NSX Advanced Load Balancer 应用程序为应用程序提供了多个优势。为了将优势扩展到网络防火墙,可将防火墙夹在负载均衡器 (SE) 之间。在很多变体中可以使用负载均衡器来部署此解决方案。这可以使用通配符 VIP 功能和路由自动网关实现此目的。

拓扑

常见的防火墙三明治拓扑如下所示:



在上图中,

  • SE 1 充当使用通配符 VIP 部署的负载均衡器,而 SE 2 充当启用了路由自动网关的路由器。此外,SE 1 和 SE 2 还是在传统 HA 模式下部署的不同 SE 组的活动 SE。

  • SE1 是使用通配符 VIP 部署的,并且流量将通过防火墙进行负载均衡。由于防火墙需要客户端流量在验证时保持不变,因此必须为通配符虚拟服务的应用程序配置文件配置 preserve_client_ippreserve_client_portpreserve_destination_ip_port

穿过防火墙三明治的基本流量传输

下面介绍了从 Internet World Wide Web (www) 到企业网络内部服务器的基本流量传输。



穿过部署的防火墙三明治拓扑的流量传输如下所述:

  • SE 1 是在防火墙之前引入的,用于对跨防火墙的流量进行负载均衡。上图中的橙色流程表示到防火墙的客户端流量负载均衡。

  • 通过防火墙策略的流量现在传播到 SE 2。

  • 从 SE 2,由于我们启用了具有自动网关功能的路由,因此流量将路由到记住 Firewall1 的内部网络。紫色流程表示路由流量。

  • 来自内部网络的流量通过充当路由器的 SE 2。SE 2 具有自动网关功能,可确保将流量重定向到作为流量传播源的防火墙。

  • 防火墙将相同的流量重定向到 SE 1。

  • 从 SE 1,流量通过企业网络实现出站。

防火墙三明治拓扑改进了以下方面:

  • 防火墙的可用性

  • 防火墙流量的可扩展性

  • 故障切换或维护期间的可管理性

用例

可以从通配符 VIP 和路由自动网关的配置派生防火墙三明治模型的许多组合。以下是可以使用通配符 VIP 和自动网关功能部署的防火墙三明治拓扑的一些用例:

  • 部署场景 1

    客户端可以在 SE 1 上配置通配符 VIP,以仅将 40% 的流量负载均衡到 FW。其余 60% 的流量直接路由到 SE-2,在 SE-2 中,使用自动网关功能将流量路由到 SE 1,然后通过 SE 1 到达客户端。

    注:

    SE-1 和 SE-2 是在传统 HA 模式下部署的不同 SE 组的活动 SE。



    在此用例中,防火墙会检查一个流量样例,然后将其余流量视为可信流量并直接路由到内部网络。

  • 部署场景 2

    将 SE-1 部署为通配符虚拟服务负载均衡器,将 SE-2 作为应用程序负载均衡器。



    • SE 1 充当安装了通配符 VIP 的网络负载均衡器。SE1 会选择一个防火墙并将流量转发到该防火墙,然后通过该防火墙将流量发送到充当应用程序负载均衡器的 SE 2。

    • 应用程序虚拟服务选择流量并将其负载均衡到内部网络。

    • 在 SE 收到来自应用程序服务器的响应时,会将流量传播到其来自的同一个 FW。

    • 然后,流量会到达 SE 1 并进一步到达客户端。

    • 60% 的流量将直接从 SE 1 移动到 SE 2。将在此处对流量进行负载均衡,并重定向到 SE 1。然后,流量将传播到客户端。

开放式防火墙三明治拓扑

此拓扑也称为“单臂防火墙”。在此拓扑中,单个 SE 1 托管通配符 VIP 并充当路由器。这里,SE 具有一个三臂设置:

  • 一个臂连接到 Internet(接口 1)

  • 一个臂连接到 FW 1、FW 2 和 FW 3(接口 2)

  • 一个臂连接到内部网络(接口 3)



  • 来自北向的流量到达 SE 的接口 1。它与通配符虚拟服务相匹配,并选择其中一个 FW。SE 充当 FW 的默认网关。相同的流量从 FW 转发到 SE。通配符 VIP 仅放置在接口 1 上。因此,流量将作为路由流转发到内部网络。

  • 流量返回后,流量条目将进行匹配,并且流量将返回到流量传播自的同一个 FW。从 FW 1,根据作为通配符 VIP 的一部分安装的反向流条目,流量流向客户端。

  • 通配符 VIP 可以具有不同服务,如 *, 80 和 *, 8080。如果流量与 *, 8080 匹配,则会以透明方式将流量转发到内部网络,并且返回流量将直接路由到客户端。

  • 部分流量与通配符 VIP 匹配,并且通过内部网络进行负载均衡。与通配符 VIP 不匹配的流量是路由流的一部分。

防火墙三明治拓扑详情

在此拓扑中,Tier-1 SE 组的 SE 1 配置了通配符 VIP。Tier-2 SE 组的 SE 2 部署为具有自动网关功能的 L3 路由器。通配符 VIP 和自动网关功能的配置如下所示:



在 VS-1 中,将 / 配置为通配符 VIP,将 FW 1、FW 2 和 FW 3 配置为池成员。这是此三明治拓扑的每个元素中的网络配置。

从 Internet 到防火墙三明治中内部服务器的流量传输

客户端从 10.10.1.2 启动到服务器的流量。流量从北向南遍历,下面详细介绍了示例流量条目,如图中所示:



  • 步骤 1:流量到达 SE 1 并匹配静态路由。由于它是内部网络,因此下一跃点为 10.2.0.2,这是 SE 1 的浮动接口 IP。

  • 步骤 2:SE 1 中的流量与 VS-1 (/) 匹配。流量与通配符 VS-1 匹配,然后选择 FW-1,并将流量以透明方式转发到 FW 1,而不使用 SNAT 或 DNAT。

  • 步骤 3:FW 1 根据 FW 层中配置的路由将此数据包传送到 SE 2。

  • 步骤 4:将 SE 2 部署为具有自动网关功能的 L3 路由器。流量与具有 enable_auto_gateway 功能的路由服务相匹配。它会在 SE 中安装流量条目。

FW 1 MAC 缓存在后端流条目中。在返回路径中将使用此信息。返回方向的流量必须穿过流量来自的同一个防火墙。

防火墙三明治中从内部服务器到 Internet 的返回流量传输

从服务器到客户端的流量传输如下所示:



  • 步骤 5:流量到达配置为默认网关的 SE 2。

  • 步骤 6:SE 2 是默认网关。在流量到达 SE 2 时,它将匹配反向流量条目,然后根据缓存的自动网关 Mac 将流量转发到 FW 1。

  • 步骤 7:FW 1 将流量返回到 SE 1。

  • 步骤 8:通配符的反向流量条目将进行匹配,并且将与负载均衡流中的通配符 VS 的反向流条目相匹配,然后流量返回到客户端。