双核心多业务板卡部署案例

　　技术研发服务中心 张赛

　　概述

　　某商业广场的外网项目核心设备采用H3C两台S7510E、两块ACG板卡、两块FW板卡、两块AC控制器板卡，实现了高效的交换能力,高可靠性,全局的高安全性以及网络的精细化管理。本文描述在此项目中S7510E交换核心与FW、ACG和AC控制器业务模块的部署方式，S7510E IRF2技术虚拟化组网，可供大家参考。

　　拓扑图

　　板卡部署方案设计

　　FW板卡设计部署

　　防火墙设备在数据中心网络架构中为内部系统提供了安全和可靠性保障。防火墙主要部署在数据中心的两个常见区域中：出口区域和服务器区域。在数据中心出口区域部署防火墙可以保障来自Internet和合作伙伴的用户的安全性，避免未经授权的访问和网络攻击。在数据中心服务器区域部署防火墙可以避免不同服务器系统之间的相互干扰，通过自定义防火墙策略还可以提供更详细的访问机制。防火墙插卡设备虽然部署在75E这样的交换机框中，但仍然 可以看作是一个独立的设备。它通过交换机内部的10GE接口与网络设备相连，它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。由于此项目中外网就只有一台IMC网管服务器，决定将FW模块部署在出口区域，在FW模块上配置VRRP的方式实现冗余性，与出口路由器MSR5040通过静态路由和缺省路由实现三层互通。

　　ACG板卡设计部署

　　ACG有两种部署方式，一种是在线部署方式，需要对上下行流量进行双向引流重定向上ACG板卡处理，另一种是采用OAA方式通过ACFP协议进行引流，由于ACG在整个网络中属于2层透明转发设备，不会对报文进行任何修改，整个网络从连通性上看加入和端看ACG后不会产生任何变化影响，除非添加了限速的策略。此项目中考虑到用户对网络技术了解较少，为了方便用户以后的管理，减少核心交换机上的配置，决定采用OAA的部署方式。部分截图如下：

　　注：interface Ten-GigabitEthernet1/1/0/1为防火墙接口;其他安全策略配置请查看相关手册。

　　S75E交换机侧部署说明：

　　interface Vlan-interface10 -------------配置插卡与交换机建立OAA连接的三层口

　　description To_ACG

　　ip address 10.254.1.2 255.255.255.0

　　#

　　switch-mode l2-enhanced -------------需要将交换机工作模式改为l2-enhanced

　　#

　　snmp-agent usm-user v3 v3user_no v3group_no

　　#

　　AC控制器设计部署

　　无线采用本地的转发方式，AC控制器只作为AP的注册和管理使用，用户AP的数量交换，用户数较多，两块AC控制器采用负载均衡和1+1热备的方式，既AP同时与主备两台AC建立CAPWAP隧道链路，分别为主链路和备用链路。备份AC能够通过心跳检测机制快速检测到主AC的故障，当主AC发生故障时，备份的工作状态立即由备用转为主用，同时将AP和用户切换到备份AC上，从而保障业务不会中断。

　　总结说明

　　流量走向：上行流量访问外网时首先经过ACG板卡到交换机，再由静态路由跳转到防火墙板卡，由防火墙板卡到出口路由器。从路由器上到内网的流量先经过防火墙，再由防火墙到交换机，然后再跳转到ACG板卡上，再转向内网交换机。

　　第一次遇到双核心多业务办卡时，会出现茫然的感觉无从下手，这时还是要多看相关技术资料了解多业务板卡的工作的基本原理、组网方式、典型配置等，同时在调试的过程中遇到问题时及时询问H3C工程师，即便快速的解决问题，以免耽误工程进度。

2016年01月