H3C安全插卡部署.ppt

1 n 概述 n 数据中心基础网络架构 n 数据中心基础网络设计 n 总结 目录 n 结构化、标准化、模块化思路 n intranet server farm设计 n 外联平台设计 n 安全与优化设计 n 容灾网络设计 n 基于irf的虚拟化设计 n 不同规模和类型的数据中心 n 数据中心结构化布线简介 2 数据中心高性能业务集成架构 其它接口 存储子件 高性能系统 其它业务处理 x-core系统 硬盘/cf np/x-core系统 cf 高性能安全与优化模块的工作模式： n主机路由模式 fw、slb、llb、ssl vpn n重定向模式 ips、acg n镜像模式 netstream 3 n防火墙设计 nips设计 nlb设计 nssl vpn设计 n组合设计 数据中心安全与优化设计 4 独立防火墙双机设计 dmz dmz srv web app db 出口单层fw 出口双层 server farm 单层 server farm 多层 srvsrv 5 防火墙双机热备 n 批量备份：先运行的防火墙会将已经存在的会话及 业务表项一次性同步到新加入的设备 n 实时备份：防火墙在产生新表项后会及时备份到另 一台设备 双机热备同步数据信息： 会话、nat、alg、aspf、黑名单、h.323、sip、 ils、rtsp、nbt、sqlnet等 nfw通过vrrp组实现主备或负载分担 根据vrrp组状态进行切换 nfw同侧接口需二层可达 nfw组对上对下部署静态路由 vrrp-1 vrrp-2 ospf n动态路由完成选路切换 n交换、路由设备进行路径选择 nfw所有业务接口使能动态路由 1 2 6 防火墙secblade、secpath部署比较 secblade接入chassis交换机 独立防火墙旁挂chassis交换机 独立防火墙inline 心跳线 心跳线 心跳线 不论采用何种部署方案，网络数据流的逻辑设计是相同的 所有结构本质上都是inline方式，只是外在表现不同。 7 汇聚交换机汇聚交换机 fw_1fw_2 l3l3 l2l2 db_vlan app_vlan web_vlan webappdb 运行mstp 防火墙secpath旁挂：路由模式 1 l2 l2 物理链路 心跳互联 n所有服务器网关在防火墙上 nweb/app/db间访问策略由fw控制 n接入交换机、汇聚层面向服务器侧二层接口运行mstp nfw对服务器运行vrrp，对外可运行动态路由或配vrrp 三层接口 二层接口 核心交换机 8 汇聚交换机汇聚交换机 fw_1fw_2 l3l3 l2l2 db_vlan app_vlan web_vlan webappdb 运行mstp 防火墙secblade：路由模式1 l2 l2 物理链路 心跳互联 n所有服务器网关在防火墙上 nweb/app/db间访问策略由fw控制 n接入交换机、汇聚层面向服务器侧二层接口运行mstp nfw对服务器运行vrrp，对外可运行动态路由 secblade 10g通道 核心交换机 三层接口 二层接口 9 汇聚交换机汇聚交换机 l2l2 l3l3 webappdb 运行mstp 防火墙secpath旁挂：路由模式 2 l2 l2 心跳互联 n所有服务器网关在汇聚交换机上，相应接口运行vrrp nweb/app/db间访问策略由交换机控制，具有较高性能 n接入交换机、汇聚层面向服务器侧二层接口运行mstp nfw可运行动态路由 fw远离服务器侧接口与核心交换机建立路由邻居 fw近服务器侧接口与汇聚交换机建立路由邻居 db_vlan app_vlan web_vlan 物理链路 fw_1fw_2 核心交换机 三层接口 二层接口 10 core switch_1core switch_2fw_1fw_2 l2l2 l3l3 webappdb 运行mstp 防火墙secblade：路由模式2 l2 l2 心跳互联 n所有服务器网关在汇聚交换机上，相应接口运行vrrp nweb/app/db间访问策略由交换机控制，具有较高性能 