【doc】防火墻組網(wǎng)方案分析

1、防火墻組網(wǎng)方案分析舫火墻組網(wǎng)方案分析閏寶剛1概述對于電信運營商,運營支撐主要是指營業(yè)受理,計費及賬務(wù)處理,客戶服務(wù),內(nèi)部辦公等.為實現(xiàn)這些功能,我們必須構(gòu)建一個基于網(wǎng)絡(luò)的運營支撐系統(tǒng),這種網(wǎng)絡(luò)的典型結(jié)構(gòu)是三層結(jié)構(gòu),接入層實現(xiàn)外部網(wǎng)絡(luò)的接入,主要由具有多種接口的高端路由器來實現(xiàn);核心層實現(xiàn)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換,主要由高端三層交換機來實現(xiàn);防火墻層介于接入層和核心層之間實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全保護(hù),主要由高端防火墻來實現(xiàn).本文主要分析防火墻層在這種三層結(jié)構(gòu)中的多種組網(wǎng)方式,論述各種組網(wǎng)方案如何實現(xiàn)高可用性,并針對不同的系統(tǒng)需求提出相應(yīng)的解決方案.2高可用性防火墻組網(wǎng)方案比較要實現(xiàn)網(wǎng)絡(luò)的高可用性,首先就要

2、排除網(wǎng)絡(luò)中的單點故障點,使網(wǎng)絡(luò)在任何一臺網(wǎng)絡(luò)設(shè)備失效時仍能提供網(wǎng)絡(luò)服務(wù).因此這種方案通常要在接入層配置最少兩臺的路由器,在核心層配置最少兩臺的交換機,同樣在防火墻層配置最少兩臺的防火墻.接人層l防火墻層層圖1防火墻組網(wǎng)示意圖為了實現(xiàn)以上的功能要求,防火墻必須應(yīng)用到專門的雙機容錯技術(shù),一般防火墻都有該功能,被稱為failover或者h(yuǎn)a.這種功能要求防火墻的兩端設(shè)備必須具有交換功能,因為對于兩個互相做failover的設(shè)備,互為備份的鏈路需要有相同的配置.例如要求有相同的外部接口網(wǎng)關(guān)地址(或者到外部網(wǎng)絡(luò)的靜態(tài)路由的下一跳地址),如果對端只是一個三層設(shè)備(如路由器),是無法在兩個接口配置同樣的地址

3、的,需要一個二層設(shè)備匯接兩個防火墻的鏈路,而這個二層設(shè)備的默認(rèn)網(wǎng)關(guān)就是防火墻需要的網(wǎng)關(guān)地址.雖然也有一種非常規(guī)的做法,可以把路由器的接口通過irb配置成橋接接口,可以在一臺路由器上實現(xiàn)交換機接口的部分功能,不過這種做法降低了路由器的效率,而且如果接入層是兩臺路由器就需要更為復(fù)雜的配置,況且這只是一種理論上可行的方式在現(xiàn)實工程中極少采用.另外,為了實現(xiàn)高可用性,排除網(wǎng)絡(luò)中的單點故障,一般采用兩臺二層交換機,同時通過在路由器上啟用hsrp,實現(xiàn)虛擬路由器的功能,即使一臺路由器失效,仍能保持接入層的功能,實現(xiàn)與防火墻的通信.常用的組網(wǎng)方案根據(jù)兩臺防火墻的工作狀態(tài)可以分為activestandby,a

4、ctiveactive方案;按照鏈路數(shù)量可以分為單鏈路,雙鏈路方案;根據(jù)與兩層網(wǎng)絡(luò)間的連接方式可以分為跨接,旁路方案.這三種分類可以相互組合形成防火墻的組網(wǎng)方案.下面將對這些方案進(jìn)行分析.2.1方案1:activeactive單鏈路跨接方案圖2activeactive單鏈路跨接組網(wǎng)示意圖本方案采用防火墻跨接在路由器和交換機之間的組網(wǎng)方式,任何時候都有兩臺防火墻在工作,兩臺防火墻互為備用防火墻.兩臺防火墻通過一條心44跳線連接實現(xiàn)狀態(tài)的同步,主用鏈路和備用鏈路的要求配置完全一致,互相進(jìn)行鏈路備份,一旦出現(xiàn)主用防火墻鏈路失效或者防火墻本身失效,立即切換到另一臺防火墻,此時鏈路帶寬下降為原有的50%

