【51CTO.com 綜合報(bào)道】在虛擬園區(qū)網(wǎng)2.0解決方案大規(guī)模部署的情況下，當(dāng)網(wǎng)絡(luò)資源通過(guò)IRF2技術(shù)橫向整合和VPN技術(shù)縱向隔離，形成了分層分業(yè)務(wù)的虛擬化后，安全的資源化如何與網(wǎng)絡(luò)的資源化相匹配，形成網(wǎng)絡(luò)與安全的整體資源部署，是虛擬園區(qū)網(wǎng)設(shè)計(jì)中的重點(diǎn)。   FW、NAT、SSL VPN、IPS、NetStream、ACG（應(yīng)用控制網(wǎng)關(guān)）等園區(qū)網(wǎng)內(nèi)的安全技術(shù)和相關(guān)產(chǎn)品層出不窮，為了簡(jiǎn)化問(wèn)題 ，從工作模式入手，安全產(chǎn)品大致可以分為兩類(lèi)：三層工作模式和二層工作模式的產(chǎn)品。另外，從可靠性等方面考慮，又有多種部署方式：Active-Active；Active-Standby。通過(guò)工作模式和部署方式的組合，我們挑選出一兩種有代表性的組合方式及以H3C安全產(chǎn)品為例，討論虛擬園區(qū)網(wǎng)2.0中的安全資源化部署的問(wèn)題。  

IRF2環(huán)境下防火墻部署  

如圖1所示是通常情況下園區(qū)網(wǎng)絡(luò)匯聚層防火墻的邏輯部署方式，通過(guò)在匯聚層面的防火墻部署，可以用更簡(jiǎn)單的操作進(jìn)行園區(qū)內(nèi)部或者是每個(gè)虛擬網(wǎng)內(nèi)部的訪問(wèn)控制。  

H3C防火墻具備會(huì)話同步的熱備份功能，使用專(zhuān)用的一條或兩條帶外線纜(雙機(jī)熱備專(zhuān)線)進(jìn)行兩臺(tái)防火墻的會(huì)話信息進(jìn)行同步，配合交換網(wǎng)絡(luò)流量切換，可保證單臺(tái)防火墻故障時(shí)應(yīng)用流量不會(huì)中斷。

圖1中兩個(gè)組網(wǎng)的物理連接方式相同，但是右圖組網(wǎng)采用IRF2技術(shù)后卻能夠改變整網(wǎng)的邏輯部署，并在設(shè)計(jì)上只需要更簡(jiǎn)單的考慮。  

圖1 防火墻交換機(jī)基本組網(wǎng)結(jié)構(gòu)

以下分別就防火墻的路由模式和透明模式來(lái)討論，在IRF2的組網(wǎng)環(huán)境下，安全部署有哪些不同。

防火墻路由模式部署  

傳統(tǒng)的防火墻路由模式部署，當(dāng)部署于園區(qū)網(wǎng)匯聚層的話，假設(shè)二層終結(jié)于匯聚層，匯聚和直到核心的網(wǎng)絡(luò)處于同一個(gè)OSPF域內(nèi)，其三層接口部署一般如圖2所示。

采用Actice-Active方式部署，各防火墻作為獨(dú)立路由運(yùn)行節(jié)點(diǎn)與交換系統(tǒng)組成動(dòng)態(tài)路由區(qū)域，完全由路由協(xié)議控制數(shù)據(jù)流經(jīng)的防火墻，兩臺(tái)防火墻之間相互同步會(huì)話狀態(tài)信息，支持非對(duì)稱(chēng)流量安全檢測(cè)，這樣全網(wǎng)可見(jiàn)12個(gè)路由節(jié)點(diǎn)，至少12條路由（不考慮網(wǎng)段路由等其他情況）。

采用Active-Standby方式部署，為了保證負(fù)載分擔(dān)，需要采用多VRRP組的部署方式。鑒于核心匯聚交換機(jī)和FW連接接口均為三層接口，需要核心、匯聚、防火墻上分別起兩組VRRP組，才能完成不同路徑下流量的負(fù)載分擔(dān)。  

