概述數(shù)據(jù)中心根底網(wǎng)絡(luò)架構(gòu)數(shù)據(jù)中心根底網(wǎng)絡(luò)設(shè)計(jì)總結(jié)目錄結(jié)構(gòu)化、標(biāo)準(zhǔn)化、模塊化思路Intranetserverfarm設(shè)計(jì)外聯(lián)平臺(tái)設(shè)計(jì)平安與優(yōu)化設(shè)計(jì)容災(zāi)網(wǎng)絡(luò)設(shè)計(jì)基于IRF的虛擬化設(shè)計(jì)不同規(guī)模和類型的數(shù)據(jù)中心數(shù)據(jù)中心結(jié)構(gòu)化布線簡(jiǎn)介數(shù)據(jù)中心高性能業(yè)務(wù)集成架構(gòu)其它接口存儲(chǔ)子件高性能系統(tǒng)其它業(yè)務(wù)處理X-core系統(tǒng)硬盤/CFNP/X-core系統(tǒng)CF高性能平安與優(yōu)化模塊的工作模式：主機(jī)路由模式FW、SLB、LLB、SSLVPN重定向模式IPS、ACG鏡像模式NetStream防火墻設(shè)計(jì)IPS設(shè)計(jì)LB設(shè)計(jì)SSLVPN設(shè)計(jì)組合設(shè)計(jì)數(shù)據(jù)中心平安與優(yōu)化設(shè)計(jì)獨(dú)立防火墻雙機(jī)設(shè)計(jì)DMZDMZSRVWEBAPPDB出口單層FW出口雙層Serverfarm單層Serverfarm多層SRVSRV防火墻雙機(jī)熱備批量備份：先運(yùn)行的防火墻會(huì)將已經(jīng)存在的會(huì)話及業(yè)務(wù)表項(xiàng)一次性同步到新參加的設(shè)備實(shí)時(shí)備份：防火墻在產(chǎn)生新表項(xiàng)后會(huì)及時(shí)備份到另一臺(tái)設(shè)備雙機(jī)熱備同步數(shù)據(jù)信息：會(huì)話、NAT、ALG、ASPF、黑名單、H.323、SIP、ILS、RTSP、NBT、SQLNET等FW通過VRRP組實(shí)現(xiàn)主備或負(fù)載分擔(dān)根據(jù)VRRP組狀態(tài)進(jìn)行切換FW同側(cè)接口需二層可達(dá)FW組對(duì)上對(duì)下部署靜態(tài)路由VRRP-1VRRP-2OSPF動(dòng)態(tài)路由完成選路切換交換、路由設(shè)備進(jìn)行路徑選擇FW所有業(yè)務(wù)接口使能動(dòng)態(tài)路由12防火墻SecBlade、SecPath部署比較Secblade接入chassis交換機(jī)獨(dú)立防火墻旁掛chassis交換機(jī)獨(dú)立防火墻inline心跳線心跳線心跳線不管采用何種部署方案，網(wǎng)絡(luò)數(shù)據(jù)流的邏輯設(shè)計(jì)是相同的所有結(jié)構(gòu)本質(zhì)上都是inline方式，只是外在表現(xiàn)不同。會(huì)聚交換機(jī)會(huì)聚交換機(jī)FW_1FW_2L3L3L2L2DB_VLANAPP_VLANWEB_VLANWEBAPPDB運(yùn)行MSTP防火墻SecPath旁掛：路由模式1L2L2物理鏈路心跳互聯(lián)所有效勞器網(wǎng)關(guān)在防火墻上WEB/APP/DB間訪問策略由FW控制接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTPFW對(duì)效勞器運(yùn)行VRRP，對(duì)外可運(yùn)行動(dòng)態(tài)路由或配VRRP三層接口二層接口核心交換機(jī)會(huì)聚交換機(jī)會(huì)聚交換機(jī)FW_1FW_2L3L3L2L2DB_VLANAPP_VLANWEB_VLANWEBAPPDB運(yùn)行MSTP防火墻SecBlade：路由模式1L2L2物理鏈路心跳互聯(lián)所有效勞器網(wǎng)關(guān)在防火墻上WEB/APP/DB間訪問策略由FW控制接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTPFW對(duì)效勞器運(yùn)行VRRP，對(duì)外可運(yùn)行動(dòng)態(tài)路由SecBlade10G通道核心交換機(jī)三層接口二層接口會(huì)聚交換機(jī)會(huì)聚交換機(jī)L2L2L3L3WEBAPPDB運(yùn)行MSTP防火墻SecPath旁掛：路由模式2L2L2心跳互聯(lián)所有效勞器網(wǎng)關(guān)在會(huì)聚交換機(jī)上，相應(yīng)接口運(yùn)行VRRPWEB/APP/DB間訪問策略由交換機(jī)控制，具有較高性能接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTPFW可運(yùn)行動(dòng)態(tài)路由FW遠(yuǎn)離效勞器側(cè)接口與核心交換機(jī)建立路由鄰居FW近效勞器側(cè)接口與會(huì)聚交換機(jī)建立路由鄰居DB_VLANAPP_VLANWEB_VLAN物理鏈路FW_1FW_2核心交換機(jī)三層接口二層接口CoreSwitch_1CoreSwitch_2FW_1FW_2L2L2L3L3WEBAPPDB運(yùn)行MSTP防火墻SecBlade：路由模式2L2L2心跳互聯(lián)所有效勞器網(wǎng)關(guān)在會(huì)聚交換機(jī)上，相應(yīng)接口運(yùn)行VRRPWEB/APP/DB間訪問策略由交換機(jī)控制，具有較高性能接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTPFW可運(yùn)行動(dòng)態(tài)路由FW遠(yuǎn)離效勞器側(cè)接口與核心交換機(jī)建立路由鄰居FW近效勞器側(cè)接口與會(huì)聚交換機(jī)建立路由鄰居DB_VLANAPP_VLANWEB_VLAN物理鏈路SecBlade10G通道三層接口二層接口會(huì)聚交換機(jī)會(huì)聚交換機(jī)FW_1FW_2L3L3L2L2WEBAPPDB運(yùn)行MSTPL2L2防火墻SecBlade：透明模式1L2L2所有效勞器網(wǎng)關(guān)在會(huì)聚交換機(jī)上，相應(yīng)接口運(yùn)行VRRPWEB/APP/DB間訪問策略由FW控制接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTP核心交換機(jī)DB_VLANAPP_VLANWEB_VLAN物理鏈路SecBlade10G通道三層接口二層接口會(huì)聚交換機(jī)會(huì)聚交換機(jī)FW_2L2L2L3L3WEBAPPDB運(yùn)行MSTPL2L2防火墻SecBlade：透明模式2L2L2所有效勞器網(wǎng)關(guān)在會(huì)聚交換機(jī)上，相應(yīng)接口運(yùn)行VRRPWEB/APP/DB間訪問策略由ACL控制接入交換機(jī)、會(huì)聚層面向效勞器側(cè)二層接口運(yùn)行MSTPFW透明部署核心交換機(jī)DB_VLANAPP_VLANWEB_VLAN物理鏈路FW工作在路由模式FW工作在透明模式FW_1SecBlade10G通道FW工作在路由模式FW工作在透明模式FW虛擬化實(shí)例交換機(jī)三層路由接口物理鏈路L2L2L3L3OutsideVLANInsideVLAN虛擬防火墻設(shè)計(jì)1-實(shí)例化WEBAPPDBWEBAPPDB防火墻設(shè)計(jì)IPS設(shè)計(jì)LB設(shè)計(jì)SSLVPN設(shè)計(jì)組合設(shè)計(jì)數(shù)據(jù)中心平安與優(yōu)化設(shè)計(jì)IPS部署比較IPS插卡接入chassis交換機(jī)獨(dú)立IPS旁掛chassis交換機(jī)獨(dú)立IPS在線部署心跳線心跳線心跳線對(duì)于獨(dú)立IPS設(shè)備不管采用何種部署方案，網(wǎng)絡(luò)數(shù)據(jù)流的邏輯設(shè)計(jì)是相同的所有結(jié)構(gòu)本質(zhì)上都是inline方式，只是外在表現(xiàn)不同。