企业网络中的防火墙旁挂实例
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上。本文章将讲述基本术语、原理、实验(可下载)
基础介绍:
PE和CE
BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P。
- CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。
- PE(Provider Edge):是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求较高。
- P(Provider):服务提供商网络中的骨干设备,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN信息。
RD和VPN-IPv4地址
传统BGP无法正确处理地址空间重叠的VPN的路由。假设VPN1和VPN2都使用了10.110.10.0/24网段的地址,并各自发布了一条去往此网段的路由。虽然本端PE通过不同的VPN实例可以区分地址空间重叠的VPN的路由,但是这些路由发往对端PE后,由于不同VPN的路由之间不进行负载分担,因此对端PE将根据BGP选路规则只选择其中一条VPN路由,从而导致去往另一个VPN的路由丢失。
PE之间使用MP-BGP(Multiprotocol Extensions for BGP-4,BGP-4的多协议扩展)来发布VPN路由,并使用VPN-IPv4地址来解决上述问题。
VPN-IPv4地址共有12个字节,包括8字节的路由标识符RD(Route Distinguisher)和4字节的IPv4地址前缀,如图4所示。
RD用于区分使用相同地址空间的IPv4前缀,增加了RD的IPv4地址称为VPN-IPv4地址(即VPNv4地址)。PE从CE接收到IPv4路由后,转换为全局唯一的VPN-IPv4路由,并在公网上发布。
RD的结构使得每个服务供应商可以独立地分配RD,但为了在CE双归属的情况下保证路由正常,必须保证PE上的RD全局唯一。
说白了:就是区分路由条目使用的
VPN Target
BGP/MPLS IP VPN使用BGP扩展团体属性-VPN Target(也称为Route Target)来控制VPN路由信息的发布。
每个VPN实例关联一个或多个VPN Target属性。有两类VPN Target属性:
- Export Target:本地PE从直接相连Site学到IPv4路由后,转换为VPN-IPv4路由,并为这些路由设置Export Target属性。Export Target属性作为BGP的扩展团体属性随路由发布。
- Import Target:PE收到其它PE发布的VPN-IPv4路由时,检查其Export Target属性。当此属性与PE上某个VPN实例的Import Target匹配时,PE就把路由加入到该VPN实例中。
说白了:就是PE设备控制路由的收发
原理说明:
引流前:
我们先来说说没有做引流的时候,数据的流向。如下图所示,
- 路由器访问服务器走的是红色线标
- 服务器访问路由器走的是蓝色线标
由于现在需要添加防火墙,又不想直接对网络拓扑进行变更,此时选择旁挂防火墙,将来回的数据流都引到防火墙,然后防火墙使用自身的策略进行访问控制。
引流后:
- 路由器访问服务器走的是红色线标
- 服务器访问路由器走的是蓝色线标
原理
将核心交换机(HX-SW)虚拟化成2台小的核心交换机,姑且成为vrf1和vrf2.
vrf2说明:在核心交换机上将vlan4/vlan2都加入vpn-instance vrf2.当收到路由器方向来的流量后,会进入vrf2的vpn-instance,然后我们在vpn-instance vrf2中配置路由,下一跳指向防火墙vlan2,防火墙再写下一跳指向HX-SW的vlan3.
vrf1说明:在核心交换机上将vlan100、vlan200、vlan2加入vpn-instance vrf1中。当内部服务器需要访问路由器时,在核心交换机的vpn-instance vrf1中写路由下一跳指向fw的vlan3.在fw中写路由下一跳指向核心交换机vlan2。在核心交换机的vpn-instance vrf2中写一条默认路由去往路由器。
实验说明:
1.拓扑图
2.配置
AR1[V200R003C00] #sysname AR1 #snmp-agent local-engineid 800007DB03000000000000snmp-agent #clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip #drop illegal-mac alarm #set cpu-usage threshold 80 restore 75 # aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http # firewall zone Localpriority 15 # interface Ethernet0/0/0 # interface Ethernet0/0/1 # interface Ethernet0/0/2 # interface Ethernet0/0/3 # interface Ethernet0/0/4 # interface Ethernet0/0/5 # interface Ethernet0/0/6 # interface Ethernet0/0/7 # interface GigabitEthernet0/0/0ip address 10.10.4.5 255.255.255.0 # interface GigabitEthernet0/0/1 # interface NULL0 # ip route-static 10.10.100.0 255.255.255.0 10.10.4.254 ip route-static 10.10.200.0 255.255.255.0 10.10.4.254 # user-interface con 0authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return
FW
# sysname FW # vlan batch 2 to 3 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # drop-profile default # aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password simple adminlocal-user admin service-type http # interface Vlanif1 # interface Vlanif2ip address 10.10.2.5 255.255.255.0 # interface Vlanif3ip address 10.10.3.5 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet0/0/2 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18 # interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 10.10.2.254 ip route-static 10.10.100.0 255.255.255.0 10.10.3.254 ip route-static 10.10.200.0 255.255.255.0 10.10.3.254 # user-interface con 0 user-interface vty 0 4 # return
HX-SW# sysname HX-SW # vlan batch 2 to 4 100 200 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # ip vpn-instance vrf1ipv4-familyroute-distinguisher 222:2vpn-target 12:12 export-extcommunityvpn-target 12:12 import-extcommunity # ip vpn-instance vrf2ipv4-familyroute-distinguisher 444:4vpn-target 400:4 export-extcommunityvpn-target 400:4 import-extcommunity # drop-profile default # aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password simple adminlocal-user admin service-type http # interface Vlanif1 # interface Vlanif2ip binding vpn-instance vrf2ip address 10.10.2.254 255.255.255.0 # interface Vlanif3ip binding vpn-instance vrf1ip address 10.10.3.254 255.255.255.0 # interface Vlanif4ip binding vpn-instance vrf2ip address 10.10.4.254 255.255.255.0 # interface Vlanif100ip binding vpn-instance vrf1ip address 10.10.100.254 255.255.255.0 # interface Vlanif200ip binding vpn-instance vrf1ip address 10.10.200.254 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1port link-type accessport default vlan 4 # interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18 # interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 # interface NULL0 # ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 10.10.3.5 ip route-static vpn-instance vrf2 0.0.0.0 0.0.0.0 10.10.4.5 ip route-static vpn-instance vrf2 10.10.100.0 255.255.255.0 10.10.2.5 ip route-static vpn-instance vrf2 10.10.200.0 255.255.255.0 10.10.2.5 # user-interface con 0 user-interface vty 0 4 # return
JR-SW# sysname JR-SW # vlan batch 100 200 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # drop-profile default # aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password simple adminlocal-user admin service-type http # interface Vlanif1 # interface MEth0/0/1 # interface GigabitEthernet0/0/1port link-type accessport default vlan 100 # interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet0/0/3port link-type accessport default vlan 200 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18 # interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 # interface NULL0 # user-interface con 0 user-interface vty 0 4 # return
注:附实验的拓扑资料,需要使用华为模拟器ensp打开
链接:https://pan.baidu.com/s/18_MegvDRlZiZpUW2H4ADEQ 提取码:ox19
转载于:https://www.cnblogs.com/dsl146/p/10312150.html
企业网络中的防火墙旁挂实例相关推荐
- 企业中深信服防火墙旁挂部署
一.方案背景 因为现在所在的企业中原网络架构中无防火墙,出于网络安全考虑.现增加一台深信服防火墙实现安全防护功能,最小改动现在网络情况下,于是采取防火墙旁挂方法,通过引流的方式把要防护的流量引流到防火 ...
- dns在企业网络中的应用-1
DNS服务器在企业网络中的应用 图例: DNS 是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由解析器和域名服务器组成的.域名服务器 ...
- IPv6在企业网络中的应用
2019-11-试题一 IPv6在企业网络中的应用 IPv6已经广泛应用于各类应用中,结合自己参与设计的系统并加以评估,写出一篇有自己特色的论文. 请围绕"IPv6在企业网络中的应用&quo ...
- 企业网络中广域网出口介绍及业务办理
这次我给大家来介绍一下,企业网络中的广域网出口,说起企业(单位)的组网建设,设备调试之类的工作,我想只要是有工作经验的网工,或者系统管理员都不会陌生,核心交换机,划分VLAN ,起三层路由功能,防火墙 ...
- 虚拟化技术在企业网络中的应用
2019-11-试题二 虚拟化技术在企业网络中的应用 虚拟化技术已经广泛应用于各类应用中,结合自己参与设计的系统加以评估,写出一篇有自己特色的论文.请围绕"虚拟化技术在企业网络中的应用&qu ...
- SNMP在园区企业网络中的应用
SNMP简介 目前网络中用得最广泛的网络管理协议是SNMP(Simple Network Management Protocol,简单网络管理协议).SNMP是被广泛接受并投入使用的工业标准,用于保证 ...
- DHCP服务器在企业网络中的应用
一.原理介绍 动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应 ...
- snmp 在企业网络中的应用
SNMP简介 目前网络中用得最广泛的网络管理协议是SNMP(Simple Network Management Protocol,简单网络管理协议).SNMP是被广泛接受并投入使用的工业标准,用于保证 ...
- dns在企业网络中的应用
主辅dns服务器: 辅dns服务器能够自动备份主dns服务器的数据,当主dns服务器损坏时,辅dns服务器进行工作. 实验步骤: [root@wang ~]# mkdir /media/cdrom ...
最新文章
- 在linux系统里安装软件,如何使用Homebrew在Linux和Windows上安装软件
- RollingFileAppender
- 网络推广外包——网络推广外包专员如何从站内优化中提升网站收录
- NFS文件锁一致性设计原理解析
- python文件字符串操作
- yii框架phpexcel
- 《数据库SQL实战》获取所有员工当前的manager
- Spring------自动化装配Bean(一)
- 关于Java垃圾收集
- QuickTime文件格式解析
- 微信公众账号 token 验证失败 解决办法
- python常用数据结构_Python常见数据结构整理
- flask报错 ValueError: Circular reference detected 问题解决
- 深入理解JavaScript内部原理(6): 闭包
- 微信公众平台开发(14)--标签管理与用户标签管理
- Ubuntu安装yum
- rem 针对设计稿宽度,设计rem调试比例
- 通过取消反向DNS加速ssh登录速度
- 焦虑症和抑郁症的区别
- c语言入门经典+第5版+习题答案,C语言入门经典(第5版)