扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
在虚拟园区网2.0解决方案大规模部署的情况下,当网络资源通过IRF2技术横向整合和VPN技术纵向隔离,形成了分层分业务的虚拟化后,安全的资源化如何与网络的资源化相匹配,形成网络与安全的整体资源部署,是虚拟园区网设计中的重点。
FW、NAT、SSL VPN、IPS、NetStream、ACG(应用控制网关)等园区网内的安全技术和相关产品层出不穷,为了简化问题 ,从工作模式入手,安全产品大致可以分为两类:三层工作模式和二层工作模式的产品。另外,从可靠性等方面考虑,又有多种部署方式:Active-Active;Active-Standby。通过工作模式和部署方式的组合,我们挑选出一两种有代表性的组合方式及以H3C安全产品为例,讨论虚拟园区网2.0中的安全资源化部署的问题。
IRF2环境下防火墙部署
如图1所示是通常情况下园区网络汇聚层防火墙的逻辑部署方式,通过在汇聚层面的防火墙部署,可以用更简单的操作进行园区内部或者是每个虚拟网内部的访问控制。
H3C防火墙具备会话同步的热备份功能,使用专用的一条或两条带外线缆(双机热备专线)进行两台防火墙的会话信息进行同步,配合交换网络流量切换,可保证单台防火墙故障时应用流量不会中断。
图1中两个组网的物理连接方式相同,但是右图组网采用IRF2技术后却能够改变整网的逻辑部署,并在设计上只需要更简单的考虑。
图1 防火墙交换机基本组网结构
以下分别就防火墙的路由模式和透明模式来讨论,在IRF2的组网环境下,安全部署有哪些不同。
防火墙路由模式部署
传统的防火墙路由模式部署,当部署于园区网汇聚层的话,假设二层终结于汇聚层,汇聚和直到核心的网络处于同一个OSPF域内,其三层接口部署一般如图2所示。
采用Actice-Active方式部署,各防火墙作为独立路由运行节点与交换系统组成动态路由区域,完全由路由协议控制数据流经的防火墙,两台防火墙之间相互同步会话状态信息,支持非对称流量安全检测,这样全网可见12个路由节点,至少12条路由(不考虑网段路由等其他情况)。
采用Active-Standby方式部署,为了保证负载分担,需要采用多VRRP组的部署方式。鉴于核心汇聚交换机和FW连接接口均为三层接口,需要核心、汇聚、防火墙上分别起两组VRRP组,才能完成不同路径下流量的负载分担。
图2 传统防火墙路由模式+Active-Active部署
图3为采用IRF2技术之后的部署。通过IRF2部署,能够有效降低网络中三层接口数量和路由表大小,并将核心和核心之间、汇聚和汇聚之间的数据交互有效屏蔽在网络的二层,简化了网络设计和运维管理需要考虑的问题,从而使得网络设计更简单。
对于Active-Active组网模式下,如图3右图所示,汇聚和核心层面设备进行了横向整合,整网的三层接口缩减为7个,相应的网络内路由条数缩减为7条。
而对于Active-Standby部署模式,如图3左图所示,当整网IRF2整合之后,由于核心和汇聚设备横向整合在一起,不但三层接口和路由数目大为减少,并且只需要在防火墙上起2个VRRP组即可达到传统6个VRRP组才能实现的功能,虚拟化所带来的好处更加明显
图3 防火墙路由模式+交换网络IRF2
防火墙透明模式部署
如图4所示,为防火墙在透明模式下采用IRF2前后的对比。启用IRF2以后,可以实现跨链路聚合,从而以更简单的方式实现了链路的负载分担。
传统的防火墙在汇聚层面透明模式部署的时候(组网如图4左图),两组交换机与两台防火墙的互联接口配置两组连接网段,交换机对防火墙的端口均采用untagged方式,因此可以保证两台防火墙在VLAN的配置上达到一致,防火墙同时启动流路径非对称能力。两组交换系统之间可以运行动态路由协议(防火墙允许相应的协议数据通过),所有数据流通过等价路由分担到两台防火墙所在的链路上,由于防火墙支持路径非对称功能,因此当某条数据流下行经过一台防火墙而上行经过另一台防火墙时,双机的状态会话仍能同步保持。
