私有云落地解决方案之网络篇-网络架构

作者：【吴业亮】

博客：https://wuyeliang.blog.csdn.net/

网络需求：

1、不同的外网企业用户访问虚拟机时，相互之间不能影响，业务必须隔离。同时，每个虚拟机业务可使用的带宽资源也要限制在一定范围内，避免占用大量资源。

2、内部网络中的虚拟机和Portal系统都配置私网地址，要求对外发布两者的公网地址，使外网企业用户能够通过公网地址访问虚拟机和Portal系统。

3、对外网企业用户访问虚拟机和Portal系统的行为进行控制，仅允许访问业务的流量通过。

4、提高设备的可靠性，不能因为一台设备出现故障而导致业务中断。

安全需求
防火墙外挂在核心交换机上
1、使用虚拟系统隔离外网企业用户访问虚拟机的业务，每一个虚拟机都属于一个虚拟系统，每个虚拟系统中都限制了最大带宽资源。

2、使用子接口与核心交换机相连，将子接口划分到虚拟系统和根系统中，虚拟系统中的子接口用来传输虚拟机业务，根系统中的子接口用来传输Portal系统业务。

3、使用NAT Server对外发布虚拟机和Portal系统的公网地址，在每个虚拟系统中配置针对虚拟机的NAT Server，在根系统中配置针对Portal系统的NAT Server。

4、使用安全策略对虚拟机和Portal系统的业务进行访问控制，在每个虚拟系统中配置针对虚拟机业务的安全策略，在根系统中配置针对Portal系统业务的安全策略。

5、使用双机热备提高可靠性，两台防火墙形成主备备份状态的双机热备，当主用防火墙出现故障时，备用防火墙接替其工作，业务不会中断。

架构解释

如下图，防火墙旁挂在核心交换机上，工作在三层转发模式。核心交换机从逻辑上分为上行、下行两个部分，上行部分工作在三层转发（L3）模式，下行部分工作在二层转发（L2）模式。防火墙与核心交换机的上行部分之间运行OSPF，与核心交换机的下行部分之间运行VRRP，防火墙上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过核心交换机的上行部分转发至防火墙处理后，再经过核心交换机的下行部分转发至虚拟机和Portal；回程流量则经过核心交换机的下行部分转发至防火墙处理后，再经过核心交换机的上行部分发送出去。

安全解决方案

防火墙A上的GE1/0/1接口与核心交换机A上的10GE1/1/0/1

1、防火墙A上的GE1/0/1接口划分了多个子接口（此处仅以三个子接口为例进行说明），每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统，划分到虚拟系统的Untrust区域中；一个子接口属于根系统，划分到根系统的Untrust区域中。

2、核心交换机A上的10GE1/1/0/1接口为Trunk口，允许多个VLAN的报文通过，在每个Vlanif接口上都配置IP地址，逻辑上与防火墙A上相应的子接口连接。

防火墙A上的GE1/0/2接口与核心交换机A上的10GE1/1/0/2接口

1、防火墙A上的GE1/0/2接口划分了两个子接口（也可以根据Portal系统的实际网络情况划分多个子接口），每个子接口上都配置了IP地址，每个子接口都划分到根系统的DMZ区域中。
2、核心交换机A上的10GE1/1/0/2接口为Trunk口，允许多个VLAN的报文通过。

3、防火墙A上子接口的VRRP虚拟IP地址作为Portal系统的网关，终结VLAN，核心交换机A的作用是二层透传报文。

防火墙A上的GE1/0/3接口与核心交换机A上的10GE1/1/0/3接口

1、防火墙A上的GE1/0/3接口划分了多个子接口（此处仅以两个子接口为例进行说明），每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统，划分到虚拟系统的Trust区域中。

2、核心交换机A上的10GE1/1/0/3接口为Trunk口，允许多个VLAN的报文通过。

3、防火墙A上子接口的VRRP虚拟IP地址作为虚拟机的网关，终结VLAN，核心交换机A的作用是二层透传报文

策略方面

安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分，根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过，以及允许根系统与核心交换机之间交互的OSPF报文通过；虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过，以及允许虚拟系统与核心交换机之间交互的OSPF报文通过。

同时，可以在安全策略上引用反病毒、入侵防御的配置文件，防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下，使用缺省的反病毒和入侵防御配置文件default，即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。

