金盾串联配置案例201001A.doc

中新金盾串联配置案例版本号：201001A金盾DDOS串联工作方式和举例说明串联单机部署根据上面的拓扑图，从核心路由器接入光纤线到金盾抗拒绝服务系统进口， 金盾抗拒绝服务系统出口接入到下层核心交换机；由于金盾抗拒绝服务系统以透明网桥模式接入现有网络，所以不需更改用户网络的任何设置。外网进来的流量通过核心路由器到达到金盾抗拒绝服务系统的进口，由金盾抗拒绝服务系统对流量进行深层的检测，预先对入侵活动和攻击性网络流量进行拦截,执行过滤后，将流量由出口转发到下层网络中。串联集群部署单台金盾抗拒绝服务系统在无法处理更大流量的情况下，可使用金盾的集群方案，如上图所示拓扑，核心交换机有四根线与金盾抗拒绝服务系统相连，接入到金盾抗拒绝服务系统的进口，每个出口集中连接到下层的交换机上，与金盾抗拒绝服务系统相连的上下层交换机分别做端口汇聚，实现流量负载均衡，让流量平均分配到每台金盾抗拒绝服务系统来处理，数据回应时所走的路线可能和进来时不一样，为了实现金盾抗拒绝服务系统对此连接信息的共享，及更为高效的处理流量，每台金盾抗拒绝服务系统之间还需要同步信息，通过心跳线接入到单独的一台交换机上，从上图可以看到，这是必须的。关于交换机的端口汇聚，由用户自行设置，支持PAGP,LACP，负载均衡要求使用SRC_DST_IP模式。双机热备接入拓扑如上图所示拓扑，从核心交换机接入两根线到每台金盾抗拒绝服务系统的进口，出口分析接到下层交换机上。交换机做好主备模式设置，金盾抗拒绝服务系统之间使用心跳线同步金盾抗拒绝服务系统信息。在此种工作模式下，金盾抗拒绝服务系统其中一台处理备份模式，另一台处理激活模式，处于激活模式的才会处理流量，当条线路出现故障，金盾抗拒绝服务系统通过心跳线通知自身即将切换到备份模式，而另一台金盾抗拒绝服务系统收到通知后，将自身由备份模式切换到激活模式，处理线路上的流量。至于在线路出现故障后，流量的路由需要交换机来设定。双机热备模式金盾抗拒绝服务系统配置说明如上图所示：进入 系统配置，集群参数 ，可以看到激活模式和备份模式，当金盾抗拒绝服务系统接入好网络后，设置其中一台为激活模式，另一台为备份模式，这样当主线路激活模式产品出现故障，数据自动切换到备份线路。举例说明交换机与金盾抗拒绝服务系统的集群实现命令配置上图金盾抗拒绝服务系统有四台，分别为1号，2号，3号，4号。交换机聚合配置(注：此为上层交换机配置，下层交换机做类似设置，不同厂商不同型号的交换机聚合命令不同，请详细查看交换机说明书等。)Switch(config)# interface GigaEthernet0/1配置接口GigaEthernet0/1Switch(config-if)# switchport mode trunk设置为二层trunk模式Switch(config-if)# channel-group 1 mode on加入聚合组1聚合模式为手动模式Switch(config-if)# no shutdown开启接口Switch(config)# Switch(config)# interface GigaEthernet0/2配置接口GigaEthernet0/1Switch(config-if)# switchport mode trunk设置为二层trunk模式Switch(config-if)# channel-group 1 mode on加入聚合组1聚合模式为手动模式Switch(config-if)# no shutdown开启接口Switch(config)# Switch(config)# interface GigaEthernet0/3配置接口GigaEthernet0/1Switch(config-if)# switchport mode trunk设置为二层trunk模式Switch(config-if)# channel-group 1 mode on加入聚合组1聚合模式为手动模式Switch(config-if)# no shutdown开启接口Switch(config)# Switch(config)# interface GigaEthernet0/4配置接口GigaEthernet0/1Switch(config-if)# switchport mode trunk设置为二层trunk模式Switch(config-if)# channel-group 1 mode on加入聚合组1聚合模式为手动模式Switch(config-if)# no shutdown开启接口Switch(config)#金盾抗拒绝服务系统集群配置如上图所示，需要在金盾抗