【doc】防火墻組網(wǎng)方案分析_第1頁(yè)
【doc】防火墻組網(wǎng)方案分析_第2頁(yè)
【doc】防火墻組網(wǎng)方案分析_第3頁(yè)
【doc】防火墻組網(wǎng)方案分析_第4頁(yè)
【doc】防火墻組網(wǎng)方案分析_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、防火墻組網(wǎng)方案分析舫火墻組網(wǎng)方案分析閏寶剛1概述對(duì)于電信運(yùn)營(yíng)商,運(yùn)營(yíng)支撐主要是指營(yíng)業(yè)受理,計(jì)費(fèi)及賬務(wù)處理,客戶服務(wù),內(nèi)部辦公等.為實(shí)現(xiàn)這些功能,我們必須構(gòu)建一個(gè)基于網(wǎng)絡(luò)的運(yùn)營(yíng)支撐系統(tǒng),這種網(wǎng)絡(luò)的典型結(jié)構(gòu)是三層結(jié)構(gòu),接入層實(shí)現(xiàn)外部網(wǎng)絡(luò)的接入,主要由具有多種接口的高端路由器來(lái)實(shí)現(xiàn);核心層實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換,主要由高端三層交換機(jī)來(lái)實(shí)現(xiàn);防火墻層介于接入層和核心層之間實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的安全保護(hù),主要由高端防火墻來(lái)實(shí)現(xiàn).本文主要分析防火墻層在這種三層結(jié)構(gòu)中的多種組網(wǎng)方式,論述各種組網(wǎng)方案如何實(shí)現(xiàn)高可用性,并針對(duì)不同的系統(tǒng)需求提出相應(yīng)的解決方案.2高可用性防火墻組網(wǎng)方案比較要實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性,首先就要

2、排除網(wǎng)絡(luò)中的單點(diǎn)故障點(diǎn),使網(wǎng)絡(luò)在任何一臺(tái)網(wǎng)絡(luò)設(shè)備失效時(shí)仍能提供網(wǎng)絡(luò)服務(wù).因此這種方案通常要在接入層配置最少兩臺(tái)的路由器,在核心層配置最少兩臺(tái)的交換機(jī),同樣在防火墻層配置最少兩臺(tái)的防火墻.接人層l防火墻層層圖1防火墻組網(wǎng)示意圖為了實(shí)現(xiàn)以上的功能要求,防火墻必須應(yīng)用到專門的雙機(jī)容錯(cuò)技術(shù),一般防火墻都有該功能,被稱為failover或者h(yuǎn)a.這種功能要求防火墻的兩端設(shè)備必須具有交換功能,因?yàn)閷?duì)于兩個(gè)互相做failover的設(shè)備,互為備份的鏈路需要有相同的配置.例如要求有相同的外部接口網(wǎng)關(guān)地址(或者到外部網(wǎng)絡(luò)的靜態(tài)路由的下一跳地址),如果對(duì)端只是一個(gè)三層設(shè)備(如路由器),是無(wú)法在兩個(gè)接口配置同樣的地址

3、的,需要一個(gè)二層設(shè)備匯接兩個(gè)防火墻的鏈路,而這個(gè)二層設(shè)備的默認(rèn)網(wǎng)關(guān)就是防火墻需要的網(wǎng)關(guān)地址.雖然也有一種非常規(guī)的做法,可以把路由器的接口通過(guò)irb配置成橋接接口,可以在一臺(tái)路由器上實(shí)現(xiàn)交換機(jī)接口的部分功能,不過(guò)這種做法降低了路由器的效率,而且如果接入層是兩臺(tái)路由器就需要更為復(fù)雜的配置,況且這只是一種理論上可行的方式在現(xiàn)實(shí)工程中極少采用.另外,為了實(shí)現(xiàn)高可用性,排除網(wǎng)絡(luò)中的單點(diǎn)故障,一般采用兩臺(tái)二層交換機(jī),同時(shí)通過(guò)在路由器上啟用hsrp,實(shí)現(xiàn)虛擬路由器的功能,即使一臺(tái)路由器失效,仍能保持接入層的功能,實(shí)現(xiàn)與防火墻的通信.常用的組網(wǎng)方案根據(jù)兩臺(tái)防火墻的工作狀態(tài)可以分為activestandby,a

