防火墙技术案例数据中心防火墙应用.doc

防火墙技术案例9_强叔拍案惊奇 数据中心防火墙应用  
近期经常有小伙伴们问到防火墙在数据中心如何布置？防火墙双机热备功能如何与虚拟系统功能结合使用？
正好强叔近来接触了一种云数据中心项目，当前就跟人们分享下，相信能完美解决各位小伙伴问题。
 
【组网需求】
如下图所示，两台防火墙（USG9560 V300R001C01版本）旁挂在数据中心核心互换机CE12800侧。两台CE12800工作在二层模式，且采用堆叠技术。
数据中心对防火墙详细需求如下：
1、防火墙需要为每个虚拟主机都提供一种单独虚拟系统，以便为每个虚拟主机都提供单独访问控制方略。
2、 每个虚拟机都可以使用公网IP访问Internet，并且可以对Internet顾客提供访问服务。
 【强叔规划】
1、从上图数据中心整网构造和流量走向（蓝色虚线）来看，防火墙旁挂在CE12800侧就相称于把CE12800在中间隔断，把一台CE12800当作两台设备来使用。因此咱们可以将上面组网图转换成下面更容易理解逻辑图。
由于CE12800工作在二层模式，整个逻辑图就可以理解为典型防火墙上下行连接二层设备双机热备组网。这种组网特点是需要在防火墙上下行业务接口上配备VRRP备份组。
 
2、为了实现每一种虚拟主机均有一种单独虚拟系统，咱们需要为每个虚拟主机创立VLAN、子接口、虚拟系统，并将她们互有关联成一种网络，详细操作如下所示：
1)      在S5700上为每个虚拟机都建立一种VLAN，然后将相应连接虚拟机接口加入此VLAN。
2)      将S5700上行接口，以及CE12800上下行接口设立为Trunk接口，容许各个虚拟主机VLAN报文通过。
3)      在防火墙下行接口上为每个虚拟机都建立一种子接口，并终结相应虚拟机VLAN。
4)      在防火墙上为每个虚拟机都创立一种虚拟系统，并将此虚拟系统与相应子接口绑定。
5)      同理，在防火墙上行CE12800上需要创立VLAN（与下行ID不同），并将CE12800上下行接口设立为Trunk接口。
上述操作是在主用链路上设备（S5700_A、CE12800_A和USG9560_A）进行，咱们还需要在备用链路上设备（S5700_B、CE12800_B和USG9560_B）进行同样操作（除了防火墙子接口IP地址不同）。
 
3、  最后，咱们需要将前两步分析双机热备和虚拟系统结合起来考虑。由于两台防火墙处在双机热备状态，而每台防火墙又都被虚拟成各种虚拟系统，因而两台防火墙中相似虚拟系统也处在双机热备状态。例如下图所示，USG9560_AVFW1与USG9560_BVFW1之间形成双机热备状态，因而咱们需要在虚拟系统子接口上配备VRRP备份组。
      
     
【配备环节】
1、  配备双机热备功能。
# 在USG9560_A上配备双机热备功能。
< USG9560_A > system-view
[USG9560_A] interface Eth-Trunk 1
[USG9560_A-Eth-Trunk1] ip address 24
[USG9560_A-Eth-Trunk1] quit
[USG9560_A] i