私有云落地解決方案之網路篇-網路架構
作者:【吳業亮】
部落格:https://wuyeliang.blog.csdn.net/
網路需求:
1、不同的外網企業使用者訪問虛擬機器時,相互之間不能影響,業務必須隔離。同時,每個虛擬機器業務可使用的頻寬資源也要限制在一定範圍內,避免佔用大量資源。
2、內部網路中的虛擬機器和Portal系統都配置私網地址,要求對外發布兩者的公網地址,使外網企業使用者能夠通過公網地址訪問虛擬機器和Portal系統。
3、對外網企業使用者訪問虛擬機器和Portal系統的行為進行控制,僅允許訪問業務的流量通過。
4、提高裝置的可靠性,不能因為一臺裝置出現故障而導致業務中斷。
安全需求
防火牆外掛在核心交換機上
1、使用虛擬系統隔離外網企業使用者訪問虛擬機器的業務,每一個虛擬機器都屬於一個虛擬系統,每個虛擬系統中都限制了最大頻寬資源。
2、使用子介面與核心交換機相連,將子介面劃分到虛擬系統和根系統中,虛擬系統中的子介面用來傳輸虛擬機器業務,根系統中的子介面用來傳輸Portal系統業務。
3、使用NAT Server對外發布虛擬機器和Portal系統的公網地址,在每個虛擬系統中配置針對虛擬機器的NAT Server,在根系統中配置針對Portal系統的NAT Server。
4、使用安全策略對虛擬機器和Portal系統的業務進行訪問控制,在每個虛擬系統中配置針對虛擬機器業務的安全策略,在根系統中配置針對Portal系統業務的安全策略。
5、使用雙機熱備提高可靠性,兩臺防火牆形成主備備份狀態的雙機熱備,當主用防火牆出現故障時,備用防火牆接替其工作,業務不會中斷。
架構解釋
如下圖,防火牆旁掛在核心交換機上,工作在三層轉發模式。核心交換機從邏輯上分為上行、下行兩個部分,上行部分工作在三層轉發(L3)模式,下行部分工作在二層轉發(L2)模式。防火牆與核心交換機的上行部分之間執行OSPF,與核心交換機的下行部分之間執行VRRP,防火牆上VRRP的虛擬IP地址作為虛擬機器和Portal系統的閘道器。外網企業使用者訪問虛擬機器和Portal系統的流量經過核心交換機的上行部分轉發至防火牆處理後,再經過核心交換機的下行部分轉發至虛擬機器和Portal;回程流量則經過核心交換機的下行部分轉發至防火牆處理後,再經過核心交換機的上行部分傳送出去。
安全解決方案
防火牆A上的GE1/0/1介面與核心交換機A上的10GE1/1/0/1
1、防火牆A上的GE1/0/1介面劃分了多個子介面(此處僅以三個子介面為例進行說明),每個子介面上都配置了IP地址。其中多數的子介面都屬於不同的虛擬系統,劃分到虛擬系統的Untrust區域中;一個子介面屬於根系統,劃分到根系統的Untrust區域中。
2、核心交換機A上的10GE1/1/0/1介面為Trunk口,允許多個VLAN的報文通過,在每個Vlanif介面上都配置IP地址,邏輯上與防火牆A上相應的子介面連線。
防火牆A上的GE1/0/2介面與核心交換機A上的10GE1/1/0/2介面
1、防火牆A上的GE1/0/2介面劃分了兩個子介面(也可以根據Portal系統的實際網路情況劃分多個子介面),每個子介面上都配置了IP地址,每個子介面都劃分到根系統的DMZ區域中。
2、核心交換機A上的10GE1/1/0/2介面為Trunk口,允許多個VLAN的報文通過。
3、防火牆A上子介面的VRRP虛擬IP地址作為Portal系統的閘道器,終結VLAN,核心交換機A的作用是二層透傳報文。
防火牆A上的GE1/0/3介面與核心交換機A上的10GE1/1/0/3介面
1、防火牆A上的GE1/0/3介面劃分了多個子介面(此處僅以兩個子介面為例進行說明),每個子介面上都配置了IP地址。每個子介面都屬於不同的虛擬系統,劃分到虛擬系統的Trust區域中。
2、核心交換機A上的10GE1/1/0/3介面為Trunk口,允許多個VLAN的報文通過。