路由解决方案
路由分为根系统中的路由和虚拟系统中的路由两部分，都配置缺省路由、黑洞路由和OSPF路由，其中OSPF路由运行于防火墙与核心交换机相连的上行子接口上，如下图所示。

1、根系统配置缺省路由，下一跳为核心交换机A上相应的vlanif接口的IP地址；每个虚拟系统中均配置缺省路由，下一跳为核心交换机A上相应的vlanif接口的IP地址。
2、根系统中配置目的地址是Portal系统的公网地址的黑洞路由，引入到根系统的OSPF中发布给核心交换机；每个虚拟系统中配置目的地址是虚拟机公网地址的黑洞路由，引入到虚拟系统的OSPF中发布给核心交换机A。
3、根系统和虚拟系统中都运行OSPF路由协议，虚拟系统中的OSPF是通过在根系统中绑定虚拟系统对应的VPN实例来实现的。

虚拟机流量示意图

Portal流量示意图

容灾解决方案
正常情况

设备故障自动切换示意图

私有云落地解决方案之网络篇-网络架构相关推荐

私有云落地解决方案之网络篇-关键技术-DHCP地址-1
作者:[吴业亮] 博客:https://wuyeliang.blog.csdn.net/ 概念及原理动态主机设置协议(Dynamic Host Configuration Protocol, DHC ...
利用Bdrive打造个人私有云存储解决方案
Bdrive 一款私有云储存软件,可以自己方便的在 Mac/Windows 下架设服务器,并可以通过 PC.Mac.iOS.Android 跨平台使用.以下简单介绍一下利用Bdrive来完成个人私有云 ...
学芒云盘（学校私有云盘）-特色功能（私有云存储解决方案）
学芒云盘是一款为学校定制开发的私有云盘资源管理系统,且web端.pc客户端.移动端数据实时同步.主要功能有pc客户端自动同步备份,批量上传多个文件,文件夹直接上传,文件及文件夹拖拽上传,文件秒传,文件 ...
如何考量私有云的解决方案
2016年是云计算发展的关键年份,国内外云服务商争相调整自身的战略,目光不再仅限于提供基础设施层面的服务:而云计算领域公有云.私有云和混合云三足鼎立成定局. 说到私有云,大家的第一反应可能会是这样的: ...
iOS开发网络篇—网络编程基础
一.为什么要学习网络编程 1.简单说明在移动互联网时代,移动应用的特征有: (1)几乎所有应用都需要用到网络,比如QQ.微博.网易新闻.优酷.百度地图 (2)只有通过网络跟外界进行数据交互.数据更新 ...
网络篇-网络分层的含义
OSI 七层模型这是一个理想化的模型,给我们的网络划分了层次. 我们可以将复杂的内容简单化,每一层都专人做专事 [最底层]物理层:只关心如何传输数据,传输的是比特流数据链路层:主要关心的是将两个设 ...
iOS开发网络篇—网络请求（HTTP协议）小结(转)
1. 聊一下HTTP协议(协议的完整的通信过程) 2.通信过程 1> 请求 * 客户端 --> 服务器 * 请求的内容 a. 请求行(请求方法\HTTP协议\请求资源路径) b. 请求头( ...
浅谈基于 OpenStack 和 k8s 轻量研发私有云建设
文章目录一.背景二.面临的挑战三.功能简介 1.核心优势 2.核心设施平台(IaaS云) 3.基础服务平台(PaaS云) 四.技术落地 1.整体架构 2.技术选型 2.1.IaaS云技术 2.2 ...
云计算推进企业管理深化，私有云将会深入企业
今天,云计算已经变得炙手可热,云的形式带来的全新的应用方式,企业用户部署大型应用既不再需要斥巨资修建自己的数据中心了,也不需要考虑设备的选型和采购了,甚至都不需要有自己的运维人员24小时的进行运维了, ...
DCOS ：私有云的物理基础架构管理引擎
https://cloud.tencent.com/developer/article/1005598 一.引言云计算经过多年的发展,逐渐从概念到渐为人认知.到接受.到现在全行业拥抱上云,云的客户也 ...

私有云落地解决方案之网络篇-网络架构

私有云落地解决方案之网络篇-网络架构相关推荐

最新文章

热门文章