004-1008,注意:,S75E,不支持多出接口重定向,因此不能做到备份。,S75E IRF,下的种种限制,强烈建议在,S75E,有,IPS/ACG,插卡时,不要工作在,IRF,模式。,配置思路:,1,、不将广播、组播及,ARP,报文引流,2,、不将二层互访流量引流,3,、交换机和,IPS/ACG,插卡的互联口禁止组播、广播及,ARP,报文传输,防止环路。,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署建议,防火墙板卡部署建议,负载均衡板卡部署建议,IPS/ACG,板,卡部署建议,网流分析板卡的部署建议,多业务板卡部署方式,多业务板卡部署建议,案例分析,网流分析板卡部署建议,网流分析板卡工作,在镜像,模式。,这种模式只是用来进行报文分析,不影响原报文的处理流程。,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署,建议,多插卡部署的基本原则,互联网出口场景部署,服务器接入场景部署,单框多插卡分担部署,设计的几条基本原则,多业务模块是在线部署还是单臂旁挂,?,A:,在线部署(,NS,除外,),多业务模块是工作在三层模式还是二层透明模式,?,A:FW/LB,部署在三层,;IPS/ACG,只能工作在二层,服务器的网关是在业务模块上还是在交换机的三层接口上,?,A:,建议设置在业务模块上(服务器互访流量可以经过业务模块保护),多,业务板卡的备份方式,主备模式,还是主主模式,还是独立工作,?,A:,主备模式,为清晰流量走向,简化备份模型,在多插卡业务设计时,建议:,先看一个例子,IPS-1,IPS-2,Vlan12,Vlan12,Vlan13,Vlan13,Vlan12,Vlan13,Vlan13,FW-1,FW-2,多业务交换机,交换机,1,核心交换机,1,核心交换机,2,L3Switch,Vlan100,Vlan100,三层流量接口,Vlan13,Vlan100,实现,24,层安全防护和安全区域,隔离,也可以,NAT,实现,47,层的安全,防护,Vlan100,先进行,FW,部署,,FW,工作在三层模式,采用,VRRP,实现主备;,IPS,采用,MQC,引流,上行流量,MQC,应用在与核心交换机互联接口上;下行,MQC,应用在与,FW,互联口上;,IRF,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,互联网出口场景,S75E/S95E,LB+IPS+FW,最佳,实践,服务器接入场景,S75E/S95E,IPS+LB+FW,最佳实践,S5800,交换机插,FW/IPS,单框多插卡分担部署,互联网出口板卡部署位置分析,LB,作为,outbound,方向负载均衡设备,部署在最上游;,IPS,和,FW,的位置部署在,LB,的下游,两者之间的位置先后关系不大。,因此,在互联网出口环境下,形成两种部署方式:,LBFWIPS,LBIPSFW,每种部署方式又分非,IRF,和,IRF,两种组网,下面以,LBIPSFW,为例进行介绍。,最佳,实践,1,(,非,IRF,),板卡类型,负载均衡板卡,防火墙板卡,IPS,板卡,部署方式,在线部署,在线部署,在线部署,引流方式,路由,路由,重定向,1,工作模式,三层路由模式,三层路由模式,二层透明模式,备份模式,主备模式,主备模式,独立模式,2,场景描述:,互联网出口进行安全防护,部署了链路负载均衡,,IPS,和防火墙;,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,在多个运营商线路之间进行链路负载均衡,在出方向进行源地址,NAT,转换,在入方向进行目的地址转换;,实现,24,层安全防护和安全区域隔离。,实现,47,层的安全防护,交换机采用非,IRF,方式组网,需要采用动态路由方式或者静态路由,+VRRP,方式实现主备。,有,OAA,和,MQC,两种端口重定向方式;,IPS,模块在板卡故障时,直接透传;整机故障时,随整机进行切换;,最佳实践,1,流量路径上行(非,IRF,),数据流(上行):,V100,的流量进入交换机,在,S75E,的入接口通过二层转发至,FW-1,,经过,FW-1,处理完毕后,通过,V13,返回至交换机。,V13,的流量在防火墙与交换机连接的内部接口重定向至,IPS-1,;,V13,的流量经过,IPS-1,处理后返回交换机,进行转发;流量下一跳为交换机的三层接口,经过交换机三层转发后转发至,V12,;,V12,的流量通过二层转发到,LB-1,,,LB-1,对报文进行源地址,NAT,转换后,按照负载均衡算法*发送到对应的,Internet,出口链路。,防火墙和,LB,为三层模式,工作在主备方式;,IPS,工作在二层模式。,为了连接互联网的多个接口,出口采用了,2,台交换机,每台交换机有两条物理链路连接到,S75E,,每个交换机上的两个物理端口在一个网段。所以如果采用路由器需要使用交换板。,在实际部署中,也有直接将运营商的线路连接到多业务交换机的组网,在这种组网下,多运营商出口的链路负载分担流量将经过两台多业务交换机之间的链路;,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,最佳实践,1,流量路径下行(非,IRF,),数据流(下行):,来自互联网的,V11,流量通过交换机进入多业务交换机;,V11,的流量转发至,LB-1,,在,LB,板卡做目的地址,NAT,转换,处理完毕后,通过,V12,返回至交换机。