园区网多业务板卡配置指导书-FW+IPS+LB

文章标题 园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB 文档密级：内部公开

*安全区域配置中选定接口后可以选择添加相应vlan信息使用接口＋vlan规则组合进一步缩小引流范围，也可以选择此处不添加vlan信息，而在后面段策略配置中添加内部或外部域IP地址，使用接口＋IP规则进行引流。

这两种组合方式适用于不同的需求场景。当需要重定向到IPS处理的流量IP地址较规则，便于聚合，且聚合后IP地址组较少时，建议采用接口＋IP的方式定义引流；当流量IP较为凌乱，聚合后地址规则较多时，建议采用接口＋vlan的方式定义引流。

简单来说就是先选组合后规则少的，规则数相同情况下IP优于vlan，

配置的规则数量可在后面几步都完成后在75E交换机上通过display acfp rule-info policy命令查看。

注意，目前SecBlade IPS不支持接口＋vlan＋ip的引流规则定义方式，当三者都配置的时候，只有接口＋vlan生效。

段配置

安全区域配置完成后，配置段，并将相应安全区域加入段。

*此处内联接口为IPS板卡接口，不需选择，会直接填充。

段策略配置

接下来进行段策略的配置，此部分包括IPS、带宽管理、URL过滤、防病毒攻击和DDoS等内容，具体配置请参考产品相关配置手册。

杭州华三通信技术有限公司

www.h3c.com.cn 第29页, 共37页

文章标题 园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB 文档密级：内部公开 当完成相关策略的配置后，将策略应用在段上即可。此处以应用带宽管理策略为例。

配置使用缺省策略，并将需要管理的内部网络地址添加上去。

*此处可以填写内部或外部域IP，配合引流处理。在安全区域未配置vlan的情况下，只有配置的IP对应流量会被重定向至IPS，其他流量直接在交换机转发。若安全区域中已配置vlan，则此处配置IP对应流量会进行相关段策略处理，其他流量会依据vlan配置被重定向上IPS板卡，但直接在IPS进行二层转发，不作任何处理。请参考前面安全区域配置中的建议。

全部配置完成后进行激活，显示激活完成则配置成功。

当系统激活后可以在75E上通过display acfp policy-info与display acfp rule-info policy查看下发

杭州华三通信技术有限公司

www.h3c.com.cn 第30页, 共37页

文章标题 园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB 文档密级：内部公开 用来重定向流量的策略与规则。

二层回退配置

IPS板卡在遇到CPU运行高等系统资源占用严重导致的流量转发可能会出现丢包时，提供了二层回退功能，可以将流量进行二层直接转发，保证了IPS板卡处理性能不够时不会影响正常业务流量转发导致丢包。

二层回退功能缺省使能，也可以通过配置在当前时刻强制执行或永久关闭。

整网双机HA设计部署

整网双机HA部署

前面的各设备板卡配置说明中已经涵盖了部分HA设计部署，此处对整网HA做统一说明，并对各种故障下的流量路径切换进行描述，对重点配置进行说明。

典型组网中的HA设计主要针对以下几种故障切换： 链路故障切换； 板卡故障切换； 整机故障切换；

*接口板故障与链路故障一致，主控板故障与整机故障一致。

正常情况下的上下行流量路径请参考本文档前面流量设计组网图，以下各个故障切换图中均以上行流量切换路径为例，切换后上下行流量来回路径一致。

杭州华三通信技术有限公司

www.h3c.com.cn 第31页, 共37页

文章标题 园区网最佳实践2.0多业务板卡配置指导书－FW+IPS+LB 文档密级：内部公开 链路故障切换

交换机与园区核心相连链路故障切换

当S75E与园区核心网络相连链路故障时，网络依靠OSPF自动收敛。主路径75E断开，流量将从核心设备选择备路径S75E传输。

图9 S75E与园区核心相连链路故障切换示意图

交换机与服务器相连链路故障切换

由于服务器组中多台服务器提供相同服务，由LB根据服务器状态进行选择，因此交换机与某台服务器连接断开会导致LB板卡上此服务器状态变成断开，流量会被LB板卡自动分配到其他可用的服务器上。

杭州华三通信技术有限公司

www.h3c.com.cn 第32页, 共37页