交换机产品CE12808旁挂友商防火墙

发布时间:  2015-01-27 浏览次数:  1806 下载次数:  0
问题描述

CE12808版本:V100R002C00SPC200,防火墙为友商设备非华为

    数据中心服务器区域核心交换机为CE12808基于安全的考虑客户购置了其他安全厂家防火墙做为安全过滤及控制设备。数据规划组网情况如拓扑中所示。由于客户网络前期没有把防火墙规划进去防火墙又不能以透明的方式部署导致新增的防火墙必须进行旁挂入网。防火墙旁挂为了实现数据流的引流必须通过策略路由进行上下行数据的引流如果服务器区域网段很多且部分网段或地址不希望经过防火墙过滤的情况需要写繁琐的ACL来进行流量匹配,如果防火墙出现假死还可能导致整个服务器区域服务中断经过和客户沟通最终确定采用如下图所示方式组网。

   通过创建VPN实例将CE12808虚拟出来一台单独的交换机绑定业务VLANif、和防火墙下联互连的接口以及Bypass链路下行口后整个交换机下行区域会有一个单独的路由表空间


处理过程

利用VPN实例解决防火墙旁挂所带来的问题处理步骤如下:

1.CE12808创建VPN实例将下行链接服务器、防火墙下行口等绑定该VPN实例进行交换机上下行业务隔离类似于虚拟出来一台防火墙

2.属于上行数据的接口和属于下行(绑定VPN实例)的接口之间互连并配置IP地址做为Bypass链路

3.交换机配置上下行BFD跟踪防止防火墙假死现象的发生

解决方案

1.CE12808创建VPN实例,将服务器VLAN和防火墙下行互连VLAN及Bypass链路下行VLAN进行绑定模拟出一台虚拟交换机在本实例内共享独立的路由表

ip vpn-instance DownStream

 ipv4-family

 route-distinguisher 1:1

2.配置BFD跟踪

bfd

bfd downtoup bind peer-ip 10.1.1.1 vpn-instance DownStream  source-ip 10.1.2.1

 discriminator local 20

 discriminator remote 10

quit

bfd uptodown bind peer-ip 10.1.2.1 source-ip 10.1.1.1

 discriminator local 10

 discriminator remote 20

quit

3.路由配置 

3.1 防火墙上下行和CE12808跑静态路由做正常的流出和流入路由指向

3.2 CE12808上行区域做到服务器网段的路由,每一个网段做两条路由优先值低的指向和防火墙互连的下一跳地址并track bfd会话uptodown,优先级高的下一跳指向Bypass链路的下一跳。例如:

ip route-static 0.0.0.0 0.0.0.0 10.1.1.2 preference 5 track bfd-session uptodown

ip route-static 0.0.0.0 0.0.0.0 10.1.3.2 preference 10

3.3 CE12808下行区域也就是绑定VPN实例的区域出站时候可以通过默认路由或者明细路由的方式不管以哪种方式也都必须指两条,优先值低的指向和防火墙互连的下一跳接口同时track bfd会话downtoup,优先值高的指向Bypass链路的下一跳。例如:

ip route-static vpn-instance DownStream 0.0.0.0 0.0.0.0 10.1.3.1 preference 10

ip route-static vpn-instance DownStream 0.0.0.0 0.0.0.0 10.1.2.2 preference 5 track bfd-session downtoup

3.4 bfd会话跟踪的是CE12808上下行连接防火墙的接口地址如果防火墙出现假死那么bfd会话会进入down状态导致回程路由和出局路由都切向Bypass链路,CE12808上下行连接防火墙的接口地址可以通信的前提是上面配置的默认路由生效,默认路由生效的前提是BFD会话是up状态这样的话会导致一直是Bypass链路在起作用。通过在CE12808上下行区域添加分别指向对端接口的明细路由可以保障在防火墙正常工作时bfd会话可以up优先走防火墙的默认路由生效。配置如下:

上行区域指到下行区域的明细路由:ip route-static 10.1.2.1 255.255.255.255 10.1.1.2

下行区域指到上行区域的明细路由:ip route-static vpn-instance DownStream 10.1.1.1 255.255.255.255 10.1.2.2


通过如上的配置即可实现友商防火墙旁挂在核心交换机上并保证了防火墙假死Bypass链路切换实现服务器区域不间断提供对外服务的需求。


END