Cisco虛擬防火墻和子接口的應用

Cisco虛擬防火墻和子接口的應用

為了滿足信息化網(wǎng)絡建設的需求，很多高校在原有CERNET出口的基礎上增加了本地網(wǎng)絡服務供應商（ISP）提供的第二個出口，以改善師生的上網(wǎng)體驗。隨著CNGI項目的推動，各高校都增加了接入CERNET2的純IPv6線路；另外，針對一些特殊的應用，例如遠程網(wǎng)絡教學或更快速的校園信息公網(wǎng)發(fā)布，高?？赡軙黾右粭l帶寬稍小但速度更快的專用線路。在增加一條出口線路時，除了IPv6不需要地址轉換，其余地址轉換和訪問控制必不可少，雖然路由器可以實現(xiàn)地址轉換和訪問控制功能，但當網(wǎng)絡繁忙時這些功能會大量占用CPU、內存資源，導致其數(shù)據(jù)轉發(fā)率下降，一般使用防火墻來完成這些功能。本文講述了通過配置Cisco虛擬防火墻和子接口，實現(xiàn)使用一臺防火墻完成多條出口線路的地址轉換和訪問控制的解決方案。

配置實例

Cisco PIX、ASA和Catalyst 6500、路由器7600的FWSM都支持安全環(huán)境（security contexts），即將一個物理設備劃分為多個虛擬設備，每個安全環(huán)境有自己的接口和安全策略，安全環(huán)境支持靜態(tài)路由、IPS和物理防火墻的訪問控制功能，但不支持VPN、動態(tài)路由協(xié)議和組播。子接口是以太網(wǎng)端口的一種邏輯劃分，這個以太網(wǎng)端口叫做父接口，一個父接口可以配置多個子接口，父接口中的不同子接口的流量按照802.1q的標簽值進行區(qū)分。

本文以出口線路中的一段為例，線路拓撲如圖1所示：

本例在Cisco PIX-535防火墻上配置，系統(tǒng)版本是Cisco PIX Security Appliance Software Version 8.0。每個安全環(huán)境中的路由、地址轉換和訪問控制的配置與防火墻單環(huán)境模式下的配置完全一樣，因此在此略去，其余主要配置命令如表1。

圖1 線路拓撲

問題討論

虛擬防火墻之間的共享資源

各虛擬防火墻DMZ區(qū)的服務器如果需要互訪，可以為各虛擬防火墻分配同一個子接口（同時也分配了相同VLAN），只需要在各安全環(huán)境中為該子接口配置屬于相同VLAN的不同IP即可。這樣的配置等于在虛擬防火墻之間建立了共享區(qū)域，一些特殊的服務器，如Syslog、AAA等需要各條線路都能訪問的服務器可以放置在這個VLAN內。

邊界路由器的配置

ISP會在自己的邊界路由器中設置ACL，只允許授權的源地址流量通過，所以需要在邊界路由器中設置策略路由，將流量基于各ISP分配的源地址轉發(fā)到相應的ISP，這樣便將內網(wǎng)流量分配策略移至圖1中的路由交換機處，可以在這里配置常見的靜態(tài)路由和基于源地址的策略路由，將流量分配到不同的虛擬防火墻即分配到了不同的ISP出口。

對IPv6線路的支持

如果圖1中的線路用于接入CERNET或者CERNET2，則需要在虛擬防火墻的相應子接口啟用IPv6功能并配置IPv6地址及IPv6 ACL。另外，因為多個子接口的帶寬和最高為物理接口的鏈路速率，而去往CERNET和CERNET2的出口帶寬一般為1G，如果使用虛擬防火墻和子接口方案，則需要使用帶萬兆接口的高端防火墻。

本文講述了Cisco虛擬防火墻和子接口的配置，列舉了實施過程中需要注意的問題，其他品牌的企業(yè)級防火墻同樣可以實現(xiàn)用一臺完成多個出口線路的地址轉換和訪問控制，節(jié)約信息化網(wǎng)絡建設的成本。

表1 主要配置命令與說明