交換機(jī)對(duì)數(shù)據(jù)進(jìn)行重定向到IPSIPS處理“嵌入〞在交換機(jī)轉(zhuǎn)發(fā)中VLAN-1VLAN-2IPS插卡的工作機(jī)制C->S方向流量在交換機(jī)入口進(jìn)行流量識(shí)別將識(shí)別的流量重定向到IPS所在交換機(jī)端口IPS處理完畢后又從該端口返回交換機(jī)繼續(xù)正常的二三層轉(zhuǎn)發(fā)IPSClientServerIPSClientServerIngress入口重定向Ingress入口重定向S->C方向流量在交換機(jī)入口進(jìn)行流量識(shí)別將識(shí)別的流量重定向到IPS所在交換機(jī)端口IPS處理完畢后又從該端口返回交換機(jī)繼續(xù)正常的二三層轉(zhuǎn)發(fā)IPS與FW的位置關(guān)系Serverfarm外聯(lián)出口效勞器網(wǎng)絡(luò)FW位于IPS更靠外的網(wǎng)絡(luò)起到一定保護(hù)IPS作用FW用于隔離內(nèi)外網(wǎng)IPS用于更深度防護(hù)內(nèi)部效勞器網(wǎng)絡(luò)FW與IPS可根據(jù)網(wǎng)絡(luò)拓?fù)湔{(diào)整位置關(guān)系FW主要用于效勞器平安訪問策略IPS用于深度防護(hù)關(guān)鍵應(yīng)用系統(tǒng)FWFWIPSIPS防火墻設(shè)計(jì)IPS設(shè)計(jì)LB設(shè)計(jì)SSLVPN設(shè)計(jì)組合設(shè)計(jì)數(shù)據(jù)中心平安與優(yōu)化設(shè)計(jì)我司LB的兩種組網(wǎng)設(shè)計(jì)NAT方式的負(fù)載均衡LB設(shè)備使用NAT技術(shù)對(duì)報(bào)文的源、目的地址進(jìn)行轉(zhuǎn)換，使得客戶端和真實(shí)效勞器之間能通信。DR方式負(fù)載均衡LB設(shè)備與效勞器群在同一VLAN，效勞器除了本身的IP地址，還需要配置VIP〔虛擬IP，用于接收由LB設(shè)備分發(fā)來的效勞請(qǐng)求〕LB部署比較LB插卡接入chassis交換機(jī)獨(dú)立ASE旁掛chassis交換機(jī)心跳線LB設(shè)計(jì)模式類似FW路由模式可參考FW路由模式設(shè)計(jì)方法VLAN-1VLAN-2VLAN-2VLAN-3VLANinterfaceVLAN--2VLAN-2VLAN-3VLAN-3VLAN-3VLAN-2L2L2LB網(wǎng)絡(luò)拓?fù)湟籆lientServerFarmSWITCH以太網(wǎng)端口只是LB的擴(kuò)展端口L2L2LB網(wǎng)絡(luò)拓?fù)涠﨏lientServerFarmSWITCHVLAN-2VLAN-3VLANinterfaceVLAN-1VLAN-2L3VLAN-3L3VLAN-3VLAN-3VLAN-1L2L2LB網(wǎng)絡(luò)拓?fù)淙鼵lientServerFarmSWITCHVLAN-1VLAN-2VLANinterfaceVLAN-1VLAN-2L3L2VLAN-3L2L3VLAN-3LB網(wǎng)絡(luò)拓?fù)渌腃lientServerFarm單臂模式SWITCHVLAN-2VLANinterfaceVLAN-1VLAN-2L3VLAN-3L3VLAN-3VLAN-1LB網(wǎng)絡(luò)拓?fù)湮錍lientServerFarm非對(duì)稱訪問VIPMACrewriteSWITCHVLANinterfaceVLAN-1VLAN-2L3L3VLAN-2VLAN-1防火墻設(shè)計(jì)IPS設(shè