SSLO流量编排详细部署模式及配置讲解

本案例基于AD7.0.26R1版本编写主要介绍了：
1、基于虚拟服务的SSLO网络架构模式举例
2、配置注意事项，基于业务发布场景的配置案例对手册教材中描述不清的配置点做出解释和说明

3、SSLO的基本概念和原理功能这里不做解释，建议去破雾计划看一下对应的培训视频和材料：https://bbs.sangfor.com.cn/forum ... &extra=#/pid3301629

--------------------------------------------------------------------------------------------------------------------

--------

SSLO部署模式概述：

AD的SSLO流量编排支持如下图三种类型安全设备

关于二三层设备的流量编排引流的本质就是策略路由，和防火墙的单臂部署同理，AD设置虚拟服务通过报文的五元组或者七层的特征将流量从指定接口发出到指定安全设备，经过安全设备的安全检查后，再通过安全设备本身的ARP表、路由表、策略路由等手段发回AD；

上图中的所谓的二层三层指的都是安全设备的部署模式，对于AD来说，AD的路由口或者VLAN子接口都是三层口，用起来没有什么区别，只要能按照路由交换原理收发报文即可；

--------------------------------------------------------------------------------------------------------------------

--------

具体可落地的网络架构部署模式举例：

1、三层双臂引流架构：

    1.1此架构的特点：

        1.1.1、AD需要拿出两个或以上的接口做引流，接口可以用路由口，路由子接口，链路聚合口；

        1.1.2、两个接口负责报文来回方向的收发，来回报文都需要经过一次AF

        1.1.3、AF上不管是用静态路由还是策略路由，只要能保证报文从一个接口收到报文能从另一个接口发回AD即可

        1.1.4、如果是其他厂商的安全设备，所需条件也是一样，只要能保证一个接口收到的流量能转发给AD另一个接口即可

    1.2、具体配置思路：

        1.2.1、AD拿出两个接口分别作为出接口和入接口（出入基于外到内的流量访问方向定义）；

        1.2.2、安全设备拿出两个接口作为入接口和出接口（出入基于外到内的流量访问方向定义）；

        1.2.3、AD的出接口连接安全设备的入接口，AD的入接口连接安全设备的出接口；

        1.2.4、IP地址方面需要规划两个网段分别两个IP地址，共四个IP地址；

        1.2.5、安全设备按照业务发布场景配置，入接口就是WAN口，出接口就是LAN口，做好入方向的策略，默认路由下一跳就是AD的出接口，内网明细路由下一跳就是AD的入接口

        1.2.6、AD的接口配置好IP，开启链路会话隔离（会话隔离具体原理建议去看一下破雾计划中的视频PPT介绍）；

        1.2.7、创建安全资源池：

            1.2.7.1、类型选择安全设备，后边的具体NGFW或者IPS随便选，无实际意义；
            1.2.7.2、设备列表可以配置多台安全设备，根据调度策略、优先级调度；

            1.2.7.3、bypass就是资源池故障时跳过此资源池，保证业务

            1.2.7.4、端口映射是指目的地址转换，开启后默认把报文的目的端口转换成指定值

            1.2.7.5、SNAT就是将报文根据AD出接口做源地址转换

        1.2.8、创建安全服务链，调用上边创建好的资源池

        1.2.9、在虚拟服务调用创建好的服务链，配置完毕

        1.2.10、验证引流效果：在AD前的设备抓包，流量是如下做了TLS加密的

在安全设备AF抓包，可以抓到解密后的HTTP流量，说明经过虚拟服务SSL卸载后的流量正常引流到了安全设备

--------------------------------------------------------------------------------------------------------------------

--------

2、三层单臂引流架构：

    2.1、此架构的特点：

        2.1.1、需要AD和安全设备各拿出一个或以上的接口，路由口、子接口、聚合口都可以；

        2.1.2、AD和安全设备最低只需要各分配一个IP；（因为可以通过子接口的方式做逻辑上的双臂）

        2.1.3、安全设备的安全策略源目方向配置时需要注意：源目区域、接口都是同一个，因为流量是从这个口进又从这个口出

        2.1.4、安全设备接口的WAN或LAN属性随便选；

    2.2、具体配置思路：和双臂的配置比较区别只有出入接口的选择，其他完全一致

--------------------------------------------------------------------------------------------------------------------

--------

3、三层多设备引流架构：

    3.1、此架构特点：

        3.1.1、在三层双臂架构的基础上增加了安全设备的数量，可以用两台以上的安全设备、路由器、交换机等任意路由交换设备；

        3.1.2、对于AD来说安全设备有几台都无所谓，流量在安全设备之间转发处理是二层或三层也和AD无关，只要能保障流量从AD出接口发出后能再从入接口接收到即可

    3.2、具体配置思路：

        3.2.1、AD上资源池的配置和双臂完全一致，设备列表中只需要配置出接口对端的设备即可，如上图中WAF的接口地址

        3.2.2、安全设备之间的配置就按照常规的糖葫芦串模式配置，保证流量从AD的出接口收到能再发回AD的入接口即可

        3.2.3、一定要确保安全设备之间的链路故障检测启用，确保故障后逃生

--------------------------------------------------------------------------------------------------------------------

