今天給大家分享一個面試中的防火牆案例。
一個一等汽車客運站,因業務發展需要,需要和火車站和機場進行聯網購票,請根據以下網絡環境及需求設計該客戶的外聯網絡結構:
1.客戶現有設備清單
A.兩臺Cisco 2811路由器,每個2811配置2個100M以太網口和2塊雙端口以太網模塊;
B.兩臺Cisco 2960交換機,每臺2960配置24個100M電口;
C.兩臺Cisco ASA 5510防火牆,每臺防火牆配置4個1000M電口。
2.網絡需求
客戶與火車站,機場之間要求提供7×24小時不間斷服務。因此,客戶與火車站,機場採用雙線路(電信,聯通各一條2M MSTP專線),其中電信為主線路,聯通為備份鏈路。正常情況下通信走電信線路。
3.拓撲示意圖
一名面試者,他的設計方案如下:
1.兩臺2811路由器中間用一條網線連接起來,兩臺防火牆也用一條網線連接起來,每臺ASA 5510分別和2811路由器連接在一起。
2.兩臺2950交換機中間也用線連接起來,再分別和ASA 5510連接在一起。
3.2811,ASA 5510之間運行OSPF路由協議,NAT做在2811路由器上,再將2811上的靜態路由和直連路由重分發到OSPF中。
方案有三個問題:
1.兩臺防火牆已經作為了獨立的設備在運行,如果Cisco-2811-1和Cisco ASA 5510-1之間的鏈路斷開了,那麼內網主機和外聯單位互訪,流量原來只需要穿越一個防火牆,現在要穿越兩個防火牆了,請問這個問題怎麼辦?
2.在路由器上把直連路由重分發進OSPF,這個操作會把外部網段也注入到內部網絡,這已經不符合題目的要求了。
3.防火牆上跑OSPF?這個ASA 5510可是低端設備,跑路由協議會造成這個設備的性能下降,到時候成了通信瓶頸怎麼處理?
那麼,標準答案是什麼?
1.首先,兩臺防火牆做Failover,考慮到業務實時性要求較高,Failover做成狀態化的A/S模式。由於沒有多餘的設備了,所以暫時讓防火牆擔任內網主機的網關。
2.路由器連接防火牆的接口地址,做成HSRP,與防火牆形成三層互連。防火牆往外部寫兩條靜態路由即可,目標網段分別是火車站售票服務器的地址和機場售票服務的地址,下一跳地址指向路由器的HSRP虛擬地址。
3.NAT做在防火牆上,火車站,機場服務器的地址做outside到inside的轉換,內網主機的網段做inside到outside的動態轉換。
下圖是2811路由器與防火牆之間的詳細地址規劃和NAT信息
再看看兩臺2811針對外聯單位,如何做到高可用性的配置
這樣設計的話,就完全可以讓流量優先走電信鏈路。為什麼這麼說呢?
因為2811-1上,寫靜態路由,把AD值設置為1,所以此時靜態路由的優先級最高,流量到達2811-1上,就會按照靜態路由來走。
2811-1和2811-2上配置了OSPF,又做了重分發靜態進OSPF,所以當所以鏈路正常時,2811-2上可以通過OSPF學習到外聯單位的路由,Cisco OSPF外部路由的AD值是110,高於2811-2上寫的靜態路由的優先級,所以即使流量到了2811-2,它也會優先走OSPF的路由而從2811-1上轉發出去。如圖所示:
//
防火牆網絡設計規範
//
技術方面
首先,防火牆是一個安全設備,也是一個邊界設備。
著重考慮它的兩方面技術,一個就是安全策略,另一個就是做NAT。其他功能,比如各種協議的V(P)N,這個要按照實際情況做決定。
另外,有些防火牆也有反病毒,URL過濾,IPS/IDS的功能,需要按照客戶的要求進行採購,但是不太提倡在防火牆上做太多的反病毒操作。
網絡結構方面
1.分支機構,小型辦公網出口防火牆部署結構(單牆二區域結構)
分支機構,小型辦公網出口防火牆部署結構(單牆三區域結構)
3.分支機構,小型辦公網出口防火牆部署結構(內外牆三區域結構)
在內外牆結構中,又有著三種情況:
A.內外牆都是路由模式,且都做NAT(PAT)
B.內外牆都是路由模式,內牆不做NAT,外牆做NAT
C.內牆透明模式,外牆路由模式
4.總部機構防火牆設計(獨立防火牆設備)
5.數據中心防火牆結構設計
在這種結構下,一個需要特別注意的地方.就是用於和其他單位外聯的區域,還有DMZ區域,連接核心的一側為inside,連接匯聚設備的一側為outside。另外,DMZ和外聯單位,需要兩層防火牆。
閱讀更多 生命的凱歌256124851 的文章
