《Cisco防火墙》一6.9 虚拟化的整体架构

6.9 虚拟化的整体架构

Cisco防火墙
上文已经对各类虚拟化技术进行了具体的介绍,现在我们需要将视野扩展到那些可以充当虚拟化解决方案基础的案例中。本章会介绍一些将不同的虚拟化技术组合使用的方案,其目的是为了搭建一个端到端的虚拟化架构。

6.9.1 FWSM与ACE模块的虚拟化

在数据中心虚拟化的大环境中,Cisco应用控制引擎(ACE)模块可以与FWSM进行类比。在典型的部署环境中,FWSM可以提供防火墙服务,而ACE模块则负责服务器负载均衡(SLB)工作。

图6-15显示了服务模块VLAN划分的分层特性,以及Catalyst 6500上的虚拟防火墙。起初,6500从VLAN池中(其包含了约4000个VLAN)选取出了一组VLAN,并将它们分配给了各个物理模块。接着,子VLAN池会被分配给相应的虚拟防火墙。

图6-15所示为一台安装了一个FWSM模块和一个ACE模块的Catalyst 6500的VLAN分配方案。该图的重点在于,这是一个非常方便实用的方案,它不仅清晰地定义了IP子网的结构分层,同时也定义了VLAN的编号规则。

12XX范围中的VLAN(vlan-group1)留作Catalyst 6500 MSFC与FWSM outside接口之间的连接。
13XX范围中的VLAN(vlan-group2)留作FWSM inside接口与ACE模块 outside接口之间的连接。
属于vlan-group3的VLAN(范围为14XX)被分配给了ACE模块处理的服务器集群。

在划分VLAN上所下的功夫会在日常运维时得到报偿(排错更加方便,因为VLAN所在的层可以很快通过VLAN号找到)。即使一开始不需要创建很多虚拟防火墙,使用合理的方式进行编号也可以给未来的扩展工作带来便利。

图6-16进一步显示了图6-15中的分配方案,它显示了名为INTERNET和INTRANET的两个虚拟结构(它们都使用了ACE和FWSM上的常规虚拟防火墙,并且使用了MSFC上的专用VRF)。管理结构使用的是服务模块上的admin-context和MSFC中的全局表。

6.9.2 分段传输

图6-17所示的网络虚拟化方案旨在将去往数据中心的用户组流量进行分段。

在接入层交换机(或无线接入点)上,管理员根据用户请求访问的作用,将端口划分进不同的VLAN。验证用户身份是通过802.1X或NAC(网络准入控制)等机制实现的。VLAN分配最好能够反映一个组中的用户执行其任务所需的优先权级别。
在这个方案中,接入层设备会通过传输用户VLAN的802.1Q trunk连接到分布层交换机(用户VLAN会动态分配给用户端口,但需要在trunk上进行定义)。
VLAN接口会与定义用户组的VRF进行关联。为了简便起见,这里只显示了两个用户组。
VRF会使用MPLS VPN或GRE隧道(与VRF绑定)等技术,以分段的方式穿越核心层传输数据。
每个user-group都只能访问数据中心两部分虚拟资源其中之一,这可以通过VRF、FWSM和ACE虚拟防火墙来实现(请参考图6-16来了解这些虚拟成份的部署示例)。
6.9.3 虚拟设备与Nexus 1000V
服务器端的虚拟化已经颇有一些历史了。最著名的案例是通过ESX平台实现的VMWARE解决方案。自Cisco Nexus 1000V虚拟交换机问世以来,这个经典解决方案得到了进一步的拓展。

图6-18对Cisco Nexus 1000V和VMWARE ESX之间的关系进行了高度的概括。

每台运行ESX的物理服务器上都安装了虚拟以太网模块(VEM),以取代VMWARE虚拟交换机的作用。该软件在模块化LAN交换机上充当接口模块的作用。
设备会按照物理服务器上的每个虚拟设备都连接了VEM模块的一个端口的方式对信息进行处理。
虚拟管理程序模块是一个外部管理方案,它的作用就是充当模块化LAN交换机的管理程序。
原ESX解决方案的这件附加装置可以实现一些此前只能在物理交换机上使用的管理和安全特性。如果使用Nexus 1000V,管理员就可以为不同的VM分别部署下列特性:

端口安全;
DHCP嗅探(DHCP snooping);
动态ARP监控(Dynamic ARP inspection);
IP源保护(IP Source Guard);
私有VLAN;
端口镜像(SPAN);
Netflow v9;
QoS特性(如802.1q CoS标记及速率限制)。
上述内容只是对Nexus 1000V进行了简要的介绍。如果读者正在(或准备)使用VMWARE ESX平台,那么多了解一些这个强大方案的内容是很有必要的。

此外,读者不妨尝试部署一下最后一节中的解决方案,搭建一个端到端的虚拟化架构。

时间: 2024-09-21 16:54:09

《Cisco防火墙》一6.9 虚拟化的整体架构的相关文章

《Cisco防火墙》一导读

序 Cisco防火墙当今网络在规模和复杂程度上,已经经历了爆炸式的成长,它已经成为了一项包罗万象的技术,实现网络安全的难度亦随之增加.核心网络的设计蓝图需要以强大的物理设备作为基础,而这可以通过在系统的核心部分集成防火墙设施来实现.现今,防火墙已经成为网络中的核心设备,成为每个网络环境中不可或缺的组成部分. Alexandre M. S. P. Moraes的这本大作旨在补充一些常常为人们所忽视的基本概念,他通过本书为读者提供了一个Cisco全系列防火墙产品的资源宝库. Alexandre使用了

