防火墙和MPLS ×××组网解决方案(原创)

Bati-gol

    去年做过一个方案,用到了防火墙和MPLS ×××组网的一些技术。今天没事看了看以前写的方案,觉得当时的部署很有意思,今天分享给大家。
 
需求:
1.总部和各分支机构采用MPLS ×××互联,同时总部和各分支机构需要调整已有防火墙,对访问互联网的数据做病毒过滤和IPS过滤。
2.部分分支机构有独立的互联网出口,需要对访问互联网出口的数据进行病毒过滤和IPS过滤。
3.部分分支机构没有独立的互联网出口,需要将所有数据通过MPLS ×××转发至总部,通过总部的Internet出口访问互联网。
 
 
部署网络拓扑图
 

 
 
部署概述
1.总部采用路由模式部署防火墙,一条线路连接互联网,在该连接互联网线路的接口上启用NAT;另一条线路连接MPLS ×××的CE端路由器。
2.分支1有一台CE路由器,该路由器同时提供Internet接入和MPLS ×××的接入,在内部部署防火墙,使得通过MPLS ×××访问总部资源,同时利用防火墙的AV,IPS等UTM特性对于访问Internet的流量进行病毒过滤和IPS过滤。
3.分支2没有自己的独立的Internet出口,ISP的CE端路由器只提供MPLS ×××的接入,所以分支2不仅需要通过MPLS ×××访问总部内网资源,同时需要采用MPLS ×××将访问互联网的流量转发到总部,通过总部的Internet出口访问互联网。同时需要使用防火墙的UTM功能对访问Internet数据进行病毒过滤和IPS过滤。
 
部署方案描述
1.对于总部的网络,由于是三层结构,所以可以很容易地部署防火墙和MPLS ×××。由出口防火墙进行分流,对访问Internet的数据进行NAT,对访问各个分支机构的流量转发至MPLS ×××的CE端路由器。通过防火墙的UTM功能实现Trust区域到Untrust等指定区域之间的病毒过滤和IPS过滤。
 
2.对于分支一和分支二的网络环境,以及根据分支机构已用的防火墙功能的分析,需要采用非常规方式部署防火墙。
 
 
下面具体将分支机构一和分支机构二中的部署方案
 
分支机构一部署方案
分支机构一网络环境如下:
A.分支机构1中ISP提供CE端路由器同时提供MPLS ×××和Internet的接入
B.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒和IPS过滤只支持LAN-WAN方向。
C.内网为二层环境
 
为能实现分支1的MPLS ×××和互联网的接入,以及对Lan-Wan方向做AV,IPS过滤,采用以下方式部署防火墙

由图中看出

CE路由设置

在MPLS ×××的CE路由器的Lan配置了两个IP

IP1 10.212.10.1/24 用于MPLS ×××流量接入网关地址

IP2 172.31.254.1/24 用于防火墙Wan接口数据的流入

防火墙配置

防火墙仍然采用路由方式部署,因为不支持透明模式。Wan和Lan接口同时接入内网的二层交换机

设置路由将数据正确转发

ip route 10.0.0.0/8 10.212.10.1 Lan  (10.212.10.1为CE路由器的IP1地址)将访问总部的流量从Lan接口返回,送往CE路由器的IP1地址,然后被转发到MPLS ×××网络中。保证通信过程中源地址没有变化(总部对访问源地址做了控制);因为FW的Lan-Wan方向默认开启了NAT,无法关闭,所以流量要从Lan转回给CE路由器。(在该方式下,访问MPLS ×××的流量属于非对称路由,从LAN口进入,然而从CE端路由器回包直接给PC,没有给LAN口,所以如果防火墙有检测非对称路由的特性一定要关闭,不同防火墙说法不同,有的说法叫异步路由,如果不关闭会被防火墙drop,所以一定要关闭。)

ip route 0.0.0.0/0 172.31.254.1 Wan (172.31.254.1为CE路由器的IP2地址)将从防火墙Lan接口进入Wan接口出来的数据转发到CE路由器的IP2地址,再被转发到Internet。确保LAN-WAN方向的数据被FW的防毒IPS过滤。(该防火墙只支持LAN-WAN的过滤)Lan-Wan的数据被FW的NAT功能强制转换成Wan接口地址,不影响FW过滤功能。