圖2 傳統(tǒng)防火墻路由模式+Active-Active部署  

圖3為采用IRF2技術(shù)之后的部署。通過(guò)IRF2部署，能夠有效降低網(wǎng)絡(luò)中三層接口數(shù)量和路由表大小，并將核心和核心之間、匯聚和匯聚之間的數(shù)據(jù)交互有效屏蔽在網(wǎng)絡(luò)的二層，簡(jiǎn)化了網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)維管理需要考慮的問(wèn)題，從而使得網(wǎng)絡(luò)設(shè)計(jì)更簡(jiǎn)單。

對(duì)于Active-Active組網(wǎng)模式下，如圖3右圖所示，匯聚和核心層面設(shè)備進(jìn)行了橫向整合，整網(wǎng)的三層接口縮減為7個(gè)，相應(yīng)的網(wǎng)絡(luò)內(nèi)路由條數(shù)縮減為7條。

而對(duì)于Active-Standby部署模式，如圖3左圖所示，當(dāng)整網(wǎng)IRF2整合之后，由于核心和匯聚設(shè)備橫向整合在一起，不但三層接口和路由數(shù)目大為減少，并且只需要在防火墻上起2個(gè)VRRP組即可達(dá)到傳統(tǒng)6個(gè)VRRP組才能實(shí)現(xiàn)的功能，虛擬化所帶來(lái)的好處更加明顯  

圖3 防火墻路由模式+交換網(wǎng)絡(luò)IRF2

防火墻透明模式部署  

如圖4所示，為防火墻在透明模式下采用IRF2前后的對(duì)比。啟用IRF2以后，可以實(shí)現(xiàn)跨鏈路聚合，從而以更簡(jiǎn)單的方式實(shí)現(xiàn)了鏈路的負(fù)載分擔(dān)。

傳統(tǒng)的防火墻在匯聚層面透明模式部署的時(shí)候（組網(wǎng)如圖4左圖），兩組交換機(jī)與兩臺(tái)防火墻的互聯(lián)接口配置兩組連接網(wǎng)段，交換機(jī)對(duì)防火墻的端口均采用untagged方式，因此可以保證兩臺(tái)防火墻在VLAN的配置上達(dá)到一致，防火墻同時(shí)啟動(dòng)流路徑非對(duì)稱(chēng)能力。兩組交換系統(tǒng)之間可以運(yùn)行動(dòng)態(tài)路由協(xié)議(防火墻允許相應(yīng)的協(xié)議數(shù)據(jù)通過(guò))，所有數(shù)據(jù)流通過(guò)等價(jià)路由分擔(dān)到兩臺(tái)防火墻所在的鏈路上，由于防火墻支持路徑非對(duì)稱(chēng)功能，因此當(dāng)某條數(shù)據(jù)流下行經(jīng)過(guò)一臺(tái)防火墻而上行經(jīng)過(guò)另一臺(tái)防火墻時(shí)，雙機(jī)的狀態(tài)會(huì)話仍能同步保持。  

啟用IRF2以后，如圖4右圖所示，利用防火墻inline轉(zhuǎn)發(fā)方式，即防火墻端口配對(duì)轉(zhuǎn)發(fā)而不進(jìn)行MAC地址查表轉(zhuǎn)發(fā)，將交換機(jī)IRF2系統(tǒng)中不同成員的端口與兩臺(tái)防火墻分別連接，只在交換機(jī)IRF2系統(tǒng)端進(jìn)行兩條鏈路的LACP捆綁，這樣將網(wǎng)絡(luò)流量分擔(dān)到不同防火墻，而在交換機(jī)IRF2系統(tǒng)不需要使用等價(jià)路由。防火墻允許LACP協(xié)議報(bào)文通過(guò)，從而保證聚合鏈路的可靠性連接。數(shù)據(jù)流在防火墻往返路徑不一致的情況仍由路徑非對(duì)稱(chēng)功能解決。

圖4 防火墻透明模式傳統(tǒng)部署和IRF2環(huán)境部署對(duì)比 #p#

如何實(shí)現(xiàn)安全模塊一分多虛擬化  

雖然IRF2實(shí)現(xiàn)了安全的簡(jiǎn)單部署，然而安全資源還是不能實(shí)現(xiàn)按需部署的資源化。要達(dá)到這一點(diǎn)，需要安全設(shè)備支持一虛多的虛擬化功能，下面以在交換機(jī)上模塊化部署來(lái)說(shuō)明其實(shí)現(xiàn)原理。  

