客户需求:
1.总部和各分支机构采用MPLS VPN互联,同时总部和各分支机构需要调整已有防火墙,对访问互联网的数据做病毒过滤和IPS过滤。
2.部分分支机构有独立的互联网出口,需要对访问互联网出口的数据进行病毒过滤和IPS过滤。
3.部分分支机构没有独立的互联网出口,需要将所有数据通过MPLS VPN转发至总部,通过总部的Internet出口访问互联网。
部署概述:
1.总部采用路由模式部署防火墙,一条线路连接互联网,在该连接互联网线路的接口上启用NAT;另一条线路连接MPLS VPN的CE端路由器。
2.分支1有一台CE路由器,该路由器同时提供Internet接入和MPLS VPN的接入,在内部部署防火墙,使得通过MPLS
VPN访问总部资源,同时利用防火墙的AV,IPS等UTM特性对于访问Internet的流量进行病毒过滤和IPS过滤。
3.分支2没有自己的独立的Internet出口,ISP的CE端路由器只提供MPLS VPN的接入,所以分支2不仅需要通过MPLS
VPN访问总部内网资源,同时需要采用MPLS
VPN将访问互联网的流量转发到总部,通过总部的Internet出口访问互联网。同时需要使用防火墙的UTM功能对访问Internet数据进行病毒过滤和IPS过滤。
部署方案描述:
1.对于总部的网络,由于是三层结构,所以可以很容易地部署防火墙和MPLS
VPN。由出口防火墙进行分流,对访问Internet的数据进行NAT,对访问各个分支机构的流量转发至MPLS
VPN的CE端路由器。通过防火墙的UTM功能实现Trust区域到Untrust等指定区域之间的病毒过滤和IPS过滤。
2.对于分支一和分支二的网络环境,以及根据分支机构已用的防火墙功能的分析,需要采用非常规方式部署防火墙。
下面具体将分支机构一和分支机构二中的部署方案
分支机构一网络环境如下:
A.分支机构1中ISP提供CE端路由器同时提供MPLS VPN和Internet的接入
B.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒和IPS过滤只支持LAN-WAN方向。
C.内网为二层环境
为能实现分支1的MPLS VPN和互联网的接入,以及对Lan-Wan方向做AV,IPS过滤,采用以下方式部署防火墙
分支机构二网络环境如下:
A.ISP提供的CE端路由器只提供MPLS VPN的接入
B.内部为二层环境,分支机构需要通过总部的互联网出口访问Internet
C.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒过滤和IPS过滤只支持LAN-WAN方向。
为能实现分支2的MPLS VPN接入以及对访问互联网流量进行AV,IPS过滤,采用以下方式部署防火墙
总结:
该方案中复杂的部分是分支机构的部署,如果分支FW能够支持透明部署,那么部署起来会非常简单了,哈哈。但是由于分支防火墙只能支持路由方式部署,NAT也被强制开启无法关闭,以及病毒IPS过滤方向被指定,所以只能采用非常规方式进行部署,同时在CE端路由器设置两个IP也帮助了解决问题。同时总部资源对访问源IP地址做了限制,需要防火墙正确地将流量送达指定接口,不需要被NAT的流量需要正确地被转回到CE端的IP1地址。同时对于分支访问MPLS VPN的流量是非对称的路径,数据从FW的Lan进入,由被路由从Lan流出到CE,CE回包时是直接通过交换机返回给PC的,因为是二层环境,所以是非对称路径。这种非对称的流量会被绝大多数主流的防火墙drop(juniper,fortigate等笔者测试过),所以对于非对称路径的检测特性需要关闭,才能确保流量正确转发。最后就是总部防火墙的NAT,需要把分支来的数据正确进行NAT,已经回包,确保分支可以通过总部访问Internet。
上一篇:MPLS的优点和缺点
下一篇:企业全球分部VPN网络互联方案