4、ctiveactive方案;按照鏈路數(shù)量可以分為單鏈路,雙鏈路方案;根據(jù)與兩層網(wǎng)絡(luò)間的連接方式可以分為跨接,旁路方案.這三種分類可以相互組合形成防火墻的組網(wǎng)方案.下面將對(duì)這些方案進(jìn)行分析.2.1方案1:activeactive單鏈路跨接方案圖2activeactive單鏈路跨接組網(wǎng)示意圖本方案采用防火墻跨接在路由器和交換機(jī)之間的組網(wǎng)方式,任何時(shí)候都有兩臺(tái)防火墻在工作,兩臺(tái)防火墻互為備用防火墻.兩臺(tái)防火墻通過(guò)一條心44跳線連接實(shí)現(xiàn)狀態(tài)的同步,主用鏈路和備用鏈路的要求配置完全一致,互相進(jìn)行鏈路備份,一旦出現(xiàn)主用防火墻鏈路失效或者防火墻本身失效,立即切換到另一臺(tái)防火墻,此時(shí)鏈路帶寬下降為原有的50%

5、,一條鏈路上完成兩條鏈路的工作.優(yōu)點(diǎn):兩臺(tái)防火墻的性能同時(shí)得到發(fā)揮,系統(tǒng)集成較簡(jiǎn)單,防火墻可以工作在透明模式.在三層網(wǎng)絡(luò)中,出現(xiàn)單臺(tái)失效時(shí)網(wǎng)絡(luò)仍然可以工作.接人層與核心層之間的通信必須經(jīng)過(guò)防火墻,沒有直接的鏈路,保證網(wǎng)絡(luò)的高安全性.節(jié)省網(wǎng)絡(luò)設(shè)備ge端口數(shù)量,比交叉連接方案節(jié)省8個(gè)ge接口,減少工程實(shí)施工作量.缺點(diǎn):當(dāng)一臺(tái)防火墻的鏈路失效時(shí),整體性能下降50%,需求靜態(tài)對(duì)內(nèi)部服務(wù)器分組,以保證tcp持續(xù)性.需要在三層交換機(jī)上啟用路由策略,增加系統(tǒng)集成的難度.接人層或者核心層設(shè)備失效或者鏈路失效,都會(huì)導(dǎo)致防火墻的切換,導(dǎo)致性能下降50%.2.2方案2:activestandby單鏈路跨接方案圖3a

6、ctivestandby單鏈路跨接示意圖本方案與方案1基本相同只是采取單鏈路組網(wǎng),任何時(shí)候只有1臺(tái)防火墻在工作,所以由防火墻的性能和帶寬只有方案1的50%.如果主用防火墻的鏈路失效或者防火墻失效,都會(huì)切換到備用防火墻.優(yōu)點(diǎn):具有方案1除了雙鏈路以外的所有優(yōu)點(diǎn),而網(wǎng)絡(luò)邏輯結(jié)構(gòu)更加簡(jiǎn)化,系統(tǒng)集成難度最小,網(wǎng)絡(luò)設(shè)備配置簡(jiǎn)單,不必在交換機(jī)上使用策略路由,減少工程實(shí)施工作量.不必對(duì)服務(wù)器進(jìn)行靜態(tài)分組,所有流量只會(huì)經(jīng)過(guò)同一臺(tái)防火墻.缺點(diǎn):只使用到一臺(tái)防火墻的性能,對(duì)于接人層路由器,核心層交換機(jī)也是只有一臺(tái)設(shè)備來(lái)承擔(dān)三層網(wǎng)絡(luò)間的數(shù)據(jù)傳送,造成同層網(wǎng)絡(luò)的設(shè)備負(fù)載不均衡.接人層或者核心層設(shè)備失效或者鏈路失效,都