,V12,的流量在,LB,与交换机的内部接口做重定向,报文重定向到,IPS-1,;,V12,的流量经过,IPS,处理后返回交换机进行转发,流量下一跳为交换机的三层接口;,V12,的流量经过交换机三层转发后流量进入,V13,,进入防火墙,经过,FW,处理后流量进入,V100,,然后转发至下一级交换机;,防火墙和,LB,为三层模式,工作在主备方式;,IPS,工作在二层模式。,为了连接互联网的多个接口,出口采用了,2,台交换机,每台交换机有两条物理链路连接到多业务交换机,每个交换机上的两个物理端口在一个网段。所以如果采用路由器需要使用交换板。,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,最佳实践,1,路由规划(非,IRF,),动态路由协议方式:,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13 COST 50,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12 COST 50,COST 100 Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,COST 100 Vlan13,Vlan12,Vlan13,L3Switch,Vlan100 COST 50,COST 100 Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,AREA 1,VRRP,Area 0,外部地址,内部地址,LB,内部三层接口,防火墙,交换机三层接口以及核心交换机与多业务交换机连接的接口运行,OSPF,动态路由协议,设置为,AREA 1,;核心交换机之间运行,OSPF,,为,Area 0,;,LB,外部三层接口使用静态路由,+VRRP,;,使用动态路由协议,配置比较简单,通过控制路由的,COST,值调整流量路径。,最佳实践,1HA,机制(非,IRF,),使用静态路由,+VRRP,方式,,LB,板卡,,FW,板卡,多业务交换机的三层接口运行,VRRP,。,这种方式的配置量较大。,静态路由,+VRRP,方式:,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,Internet,Vlan12,Vlan12,交换机,1,交换机,2,Vlan100,Vlan100,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,Vlan100,Vlan100,Area 0,核心交换机,1,核心交换机,2,多业务交换机,多业务交换机,L3Switch,L2Switch,L2Switch,L3Switch,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,VRRP,VRRP,VRRP,外部地址,内部地址,最佳,实践,1HA,机制,FW,和,LB,:,通过路由或者,VRRP,进行故障倒换;,IPS,:,建议采用,OAA,方式,保证在单板故障时业务不中断;,交换机:,通过路由或者,VRRP,进行故障倒换,;,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,最佳实践,1,链路故障切换,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,链路故障切换仅涉及到,LB,公网口流量横穿另外一交换机,板卡间流量走向不变。,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,最佳实践,1,板卡故障,1,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,LB-1,故障后,流量切换到,LB-2,,单下行流量同样切换到,IPS-2,。,存在的问题:,上下行流量经过的,IPS,不一致,影响攻击检测效果。,解决办法:,在交换机互联口上做,MQC,,将下行流量重定向到,IPS-1,。,最佳实践,1,板卡故障,2,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,IPS,故障后,流量直接通过,不进行检测。,最佳实践,1,板卡故障,3,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,FW-1,故障后,流量切换到,FW-2,,同时上行流量也切换到,IPS-2,;导致来回流量经过的,IPS,不一样。,解决办法:在交换机内联口做,MQC,将流量重定向到,IPS-1.,最佳实践,1,整机故障,交换机,1,整机故障,流量全部切换到交换机,2。,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,L3Switch,Vlan100,L2Switch,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,Vlan12,Vlan13,最佳实践,1 ,小结,本方案适用于,internet,出口场景,流量走向清晰;,IPS/ACG,插卡采用,OAA,引流,较为简便,但是在插卡故障时流量切换存在小遗憾。