n接入交换机、汇聚层面向服务器侧二层接口运行mstp nfw可运行动态路由 fw远离服务器侧接口与核心交换机建立路由邻居 fw近服务器侧接口与汇聚交换机建立路由邻居 db_vlan app_vlan web_vlan 物理链路 secblade 10g通道 三层接口 二层接口 11 汇聚交换机汇聚交换机 fw_1fw_2 l3l3 l2l2 webappdb 运行mstp l2 l2 防火墙secblade：透明模式1 l2 l2 n所有服务器网关在汇聚交换机上，相应接口运行vrrp nweb/app/db间访问策略由fw控制 n接入交换机、汇聚层面向服务器侧二层接口运行mstp 核心交换机 db_vlan app_vlan web_vlan 物理链路 secblade 10g通道 三层接口 二层接口 12 汇聚交换机汇聚交换机 fw_2 l2l2 l3l3 webappdb 运行mstp l2 l2 防火墙secblade：透明模式2 l2 l2 n所有服务器网关在汇聚交换机上，相应接口运行vrrp nweb/app/db间访问策略由acl控制 n接入交换机、汇聚层面向服务器侧二层接口运行mstp nfw透明部署 核心交换机 db_vlan app_vlan web_vlan 物理链路 fw工作在路由模式 fw工作在透明模式 fw_1 13 secblade 10g通道 fw工作在路由模式 fw工作在透明模式 fw虚拟化实例 交换机三层路由接口 物理链路 l2 l2 l3 l3 outside vlan inside vlan 虚拟防火墙设计1-实例化 webappdb webappdb 14 n防火墙设计 nips设计 nlb设计 nssl vpn设计 n组合设计 数据中心安全与优化设计 15 ips部署比较 ips插卡接入chassis交换机独立ips旁挂chassis交换机 独立ips在线部署 心跳线 心跳线 心跳线 对于独立ips设备 不论采用何种部署方案，网络数据流的逻辑设计是相同的 所有结构本质上都是inline方式，只是外在表现不同。 交换机对数据进行重定向到ips ips处理“嵌入”在交换机转发中 vlan-1 vlan-2 16 ips插卡的工作机制 nc-s方向流量 在交换机入口进行流量识别 将识别的流量重定向到ips所在交换机端口 ips处理完毕后又从该端口返回 交换机继续正常的二三层转发 ips client server ips client server ingress入口重定向 ingress入口重定向 ns-c方向流量 在交换机入口进行流量识别 将识别的流量重定向到ips所在交换机端口 ips处理完毕后又从该端口返回 交换机继续正常的二三层转发 17 ips与fw的位置关系 server farm n外联出口服务器网络 fw位于ips更靠外的网络 起到一定保护ips作用 fw用于隔离内外网 ips用于更深度防护 n内部服务器网络 fw与ips可根据网络拓扑调整位置关系 fw主要用于服务器安全访问策略 ips用于深度防护关键应用系统 fw fw ips ips 18 n防火墙设计 nips设计 nlb设计 nssl vpn设计 n组合设计 数据中心安全与优化设计 19 我司lb的两种组网设计 nnat方式的负载均衡 lb设备使用nat技术对报文 的源、目的地址进行转换， 使得客户端和真实服务器之 间能通信。 