7、會(huì)導(dǎo)致防火墻的切換.2.3方案3:activeactive雙鏈路旁路方案圖4activeactive雙鏈路旁路示意圖本方案是在大型數(shù)據(jù)中心經(jīng)常使用的案例,利用交換機(jī)劃分vlan的功能,相當(dāng)于將交換模塊根據(jù)不同的v|an分成兩個(gè)交換模塊使用,一個(gè)vlan連接防火墻的外部接口和上聯(lián)路由器的接口,另一個(gè)vlan連接防火墻內(nèi)部接口.所有外部流量從路由器接口進(jìn)入交換機(jī),然后通過(guò)二層交換直接進(jìn)入防火墻外部接口,經(jīng)過(guò)防火墻后從內(nèi)部接口進(jìn)入交換機(jī),最后進(jìn)入核心網(wǎng)絡(luò).兩臺(tái)防火墻分別有兩條鏈路,一條主用一條備用,當(dāng)主用電路失效時(shí),備用電路啟用接管流量,當(dāng)整臺(tái)防火墻失效的時(shí)候通過(guò)failover功能切換到另一臺(tái)防火

8、墻,由正常工作的防火墻在一條鏈路上實(shí)現(xiàn)兩條鏈路的流量.旁路方案還有activestandby方式,類似方案1,activeactive,類似方案2,區(qū)別只在于不必另外配置交換機(jī).優(yōu)點(diǎn):具有雙鏈路,兩臺(tái)防火墻同時(shí)工作,最大限度地發(fā)揮兩臺(tái)防火墻的性能,總體吞吐量是兩臺(tái)防火墻吞吐量之和;具有高可用性,能夠靜態(tài)地均衡兩臺(tái)防火墻的負(fù)載,同時(shí)實(shí)現(xiàn)接人層,核心層的負(fù)載均衡雙機(jī)容錯(cuò);省去了防火墻與接人層路由器之間的交換機(jī).缺點(diǎn):占用設(shè)備接口數(shù)量多,比方案1多占用核心交換機(jī)的8個(gè)ge接口,核心層端口主要應(yīng)該用于內(nèi)部服務(wù)器的接人,拓展比較復(fù)雜增加了網(wǎng)絡(luò)的復(fù)雜性.系統(tǒng)集成難度大,必須在路由交換機(jī)上啟用策略路由,增加

9、交換機(jī)的負(fù)載.由于防火墻不能做到動(dòng)態(tài)負(fù)載均衡,為了保持tcp連接的持續(xù)性,必須保證每條數(shù)據(jù)流的進(jìn)出經(jīng)過(guò)同一防火墻,在網(wǎng)絡(luò)部署時(shí)會(huì)增加一定的工作量,而且靜態(tài)均衡不能準(zhǔn)確分擔(dān)網(wǎng)絡(luò)的負(fù)載,在系統(tǒng)升級(jí)擴(kuò)容或者增加服務(wù)類型,訪問策略時(shí)也需要更多的工作.接人層和核心層之間有直接鏈路,存在不經(jīng)過(guò)防火墻直接通4s.信的可能,對(duì)于這種不經(jīng)過(guò)防火墻的流量,防火墻無(wú)法提供安全保障.2.4方案4:activeactive雙鏈路方案圖5activeactive雙鏈路示意圖這種方案是防火墻高可用性組網(wǎng)的典型案例,兩臺(tái)防火墻同時(shí)工作,每臺(tái)防火墻只有一條鏈路在工作,同一臺(tái)防火墻的兩條互為備份鏈路,如果主用鏈路失效備用鏈路就會(huì)

10、啟用接管所有流量;當(dāng)一臺(tái)防火墻失效時(shí),另一臺(tái)防火墻通過(guò)failover功能接管失效防火墻的流量,在一條主用鏈路上運(yùn)行兩條鏈路的功能;當(dāng)只剩一臺(tái)防火墻工作時(shí),如果其主用鏈路失效備用鏈路也會(huì)接管兩條鏈路的流量.整個(gè)方案提供了極高的可用性.另外一個(gè)特點(diǎn)是,具有兩條心跳線連接,一條傳送狀態(tài)信號(hào),控制信號(hào),另一條可以作為數(shù)據(jù)鏈路使用,當(dāng)其中一臺(tái)防火墻的上行或下行鏈路同時(shí)失效而另一臺(tái)防火墻仍具有上下行鏈路時(shí),可以通過(guò)數(shù)據(jù)心跳線使出現(xiàn)失效鏈路的防火墻仍能繼續(xù):【作.優(yōu)點(diǎn):具有最高級(jí)別的可用性和可靠性,同時(shí)發(fā)揮了兩臺(tái)防火墻的性能,上下行設(shè)備有一臺(tái)失效的情況下仍然可以保持兩臺(tái)防火墻雙鏈路同時(shí)工作.在三層網(wǎng)絡(luò)中非