圖5 同一虛擬組內(nèi)共享安全資源  

如圖5所示，通過(guò)IRF2整合，將多個(gè)機(jī)框式交換系統(tǒng)整合在一起，邏輯上形成一個(gè)大的交換系統(tǒng)，在這個(gè)系統(tǒng)中，無(wú)論安全模塊部署在組內(nèi)的任何一個(gè)框上，都能夠被本組的其他框所共享，每個(gè)機(jī)框上行流量都能夠基于本身的需求進(jìn)行安全處理，而不必關(guān)心這個(gè)安全模塊部署在哪個(gè)機(jī)框上。同時(shí)，在路由表項(xiàng)，安全策略等方面，基于不同的業(yè)務(wù)可以給予不同的保障，真正實(shí)現(xiàn)了按需分配，組內(nèi)共享的安全資源化，俗稱(chēng)為“安全模塊一拖N部署”。  

圖6 防火墻模塊一虛多在交換系統(tǒng)中的部署  

如圖6所示，終端的網(wǎng)關(guān)設(shè)置在防火墻上，防火墻通過(guò)VRRP提供冗余，冗余備份組通過(guò)靜態(tài)路由下一跳指向IRF2交換機(jī)三層接口，交換機(jī)之間通過(guò)IRF2消除了二層接入環(huán)路。在集成防火墻路由模式下，還可以將防火墻進(jìn)行虛擬化，邏輯分割成多個(gè)虛擬防火墻實(shí)例提供網(wǎng)絡(luò)安全服務(wù)，如圖中對(duì)每塊防火墻線卡劃分了多個(gè)邏輯實(shí)例，每一對(duì)虛擬防火墻工作在A-S方式，可選擇Active實(shí)例分布在兩塊物理線卡上，從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力，實(shí)現(xiàn)防火墻在一個(gè)虛擬組內(nèi)如何實(shí)現(xiàn)資源化。

通過(guò)一分多的虛擬化技術(shù)，可以使不同業(yè)務(wù)或用戶(hù)群在同一個(gè)IRF2組內(nèi)共享相同的安全硬件，而在邏輯上達(dá)到資源動(dòng)態(tài)分配的目的，降低了建設(shè)成本，提高了安全服務(wù)的動(dòng)態(tài)調(diào)配能力，為業(yè)務(wù)的靈活部署提供了有效的支撐。 #p#

MPLS VPN環(huán)境中的防火墻部署

在MPLS VPN組網(wǎng)環(huán)境中，由于以下情況的存在，網(wǎng)絡(luò)匯聚層需要進(jìn)行訪問(wèn)控制和地址轉(zhuǎn)換： 

◆每個(gè)VPN內(nèi)部可能存在多個(gè)不同的網(wǎng)段，為了有效控制網(wǎng)段間互訪和服務(wù)器與終端間的訪問(wèn)，需要在匯聚層采用防火墻做單向訪問(wèn)控制； 

◆兩個(gè)或者多個(gè)VPN互訪時(shí)，不同VPN內(nèi)的IP地址可能存在地址沖突，所以需要在網(wǎng)絡(luò)匯聚層進(jìn)行地址轉(zhuǎn)換。

如圖7所示為比較常見(jiàn)的傳統(tǒng)防火墻部署組網(wǎng)情況及其局限性。 

圖7 傳統(tǒng)園區(qū)網(wǎng)防火墻部署示意圖

此部署方式會(huì)對(duì)防火墻的接口類(lèi)型、協(xié)議處理有較高要求。例如，當(dāng)組網(wǎng)為匯聚和核心采用萬(wàn)兆鏈路并在匯聚和核心之間采用MPLS VPN組網(wǎng)的時(shí)候，就需要防火墻支持萬(wàn)兆鏈路并能夠參與路由計(jì)算和處理MPLS報(bào)文。此部署方式會(huì)對(duì)防火墻的接口數(shù)量有較高要求。例如，當(dāng)組網(wǎng)為接入和匯聚之間采用千兆光鏈路的時(shí)候，需要防火墻有較高的端口密度，并在匯聚層下掛多臺(tái)防火墻才能滿足部署要求，勢(shì)必造成部署成本過(guò)高和管理節(jié)點(diǎn)過(guò)多的情況。

