【正文】 源地址為F5自身?；爻虝r，會將目的地址改為原來的地址。說明：如果這時客戶端將訪問的目的地址設置為物理成員服務器，訪問是能成功的，但是可靠性就得客戶端自己保證了。而且如果訪問客戶端和物理成員服務器在同一個網(wǎng)段，這說明這個客戶端相對來說是可控的，可信任的，F(xiàn)5 的管理人員是可以也有權限將其目的地址改為VS的。這樣我們可以發(fā)現(xiàn)：如果要使用VS，報文的目的地址一定要配置為VS的地址，不能配置為物理服務器的地址，否則將得不到對應的服務。 IDS 設計如果說防火墻墻是大門的警衛(wèi)，那IDS設備就類似于室內(nèi)的監(jiān)控系統(tǒng)也即防內(nèi)設備。IDS主要是通過分析流量4層以上的報文來采取一些安全策略。但是由于IDS設備和防火墻聯(lián)動的方案不夠成熟，只需要在S8512上將“上行端口的入口流量”鏡像到“和IDS相連的端口上”即可。若有網(wǎng)絡入侵，NIP設備只提供告警但無具體的動作。 GCCN 訪問 PZ 內(nèi)部 Server 場景分析GCCN用戶訪問PZ 區(qū)域的Server 的步驟如圖8所示。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫21圖 8 GCCN用戶訪問PZ區(qū)域步驟圖GCCN用戶將DNS 服務器設置為 GDC內(nèi)部DNS VS IP 地址。輸入Server的域名，觸發(fā)發(fā)送請求到內(nèi)部DNS VS 服務器（Public Service Zone中的DNS服務器），F(xiàn)5 將請求命中給一臺物理成員服務器，此物理成員將對應的域名請求解析為對應的私網(wǎng)IP 地址，發(fā)送給F5，F(xiàn)5 將VS地址作為源地址，將DNS解析結果發(fā)給對應的用戶，用戶發(fā)送訪問請求到對應的服務器IP地址，如果此服務器 IP也是個VS地址，處理流程和前面是類似的。 有負載均衡服務時可靠性分析對于有負載均衡需求的服務器的下行流量，由于目的IP地址為虛擬服務器的IP 地址，所以在S8512上設置靜態(tài)路由，將流量（目的地址為 F5上的業(yè)務虛地址）的下一跳設置為F5上行VRRP的虛地址。對于上行流量，將服務器的網(wǎng)關設置在F5下行VRRP的虛地址上。正常情況下的流量如圖9所示：流量從GCCN經(jīng)過主防火墻后到達主的F5，由F5 來調(diào)度均衡命中對應的屬于同一群組的服務器?；爻虅t剛好相反。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫22圖 9 有負載均衡時流量圖當NE80E核心路由器和 S8512之間的鏈路（中間的防火墻業(yè)務口處于透明模式）中斷時，流量的切換如圖10所示：當鏈路（1）或（2）斷時，NE80E路由器和S8512路由收斂，導致流量的切換，兩個防火墻Track功能配合引發(fā)主備切換。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫23圖 10 主備切換時流量圖當S8512和F5之間的鏈路斷時，流量切換如下圖所示： 鏈路（3）和（4）都斷時，F(xiàn)5引發(fā)主備切換，流量將切換到新的主F5上，由新的主 F5去命中對應的服務器，服務器的網(wǎng)關也切換到了新的主F5 上，如圖 11所示。 圖 11 S8512和F5之間的鏈路斷時流量切換圖注意：如果（3）或（4）只有一條鏈路斷時，流量路徑不切換。 無負載均衡服務時的可靠性分析對于沒有負載均衡需求的服務器下行流量，由S8512據(jù)路由正常轉發(fā)（直連路由），服務器的網(wǎng)關設置在交換機的VRRP 虛擬地址上。正常情況下的流量如圖 12所示。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫24圖 12 無負載均衡服務時流量圖當NE80E核心路由器和 S8512之間的鏈路（中間的防火墻業(yè)務口處于透明模式）鏈路中斷時，流量的切換如下圖所示： 當鏈路（1）或（2）斷時，NE80E路由器和S8512路由收斂，導致流量的切換，兩個防火墻Track功能配合會引發(fā)兩個防火墻發(fā)生主備切換，如圖13所示。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫25圖 13 NE80E核心路由器和S8512之間的鏈路中斷時流量切換圖 Inter 與 PZ 內(nèi)部 Server 互訪 場景分析由Inter用戶發(fā)起，訪問內(nèi)部Web Server的步驟如圖 14所示：圖 14 Inter用戶訪問內(nèi)部Web Server的步驟圖Inter用戶將DNS 請求發(fā)送到用戶自身所在的本地DNS服務器；湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫26Inter本地DNS服務器通過“公網(wǎng)整個DNS 分布式系統(tǒng)” 