防火墻冗余負載的實現

譚鳳興

摘 要： 隨著網絡的發展，高效、穩定的校園網絡是學校走向信息化發展的首要選擇。一個好的校園網，高效、穩定非常重要，為達到高效、穩定的要求，作者重點介紹了防火墻冗余負載均衡具體的設計。

關鍵詞： 校園網 負載均衡 NAT HSRP

大型的網絡安全必須使用防火墻，但是價格昂貴，對于現在設計的中小型網絡來說可通過配置路由器或三層交換機的訪問控制列表發揮防火墻的功能。三層交換機做防火墻的最大優點是包過濾速度很快，這是因為三層交換機轉發數據包是基于硬件的。三層交換機處于網絡的第三層網絡層，因為是核心層所以最容易遭受黑客的攻擊。在軟件方面，那些防火墻可以通過高可靠性的配置阻止來路不明的數據包輸入，可以控制訪問列表，通過對訪問列表的配置限制內部用戶訪問一些不可靠的網絡地址，也可以防止校外的非法訪問者訪問校園的內部網絡。三層交換機具有可擴展性，不需要對原來網絡的已有設備進行改動的情況下可直接擴充增加新設備，使得學校的投資不會有太多損失。

1.防火墻的數據包的流動過程

來自因特網的主機訪問DMZ區的WWW服務器為例，若規則的配置采取默認禁止，允許訪問的服務已在規則中列出。首先，Inter主機發起的訪問請求數據包流入防火墻，目的IP地址為要訪問的服務器，目的端口為TCP80，源地址為本地IP地址，源端口使用當前未使用的較低端的端口，來自因特網的訪問請求都從WAN口流入，要在流入方向應用訪問控制列表，允許其對端口為TCP80的服務器進行訪問。經防火墻路由的過濾后，從DMZ口流出到達目標服務器。服務器收到請求，回應數據包從防火墻的DMZ口流入。在DMZ口的In方向應用的訪問控制列表中添加允許響應包通過的規則。再經防火墻的路由選擇，從WAN口流出，到過發起訪問請求的主機。

2.防火墻冗余負載均衡

防火墻的冗余負載均衡主要是通過HSRP實現。如下圖所示。

對R1和R3做網關冗余，其中R1為192.168.10.0/24的主網關，R3為備份網關；相反，R1為192.168.11.0/24的備份網關，R3為主網關。

R1的g0/1的ip地址設為192.168.10.2/24，設置一個stanby 10組，虛擬ip為192.168.10.1，優先級為105，并且跟蹤s0/3/0和g0/1。

R1的g0/2的ip地址設為192.168.11.2/24，設置一個stanby 11組，虛擬ip為192.168.11.1，優先級為100，并且跟蹤s0/3/0和g0/2。

R1上的配置如下所示：

Int g0/1

Ip address 192.168.10.2 255.255.255.0

no shutdown

standby 10 ip 192.168.10.1

standby 10 pri 105

standby 10 pre

standby 10 trac s0/3/0

standby 10 trac g0/1

int g0/2

ip address 192.168.11.2 255.255.255.0

no shutdown

standby 11 ip 192.168.11.1

standby 11 pri 100

standby 11 pre

standby 11 trac s0/3/0

standby 11 trac g0/2

R3的配置與以上R1的配置類似。

SW4和SW5的g0/1劃分為vlan 10，都屬于access口；SW4和SW5的g0/2劃分為vlan 11，都屬于access口；在SW4上設置vlan10虛接口的ip地址為：192.168.10.4/24，vlan11虛接口的ip地址位：192.168.11.4/24；在SW5上設置vlan10虛接口的ip地址為192.168.10.5/24，vlan11虛接口的ip地址為192.168.11.5/24。

SW4上的配置如下所示：

Int g0/1

Switch mode access

Switch access vlan 10

Int g0/2

Switch mode access

Switch access vlan 11

exit

Int vlan 10

ip address 192.168.10.4 255.255.255.0

no shutdown

int vlan 11

ip address 192.168.11.4 255.255.255.0

no shutdown

SW5的配置與以上SW4的配置類似。

在SW4和SW5上分別設置去往外網的靜態路由和路由黑洞如下所示：

Ip route 0.0.0.0 0.0.0.0. 192.168.10.1

Ip route 0.0.0.0 0.0.0.0. 192.168.11.1

Ip route 192.168.0.0 255.255.0.0 null 0

在R1和R3上配置靜態路由：

在R1上的設置如下所示：

Ip route 0.0.0.0. 0.0.0.0 202.202.202.1

Ip route 192.168.0.0 255.255.0.0 192.168.10.4

Ip route 192.168.0.0 255.255.0.0 192.168.11.4

R3靜態路由的配置與R1相似。

參考文獻：

[1]張維.淺析負載均衡技術[J].計算機光盤軟件與應用，2012（8）：31.

[2]江玉儉.基于三層交換機做防火墻的校園網配置[J].技術創新論，1994-2012：173.