11、防火墻設(shè)備只要仍有一臺(tái)在正常工作,防火墻層仍然可以保持發(fā)揮兩臺(tái)防火墻的性能,只有當(dāng)一臺(tái)防火墻失效時(shí),性能才會(huì)下降50%.接入層與核心層之間的通信必須經(jīng)過(guò)防火墻,沒有直接的鏈路,保證網(wǎng)絡(luò)的高安全性.缺點(diǎn):核心層服務(wù)需要根據(jù)兩條鏈路進(jìn)行靜態(tài)分組,以保持tcp持續(xù)性.系統(tǒng)集成具有一定的難度,必須在路由交換機(jī)上啟用策略路由,增加交換機(jī)的負(fù)載.3防火墻組網(wǎng)方案選擇對(duì)于方案的選擇,必須根據(jù)實(shí)際情況來(lái)決定,以用戶系統(tǒng)需求為實(shí)現(xiàn)目標(biāo)綜合考慮不同的組網(wǎng)方案的優(yōu)勢(shì)和缺陷.如果系統(tǒng)的外部流量有限,以現(xiàn)有千兆防火墻的性能指標(biāo)來(lái)看,即使發(fā)生防火墻失效,一臺(tái)防火墻就足以滿足系統(tǒng)的需求,考慮到減低工程實(shí)施和系統(tǒng)集成的難度,

12、減少維護(hù)擴(kuò)容時(shí)的工作量,減少所需的ge接口數(shù),同時(shí)也保持接入層,核心層負(fù)載均衡雙機(jī)容錯(cuò)的設(shè)計(jì)思想,采用方案1是最為合適的方案.這也是一般系統(tǒng)適用的方案.如果外部流量不高,內(nèi)部服務(wù)器中與外部網(wǎng)絡(luò)通信的服務(wù)器數(shù)量較多,例如提供網(wǎng)站服務(wù),而且系統(tǒng)需要靈活地?cái)U(kuò)展,那么最適合使用方案2.因?yàn)榉桨?最大的好處在于不需要啟用路由策略,不需要對(duì)與外部通信的服務(wù)器進(jìn)行靜態(tài)的分組,所以系統(tǒng)集成最為簡(jiǎn)單,在系統(tǒng)發(fā)生改變時(shí)不必做太多的網(wǎng)絡(luò)配置修改.方案3之所以使用很多的idc是因?yàn)樵瓉?lái)這些idc可能沒有提供防火墻的服務(wù),一般防火墻是租用主機(jī)的用戶自己購(gòu)買維護(hù)的設(shè)備,但隨著業(yè)務(wù)需求的變化需要增加防火墻,旁路的方案可以在

13、線實(shí)施,不會(huì)對(duì)服務(wù)產(chǎn)生很大的影響.對(duì)于新建系統(tǒng)不建議使用該方案,盡管它能節(jié)省防火墻與接入層之間的二層交換機(jī),但是其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,而且占用的核心層的端口資源較多,層次結(jié)構(gòu)不夠清晰,并且具有不經(jīng)過(guò)防火墻就直接與外部網(wǎng)絡(luò)通信的鏈路,不符合運(yùn)營(yíng)支撐系統(tǒng)的高安全性要求.如果外部流量較多,同時(shí)考慮到設(shè)備的利用率和系統(tǒng)對(duì)網(wǎng)絡(luò)高可用性的要求,也保持接入層,核心層負(fù)載均衡雙機(jī)容錯(cuò)的設(shè)計(jì)思想,方案4是大型運(yùn)營(yíng)支撐系統(tǒng)最為合適的方案.對(duì)于新建系統(tǒng),該方案具有很強(qiáng)的靈活性,可以比較容易的實(shí)現(xiàn)向方案1,方案2,方案3的轉(zhuǎn)換,在系統(tǒng)集成階段仍可以針對(duì)更為清晰的系統(tǒng)需求作方案修改,甚至可以在系統(tǒng)上線后根據(jù)實(shí)際情況作調(diào)整.4結(jié)束語(yǔ)隨著技術(shù)的發(fā)展,對(duì)于防火墻

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論