將請求發(fā)送到數(shù)據(jù)中心內(nèi)部DNS服務器（目的地址為DNS VS 對應的公網(wǎng)IP地址）；在經(jīng)過數(shù)據(jù)中心Inter入口防火墻時，將此目的地址NAT成DNS服務器的VS地址，發(fā)給F5；F5將請求命中給一臺物理成員服務器，此物理成員將對應的域名請求解析為對應的公網(wǎng)IP地址，發(fā)送給F5 ；F5將VS地址作為源地址，將DNS解析結果發(fā)給對應的用戶；在回程經(jīng)過數(shù)據(jù)中心的Inter入口防火墻時，將報文中的IP 源地址由DNS VS地址改為對應的公網(wǎng)IP地址；用戶獲得解析結果后，發(fā)送訪問請求到對應的服務器公網(wǎng)IP地址；在經(jīng)過數(shù)據(jù)中心Inter入口防火墻時，將此目的地址NAT成服務器私網(wǎng)IP地址。如果此服務器IP也是個VS地址，處理流程和前面是類似的。在回程經(jīng)過數(shù)據(jù)中心的Inter入口防火墻時，將報文中的IP 源地址由服務器的私有地址改為對應的公網(wǎng)IP地址。由內(nèi)部Server（包含Mail服務器、AV、DNS 、Proxy 服務器）發(fā)起，訪問Inter的步驟為：發(fā)送DNS請求到GDC 的DNS VS服務器；DNS VS服務器將請求發(fā)往公網(wǎng)的；GDC DNS服務器通過 DNS分布式系統(tǒng)取得域名對應的 IP地址，發(fā)給內(nèi)部Server；內(nèi)部Server將對應的訪問請求發(fā)送對應的公網(wǎng)IP 地址；Inter回應對應的請求。 有負載均衡服務時可靠性分析對于有負載均衡需求的服務器的下行流量，S8512交換機設置策略路由，將流量（目的地址為F5的業(yè)務虛地址）強制改變下一跳到F5 上行 VRRP的虛地址上。對于上行流量，將服務器的網(wǎng)關設置在F5 下行 VRRP的虛地址上。由于“Inter訪問內(nèi)部Server”與“GCCN訪問內(nèi)部Web Server”使用同一套Eudemon500防火墻，并且網(wǎng)絡結構是一樣的。 不同的是上行至ISP 的路由器是兩臺NE408，而不是NE80E 。 所以這個可靠性分析和 “GCCN訪問內(nèi)部Web Server”時是一樣的。 無負載均衡服務時的可靠性分析對于沒有負載均衡需求的服務器下行流量，由S8512據(jù)路由正常轉發(fā)（直連路由），服務器的網(wǎng)關設置在交換機的VRRP 虛擬地址上。由于“Inter訪問內(nèi)部Server”與“GCCN訪問內(nèi)部Web Server”使用同一套Eudemon1000防火墻，并且網(wǎng)絡結構是一樣的。 不同的是上行至ISP 的路由器是兩臺NE408，而不是NE80E 。 所以這個可靠性分析和 “GCCN訪問內(nèi)部Web Server”時是一樣的。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫27 GCCN 訪問 Inter 場景 1 分析（經(jīng) Proxy）GCCN用戶訪問Inter 的步驟如圖 15所示：圖 15 GCCN用戶訪問Inter的步驟圖用戶發(fā)起訪問Inter的請求，發(fā)送DNS請求給數(shù)據(jù)中心內(nèi)部的DNS VS；DNS VS命中其中一臺DNS成員服務器，成員服務器發(fā)現(xiàn)不是本地域名，將DNS解析請求通過F5（SNAT）發(fā)給 “公網(wǎng)整個DNS 分布式系統(tǒng) ”。在經(jīng)過數(shù)據(jù)中心入口防火墻時，防火墻將DNS請求報文的源地址由DNS VS 地址改為對應的“DNS VS公網(wǎng)地址”；“公網(wǎng)整個DNS分布式系統(tǒng)”得到解析結果后，將結果返回給數(shù)據(jù)中心 DNS 服務器，回程中經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將目的地址由對應的“DNS VS公網(wǎng)地址”改為DNS VS地址；F5匹配到對應的 SNAT Session后，轉發(fā)給發(fā)起此請求的物理成員服務器；物理成員服務器將解析的結果通過F5，發(fā)給用戶；用戶收到解析結果后，發(fā)起對Inter公網(wǎng)服務器的訪問；如果此流量屬于能被代理的范圍，則S8512將此流量強制重定向到Proxy VS上；F5收到后，命中一臺 Proxy物理成員服務器。 此成員服務器將源地址改為自身的源地址后發(fā)給F5，F(xiàn)5通過SNAT 將源地址又改為“Proxy VS地址”發(fā)往公網(wǎng)；在經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將源地址由原來的“Proxy VS地址”改為對應的“Porxy VS公網(wǎng)地址 ”；湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫28公網(wǎng)服務器接受訪問后，回程經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將目的地址由“Porxy VS公網(wǎng)地址” 改為“Porxy VS 地址”；F5匹配到對應的 SNAT Session后，發(fā)給對應的Proxy物理成員服務器；Proxy物理成員服務器再將此請求發(fā)往網(wǎng)關；F5收到后，找到匹配的 VS session后，將源地址由 “物理成員IP地址”改為“Proxy VS地址”，發(fā)往GCCN用戶。 