通过结合CE路由器接口多IP以及分流和FW的正确路由指向实现MPLS ×××互访和Internet流量过滤的效果。

 

分支机构二部署方案

分支机构二网络环境

A.ISP提供的CE端路由器只提供MPLS ×××的接入

B.内部为二层环境,分支机构需要通过总部的互联网出口访问Internet

C.分支机构已经在用的防火墙为低端型号,只能支持路由方式部署,同时LAN-WAN方向的NAT功能被强制开启,无法关闭,病毒过滤和IPS过滤只支持LAN-WAN方向。

为能实现分支2的MPLS ×××接入以及对访问互联网流量进行AV,IPS过滤,采用以下方式部署防火墙

CE端路由器设置

Wan,Lan接口同时连接内网交换机

Lan接口配置两个IP

IP1 10.212.20.1/24 用于MPLS ×××流量接入网关地址

IP2 172.31.253.1/24 用于防火墙Wan接口数据的流入

防火墙的配置

防火墙仍然采用路由方式部署,因为不支持透明模式。Wan和Lan接口同时接入内网的二层交换机

设置路由将数据正确转发

ip route 10.0.0.0/8 10.212.20.1 Lan  (10.212.20.1为CE路由器的IP1地址)将访问总部的流量从Lan接口返回,送往CE路由器的IP1地址,然后被转发到MPLS ×××网络中。保证通信过程中源地址没有变化(总部对访问源地址做了控制),因为FW的Lan-Wan默认开启了NAT,无法关闭,所以流量要从Lan转回给CE路由器。。(在该方式下,访问MPLS ×××的流量属于非对称路由,从LAN口进入,然而从CE端路由器回包直接给PC,没有给LAN口,所以如果防火墙有检测非对称路由的特性一定要关闭,不同防火墙说法不同,有的说法叫异步路由,如果不关闭会被防火墙drop,所以一定要关闭。)

ip route 0.0.0.0/0 172.31.253.1 Wan (172.31.253.1为CE路由器的IP2地址)将从防火墙Lan接口进入Wan接口出来的数据转发到CE路由器的IP2地址,再被转发到Internet。确保LAN-WAN方向的数据被FW的防毒IPS过滤(防火墙只支持LAN-WAN方向的过滤)。Lan-Wan的数据被FW的NAT功能强制转换成Wan接口地址,不影响FW过滤功能。

分支机构需要通过总部的互联网出口访问Internet,所以特别注意的是要在总部防火墙上添加分支内网的网段以及防火墙Wan接口网段的回包路由,同时需要在总部防火墙中添加对分支防火墙的Wan接口网段的NAT转换,保证地址可以被转化成总部防火墙Wan接口的某个公网IP。为什么不是对分支内网网段做NAT,是因为分支内网IP在经过分支的防火墙后,已经被转化成了分支FW的WAN接口IP,所以在总部只需要对分支FW的Wan接口网段再做一次NAT,比较麻烦,主要是分支的防火墙功能太弱,NAT功能无法关闭导致地址被提前转换了一次,呵呵。所以建议大家以后在选购总部和分支防火墙时,竟可选购能支持多种部署模式的墙,呵呵~

通过结合CE路由器接口多IP以及分流和FW的正确路由指向实现MPLS ×××互访和Internet流量过滤的效果。

 

总结

    该方案中复杂的部分是分支机构的部署,如果分支FW能够支持透明部署,那么部署起来会非常简单了,哈哈。但是由于分支防火墙只能支持路由方式部署,NAT也被强制开启无法关闭,以及病毒IPS过滤方向被指定,所以只能采用非常规方式进行部署,同时在CE端路由器设置两个IP也帮助了解决问题。同时总部资源对访问源IP地址做了限制,需要防火墙正确地将流量送达指定接口,不需要被NAT的流量需要正确地被转回到CE端的IP1地址。同时对于分支访问MPLS ×××的流量是非对称的路径,数据从FW的Lan进入,由被路由从Lan流出到CE,CE回包时是直接通过交换机返回给PC的,因为是二层环境,所以是非对称路径。这种非对称的流量会被绝大多数主流的防火墙drop(juniper,fortigate等笔者测试过),所以对于非对称路径的检测特性需要关闭,才能确保流量正确转发。最后就是总部防火墙的NAT,需要把分支来的数据正确进行NAT,已经回包,确保分支可以通过总部访问Internet。