在MPLS VPN组网环境中,由于以下情况的存在,网络汇聚层需要进行访问控制和地址转换:
每个VPN内部可能存在多个不同的网段,为了有效控制网段间互访和服务器与终端间的访问,需要在汇聚层采用防火墙做单向访问控制;
两个或者多个VPN互访时,不同VPN内的IP地址可能存在地址冲突,所以需要在网络汇聚层进行地址转换。
如图7所示为比较常见的传统防火墙部署组网情况及其局限性。
此部署方式会对防火墙的接口类型、协议处理有较高要求。例如,当组网为汇聚和核心采用万兆链路并在汇聚和核心之间采用MPLS VPN组网的时候,就需要防火墙支持万兆链路并能够参与路由计算和处理MPLS报文。此部署方式会对防火墙的接口数量有较高要求。例如,当组网为接入和汇聚之间采用千兆光链路的时候,需要防火墙有较高的端口密度,并在汇聚层下挂多台防火墙才能满足部署要求,势必造成部署成本过高和管理节点过多的情况。
虚拟园区网下采用FW插卡部署,可解决传统部署模式带来的接口类型、协议处理、建设成本和运维管理等一系列的问题。如图8所示为在MPLS VPN环境中,防火墙的部署方式。将一块FW模块插入汇聚层交换机内,由交换机的接口板卡与接入以及核心设备连接,这样就无须考虑防火墙的接口类型等方面的要求;并且保证防火墙的处理在PE和CE之间,可以不必要求防火墙参与OSPF等动态路由协议计算和MPLS报文处理,大大简化了网络设计和运行维护。可见,模块化的安全部署方式在简化设计、降低总拥有成本等方面具有较大优势,是网络设计时需要考虑的常用设计方法之一。
| 共4页: 上一页 [1] [2] 3 [4] 下一页 |