5、,一條鏈路上完成兩條鏈路的工作.優(yōu)點:兩臺防火墻的性能同時得到發(fā)揮,系統(tǒng)集成較簡單,防火墻可以工作在透明模式.在三層網(wǎng)絡(luò)中,出現(xiàn)單臺失效時網(wǎng)絡(luò)仍然可以工作.接人層與核心層之間的通信必須經(jīng)過防火墻,沒有直接的鏈路,保證網(wǎng)絡(luò)的高安全性.節(jié)省網(wǎng)絡(luò)設(shè)備ge端口數(shù)量,比交叉連接方案節(jié)省8個ge接口,減少工程實施工作量.缺點:當(dāng)一臺防火墻的鏈路失效時,整體性能下降50%,需求靜態(tài)對內(nèi)部服務(wù)器分組,以保證tcp持續(xù)性.需要在三層交換機上啟用路由策略,增加系統(tǒng)集成的難度.接人層或者核心層設(shè)備失效或者鏈路失效,都會導(dǎo)致防火墻的切換,導(dǎo)致性能下降50%.2.2方案2:activestandby單鏈路跨接方案圖3a

6、ctivestandby單鏈路跨接示意圖本方案與方案1基本相同只是采取單鏈路組網(wǎng),任何時候只有1臺防火墻在工作,所以由防火墻的性能和帶寬只有方案1的50%.如果主用防火墻的鏈路失效或者防火墻失效,都會切換到備用防火墻.優(yōu)點:具有方案1除了雙鏈路以外的所有優(yōu)點,而網(wǎng)絡(luò)邏輯結(jié)構(gòu)更加簡化,系統(tǒng)集成難度最小,網(wǎng)絡(luò)設(shè)備配置簡單,不必在交換機上使用策略路由,減少工程實施工作量.不必對服務(wù)器進(jìn)行靜態(tài)分組,所有流量只會經(jīng)過同一臺防火墻.缺點:只使用到一臺防火墻的性能,對于接人層路由器,核心層交換機也是只有一臺設(shè)備來承擔(dān)三層網(wǎng)絡(luò)間的數(shù)據(jù)傳送,造成同層網(wǎng)絡(luò)的設(shè)備負(fù)載不均衡.接人層或者核心層設(shè)備失效或者鏈路失效,都

7、會導(dǎo)致防火墻的切換.2.3方案3:activeactive雙鏈路旁路方案圖4activeactive雙鏈路旁路示意圖本方案是在大型數(shù)據(jù)中心經(jīng)常使用的案例,利用交換機劃分vlan的功能,相當(dāng)于將交換模塊根據(jù)不同的v|an分成兩個交換模塊使用,一個vlan連接防火墻的外部接口和上聯(lián)路由器的接口,另一個vlan連接防火墻內(nèi)部接口.所有外部流量從路由器接口進(jìn)入交換機,然后通過二層交換直接進(jìn)入防火墻外部接口,經(jīng)過防火墻后從內(nèi)部接口進(jìn)入交換機,最后進(jìn)入核心網(wǎng)絡(luò).兩臺防火墻分別有兩條鏈路,一條主用一條備用,當(dāng)主用電路失效時,備用電路啟用接管流量,當(dāng)整臺防火墻失效的時候通過failover功能切換到另一臺防火

8、墻,由正常工作的防火墻在一條鏈路上實現(xiàn)兩條鏈路的流量.旁路方案還有activestandby方式,類似方案1,activeactive,類似方案2,區(qū)別只在于不必另外配置交換機.優(yōu)點:具有雙鏈路,兩臺防火墻同時工作,最大限度地發(fā)揮兩臺防火墻的性能,總體吞吐量是兩臺防火墻吞吐量之和;具有高可用性,能夠靜態(tài)地均衡兩臺防火墻的負(fù)載,同時實現(xiàn)接人層,核心層的負(fù)載均衡雙機容錯;省去了防火墻與接人層路由器之間的交換機.缺點:占用設(shè)備接口數(shù)量多,比方案1多占用核心交換機的8個ge接口,核心層端口主要應(yīng)該用于內(nèi)部服務(wù)器的接人,拓展比較復(fù)雜增加了網(wǎng)絡(luò)的復(fù)雜性.系統(tǒng)集成難度大,必須在路由交換機上啟用策略路由,增加

9、交換機的負(fù)載.由于防火墻不能做到動態(tài)負(fù)載均衡,為了保持tcp連接的持續(xù)性,必須保證每條數(shù)據(jù)流的進(jìn)出經(jīng)過同一防火墻,在網(wǎng)絡(luò)部署時會增加一定的工作量,而且靜態(tài)均衡不能準(zhǔn)確分擔(dān)網(wǎng)絡(luò)的負(fù)載,在系統(tǒng)升級擴容或者增加服務(wù)類型,訪問策略時也需要更多的工作.接人層和核心層之間有直接鏈路,存在不經(jīng)過防火墻直接通4s.信的可能,對于這種不經(jīng)過防火墻的流量,防火墻無法提供安全保障.2.4方案4:activeactive雙鏈路方案圖5activeactive雙鏈路示意圖這種方案是防火墻高可用性組網(wǎng)的典型案例,兩臺防火墻同時工作,每臺防火墻只有一條鏈路在工作,同一臺防火墻的兩條互為備份鏈路,如果主用鏈路失效備用鏈路就會

