可资源化的安全部署

MPLS VPN环境中的防火墙部署

在MPLS VPN组网环境中，由于以下情况的存在，网络汇聚层需要进行访问控制和地址转换：

l 每个VPN内部可能存在多个不同的网段，为了有效控制网段间互访和服务器与终端间的访问，需要在汇聚层采用防火墙做单向访问控制；

l 两个或者多个VPN互访时，不同VPN内的IP地址可能存在地址冲突，所以需要在网络汇聚层进行地址转换。

如图7所示为比较常见的传统防火墙部署组网情况及其局限性。

图7 传统园区网防火墙部署示意图

此部署方式会对防火墙的接口类型、协议处理有较高要求。例如，当组网为汇聚和核心采用万兆链路并在汇聚和核心之间采用MPLS VPN组网的时候，就需要防火墙支持万兆链路并能够参与路由计算和处理MPLS报文。此部署方式会对防火墙的接口数量有较高要求。例如，当组网为接入和汇聚之间采用千兆光链路的时候，需要防火墙有较高的端口密度，并在汇聚层下挂多台防火墙才能满足部署要求，势必造成部署成本过高和管理节点过多的情况。

虚拟园区网下采用FW插卡部署，可解决传统部署模式带来的接口类型、协议处理、建设成本和运维管理等一系列的问题。如图8所示为在MPLS VPN环境中，防火墙的部署方式。将一块FW模块插入汇聚层交换机内，由交换机的接口板卡与接入以及核心设备连接，这样就无须考虑防火墙的接口类型等方面的要求；并且保证防火墙的处理在PE和CE之间，可以不必要求防火墙参与OSPF等动态路由协议计算和MPLS报文处理，大大简化了网络设计和运行维护。可见，模块化的安全部署方式在简化设计、降低总拥有成本等方面具有较大优势，是网络设计时需要考虑的常用设计方法之一。

图8 MPLS VPN环境下防火墙最佳部署示意图

互联网出口安全部署

互联网出口通常面临网络层和应用层的攻击，因此是控制安全威胁的最佳控制点之一。相应的，此处的安全设计和部署也通常是园区网中最复杂的场景之一。

针对不同场景的需求和保证网络边界的安全和完整性，在互联网出口通常需要部署访问控制、地址转换、应用层防护、流量控制、行为审计、链路负载均衡、DMZ区服务器负载均衡、SSL远程接入、DDoS攻击防护等多种技术手段。由于各种技术的侧重不同，催生出了多种组合的方案。下面将围绕其中的一种常用方案进行展开，描述在互联网出口处进行访问控制、地址转换、应用防护、行为审计、链路负载均衡多种技术混合部署的设计方式。

图9 虚拟园区网出口FW+IPS+ACG+LB板卡组网

如图9所示，业务板卡采用主备方式进行部署。具体的部署方式如下：

n 两台园区出口交换机（S9500E）作为IRF堆叠使用；

n 在互联网出口处，部署LB的情况下，应存在两个不同的互联网出口，连接到两台路由器上，这样LB才能够发挥作用；

n FW在转发路径上，使用路由模式，提供访问控制及攻击防御等功能，部署方式采用主备方式，采用VRRP部署，MASTER进行流量转发；

n IPS采用主备方式部署，在S9500E上通过MQC引流，转发到主IPS上，当主IPS失效后，通过MQC的下一跳备份功能，流量被引导到备份的IPS上，IPS与ACG部署的位置在S9500E与FW的三层转发路径上，将不会存在上下行不一致的问题。

n ACG采用主备方式部署，在S9500E上通过MQC引流，转发到主ACG上，当主ACG失效后，通过MQC的下一跳备份功能，流量被引导到备份的ACG上，IPS与ACG部署的位置在S9500E与FW的三层转发路径上，将不会存在上下行不一致的问题。

n LB作为连接出口路由器的设备，使用链路负载分担功能，并且使能NAT OUTBOUND功能让内网用户能够访问Internet，同时，两台LB之间使用VRRP进行主备，为提升两台设备故障的恢复能力，两台LB可以直接使用状态备份；

n S9500E作为三层转发设备。与FW之间为三层转发。

图10 虚拟园区网出口FW+IPS+ACG+LB板卡流量路径

如图10所示为流量路径，具体如下：

两条蓝色的虚线并不代表流量会同时从两套板卡上经过，而是说明在这一部署方式下，流量所流经的路径。

1. 园区网出方向：用户侧->外网侧（流量经过所有的多业务板卡）。用户侧数据按照交换机->ACG->IPS->防火墙->LB的顺序进行转发，在这个转发路径上，交换机进行一次三层转发（即将用户侧流量通过三层转发发送给防火墙），流量先被重定向到ACG，然后被重定向到IPS上。通过防火墙转发后，转发到LB上，LB通过链路负载分担并进行NAT转换后，转发到外网出口的路由器上。

2. 园区网入方向：外网侧->用户侧方向。外网方向的数据流根据不同的目的地址，到达不同的LB板卡上，LB进行NAT转换后，其下一跳是FW，在经过FW转发后，流量重定向到IPS、ACG进行处理，处理完成后，再由交换机转发给内网用户。

总结

虚拟园区网2.0解决方案，通过在园区中引入IRF2技术，不仅实现了网络的革命性突破，更对网络中的安全服务的部署带来了深远的影响。在当前网络和安全一体化的趋势下，模块化的部署方式、一分多的虚拟化技术、全虚拟化环境下的安全部署，使得网络安全服务的部署更为简化，并进一步实现了安全业务的资源化，从而为搭建资源化的园区网络平台提供坚实的基础。