返回
防火墙+和+MPLS+VPN组网解决方案

防火墙+和+MPLS+VPN组网解决方案

ID:43502735

大小:569.80 KB

页数:6页

时间:2019-10-08

防火墙+和+MPLS+VPN组网解决方案_第1页
防火墙+和+MPLS+VPN组网解决方案_第2页
防火墙+和+MPLS+VPN组网解决方案_第3页
防火墙+和+MPLS+VPN组网解决方案_第4页
防火墙+和+MPLS+VPN组网解决方案_第5页
资源描述:

《防火墙+和+MPLS+VPN组网解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙和MPLSVPN组网解决方案去年做过一个方案,用到了防火墙和MPLSVPN组网的一些技术。今天没事看了看以前写的方案,觉得当时的部署很有意思,今天分享给大家。需求:1.总部和各分支机构采用MPLSVPN互联,同时总部和各分支机构需要调整已有防火墙,对访问互联网的数据做病毒过滤和IPS过滤。2.部分分支机构有独立的互联网出口,需要对访问互联网出口的数据进行病毒过滤和IPS过滤。3.部分分支机构没有独立的互联网出口,需要将所有数据通过MPLSVPN转发至总部,通过总部的Internet出口访问互联网。部署网络拓扑图

2、部署概述1.总部采用路由模式部署防火墙,一条线路连接互联网,在该连接互联网线路的接口上启用NAT;另一条线路连接MPLSVPN的CE端路由器。2.分支1有一台CE路由器,该路由器同时提供Internet接入和MPLSVPN的接入,在内部部署防火墙,使得通过MPLSVPN访问总部资源,同时利用防火墙的AV,IPS等UTM特性对于访问Internet的流量进行病毒过滤和IPS过滤。3.分支2没有自己的独立的Internet出口,ISP的CE端路由器只提供MPLSVPN的接入,所以分支2不仅需要通过MPLSVPN访问总部内

3、网资源,同时需要采用MPLSVPN将访问互联网的流量转发到总部,通过总部的Internet出口访问互联网。同时需要使用防火墙的UTM功能对访问Internet数据进行病毒过滤和IPS过滤。部署方案描述1.对于总部的网络,由于是三层结构,所以可以很容易地部署防火墙和MPLSVPN。由出口防火墙进行分流,对访问Internet的数据进行NAT,对访问各个分支机构的流量转发至MPLSVPN的CE端路由器。通过防火墙的UTM功能实现Trust区域到Untrust等指定区域之间的病毒过滤和IPS过滤。2.对于分支一和分支二的网

4、络环境,以及根据分支机构已用的防火墙功能的分析,需要采用非常规方式部署防火墙。下面具体将分支机构一和分支机构二中的部署方案分支机构一部署方案分支机构一网络环境如下:A.分支机构1中ISP提供CE端路由器同时提供MPLSVPN和Internet的接入B.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒和IPS过滤只支持LAN-WAN方向。C.内网为二层环境为能实现分支1的MPLSVPN和互联网的接入,以及对Lan-Wan方向做AV,IPS过滤,采用以

5、下方式部署防火墙由图中看出CE路由设置在MPLSVPN的CE路由器的Lan配置了两个IPIP110.212.10.1/24用于MPLSVPN流量接入网关地址IP2172.31.254.1/24用于防火墙Wan接口数据的流入防火墙配置防火墙仍然采用路由方式部署,因为不支持透明模式。Wan和Lan接口同时接入内网的二层交换机设置路由将数据正确转发iproute10.0.0.0/810.212.10.1Lan(10.212.10.1为CE路由器的IP1地址)将访问总部的流量从Lan接口返回,送往CE路由器的IP1地址,然后

6、被转发到MPLSVPN网络中。保证通信过程中源地址没有变化(总部对访问源地址做了控制);因为FW的Lan-Wan方向默认开启了NAT,无法关闭,所以流量要从Lan转回给CE路由器。(在该方式下,访问MPLSVPN的流量属于非对称路由,从LAN口进入,然而从CE端路由器回包直接给PC,没有给LAN口,所以如果防火墙有检测非对称路由的特性一定要关闭,不同防火墙说法不同,有的说法叫异步路由,如果不关闭会被防火墙drop,所以一定要关闭。)iproute0.0.0.0/0172.31.254.1Wan(172.31.254.

7、1为CE路由器的IP2地址)将从防火墙Lan接口进入Wan接口出来的数据转发到CE路由器的IP2地址,再被转发到Internet。确保LAN-WAN方向的数据被FW的防毒IPS过滤。(该防火墙只支持LAN-WAN的过滤)Lan-Wan的数据被FW的NAT功能强制转换成Wan接口地址,不影响FW过滤功能。通过结合CE路由器接口多IP以及分流和FW的正确路由指向实现MPLSVPN互访和Internet流量过滤的效果。分支机构二部署方案分支机构二网络环境A.ISP提供的CE端路由器只提供MPLSVPN的接入B.内部为二层环

8、境,分支机构需要通过总部的互联网出口访问InternetC.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒过滤和IPS过滤只支持LAN-WAN方向。为能实现分支2的MPLSVPN接入以及对访问互联网流量进行AV,IPS过滤,采用以下方式部署防火墙CE端路由器设置Wan,La

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。