【正文】 沒有多余的口在防火墻上，F(xiàn)5也就接不到防火墻上，F(xiàn)5 必須接到交換機(jī) S8512上，為了和InterentVPN保持一致，S8512要運(yùn)行三層路由協(xié)議，配置靜態(tài)路由比較麻煩，防火墻不能在子端口下使能VRRP，如圖19所示。所以這個(gè)區(qū)域的流量分析和網(wǎng)絡(luò)設(shè)計(jì)相對(duì)來說簡(jiǎn)單很多。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)30圖 17 正常情況下的流量圖當(dāng)發(fā)生鏈路異常時(shí)的流量切換如圖18所示。 可靠性由于防火墻無法對(duì)L2TP VPN登陸的Session 提供可靠性，所以如果“主防火墻自身”或者“與其直連的鏈路”故障后，客戶端只能重新發(fā)起連接。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)29圖 16 有負(fù)載均衡服務(wù)時(shí)可靠性分析 無負(fù)載均衡服務(wù)時(shí)的可靠性分析由于Proxy和DNS 都是有負(fù)載均衡的服務(wù)，所以GCCN訪問Inter時(shí)，無這種情況下的分析。 有負(fù)載均衡服務(wù)時(shí)可靠性分析有負(fù)載均衡服務(wù)時(shí)可靠性分析如圖16所示。 場(chǎng)景 2 分析（不經(jīng) Proxy）用戶發(fā)起訪問Inter的請(qǐng)求，發(fā)送DNS請(qǐng)求給數(shù)據(jù)中心內(nèi)部的DNS VS；DNS VS命中其中一臺(tái)DNS成員服務(wù)器，成員服務(wù)器發(fā)現(xiàn)不是本地域名，將DNS解析請(qǐng)求通過F5（SNAT）發(fā)給 “公網(wǎng)整個(gè)DNS 分布式系統(tǒng) ”。在經(jīng)過數(shù)據(jù)中心入口防火墻時(shí)，防火墻將DNS請(qǐng)求報(bào)文的源地址由DNS VS 地址改為對(duì)應(yīng)的“DNS VS公網(wǎng)地址”；“公網(wǎng)整個(gè)DNS分布式系統(tǒng)”得到解析結(jié)果后，將結(jié)果返回給數(shù)據(jù)中心 DNS 服務(wù)器，回程中經(jīng)過“數(shù)據(jù)中心入口防火墻”時(shí)，將目的地址由對(duì)應(yīng)的“DNS VS公網(wǎng)地址”改為DNS VS地址；F5匹配到對(duì)應(yīng)的 SNAT Session后，轉(zhuǎn)發(fā)給發(fā)起此請(qǐng)求的物理成員服務(wù)器；物理成員服務(wù)器將解析的結(jié)果通過F5，發(fā)給用戶；用戶收到解析結(jié)果后，發(fā)起對(duì)Inter公網(wǎng)服務(wù)器的訪問；如果此流量屬于能被代理的范圍，則S8512將此流量強(qiáng)制重定向到Proxy VS上；F5收到后，命中一臺(tái) Proxy物理成員服務(wù)器。 所以這個(gè)可靠性分析和 “GCCN訪問內(nèi)部Web Server”時(shí)是一樣的。由于“Inter訪問內(nèi)部Server”與“GCCN訪問內(nèi)部Web Server”使用同一套Eudemon1000防火墻，并且網(wǎng)絡(luò)結(jié)構(gòu)是一樣的。 所以這個(gè)可靠性分析和 “GCCN訪問內(nèi)部Web Server”時(shí)是一樣的。由于“Inter訪問內(nèi)部Server”與“GCCN訪問內(nèi)部Web Server”使用同一套Eudemon500防火墻，并且網(wǎng)絡(luò)結(jié)構(gòu)是一樣的。 有負(fù)載均衡服務(wù)時(shí)可靠性分析對(duì)于有負(fù)載均衡需求的服務(wù)器的下行流量，S8512交換機(jī)設(shè)置策略路由，將流量（目的地址為F5的業(yè)務(wù)虛地址）強(qiáng)制改變下一跳到F5 上行 VRRP的虛地址上。在回程經(jīng)過數(shù)據(jù)中心的Inter入口防火墻時(shí)，將報(bào)文中的IP 源地址由服務(wù)器的私有地址改為對(duì)應(yīng)的公網(wǎng)IP地址。