VRF 通过状态检查解决非对称路由问题

网络工程 防火墙 虚拟现实 非对称路由
2021-07-16 06:01:24

对于具有双路由器和 WAN 连接的分支机构,非对称路由会导致状态数据包检查出现问题。通过一个路由器离开并通过另一个路由器返回的数据包被丢弃,因为返回路由器的状态防火墙对它们一无所知。

使用双状态防火墙解决非对称路由的一种方法是将防火墙放在路由器后面,两个防火墙都在同一 L2 中(见下图)。

双路由器和防火墙

上述解决方案在分支机构需要更多设备(2 个防火墙加交换机)。为了保留路由器和防火墙之间共享 L2 的好处,我在 GNS3 中测试了以下场景。路由器和状态防火墙(IOS 防火墙)使用单独的 VRF 组合在一个盒子中。路由器的 LAN 侧通过 VLAN 666 相互通信,并与防火墙面向 WAN 的一侧通过 VLAN 666 进行通信。使用了三个 HSRP 组:一个用于其 Fa0/0.666 接口上的路由器 VRF,两个用于防火墙 VRF,一个对于每个接口。这些 HSRP 组确保数据包将通过相同的防火墙离开和返回,但不一定是相同的 WAN VRF。

VRF 分离的路由器和防火墙

这是一个非常规的解决方案,我希望得到反馈。我知道它在 GNS3 中有效,并且可能在实际设置中有效,但是因为我没有在网上或书中看到这样的解决方案,所以我认为可能存在缺点。除了增加的复杂性和吞吐量可能受到影响之外,是否还有理由避免这种设计?

2个回答

如果可用,复杂性足以使用更简单的选项。在这种情况下,我建议将每个防火墙仅连接到一个路由器和一个 Internet 连接。然后GLBP将用于负载平衡/故障转移。将 GLBP 绑定到IP SLA 监视器以获取路由器提供的 Internet 连接访问权限,您就完成了。

由于您在评论中说流量将返回最初用于将流量发送到广域网的防火墙,因此我假设防火墙正在执行某种源 NAT,这就是流量将返回到相同的防火墙。

因此,我建议使用背靠背的 L2 以太网链路和静态路由连接两个路由器,并将每个路由器直接连接到其防火墙,以便如果从路由器 R1 流出到 WAN 的流量通过 R2 返回,则R2 将通过背靠背链路将流量发送到 R1,R1 将返回流量转发到防火墙 FW1,流量在退出到 WAN 时使用防火墙 FW1。

此外,如果防火墙不使用 NAT,而是使用动态路由协议,那么同样可以通过第 3 层背靠背以太网链路实现,即 R1 和 R2 将通过链路动态交换路由,因此它们将返回的流量转发到正确的防火墙。

这是它的外观:

WAN1 === R1 === FW1 ===\\
         ||            SWITCH
WAN2 === R2 === FW2 ===//
其它你可能感兴趣的问题
上一篇SFP+ 是否向后兼容 SFP? 下一篇如果传输受 Rwnd 限制,TCP Cwnd 是否会继续增加?