私有云落地解决方案之网络篇-网络架构

时间:2021-09-24 17:13:33

作者:【吴业亮】

博客:http://blog.csdn.net/wylfengyujiancheng

网络需求:

1、不同的外网企业用户访问虚拟机时,相互之间不能影响,业务必须隔离。同时,每个虚拟机业务可使用的带宽资源也要限制在一定范围内,避免占用大量资源。

2、内部网络中的虚拟机和Portal系统都配置私网地址,要求对外发布两者的公网地址,使外网企业用户能够通过公网地址访问虚拟机和Portal系统。

3、对外网企业用户访问虚拟机和Portal系统的行为进行控制,仅允许访问业务的流量通过。

4、提高设备的可靠性,不能因为一台设备出现故障而导致业务中断。

安全需求
防火墙外挂在核心交换机上
1、使用虚拟系统隔离外网企业用户访问虚拟机的业务,每一个虚拟机都属于一个虚拟系统,每个虚拟系统中都限制了最大带宽资源。

2、使用子接口与核心交换机相连,将子接口划分到虚拟系统和根系统中,虚拟系统中的子接口用来传输虚拟机业务,根系统中的子接口用来传输Portal系统业务。

3、使用NAT Server对外发布虚拟机和Portal系统的公网地址,在每个虚拟系统中配置针对虚拟机的NAT Server,在根系统中配置针对Portal系统的NAT Server。

4、使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。

5、使用双机热备提高可靠性,两台防火墙形成主备备份状态的双机热备,当主用防火墙出现故障时,备用防火墙接替其工作,业务不会中断。

私有云落地解决方案之网络篇-网络架构

架构解释

如下图,防火墙旁挂在核心交换机上,工作在三层转发模式。核心交换机从逻辑上分为上行、下行两个部分,上行部分工作在三层转发(L3)模式,下行部分工作在二层转发(L2)模式。防火墙与核心交换机的上行部分之间运行OSPF,与核心交换机的下行部分之间运行VRRP,防火墙上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过核心交换机的上行部分转发至防火墙处理后,再经过核心交换机的下行部分转发至虚拟机和Portal;回程流量则经过核心交换机的下行部分转发至防火墙处理后,再经过核心交换机的上行部分发送出去。

私有云落地解决方案之网络篇-网络架构

安全解决方案

防火墙A上的GE1/0/1接口与核心交换机A上的10GE1/1/0/1

私有云落地解决方案之网络篇-网络架构
1、防火墙A上的GE1/0/1接口划分了多个子接口(此处仅以三个子接口为例进行说明),每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统,划分到虚拟系统的Untrust区域中;一个子接口属于根系统,划分到根系统的Untrust区域中。

2、核心交换机A上的10GE1/1/0/1接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与防火墙A上相应的子接口连接。

防火墙A上的GE1/0/2接口与核心交换机A上的10GE1/1/0/2接口

私有云落地解决方案之网络篇-网络架构
1、防火墙A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。
2、核心交换机A上的10GE1/1/0/2接口为Trunk口,允许多个VLAN的报文通过。

3、防火墙A上子接口的VRRP虚拟IP地址作为Portal系统的网关,终结VLAN,核心交换机A的作用是二层透传报文。

防火墙A上的GE1/0/3接口与核心交换机A上的10GE1/1/0/3接口

私有云落地解决方案之网络篇-网络架构
1、防火墙A上的GE1/0/3接口划分了多个子接口(此处仅以两个子接口为例进行说明),每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统,划分到虚拟系统的Trust区域中。

2、核心交换机A上的10GE1/1/0/3接口为Trunk口,允许多个VLAN的报文通过。

3、防火墙A上子接口的VRRP虚拟IP地址作为虚拟机的网关,终结VLAN,核心交换机A的作用是二层透传报文

策略方面

安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分,根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过,以及允许根系统与核心交换机之间交互的OSPF报文通过;虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过,以及允许虚拟系统与核心交换机之间交互的OSPF报文通过。

同时,可以在安全策略上引用反病毒、入侵防御的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。

路由解决方案
路由分为根系统中的路由和虚拟系统中的路由两部分,都配置缺省路由、黑洞路由和OSPF路由,其中OSPF路由运行于防火墙与核心交换机相连的上行子接口上,如下图所示。
私有云落地解决方案之网络篇-网络架构

1、根系统配置缺省路由,下一跳为核心交换机A上相应的vlanif接口的IP地址;每个虚拟系统中均配置缺省路由,下一跳为核心交换机A上相应的vlanif接口的IP地址。
2、根系统中配置目的地址是Portal系统的公网地址的黑洞路由,引入到根系统的OSPF中发布给核心交换机;每个虚拟系统中配置目的地址是虚拟机公网地址的黑洞路由,引入到虚拟系统的OSPF中发布给核心交换机A。
3、根系统和虚拟系统中都运行OSPF路由协议,虚拟系统中的OSPF是通过在根系统中绑定虚拟系统对应的VPN实例来实现的。

虚拟机流量示意图
私有云落地解决方案之网络篇-网络架构

Portal流量示意图
私有云落地解决方案之网络篇-网络架构

容灾解决方案
正常情况
私有云落地解决方案之网络篇-网络架构

设备故障自动切换示意图
私有云落地解决方案之网络篇-网络架构