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)25圖 13 NE80E核心路由器和S8512之間的鏈路中斷時(shí)流量切換圖 Inter 與 PZ 內(nèi)部 Server 互訪 場(chǎng)景分析由Inter用戶發(fā)起，訪問內(nèi)部Web Server的步驟如圖 14所示：圖 14 Inter用戶訪問內(nèi)部Web Server的步驟圖Inter用戶將DNS 請(qǐng)求發(fā)送到用戶自身所在的本地DNS服務(wù)器；湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)26Inter本地DNS服務(wù)器通過“公網(wǎng)整個(gè)DNS 分布式系統(tǒng)” 將請(qǐng)求發(fā)送到數(shù)據(jù)中心內(nèi)部DNS服務(wù)器（目的地址為DNS VS 對(duì)應(yīng)的公網(wǎng)IP地址）；在經(jīng)過數(shù)據(jù)中心Inter入口防火墻時(shí)，將此目的地址NAT成DNS服務(wù)器的VS地址，發(fā)給F5；F5將請(qǐng)求命中給一臺(tái)物理成員服務(wù)器，此物理成員將對(duì)應(yīng)的域名請(qǐng)求解析為對(duì)應(yīng)的公網(wǎng)IP地址，發(fā)送給F5 ；F5將VS地址作為源地址，將DNS解析結(jié)果發(fā)給對(duì)應(yīng)的用戶；在回程經(jīng)過數(shù)據(jù)中心的Inter入口防火墻時(shí)，將報(bào)文中的IP 源地址由DNS VS地址改為對(duì)應(yīng)的公網(wǎng)IP地址；用戶獲得解析結(jié)果后，發(fā)送訪問請(qǐng)求到對(duì)應(yīng)的服務(wù)器公網(wǎng)IP地址；在經(jīng)過數(shù)據(jù)中心Inter入口防火墻時(shí)，將此目的地址NAT成服務(wù)器私網(wǎng)IP地址。正常情況下的流量如圖 12所示。 圖 11 S8512和F5之間的鏈路斷時(shí)流量切換圖注意：如果（3）或（4）只有一條鏈路斷時(shí)，流量路徑不切換。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)22圖 9 有負(fù)載均衡時(shí)流量圖當(dāng)NE80E核心路由器和 S8512之間的鏈路（中間的防火墻業(yè)務(wù)口處于透明模式）中斷時(shí)，流量的切換如圖10所示：當(dāng)鏈路（1）或（2）斷時(shí)，NE80E路由器和S8512路由收斂，導(dǎo)致流量的切換，兩個(gè)防火墻Track功能配合引發(fā)主備切換。正常情況下的流量如圖9所示：流量從GCCN經(jīng)過主防火墻后到達(dá)主的F5，由F5 來調(diào)度均衡命中對(duì)應(yīng)的屬于同一群組的服務(wù)器。 有負(fù)載均衡服務(wù)時(shí)可靠性分析對(duì)于有負(fù)載均衡需求的服務(wù)器的下行流量，由于目的IP地址為虛擬服務(wù)器的IP 地址，所以在S8512上設(shè)置靜態(tài)路由，將流量（目的地址為 F5上的業(yè)務(wù)虛地址）的下一跳設(shè)置為F5上行VRRP的虛地址。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)21圖 8 GCCN用戶訪問PZ區(qū)域步驟圖GCCN用戶將DNS 服務(wù)器設(shè)置為 GDC內(nèi)部DNS VS IP 地址。若有網(wǎng)絡(luò)入侵，NIP設(shè)備只提供告警但無具體的動(dòng)作。IDS主要是通過分析流量4層以上的報(bào)文來采取一些安全策略。這樣我們可以發(fā)現(xiàn)：如果要使用VS，報(bào)文的目的地址一定要配置為VS的地址，不能配置為物理服務(wù)器的地址，否則將得不到對(duì)應(yīng)的服務(wù)。說明：如果這時(shí)客戶端將訪問的目的地址設(shè)置為物理成員服務(wù)器，訪問是能成功的，但是可靠性就得客戶端自己保證了。 如何解決這個(gè)問題呢？ F5提供一種更改源地址的配置選項(xiàng)，對(duì)于這種場(chǎng)景，可以將F5命中將報(bào)文發(fā)給物理成員之前，更改報(bào)文的源地址為F5自身。所以F5實(shí)際上是將流量的“目的地址”由“VS 的地址”轉(zhuǎn)換成了“物理成員的地址”來實(shí)現(xiàn)的。顯然，F(xiàn)5要求群組內(nèi)物理服務(wù)器成員的網(wǎng)關(guān)是在F5上的，也就是來回路徑要一致，這樣可以達(dá)到兩個(gè)目的。 