木盒厂家
免费服务热线

Free service

hotline

010-00000000
木盒厂家
热门搜索:
成功案例
当前位置:首页 > 成功案例

机械网--思科FWSM模块的网络虚拟化应用

发布时间:2021-11-19 10:20:48 阅读: 来源:木盒厂家

数据中心虚拟化,和云计算概念的提出,是未来数据中心的发展方向,特别在有限的物理环境里,能够满足不同环境及需求的利用部署。更加体现了虚拟化逻辑划分的重要性。这里提出1个新的改进方案.利用思科FWSM防火墙模块设计在多环境需求下的虚拟化数据中心网络。1、Cisco FWSM防火墙模块功能及相干技术介绍Cisco FWSM防火墙是1种高速的集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5 Gb的吞吐量,100000 C/S,和1000000个并发连接。在1个设备中最多可以安装4个FWSM防火墙模块,因此每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的1部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能”。FWSM采取了Cisco PIX技术,并且运行Ciseo PIX操作系统(OS)——1个实时的牢固的嵌入式系统。可以消除安全漏洞,避免各种可能导致性能降落的消耗。这个系统的核心是1种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能村委组织村民强拆应该怎么办。利用ASA,FWSM可以根据源地址和目的地址,随机的TCP序列号、端口号,和其他TCP标志,为1个会话流创建1个连接表条目。FWSM可以通过对这些连接表条目实行安全策略,控制所有输入和输出的流量。FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或Cisco 7600互联网路由器的内部,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对那些机排挤间非常有限的系统来说.这类功能非常重要。Cisco Catalyst 6500真正成了那咎需要各种智能化服务(例如防火墙接人、人侵检测和虚拟专用网(VPN))和多层LAN、WAN与MAN交换功能的客户的首选IP服务交换机。FWSM可以支持5Gb的吞吐量。因此可以提供无以伦比的性能.让用户没必要对系统进行完全的升级,就可以够满足未来的要求。在Catalyst 6500中最多可以添加到4个FWSM,以满足用户不断发展的需求。FWSM防火墙模块建立在Cisco PIX技术的基础之上。并使用了同1个经过时间检验的Cisco PIX操作系统--个安全的实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同1个平台上提供性能和安全的独特组合。FWSM可以提供所有防火墙中最好的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的。所以培训和管理本钱都很低,而且由于它是集成在Cat6K设备内部的。所以大大减少了需要管理的设备的数量。Ciscm PIX设备管理器的直观的图形化用户界面(GUD可以用于管理和配置FWSM”。FWSM高端防火墙部署在企业园区的数据中心的网络拓扑中。今天的企业不单单需要周边安全.还需要连接业务伙伴和提供圃区安全区域。为企业中的各个部门提供安全服务。FWSM防火墙可以通过让用户和管理员以不同的策略在企业中设立安全域,提供1种灵活、经济及基于性能的解决方案旧改会涉及到拆迁吗。利用FWSM高端防火墙.用户可以为不同的VLAN制定相应的策略。以此来分割不同环境在数据中心中的作用。起到逻辑域的概念。数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的本钱提供千兆位的性能。FWSM防火墙可以通过在防火墙中提供最好的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。同时.它由于直接可以作为Cisco 6K系列交换机的1部分,共享背板的带宽,而不需要旁路接入.大大增强了数据吞吐量及使用便利性.也不会造成路由配置的复杂化”。2、设计网络拓扑10台Cisco 6509交换机构成了数据中心的主题网络,主题架构为3层架构,即核心层、集聚层和接人层。3层路由终结在集聚层交换机。接入则是2层交换接入。物理上,生产区与预生产辨别开.有效地隔开了相互之问的硬件和软件影响。但是在1般多环境的数据中心。在利用开发的标准中会有基本的开发(Dev)、系统集成(SIT)、用户验收(UAT)和生产(PROD)区域。所以在多环境的部署上,需要网络进行逻辑上的划分,有效地隔离各个环境的独立和稳定性,同时又能够节俭有限的资源。在这1节,将会详细描述在FWSM模块的功能上。建立逻辑的Context,满足多环境部署的数据中心虚拟化的要求。3、基于FwSM模块的多环境虚拟化设计FWSM的配置比较灵活,有许多可以选择的配置方案,比如支持路由模式和透明模式。