云计算网络

wangkern

概况

防火墙旁挂在云计算网络的核心交换机上，通过虚拟系统隔离网络中的虚拟机业务。同时，防火墙形成双机热备状态，提高业务的可靠性。

基于USG6000&USG9500 V500R005C00版本写作，可供USG6000&USG9500 V500R005C00、Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00、USG6000E V600R006C00、Eudemon200E-G&Eudemon1000E-G V600R006C00及后续版本参考。不同版本之间可能存在差异，请以实际版本为准。

方案概况云计算网络概况

随着云计算的迅猛发展，企业可以便捷地接入云计算网络，获取服务器、存储、应用等资源，减少构建IT基础设施的投资成本，加快了信息化进程。

如图1-1所示，某个“工业云”为企业用户提供云计算服务，网络中的业务包括如下几种：

• 企业用户访问虚拟机来获取定制化的资源。
• 企业用户访问Portal系统来进行帐号申请和虚拟机空间管理等操作。
• 云计算网络中的管理组件对虚拟机、Portal系统以及网络设备进行管理。
  

图1-1 云计算网络示意图



防火墙在云计算网络中的应用

如图1-2所示，防火墙旁挂在云计算网络中的核心交换机上，将虚拟机和Portal系统发布出去供企业用户访问，并且对企业用户访问虚拟机的业务进行隔离。

图1-2 防火墙在云计算网络中的应用示意图

在云计算网络中，主要用到了防火墙的如下功能：

• 双机热备
  两台防火墙之间形成主备备份方式的双机热备状态，提高业务可靠性。
• NAT Server
  通过NAT Server将虚拟机和Portal系统的公网地址发布出去，供Internet上的企业用户访问。
• 虚拟系统
  为每一个虚拟机划分一个虚拟系统，隔离企业用户访问虚拟机的业务；同时还可以在虚拟系统中配置安全策略，实现访问控制。
  
  

方案一：防火墙作为网关

典型组网

该云计算网络中，核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500，本案例重点关注防火墙上的配置，整体的组网环境如图1-3所示。

图1-3 云计算网络组网图

云计算网络中主要有如下几个需求：

• 不同的外网企业用户访问虚拟机时，相互之间不能影响，业务必须隔离。同时，每个虚拟机业务可使用的带宽资源也要限制在一定范围内，避免占用大量资源。
• 内部网络中的虚拟机和Portal系统都配置私网地址，要求对外发布两者的公网地址，使外网企业用户能够通过公网地址访问虚拟机和Portal系统。
• 对外网企业用户访问虚拟机和Portal系统的行为进行控制，仅允许访问业务的流量通过。
• 提高设备的可靠性，不能因为一台设备出现故障而导致业务中断。
  

防火墙旁挂在核心交换机CE12800上，使用如下特性来满足上述需求：

• 使用虚拟系统隔离外网企业用户访问虚拟机的业务，每一个虚拟机都属于一个虚拟系统，每个虚拟系统中都限制了最大带宽资源。
• 使用子接口与CE12800相连，将子接口划分到虚拟系统和根系统中，虚拟系统中的子接口用来传输虚拟机业务，根系统中的子接口用来传输Portal系统业务。
• 使用NAT Server对外发布虚拟机和Portal系统的公网地址，在每个虚拟系统中配置针对虚拟机的NAT Server，在根系统中配置针对Portal系统的NAT Server。
• 使用安全策略对虚拟机和Portal系统的业务进行访问控制，在每个虚拟系统中配置针对虚拟机业务的安全策略，在根系统中配置针对Portal系统业务的安全策略。
• 使用双机热备提高可靠性，两台防火墙形成主备备份状态的双机热备，当主用防火墙出现故障时，备用防火墙接替其工作，业务不会中断。
  

业务规划

如图1-4所示，FW旁挂在CE12800上，工作在三层转发模式。CE12800从逻辑上分为上行、下行两个部分，上行部分工作在三层转发（L3）模式，下行部分工作在二层转发（L2）模式。FW与CE12800的上行部分之间运行OSPF，与CE12800的下行部分之间运行VRRP，FW上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的上行部分转发至FW处理后，再经过CE12800的下行部分转发至虚拟机和Portal；回程流量则经过CE12800的下行部分转发至FW处理后，再经过CE12800的上行部分发送出去。

图1-4 FW旁挂连接示意图

详细的规划情况在下面逐一先容。

接口和安全区域

下面以FW_A和CE12800_A为例，先容两者之间的连接情况。

如图1-5所示，FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连，详细的连接情况如下：

• FW_A上的GE1/0/1接口划分了多个子接口（此处仅以三个子接口为例进行说明），每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统，划分到虚拟系统的Untrust区域中；一个子接口属于根系统，划分到根系统的Untrust区域中。
• CE12800_A上的10GE1/1/0/1接口为Trunk口，允许多个VLAN的报文通过，在每个Vlanif接口上都配置IP地址，逻辑上与FW_A上相应的子接口连接。
  

图1-5 FW_A上的GE1/0/1接口连接示意图

如图1-6所示，FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连，详细的连接情况如下：

• FW_A上的GE1/0/2接口划分了两个子接口（也可以根据Portal系统的实际网络情况划分多个子接口），每个子接口上都配置了IP地址，每个子接口都划分到根系统的DMZ区域中。
• CE12800_A上的10GE1/1/0/2接口为Trunk口，允许多个VLAN的报文通过。
• FW_A上子接口的VRRP虚拟IP地址作为Portal系统的网关，终结VLAN，CE12800_A的作用是二层透传报文。
  

图1-6 FW_A上的GE1/0/2接口连接示意图

如图1-7所示，FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连，详细的连接情况如下：

• FW_A上的GE1/0/3接口划分了多个子接口（此处仅以两个子接口为例进行说明），每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统，划分到虚拟系统的Trust区域中。
• CE12800_A上的10GE1/1/0/3接口为Trunk口，允许多个VLAN的报文通过。
• FW_A上子接口的VRRP虚拟IP地址作为虚拟机的网关，终结VLAN，CE12800_A的作用是二层透传报文。
  

图1-7 FW_A上的GE1/0/3接口连接示意图

FW_B和CE12800_B之间的连接情况与上面的内容相同，此处不再赘述。

• 
  
  

结果验证

• 在FW_A和FW_B上使用display hrp state命令查看当前HRP的状态，可以看到HRP状态正常。
• Internet上的企业用户可以正常访问虚拟机业务。
• Internet上的企业用户可以正常访问Portal系统。
• FW_A的GE1/0/2.1接口上实行shutdown命令，模拟链路故障，发现主备正常倒换，业务不会中断。