服务器绕行防火墙

发布时间:  2017-03-08 浏览次数:  123 下载次数:  3
问题描述

业务需求:应客户需求,要求数据中心下挂服务器不同业务互访绕行防火墙,不可使用策略路由,且不可将绕行的防火墙设置为服务器网关。

 

实施方案:由于客户的诸多限制,将两种易于想到的解决方案排除。故采用如下方案

1、 全网采用igp+bgp形式,igp内发布32位主机路由,bgp下发布业务路由,在,并用不同的vpn将业务隔离。

2、 放开防火墙对应域策略。

3、 开启vpnv4地址簇,并在防火墙vpnv4地址簇下使能RR功能,并在建立一个vpn总的vpn实例,导入不同业务vpn实例的rt值,不同业务的vpn实例导入vpn总的rt值。即可实现流量绕行功能。

解决方案

PE设备新建业务vpn,P设备新建汇总业务用的vpn,接口绑定vpnbgp 导入不同业务直连路由步骤省略

 

PE设备vpn实例配置

P设备vpn配置

ip vpn-instance vpn1

 ipv4-family

  route-distinguisher 1:1

  vpn-target 1:1  export-extcommunity

  vpn-target 1:1 3:3 import-extcommunity

#

ip vpn-instance vpn2

 ipv4-family

  route-distinguisher 2:2

  vpn-target 2:2 export-extcommunity

  vpn-target 2:2 3:3 import-extcommunity

ip vpn-instance vpn3

 ipv4-family

  route-distinguisher 3:3

  vpn-target 3:3  export-extcommunity

  vpn-target 3:3 1:1 2:2 import-extcommunity




END