【51CTO.com 綜合報道】在虛擬園區網2.0解決方案大規模部署的情況下，當網絡資源通過IRF2技術橫向整合和VPN技術縱向隔離，形成了分層分業務的虛擬化后，安全的資源化如何與網絡的資源化相匹配，形成網絡與安全的整體資源部署，是虛擬園區網設計中的重點。   FW、NAT、SSL VPN、IPS、NetStream、ACG（應用控制網關）等園區網內的安全技術和相關產品層出不窮，為了簡化問題 ，從工作模式入手，安全產品大致可以分為兩類：三層工作模式和二層工作模式的產品。另外，從可靠性等方面考慮，又有多種部署方式：Active-Active；Active-Standby。通過工作模式和部署方式的組合，我們挑選出一兩種有代表性的組合方式及以H3C安全產品為例，討論虛擬園區網2.0中的安全資源化部署的問題。  

IRF2環境下防火墻部署  

如圖1所示是通常情況下園區網絡匯聚層防火墻的邏輯部署方式，通過在匯聚層面的防火墻部署，可以用更簡單的操作進行園區內部或者是每個虛擬網內部的訪問控制。  

H3C防火墻具備會話同步的熱備份功能，使用專用的一條或兩條帶外線纜(雙機熱備專線)進行兩臺防火墻的會話信息進行同步，配合交換網絡流量切換，可保證單臺防火墻故障時應用流量不會中斷。

圖1中兩個組網的物理連接方式相同，但是右圖組網采用IRF2技術后卻能夠改變整網的邏輯部署，并在設計上只需要更簡單的考慮。  

圖1 防火墻交換機基本組網結構

以下分別就防火墻的路由模式和透明模式來討論，在IRF2的組網環境下，安全部署有哪些不同。

防火墻路由模式部署  

傳統的防火墻路由模式部署，當部署于園區網匯聚層的話，假設二層終結于匯聚層，匯聚和直到核心的網絡處于同一個OSPF域內，其三層接口部署一般如圖2所示。

采用Actice-Active方式部署，各防火墻作為獨立路由運行節點與交換系統組成動態路由區域，完全由路由協議控制數據流經的防火墻，兩臺防火墻之間相互同步會話狀態信息，支持非對稱流量安全檢測，這樣全網可見12個路由節點，至少12條路由（不考慮網段路由等其他情況）。

采用Active-Standby方式部署，為了保證負載分擔，需要采用多VRRP組的部署方式。鑒于核心匯聚交換機和FW連接接口均為三層接口，需要核心、匯聚、防火墻上分別起兩組VRRP組，才能完成不同路徑下流量的負載分擔。  

圖2 傳統防火墻路由模式+Active-Active部署  

圖3為采用IRF2技術之后的部署。通過IRF2部署，能夠有效降低網絡中三層接口數量和路由表大小，并將核心和核心之間、匯聚和匯聚之間的數據交互有效屏蔽在網絡的二層，簡化了網絡設計和運維管理需要考慮的問題，從而使得網絡設計更簡單。

對于Active-Active組網模式下，如圖3右圖所示，匯聚和核心層面設備進行了橫向整合，整網的三層接口縮減為7個，相應的網絡內路由條數縮減為7條。

而對于Active-Standby部署模式，如圖3左圖所示，當整網IRF2整合之后，由于核心和匯聚設備橫向整合在一起，不但三層接口和路由數目大為減少，并且只需要在防火墻上起2個VRRP組即可達到傳統6個VRRP組才能實現的功能，虛擬化所帶來的好處更加明顯  

圖3 防火墻路由模式+交換網絡IRF2

防火墻透明模式部署  

如圖4所示，為防火墻在透明模式下采用IRF2前后的對比。啟用IRF2以后，可以實現跨鏈路聚合，從而以更簡單的方式實現了鏈路的負載分擔。

傳統的防火墻在匯聚層面透明模式部署的時候（組網如圖4左圖），兩組交換機與兩臺防火墻的互聯接口配置兩組連接網段，交換機對防火墻的端口均采用untagged方式，因此可以保證兩臺防火墻在VLAN的配置上達到一致，防火墻同時啟動流路徑非對稱能力。兩組交換系統之間可以運行動態路由協議(防火墻允許相應的協議數據通過)，所有數據流通過等價路由分擔到兩臺防火墻所在的鏈路上，由于防火墻支持路徑非對稱功能，因此當某條數據流下行經過一臺防火墻而上行經過另一臺防火墻時，雙機的狀態會話仍能同步保持。  