--------

4、2层双臂引流架构：

    4.1、此架构特点：

        4.1.1、安全设备是以二层模式部署，等于部署了一台交换机，流量在安全设备之间走的是纯二层转发

        4.1.2、IP规划：需要两个真实IP，一个虚拟IP，具体如下图介绍，因为是基于纯二层转发，所以需要让AD的出入接口之间能够实现二层转发，就需要有两个同网段的IP分别给到AD的出入接口，用于ARP请求

如下图的1.1.1.1和2.2.2.1两个地址是真实IP，分别落在出入接口上，1.1.1.2是虚拟IP落在入接口上，用于和出接口做二层arp请求；

        4.1.3、逻辑上需要AD出接口和入接口经过安全设备后二层能够互通，需要保证安全设备能正常透传二层报文

    4.2、具体配置及验证思路：和三层模式的配置区别在于安全资源池的配置，其他一致

        4.2.1、AD起两个接口，分别配置两个真实IP，开启会话隔离；

        4.2.2、安全资源池配置如下，注意选择二层部署模式，出入接口和三层是相同逻辑，IP地址是分配好的虚拟IP

        4.2.3、安全设备的两个接口配置好VLAN即可，以AF举例：两个接口配置成透明口，同VLANID即可

        4.2.4、效果验证：基于二层转发原理，安全设备收到的报文源目MAC应该是AD出入接口的MAC，安全设备抓包效果如下

检查AD接口MAC如下，报文的MAC符合预期

同时安全设备可以看到有AD出接口真实IP探测AD入接口虚拟IP的报文，说明真实IP和虚拟IP配置无问题

--------------------------------------------------------------------------------------------------------------------

--------

5、2层多设备引流架构：

    5.1、此架构特点：和二层单设备区别就是安全设备多串了几台，只要确保二层能透传即可

    5.2、配置思路：AD上的配置和二层单设备无区别，主要是安全设备之间一定要确保二层透传

--------------------------------------------------------------------------------------------------------------------

--------

6、镜像架构：

    6.1、此架构的特点：

        6.1.1、和传统的交换机镜像流量+探针部署模式类似，但是具体转发原理不同

        6.1.2、AD的镜像流量不是单纯的把流量从接口打出去，而是基于目的MAC做的二层转发，镜像设备收到的流量的目的MAC是镜像设备本身的，所以需要提前获取接收流量设备的接口MAC

        6.1.3、基于以上两点，此场景的镜像流量，AD和探针之间理论上是可以间隔有二层设备的，比如交换机，只要保证VLAN打通就行，交换机也不需要做镜像流量，仅靠二层转发就行；

        6.1.4、基于以上三点特性，理论上其实也并不需要真实的镜像设备接口MAC也一样能实现镜像效果，如果配置的不是接口实际MAC，根据交换原理，报文在交换机接口找不到对应目的MAC时会将报文广播发出，同样可以实现将流量打到探针接口的效果；

        6.1.5、基于以上四点，可以实现AD一个接口同时发送给多个镜像接收设备的效果，关键点就是MAC地址要配置成一个不存在的MAC，这样交换机收到报文后就会从所有接口广播出去，从而实现多个安全设备同时监听这一股流量，示例如下图；

        6.1.6、需要提前分配两个同网段的IP地址，用于镜像流量发送，IP地址无实际意义，仅用于arp学习（并不会有arp学习过程，可以理解成配上就行，无实际意义）

    6.2、具体配置思路：

        6.2.1、AD接口配置一个提前准备好的IP地址，开启会话隔离即可；

        6.2.2、配置安全资源池，设备类型选择镜像设备，IP地址只要和出接口同网段即可，无实际意义；其余配置步骤和其他方式无区别

        6.2.3、效果验证

在探针抓包，确认收到的报文目的MAC就是探针接口的MAC

--------------------------------------------------------------------------------------------------------------------

--------

7、多模式复用架构：

    7.1、此架构的特点：可以将任意模式随意组合使用

    7.2、配置思路：

        7.2.1、先配置需要使用的模式，配置思路和之前无区别

        7.2.2、配置服务链，选择多个需要使用的引流模式即可，注意引流顺序，报文会先发到最上级资源池，然后依次向下顺序调度；

感谢楼主分享，努力学习中！！！！！

感谢楼主分享，努力学习中！！！！！

感谢楼主分享，努力学习中！！！！！

感谢楼主分享，努力学习中！！！！！

感谢分享，有助于工资和学习

感谢楼主分享，努力学习中！！！！！

感谢楼主分享，努力学习中！！！

每天坚持打卡学习签到！！

感谢楼主分享，努力学习中！！！！！