互联网和MPLS网络解决方案

客户要求:

1、总部和分支机构通过MPLS VPN互联。与此同时，总部和分支机构需要调整现有的防火墙，对访问互联网的数据做病毒过滤和IPS过滤。

2、一些分支机构有独立的互联网出口，需要对进入互联网出口的数据进行病毒过滤和IPS过滤。

3、有些分支没有独立的互联网出口，需要通过MPLS VPN将所有数据转发到总部，通过总部的Internet出口接入互联网。

部署概述:

1、总部采用路由方式部署防火墙，一条线路接入互联网，接入互联网线路的接口启用NAT另一条线路连接MPLS VPN的CE端路由器。

2、分公司1有CE路由器，同时提供Internet接入和MPLS VPN接入，内部部署防火墙，使其通过MPLS VPN接入总部资源，同时利用防火墙的反病毒、入侵防御等UTM特性，对接入互联网的流量进行病毒过滤和入侵防御。

3、分公司2没有自己独立的Internet出口，ISP的CE路由器只提供MPLS VPN接入，所以分公司2不仅需要通过MPLS VPN接入总部内网资源，同时需要MPLS VPN将接入互联网的流量转发到总部，通过总部的互联网出口接入互联网。同时需要使用防火墙的UTM功能对访问Internet数据进行病毒过滤和IPS过滤。

部署方案描述:

1、对于总部网络，因为是三层结构，所以很容易部署防火墙和MPLS VPN.对访问各个分支机构的流量转发至MPLS VPN的CE端路由器。通过防火墙的UTM功能实现Trust区域到Untrust等指定区域之间的病毒过滤和IPS过滤。

2、对于分支1和分支2的网络环境，根据分支使用的防火墙功能分析，需要非常规部署防火墙。

第一分支和第二分支的部署方案将在下面详细描述。

一分支网络环境如下:

（1）分公司1的ISP提供CE端路由器，同时提供MPLS VPN和互联网接入。

（2）分支机构使用的防火墙是低端机型，只能支持路由部署。同时，局域网-广域网方向的NAT功能被强制开启，无法关闭。病毒和IPS过滤只支持LAN-WAN方向。

（3）内部网是二层环境

为了实现MPLS VPN和1号分支的互联网接入，以及对Lan-Wan方向做AV，IPS过滤，采用以下方式部署防火墙

分公司2的网络环境如下:

（1）ISP提供的CE路由器只提供MPLS VPN接入。

（2）内部是二层环境，分支机构需要通过总部的互联网出口接入Internet。

（3）分支机构使用的防火墙是低端机型，只能支持路由部署。同时，局域网-广域网方向的NAT功能被强制开启，无法关闭。病毒过滤和IPS过滤只支持局域网-广域网方向。

为了实现分公司2的MPLS VPN接入和互联网接入流量的AV、IPS过滤，采用以下方式部署防火墙。

总结:

这个计划的复杂部分是分支机构的部署。如果分公司FW能支持透明部署，部署起来会很简单，哈哈。但由于分支防火墙只能支持路由部署，NAT强制开启不能关闭，且指定了病毒IPS过滤方向，只能非常规部署。同时，在CE端路由器中设置两个IP也有助于解决这个问题。同时，总部的资源限制了对源IP地址的访问，这就需要防火墙将流量正确的传递到指定的接口，不需要NAT的流量需要正确的传回到ce终端的IP1地址。同时对于分支访问MPLS VPN的流量是非对称的路径，数据从FW的Lan进入，由被路由从Lan流出到CE，CE回包时是直接通过交换机返回给PC的，因为是二层环境，所以是非对称路径。这种非对称的流量会被绝大多数主流的防火墙drop(juniper，fortigate等笔者测试过)，所以对于非对称路径的检测特性需要关闭，才能确保流量正确转发。最后就是总部防火墙的NAT，需要把分支来的数据正确进行NAT，已经回包，确保分支可以通过总部访问Internet。