Internet出口改造方案
I. 现状及分析:....................................................................................................................... 1
a) 专线状况:................................................................................................................... 1
b) 出口设备:................................................................................................................... 1
c) 存在问题:................................................................................................................... 1
II. 出口改造方案....................................................................................................................... 1
a) 改造完成效果概览:..................................................................................................... 1
b) 改造方案实施阶段及步骤:........................................................................................... 2
Internet出口改造内容
I. 现状及分析:
a) 专线状况:
目前整个中心共有2条专线,其中1条为100M互联网专线(简称100M),提供中心网站及邮件的对外服务,别一第互联网专线提供中心所有用户对外访问及交易会期间升速至400M提供全馆无线访问(简称400M),从目前状况来看,各专线负载情况适中。
b) 出口设备:
A区架设有1对Fortgate 3016B防火墙,采用HA(High Availability)方式部署,负责A区用户对外访问,B区架设有2对防火墙,均采用HA方式部署,在出口区域采用策略路由,其中一对C25负责中心服务器区域对外服务,另一对Fortgate 3016B负责B区用户对外访问,C区架设有1对Fortgate 3016B防火墙,负责C区用户对外访问及展览公司服务器的对外发布。
c) 存在问题:
目前A/B/C区防火墙各自独立,且分散在各自的区域,各自的默认路由终结在各自的出口区域(三个区域有三个出口),以上现状造成以下问题:
1. 因资源分散,各网络管理员各自独立管理,不能对出口进行统一规划和管理;
2. 无线用户计费系统的部署需要在出口处,如不统一出口,则需要三套无线用户计费系统才能实现全馆无线计费及认证;
3. 目前只有C区拥有h3c的带宽管理器,不统一出口不能对全区进行精确的带宽控制(因此目前只有C区才能控制带宽);
4. 因默认路由分散,不能进行A/B/C区三网的OSPF融合与对接,目前三区是三个独立的网络,并不是统一的整体。
基于以上原因,有必要进行出口区域整合改造。考虑到A/B区机房空间、机柜、带宽管理设备等资源短缺,不利于出口区域的整合及改造,因此本方案将出口区域整体迁移至C区机房进行整合。
II. 出口改造方案
a) 改造完成效果概览:
全区OSPF对接,实现全网动态路由,在C区机房架设6对防火墙,其中1对为透明墙,架设在出口汇聚与核心交换机之间;另外5对为出口墙,架设在出口汇聚与互联网之间。A/B/C区用户及服务器流量通过出口汇聚交换机进行策略路由,5对防火墙分担如下:
1.中心网站及邮件服务器区使用C25防火墙,走100M专线,负责服务器对外发布;
2.展览公司及其它子公司托管服务器使用Fort-Com防火墙,走400M专线,负责服务器对外发布;
3.A区使用FortEx-A防火墙,走400M专线,负责A区用户对外访问;
4.B区蛋卷及B区用户使用FortEx-B防火墙,走400专线,负责B区用户对外访问;
5.C区用户使用FortEx-C防火墙,走400M专线,负责C区用户对外访问;
b) 改造方案实施阶段及步骤:
1) 前期规划:包括勘探机房环境,根据机柜位置、机柜空间大小、综合布线的情况,决定各设备的具体摆放位置,同时需要一些多模光纤跳线、6类双绞线以及配线架做为设备连接之用,具体数目见附表1。
2) 搭建迁移环境:迁移和配置两台临时Fortigate 3016B,作为出口区web和mail服务器临时的防火墙(最终由B区两台Crossbeam C25代替;在出口核心交换机上配置源地址路由,源地址路由须区分开A/B/C区内网用户以及中心服务器和展览公司服务器流量;配置C区出口防火墙,使A/B区能够暂时通过C区防火墙上互联网。
步骤 |
实施内容 |
实施时间 |
备注 |
1 |
Fortigate 临时防火墙硬件安装及物理链路的连接 |
|
|
2 |
临时防火墙配置方案,包括相应的IP地址指定、防火墙部署方式、访问策略等相关内容,参照原C25配置 |
|
|
3 |
制定分流策略,将用户按地址进行分段,在出口汇聚交换机上配置Policy Basic Route,实现源地址策略路由,将不同的用户分配到指定的防火墙,实现网络分流,并测试相关功能。 |
|
|
4 |
配置FortEx-C防火墙,修改策略,使A/B区能够临时通过C区防火墙上互联网 |
|
|
3) 服务器迁移:.需对服务器的数量和所占空间进行统计,环境搭建后,迁移单台Radware设备和服务器进行测试,测试成功后,再逐一进行迁移,最后将原B区C25防火墙迁移至C区,替换掉临时的Fortigate 3016B防火墙。
步骤 |
实施内容 |
实施时间 |
备注 |
1 |
统计需搬迁的服务器信息,划分服务器区的Vlan、IP、交换机物理端口以及机架位置。 |
|
|
2 |
迁移单台Radware设备及单个Web服务器,修改设备配置,结合测试临时防火墙的环境是否完善。 |
|
|
3 |
在步骤1成功的前提下,逐步对B区的WEB/Mail服务进行迁移。 |
|
|
4 |
迁移和配置B区C25防火墙到C区,取代临时配置的Fortigate 3016B。 |
|
|
5 |
对以上迁移工作进行测试,测试并观察各Web/Mail等服务是否正常工作。 |
|
|
4) 修改OSPF路由,迁移A/B区出口防火墙:修改A/B/C区各核心间的静态路由,改为OSPF对接,在路由修改成功后,逐步迁移A/B区防火墙至C区机房。
步骤 |
实施内容 |
实施时间 |
备注 |
1 |
修改B/C区之间的静态路由,改为OSPF对接,使B区的流量都从C区防火墙走,将B区防火墙空闲为搬迁做准备 |
|
|
2 |
修改A/B区之间的静态路由,改为OSPF对接,使A区的流量都从C区防火墙走,将A区防火墙空闲为搬迁做准备 |
|
|
3 |
迁移、配置A/B区出口防火墙至C区机房 |
|
|
4 |
观察全网运行状态及各区用户使用是否正常 |
|
|
考虑到需要NAT功能,C25采用路由模式+Cluster HA部署;
其它Fortigate采用NAT模式+AP模式部署;
外网交换机Ex-inter-A连接两条中国电信的线路以及10台外网防火墙,两条电信的线路划分到同一个
L2 VLAN,交换机之间二层互联,防火墙上可以直接设置任一条线路的IP;
C25防火墙1和2连接到CK-9512的接口属于同一网段;做一个Cluster配置;
C25防火墙1和2连接到Ex-inter的接口属于同一网段;做一个Cluster配置;
其它Fortigate防火墙1和2内网端口直接连接到9512交换机,做AP模式,防火墙外网端口连接到Ex-inter交换机,启动会话交接并设置好心跳端口;
内网CK-9512交换机采用VRRP配置,和FW Cluster Master同一侧的交换机设为Master;
所用的Cluster均配置虚地址;
FW对内对外均采用静态路由
在CK-9512上实行策略路由,根据源地址进行分类,分发到不同的防火墙,源地址分5类
1.172.16.0.0/12 下一跳为 10.69.20.4
2.10.32.0.0/11 下一跳为 10.69.20.20
3.10.64.0.0/11 下一跳 为 10.69.20.36
4.10.128.0.0/23 下一跳 为 10.69.20.52
5.10.128.128.0/23 下一跳为 10.69.20.68
同时要满足内部网络能正常访问防火墙的内网管理地址。
|