随着园区网业务对灵活性、安全性、可实施性等要求的不断提高，其网络必然会逐渐在灵活、动态、资源化等方面有长足的发展。安全作为园区网网络服务的一种，如何作为一种可动态分配的资源针对不同业务（OA、监控等）进行针对性的部署，一直是园区网络设计中很重要的部分。

文/矫毅

在虚拟园区网2.0解决方案大规模部署的情况下，当网络资源通过IRF2技术横向整合和VPN技术纵向隔离，形成了分层分业务的虚拟化后，安全的资源化如何与网络的资源化相匹配，形成网络与安全的整体资源部署，是虚拟园区网设计中的重点。

FW、NAT、SSL VPN、IPS、NetStream、ACG（应用控制网关）等园区网内的安全技术和相关产品层出不穷，为了简化问题，从工作模式入手，安全产品大致可以分为两类：三层工作模式和二层工作模式的产品。另外，从可靠性等方面考虑，又有多种部署方式：Active-Active；Active-Standby。通过工作模式和部署方式的组合，我们挑选出一两种有代表性的组合方式及以H3C安全产品为例，讨论虚拟园区网2.0中的安全资源化部署的问题。

IRF2环境下防火墙部署

如图1所示是通常情况下园区网络汇聚层防火墙的逻辑部署方式，通过在汇聚层面的防火墙部署，可以用更简单的操作进行园区内部或者是每个虚拟网内部的访问控制。

H3C防火墙具备会话同步的热备份功能，使用专用的一条或两条带外线缆(双机热备专线)进行两台防火墙的会话信息进行同步，配合交换网络流量切换，可保证单台防火墙故障时应用流量不会中断。

图1中两个组网的物理连接方式相同，但是右图组网采用IRF2技术后却能够改变整网的逻辑部署，并在设计上只需要更简单的考虑。

http://www.h3c.com.cn/res/201008/27/20100827_1040274_image001_688052_30008_0.png图1 防火墙交换机基本组网结构

以下分别就防火墙的路由模式和透明模式来讨论，在IRF2的组网环境下，安全部署有哪些不同。

1. 防火墙路由模式部署

传统的防火墙路由模式部署，当部署于园区网汇聚层的话，假设二层终结于汇聚层，汇聚和直到核心的网络处于同一个OSPF域内，其三层接口部署一般如图2所示。

http://www.h3c.com.cn/res/201008/27/20100827_1040275_image002_688052_30008_0.jpg图2 传统防火墙路由模式+Active-Active部署

图3为采用IRF2技术之后的部署。通过IRF2部署，能够有效降低网络中三层接口数量和路由表大小，并将核心和核心之间、汇聚和汇聚之间的数据交互有效屏蔽在网络的二层，简化了网络设计和运维管理需要考虑的问题，从而使得网络设计更简单。

http://www.h3c.com.cn/res/201008/27/20100827_1040276_image003_688052_30008_0.jpg图3 防火墙路由模式+交换网络IRF2

2. 防火墙透明模式部署

如图4所示，为防火墙在透明模式下采用IRF2前后的对比。启用IRF2以后，可以实现跨链路聚合，从而以更简单的方式实现了链路的负载分担。

http://www.h3c.com.cn/res/201008/27/20100827_1040277_image004_688052_30008_0.jpg图4 防火墙透明模式传统部署和IRF2环境部署对比

如何实现安全模块一分多虚拟化

虽然IRF2实现了安全的简单部署，然而安全资源还是不能实现按需部署的资源化。要达到这一点，需要安全设备支持一虚多的虚拟化功能，下面以在交换机上模块化部署来说明其实现原理。

http://www.h3c.com.cn/res/201008/27/20100827_1040278_image005_688052_30008_0.png图5 同一虚拟组内共享安全资源

如图5所示，通过IRF2整合，将多个机框式交换系统整合在一起，逻辑上形成一个大的交换系统，在这个系统中，无论安全模块部署在组内的任何一个框上，都能够被本组的其他框所共享，每个机框上行流量都能够基于本身的需求进行安全处理，而不必关心这个安全模块部署在哪个机框上。同时，在路由表项，安全策略等方面，基于不同的业务可以给予不同的保障，真正实现了按需分配，组内共享的安全资源化，俗称为“安全模块一拖N部署”。

http://www.h3c.com.cn/res/201008/27/20100827_1040279_image006_688052_30008_0.png图6 防火墙模块一虚多在交换系统中的部署

如图6所示，终端的网关设置在防火墙上，防火墙通过VRRP提供冗余，冗余备份组通过静态路由下一跳指向IRF2交换机三层接口，交换机之间通过IRF2消除了二层接入环路。在集成防火墙路由模式下，还可以将防火墙进行虚拟化，逻辑分割成多个虚拟防火墙实例提供网络安全服务，如图中对每块防火墙线卡划分了多个逻辑实例，每一对虚拟防火墙工作在A-S方式，可选择Active实例分布在两块物理线卡上，从而达到负载分担和冗余备份的能力，实现防火墙在一个虚拟组内如何实现资源化。

通过一分多的虚拟化技术，可以使不同业务或用户群在同一个IRF2组内共享相同的安全硬件，而在逻辑上达到资源动态分配的目的，降低了建设成本，提高了安全服务的动态调配能力，为业务的灵活部署提供了有效的支撑。MPLS VPN环境中的防火墙部署