啟用IRF2以后，如圖4右圖所示，利用防火墻inline轉發方式，即防火墻端口配對轉發而不進行MAC地址查表轉發，將交換機IRF2系統中不同成員的端口與兩臺防火墻分別連接，只在交換機IRF2系統端進行兩條鏈路的LACP捆綁，這樣將網絡流量分擔到不同防火墻，而在交換機IRF2系統不需要使用等價路由。防火墻允許LACP協議報文通過，從而保證聚合鏈路的可靠性連接。數據流在防火墻往返路徑不一致的情況仍由路徑非對稱功能解決。

圖4 防火墻透明模式傳統部署和IRF2環境部署對比 #p#

如何實現安全模塊一分多虛擬化  

雖然IRF2實現了安全的簡單部署，然而安全資源還是不能實現按需部署的資源化。要達到這一點，需要安全設備支持一虛多的虛擬化功能，下面以在交換機上模塊化部署來說明其實現原理。  

圖5 同一虛擬組內共享安全資源  

如圖5所示，通過IRF2整合，將多個機框式交換系統整合在一起，邏輯上形成一個大的交換系統，在這個系統中，無論安全模塊部署在組內的任何一個框上，都能夠被本組的其他框所共享，每個機框上行流量都能夠基于本身的需求進行安全處理，而不必關心這個安全模塊部署在哪個機框上。同時，在路由表項，安全策略等方面，基于不同的業務可以給予不同的保障，真正實現了按需分配，組內共享的安全資源化，俗稱為“安全模塊一拖N部署”。  

圖6 防火墻模塊一虛多在交換系統中的部署  

如圖6所示，終端的網關設置在防火墻上，防火墻通過VRRP提供冗余，冗余備份組通過靜態路由下一跳指向IRF2交換機三層接口，交換機之間通過IRF2消除了二層接入環路。在集成防火墻路由模式下，還可以將防火墻進行虛擬化，邏輯分割成多個虛擬防火墻實例提供網絡安全服務，如圖中對每塊防火墻線卡劃分了多個邏輯實例，每一對虛擬防火墻工作在A-S方式，可選擇Active實例分布在兩塊物理線卡上，從而達到負載分擔和冗余備份的能力，實現防火墻在一個虛擬組內如何實現資源化。

通過一分多的虛擬化技術，可以使不同業務或用戶群在同一個IRF2組內共享相同的安全硬件，而在邏輯上達到資源動態分配的目的，降低了建設成本，提高了安全服務的動態調配能力，為業務的靈活部署提供了有效的支撐。 #p#

MPLS VPN環境中的防火墻部署

在MPLS VPN組網環境中，由于以下情況的存在，網絡匯聚層需要進行訪問控制和地址轉換： 

◆每個VPN內部可能存在多個不同的網段，為了有效控制網段間互訪和服務器與終端間的訪問，需要在匯聚層采用防火墻做單向訪問控制； 

◆兩個或者多個VPN互訪時，不同VPN內的IP地址可能存在地址沖突，所以需要在網絡匯聚層進行地址轉換。

如圖7所示為比較常見的傳統防火墻部署組網情況及其局限性。 

圖7 傳統園區網防火墻部署示意圖

此部署方式會對防火墻的接口類型、協議處理有較高要求。例如，當組網為匯聚和核心采用萬兆鏈路并在匯聚和核心之間采用MPLS VPN組網的時候，就需要防火墻支持萬兆鏈路并能夠參與路由計算和處理MPLS報文。此部署方式會對防火墻的接口數量有較高要求。例如，當組網為接入和匯聚之間采用千兆光鏈路的時候，需要防火墻有較高的端口密度，并在匯聚層下掛多臺防火墻才能滿足部署要求，勢必造成部署成本過高和管理節點過多的情況。

虛擬園區網下采用FW插卡部署，可解決傳統部署模式帶來的接口類型、協議處理、建設成本和運維管理等一系列的問題。如圖8所示為在MPLS VPN環境中，防火墻的部署方式。將一塊FW模塊插入匯聚層交換機內，由交換機的接口板卡與接入以及核心設備連接，這樣就無須考慮防火墻的接口類型等方面的要求；并且保證防火墻的處理在PE和CE之間，可以不必要求防火墻參與OSPF等動態路由協議計算和MPLS報文處理，大大簡化了網絡設計和運行維護。可見，模塊化的安全部署方式在簡化設計、降低總擁有成本等方面具有較大優勢，是網絡設計時需要考慮的常用設計方法之一。  

