防火墙技术案例9_数据中心防火墙应用.pdf

《防火墙技术案例9_数据中心防火墙应用.pdf》由会员分享，可在线阅读，更多相关《防火墙技术案例9_数据中心防火墙应用.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-防火墙技术案例防火墙技术案例 9_9_强叔拍案惊奇数据中心防火墙应用强叔拍案惊奇数据中心防火墙应用近期经常有小伙伴们问到防火墙在数据中心如何部署.防火墙的双机热备功能如何与虚拟系统功能结合使用.正好强叔最近接触了一个云数据中心的工程，现在就跟大家分享下，相信能完美的解决各位小伙伴的问题。【组网需求】如下列图所示，两台防火墙USG9560 V300R001C01 版本旁挂在数据中心的核心交换机 CE12800 侧。两台 CE12800 工作在二层模式，且采用堆叠技术。数据中心对防火墙的具体需求如下：1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统，以便为每个虚拟主机都提供单独的访问控制策略

2、。2、每个虚拟机都能够使用公网 IP 访问 Internet，并且能够对 Internet 用户提供访问效劳。【强叔规划】1、 从上图的数据中心整网构造和流量走向 蓝色虚线 来看， 防火墙旁挂在 CE12800 侧就相当于把 CE12800在中间隔断，把一台 CE12800 当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。由于 CE12800 工作在二层模式，整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组防火墙上下行连接二层设备的双机热备组网网。这种组网的特点是需要在防火墙的上下行业务接口上配置 VRRP 备份组。2、为了实现每一个虚拟主机都有一个

3、单独的虚拟系统，我们需要为每个虚拟主机创立VLAN、子接口、虚拟系统，并将他们相互关联成一个网络，具体操作如下所示：1)在 S5700 上为每个虚拟机都建立一个 VLAN，然后将对应的连接虚拟机的接口参加此 VLAN。2)将 S5700 的上行接口，以及CE12800 的上下行接口设置为 Trunk 接口，允许各个虚拟主机的VLAN 报文通过。3)在防火墙的下行接口上为每个虚拟机都建立一个子接口，并终结对应的虚拟机的 VLAN。4)在防火墙上为每个虚拟机都创立一个虚拟系统，并将此虚拟系统与对应的子接口绑定。.z.-5)同理，在防火墙上行的 CE12800 上需要创立 VLAN与下行的 ID 不

4、同，并将 CE12800 的上下行接口设置为 Trunk 接口。上述操作是在主用链路上的设备S5700_A、CE12800_A 和 USG9560_A进展的，我们还需要在备用链路上的设备S5700_B、CE12800_B 和 USG9560_B进展同样的操作除了防火墙子接口 IP 地址不同。3、 最后， 我们需要将前两步分析的双机热备和虚拟系统结合起来考虑。 由于两台防火墙处于双机热备状态，而每台防火墙又都被虚拟成多个虚拟系统， 因此两台防火墙中的一样的虚拟系统也处于双机热备状态。例如下列图所示，USG9560_A 的 VFW1 与 USG9560_B 的 VFW1 之间形成双机热备状态，因此

5、我们需要在虚拟系统的子接口上配置 VRRP 备份组。【配置步骤】1、配置双机热备功能。* 在 USG9560_A 上配置双机热备功能。 system-viewUSG9560_A interface Eth-Trunk 1.z.-USG9560_A-Eth-Trunk1 ip address 10.10.10.1 24USG9560_A-Eth-Trunk1 quitUSG9560_A interface GigabitEthernet1/0/0USG9560_A -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/0 q

6、uitUSG9560_A interface GigabitEthernet1/0/1USG9560_A -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_A -GigabitEthernet1/0/1 quitUSG9560_A firewall zone dmzUSG9560_A-zone-dmz add interface Eth-Trunk 1USG9560_A-zone-dmz quitUSG9560_A hrp enable* 在 USG9560_B 上配置双机热备功能。 system-viewUSG9560_B interface Eth-Trun

7、k 1USG9560_B-Eth-Trunk1 ip address 10.10.10.2 24USG9560_B-Eth-Trunk1 quitUSG9560_B interface GigabitEthernet1/0/0USG9560_B -GigabitEthernet1/0/0 Eth-Trunk 1USG9560_B -GigabitEthernet1/0/0 quitUSG9560_B interface GigabitEthernet1/0/1USG9560_B -GigabitEthernet1/0/1 Eth-Trunk 1USG9560_B -GigabitEtherne

8、t1/0/1 quitUSG9560_B firewall zone dmzUSG9560_B-zone-dmz add interface Eth-Trunk 1USG9560_B-zone-dmz quitUSG9560_B hrp enable【强叔点评】配置心跳口hrp interfacehrp interface并启用双机热备功能(hrp enablehrp enable)后，双机热备状态就已经成功建立。这时主用设备USG9560_A的配置就能够备份到备用设备USG9560_B上了。2、为每台虚拟主机创立一个虚拟系统，并分配资源。这里仅以虚拟系统 vfw1 为例，其他虚拟系统的配置参

9、照此即可。*创立子接口 GigabitEthernet1/2/0.1 和 GigabitEthernet1/2/3.1。HRP_M USG9560_A interface GigabitEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/0.1 quit.z.-HRP_M USG9560_A interface GigabitEthernet1/2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 quit*配置虚拟系统的资源类，限制每个虚拟系统的带宽为 100M。HRP_M USG9560_A resour