路由模式下可以运行Passive RIPv1/v2和OSPF动态路由协议;2个FWSM模块可以配置Stateful Failover结构,不需要Licerme;另外,FWSM有虚拟防火墙的概念.即通过配置(配置Secruity Context),1个FWSM模块可以做成多个相互独立的防火墙(Security Context)使用,但需要有License。在没有License的情况下,1个FWSM可以配置成2个Security Context。在License支持下,最多可以配置100个security context。在实际业务环境中,网络系统的2层结构中包括了许多利用环境,每种利用环境下,有1些VLAN与之对应。VLAN的总数取决于利用环境的数量。考虑到在数据中心网络环境中。利用环境相对较多,同时对各个环境之间访问控制要求更加精细,而在重视安全性的同时又需要保证整体数据中心网络运行可靠性。因此,采取多独立防火墙(Multiple Security Context)加透明防火墙模式来完成该区域网络安全的控制需求。每个利用环境属于1个虚拟防火墙(Security Context),根据每个利用环境VLAN数量的多少,分别在对应的虚拟防火墙内配置相同数量的桥组(Bridge Group)。1个桥组负责处理1个VLAN的数据流。另外,利用环境物理上分为2个区域:生产区和预生产区。生产区包括诸如Infrastructure、Telephony、Map Supplier、Global Production和Local Production;预生产区包括诸如DEV、SIT和UAT,生产区域有PROD环境。散布在生产区和预生产区的网络设备环境为这些环境提供了基础连接.如Catalyst 6500上的防火墙模块、CCS及交换机上的IP地址搭建起所有VLAN内部和外部间的通讯。在每个利用环境中,VLAN的定义以下:Data Vlan:用于数据通讯,独立于每种环境。Backup Vlan:用于备用,独立于每种环境。Management/Monitoring Vlan:用于管理和监控,独立于每种环境。Heartbeat Vlan:用于服务器cluster,散布层交换机不分配此VLAN的网关。因此不会在网络中路由。上面列出的利用环境的VLAN在FWSM中分别对应1组inside和outside VLAN。FWSM工作在透明模式,要求数据流量透过2个不同的VLAN。Production DATA vlan配置:Firewall transparenthostname CT01enable password 8By2YjIyt7RRXU24 entryptednames!interface Vlan200nameif data-insidebridge-group 1security-level 100!interface Vlan250nameif data-outsidebridge-group 1Becurity-level 0!Interface BVI1description Global Production Data VlanFWSM策略通过2条ACL表分别利用在INSIDE端口和OUTSIDE端口上。配置举例:access-list portal-in extended permit ip any anyaccess-list portal-out extended permit ip any any!access-group portal-in in interface data-outsideaccess-group portal-out in interface data-inside!由于FWSM为透明模式,相当于两层交换机。因此需要允许BPDU包,保证全部VTP域的STP收敛与两层防环路。配置以下.access-list BPDU ethertype permit bpduaccess-group BPDU in interface data-outsideaccess-group BPDU in interface data-inside!在CISCO防火墙中.为了保证安全,没法从OUTSIDE端口通过TELNET协议来远程登录和管理防火墙模块。因此需要采取SSH协议来完成远程管理工作。配置以下:domnin-name onstar.comcrypto ca generate rsa key 1024crypto ca save allssh 0.0.0.0.0.0.0.0 outsidessh timeout 604、结语随着IT业得爆炸性增长,硬件和软件性能不断提升,基于IT的行业解决方案将会被越来越多的企业所接受。所以数据中心的建设理念要求将会越来越刻薄,特别是在多环境多业务的条件条件下,在有限的资金本钱和物理设备采购下,虚拟化将带来非常好的数据中心解决方案,逻辑上的划分有效的解决了各个环境的相对独立性和安全性。这里用Cisco FWSM模块进行了每个环境里部署相应的安全策略及基本路由配置,实现了1个企业级多环境部署的虚拟化数据中心模型。(end)资讯分类行业动态帮助文档展会专题报道5金人物商家文章