- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-串联集群及双机主备配置举例
本章节下载 (1.01 MB)
H3C流量清洗系统支持多种部署方式,以适应不同场景下的流量清洗需求,概括为串联部署模式和旁路部署模式。
本章主要介绍串联双机集群部署以及串联双机主备配置,针对旁路部署请查考对应文档。
串联部署是以透明模式进行组网,异常流量清洗设备(简称AFC)串联接入到受保护网络的出口,以便在攻击流量到达服务器之前将攻击流量过滤,放行正常流量。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、链路聚合特性。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机设备,交换机设备基本配置采用命令行配置。异常流量清洗设备(AFC)的基本配置和业务相关配置,均采用WEB界面配置。本配置以异常流量清洗设备单台部署流量清洗为例。
· 双机集群
要进行双机集群部署,需要在上核心交换机R3上做链路聚合配置后,将AFC所有集群设备的输入接口插入上层交换机的聚合组,将AFC所有集群设备的输出接口插入核心交换机R3的聚合组。
· 双机主备
要进行双机主备部署,只需要保证将AFC主/备设备的串联外网口接入上层交换机的相同VLAN,将AFC主/备设备的串联内网口接入下层交换机的相同VLAN,实现AFC对进出网络的流量进行清洗过滤。
· 进行主备及集群部署的AFC设备硬件型号和软件版本建议保持一致;
· 进行AFC串联集群部署的上核心交换机R3需要满足支持端口聚合功能;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
串联集群上下交换机端口聚合类型无限制,由交换机自身功能决定,支持静态聚合与动态聚合。建议使用静态聚合。
本章介绍AFC串联部署如何进行双机集群配置操作。
串联模式双机集群禁止使用web应用安全功能。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401P02。
为实现对攻击被保护IP 171.0.3.21的流量的清洗,将AFC设备串联到客户网络中,AFC集群中设备的串联外网口接核心交换机R2端口聚合组,AFC集群中所有设备的串联内网口接下层交换机R3端口聚合组,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图3-1所示。
图3-1 AFC串联部署多通道设备配置组网图
具体实现如下:
· 接口连接:AFC集群所有设备串联外网口接上层交换机端口聚合组aggregation 8,AFC集群设备所有串联内网口接核心交换机R3端口聚合组aggregation 8。
表3-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机R2与AFC串联外网口连接接口; · 核心交换机R3聚合组所属VLAN · 下层网络网关 |
171.0.1.1/24 |
表3-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
· 集群所有设备的串联外网口,接上层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/1 |
· 集群所有设备的串联内网口,接下层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/2 |
集群所有设备同步接口 |
|
|
GE0/0 |
AFC管理口 |
设备1:192.168.0.1/24 设备2: 192.168.0.2/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署集群配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
(2) 下层交换机R3配置基础网络
配置端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
(3) AFC设备1业务口配置
配置AFC集群所有设备GE1/0为串联外网口且接入到核心交换机R2的聚合组,配置AFC集群所有设备GE1/1为串联内网口接入下层交换机R3的聚合组。
(4) AFC设备集群管理配置
通过web操作,将第二台切换成节点,再操作第一台web,将第二台通过添加设备方式做成集群管理。
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为保证所有AFC集群设备串联外网口和串联内网口在相同的VLAN。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
# 创建端口聚合组
[R2]int Bridge-Aggregation 8
[R2-Bridge-Aggregation8]quit
# 将接口G1/0/10和G1/0/11加入到聚合组
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10]port link-aggregation group 8
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11]port link-aggregation group 8
[R2-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[R2]int Bridge-Aggregation 8
[R2-Bridge-Aggregation8]port access vlan 1711
[R2-Bridge-Aggregation8]quit
# 在此查看接口配置
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
# 查看聚合组状态,默认为二层静态聚合
[R2]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 查看负载方式,默认为目的/源IP负载分担
[R2]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
创建VLAN 1711, 作用为保证所有AFC集群设备设备的串联外网口和串联内网口在相同的VLAN。
# 创建VLAN
[R3]vlan 1711
