大型企业的边界拓扑 http://www.freeimagehosting.net/uploads/d24ede3b2f.png
假设您有一家企业,其互联网存在规模很小,包括 DNS 服务器、Web 服务器和 VPN 服务器,所有这些都位于 DMZ 上(在这种情况下,一对不可见的交换机直接连接到防火墙)。企业网络内部还有 20,000 个节点,分布在许多建筑物中,拥有大量路由器和 VLAN 等。企业中充满了非常重要、非常忙碌的人,他们希望能够毫不延迟地访问 Facebook... 一切都经过了网络地址转换;DMZ 具有静态对称网络地址转换,其他所有人都可以从为此目的而预留的池中共享传出 IP 地址。
边界是一对路由器,它们通过一对千兆以太网交换机相互连接,并与防火墙相连,并通过城域以太网与 ISP 相连。边界路由器通过 eBGP 与 ISP 交换路由,并通过 iBGP 相互交换路由。内部网络具有通往网络内任何点的多种路由,并使用动态路由协议来管理故障转移和路由分配。
防火墙通过数据中心的一对路由器连接到企业核心。
我的问题是:
静态路由还是动态路由协议?
静态路由:
每组设备都有静态路由,并使用 VRRP 或 HSRP 等机制来管理 L2<->L3 故障转移。防火墙将指向边界路由器的虚拟地址作为企业默认路由,内部路由器将指向防火墙的虚拟地址作为其默认路由,而防火墙将指向内部路由器的虚拟地址作为 10.0.0.0/8。
动态路由:
在防火墙和边界路由器之间使用 iBGP,在防火墙和内部路由器之间使用 OSPF/EIGRP。
我发现人们使用静态路由模型的频率远高于动态路由模型。我的问题是——为什么?
这种拓扑结构的最佳做法是什么?或者这只是一个宗教问题?
答案1
将外部路由器放入 HSRP/VRRP 对中。获取 AS。开始与您的 ISP 进行 BGP。
然后,您环境内的任何地方,路径都将是静态的。您只需要有故障转移,这就是使用 VRRP/HSRP 和 A/A 或 A/S 配置中的防火墙实现的。
替代方案更加混乱和/或不太可靠:
- 始终保持动态是一种不必要的麻烦。
- 防火墙上的静态出站将导致同时使用两个上行链路变得困难/不灵活/不可能。
- 如果没有 PePLink/Ecessa/EdgeXOS 之类的临时解决方案,入站冗余将会非常痛苦。
答案2
注意:以下所有内容均假设您有一个站点,有两个 ISP 电路。如果不是这种情况,请告诉我。
对于企业核心和 DMZ 之间的路由,静态路由似乎非常合适;默认路由指向防火墙,内部子网(听起来是 10.0.0.0/8)的路由返回核心路由器。(尽管有一种观点认为互联网不应该从核心网络路由;有关这一点的更多信息,请参见最后的附录。)也就是说,如果您总结得简洁,在核心和 DMZ 之间运行 OSPF、EIGRP 甚至 EBGP 不会有太多开销。这通常取决于工程师的个人偏好。
关于您的 DMZ 和提供商之间的路由,有两个方面:
- 您的 ISP 如何路由到您
- 如何通过 ISP 路由到互联网
关于 (1):您是否拥有独立于提供商的地址空间,从而允许您的 VPN 服务器和 Web 服务器由两个 ISP 提供?假设是这种情况,我建议为您的提供商运行 EBGP 并不是一个坏主意 - 它允许您通过使用各种 BGP 属性来影响哪个 ISP 更适合用于您的传入流量。如果您的服务器位于提供商特定的地址空间上,那么动态向您的 ISP 通告路由没有任何好处;它们也可能静态路由到您。
关于 (2):在边缘路由器上,到 HSRP/VRRP 地址的默认静态路由将起作用;您可以使用对象跟踪(在 Cisco 平台上)来确定每个路由器上本地连接的 ISP 电路的“健康状况”,也许可以通过 ping 一个众所周知的 IP 来确定。如果跟踪的对象发生故障,则可以将路由器配置为降低其 HSRP/VRRP 优先级,将流量转移到另一条链路。
也就是说,使用默认值是非常粗略的,并且不允许您使用 ISP 可能与大型内容提供商(例如 akamai、BBC 等)建立的任何直接对等连接。如果这可能有用,EBGP 对等连接将允许您更清楚地了解您的 ISP 连接。许多提供标准社区,允许您接受“客户”路由,这意味着您有针对 ISP 的任何直接连接客户的特定路由,但不需要维护完整互联网 BGP 表的副本。
另外:从您的描述来看,似乎缺少的一个基础设施是互联网代理。有很多理由不允许您的内部主机直接路由到互联网;如果大多数出站流量只是网页浏览,通过在 DMZ 中安装一个(或两个,用于故障转移)代理,您可以消除内部网络对到 DMZ 的默认路由的需求。只需路由到 DMZ 子网(代理所在的位置),并将互联网可达性限制在您的 DMZ 内。有几个好处:
- 集中策略控制;它允许您限制管理/安全人员认为不适当或高风险的站点的访问。
- 它限制了任何恶意软件进入用户工作站“回传”的能力。任何试图直接路由到互联网地址的东西都将无法连接;任何试图使用代理的东西都必须只使用允许的端口 (80/443),如果你订阅了一个好的黑名单提供商,你的代理可以进一步减少你的暴露。
好问题。:)
答案3
静态方法允许更精细地控制如何将流量路由到您的两个 ISP。您可以根据 ISP 的速度或您想要访问的服务进行非对称路由。
复制/故障转移设置相当简单,因为大多数防火墙/设备都提供非常简单的程序(至少在思科上)。