,最佳,实践,2,(,IRF,),板卡类型,负载均衡板卡,防火墙板卡,IPS,板卡,部署方式,在线部署,在线部署,在线部署,引流方式,路由,路由,重定向,1,工作模式,三层路由模式,三层路由模式,二层透明模式,备份模式,主备模式,主备模式,主备模式,2,场景描述:,互联网出口进行安全防护,部署了链路负载均衡,,IPS,和防火墙;,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,Vlan100,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,在多个运营商线路之间进行链路负载均衡,在出方向进行源地址,NAT,转换,在入方向进行目的地址转换;,实现,24,层安全防护和安全区域隔离。,实现,47,层的安全防护,交换机采用,IRF,方式组网,两台交换机虚拟为一台交换机,简化了网络部署和故障切换机制。,1,:在,IRF,模式下,,IPS,引流只能用,MQC,方式。,2,:,IPS,模块在板卡故障时,切换到备份的,IPS,单板,目前只有,S95E,可以实现;,最佳,实践,2,流量路径(,IRF,),电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,核心交换机,1,交换机,2,核心交换机,2,Vlan100,Vlan100,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,在正常情况下,上下行流量按照预先设定好的流量路径依次进行转发,与一台交换机插多块板卡的转发流程一致。,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,核心交换机,1,交换机,2,核心交换机,2,Vlan100,Vlan100,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,最佳,实践,2HA,机制(,IRF,),HA,方式说明:,LB,板卡和防火墙板卡之间的,HA,与非,IRF,方式类似,采用动态路由方式或者,VRRP,方式;,IPS,板卡在,IRF,方式下的,HA,机制与非,IRF,方式不同,一块,IPS,单板故障时,将通过重定向策略重定向到另外一块,IPS,单板进行处理,实现方式优于非,IRF,方式下直通的方案;,多业务交换机与核心交换机,1,和核心交换机,2,:可以通过链路捆绑的方式实现,HA,,方案优于非,IRF,方式;,电信,网通,FW-1,LB-1,LB-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,IPS-1,IPS-2,Vlan11/15,Vlan11/15,多业务交换机,Internet,Vlan12,Vlan12,交换机,1,多业务交换机,核心交换机,1,交换机,2,核心交换机,2,Vlan100,Vlan100,L2Switch,三层流量接口,FW-2,Vlan13,Vlan12,Vlan13,L3Switch,Vlan100,Vlan100,Vlan100,Vlan12,Vlan13,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,互联网出口,S75E/S95E,交换机插,LB+IPS+FW,最佳,实践,服务器,接入,S75E/S95E,交换机插,IPS+LB+FW,最佳实践,板卡顺序:,IPS+LB+FW,(非,IRF,组网),板卡顺序:,IPS+LB+FW,(,IRF,组网),S5800,交换机插,FW/IPS,单框多插卡分担部署,最佳,实践,3,(非,IRF,),板卡类型,负载均衡板卡,防火墙板卡,IPS,板卡,部署方式,旁挂部署,在线部署,在线部署,引流方式,路由,路由方式,重定向,1,工作模式,三层路由模式,三层路由模式,二层透明模式,备份模式,主备模式,主备模式,独立模式,2,场景描述:,对接入网络的服务器进行安全防护,部署服务器负载均衡,防火墙和,IPS,;,服务器,:,双上行到接入交换机,网关在防火墙上;,FW-1,FW-2,IPS-1,IPS-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,Vlan12,Vlan13,Vlan13,LB-1,LB-2,Vlan11/15,Vlan11/15,汇聚交换机,1,Vlan12,Vlan12,核心交换机,1,汇聚交换机,2,核心交换机,2,L3Switch,L3Switch,Vlan100,服务器,服务器,接入交换机,1,接入交换机,2,Vlan100,L2Switch,L2Switch,Vlan100,Vlan100,三层流量接口,实现服务器负载均衡,下行流量经过,LB,时进行目的地址,NAT,转换;上行流量经过,LB,时进行源地址,NAT,转换。,实现,24,层安全防护和服务器之间的安全访问控制。