ndr方式负载均衡 lb设备与服务器群在同一vlan， 服务器除了本身的ip地址，还需要配置 vip（虚拟ip，用于接收由lb设备分发 来的服务请求） 20 lb部署比较 lb插卡接入chassis交换机独立ase旁挂chassis交换机 心跳线 lb设计模式类似fw路由模式 可参考fw路由模式设计方法 vlan-1 vlan-2 21 vlan-2 vlan-3 vlan interface vlan-2 vlan-2 vlan-3 vlan-3 vlan-3 vlan-2 l2 l2 lb网络拓扑一 client server farm switch 以太网端口只是 lb的扩展端口 l2 l2 22 lb网络拓扑二 client server farm switch vlan-2 vlan-3 vlan interface vlan-1 vlan-2 l3 vlan-3 l3 vlan-3 vlan-3 vlan-1 l2 l2 23 lb网络拓扑三 client server farm switch vlan-1 vlan-2 vlan interface vlan-1 vlan-2 l3 l2 vlan-3 l2 l3 vlan-3 24 lb网络拓扑四 client server farm 单臂模式单臂模式 switch vlan-2 vlan interface vlan-1 vlan-2 l3 vlan-3 l3 vlan-3 vlan-1 25 lb网络拓扑五 client server farm 非对称访问 vip mac rewrite switch vlan interface vlan-1 vlan-2 l3 l3 vlan-2 vlan-1 26 n防火墙设计 nips设计 nlb设计 nssl vpn设计(略) n组合设计 数据中心安全与优化设计 设计方式与fw/lb近似 27 n防火墙设计 nips设计 nlb设计 nssl vpn设计 n组合设计 数据中心安全与优化设计 28 fw+lb最佳实践配置 部署： 核心交换机(switch9500) 汇聚交换机(switch9500/75e)集成业务板卡 核心、汇聚交换机之间配置ospf协议 fw（防火墙板卡）作为server的网关。fw 配置静态路由，缺省网关指向汇聚交换机。 两个fw之间运行vrrp，保证ha或是负载均 衡 lb（负载均衡板卡） 单臂旁挂，配置静态 路由，缺省网关指向汇聚交换机。两个lb之 间运营vrrp，保证ha或是负载均衡 接入交换机做二层接入 优点： 结构简单 fw保证服务器之间的安全隔离 缺点： lb没有安全保护，容易受到安全冲击 服务器网关 web vlan app vlan db vlan lb单臂+fw路由 29 fw+lb最佳实践流量路径 v1000 v300 v400 v100 v200 v300 v400 v500 fw lb l3接口 c-s方向（紫色流量） 1、数据流从核心交换机经过v1000进入汇聚交换机 2、汇聚交换机根据目的(lb的vip)将数据通过v100转发到 lb 3、lb作为代理终结报文。替换源地址()和目的地 ()之后通过v300返回汇聚交换机，下一跳是汇聚交 换机() 4、汇聚交换机继续进行三层转发到fw 5、fw转发报文到v400的服务器() s-c方向 1、服务器返回流量到fw（网关） 2、fw转发数据到汇聚交换机(v300) 3、汇聚交换机继续进行三层转发 4、lb作为代理终结报文。替换源地址()和目的地( 客户端地址)之后通过v100返回汇聚交换机 5、汇聚交换机三层转发 v500 s-s方向（蓝色流量） 1、数据流从接入、汇聚交换机二层转发(v500)进入fw 2、fw过滤流量并三层转发 3、数据流从fw经过汇聚、接入交换机二层转发(v400)到 达服务器 v200 v100 v1000 30 fw+lb最佳实践ha v1000 v300 v400 fw lb v500 v300 fw lb v500v400 v100 v200 v300 v400 v500 l3接口 vrrp1 vrrp2 trunk 部署： 核心与汇聚交换机之间采用ospf组网。当任一节点整机故 障或链路故障时，整网依靠ospf进行故障收敛。通过调整 ospf的hello timer可以控制流量中断时间。 两个lb之间运行vrrp，保证ha或是负载均衡。汇聚交换 机上将去往服务器的下一跳指向lb的vrrp虚地址，当lb主 路径板卡故障时，通过vrrp可以切换到备卡上恢复流量， 切换时间可控。 两个fw之间运行vrrp，保证ha或是负载均衡。