以下是定义流分类
traffic classifier Down_IPS1 operator and //75E_vpn下行到IPS1的流量 if-match acl 3511 //不是所有流量,是部分流量
if-match service-vlan-id 1103 //除了匹配ACL,还要匹配vlan traffic classifier Down_IPS1_back operator and //IPS1故障后,相同流量下行到IPS2(互备) if-match acl 3511 if-match service-vlan-id 1103
traffic classifier Down_IPS2 operator and //75E_vpn下行到IPS2的流量(负载分担) if-match acl 3512 //不是所有流量,是部分流量 if-match service-vlan-id 1103
traffic classifier Down_IPS2_back operator and //IPS2故障后,相同流量下行到IPS1(互备) if-match acl 3512
if-match service-vlan-id 1103
traffic classifier UP_IPS1 operator and //ACG上行到IPS1的流量
if-match acl 3501 //不是所有流量,是部分流量 if-match service-vlan-id 1102
traffic classifier UP_IPS1_back operator and //IPS1故障后,相同流量上行到IPS2(互备) if-match acl 3501
if-match service-vlan-id 1102
traffic classifier UP_IPS2 operator and //ACG上行到IPS2的流量
if-match acl 3502 //不是所有流量,是部分流量 if-match service-vlan-id 1102
traffic classifier UP_IPS2_back operator and
if-match acl 3502 //IPS2故障后,相同流量上行到IPS1(互备) if-match service-vlan-id 1102
traffic classifier UP_acg operator and //FW上行到ACG1的流量 if-match acl 3503 //所有流量 if-match service-vlan-id 1102
traffic classifier UP_acg_back operator and
if-match acl 3503 //ACG1故障后,相同流量上行到ACG2(互备) if-match service-vlan-id 1102
traffic classifier Down_acg operator and //IPS下行到ACG1的流量 if-match acl 3513 //所有流量 if-match service-vlan-id 1103
traffic classifier Down_acg_back operator and
if-match acl 3513 //ACG1故障后,相同流量下行到ACG2(互备) if-match service-vlan-id 1103
traffic classifier B_M_ARP operator and //广播组播 if-match acl 4000
以下是定义流行为
#
traffic behavior redirct-to-IPS1 //重定向到IPS1 redirect interface Ten-GigabitEthernet1/1/0/1
traffic behavior redirct-to-IPS2 //重定向到IPS2 redirect interface Ten-GigabitEthernet3/1/0/1
traffic behavior redirct-to-ACG1 //重定向到ACG1 redirect interface Ten-GigabitEthernet1/2/0/1
traffic behavior redirct-to-ACG2 //重定向到ACG2 redirect interface Ten-GigabitEthernet3/2/0/1 traffic behavior permit filter permit traffic behavior deny filter deny
以下是重定向策略
#
qos policy Down_IPS //75E_vpn下行到IPS的流量 classifier B_M_ARP behavior permit //广播组播通过
1 classifier Down_IPS1 behavior redirct-to-IPS1 //流分类对应流行为 ○
2 classifier Down_IPS2 behavior redirct-to-IPS2 ○
3 classifier Down_IPS1_back behavior redirct-to-IPS2 ○
4 classifier Down_IPS2_back behavior redirct-to-IPS1 ○
1后按○1的流行为进行重定向,1的, // 流量匹配○没有匹配○查找下一个规则即规
2进行匹配,于是实现了流量的负载分担;IPS1板卡故障后,流量也查找下一个规则,则○
2,匹配不上后,会继续查找规则○3,规则○3能够匹配,流量走IPS2板卡,即实即规则○
现了IPS板卡的互备。 //
qos policy UP_IPS //ACG上行到IPS的流量 classifier UP_IPS1 behavior redirct-to-IPS1 //流分类对应流行为 classifier UP_IPS2 behavior redirct-to-IPS2 classifier UP_IPS1_back behavior redirct-to-IPS2 classifier UP_IPS2_back behavior redirct-to-IPS1
qos policy UP_acg //FW上行到ACG的 classifier UP_acg behavior redirct-to-ACG1 //流分类对应流行为 classifier UP_acg_back behavior redirct-to-ACG2 qos policy Down_ACG
classifier Down_acg behavior redirct-to-ACG1 classifier Down_acg_back behavior redirct-to-ACG2 qos policy deny_l2
classifier B_M_ARP behavior deny
以下是把策略在接口下下发
#
interface GigabitEthernet1/10/0/23 //75Evpn上联SR66的物理接口 port link-mode bridge port access vlan 1103
qos apply policy Down_IPS inbound //下行流量进入接口后重定向到IPS内联口