虛擬園區(qū)網(wǎng)下采用FW插卡部署，可解決傳統(tǒng)部署模式帶來(lái)的接口類(lèi)型、協(xié)議處理、建設(shè)成本和運(yùn)維管理等一系列的問(wèn)題。如圖8所示為在MPLS VPN環(huán)境中，防火墻的部署方式。將一塊FW模塊插入?yún)R聚層交換機(jī)內(nèi)，由交換機(jī)的接口板卡與接入以及核心設(shè)備連接，這樣就無(wú)須考慮防火墻的接口類(lèi)型等方面的要求；并且保證防火墻的處理在PE和CE之間，可以不必要求防火墻參與OSPF等動(dòng)態(tài)路由協(xié)議計(jì)算和MPLS報(bào)文處理，大大簡(jiǎn)化了網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)行維護(hù)?？梢?jiàn)，模塊化的安全部署方式在簡(jiǎn)化設(shè)計(jì)、降低總擁有成本等方面具有較大優(yōu)勢(shì)，是網(wǎng)絡(luò)設(shè)計(jì)時(shí)需要考慮的常用設(shè)計(jì)方法之一。  

圖8 MPLS VPN環(huán)境下防火墻最佳部署示意圖 #p#

互聯(lián)網(wǎng)出口安全部署

互聯(lián)網(wǎng)出口通常面臨網(wǎng)絡(luò)層和應(yīng)用層的攻擊，因此是控制安全威脅的最佳控制點(diǎn)之一。相應(yīng)的，此處的安全設(shè)計(jì)和部署也通常是園區(qū)網(wǎng)中最復(fù)雜的場(chǎng)景之一。

針對(duì)不同場(chǎng)景的需求和保證網(wǎng)絡(luò)邊界的安全和完整性，在互聯(lián)網(wǎng)出口通常需要部署訪問(wèn)控制、地址轉(zhuǎn)換、應(yīng)用層防護(hù)、流量控制、行為審計(jì)、鏈路負(fù)載均衡、DMZ區(qū)服務(wù)器負(fù)載均衡、SSL遠(yuǎn)程接入、DDoS攻擊防護(hù)等多種技術(shù)手段。由于各種技術(shù)的側(cè)重不同，催生出了多種組合的方案。下面將圍繞其中的一種常用方案進(jìn)行展開(kāi)，描述在互聯(lián)網(wǎng)出口處進(jìn)行訪問(wèn)控制、地址轉(zhuǎn)換、應(yīng)用防護(hù)、行為審計(jì)、鏈路負(fù)載均衡多種技術(shù)混合部署的設(shè)計(jì)方式。  

圖9 虛擬園區(qū)網(wǎng)出口FW+IPS+ACG+LB板卡組網(wǎng)

如圖9所示，業(yè)務(wù)板卡采用主備方式進(jìn)行部署。具體的部署方式如下： 

◆兩臺(tái)園區(qū)出口交換機(jī)（S9500E）作為IRF堆疊使用； 

◆在互聯(lián)網(wǎng)出口處，部署LB的情況下，應(yīng)存在兩個(gè)不同的互聯(lián)網(wǎng)出口，連接到兩臺(tái)路由器上，這樣LB才能夠發(fā)揮作用； 

◆FW在轉(zhuǎn)發(fā)路徑上，使用路由模式，提供訪問(wèn)控制及攻擊防御等功能，部署方式采用主備方式，采用VRRP部署，MASTER進(jìn)行流量轉(zhuǎn)發(fā)； 

◆IPS采用主備方式部署，在S9500E上通過(guò)MQC引流，轉(zhuǎn)發(fā)到主IPS上，當(dāng)主IPS失效后，通過(guò)MQC的下一跳備份功能，流量被引導(dǎo)到備份的IPS上，IPS與ACG部署的位置在S9500E與FW的三層轉(zhuǎn)發(fā)路徑上，將不會(huì)存在上下行不一致的問(wèn)題。 