10、啟用接管所有流量;當(dāng)一臺防火墻失效時,另一臺防火墻通過failover功能接管失效防火墻的流量,在一條主用鏈路上運行兩條鏈路的功能;當(dāng)只剩一臺防火墻工作時,如果其主用鏈路失效備用鏈路也會接管兩條鏈路的流量.整個方案提供了極高的可用性.另外一個特點是,具有兩條心跳線連接,一條傳送狀態(tài)信號,控制信號,另一條可以作為數(shù)據(jù)鏈路使用,當(dāng)其中一臺防火墻的上行或下行鏈路同時失效而另一臺防火墻仍具有上下行鏈路時,可以通過數(shù)據(jù)心跳線使出現(xiàn)失效鏈路的防火墻仍能繼續(xù):【作.優(yōu)點:具有最高級別的可用性和可靠性,同時發(fā)揮了兩臺防火墻的性能,上下行設(shè)備有一臺失效的情況下仍然可以保持兩臺防火墻雙鏈路同時工作.在三層網(wǎng)絡(luò)中非

11、防火墻設(shè)備只要仍有一臺在正常工作,防火墻層仍然可以保持發(fā)揮兩臺防火墻的性能,只有當(dāng)一臺防火墻失效時,性能才會下降50%.接入層與核心層之間的通信必須經(jīng)過防火墻,沒有直接的鏈路,保證網(wǎng)絡(luò)的高安全性.缺點:核心層服務(wù)需要根據(jù)兩條鏈路進(jìn)行靜態(tài)分組,以保持tcp持續(xù)性.系統(tǒng)集成具有一定的難度,必須在路由交換機上啟用策略路由,增加交換機的負(fù)載.3防火墻組網(wǎng)方案選擇對于方案的選擇,必須根據(jù)實際情況來決定,以用戶系統(tǒng)需求為實現(xiàn)目標(biāo)綜合考慮不同的組網(wǎng)方案的優(yōu)勢和缺陷.如果系統(tǒng)的外部流量有限,以現(xiàn)有千兆防火墻的性能指標(biāo)來看,即使發(fā)生防火墻失效,一臺防火墻就足以滿足系統(tǒng)的需求,考慮到減低工程實施和系統(tǒng)集成的難度,

12、減少維護(hù)擴容時的工作量,減少所需的ge接口數(shù),同時也保持接入層,核心層負(fù)載均衡雙機容錯的設(shè)計思想,采用方案1是最為合適的方案.這也是一般系統(tǒng)適用的方案.如果外部流量不高,內(nèi)部服務(wù)器中與外部網(wǎng)絡(luò)通信的服務(wù)器數(shù)量較多,例如提供網(wǎng)站服務(wù),而且系統(tǒng)需要靈活地擴展,那么最適合使用方案2.因為方案2最大的好處在于不需要啟用路由策略,不需要對與外部通信的服務(wù)器進(jìn)行靜態(tài)的分組,所以系統(tǒng)集成最為簡單,在系統(tǒng)發(fā)生改變時不必做太多的網(wǎng)絡(luò)配置修改.方案3之所以使用很多的idc是因為原來這些idc可能沒有提供防火墻的服務(wù),一般防火墻是租用主機的用戶自己購買維護(hù)的設(shè)備,但隨著業(yè)務(wù)需求的變化需要增加防火墻,旁路的方案可以在

13、線實施,不會對服務(wù)產(chǎn)生很大的影響.對于新建系統(tǒng)不建議使用該方案,盡管它能節(jié)省防火墻與接入層之間的二層交換機,但是其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,而且占用的核心層的端口資源較多,層次結(jié)構(gòu)不夠清晰,并且具有不經(jīng)過防火墻就直接與外部網(wǎng)絡(luò)通信的鏈路,不符合運營支撐系統(tǒng)的高安全性要求.如果外部流量較多,同時考慮到設(shè)備的利用率和系統(tǒng)對網(wǎng)絡(luò)高可用性的要求,也保持接入層,核心層負(fù)載均衡雙機容錯的設(shè)計思想,方案4是大型運營支撐系統(tǒng)最為合適的方案.對于新建系統(tǒng),該方案具有很強的靈活性,可以比較容易的實現(xiàn)向方案1,方案2,方案3的轉(zhuǎn)換,在系統(tǒng)集成階段仍可以針對更為清晰的系統(tǒng)需求作方案修改,甚至可以在系統(tǒng)上線后根據(jù)實際情況作調(diào)整.4結(jié)束語隨著技術(shù)的發(fā)展,對于防火墻