ADC公司数据中心建设方案
虚拟服务区划分的原则如下:
? 建议一个安全域对应一个虚拟服务区,这样每个虚拟防火墙的策略将可用
简单化为入策略和出策略(安全设计章节将详细介绍)
? 虚拟防火墙、虚拟ACE、VRF、VLAN组一一对应是最理想化的虚拟化模
式,这样将最大程度的实现与特定业务相关的从路由到应用、再到安全的一整套虚拟化资源划分策略
? 同一业务一定要在一个虚拟服务区中
? 需要进行虚拟机迁移的虚拟主机要在一个虚拟服务区中 ? 划分不宜过细,分区不宜过多,建议一期不超过5个分区
服务机箱相互之间、与Nexus 7000之间的链路都采用二层交换方式,万兆在捆绑后使用IEEE 802.1Q封装,通过VLAN标记使不同的VLAN Group对应到机箱内不同的虚拟化服务上去。
上面的逻辑结构对应到前述的三角形拓扑中会看到一个冗余的环路,在二层结构中将会导致生成树算法而关闭冗余链路,我们建议将IEEE 802.1Q的VLAN Trunking链路上进行VLAN范围设置,使服务机箱互连的捆绑链路上的VLAN和每个服务机箱上
36
ADC公司数据中心建设方案
连Nexus 7000的VLAN不同,前者的VLAN只用于服务模块相互间状态、配置同步和故障时的临时通道,这样所有链路都会被充分利用,而也不会形成环路并需要生成树算法收敛计算路径。
4.4.2 应用负载均衡的设计
ACE的核心功能是负载均衡服务,在一般设计中有两种提供负载均衡服务的方式:串联模式和单臂模式。
以下为简单起见,只对Active部分进行描述,Standby部分的设计与Active部分完全相同,只有在Active局部或全部失效,才会由Standby来局部或全部接管,在后面“高可用性设计”部分有详细讨论。
4.4.2.1.方案一:串联模式的应用负载均衡模块ACE
应用负载均衡模块ACE和防火墙模块FWSM均以串连方式在网络中部署。在桥接模式下串联部署的ACE非常简单,因为VIP(Virtual IP)直接位于客户端和服务器间的路径上。
在串联模式ACE设计方案中,发往VIP的客户端流量到达MSFC,MSFC执行IP路由查询,然后将流量转发至FWSM。FWSM做安全控制策略后再将其转发给ACE以作出负载均衡决策。选择真实服务器后,ACE执行L2重写(服务器NAT)并将流量转发至真实服务器。真实服务器发出的返回流量通过相同的路径回到客户端。如下图所示。
37
ADC公司数据中心建设方案
串联模式ACE的方案的特点:
? 比较容易做到虚拟防火墙、虚拟负载均衡理想的一一对应(如上图) ? FWSM 放置在ACE和MSFC之间,不能利用ACE的路由动态插入RHI
功能(RHI后面将有介绍)
? 要在不同子网上实现新服务器群的负载均衡,要在ACE上添加新的服务器
VLAN和客户端VLAN
? 服务器备份等发往WEB服务器的非负载均衡流量也都必须桥接通过
ACE。
? 其它没有负载均衡必要的服务器通信都必须通过ACE进行
4.4.2.2.方案二:单臂模式的应用负载均衡模块ACE
在单臂模式ACE设计方案中,ACE仅通过一个VLAN连接到MSFC,并处于防火墙保护之外。
38
ADC公司数据中心建设方案
从客户端发往VIP地址的流量即需要负载均衡的流量从MSFC路由到ACE,ACE进行负载均衡后,选择真实服务器后,执行L3重写(服务器NAT),并将流量转发到FWSM进行包检查,然后再转发到真实服务器。在MSFC上配置PBR时,FWSM将发自真实服务器的返回流量转发到MSFC。PBR对流量进行分类,随后将其发回ACE。ACE为服务器NAT执行反向L3重写,将流量发回MSFC,MSFC再将其转发回客户端。ACE单臂VLAN的默认网关是MSFC接口IP,真实服务器的默认网关则是FWSM上的接口IP。FWSM上定义了默认路由来将服务器流量转发到MSFC。
ACE单臂模式下,为了确保返回的流量能够回到ACE,需要NAT或策略路由(PBR),源NAT比较简单,但不适合使用源IP地址追踪客户端使用模式来进行记账和计费的客户。PBR避免了这一问题,但又带来了其他问题,如路由复杂性、非负载均衡流量的非对称路由和VRF支持等问题。
单臂模式ACE方案的特点:
? 最大的优势是可以对需要负载均衡的流量才经过ACE,这样大大提高了数
据中心的可扩展性
? 可以配置RHI来动态地将VIP作为主机路由发布给MSFC,简化配置,实
现动态学习
? 没有FWSM的保护,但对于内网而言并不关键,特别是ACE本身有极强
的安全保护能力
39
ADC公司数据中心建设方案
? MSFC上需要源NAT或PBR,以确保由真实服务器发送的返回流量可转
发回ACE
? 比较难实现虚拟化ACE与虚拟化防火墙的理想一一对应模式,因为为实现
该方式必须把ACE连到VRF上,而当前在Cat6500上基于VRF的PBR还有一些限制
4.4.2.3.应用负载均衡设计方案比较
根据详细的方案比较,结合XXX公司数据中心网络特点和各应用要求,我们认为当前业务对使用虚拟化ACE的迫切程度远不及防火墙的虚拟化,而相对不需要使用ACE的数据中心业务流量还比较多,因此我们推荐采用单臂模式ACE的方案。在将来业务发展,业务端到端虚拟化要求迫切,并且未来基于VRF的PBR比较完善后,我们还可用比较容易的切换到基于虚拟化ACE的单臂模式。
4.4.3 地址和路由
4.4.3.1.ACE的路由设计
在以上设计中的虚拟防火墙和ACE模块都将采用路由模式。路由实现如下图所示:
40
大型企业数据中心建设方案 - 图文