(另一聚合物理口和聚合配置省略) #
interface Ten-GigabitEthernet1/0/0/1 port link-mode bridge port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 103 1101 to 1102 qos apply policy UP_acg inbound
#
interface Ten-GigabitEthernet3/0/0/1 port link-mode bridge port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 103 1101 to 1102
qos apply policy UP_acg inbound #
#
interface Ten-GigabitEthernet1/1/0/1 port link-mode bridge description SecBlade_IPS1 port link-type trunk
undo port trunk permit vlan 1 port trunk permit vlan 1102 to 1103 stp disable
qos apply policy Down_ACG inbound qos apply policy deny_l2 outbound mac-address mac-learning disable
#
interface Ten-GigabitEthernet3/1/0/1 //防火墙1内联口 //上行流量出防火墙后重定向到ACG //防火墙2的内联口 //上行流量出防火墙后重定向到ACG //IPS1内联口 //下行流量通过IPS后,重定向到ACG //过滤广播组播流量 //禁止mac地址学习 //IPS2的内联口
port link-mode bridge
description SecBlade_IPS2 port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 1102 to 1103
stp disable
qos apply policy Down_ACG inbound //下行流量通过IPS后,重定向到ACG qos apply policy deny_l2 outbound mac-address mac-learning disable #
interface Ten-GigabitEthernet1/2/0/1 //ACG1内联口 port link-mode bridge description SecBlade_ACG1 port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 1102 to 1103 stp disable
qos apply policy UP_IPS inbound //上行流量经过ACG后,重定向到IPS qos apply policy deny_l2 outbound
mac-address mac-learning disable #
interface Ten-GigabitEthernet3/2/0/1 //ACG2的内联口 port link-mode bridge port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 1102 to 1103 stp disable
qos apply policy UP_IPS inbound //上行流量经过ACG后,重定向到IPS qos apply policy deny_l2 outbound mac-address mac-learning disable #
至此,所有流量已经引流完成
IPS、ACG、FW的web页面配置省略
F&Q
1, 关于流量走向
上行流量:源地址为内网地址的流量,从75E到FW后,被FW三层路由处理完,到FW内联口回到75E,被QOS策略重定向到ACG,从ACG内联口回到75E,被QOS策略重定向到IPS,从IPS内联口回到75E,此时没有匹配相关流量的QOS策略(即源地址为内网地址的数据流),于是流量重新回到75E,此时通过报文的目的MAC地址进行查找,会找到75E_vpn的三层虚接口,再走路由流向SR66。
下行流量到75E_vpn物理接口后,由于QOS重定向优先级高于三层路由,所有先被重定向到IPS,再被重定向到ACG,再回到75E走三层到75E_vpn三层接口,再走路由到FW。
2, MQC的IPS、ACG的web页面的安全区域配置 IPS的安全区域,物理接口都是IPS内联口,靠vlan来区分流量。所以上下
行流量vlan不能相同。同理,ACG也是。
[所以把内网网关终结在FW上的75E(二层)--ACG—IPS—FW(三层)--SR66
的方式不可用,会导致上下行流量属于同一个vlan。
75E(三层)-FW(三层)--IPS—ACG—SR66(三层),也会导致上下行流
量同属一个vlan]。
3, 关于未知单播
为什么不能使用 [75E(三层)—IPS—ACG—FW(三层)—SR66(三层)]
的方式。
原因:内网网关在75E上,当出现单播流量的目的mac不在二层广播域
内时,75E会向该广播域的所有接口发送该单播流量。而IPS和ACG内联口都需要透传业务vlan,所以报文会被广播到IPS、ACG插卡。
流量走向是[75E物理接口---引流到IPS---引流到ACG---出来后本来应该
找报文的目的mac,正常情况是网关即75E该vlan的mac,但是由于目的mac未知,所以把该报文广播到除了入接口以外的所有接口,所以又进入了IPS、ACG插卡---出来后继续被引流、广播 ]。所以该未知单播会形成环路。
简言之,未知单播会从非入接口的所有该vlan的接口发出,而只有二层
安全插卡会把报文从内联口发回,所以只要二层安全插卡超过两个时,就会出现未知单播导致的环路。
所以[75E(三层)---IPS*2---FW(三层)---SR66(三层)]、[75E(三
层)---ACG*2---FW(三层)---SR66(三层)]都会出现未知单播导致的环路。
而[75E(三层)---IPS---FW(三层)---ACG---SR66(三层)]、[75E(三
层)---IPS/ACG---FW(三层)---SR66(三层)]都是可以的。
4, 为什么案例中[75E(三层)—FW(三层)—ACG—IPS—75E_vpn(三层)—SR66]的方式又不会出现未知单播导致呢??
因为FW(三层)和75E_vpn(三层)之间只起了互联地址,未知单播出现的可能性非常小。
5,为什么不能使用“mac-address max-mac-count 0 ”
在75E上配置95E的“去使能mac地址学习功能”的“mac-address max-mac-count 0 ”命令,会导致acsei 客户端学习不成功。
6,该方案是否有缺陷?
目前有缺陷,当75E上备用防火墙的mac地址老化后,此时又有报文访问备用防火墙的上行口vrrp实地址,会在二层安全插卡之间形成广播风暴,规避办法是在75E下联汇聚的端口上开启ACL过滤目的地址为备用防火墙的实地址的报文。