)計(jì)LB設(shè)計(jì)SSLVPN設(shè)計(jì)(略)組合設(shè)計(jì)數(shù)據(jù)中心平安與優(yōu)化設(shè)計(jì)設(shè)計(jì)方式與FW/LB近似防火墻設(shè)計(jì)IPS設(shè)計(jì)LB設(shè)計(jì)SSLVPN設(shè)計(jì)組合設(shè)計(jì)數(shù)據(jù)中心平安與優(yōu)化設(shè)計(jì)FW+LB最正確實(shí)踐—配置部署：核心交換機(jī)(Switch9500)會(huì)聚交換機(jī)(Switch9500/75E)集成業(yè)務(wù)板卡核心、會(huì)聚交換機(jī)之間配置OSPF協(xié)議FW〔防火墻板卡〕作為Server的網(wǎng)關(guān)。FW配置靜態(tài)路由，缺省網(wǎng)關(guān)指向會(huì)聚交換機(jī)。兩個(gè)FW之間運(yùn)行VRRP，保證HA或是負(fù)載均衡LB〔負(fù)載均衡板卡〕單臂旁掛，配置靜態(tài)路由，缺省網(wǎng)關(guān)指向會(huì)聚交換機(jī)。兩個(gè)LB之間運(yùn)營VRRP，保證HA或是負(fù)載均衡接入交換機(jī)做二層接入優(yōu)點(diǎn)：結(jié)構(gòu)簡(jiǎn)單FW保證效勞器之間的平安隔離缺點(diǎn)：LB沒有平安保護(hù)，容易受到平安沖擊效勞器網(wǎng)關(guān)WEBVLANAPPVLANDBVLANLB單臂+FW路由FW+LB最正確實(shí)踐—流量路徑V1000V300V400V100V200V300V400V500FWLBL3接口C->S方向〔紫色流量〕1、數(shù)據(jù)流從核心交換機(jī)經(jīng)過V1000進(jìn)入會(huì)聚交換機(jī)2、會(huì)聚交換機(jī)根據(jù)目的(LB的VIP)將數(shù)據(jù)通過V100轉(zhuǎn)發(fā)到LB3、LB作為代理終結(jié)報(bào)文。替換源地址(2.2.2.1)和目的地(4.4.4.2)之后通過V300返回會(huì)聚交換機(jī)，下一跳是會(huì)聚交換機(jī)(2.2.2.2)4、會(huì)聚交換機(jī)繼續(xù)進(jìn)行三層轉(zhuǎn)發(fā)到FW5、FW轉(zhuǎn)發(fā)報(bào)文到V400的效勞器(4.4.4.2)S->C方向1、效勞器返回流量到FW〔網(wǎng)關(guān)〕2、FW轉(zhuǎn)發(fā)數(shù)據(jù)到會(huì)聚交換機(jī)(V300)3、會(huì)聚交換機(jī)繼續(xù)進(jìn)行三層轉(zhuǎn)發(fā)4、LB作為代理終結(jié)報(bào)文。替換源地址(1.1.1.2)和目的地(客戶端地址)之后通過V100返回會(huì)聚交換機(jī)5、會(huì)聚交換機(jī)三層轉(zhuǎn)發(fā)V500S->S方向〔藍(lán)色流量〕1、數(shù)據(jù)流從接入、會(huì)聚交換機(jī)二層轉(zhuǎn)發(fā)(V500)進(jìn)入FW2、FW過濾流量并三層轉(zhuǎn)發(fā)3、數(shù)據(jù)流從FW經(jīng)過會(huì)聚、接入交換機(jī)二層轉(zhuǎn)發(fā)(V400)到達(dá)效勞器V200V100V1000FW+LB最正確實(shí)踐—HAV1000V300V400FWLBV500V300FWLBV500V400V100V200V300V400V500L3接口VRRP1VRRP2Trunk部署：核心與會(huì)聚交換機(jī)之間采用OSPF組網(wǎng)。當(dāng)任一節(jié)點(diǎn)整機(jī)故障或鏈路故障時(shí)，整網(wǎng)依靠OSPF進(jìn)行故障收斂。通過調(diào)整OSPF的hellotimer可以控制流量中斷時(shí)間。兩個(gè)LB之間運(yùn)行VRRP，保證HA或是負(fù)載均衡。