当主路径 板卡故障时，通过vrrp可以切换到备卡上恢复流量。切换 时间也可控。 汇聚交换机之间需要trunk v100/v400/v500 注意事项： 为保证ha，使用了nqa、vrrp与ospf等技术。 这些协议收敛时间均可通过配置来调整。过短的收 敛时间配置会导致网络中的大量协议报文消耗设备 与带宽资源，并且会在流量较大或链路振荡时出现 流量路径反复切换，从而引起整网振荡甚至风暴。 建议此处配置收敛时间尽量考虑周全，根据实际组 网环境多方面权衡。 限制： lb要做源地址转换，使服务器得不到访问客户的 源地址 v1000 v1000 31 vlan interface vlan-3 vlan-3 l2 fw+lb最佳实践配置 l2 vlan-5 vlan-8 vlan-2 l3 fw lb vlan interface vlan-3 vlan-3 l2 l3 vlan-5 vlan-8 vlan-2 l3 lb fw vlan-4 32 fw+ssl vpn最佳实践配置 部署： 汇聚交换机(switch75e)集成业务板卡 汇聚交换机作为server的网关，配置静态路 由，缺省网关指向fw。两个汇聚交换机之间 运行vrrp，保证ha或是负载均衡 ssl vpn（ssl vpn板卡） 在线部署，配 置静态路由，缺省网关指向fw。两个ssl vpn之间运行vrrp，保证ha或是负载均衡 接入交换机做二层接入 服务器网关 web vlan app vlan db vlan ssl vpn在线+fw路由 33 fw+ssl vpn最佳实践流量路径 c-s方向（紫色流量） 1、数据流从核心交换机经过v1000进入汇聚交换机并转发 到fw（防火墙板卡） 2、fw过滤数据后根据目的(ssl vpn的vip)将数据通过 v100转发到ssl vpn 3、ssl vpn作为代理终结报文。替换源地址()和 目的地()之后通过v200返回汇聚交换机，下一跳是 汇聚交换机() 4、汇聚交换机转发报文到v400的服务器() s-c方向 1、服务器返回流量到汇聚交换机（网关） 2、汇聚交换机转发数据到ssl vpn(v200) 3、ssl vpn作为代理终结报文。替换源地址()和 目的地(客户端地址)之后通过v100返回fw 5、fw通过汇聚交换机转发数据 s-s方向（蓝色流量） 1、数据流从接入、汇聚交换机二层转发(v500)进入汇聚 交换机 2、汇聚交换机三层转发 3、数据流经过汇聚、接入交换机二层转发(v400)到达服 务器 v100 v200 v300 v400 v500 l3接口 v1000 v100 fw ssl vpn v200 v300 v400 v1000 v500 34 fw+ssl vpn最佳实践ha 部署： 核心与汇聚交换机之间采用ospf组网。当任一节点整机故障或链路故障时，整网依靠 ospf进行故障收敛。通过调整ospf的hello timer可以控制流量中断时间。 两个ssl vpn之间运行vrrp，保证ha或是负载均衡。汇聚交换机上将去往服务器的下一 跳指向ssl vpn的vrrp虚地址；汇聚交换机将ssl vpn直连网段路由向外发布。当ssl vpn主路径板卡故障时，通过vrrp可以切换到备卡上恢复流量，切换时间可控。 两个fw之间运行vrrp，保证ha或是负载均衡。当主路径板卡故障时，通过vrrp可以切 换到备卡上恢复流量。切换时间也可控。 注意事项： 过短的收敛时间配置会导致 网络中的大量协议报文消耗 设备与带宽资源，并且会在 流量较大或链路振荡时出现 流量路径反复切换，从而引 起整网振荡甚至风暴。建议 此处配置收敛时间尽量考虑 周全，根据实际组网环境多 方面权衡。 v100 v200 v300 v400 v500 l3接口 trunk v1000 fw ips fw ips vrrp v300v100 v200 v200 v100 v1000v1000 v300 v400v400v500v500 35 s75e+fw+ips最佳实践1配置 部署： 核心交换机(switch9500) 汇聚交换机(switch9500/75e)集成业务板卡 核心、汇聚交换机之间配置ospf协议 fw（防火墙板卡）作为server的网关。