F5 設(shè)計(jì)F5提供VS（Virtual Server ）的功能，其基本的概念是用一個(gè) VS來作為一群物理服務(wù)器成員的代言人?！癎CCN用戶”和“Public Service 區(qū)域里面的其它服務(wù)器（類似GCCN用戶）”的DNS湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)20設(shè)置為Public Service 區(qū)域里的DNS 服務(wù)器的私有IP 地址。對(duì)于DNS服務(wù)器本身，也需要由防火墻的NAT來實(shí)現(xiàn)。對(duì)于“數(shù)據(jù)中心PZ區(qū)域的服務(wù)器”的DNS解析，DNS服務(wù)器提供這樣一種統(tǒng)一的效果：對(duì)于源地址屬于GCCN的用戶來說，此服務(wù)器域名解析為私有IP，而對(duì)于源地址為公網(wǎng)IP 地址的公網(wǎng)用戶來來說，此服務(wù)器域名解析為公網(wǎng)IP 。本數(shù)據(jù)中心的DNS服務(wù)器是二者的結(jié)合： 對(duì)于數(shù)據(jù)中心 PZ區(qū)域的服務(wù)器來說，這是Authorization Server。但是對(duì)于終端用戶來說，這是一臺(tái)DNS 服務(wù)器。對(duì)于后臺(tái)防火墻和后臺(tái)網(wǎng)絡(luò)之間的互通，后臺(tái)防火墻需要和后臺(tái)網(wǎng)絡(luò)之間起OSPF，并只將L2TP的地址池發(fā)布出去（不能將直連的公網(wǎng)網(wǎng)段發(fā)布出去）。由于這個(gè)L2TP的公網(wǎng)網(wǎng)段包含在了出口NE40發(fā)給ISP 的公網(wǎng)網(wǎng)段中，所以ISP 對(duì)端是有回程路由的。在防火墻的去往公網(wǎng)的VPN實(shí)例中，做“NAT address group+地址池”方式的NAT。以上兩措施使得對(duì)于能代理的流量，GCCN已經(jīng)能夠訪問Inter了。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)19對(duì)于回程流量，防火墻將“內(nèi)部Web Server”的私網(wǎng)IP地址NAT成公網(wǎng)的具體操作，由“和ISP 對(duì)接的NE408”路由器通過在OSPF110進(jìn)程中引靜態(tài)路由的方式發(fā)布到ISP 對(duì)端。在S8512上，對(duì)于去往 F5 VS IP地址段的路由，使用靜態(tài)路由，下一跳為F5上行VRRP的虛地址，同時(shí)將此靜態(tài)路由引入OSPF100中，為了讓 Inter能和內(nèi)部 Server互訪：對(duì)于去往Inter的流量，由兩臺(tái)和ISP 對(duì)接的NE408路由器配置靜態(tài)默認(rèn)路由，下一跳分別指向ISP對(duì)端的路由器，再分別非強(qiáng)制下發(fā)默認(rèn)路由。 IGP 和 MPIBGP 路由規(guī)劃為了讓GCCN能和內(nèi)部Web Server互訪對(duì)于去往GCCN的流量，NE80E 通過BGP引入GCCN私網(wǎng)路由，通過路由交叉將路由引入至Inter VPN路由表，在OSPF 內(nèi)部引入BGP的路由。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)18圖 7 RAAS設(shè)計(jì)在NE40 和Eudemon500之間有一對(duì)S3952 的防火墻，這主要用來提供VRRP二層通路的，兩臺(tái)NE40 之間和兩臺(tái)防火墻之間的的VRRP二層組播報(bào)文就跑在兩臺(tái)S3952之間。如圖7所示，后臺(tái)的兩臺(tái)Eudemon500上使能了L2TP VPN 服務(wù)器供Inter用戶登陸，兩臺(tái)防火墻上對(duì)Inter方向起的VRRP使用公網(wǎng)IP地址。比如給某些維護(hù)用戶分配訪問DMS的權(quán)限，給另外一些維護(hù)用戶分配訪問BMC 的權(quán)限，這樣不同的用戶就有不同的管理權(quán)限了。RAAS服務(wù)器在此網(wǎng)絡(luò)中用來給遠(yuǎn)程辦公用戶（在Inter 上）分配遠(yuǎn)程辦公的權(quán)限，比如給所有Inter 遠(yuǎn)程辦公用戶分配訪問notes的權(quán)限，給某些Inter遠(yuǎn)程辦公用戶分配訪問“預(yù)算申請(qǐng)服務(wù)”的權(quán)限。