會(huì)聚交換機(jī)上將去往效勞器的下一跳指向LB的VRRP虛地址，當(dāng)LB主路徑板卡故障時(shí)，通過VRRP可以切換到備卡上恢復(fù)流量，切換時(shí)間可控。兩個(gè)FW之間運(yùn)行VRRP，保證HA或是負(fù)載均衡。當(dāng)主路徑板卡故障時(shí)，通過VRRP可以切換到備卡上恢復(fù)流量。切換時(shí)間也可控。會(huì)聚交換機(jī)之間需要TrunkV100/V400/V500本卷須知：為保證HA，使用了NQA、VRRP與OSPF等技術(shù)。這些協(xié)議收斂時(shí)間均可通過配置來調(diào)整。過短的收斂時(shí)間配置會(huì)導(dǎo)致網(wǎng)絡(luò)中的大量協(xié)議報(bào)文消耗設(shè)備與帶寬資源，并且會(huì)在流量較大或鏈路振蕩時(shí)出現(xiàn)流量路徑反復(fù)切換，從而引起整網(wǎng)振蕩甚至風(fēng)暴。建議此處配置收斂時(shí)間盡量考慮周全，根據(jù)實(shí)際組網(wǎng)環(huán)境多方面權(quán)衡。限制：LB要做源地址轉(zhuǎn)換，使效勞器得不到訪問客戶的源地址V1000V1000VLANinterfaceVLAN-3VLAN-3L2FW+LB最正確實(shí)踐—配置L2VLAN-5VLAN-8VLAN-2L3FWLBVLANinterfaceVLAN-3VLAN-3L2L3VLAN-5VLAN-8VLAN-2L3LBFWVLAN-4FW+SSLVPN最正確實(shí)踐—配置部署：會(huì)聚交換機(jī)(Switch75E)集成業(yè)務(wù)板卡會(huì)聚交換機(jī)作為Server的網(wǎng)關(guān)，配置靜態(tài)路由，缺省網(wǎng)關(guān)指向FW。兩個(gè)會(huì)聚交換機(jī)之間運(yùn)行VRRP，保證HA或是負(fù)載均衡SSLVPN〔SSLVPN板卡〕在線部署，配置靜態(tài)路由，缺省網(wǎng)關(guān)指向FW。兩個(gè)SSLVPN之間運(yùn)行VRRP，保證HA或是負(fù)載均衡接入交換機(jī)做二層接入效勞器網(wǎng)關(guān)WEBVLANAPPVLANDBVLANSSLVPN在線+FW路由FW+SSLVPN最正確實(shí)踐—流量路徑C->S方向〔紫色流量〕1、數(shù)據(jù)流從核心交換機(jī)經(jīng)過V1000進(jìn)入會(huì)聚交換機(jī)并轉(zhuǎn)發(fā)到FW〔防火墻板卡〕2、FW過濾數(shù)據(jù)后根據(jù)目的(SSLVPN的VIP)將數(shù)據(jù)通過V100轉(zhuǎn)發(fā)到SSLVPN3、SSLVPN作為代理終結(jié)報(bào)文。替換源地址(2.2.2.1)和目的地(4.4.4.2)之后通過V200返回會(huì)聚交換機(jī)，下一跳是會(huì)聚交換機(jī)(2.2.2.2)4、會(huì)聚交換機(jī)轉(zhuǎn)發(fā)報(bào)文到V400的效勞器(4.4.4.2)S->C方向1、效勞器返回流量到會(huì)聚交換機(jī)〔網(wǎng)關(guān)〕2、會(huì)聚交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)到SSLVPN(V200)3、SSLVPN作為代理終結(jié)報(bào)文。替換源地址(1.1.1.2)和目的地(客戶端地址)之后通過V100返回FW5、FW通過會(huì)聚交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)S->S方向〔藍(lán)色流量〕1、數(shù)據(jù)流從接入、會(huì)聚交換機(jī)二層轉(zhuǎn)發(fā)(V500)進(jìn)入會(huì)聚交換機(jī)2、會(huì)聚交換機(jī)三層轉(zhuǎn)發(fā)3、數(shù)據(jù)流經(jīng)過會(huì)聚、接入交換機(jī)二層轉(zhuǎn)發(fā)(V400)到達(dá)效勞器V100V200V300V400V500L3接口V1000V100FWSSLVPNV200V300V400V1000V500FW+SSLVPN最正確實(shí)踐—HA部署：核心與會(huì)聚交換機(jī)之間采用OSPF組網(wǎng)。