場景 2 分析（不經(jīng) Proxy）用戶發(fā)起訪問Inter的請求，發(fā)送DNS請求給數(shù)據(jù)中心內(nèi)部的DNS VS；DNS VS命中其中一臺DNS成員服務器，成員服務器發(fā)現(xiàn)不是本地域名，將DNS解析請求通過F5（SNAT）發(fā)給 “公網(wǎng)整個DNS 分布式系統(tǒng) ”。在經(jīng)過數(shù)據(jù)中心入口防火墻時，防火墻將DNS請求報文的源地址由DNS VS 地址改為對應的“DNS VS公網(wǎng)地址”；“公網(wǎng)整個DNS分布式系統(tǒng)”得到解析結果后，將結果返回給數(shù)據(jù)中心 DNS 服務器，回程中經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將目的地址由對應的“DNS VS公網(wǎng)地址”改為DNS VS地址；F5匹配到對應的 SNAT Session后，轉發(fā)給發(fā)起此請求的物理成員服務器；物理成員服務器將解析的結果通過F5，發(fā)給用戶；用戶收到解析結果后，發(fā)起對Inter公網(wǎng)服務器的訪問；如果此流量屬于不能被代理的范圍，則S8512將此流量通過路由直接轉發(fā)；在經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將源地址通過NAT address group的方式由原來的“GCCN 用戶地址”改為對應的“地址池公網(wǎng)地址”；公網(wǎng)服務器接受訪問后，回程經(jīng)過“數(shù)據(jù)中心入口防火墻”時，將目的地址由“地址池公網(wǎng)地址”改為“GCCN 用戶地址”，發(fā)往GCCN用戶。 有負載均衡服務時可靠性分析有負載均衡服務時可靠性分析如圖16所示。由于在主防火墻（防火墻1）上鏈路、 在同一個linkgroup里面，在備防火墻（防火墻2）、 在同一個linkgroup里面，、流量都會從主防火墻上切換到備防火墻上。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫29圖 16 有負載均衡服務時可靠性分析 無負載均衡服務時的可靠性分析由于Proxy和DNS 都是有負載均衡的服務，所以GCCN訪問Inter時，無這種情況下的分析。 Inter 用戶訪問 RAAS 場景分析Inter用戶訪問RAAS 過程如下：Inter 用戶通過L2TP軟件撥號到后臺LNS（兩臺雙機熱備的 Eudemon500）的VRRP虛擬公網(wǎng)IP地址上；撥號成功后，LNS（Eudemon500）強制用戶到RSA服務器上去認證；認證通過后，LNS（Eudemon500）給用戶分配一個私有IP 地址；用戶獲得私網(wǎng)IP后訪問RAAS；登陸RAAS 獲得相應的權限分配，進行遠程辦公。 可靠性由于防火墻無法對L2TP VPN登陸的Session 提供可靠性，所以如果“主防火墻自身”或者“與其直連的鏈路”故障后，客戶端只能重新發(fā)起連接。正常情況下的流量如圖17所示。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫30圖 17 正常情況下的流量圖當發(fā)生鏈路異常時的流量切換如圖18所示。湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫31圖 18 當發(fā)生鏈路異常時的流量切換圖湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫327 Intra VPN 設計Intra VPN （Internal Common Zone）主要包含一種流量：GCCN訪問數(shù)據(jù)中心IZ區(qū)域的Server。所以這個區(qū)域的流量分析和網(wǎng)絡設計相對來說簡單很多。 IGP 分析由于防火墻上只有兩個GE業(yè)務端口，上下行業(yè)務端口就需要兩個。沒有多余的口在防火墻上，F(xiàn)5也就接不到防火墻上，F(xiàn)5 必須接到交換機 S8512上，為了和InterentVPN保持一致，S8512要運行三層路由協(xié)議，配置靜態(tài)路由比較麻煩，防火墻不能在子端口下使能VRRP，如圖19所示。圖 19 IGP分析圖具體情況分析如下：Eudemon1000在GE1/0/0主接口下使能 OSPF；Eudemon1000在GE1/0/1主接口下使能 VRRP，在GE1/0/ 子接口上使能OS