【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例

[复制链接]
发表于 : 2015-6-4 10:25:43 最新回复:2015-09-14 14:04:57
2981 3
交换机在江湖
交换机在江湖 官方号

1 通过业务编排完成对指定数据流的引导

业务编排简介

在典型的园区网中,客户通常在重要业务部门、半信任区DMZDemilitarized Zone)、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点:

 

l   需要部署的网络增值业务设备过多从而造成**成本大。

 

l   独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高,从而造成资源的浪费。

 

l   在部署和维护过程中,需要在每台网络增值业务设备上配置各自的业务处理策略,这样会导致部署和维护不便。

 

针对以上问题,华为公司推出了业务编排解决方案。如1-1所示,该方案主要由策略控制器、编排设备和安全资源池组成。其中,安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力,也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案,可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备,不仅降低了成本,而且还提高了网络增值业务设备的利用率。同时在整个园区网中,哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制,这样也提高了部署和维护的效率。

图1-1 业务编排方案园区组网图

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-1


 

配置注意事项

l   目前业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。

 

l   业务编排解决方案中各产品的版本配套关系如下表所示。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-2

 

组网需求

1-2所示,M公司的机房中有一台FTP服务器,存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全,防止被攻击导致关键数据外泄。小王希望能通过业务编排完成以下任务:

l   研发部门员工能访问FTP服务器,市场部门的员工不能访问FTP服务器。

l   研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。

l   如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。

图1-2 M公司组网

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-3

 

数据规划

表1-1 用户和资源的IP地址规划

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-4

 

表1-2 业务流规划

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-5

 

表1-3 设备参数规划

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-6

 

配置思路

具体配置思路如下:

1.         在交换机和防火墙上配置基本参数。

l   在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。

l   在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-7

需要保证配置的Loopback编号在设备中是最大的,本文使用的是100101

2.         Controller上通过XMPP协议添加交换机和防火墙设备。

3.         Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。

4.         Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-8

IP地址池不能包含网络中正在使用的IP地址。

5.         Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。

 

操作步骤

                                步骤 1     在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100  
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.85.10.5 24
[SwitchA-Vlanif100] quit
[SwitchA] interface LoopBack 100
[SwitchA?LoopBack100] ip address 10.7.2.1 255.255.255.255
[SwitchA?LoopBack100] quit
[SwitchA] interface LoopBack 101
[SwitchA?LoopBack101] ip address 10.7.2.2 255.255.255.255
[SwitchA?LoopBack101] quit
[SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6
[SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6
[SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5

                                步骤 2     在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。

1.         配置接口IP地址和安全区域,完成网络基本参数配置。

1.         选择“网络 > 接口”。

      n  单击GE1/0/1对应的【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-9,按如下参数配置。

                 【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-10

 

1.         配置RADIUS服务器。

      n  选择“对象 > 认证服务器 > RADIUS”。单击“新建”,按如下参数配置。

            此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为Radius@123”。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-11

1.         单击“确定”。

2.         开启防火墙的敏捷网络功能。

1.         选择“系统 > 敏捷网络配置”。

3.         勾选“敏捷网络功能”对应的“启用”。

4.         配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与Agile Controller对接成功。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-12

在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-13

5.         在防火墙上配置两个Loopback接口。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-14

您需要登录设备CLI控制台来完成该配置步骤。

1.         单击界面右下方的【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-15

6.         在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。

7.         连接成功后,配置如下命令。

<sysname> sysname NGFW
[NGFW] interface LoopBack 100
[NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255
[NGFW-LoopBack100] quit
[NGFW] interface LoopBack 101
[NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255
[NGFW-LoopBack101] quit
[NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5
[NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5

                                步骤 3     Controller上添加交换机和防火墙设备。

1.         在主菜单中选择“资源 > 设备 > 设备管理”。

2.         单击“增加”。

3.         设置添加设备的参数。

添加交换机和防火墙的参数设置如1-31-4所示。

“密码”为在设备上配置的通信密码“Admin@123”。

图1-3 添加交换机设备的参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-16

 

图1-4 添加防火墙设备的参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-17

 

                                步骤 4     配置业务流。

1.         在主菜单中选择“策略 > 业务链编排  > 业务流定义”。

2.         单击“增加”。

3.         设置业务流参数。

参数设置如1-5所示。

图1-5 业务流参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-18

 

                                步骤 5     配置IP地址池。

1.         在主菜单中选择“策略 > 业务链编排  > IP地址池”。

2.         单击“增加”。

3.         名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”。

图1-6 IP地址池参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-19

4.         单击“确定”。

                                步骤 6     配置业务链资源。

1.         在主菜单中选择“策略 > 业务链编排  > 业务链资源”。

2.         单击“增加”。

3.         在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。

4.         在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。

5.         在左侧“地址池”区域选择“10.10.192.0”。

图1-7 业务链资源参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-20

6.         单击“保存”,在弹出的提示框中单击“是”。

                                步骤 7     编排并部署业务链。

1.         在主菜单中选择“策略 > 业务链编排  > 业务链编排”。

2.         单击“增加”。

3.         在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。

4.         在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。

5.         将“NGFW”设备拖拽至上方的防火墙节点上。

6.         在左侧“链异常处理方式”区域选择“阻断”。

图1-8 业务链编排参数设置

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-21

 

7.         单击“保存”,在弹出的提示框中单击“是”。

                                步骤 8     验证配置结果。

# Controller上查看交换机和防火墙之间的隧道是否建立成功。

业务链资源下发后的隧道信息如1-9所示。

图1-9 隧道部署结果详情

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-22

 

# 在交换机上通过命令display acl all能够看到业务流规则成功下发。

 【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-23


 

# 在交换机上通过命令display current-configuration | include traffic-redirect能够看到业务编排配置成功下发。

【交换机在江湖】实战案例二十五 通过业务编排完成对指定数据流的引导案例-1327865-24

----结束

配置文件

l   SwitchA的配置文件

#
sysname SwitchA
#
vlan batch 100
#
group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5
#
interface Vlanif100
 ip address 10.85.10.5 255.255.255.0
#
interface LoopBack100
 ip address 10.7.2.1 255.255.255.255
#
interface LoopBack101
 ip address 10.7.2.2 255.255.255.255
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
return

 

猛戳我:交换机在江湖汇总贴

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
kaixiao
kaixiao   发表于 2015-9-13 12:22:28 已赞(0) 赞(0)

楼主,汇总贴里 23  24 都是业务随行  请记得更改。

  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2015-9-14 14:04:57 已赞(0) 赞(0)

回复 3 楼

已修改,谢谢提醒~

  • x
  • 常规:

点评 回复

员Lemon
员Lemon  专家 发表于 2015-6-4 10:53:24 已赞(0) 赞(0)

多谢分享。

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录