圖8 MPLS VPN環境下防火墻最佳部署示意圖 #p#

互聯網出口安全部署

互聯網出口通常面臨網絡層和應用層的攻擊，因此是控制安全威脅的最佳控制點之一。相應的，此處的安全設計和部署也通常是園區網中最復雜的場景之一。

針對不同場景的需求和保證網絡邊界的安全和完整性，在互聯網出口通常需要部署訪問控制、地址轉換、應用層防護、流量控制、行為審計、鏈路負載均衡、DMZ區服務器負載均衡、SSL遠程接入、DDoS攻擊防護等多種技術手段。由于各種技術的側重不同，催生出了多種組合的方案。下面將圍繞其中的一種常用方案進行展開，描述在互聯網出口處進行訪問控制、地址轉換、應用防護、行為審計、鏈路負載均衡多種技術混合部署的設計方式。  

圖9 虛擬園區網出口FW+IPS+ACG+LB板卡組網

如圖9所示，業務板卡采用主備方式進行部署。具體的部署方式如下： 

◆兩臺園區出口交換機（S9500E）作為IRF堆疊使用； 

◆在互聯網出口處，部署LB的情況下，應存在兩個不同的互聯網出口，連接到兩臺路由器上，這樣LB才能夠發揮作用； 

◆FW在轉發路徑上，使用路由模式，提供訪問控制及攻擊防御等功能，部署方式采用主備方式，采用VRRP部署，MASTER進行流量轉發； 

◆IPS采用主備方式部署，在S9500E上通過MQC引流，轉發到主IPS上，當主IPS失效后，通過MQC的下一跳備份功能，流量被引導到備份的IPS上，IPS與ACG部署的位置在S9500E與FW的三層轉發路徑上，將不會存在上下行不一致的問題。 

◆ACG采用主備方式部署，在S9500E上通過MQC引流，轉發到主ACG上，當主ACG失效后，通過MQC的下一跳備份功能，流量被引導到備份的ACG上，IPS與ACG部署的位置在S9500E與FW的三層轉發路徑上，將不會存在上下行不一致的問題。 

◆LB作為連接出口路由器的設備，使用鏈路負載分擔功能，并且使能NAT OUTBOUND功能讓內網用戶能夠訪問Internet，同時，兩臺LB之間使用VRRP進行主備，為提升兩臺設備故障的恢復能力，兩臺LB可以直接使用狀態備份； 

◆S9500E作為三層轉發設備。與FW之間為三層轉發。  

圖10 虛擬園區網出口FW+IPS+ACG+LB板卡流量路徑

如圖10所示為流量路徑，具體如下：

兩條藍色的虛線并不代表流量會同時從兩套板卡上經過，而是說明在這一部署方式下，流量所流經的路徑。

1. 園區網出方向：用戶側->外網側（流量經過所有的多業務板卡）。用戶側數據按照交換機->ACG->IPS->防火墻->LB的順序進行轉發，在這個轉發路徑上，交換機進行一次三層轉發（即將用戶側流量通過三層轉發發送給防火墻），流量先被重定向到ACG，然后被重定向到IPS上。通過防火墻轉發后，轉發到LB上，LB通過鏈路負載分擔并進行NAT轉換后，轉發到外網出口的路由器上。

2. 園區網入方向：外網側->用戶側方向。外網方向的數據流根據不同的目的地址，到達不同的LB板卡上，LB進行NAT轉換后，其下一跳是FW，在經過FW轉發后，流量重定向到IPS、ACG進行處理，處理完成后，再由交換機轉發給內網用戶。

總結  

虛擬園區網2.0解決方案，通過在園區中引入IRF2技術，不僅實現了網絡的革命性突破，更對網絡中的安全服務的部署帶來了深遠的影響。在當前網絡和安全一體化的趨勢下，模塊化的部署方式、一分多的虛擬化技術、全虛擬化環境下的安全部署，使得網絡安全服務的部署更為簡化，并進一步實現了安全業務的資源化，從而為搭建資源化的園區網絡平臺提供堅實的基礎。