本文将从以下几个方面介绍互联网模块:
- 互联网模块概述
- 建立冗余的互联网模块
- 实施安全策略
- 弹性BGP设计
- 使用NAT
1互联网模块概述
互联网模块必须实现以下功能:
- 为内部用户提供内网服务器的可达性;
- 为内部和外部用户提供特定内网服务器或DMZ服务器的可达性;
- 为内部用户提供互联网可达性;
- 阻止内网用户到达内网服务器;
- 提供弹性的互联网连接。
互联吗模块常用的如图:
边界路由器向防火墙下发默认路由,去往互联网的流量通过默认到达边界路由器。
边界路由器通常有多台,连接到多个运营商链路,可以使用默认路由,也可以使用BGP。
2. 建立冗余的互联网模块
有四种程度的冗余:
- 链路级别冗余
- 设备级别冗余
- ISP级别冗余
- 站点级别冗余
2.1 链路级别冗余
这种方式的缺点是无法提供设备冗余和ISP冗余。
2.2 设备级别冗余
可以使用两条默认路由,指向ISP。或者使用BGP。
2.3 ISP级别冗余
这种方式可以确保ISP可靠性,同时可以在两个ISP之间进行流量负载。这种情况下,路由有两种方式。
- 用户使用自己的公网地址,优势是简单直接
- 使用租用的IP地址,缺点是不够灵活,被运营商绑定。
2.4 站点级别冗余
提供最高级别的冗余,同时也是成本最高。
3.部署安全策略
常见的实践包括:
- 禁止外部主机向内部主机发起会话,如果一台主机需要被互联网访问,则将主机放在DMZ区域
- 在IGW上禁止目的地址或源地址是私有地址的数据包;
- 所有的管理流量必须要加密。设备推荐使用AAA方式登录
- 对VPN流量接封装后也需要进行防火墙策略控制。
4 弹性BGP设计
4.1 BGP 软重置配置
在修改BGP策略时,BGP会话需要重置以便使得策略生效。会话重置有硬重置和软重置两种方式。
使用硬重置时,路由信息对丢失。使用软重置时,路由信息不会丢失,影响降到最低。
只有思科路由器会区分软重置和硬重置,其他厂商的路由器在使用上都是在修改策略后直接生效。
4.2 BGP 收敛优化
BGP收敛优化方式包括:
- TCP 帧优化
- 入方向队列优化
- MTU优化
ip tcp path-mtu-discovery - 打包更新
- Peer group
- 会话快速失活
neighbor 10.1.1.1 fall-over - bgp dampening
- NSF
5. 使用nat
5.1 policy map 和nat
policy map和nat配合时,可以匹配下一跳或出接口信息。可以使用在以下场景中:
内网流量到ISP1时使用ISP1的地址进行转换,从ISP2出去时使用ISP2进行转换。
状态化NAT 和HSRP
在常规场景下HSRP部署NAT,HSRP路由器之间没有交换NAT信息,会导致来回路劲不一致时,无法通行,状态化NAT和HSRP就是为了解决这个问题提出的,解决的方案是两台边界路由器交换NAT信息。
扫一扫
1073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