3、防火牆A上子介面的VRRP虛擬IP地址作為虛擬機器的閘道器,終結VLAN,核心交換機A的作用是二層透傳報文
策略方面
安全策略分為根系統中的安全策略和虛擬系統中的安全策略兩部分,根系統中安全策略的作用是允許外網企業使用者訪問Portal系統的報文通過,以及允許根系統與核心交換機之間互動的OSPF報文通過;虛擬系統中安全策略的作用是允許外網企業使用者訪問虛擬機器的報文通過,以及允許虛擬系統與核心交換機之間互動的OSPF報文通過。
同時,可以在安全策略上引用反病毒、入侵防禦的配置檔案,防範各種病毒、蠕蟲、木馬和殭屍網路攻擊。一般情況下,使用預設的反病毒和入侵防禦配置檔案default,即可滿足防範各種病毒、蠕蟲、木馬和殭屍網路攻擊的需求。
路由解決方案
路由分為根系統中的路由和虛擬系統中的路由兩部分,都配置預設路由、黑洞路由和OSPF路由,其中OSPF路由執行於防火牆與核心交換機相連的上行子介面上,如下圖所示。
1、根系統配置預設路由,下一跳為核心交換機A上相應的vlanif介面的IP地址;每個虛擬系統中均配置預設路由,下一跳為核心交換機A上相應的vlanif介面的IP地址。
2、根系統中配置目的地址是Portal系統的公網地址的黑洞路由,引入到根系統的OSPF中釋出給核心交換機;每個虛擬系統中配置目的地址是虛擬機器公網地址的黑洞路由,引入到虛擬系統的OSPF中釋出給核心交換機A。
3、根系統和虛擬系統中都執行OSPF路由協議,虛擬系統中的OSPF是通過在根系統中繫結虛擬系統對應的VPN例項來實現的。
虛擬機器流量示意圖
Portal流量示意圖
容災解決方案
正常情況
裝置故障自動切換示意圖
相關文章
- 超融合私有云基礎架構方案評估(架構與儲存篇)架構
- MySQL資料庫之網際網路常用架構方案(全)MySql資料庫架構
- 工業網際網路平臺架構方案架構
- 網路安全控制網管解決方案
- 網路運維網管解決方案運維
- SAP公有云和私有云解決方案概述
- 私有云部署在網際網路公司中的應用案例解析
- 安緹網路雲解決方案
- 網路虛擬化VXLAN網路架構架構
- 網際網路理想架構架構
- 計算機網路之一:網路架構計算機網路架構
- WiNet智慧網路解決方案解讀 讓網路運維更簡單運維
- 大型網際網路架構概述架構
- 反網路爬蟲以及解決方案爬蟲
- 網路安全解決方案與智慧城市
- 杉巖資料私有云儲存解決方案
- 部隊自建私有云盤專案解決方案
- 測試開發之網路篇-網路路由路由
- 網際網路架構三板斧之併發架構
- 網際網路公司無線覆蓋解決方案
- 容器雲架構–瞭解 Kubernetes 網路模型架構模型
- 神經網路之卷積篇:詳解經典網路(Classic networks)神經網路卷積
- 工業網際網路平臺架構方案,構建工業網際網路企業數字化、網路化、智慧化服務體系架構
- 分散式網際網路架構之路分散式架構
- 神經網路簡介--啟用函式、網路架構、生物模型解釋神經網路函式架構模型
- 阿里雲企業級雲網路解決方案,助力企業構建安全可靠的雲網路阿里
- 私有云基礎架構設計:儲存、網路、計算、安全和應用的設計最佳實踐及案例架構
- 網際網路動靜分離架構架構
- 『網際網路架構』軟體架構-mybatis體系結構(14)架構MyBatis
- 現代網路的解決方案—SD-WAN
- 網路會議室解決方案系統部署
- 不是技術“大牛”也能選對私有云解決方案
- 網際網路架構:屢試不爽的架構三馬車架構
- 『網際網路架構』軟體架構-環境搭建maven(三)架構Maven
- 圖解 Kafka 原始碼之 NetworkClient 網路通訊元件架構設計圖解Kafka原始碼client元件架構
- 解構全球網軍之以色列網路作戰部隊
- 在靜態網路環境中快速修改網路配置資訊的解決方案
- 基於 Nginx 的大型網際網路叢集架構與實戰方案Nginx架構
- 容器技術架構、網路和生態詳解架構