fw 配置静态路由，缺省网关指向汇聚交换机。 两个fw之间运行vrrp，保证ha或是负载均 衡 ips（入侵防御板卡） 单臂旁挂，策略引流 接入交换机(s55ei)做二层接入 优点： fw保证服务器之间的安全隔离 fw、ips双重安全保护，安全系数高 服务器网关 web vlan app vlan db vlan fw路由 36 s75e+fw+ips最佳实践1流量路径 v300 v400 v300 v400 v500 fw ips l3接口 c-s方向（紫色流量） 1、数据流从核心交换机经过v100进入汇聚交换机，下一 跳是汇聚交换机（） 2、在汇聚交换机入端口根据acl策略将数据重定向到ips （入侵防御板卡） 3、ips过滤数据后通过v100将数据返回汇聚交换机 4、汇聚交换机继续进行三层转发到fw 5、fw转发报文到v400的服务器() s-c方向（红色流量） 1、服务器返回流量到fw（网关） 2、fw转发数据到汇聚交换机(v300) 3、在fw与汇聚交换机的入端口根据acl策略将数据重定 向到ips（入侵防御板卡） 4、 ips过滤数据后通过v300将数据返回汇聚交换机 5、汇聚交换机根据路由三层转发 v500 s-s方向（蓝色流量） 1、数据流从接入、汇聚交换机二层转发(v500)进入fw 2、fw过滤流量并三层转发 3、数据流从fw经过汇聚、接入交换机二层转发(v400)到 达服务器 v100 v100 37 s75e+fw+ips最佳实践1ha v300 v400 fw ips v500 v300 fw ips v500v400 v300 v400 v500 l3接口 vrrp2 trunk 部署： 核心与汇聚交换机之间采用ospf组网。当任一节点整机故 障或链路故障时，整网依靠ospf进行故障收敛。通过调整 ospf的hello timer可以控制流量中断时间。 ips板卡采用oaa方式，当板卡cpu过高等故障时，采用二 层回退方式直接转发流量，当板卡拔出或重启时，oaa会通 知75e流量重定向策略失效，在75e交换机上直接转发。此 两种故障导致流量中断时间均在1s左右。 两个fw之间运行vrrp，保证ha或是负载均衡。当主路径 板卡故障时，通过vrrp可以切换到备卡上恢复流量。切换 时间也可控。 限制： ips产品不能支持双机备份功能，当一块拔出后 只能流量透明转发，无法转移到另外一块板卡进 行业务处理； ips板卡启动攻击策略防护后，在高新建低并发 网络环境中性能下降较为明显； 注意事项： 过短的收敛时间配置会导致 网络中的大量协议报文消耗 设备与带宽资源，并且会在 流量较大或链路振荡时出现 流量路径反复切换，从而引 起整网振荡甚至风暴。建议 此处配置收敛时间尽量考虑 周全，根据实际组网环境多 方面权衡。 v100 v100 v100 38 s75e+fw+ips最佳实践2配置 部署： 汇聚交换机(switch9500/75e)集成业务板卡 核心交换机、fw和汇聚交换机之间配置 ospf协议 ips（入侵防御板卡） 单臂旁挂，策略引流 汇聚交换机是服务器的网关。两个汇聚交换 机之间运行vrrp，保证ha或是负载均衡 接入交换机(s55ei)做二层接入 优点： 结构简单，部署方便 fw、ips双重安全保护，安全系数高 服务器网关 web vlan app vlan db vlan fw路由 39 s75e+fw+ips最佳实践2流量路径 v300 v400 v200 l3接口 s-s方向（蓝色流量） 1、数据流从v300进入汇聚交换机，在入端口根据acl策 略重定向到ips 2、ips过滤流量并转发给汇聚交换机（v300） 3、汇聚交换机三层转发数据流(v400)到达服务器 c-s方向（紫色流量） 1、数据流从核心交换机经过v100进入汇聚交换机， 2、汇聚交换机将