一、方案设计参考方法

1.1 选定部署模式

在进行SC方案设计时,首要进行的是部署位置的设计。在进行部署位置设计时,需要参考“5.2.3方案限制章节“。通常,如果是旧网改造,则建议引流设备采用透传的方式进行部署,部署方式如图1。如果是新建网络,则可自由选取,图1和图2模式均可。

            图1                                      图2

但是,由于方案与安全设备对接的部分限制,在确定部署位置后,还得结合方案部署模式进行考虑。如前面章节的限制点描述,可知:

1、 当使用图1方式(即SC引流交换机部署在网关与出口直接)进行透传,则安全设备的连接方式需要使用二层透明模式部署;

2、 当使用图2方式(即SC引流交换机充当引流业务的网关),则安全设备的连接方式需要使用三层路由模式部署;

在以上的设计前提下,还得注意,网络中是否存在部分的安全设备只支持二层方式部署,如IDP等。如果存在,在方案的设计上,应优先考虑图1方式部署。

1.2 安全设备互联设计

对于安全设备与交换机互联,建议使用双链路互联方式,一根线用于流量进安全设备,另一根线用于流量出安全设备。根据不同的需求和安全设备部署场景,总结如下:

l  场景一:(基础场景)

image206.png

【连接方式】:单台安全设备,两根二层链路,数据一进一出,安全设备内部为桥模式。

【配置方式】:这台设备可以虚拟成1个服务节点。

l  场景二:(VSU场景实现冗余,安全设备端口配置不支持AP聚合)

image207.png

【连接方式】:单台安全设备,用户希望在交换机出现单台故障时不影响安全设备业务转发,但这台设备不支持链路聚合功能。

【配置方式】:这台设备可以虚拟成2个服务节点(参考基础1),绑定2个服务链,通过服务链组的逻辑进行业务引流,当主链失效时,备链不受影响。

l  场景三:(VSU场景实现冗余,安全设备端口配置支持AP聚合)

image207.png

【连接方式】:单台安全设备,用户希望在交换机出现单台故障时不影响安全设备业务转发,这台设备支持链路聚合功能。

【配置方式】:这台设备可以虚拟成1个服务节点,这个服务节点选用【透明模式】进行部署。通过input AP聚合 outputAP聚合 来实现IPS流量进出的节点,可将AP看做单根链路(即基础1的部署方式)

l  场景四:(两台安全设备实现负载均衡)

image208.png

【连接方式】:两台不同的安全设备,旁挂于交换机两侧,客户希望将这两条设备实现业务负载均衡。

【配置方式】:这两台设备可以虚拟成2个服务节点,绑定2个服务链,通过服务链组将这两个服务链进行关联,实现业务负载均衡。

l  场景五:(两台同厂商设备A/A方式部署)

image209.png

【连接方式】:两台相同厂商的安全设备,旁挂于交换机两侧,且状态为A/A。

【配置方式】:这两台设备可以虚拟成1个服务节点,(参考基础3)配置进行AP部署。

 

当完成部署模式设计后,也即可知晓安全设备与交换机之间互联方式是该采用三层方式互联还是二层方式互联。

如果采用二层方式(即透明模式),则交换机上端口该采用service chain或者no switchport(no ip);安全设备上配置为桥模式(具体依据各个安全设备的配置)。

备注:从目前的方案限制来看,符合场景一(网关在引流交换机上),则使用路由模式部署;符合场景三(网关在引流交换机之下,引流交换机透传部署),则使用透明模式service chain。

如过采用三层方式(即路由模式),则交换机端口采用no switchport(ip)方式;安全设备上也需采用三层方式配置端口IP,并且,安全设备需要设计一条明细路由(用于指向内网网段)指向流量进安全设备那条链路接口,设计一条缺省路由(用于指向外部)指向流量出安全设备那条链路接口。

备注:对于引流交换机,交换机上均不需要配置任何的路由指向安全设备。

1.3 业务流量引流设计

根据用户网络的实际需求,确定哪些流量需要被引流至安全设备进行过滤清洗,以及清晰的流程。然后根据流量引流需求设计引流方式,如下:

例1:业务1访问业务2的流量,需要经过防火墙、IDP清洗,则流量设计如下:

交换机流量进接口-->防火墙-->IDP-->交换机流量出接口

例2:业务1访问外网的流量,需要经常防火墙、WAF、防病毒,则流量设计如下:

交换机流量进接口-->防火墙-->WAF-->防病毒-->交换机流量出接口

备注:1、引流可实现对单向流引流,也可实现对双向流量都引流。非特殊情况下,建议采用双向引流;

2、引流时,应尽量将流量统一一个方向进行部署;且在路由模式下,应注意流量不得超过对应的部署模式的限制。