随着园区网业务对灵活性、安全性、可实施性等要求的不断提高,其网络必然会逐渐在灵活、动态、资源化等方面有长足的发展。安全作为园区网网络服务的一种,如何作为一种可动态分配的资源针对不同业务(OA、监控等)进行针对性的部署,一直是园区网络设计中很重要的部分。
可资源化的安全部署
在虚拟园区网2.0解决方案大规模部署的情况下,当网络资源通过IRF2技术横向整合和VPN技术纵向隔离,形成了分层分业务的虚拟化后,安全的资源化如何与网络的资源化相匹配,形成网络与安全的整体资源部署,是虚拟园区网设计中的重点。
FW、NAT、SSL VPN、IPS、NetStream、ACG(应用控制网关)等园区网内的安全技术和相关产品层出不穷,为了简化问题 ,从工作模式入手,安全产品大致可以分为两类:三层工作模式和二层工作模式的产品。另外,从可靠性等方面考虑,又有多种部署方式:Active- Active;Active-Standby。通过工作模式和部署方式的组合,我们挑选出一两种有代表性的组合方式及以H3C安全产品为例,讨论虚拟园区网2.0中的安全资源化部署的问题。
IRF2环境下防火墙部署
如图1所示是通常情况下园区网络汇聚层防火墙的逻辑部署方式,通过在汇聚层面的防火墙部署,可以用更简单的操作进行园区内部或者是每个虚拟网内部的访问控制。
H3C防火墙具备会话同步的热备份功能,使用专用的一条或两条带外线缆(双机热备专线)进行两台防火墙的会话信息进行同步,配合交换网络流量切换,可保证单台防火墙故障时应用流量不会中断。
图1中两个组网的物理连接方式相同,但是右图组网采用IRF2技术后却能够改变整网的逻辑部署,并在设计上只需要更简单的考虑。
以下分别就防火墙的路由模式和透明模式来讨论,在IRF2的组网环境下,安全部署有哪些不同。
防火墙路由模式部署
传统的防火墙路由模式部署,当部署于园区网汇聚层的话,假设二层终结于汇聚层,汇聚和直到核心的网络处于同一个OSPF域内,其三层接口部署一般如图2所示。
采用Actice-Active方式部署,各防火墙作为独立路由运行节点与交换系统组成动态路由区域,完全由路由协议控制数据流经的防火墙,两台防火墙之间相互同步会话状态信息,支持非对称流量安全检测,这样全网可见12个路由节点,至少12条路由(不考虑网段路由等其他情况)。
采用Active-Standby方式部署,为了保证负载分担,需要采用多VRRP组的部署方式。鉴于核心汇聚交换机和FW连接接口均为三层接口,需要核心、汇聚、防火墙上分别起两组VRRP组,才能完成不同路径下流量的负载分担。
图3为采用IRF2技术之后的部署。通过IRF2部署,能够有效降低网络中三层接口数量和路由表大小,并将核心和核心之间、汇聚和汇聚之间的数据交互有效屏蔽在网络的二层,简化了网络设计和运维管理需要考虑的问题,从而使得网络设计更简单。
对于Active-Active组网模式下,如图3右图所示,汇聚和核心层面设备进行了横向整合,整网的三层接口缩减为7个,相应的网络内路由条数缩减为7条。
而对于Active-Standby部署模式,如图3左图所示,当整网IRF2整合之后,由于核心和汇聚设备横向整合在一起,不但三层接口和路由数目大为减少,并且只需要在防火墙上起2个VRRP组即可达到传统6个VRRP组才能实现的功能,虚拟化所带来的好处更加明显
| 共4页: 1 [2] [3] [4] 下一页 |