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 聚合组配置
[R3]interface Bridge-Aggregation 8
[R3- Bridge-Aggregation 8]port access vlan 1711
# 将接口G1/0/10和G1/0/11加入到聚合组
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10]port link-aggregation group 8
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11]port link-aggregation group 8
[R3-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[R3]int Bridge-Aggregation 8
[R3-Bridge-Aggregation8]port access vlan 1711
[R3-Bridge-Aggregation8]quit
# 在此查看接口配置
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
#
return
# 聚合状态查看
[R3]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 聚合负载方式查看
[R3]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
上下交换机必须支持端口聚合。
要实现AFC串联集群部署,可按照如下步骤进行配置:
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效,下文将不再赘述。
Ø 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin。
图3-2 登录AFC系统页面
Ø AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。GE1/2设置接口类型为同步口。GE1/0设置为串联外网口,GE1/1设置为串联内网口,同时进行数据口互绑。
图3-3 配置GE0/0
图3-4 GE1/0配置
图3-5 GE1/1配置
图3-6 GE1/2配置
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效。集群设备2和主集群设备1配置同理。
为了多台AFC设备集群方便统一管理,本文档将第一台做为web主管理,第二台作为节点,使用第一台web添加第二台设备ip管理地址来进行统一管理。
Ø AFC集群设备2切换成节点
先web登陆AFC集群设备2,登陆后将url改为:https://192.168.0.2/role 进行访问,点击【节点】切换,输入的账号密码为当前web登陆密码。如下图;
Ø AFC集群设备1添加节点
登陆集群设备1:https://192.168.0.1 ,点击【系统配置】-【设备】-【添加设备】, 将节点2设备管理地址192.168.0.2进行添加进行统一管理。如下图;
添加完成后,等待60秒进行设备激活。如下图
(1) 验证客户端与引流服务器间通信是否正常
命令行通过ping测试客户端是否与服务路由相通
<h3c>ping 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 1.835/1.962/2.265/0.181 ms
本章介绍AFC串联部署如何进行双机主备配置操作。
1、 串联模式双机主备禁止使用web应用安全功能。
2、 串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署,而双机主备部署是为了满足客户需求中主设备出现故障的情况,防护及网络不中断。
3、 主备开启成功之后,必须登录浮动IP地址管理系统,否则会影响主备两系统的运行
4、 必须配置同步口之后才能开启主备,否则主备无法进行数据同步
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401P02。
图4-1 AFC串联部署双机主备配置组网图
具体实现如下:
· 接口连接:AFC主/备设备的串联外网口GE0/1接上层交换机VLAN 1711,AFC主/备设备串联外网口GE0/2接下层交换机VLAN 1711。
· 主机流量清洗:通过策略实时对主机流量进行过滤检测。
表4-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1711 |
· 核心交换机与AFC串联外网口连接接口; · 下层网络的网关地址 · 上下层网络所在VLAN ID,受保护主机所在VLAN |
|
上下层交换机连接AFC主/备设备的接口VLAN号需要保持一致,否则会造成主备失败。
表4-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
GE1/0 |
· 主/备设备的串联外网口,接上层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/1 |
· 主/备设备的串联内网口,接下层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
|
GE1/2 |
· 主/备设备同步接口,同步动态黑白名单以及会话信息 |
|
|
GE0/0 |
· AFC管理口,同步除设备配置外的其他信息 |
主设备:192.168.0.1/24 备设备:192.168.0.2/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署主备配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
(2) 下层交换机R3配置基础网络
配置端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
(3) AFC设备1业务口配置
配置AFC设备1的GE1/0为串联外网口且接入到核心交换机R2的聚合组,配置AFC集群所有设备GE1/1为串联内网口接入下层交换机R3的聚合组。
(4) AFC设备2业务口配置
配置AFC设备2的GE1/0为串联外网口且接入到核心交换机R2的聚合组,配置AFC集群所有设备GE1/1为串联内网口接入下层交换机R3的聚合组。