當(dāng)任一節(jié)點(diǎn)整機(jī)故障或鏈路故障時(shí)，整網(wǎng)依靠OSPF進(jìn)行故障收斂。通過調(diào)整OSPF的hellotimer可以控制流量中斷時(shí)間。兩個(gè)SSLVPN之間運(yùn)行VRRP，保證HA或是負(fù)載均衡。會(huì)聚交換機(jī)上將去往效勞器的下一跳指向SSLVPN的VRRP虛地址；會(huì)聚交換機(jī)將SSLVPN直連網(wǎng)段路由向外發(fā)布。當(dāng)SSLVPN主路徑板卡故障時(shí)，通過VRRP可以切換到備卡上恢復(fù)流量，切換時(shí)間可控。兩個(gè)FW之間運(yùn)行VRRP，保證HA或是負(fù)載均衡。當(dāng)主路徑板卡故障時(shí)，通過VRRP可以切換到備卡上恢復(fù)流量。切換時(shí)間也可控。本卷須知：過短的收斂時(shí)間配置會(huì)導(dǎo)致網(wǎng)絡(luò)中的大量協(xié)議報(bào)文消耗設(shè)備與帶寬資源，并且會(huì)在流量較大或鏈路振蕩時(shí)出現(xiàn)流量路徑反復(fù)切換，從而引起整網(wǎng)振蕩甚至風(fēng)暴。建議此處配置收斂時(shí)間盡量考慮周全，根據(jù)實(shí)際組網(wǎng)環(huán)境多方面權(quán)衡。V100V200V300V400V500L3接口TrunkV1000FWIPSFWIPSVRRPV300V100V200V200V100V1000V1000V300V400V400V500V500S75E+FW+IPS最正確實(shí)踐1—配置部署：核心交換機(jī)(Switch9500)會(huì)聚交換機(jī)(Switch9500/75E)集成業(yè)務(wù)板卡核心、會(huì)聚交換機(jī)之間配置OSPF協(xié)議FW〔防火墻板卡〕作為Server的網(wǎng)關(guān)。FW配置靜態(tài)路由，缺省網(wǎng)關(guān)指向會(huì)聚交換機(jī)。兩個(gè)FW之間運(yùn)行VRRP，保證HA或是負(fù)載均衡IPS〔入侵防御板卡〕單臂旁掛，策略引流接入交換機(jī)(S55EI)做二層接入優(yōu)點(diǎn)：FW保證效勞器之間的平安隔離FW、IPS雙重平安保護(hù)，平安系數(shù)高效勞器網(wǎng)關(guān)WEBVLANAPPVLANDBVLANFW路由S75E+FW+IPS最正確實(shí)踐1—流量路徑V300V400V300V400V500FWIPSL3接口C->S方向〔紫色流量〕1、數(shù)據(jù)流從核心交換機(jī)經(jīng)過V100進(jìn)入會(huì)聚交換機(jī)，下一跳是會(huì)聚交換機(jī)〔〕2、在會(huì)聚交換機(jī)入端口根據(jù)ACL策略將數(shù)據(jù)重定向到IPS〔入侵防御板卡〕3、IPS過濾數(shù)據(jù)后通過V100將數(shù)據(jù)返回會(huì)聚交換機(jī)4、會(huì)聚交換機(jī)繼續(xù)進(jìn)行三層轉(zhuǎn)發(fā)到FW5、FW轉(zhuǎn)發(fā)報(bào)文到V400的效勞器(4.4.4.2)S->C方向〔紅色流量〕1、效勞器返回流量到FW〔網(wǎng)關(guān)〕2、FW轉(zhuǎn)發(fā)數(shù)據(jù)到會(huì)聚交換機(jī)(V300)3、在FW與會(huì)聚交換機(jī)的入端口根據(jù)ACL策略將數(shù)據(jù)重定向到IPS〔入侵防御板卡〕4、IPS過濾數(shù)據(jù)后通過