◆ACG采用主備方式部署，在S9500E上通過(guò)MQC引流，轉(zhuǎn)發(fā)到主ACG上，當(dāng)主ACG失效后，通過(guò)MQC的下一跳備份功能，流量被引導(dǎo)到備份的ACG上，IPS與ACG部署的位置在S9500E與FW的三層轉(zhuǎn)發(fā)路徑上，將不會(huì)存在上下行不一致的問(wèn)題。 

◆LB作為連接出口路由器的設(shè)備，使用鏈路負(fù)載分擔(dān)功能，并且使能NAT OUTBOUND功能讓內(nèi)網(wǎng)用戶(hù)能夠訪問(wèn)Internet，同時(shí)，兩臺(tái)LB之間使用VRRP進(jìn)行主備，為提升兩臺(tái)設(shè)備故障的恢復(fù)能力，兩臺(tái)LB可以直接使用狀態(tài)備份； 

◆S9500E作為三層轉(zhuǎn)發(fā)設(shè)備。與FW之間為三層轉(zhuǎn)發(fā)。  

圖10 虛擬園區(qū)網(wǎng)出口FW+IPS+ACG+LB板卡流量路徑

如圖10所示為流量路徑，具體如下：

兩條藍(lán)色的虛線并不代表流量會(huì)同時(shí)從兩套板卡上經(jīng)過(guò)，而是說(shuō)明在這一部署方式下，流量所流經(jīng)的路徑。

1. 園區(qū)網(wǎng)出方向：用戶(hù)側(cè)->外網(wǎng)側(cè)（流量經(jīng)過(guò)所有的多業(yè)務(wù)板卡）。用戶(hù)側(cè)數(shù)據(jù)按照交換機(jī)->ACG->IPS->防火墻->LB的順序進(jìn)行轉(zhuǎn)發(fā)，在這個(gè)轉(zhuǎn)發(fā)路徑上，交換機(jī)進(jìn)行一次三層轉(zhuǎn)發(fā)（即將用戶(hù)側(cè)流量通過(guò)三層轉(zhuǎn)發(fā)發(fā)送給防火墻），流量先被重定向到ACG，然后被重定向到IPS上。通過(guò)防火墻轉(zhuǎn)發(fā)后，轉(zhuǎn)發(fā)到LB上，LB通過(guò)鏈路負(fù)載分擔(dān)并進(jìn)行NAT轉(zhuǎn)換后，轉(zhuǎn)發(fā)到外網(wǎng)出口的路由器上。

2. 園區(qū)網(wǎng)入方向：外網(wǎng)側(cè)->用戶(hù)側(cè)方向。外網(wǎng)方向的數(shù)據(jù)流根據(jù)不同的目的地址，到達(dá)不同的LB板卡上，LB進(jìn)行NAT轉(zhuǎn)換后，其下一跳是FW，在經(jīng)過(guò)FW轉(zhuǎn)發(fā)后，流量重定向到IPS、ACG進(jìn)行處理，處理完成后，再由交換機(jī)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶(hù)。

總結(jié)  

虛擬園區(qū)網(wǎng)2.0解決方案，通過(guò)在園區(qū)中引入IRF2技術(shù)，不僅實(shí)現(xiàn)了網(wǎng)絡(luò)的革命性突破，更對(duì)網(wǎng)絡(luò)中的安全服務(wù)的部署帶來(lái)了深遠(yuǎn)的影響。在當(dāng)前網(wǎng)絡(luò)和安全一體化的趨勢(shì)下，模塊化的部署方式、一分多的虛擬化技術(shù)、全虛擬化環(huán)境下的安全部署，使得網(wǎng)絡(luò)安全服務(wù)的部署更為簡(jiǎn)化，并進(jìn)一步實(shí)現(xiàn)了安全業(yè)務(wù)的資源化，從而為搭建資源化的園區(qū)網(wǎng)絡(luò)平臺(tái)提供堅(jiān)實(shí)的基礎(chǔ)。