10、ce-class class1HRP_M USG9560_A -resource-class-class1 resource-item-limit bandwidth 100 entireHRP_M USG9560_A -resource-class-class1 quit*创立虚拟系统 vfw1，并为 vfw1 分配子接口和带宽资源。HRP_M USG9560 vsys vfw1HRP_M USG9560-vsys-vfw1 assign resource-class class1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet

11、1/2/0.1HRP_M USG9560-vsys-vfw1 assign interface GigabitEthernet1/2/3.1HRP_M USG9560-vsys-vfw1 quit【强叔点评】本步骤的配置只需要在主用设备USG9560_A上配置即可，因为虚拟系统的配置会自动同步到备用设备USG9560_B。3、在两台防火墙的子接口上分别配置 IP 地址和 VRRP 备份组。这里仅以虚拟系统vfw1 为例，其他虚拟系统的配置参照此即可。*在主用设备上为虚拟系统 vfw1 配置子接口的 IP 地址和 VRRP 备份组。HRP_M USG9560_A interface Gigabi

12、tEthernet1/2/0.1HRP_M USG9560_A -GigabitEthernet1/2/0.1 vlan-type dot1q 1HRP_M USG9560_A -GigabitEthernet1/2/0.1 ip address 10.1.1.2 24HRP_M USG9560_A -GigabitEthernet1/2/0.1 vrrp vrid 1 virtual-ip 10.1.1.1 masterHRP_M USG9560_A -GigabitEthernet1/2/0.1 quitHRP_M USG9560_A interface GigabitEthernet1/

13、2/3.1HRP_M USG9560_A -GigabitEthernet1/2/3.1 vlan-type dot1q 101HRP_M USG9560_A -GigabitEthernet1/2/3.1 ip address 10.1.100.2 24HRP_M USG9560_A -GigabitEthernet1/2/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 masterHRP_M USG9560_A -GigabitEthernet1/2/3.1 quit*在备用设备上为虚拟系统 vfw1 配置子接口的 IP 地址和 VRRP 备份组。HRP_S

14、 USG9560_B interface GigabitEthernet1/2/0.1HRP_S USG9560_B -GigabitEthernet1/2/0.1 ip address 10.1.1.3 24HRP_S USG9560_B -GigabitEthernet1/2/0.1 vrrp vrid 1 virtual-ip 10.1.1.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/0.1 quitHRP_S USG9560_B interface GigabitEthernet1/2/3.1HRP_S USG9560_B -GigabitEt

15、hernet1/2/3.1 ip address 10.1.100.3 24.z.-HRP_S USG9560_B -GigabitEthernet1/2/3.1 vrrp vrid 101 virtual-ip 10.1.100.1 slaveHRP_S USG9560_B -GigabitEthernet1/2/3.1 quit【强叔点评】接口 IP 地址和 VRRP 备份组的配置是不备份的，因此需要分别在主备设备上进展配置。4、在主防火墙的每个虚拟系统上配置平安策略和NAT 功能。这里仅以虚拟系统vfw1 为例，其他虚拟系统的配置参照此即可。*从防火墙的根视图切换到虚拟系统 vfw1 的

16、视图。HRP_M USG9560_A switch vsys vfw1HRP_M system-view*将虚拟系统的各接口参加对应的平安区域。HRP_M USG9560_A-vfw1 firewall zone trustHRP_M USG9560_A-vfw1-zone-trust add interface GigabitEthernet1/2/0.1HRP_M USG9560_A-vfw1-zone-trust quitHRP_M USG9560_A-vfw1 firewall zone untrustHRP_M USG9560_A-vfw1-zone-trust add interf

17、ace GigabitEthernet1/2/3.1HRP_M USG9560_A-vfw1-zone-trust quit*为虚拟系统 vfw1 配置平安策略，允许虚拟机访问外网，只允许外网用户访问虚拟机的业务。HRP_M USG9560_A-vfw1 firewall packet-filter default permit interzone trust untrust direction outboundHRP_M USG9560_A-vfw1 policy interzone trust untrust inboundHRP_M USG9560_A -vfw1-policy-inte

18、rzone-trust-untrust-vfw1-inbound policy 1HRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1 policyservice service-setHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1action permitHRP_M USG9560_A -vfw1-policy-interzone-trust-untrust-vfw1-inbound-1quitHRP_M USG9560_A

19、 -vfw1-policy-interzone-trust-untrust-vfw1-inboundquit*为虚拟系统 vfw1 配置 NAT Server 和 NAT 策略。HRP_M USG9560_A-vfw1 nat address-group 1HRP_M USG9560_A-vfw1 -address-group-1 quitHRP_M USG9560_A-vfw1 nat-policy interzone trust untrust outboundHRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outb

20、ound policy 1HRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 action source-natHRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 address-group 1HRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound-1 quitHRP_M USG9560_A-vfw1-nat-policy-interzone-trust-untrust-vfw1-outbound quit.z.-【强叔点评】平安区域、平安策略、NAT 的配置都会进展备份，因此只在主用设备USG9560_A的虚拟系统上配置即可。【拍案惊奇】1、此案例的惊奇之处在于介绍了数据中心中双机热备与虚拟系统的结合应用。2、此案例的另一惊奇之处在于展现了高端防火墙的双机功能与 CE12800 交换机的堆叠功能的结合使用。【强叔问答】除了本案例中配置的平安策略和 NAT 外，数据中心还会用到哪些常见的防火墙特性呢.z.