V300將數(shù)據(jù)返回會(huì)聚交換機(jī)5、會(huì)聚交換機(jī)根據(jù)路由三層轉(zhuǎn)發(fā)V500S->S方向〔藍(lán)色流量〕1、數(shù)據(jù)流從接入、會(huì)聚交換機(jī)二層轉(zhuǎn)發(fā)(V500)進(jìn)入FW2、FW過濾流量并三層轉(zhuǎn)發(fā)3、數(shù)據(jù)流從FW經(jīng)過會(huì)聚、接入交換機(jī)二層轉(zhuǎn)發(fā)(V400)到達(dá)效勞器V100V100S75E+FW+IPS最正確實(shí)踐1—HAV300V400FWIPSV500V300FWIPSV500V400V300V400V500L3接口VRRP2Trunk部署：核心與會(huì)聚交換機(jī)之間采用OSPF組網(wǎng)。當(dāng)任一節(jié)點(diǎn)整機(jī)故障或鏈路故障時(shí)，整網(wǎng)依靠OSPF進(jìn)行故障收斂。通過調(diào)整OSPF的hellotimer可以控制流量中斷時(shí)間。IPS板卡采用OAA方式，當(dāng)板卡CPU過高等故障時(shí)，采用二層回退方式直接轉(zhuǎn)發(fā)流量，當(dāng)板卡拔出或重啟時(shí)，OAA會(huì)通知75E流量重定向策略失效，在75E交換機(jī)上直接轉(zhuǎn)發(fā)。此兩種故障導(dǎo)致流量中斷時(shí)間均在1s左右。兩個(gè)FW之間運(yùn)行VRRP，保證HA或是負(fù)載均衡。當(dāng)主路徑板卡故障時(shí)，通過VRRP可以切換到備卡上恢復(fù)流量。切換時(shí)間也可控。限制：IPS產(chǎn)品不能支持雙機(jī)備份功能，當(dāng)一塊拔出后只能流量透明轉(zhuǎn)發(fā)，無法轉(zhuǎn)移到另外一塊板卡進(jìn)行業(yè)務(wù)處理；IPS板卡啟動(dòng)攻擊策略防護(hù)后，在高新建低并發(fā)網(wǎng)絡(luò)環(huán)境中性能下降較為明顯；本卷須知：過短的收斂時(shí)間配置會(huì)導(dǎo)致網(wǎng)絡(luò)中的大量協(xié)議報(bào)文消耗設(shè)備與帶寬資源，并且會(huì)在流量較大或鏈路振蕩時(shí)出現(xiàn)流量路徑反復(fù)切換，從而引起整網(wǎng)振蕩甚至風(fēng)暴。建議此處配置收斂時(shí)間盡量考慮周全，根據(jù)實(shí)際組網(wǎng)環(huán)境多方面權(quán)衡。V100V100V100S75E+FW+IPS最正確實(shí)踐2—配置部署：會(huì)聚交換機(jī)(Switch9500/75E)集成業(yè)務(wù)板卡核心交換機(jī)、FW和會(huì)聚交換機(jī)之間配置OSPF協(xié)議IPS〔入侵防御板卡〕單臂旁掛，策略引流會(huì)聚交換機(jī)是效勞器的網(wǎng)關(guān)。兩個(gè)會(huì)聚交換機(jī)之間運(yùn)行VRRP，保證HA或是負(fù)載均衡接入交換機(jī)(S55EI)做二層接入優(yōu)點(diǎn)：結(jié)構(gòu)簡(jiǎn)單，部署方便FW、IPS雙重平安保護(hù)，平安系數(shù)高效勞器網(wǎng)關(guān)WEBVLANAPPVLANDBVLANFW路由S75E+FW+IPS最正確實(shí)踐2—流量路徑V300V400V200L3接口S->S方向〔藍(lán)色流量〕1、數(shù)據(jù)流從V300進(jìn)入會(huì)聚交換機(jī)，在入端口根據(jù)ACL策略重定向到IPS2、IPS過濾流量并轉(zhuǎn)發(fā)給會(huì)聚交換機(jī)〔V300〕3、會(huì)聚交換機(jī)三層轉(zhuǎn)發(fā)數(shù)據(jù)流(V400)到達(dá)效勞器C->S方向〔紫色流量〕1、數(shù)據(jù)流從核心交換機(jī)經(jīng)過V100進(jìn)入會(huì)