證券公司網絡災備解決方案
一���、網絡需求介紹
深圳某知名證券公司現擬在北京建設一個災備站點(自主建設機房或IDC托管���,初定出口帶寬為100M)。本項目的投入將實現兩項功能�����,一是主站點與災備站點的全局流量負載均衡����;二是災備站點所需的一些網絡設備�����。災備站點日常負責分流主站點小部分流量�����,在主站點發(fā)生故障時�,能完全接管主站點的流量����。主站點與災備站點之間,有MSTP專線進行互聯(初定帶寬為4M)�����。
二、規(guī)劃原則
- 與公司現有的主要網絡設備兼容性
- 考慮該公司深圳站點的特殊結構�����,即電信網通雙線路的情況
- 最大限度的保持現有網絡結構�����,避免現有設備的更換
三���、深圳站點的連接方式
在深圳站點,我們會部署兩臺F5的1500GTM設備����,分別對應兩個運營商的線路����。同時,停用現有的linkproof ASII設備�。
兩臺1500GTM都部署在防火墻的Inside區(qū)域,分配的地址為����,192.168.3.1和192.168.3.2,另外�,在防火墻上要對這兩個地址分別轉換成兩個運營商的公網ip����,并且在防火墻上開通訪問這兩個地址的53端口(TCP AND UDP)。
對應關系如下:192.168.3.1 nat 59.40.185.1 (映射成電信的IP)�����,nat 210.22.25.193(映射成網通的IP)
四���、北京站點連接方式
在北京站點�,部署1臺F5的1500GTM設備�����,對應一個運營商的線路�����。設備建議部署在防火墻的inside區(qū)域�����,分配的地址為:172.16.30.1(假設地址)�。在防火墻上對這個IP地址進行地址轉換,并開通所有外網地址對這個地址的53端口訪問的策略��。
對應關系如下:172.16.30.1 nat 222.10.10.10
五��、DNS更改
因為之前在深圳站點已經采用了linkproof ASII對單個站點的兩條線路進行了智能DNS解析���,所以,還可以繼續(xù)采用原有的CNAME和NS機制�,只需要在NS記錄上添加背景站點的地址即可。
六���、深圳站點雙線路解決方法
我們在深圳站點分別部署了兩臺bigip 1500GTM全局負載均衡設備��,這兩臺設備分別代表了不同的運營商線路���。其中�����,這兩臺設備采用F5專有的iquery協(xié)議相互通訊,當任意一臺設備接收到來自LDNS的DNS查詢以后����,會根據預先定義的一系列策略來確定從哪條線路訪問的速度最快,并將對應線路的運營商IP返回給LDNS�����。
七��、用戶訪問流程
用戶在發(fā)起對特定域名服務的訪問
向本地DNS請求對該域名的解析
本地DNS將請求發(fā)到網站的主DNS��,接著��,主DNS再將域名解析請求轉發(fā)到GTM
GTM根據一系列的策略確定當時最適當的線路節(jié)點�����,并將解析的結果(IP地址)發(fā)給用戶的本地DNS
本地DNS將GTM的解析結果還給用戶
用戶向給定的站點線路請求相應的內容
站點中的服務器負責響應用戶的請求����,提供所需的內容
八����、北京災備ASA5550外網防火墻
定義兩個安全級別區(qū)域����,即inside和outside區(qū)域�,訪問級別使用默認級別,分別為100和0���,
配置默認路由及相應的內網路由(或使用動態(tài)路由�,如果內網有運行動態(tài))�����,配合F5 BigIP使用�,在防火墻上做靜態(tài)一對一轉換,將默認運營商網關轉到BigIP上����,同時放開tcp和udp port53號端口,用于dns通信之用��。內網通往外網需要做一些條目的nat和global�。
九、北京災備ASA5520內網防火墻
同樣定義兩個安全級別區(qū)域�,即inside和outside區(qū)域��,訪問級別使用也使用默認級別,分別為100和0���,可根據明細路由配置或配置默認路由�,同樣配合F5 BigIP做相應的策略放行���,同時放開tcp和udp 53端口�。由于是內網防火墻�����,推薦使用nat 0方式進行轉換��,不做刻意的nat表項�����,僅通過策略控制相應的訪問即可��。
十��、其他
MPLS專路cisco2811路由器配置相應的靜態(tài)或動態(tài)路由即可�。做純路由模式����,不啟用nat及acl等功能�����。各部cisco交換機�����。做簡單接改交換機�,配置管理vlan即可。