在MPLS VPN组网环境中，由于以下情况的存在，网络汇聚层需要进行访问控制和地址转换：

· 每个VPN内部可能存在多个不同的网段，为了有效控制网段间互访和服务器与终端间的访问，需要在汇聚层采用防火墙做单向访问控制；

· 两个或者多个VPN互访时，不同VPN内的IP地址可能存在地址冲突，所以需要在网络汇聚层进行地址转换。如图7所示为比较常见的传统防火墙部署组网情况及其局限性。

http://www.h3c.com.cn/res/201008/27/20100827_1040280_image007_688052_30008_0.jpg图7 传统园区网防火墙部署示意图

虚拟园区网下采用FW插卡部署，可解决传统部署模式带来的接口类型、协议处理、建设成本和运维管理等一系列的问题。如图8所示为在MPLS VPN环境中，防火墙的部署方式。将一块FW模块插入汇聚层交换机内，由交换机的接口板卡与接入以及核心设备连接，这样就无须考虑防火墙的接口类型等方面的要求；并且保证防火墙的处理在PE和CE之间，可以不必要求防火墙参与OSPF等动态路由协议计算和MPLS报文处理，大大简化了网络设计和运行维护。可见，模块化的安全部署方式在简化设计、降低总拥有成本等方面具有较大优势，是网络设计时需要考虑的常用设计方法之一。

http://www.h3c.com.cn/res/201008/27/20100827_1040281_image008_688052_30008_0.png图8 MPLS VPN环境下防火墙最佳部署示意图

互联网出口安全部署

互联网出口通常面临网络层和应用层的攻击，因此是控制安全威胁的最佳控制点之一。相应的，此处的安全设计和部署也通常是园区网中最复杂的场景之一。

针对不同场景的需求和保证网络边界的安全和完整性，在互联网出口通常需要部署访问控制、地址转换、应用层防护、流量控制、行为审计、链路负载均衡、DMZ区服务器负载均衡、SSL远程接入、DDoS攻击防护等多种技术手段。由于各种技术的侧重不同，催生出了多种组合的方案。下面将围绕其中的一种常用方案进行展开，描述在互联网出口处进行访问控制、地址转换、应用防护、行为审计、链路负载均衡多种技术混合部署的设计方式。

http://www.h3c.com.cn/res/201008/27/20100827_1040282_image009_688052_30008_0.jpg图9 虚拟园区网出口FW+IPS+ACG+LB板卡组网

如图9所示，业务板卡采用主备方式进行部署。具体的部署方式如下：

· 两台园区出口交换机（S9500E）作为IRF堆叠使用；

· 在互联网出口处，部署LB的情况下，应存在两个不同的互联网出口，连接到两台路由器上，这样LB才能够发挥作用；

· FW在转发路径上，使用路由模式，提供访问控制及攻击防御等功能，部署方式采用主备方式，采用VRRP部署，MASTER进行流量转发；

· IPS采用主备方式部署，在S9500E上通过MQC引流，转发到主IPS上，当主IPS失效后，通过MQC的下一跳备份功能，流量被引导到备份的IPS上，IPS与ACG部署的位置在S9500E与FW的三层转发路径上，将不会存在上下行不一致的问题。

· ACG采用主备方式部署，在S9500E上通过MQC引流，转发到主ACG上，当主ACG失效后，通过MQC的下一跳备份功能，流量被引导到备份的ACG上，IPS与ACG部署的位置在S9500E与FW的三层转发路径上，将不会存在上下行不一致的问题。

· LB作为连接出口路由器的设备，使用链路负载分担功能，并且使能NAT OUTBOUND功能让内网用户能够访问Internet，同时，两台LB之间使用VRRP进行主备，为提升两台设备故障的恢复能力，两台LB可以直接使用状态备份；

· S9500E作为三层转发设备。与FW之间为三层转发。

http://www.h3c.com.cn/res/201008/27/20100827_1040283_image010_688052_30008_0.jpg图10 虚拟园区网出口FW+IPS+ACG+LB板卡流量路径

如图10所示为流量路径，具体如下：

两条蓝色的虚线并不代表流量会同时从两套板卡上经过，而是说明在这一部署方式下，流量所流经的路径。

1. 园区网出方向：用户侧->外网侧（流量经过所有的多业务板卡）。用户侧数据按照交换机->ACG->IPS->防火墙->LB的顺序进行转发，在这个转发路径上，交换机进行一次三层转发（即将用户侧流量通过三层转发发送给防火墙），流量先被重定向到ACG，然后被重定向到IPS上。通过防火墙转发后，转发到LB上，LB通过链路负载分担并进行NAT转换后，转发到外网出口的路由器上。

2. 园区网入方向：外网侧->用户侧方向。外网方向的数据流根据不同的目的地址，到达不同的LB板卡上，LB进行NAT转换后，其下一跳是FW，在经过FW转发后，流量重定向到IPS、ACG进行处理，处理完成后，再由交换机转发给内网用户。

总结

虚拟园区网2.0解决方案，通过在园区中引入IRF2技术，不仅实现了网络的革命性突破，更对网络中的安全服务的部署带来了深远的影响。在当前网络和安全一体化的趋势下，模块化的部署方式、一分多的虚拟化技术、全虚拟化环境下的安全部署，使得网络安全服务的部署更为简化，并进一步实现了安全业务的资源化，从而为搭建资源化的园区网络平台提供坚实的基础。