在這個(gè)進(jìn)程中，Cisco只要在OSPF中非強(qiáng)制下發(fā)默認(rèn)路由即可， NE40只需要將數(shù)據(jù)中心的公網(wǎng)網(wǎng)段引入至OSPF即可，如圖6所示。由于Cisco7606只希望得到數(shù)據(jù)中心的公網(wǎng)路由，不需要其它的私網(wǎng)路由不能讓ISP網(wǎng)絡(luò)和 Cisco的路由器影響網(wǎng)絡(luò)?？梢钥闯鯯8512 起了至關(guān)重要的作用，其決定了是否將流量重定向到Proxy 服務(wù)器上去。對(duì)于不能代理的流量，不強(qiáng)制重定向到Proxy服務(wù)器上 ，由網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)和處理。 S8512 的設(shè)計(jì)對(duì)于GCCN訪問Inter 的流量：對(duì)于能代理的流量，強(qiáng)制重定向到Proxy服務(wù)器上 ，Proxy 會(huì)先終結(jié)這些流量，將源地址改為自己的源地址后再發(fā)往目的地。為了保證來回路徑一致，和主防火墻（防火墻1）相連的鏈路的cost統(tǒng)一設(shè)置成100， 和備防火墻（防火墻2）相連的鏈路的cost統(tǒng)一設(shè)置成 700。如下，在防火墻1上將鏈路、 加入到同一個(gè)linkgroup里面，、 加入到同一個(gè)linkgroup里面。這樣對(duì)于上下行設(shè)備來說，防火墻就類似一臺(tái)具有安全保護(hù)及NAT功能的路由器，如圖5 所示。但是這是由于硬件配置原因照成的，如果條件允許筆者強(qiáng)烈建議使用兩對(duì)防火墻來實(shí)現(xiàn)，減少不必要的網(wǎng)絡(luò)復(fù)雜度。由于防火墻上的OSPF綁定了VPN實(shí)例并且沒有運(yùn)行MPBGP，所以就是一個(gè)MCE，需要“去使能DN bit檢查”的功能。在 NE80EE1000S8512這條路徑上運(yùn)行一個(gè)OSPF進(jìn)程,并將此路徑經(jīng)過的防火墻端口加入VPN 實(shí)例，使其在public域中。 路由模式的轉(zhuǎn)發(fā)效率會(huì)高于透明模式。 路由模式+虛擬防火墻路由模式+虛擬防火墻的方式，能解決上述方案的缺陷。 透明模式防火墻方案的問題此方案有如下兩大缺陷導(dǎo)致不可用：對(duì)于不能代理的流量，同一Session標(biāo)識(shí)的流量會(huì)在不同端口經(jīng)過防火墻兩次，經(jīng)測(cè)湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)15試流量第二次經(jīng)過防火墻時(shí)會(huì)被丟棄。這樣就可以理解為：兩臺(tái)S8512 和兩臺(tái)NE40兩臺(tái)S8512和兩臺(tái)NE80E核心路由器都是三層直連的，它們之間直接運(yùn)行動(dòng)態(tài)路由協(xié)議OSPF,防火墻起二層交換機(jī)的作用。對(duì)于GCCN訪問Inter 的不 能被Proxy 代理的流量： 為了統(tǒng)一管理，流量也不能繞過S8512，而必須為 NE80EE1000S8512 E1000NE40ISP。NE80EE1000S8512ProxyS8512E1000NE40NE40這整條路徑都運(yùn)行在OSPF 100這個(gè)進(jìn)程的Area 0中，如圖 4所示。所以我們要達(dá)到如下效果：對(duì)于能代理的流量，強(qiáng)制重定向到Proxy服務(wù)器上， Proxy會(huì)先終結(jié)這些流量，將源地址改為自己的源地址后再發(fā)往目的地。但是由于license沒有配置全， Proxy無法代理所有的流量，比如。 IGP 分析 Proxy 能代理和不能代理的流量Proxy的處理能力和需求極大地決定了Public Service Zone的IGP設(shè)計(jì)，因?yàn)槠錄Q定了對(duì)GCCN訪問Inter流量的處理。其中第一種、第二種、第四種流量在一個(gè)方向上（出或入）都只會(huì)經(jīng)過防火墻一次，較為簡(jiǎn)單。GCCN訪問Inter 。表 11 MPIBGP連接表Name Rule IPJOGOOBC370501 RR JOGOOBC3