启用IRF2以后,如图4右图所示,利用防火墙inline转发方式,即防火墙端口配对转发而不进行MAC地址查表转发,将交换机IRF2系统中不同成员的端口与两台防火墙分别连接,只在交换机IRF2系统端进行两条链路的LACP捆绑,这样将网络流量分担到不同防火墙,而在交换机IRF2系统不需要使用等价路由。防火墙允许LACP协议报文通过,从而保证聚合链路的可靠性连接。数据流在防火墙往返路径不一致的情况仍由路径非对称功能解决。
图4 防火墙透明模式传统部署和IRF2环境部署对比
如何实现安全模块一分多虚拟化
虽然IRF2实现了安全的简单部署,然而安全资源还是不能实现按需部署的资源化。要达到这一点,需要安全设备支持一虚多的虚拟化功能,下面以在交换机上模块化部署来说明其实现原理。
图5 同一虚拟组内共享安全资源
如图5所示,通过IRF2整合,将多个机框式交换系统整合在一起,逻辑上形成一个大的交换系统,在这个系统中,无论安全模块部署在组内的任何一个框上,都能够被本组的其他框所共享,每个机框上行流量都能够基于本身的需求进行安全处理,而不必关心这个安全模块部署在哪个机框上。同时,在路由表项,安全策略等方面,基于不同的业务可以给予不同的保障,真正实现了按需分配,组内共享的安全资源化,俗称为"安全模块一拖N部署"。
图6 防火墙模块一虚多在交换系统中的部署
如图6所示,终端的网关设置在防火墙上,防火墙通过VRRP提供冗余,冗余备份组通过静态路由下一跳指向IRF2交换机三层接口,交换机之间通过IRF2消除了二层接入环路。在集成防火墙路由模式下,还可以将防火墙进行虚拟化,逻辑分割成多个虚拟防火墙实例提供网络安全服务,如图中对每块防火墙线卡划分了多个逻辑实例,每一对虚拟防火墙工作在A-S方式,可选择Active实例分布在两块物理线卡上,从而达到负载分担和冗余备份的能力,实现防火墙在一个虚拟组内如何实现资源化。
通过一分多的虚拟化技术,可以使不同业务或用户群在同一个IRF2组内共享相同的安全硬件,而在逻辑上达到资源动态分配的目的,降低了建设成本,提高了安全服务的动态调配能力,为业务的灵活部署提供了有效的支撑。
濠电姷鏁告慨鐑姐€傛禒瀣劦妞ゆ巻鍋撻柛鐔锋健閸┾偓妞ゆ巻鍋撶紓宥咃躬楠炲啫螣鐠囪尙绐為梺褰掑亰閸撴盯鎮惧ú顏呪拺闂傚牊鍗曢崼銉ョ柧婵犲﹤瀚崣蹇旂節婵犲倻澧涢柛瀣ㄥ妽閵囧嫰寮介妸褋鈧帡鏌熼挊澶婃殻闁哄瞼鍠栭幃婊堝煛閸屾稓褰嬮柣搴ゎ潐濞叉ê鐣濈粙璺ㄦ殾闁割偅娲栭悡娑㈡煕鐏炲墽鐭嬫繛鍫熸倐濮婄粯鎷呯粵瀣異闂佹悶鍔嬮崡鍐茬暦閵忋倕鍐€妞ゆ劑鍎卞皬闂備焦瀵х粙鎴犫偓姘煎弮瀹曚即宕卞Ο闀愮盎闂侀潧鐗嗛幊搴㈡叏椤掆偓閳规垿鍩ラ崱妞剧凹濠电姰鍨洪敋閾荤偞淇婇妶鍛櫤闁稿鍊圭换娑㈠幢濡纰嶉柣搴㈣壘椤︾敻寮诲鍫闂佸憡鎸鹃崰搴敋閿濆鏁嗗〒姘功閻绻涢幘鏉戠劰闁稿鎹囬弻锝呪槈濞嗘劕纾抽梺鍝勬湰缁嬫垿鍩為幋锕€宸濇い鏇炴噺閳诲﹦绱撻崒娆戝妽妞ゃ劌鎳橀幆宀勫磼閻愰潧绁﹂柟鍏肩暘閸斿矂鎮為崹顐犱簻闁圭儤鍨甸鈺呮倵濮橆剦妲归柕鍥у瀵粙濡歌閸c儳绱撴担绛嬪殭婵☆偅绻堝濠氭偄绾拌鲸鏅i悷婊冪Ч閹﹢鎳犻鍌滐紲闁哄鐗勯崝搴g不閻愮儤鐓涢悘鐐跺Г閸犳﹢鏌℃担鐟板鐎规洜鍠栭、姗€鎮╅搹顐ら拻闂傚倷娴囧畷鍨叏閹惰姤鈷旂€广儱顦崹鍌炴煢濡尨绱氶柨婵嗩槸缁€瀣亜閺嶃劎鈽夋繛鍫熺矒濮婅櫣娑甸崨顔俱€愬銈庡亝濞茬喖宕洪埀顒併亜閹哄棗浜鹃梺鎸庢穿婵″洤危閹版澘绫嶉柛顐g箘椤撴椽姊虹紒妯哄鐎殿噮鍓欒灃闁告侗鍠氶崢鎼佹⒑閸撴彃浜介柛瀣閹﹢鏁冮崒娑氬幈闁诲函缍嗛崑鍡樻櫠椤掑倻纾奸柛灞剧☉缁椦囨煙閻熸澘顏柟鐓庢贡閹叉挳宕熼棃娑欐珡闂傚倸鍊风粈渚€骞栭銈傚亾濮樺崬鍘寸€规洖缍婇弻鍡楊吋閸涱垽绱遍柣搴$畭閸庨亶藝娴兼潙纾跨€广儱顦伴悡鏇㈡煛閸ャ儱濡煎褜鍨伴湁闁绘ǹ绉鍫熺畳闂備焦瀵х换鍌毼涘Δ鍛厺闁哄洢鍨洪悡鍐喐濠婂牆绀堟慨妯挎硾閽冪喖鏌曟繛褍瀚烽崑銊╂⒑缂佹ê濮囨い鏇ㄥ弮閸┿垽寮撮姀鈥斥偓鐢告煥濠靛棗鈧懓鈻嶉崶銊d簻闊洦绋愰幉楣冩煛鐏炵偓绀嬬€规洟浜堕、姗€鎮㈡總澶夌处