(5) AFC设备1与设备2同步口配置
分别配置主备AFC设备GE1/2为同步口,并使用千兆网线将两个设备同步口直连。
(6) AFC设备主备配置
进入“系统配置-平台设置-主备配置”页面操作,配置主备管理。详见4.3.4章节步骤4
创建1711, VLAN 1711对应171.0.1.0/24网段,作用为保证AFC主/备设备的串联外网口和输出口在相同的VLAN。
# 创建VLAN
[R2]vlan 1711
[R2-vlan1711]quit
# 创建聚合组
[R2]int Bridge-Aggregation 100
[R2-Bridge-Aggregation100]port access vlan 1711
[R2-Bridge-Aggregation100]quit
# 将端口加入聚合组
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10] port link-aggregation group 100
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11] port link-aggregation group 100
[R2-GigabitEthernet1/0/11]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
# 将接口G1/0/10和G1/0/11加入到VLAN 1711
[R2]int GigabitEthernet 1/0/10
[R2-GigabitEthernet1/0/10]port access vlan 1711
[R2-GigabitEthernet1/0/10]quit
[R2]int GigabitEthernet 1/0/11
[R2-GigabitEthernet1/0/11]port access vlan 1711
[R2-GigabitEthernet1/0/11]quit
创建VLAN 1711,作用为保证AFC主/备设备的串联外网口和输出口在相同的VLAN。
# 创建VLAN
[R3]vlan 1711
[R3-vlan1711]quit
# 创建聚合组
[R3]int Bridge-Aggregation 100
[R3-Bridge-Aggregation100]port access vlan 1711
[R3-Bridge-Aggregation100]quit
# 将端口加入聚合组
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10] port link-aggregation group 100
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11] port link-aggregation group 100
[R3-GigabitEthernet1/0/11]quit
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
#将接口G1/0/10和G1/0/11加入到VLAN 1711
[R3]int GigabitEthernet 1/0/10
[R3-GigabitEthernet1/0/10]port access vlan 1711
[R3-GigabitEthernet1/0/10]quit
[R3]int GigabitEthernet 1/0/11
[R3-GigabitEthernet1/0/11]port access vlan 1711
[R3-GigabitEthernet1/0/11]quit
要实现AFC串联集群部署,可按照如下步骤进行配置:
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效,下文将不再赘述。
Ø 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin。(首次登录需要修改密码)
图4-2 登录AFC系统页面
Ø AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。GE1/2设置接口类型为同步口。GE1/0设置为串联外网口,GE1/1设置为串联内网口,同时进行数据口互绑。
图4-3 配置GE0/0
图4-4 GE1/0配置
图4-5 GE1/1配置
图4-6 GE1/2配置
注意!配置步骤中有【应用配置】按钮的,需要点击此按钮来使配置生效。备设备2和主设备1配置同理。
(1) 时间同步
1.进入【系统配置】-【平台设置】-【NTP时间同步】页面,手动配置时间;
2.其中时区选择:“北京,重庆,香港特别行政区,乌鲁木齐”;
3.时间和本地电脑时间保持一致
4.备设备开启主备时需和主设备时间保持一致,时间差不得大于30min
(2) 主设备设置
登录群设备1:https://192.168.0.1 ,点击【系统配置】-【平台设置】-【主备配置】,开启主备开关,设置浮动管理ip、浮动管理网关、组ID、设置本机角色为主设备、填写备设备ip为192.168.0.2,可选择开启模式抢占、链路异常自动切换、转发异常自动切换,点击应用。
注:互为主备的两台设备浮动管理ip、浮动管理网关、组ID必须一致,否则会导致主备开启失败
建议浮动ip配置和管理端同段的ip
(3) 备设备设置
登陆集群设备2:https://192.168.0.2/ ,点击【系统配置】-【平台设置】-【主备配置】,开启主备开关,设置浮动管理ip、浮动管理网关、组ID、设置本机角色为备设备、填写主设备ip为192.168.0.1,可选择开启链路异常自动切换、转发异常自动切换,点击应用。
【注】:主备两台设备的浮动管理IP地址、浮动管理IP网关地址以及组ID必须保持一致
(1) 查看设备状态列表,可点击【刷新】按钮,查看实时设备状态信息
(2) 验证客户端与引流服务器间通信是否正常
命令行通过ping测试客户端是否与服务路由相通
<h3c>ping 171.0.3.21
PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.
64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 1.835/1.962/2.265/0.181 ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
