前几天在做项目时,遇到一个很头疼的问题,那就是网络架构要调整但是设备不够。后边进过几轮讨论,用一种非主流的方式解决了设备不够的问题。主要运用了VRF实例的方式进行隔离,通常项目实施中VRF实例主要用于做带外网络的隔离路由表。实实在在用于生产的情况还是比较少(可能是我接触的少了,哈哈)。第一次见到,个人感觉这种方式还是比较实用,所以记录一下。肯定有人会说为什么不把两个区域直接连接到防火墙上,因为防火墙的万兆口就4个不满足流量要求。
背景:
数据中心内有两个新建的APP区域,按照安全人员的要求,这两个区域之间必须边界必须设置防火墙,让区域之间的互访和其他区域的访问必须通过防火墙。在最初的架构上,这两个区域的网关在同一组交换机上,同时防火墙也只有一组。所以,要这个隔离的目的,需要增加一组防火墙,以及将两个区域的网关分开。
但是,实际情况是在设备采购之前,沟通的网络架构压根就没考虑这么多。导致设备买少了,缺了一组防火墙和交换机。这件事告诉我们,凡是能影响架构的决策团体,规划前就拉进来一起讨论,可别实施的时候临时修改。
物理拓扑:
A区与B区网关在同一汇聚交换机上,所有涉及A区和B区的访问都需要通过防火墙,A区和B区不能直接通信。负载可以与A区之间通信,外部访问的流量通过负载访问到A区。汇聚交换机通过VRF instance进行隔离,将交换机用a、b、public等vpn实例,划分为多个逻辑交换机。
逻辑拓扑:
通过VRF实例将汇聚交换机进行隔离之后,就达到了以下效果。两个区域都有自己的逻辑防火墙,区域之间也不能直接互通。
下边是自己使用模拟器搭建的一个环境,访问路径为红色虚线。看起来复杂,但是分解之后就是传统的网络架构。
总结:做项目还是要脑子灵活点才行,把学的东西都用上。
扫一扫
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
