加载中…
个人资料
红茶三杯
红茶三杯
  • 博客等级:
  • 博客积分:0
  • 博客访问:1,113,324
  • 关注人气:1,805
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

【有点儿意思系列 04】哎哟喂停不下来了

(2015-02-02 22:37:02)
标签:

ccie

杂谈

分类: 工程实战
基本上,到目前为止的几个Case还是略显简单,虽说简单但是仔细咀嚼还是别有一番滋味的,有的友肥还没仔细看,就开口下结论了,实际上却并没有品味出个中味道,想当然很容易,但是真要动手做起来,会发现其实也没那么简单。数据网络那点事儿,理论是一回事儿,项目及实际部署又是另外一码事儿。在真实的项目中,需求是多变诡异的,场景是各式各样的,如何利用掌握的技术结合实际场景合理合规地实现客户需求,并且兼顾扩展性等,才是一个敏捷的数通工程师。因此不要急着找我要“答案”。

下面这个Case,建议最好搭建一个实验环境做一下,会有不少感悟。尤其是处于CCIE学习阶段亦或是数通领域初入行的友肥,更加有必要亲测一下。

【有点儿意思系列 <wbr>04】哎哟喂停不下来了

  1. 内网是典型的核心、汇聚、接入,三层规划。接入层交换机双链路上联到两台核心交换机。请思考环路规避及链路冗余方案。
  2. 内网存在两种业务:业务A(Biz_A)和业务B(Biz_B),两种业务中节点的网关均在核心交换机Core-SW上。业务A有多个VLAN(拓扑中只体现了Vlan10及Vlan20),业务B亦有多个VLAN(拓扑中只体现了Vlan50)
  3. 内网业务A需与远端Biz_A网络进行互通,而业务B则需访问Internet。业务A的流量缺省走Core-SW1、OBR-SW1,而业务B的流量缺省走Core-SW2、OBR-SW2,两边路径互为冗余。
  4. 业务A是敏感业务,需始终与业务B以及Internet完全隔离。
  5. 核心交换机Core-SW与出口设备OBR运行OSPF。

思考如下问题:

客户的要求是:业务A的不同VLAN之间能够互访,业务B的不同VLAN之间能够互动,但是业务A与业务B需完全隔离。也就是说业务A的主机不能访问业务B主机以及Internet,业务B的主机不能访问业务A的主机以及远端业务B的网络。思考一下,如何实现上述需求。注意,方案需具有扩展性和可实施性,想清楚了再答,别想当然,就当这是一个真实项目。
你可能已经想到了流量隔离的方法,例如ACL?实地部署后就会发现,可扩展性并不高,因此另想他法罢。彼种流量隔离的方法有着重要的意义,在项目中有着广泛的部署。

问题延续:

在解决上述问题后,客户又有新增的需求,由于业务B的节点需访问Internet,而且业务B中某些节点需被Internet访问,因此为了保证业务B中各设备的安全性,客户要求增加一对防火墙,并且增加防火墙后,网络架构尽量做最小的改动,基于这个目的,最终选择将两台防火墙旁挂在核心交换机上,如下图所示。要求,业务B内的节点与Internet的互访流量需流经防火墙(做安全检查)。防火墙与核心交换机为仅有一条物理线路。
另外,由于增加了防火墙,因此将原先部署在出口路由器(拓扑中没有画出来)上的NAT下沉到防火墙上,由防火墙来部署源地址转换及静态映射。防火墙出公网的下一跳是OBR-SW交换机,两者使用私有IP地址三层对接。

请考虑上述各项需求的实现方式。

【有点儿意思系列 <wbr>04】哎哟喂停不下来了






红茶三杯

网络工程 | 数据通信 | 项目管理
学习 沉淀 成长 分享

红茶三杯版权所有,转载请注明出处

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有