透過引流方式實現防火牆旁掛部署並且實現安全防護功能案例
一、專案背景
1、客戶有購買了一臺某公司由於效能問題和伺服器直連核心交換機原因,決定採取旁掛方式部署,但是又希望實現安全防護,因此決定透過引流方式(QOS的流量重定向)把需要防護的流量引到防火牆,防火牆做路由模式部署,流量在防火牆上過一遍後再回到伺服器或者出去。
2、這種部署模式好處如下:
a)只引流需要防護的流量即可,如果是透明模式部署,可能所有經過的流量都需要防護。
b)不用做網路改造,特別是對於直連核心的伺服器,傳統改造辦法是新增伺服器匯聚交換機,伺服器接到匯聚交換機,匯聚交換機直連核心交換機。
c)在一些場景下,例如原本客戶核心交換機和匯聚交換機是萬兆介面互聯,但是防火牆是千兆介面情況下,要上架防火牆並且實現安全防護,這時候可以把防火牆接到核心交換機千兆口上,配置為路由模式,然後透過引流方式先在防火牆過濾一遍再出去。
二、流程原理
1、業務流量從各業務伺服器業務網段進入核心交換機上行埠
2、進入核心交換機內部的業務流量經策略路由引導從核心交換機的防火牆接入埠(LAN口)進入防火牆
2.1、如果防火牆無異常則業務流量正常進入防火牆
2.2、如果防火牆接入埠無法接通則業務流量經預設路由直接導向核心交換機的流量出口
3、業務流量經接入埠進入防火牆後,由防火牆過濾異常流量
4、經防火牆過濾後的業務流量根據防火牆路由表由防火牆的接出埠(WAN口)到達核心交換機
5、經防火牆過濾後的業務流量進入核心交換機後,經過路由轉發和資料交換機後到達各個接入交換機。
6、客戶端訪問業務的流量則反過來,先從防火牆WAN口進,然後從LAN口出去到核心交換機。
三、部署方案
1、防火牆設定兩個三層口,均為不同網段,核心交換機上設定兩個三層介面,IP設定為和防火牆的兩個三層口在同一網段。
2、核心交換機透過流策略將報文轉發給防火牆。防火牆工作在路由模式,使用三層介面接收核心交換機轉發過來的流量,再透過靜態路由回注給核心交換機側的VLANIF介面。
3、這些流策略要寫兩個,一個是使用者端訪問業務的流量做引流的流策略P1,一個是業務伺服器的回包流量或主動訪問的流量做引流的流策略P2,因此P1對應下一跳是防火牆WAN口IP,P2對應下一跳是防火牆LAN口IP,P1對應的ACL是匹配訪問業務的流量,P2對應的ACL是匹配訪問業務的回包流量和業務伺服器主動訪問的流量。
4、防火牆上的配置分別如下:
4.1、除了設定介面IP,還需要設定預設路由和回包路由,確保網路通訊正常。
4.2、兩個介面設定不同區域,然後正常設定應用控制策略和安全防護策略。
4.3、核心交換機的內部乙太網介面配置介面上報狀態變化事件的延時時間。在重啟防火牆的場景下,核心交換機側內部乙太網介面先於防火牆側內部乙太網介面Up,此時核心交換機將流量轉發給防火牆,會導致流量中斷。因此,需要在核心交換機的內部乙太網介面配置介面上報狀態變化事件的延時時間,建議不少於10秒。
4.4、核心交換機側配置策略路由,將流量重定向到防火牆。
5、建議在交換機設定nqa,在防火牆無法通訊情況,不做流量重定向,走核心交換機路由。
說明:
推薦將多個內部乙太網介面捆綁成Eth-Trunk介面來提高頻寬和可靠性。
四、具體配置
4.1 核心交換機部分
a)基礎設定,介面部分:
核心交換機接防火牆WAN口的口
interface GigabitEthernet1/0/10
ip address 199.199.199.2 255.255.255.252
核心交換機接防火牆LAN口的口
interface GigabitEthernet1/0/11
ip address 199.199.199.6 255.255.255.252
配置內部乙太網介面上報狀態變化事件的延時時間(介面模式下)
carrier up-hold-time 10000
b)流量重定向設定(
配置流策略,伺服器出去(使用者訪問伺服器的回包流量)的流量重定向到防火牆
):
建立ACL。
acl number 3001
rule 5 permit ip source 192.168.141.111 0
rule 10 permit ip source 192.168.141.110 0
rule 15 permit ip source 192.168.141.223 0
rule 20 permit ip source 192.168.141.224 0
rule 25 permit ip source 192.168.141.225 0
rule 30 permit ip source 192.168.141.226 0
rule 35 permit ip source 192.168.141.227 0
rule 40 permit ip source 192.168.141.113 0
rule 45 permit ip source 192.168.141.232 0
rule 50 permit ip source 192.168.141.222 0
配置流分類。
traffic classifier c1 operator or precedence 10
if-match acl 3001
配置流行為,將流量重定向到防火牆LAN口。
traffic behavior beha1
permit
redirect ip-nexthop 199.199.199.5
配置流策略並應用到介面的入方向上。
traffic policy p1 match-order config
classifier c1 behavior beha1
GigabitEthernet1/0/32 (伺服器所在介面)
port link-type trunk
port trunk allow-pass vlan 2 to 4094
traffic-policy p1 inbound
c)流量重定向設定(
配置流策略,
使用者主動訪問伺服器的流量重定向到防火牆
):
建立ACL。
acl number 3002
rule 5 permit ip destination 192.168.141.111 0
rule 10 permit ip destination 192.168.141.221 0
rule 15 permit ip destination 192.168.141.222 0
rule 20 permit ip destination 192.168.141.223 0
rule 25 permit ip destination 192.168.141.224 0
rule 30 permit ip destination 192.168.141.225 0
rule 35 permit ip destination 192.168.141.226 0
rule 40 permit ip destination 192.168.141.227 0
rule 45 permit ip destination 192.168.141.113 0
rule 50 permit ip destination 192.168.141.232 0
配置流分類。
traffic classifier c2 operator or precedence 15
if-match acl 3002
配置流行為,將流量重定向到防火牆WAN口。
traffic behavior beha2
permit
redirect ip-nexthop 199.199.199.1
配置流策略並應用到介面的入方向上。
traffic policy p2 match-order config
classifier c2 behavior beha2
interface Eth-Trunk1 (核心上聯口)
ip address 192.168.1.98 255.255.255.248
traffic-policy p2 inbound
4.2:接入的防火牆需做以下配置(具體就不截圖了,就是普通的路由部署):
1、防火牆:建立兩個三層口介面,WAN199.199.199.1,LAN199.199.199.5:
3、防火牆:配置靜態路由,將過濾流量匯出
4、防火牆:介面加入安全域,並配置安全策略:.