《Cisco防火墙》一第6章防火墙世界中的虚拟化6.1 一些初始定义

第6章防火墙世界中的虚拟化 Cisco防火墙 6.1 一些初始定义 Cisco防火墙在对虚拟化展开讨论之前,读者必须先了解两类术语.第一类术语与网络的平面有关,而第二类术语则是对虚拟化这个词的各类解释. 网络设备处理的流量可以分为三大功能平面. 数据平面:亦称为转发平面(Forwarding Plane),这一部分的功能与穿越设备的流量有关.这个平面通常对应流经网络设备(如路由器和防火墙)的最大数据流量. 控制平面:这一类流量由直接发往网络设备的流量所组成,其主要功能包括构建路由表和拓扑表,建立

《Cisco防火墙》一2.2 防火墙服务模块的概述

2.2 防火墙服务模块的概述 Cisco防火墙 Cisco的防火墙服务模块(Firewall Service Module,FWSM)是为其Catalyst 6500系列交换机量身打造的防火墙解决方案,它可以提供Cisco ASA的状态化监控技术.FWSM与ASA防火墙系列有着共同的祖先,那就是PIX防火墙.自然而然,这三款产品(命令行界面中)的配置命令和配置思路都是非常接近的. FWSM服务模块是专用于防火墙服务的模块.这款产品可以与Catalyst 6500系列的其他服务模块(如应用控制引擎

《Cisco防火墙》一6.2 从数据平面说起:VLAN与VRF

6.2 从数据平面说起:VLAN与VRF Cisco防火墙 起初,有了网络.网络空虚混沌,渊面因冲突而黑暗.网络造物主的灵运行在无所不包的广播域(broadcast domain)上. 网络造物主说:"要有路由器",于是数据帧和数据包便有了希望.网络造物主看路由器是好的,就把广播域分开了,每一部分皆称为子网(subnet). 网络造物主说:"每个子网内要能扩展,以控制冲突域的边界."事就这样成了,网络造物主称扩展装置为LAN交换机1. 好了,这就是对网络之初的概述.

《Cisco防火墙》一6.3 VRF感知型服务

6.3 VRF感知型服务 Cisco防火墙随着虚拟化技术在网络和网络安全领域扮演的角色愈加关键,VRF在IOS系统研发中所占据的地位也日趋重要.VRF感知型(VRF-aware)这个字眼,在最新IOS特性描述文档中出现的越来越频繁,这个词的意思是该功能已经通过调整,而能够配置在特定VRF的范围内. 这一点之所以重要,是因为有时,有些业务要求某种服务只对(或者最好只对)一群特定的客户开放(在服务提供商环境中),或者只对一些特定的内部部门开放(在企业网环境中).随着VRF感知型技术的普及,用户可以让

《Cisco防火墙》一6.4 超越数据平面—虚拟防火墙

6.4 超越数据平面-虚拟防火墙 Cisco防火墙前面两节对VLAN和VRF技术实现(2层及3层)数据平面虚拟化的方式进行了概述.尽管这些方法已经为当今的网络和安全设计带来了巨大的利好,但必须在这里说明的是,设备的配置文件是在所有虚拟成份之间共享的. 本节将会对虚拟防火墙的概念进行介绍,尤其会(尽可能直白地)介绍虚拟设备的工作方式.对于ASA和FWSM等设备,每个虚拟防火墙都有拥有多个接口.一个路由表.多个安全策略(ACL.NAT规则及监控策略)及管理设置(配置文件.管理用户等). ASA和FW

《Cisco防火墙》一6.10 总结

6.10 总结 Cisco防火墙本章描述了通过Cisco防火墙产品及解决方案来实现虚拟化的重要性.本章中最重要的内容如下所示. 如何将VLAN和VRF应用到数据平面的虚拟化解决方案中. 安全虚拟防火墙的定义,以及如何为安全虚拟防火墙分配资源. 如何将各个虚拟成份进行互联. 实施端到端网络虚拟化架构的示例. 本章为本书第二部分的内容画上了一个圆满的句号.在对基础内容进行了介绍之后,从下一部分开始,本书将会开始介绍主要的安全特性.在本书第17章(该章专门介绍安全设计方案)中,读者可以了解到更多将防火

《Cisco防火墙》一6.5 虚拟防火墙的管理访问

6.5 虚拟防火墙的管理访问 Cisco防火墙 在学习了如何将防火墙的操作模式从单防火墙模式修改为多防火墙模式,并介绍了虚拟防火墙的一些设置之后,在下面的内容中,本书会着重介绍虚拟防火墙的管理访问. 在前面的一节中,本书已经介绍了系统分区和admin-context对于访问物理成份的重要作用.那一节也介绍了命令changeto context可以让授权用户访问admin-context以查看(并修改)所有普通虚拟防火墙的配置信息.虽然这已经可以满足大多数环境的管理需求,但是在有些情况下,直接访问

《Cisco防火墙》一第2章Cisco防火墙系列概述2.1 ASA设备的概述

第2章Cisco防火墙系列概述 Cisco防火墙 本章包含了如下主题: ASA设备概述: 防火墙服务模块概述: 基于IOS的集成防火墙概述. 世界上最好的商品是那些容易被人掌握和理解的产品,简单易用的事物永远是最具说服力的. -笛卡尔 在本书的第 1 章中,我们介绍了防火墙设备,并阐述了其在网络安全中的重要作用.在探讨了防火墙的主要分类方法后,我们对状态化防火墙这种技术的发展历程进行了简要的说明. 本章是对第 1 章内容的补充,主要内容是对支持状态化防火墙的 Cisco 硬件平台进行介绍.为了方