外网防火墙双机热备组网分析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
拓扑结构分析 (1)
不建议的组网方式 (2)
拓扑结构分析
在这样的组网结构中,内部要访问互联网,对于ISP的选择是如何实现的呢?比如说内部员工A需要访问放在联通机房的WEB服务器,这时候只能靠防火墙上的路由来进行选路了,路由的选路又有两种方式,一种是基于源地址来分流,另一种是基于目标地址来分流,所谓基于源地址,假如员工A的子网为192.168.1.0,而路由策略为192.168.1.0源地址下一跳是联通的网关,那么
员工A的的数据流是通过接联通网络的防火墙,你可能会说,这不是正好吗?但假如员工B也是在这个子网内,而他要访问的是电信的服务器,很明显,按这样的路由策略来执行的是不合理的。
最合理的做法是基于目标地址的路由,通过路由策略让避免访问者跨运营商访问的难题,虽然说联通与电信分配使用的IP地址都是不一样的,但是其路由条目之庞大是超乎我们想像的,所以要基于目标地址的路由,工作量非常大,而且还要做后续的路由更新才能保证正确率,因此有了负载均衡设备。
前面说的是内部到外部的选路,再说说从外面访问内部服务器是如何选路的。外内服务器一般放在DMZ区域,通过地址映射把服务器发布出去,在这样的组网方式中,映射的地址是接口的物理地址,可以是联通的IP,也可以是电信的IP,如果有做服务器集群的话,那这样是可以实现ISP链路的负载均衡的。
不建议的组网方式
请千万别像下面这样去组网。
如上图所示,每一台防火墙单独承担一个ISP出口的流量,数据的分流通过路由策略来选路。假如两台防火墙也做了集群或VRRP配置,它们可以运行在主/备,或主/主方式,在这种状态下的防火墙,靠存活机制来相互监控,这时防火墙设备需要维护每条会话的状态等相关信息,当主设备故障、流量切换到备份设备时,要求备份设备上有正确的会话信息才能继续处理会话报文,否则会话报文会被丢弃从而导致会话中断,我们上图的结构因为做了同步机制不会造成会话中断。没错,听起来好像很好,但上面的架构能实现这样的效果吗?
不能。假设防火墙A故障了,那么当前A的会话是不能实时迁移到B防火墙的,原因是B防火墙没有该ISP可达的物理链路。这时候,内部员工的访问,虽然内部网关冗余使其感觉不到网络有的变化,但实际上的会话已经中断了,只有通过刷新,重新建立话,才能保持原来的业务正常。