|
1、 拓扑说明
如图-XSEC中多防火墙网络拓扑,4个区域业务系统的网关地址落在物理交换机上,XSEC一体机以单臂的方式接入网络中,在物理交换机上通过策略路由将业务系统访问互联网的南北向流量、业务系统与系统系统访问的东西向流量引导至XSEC一体机。 客户在XSEC一体机中购买了4个虚拟防火墙,需求如下: Ø 各业务系统访问互联网的流量需要经过防火墙。 Ø 各业务系统互访的东西向流量只经过一个防火墙:例如网段A访问网段B的流量,只经过A防火墙,或者只过B防火墙; 虚拟路由器策略路由设计单独拿业务系统_A来分析,对于业务系统_A,它的流量分为两种类型:访问互联网的南北向流量、业务系统之间互访的东西向流量。 东西向流量,业务系统A-->其他业务系统:此时数据从虚拟路由器的ETH-0进入,源地址为业务系统A,目的地址为{业务系统_B+C+D},此时生成的策略路由条目为: 虚拟路由器上策略路由:业务系统A-->其他业务系统 | | | | | | | | | | |
东西向流量,其他业务系统-->业务系统A:此时数据从虚拟路由器的ETH-0进入,源地址为{业务系统_B+C},目的地址为业务系统_A,此时生成的策略路由条目为: 虚拟路由器上策略路由:其他业务系统-->业务系统A | | | | | | | | | | |
南北向流量,业务系统A-->互联网方向:此时数据从虚拟路由器的ETH-0进入,源地址为业务系统A,目的为所有,下一跳为vAF_A,此时生成的策略路由条目为:
南北向流量,互联网方向-->业务系统A:此时数据从虚拟路由器的ETH-0进入,源地址为互联网地址,目的为业务系统_A,下一跳为vAF_A,此时生成的策略路由条目为:
汇总业务系统_A的策略路由条目,因此得到虚拟路由器上业务系统_A的策略路由条目如表-业务系统A策略路由条目。 表-业务系统_A策略路由条目 互联网地址 = 所有IP地址 - {业务系统_A+B+C+D},由于第1、2条策略路由中匹配了精细的业务系统地址{业务系统B+C+D},而业务系统_A网段内的互访会直接走二层转发,不会被路由至XSEC一体机,因此可以将3、4条策略路由中的互联网地址写成所有地址。虚拟路由器上的策略路由如表-虚拟路由器策略路由条目。 表-虚拟路由器策略路由条目
从第1、2条策略路由可以看出,业务系统_A和其他业务系统之间的流量都只经过vAF_A,因此该方案的缺点暴露出来了,vAF_A上承载的流量最大。如果东西向流量较大时,需要根据实际流量大小调整vAF_A的流量带宽。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-11-5 09:22
技术员3级