私有云落地解決方案之網路篇-網路架構
作者:【吳業亮】
部落格:https://wuyeliang.blog.csdn.net/
網路需求:
1、不同的外網企業使用者訪問虛擬機器時,相互之間不能影響,業務必須隔離。同時,每個虛擬機器業務可使用的頻寬資源也要限制在一定範圍內,避免佔用大量資源。
2、內部網路中的虛擬機器和Portal系統都配置私網地址,要求對外發布兩者的公網地址,使外網企業使用者能夠通過公網地址訪問虛擬機器和Portal系統。
3、對外網企業使用者訪問虛擬機器和Portal系統的行為進行控制,僅允許訪問業務的流量通過。
4、提高裝置的可靠性,不能因為一臺裝置出現故障而導致業務中斷。
安全需求
防火牆外掛在核心交換機上
1、使用虛擬系統隔離外網企業使用者訪問虛擬機器的業務,每一個虛擬機器都屬於一個虛擬系統,每個虛擬系統中都限制了最大頻寬資源。
2、使用子介面與核心交換機相連,將子介面劃分到虛擬系統和根系統中,虛擬系統中的子介面用來傳輸虛擬機器業務,根系統中的子介面用來傳輸Portal系統業務。
3、使用NAT Server對外發布虛擬機器和Portal系統的公網地址,在每個虛擬系統中配置針對虛擬機器的NAT Server,在根系統中配置針對Portal系統的NAT Server。
4、使用安全策略對虛擬機器和Portal系統的業務進行訪問控制,在每個虛擬系統中配置針對虛擬機器業務的安全策略,在根系統中配置針對Portal系統業務的安全策略。
5、使用雙機熱備提高可靠性,兩臺防火牆形成主備備份狀態的雙機熱備,當主用防火牆出現故障時,備用防火牆接替其工作,業務不會中斷。
架構解釋
如下圖,防火牆旁掛在核心交換機上,工作在三層轉發模式。核心交換機從邏輯上分為上行、下行兩個部分,上行部分工作在三層轉發(L3)模式,下行部分工作在二層轉發(L2)模式。防火牆與核心交換機的上行部分之間執行OSPF,與核心交換機的下行部分之間執行VRRP,防火牆上VRRP的虛擬IP地址作為虛擬機器和Portal系統的閘道器。外網企業使用者訪問虛擬機器和Portal系統的流量經過核心交換機的上行部分轉發至防火牆處理後,再經過核心交換機的下行部分轉發至虛擬機器和Portal;回程流量則經過核心交換機的下行部分轉發至防火牆處理後,再經過核心交換機的上行部分傳送出去。
安全解決方案
防火牆A上的GE1/0/1介面與核心交換機A上的10GE1/1/0/1
1、防火牆A上的GE1/0/1介面劃分了多個子介面(此處僅以三個子介面為例進行說明),每個子介面上都配置了IP地址。其中多數的子介面都屬於不同的虛擬系統,劃分到虛擬系統的Untrust區域中;一個子介面屬於根系統,劃分到根系統的Untrust區域中。
2、核心交換機A上的10GE1/1/0/1介面為Trunk口,允許多個VLAN的報文通過,在每個Vlanif介面上都配置IP地址,邏輯上與防火牆A上相應的子介面連線。
防火牆A上的GE1/0/2介面與核心交換機A上的10GE1/1/0/2介面
1、防火牆A上的GE1/0/2介面劃分了兩個子介面(也可以根據Portal系統的實際網路情況劃分多個子介面),每個子介面上都配置了IP地址,每個子介面都劃分到根系統的DMZ區域中。
2、核心交換機A上的10GE1/1/0/2介面為Trunk口,允許多個VLAN的報文通過。
3、防火牆A上子介面的VRRP虛擬IP地址作為Portal系統的閘道器,終結VLAN,核心交換機A的作用是二層透傳報文。
防火牆A上的GE1/0/3介面與核心交換機A上的10GE1/1/0/3介面
1、防火牆A上的GE1/0/3介面劃分了多個子介面(此處僅以兩個子介面為例進行說明),每個子介面上都配置了IP地址。每個子介面都屬於不同的虛擬系統,劃分到虛擬系統的Trust區域中。
