本帖最后由 C罗单手卸AF 于 2021-5-14 15:34 编辑
项目背景需求:医院业务系统分为两大块,本地业务系统、云上业务系统。目前医院内网业务系统上网通过AF的5口来进行上网,云上业务通过云上运营商来上网(云上业务通过专线与AF的eth1口相连接),云上业务与医院内网业务要进行互访,且云上业务需要发布到公网上。
整体改造后的网络拓扑如下:
改造过程: AF虚拟网线:eth0为带外管理地址,eth1,eth3为一对虚拟网线,eth2,eth4为一对虚拟网线。 AC透明模式部署。 SW写默认路由指向网闸。(前期建设由于客户环境问题无法改动医院内网核心)。 网闸路由模式部署,放通来自医院内网、云上服务器到公网上网的IP以及端口。
注意事项: AF:需要配置二次穿透,1和3之间的穿透。 GAP:模式为路由模式,如果配置了默认网关,则无法配置全放通策略,会造成路由冲突,所以此处所有上网经过网闸设备,回包全部都写明细路由。另外对于云上主机要发布到公网上,需要在网闸测勾选隐藏源地址转换,即通过网闸的外网地址进行上网(即SNAT)。
AF二次穿透配置: 网闸:隐藏源地址
过程遇到的难点: 核心交换机不能做配置。
解决方法: 1、防火墙:
移动云对接防火墙的eth1与eth3口设置为access口,允许本征vlan1.由于防火墙还需要与核心及网闸互联,故内外网接口(eth4与eth2)分别设置为trunk口,允许vlan1、vlan2 与vlan3通过,然后起vlan接口配置IP地址分别与核心及网闸互联。(vlan2的IP地址与核心的外网接口同网段,vlan3的IP地址与GAP内网口同网段)。 AF的路由: 1. 到移动云:目的网段是移动云服务器的IP下一跳指向移动云的出口网关 2. 保证内网与移动云互访:目的网段是内网的服务器的网段下一跳指向核心的SW2 3. 保证内网与移动云上网:写一条默认路由指向GAP的内网口
AF的策略放通: 放通移动云到内网服务器的数据: 源区域选择ETH1,VLAN1,ETH4与vlan2所在的区域,目的区域选择ETH1,VLAN1,ETH4与vlan2所在的区域,服务any,动作允许。 放通内网与移动云去上外网: 源区域是ETH1,VLAN1与ETH4,VLAN2所在的区域,目的区域是ETH2,VLAN3所在的区域服务any,动作允许。
2、移动云的路由:默认路由不变,继续指向核心或防火墙,如果指向防火墙,则核心这边将SW1接口的线拔掉,将SW1口的IP地址移动到防火墙的vlan1接口,如果指向核心,则继续按照如上操作。
整体改造完成后,数据流向如下:
移动云路由指向防火墙后; 移动云上网:移动云——AF——网闸——出口 内网上网:内网服务器——核心——AC——AF——网闸——出口 移动云访问内网:移动云——AF——AC——核心——内网服务器 内网访问移动云;内网服务器——核心——AC——AF——移动云
移动云路由指向核心后: 移动云上网:移动云——AF——AC——核心——AF——网闸——出口 内网上网:内网服务器——核心——AC——AF——网闸——出口 移动云访问内网:移动云——AF——AC——核心——内网服务器 内网访问移动云;内网服务器——核心——AC——AF——移动云
注意事项: 1、网闸需要映射云上业务则需要在路由模式下部署,且勾选“源地址隐藏”并且放通对应的规则(类似于双向地址转换)。 2、AF上需要配置二次穿透,否则规则安全防护策略会不生效。 3、AF上放通策略的时候要对二三层都要进行放通。 4、映射策略没问题,但是无法访问,则需要询问运营商是否对该端口进行了封堵或者需要备案。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-10-6 14:37
技术员1级 