,实现,47,层的安全,防护,1,:有,OAA,和,MQC,两种端口重定向,方式;,2,:,IPS,模块在板卡故障时,直接透传;整机故障时,随整机进行切换;,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,互联网出口,S75E/S95E,交换机插,LB+FW+IPS,最佳实践,服务器,接入,S75E/S95E,交换机插,IPS+LB+FW,最佳实践,板卡顺序:,IPS+LB+FW,(非,IRF,组网),板卡顺序:,IPS+LB+FW,(,IRF,组网),S5800,交换机插,FW/IPS,单框多插卡分担部署,最佳,实践,4,(,IRF,),板卡类型,负载均衡板卡,防火墙板卡,IPS,板卡,部署方式,旁挂部署,在线部署,在线部署,引流方式,路由,路由,重定向,1,工作模式,三层路由模式,三层路由模式,二层透明模式,备份模式,主备模式,主备模式,主备模式,2,场景描述:,对接入网络的服务器进行安全防护,部署了服务器负载均衡,防火墙和,IPS,;,服务器,:,双上行到接入交换机,网关在防火墙上;,FW-1,FW-2,IPS-1,IPS-2,Vlan11,Vlan15,Vlan12,Vlan13,Vlan13,Vlan12,Vlan13,Vlan13,LB-1,LB-2,Vlan11/15,Vlan11/15,Vlan12,Vlan12,核心交换机,1,核心交换机,2,Vlan100,服务器,服务器,接入交换机,1,接入交换机,2,Vlan100,三层流量接口,汇聚交换机,2,L3Switch,L2Switch,Vlan100,实现服务器负载均衡,下行流量经过,LB,时进行目的地址,NAT,转换;上行流量经过,LB,时进行源地址,NAT,转换。,实现,24,层安全防护和服务器之间的安全访问控制。,实现,47,层的安全,防护,1,:,IRF,下建议采用,MQC,方式引流,2,:,IPS,模块在板卡故障时,切换到备份单板,目前只有,S95E,可以实现;,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,互联网出口,S75E/S95E,交换机插,LB+FW+IPS,最佳实践,服务器,接入,S75E/S95E,交换机插,IPS+LB+FW,最佳实践,S5800,交换机插,FW/IPS,单框多插卡分担环境,多,FW,插卡分担,多,IPS/ACG,插卡分担,整体设计描述,S12500,S5800,S5800,组网描述:,设计采用,S12500+S5800,的扁平化组网模型,如图所示。,S12500,和,S5800,每,2,台组成,1,个,IRF,堆叠组,,S5800,插,FW,或者,IPS,插卡,方案特点:,扁平化组网,网络结构简单,易于扩展,方式,1,:网关在防火墙,两个防火墙之间运行,VRRP,;,方式,2,:网关在交换机,两个防火墙工作在三层模式,运行,VRRP,,通过策略路由上防火墙;,最佳,实践,5,:,S5800+FW,组网设计,S12500,S5800,S5800,S12500,S5800,S5800,服务器网关,1,服务器网关,2,网关,在交换机,在入接口进行流量重定向,将流定向到,IPS,进行处理,处理完毕后返回交换机进行转发;,IPS,板卡故障时,通过,OAA,机制切换到另外一块,IPS,单板进行处理。,最佳,实践,6,:,S5800+IPS,组网设计,目录,多业务板卡简介,多业务板卡工作原理,多业务板卡部署方式,多业务板卡部署建议,互联网出口,S75E/S95E,交换机插,LB+FW+IPS,最佳实践,服务器,接入,S75E/S95E,交换机插,IPS+LB+FW,最佳实践,S5800,交换机插,FW/IPS,单框多插卡分担环境,多,FW,插卡分担,多,IPS/ACG,插卡分担,最佳实践,7,:公网出口多,FW NAT,负载分担,S7510E/S9512E,三层接口,10GE,聚合链路,内网交换,internet,S75E/95E,和,FW,内网接口之间在一个网段,通过,OSPF,或者静态等价路由方式,将流量分担到不同,FW,插卡上,将,NAT,地址池按照插卡数量分段,各自做,NAT,。接口可在同一,VLAN,。,聚合链路,trunk FW,插卡的外网,VLAN,,运营商设备上静态回指到地址池网段的路由,下一跳指向相应接口地址,1,、一块,FW,的处理性能约为,4Gbps,,请根据实际情况分担流量;,2,、如果需要将指定内网网段重定向到指定的插卡,需要用,MQC,或者,PBR,。,最佳实践,8,:单框多,IPS/ACG,插卡负载分担,H3Cdis acfp rule-info policy,ACFP rule total number: 9,ClientID:1 Policy-Index:1 Rule-Index:1,SIP:32.63.255.0 SMask:0.0.0.255,DIP:0.0.0.0 DMask:255.255.255.255,Action:redirect Status:active OperationStatus:succeeded,ClientID:1 Policy-Index:9 Rule-Index:1,SIP:0.0.0.0 SMask:255.255.255.255,DIP:32.63.255.0 DMask:0.0.0.255,Action:redirect Status:active OperationStatus:succeeded,不同的插卡通过设置不同的内部域(或者外部域),IP,,将流引到不同插卡:,三个关键词:在线、三层、主备,两点注意事项:,备份方式采用动态路由简化配置,IRF,下,IPS/ACG,插卡只能用,MQC,引流,一点经验:尽量参考最佳实践部署,提前引导应用方式,总结,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 大学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!