2、核心交換機A上的10GE1/1/0/3介面為Trunk口,允許多個VLAN的報文通過。
3、防火牆A上子介面的VRRP虛擬IP地址作為虛擬機器的閘道器,終結VLAN,核心交換機A的作用是二層透傳報文
策略方面
安全策略分為根系統中的安全策略和虛擬系統中的安全策略兩部分,根系統中安全策略的作用是允許外網企業使用者訪問Portal系統的報文通過,以及允許根系統與核心交換機之間互動的OSPF報文通過;虛擬系統中安全策略的作用是允許外網企業使用者訪問虛擬機器的報文通過,以及允許虛擬系統與核心交換機之間互動的OSPF報文通過。
同時,可以在安全策略上引用反病毒、入侵防禦的配置檔案,防範各種病毒、蠕蟲、木馬和殭屍網路攻擊。一般情況下,使用預設的反病毒和入侵防禦配置檔案default,即可滿足防範各種病毒、蠕蟲、木馬和殭屍網路攻擊的需求。
路由解決方案
路由分為根系統中的路由和虛擬系統中的路由兩部分,都配置預設路由、黑洞路由和OSPF路由,其中OSPF路由執行於防火牆與核心交換機相連的上行子介面上,如下圖所示。
1、根系統配置預設路由,下一跳為核心交換機A上相應的vlanif介面的IP地址;每個虛擬系統中均配置預設路由,下一跳為核心交換機A上相應的vlanif介面的IP地址。
2、根系統中配置目的地址是Portal系統的公網地址的黑洞路由,引入到根系統的OSPF中釋出給核心交換機;每個虛擬系統中配置目的地址是虛擬機器公網地址的黑洞路由,引入到虛擬系統的OSPF中釋出給核心交換機A。
3、根系統和虛擬系統中都執行OSPF路由協議,虛擬系統中的OSPF是通過在根系統中繫結虛擬系統對應的VPN例項來實現的。
虛擬機器流量示意圖
Portal流量示意圖
容災解決方案
正常情況
裝置故障自動切換示意圖
相關文章
- 私有云落地解決方案之網路篇-關鍵技術-VRRPVR
- 超融合私有云基礎架構方案評估(架構與儲存篇)架構
- MySQL資料庫之網際網路常用架構方案(全)MySql資料庫架構
- SAP公有云和私有云解決方案概述
- 網路運維網管解決方案運維
- 網路安全控制網管解決方案
- 江蘇南京-網路安全解決方案(科來網路分析)
- 網際網路資料中心解決方案
- 網際網路理想架構架構
- 網路虛擬化VXLAN網路架構架構
- 江民KV網路版企業網路安全解決方案(轉)
- 部隊自建私有云盤專案解決方案
- 杉巖資料私有云儲存解決方案
- 計算機網路之一:網路架構計算機網路架構
- 大型網際網路架構概述架構
- 反網路爬蟲以及解決方案爬蟲
- 網路安全解決方案與智慧城市
- 網際網路公司無線覆蓋解決方案
- 測試開發之網路篇-網路路由路由
- 網際網路架構三板斧之併發架構
- Ixia全新網路操作解決方案可完整探查網路資料包
- 構建運營級IPv6網路解決方案概述
- WiNet智慧網路解決方案解讀 讓網路運維更簡單運維
- 分散式網際網路架構之路分散式架構
- java+網際網路架構人才Java架構
- Docker網路解決方案 - Flannel部署記錄Docker
- Docker網路解決方案 - Weave部署記錄Docker
- Docker網路解決方案 - Calico部署記錄Docker
- 全渠道時代的金融網路解決方案
- 網路系統安全綜合解決方案 (轉)
- 網路安全:網安法落地
- 全國會展臨時網路解決方案-18科技網路搭建靠譜
- 私有云基礎架構設計:儲存、網路、計算、安全和應用的設計最佳實踐及案例架構
- 不是技術“大牛”也能選對私有云解決方案
- 神經網路簡介--啟用函式、網路架構、生物模型解釋神經網路函式架構模型
- 個人使用者:VoIP網路電話解決方案|voip網路電話|深圳網路電話公司
- 網路基礎之網路協議篇協議
- iOS應用架構談(3):網路層設計方案iOS應用架構