當(dāng)前位置:
首頁>
技術(shù)交流>證券公司網(wǎng)絡(luò)災(zāi)備解決方案
證券公司網(wǎng)絡(luò)災(zāi)備解決方案
一���、網(wǎng)絡(luò)需求介紹
深圳某知名證券公司現(xiàn)擬在北京建設(shè)一個(gè)災(zāi)備站點(diǎn)(自主建設(shè)機(jī)房或IDC托管����,初定出口帶寬為100M)�����。本項(xiàng)目的投入將實(shí)現(xiàn)兩項(xiàng)功能�����,一是主站點(diǎn)與災(zāi)備站點(diǎn)的全局流量負(fù)載均衡���;二是災(zāi)備站點(diǎn)所需的一些網(wǎng)絡(luò)設(shè)備。災(zāi)備站點(diǎn)日常負(fù)責(zé)分流主站點(diǎn)小部分流量����,在主站點(diǎn)發(fā)生故障時(shí)��,能完全接管主站點(diǎn)的流量。主站點(diǎn)與災(zāi)備站點(diǎn)之間����,有MSTP專線進(jìn)行互聯(lián)(初定帶寬為4M)。
二�、規(guī)劃原則
- 與公司現(xiàn)有的主要網(wǎng)絡(luò)設(shè)備兼容性
- 考慮該公司深圳站點(diǎn)的特殊結(jié)構(gòu),即電信網(wǎng)通雙線路的情況
- 最大限度的保持現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)���,避免現(xiàn)有設(shè)備的更換
三��、深圳站點(diǎn)的連接方式
在深圳站點(diǎn)�,我們會(huì)部署兩臺(tái)F5的1500GTM設(shè)備����,分別對(duì)應(yīng)兩個(gè)運(yùn)營(yíng)商的線路。同時(shí)����,停用現(xiàn)有的linkproof ASII設(shè)備�。
兩臺(tái)1500GTM都部署在防火墻的Inside區(qū)域,分配的地址為����,192.168.3.1和192.168.3.2�,另外�,在防火墻上要對(duì)這兩個(gè)地址分別轉(zhuǎn)換成兩個(gè)運(yùn)營(yíng)商的公網(wǎng)ip,并且在防火墻上開通訪問這兩個(gè)地址的53端口(TCP AND UDP)��。
對(duì)應(yīng)關(guān)系如下:192.168.3.1 nat 59.40.185.1 (映射成電信的IP)�,nat 210.22.25.193(映射成網(wǎng)通的IP)
四、北京站點(diǎn)連接方式
在北京站點(diǎn)���,部署1臺(tái)F5的1500GTM設(shè)備�,對(duì)應(yīng)一個(gè)運(yùn)營(yíng)商的線路�����。設(shè)備建議部署在防火墻的inside區(qū)域,分配的地址為:172.16.30.1(假設(shè)地址)���。在防火墻上對(duì)這個(gè)IP地址進(jìn)行地址轉(zhuǎn)換�,并開通所有外網(wǎng)地址對(duì)這個(gè)地址的53端口訪問的策略�����。
對(duì)應(yīng)關(guān)系如下:172.16.30.1 nat 222.10.10.10
五�����、DNS更改
因?yàn)橹霸谏钲谡军c(diǎn)已經(jīng)采用了linkproof ASII對(duì)單個(gè)站點(diǎn)的兩條線路進(jìn)行了智能DNS解析,所以��,還可以繼續(xù)采用原有的CNAME和NS機(jī)制����,只需要在NS記錄上添加背景站點(diǎn)的地址即可。
六�����、深圳站點(diǎn)雙線路解決方法
我們?cè)谏钲谡军c(diǎn)分別部署了兩臺(tái)bigip 1500GTM全局負(fù)載均衡設(shè)備�,這兩臺(tái)設(shè)備分別代表了不同的運(yùn)營(yíng)商線路。其中����,這兩臺(tái)設(shè)備采用F5專有的iquery協(xié)議相互通訊���,當(dāng)任意一臺(tái)設(shè)備接收到來自LDNS的DNS查詢以后�����,會(huì)根據(jù)預(yù)先定義的一系列策略來確定從哪條線路訪問的速度最快���,并將對(duì)應(yīng)線路的運(yùn)營(yíng)商IP返回給LDNS����。
七��、用戶訪問流程
用戶在發(fā)起對(duì)特定域名服務(wù)的訪問
向本地DNS請(qǐng)求對(duì)該域名的解析
本地DNS將請(qǐng)求發(fā)到網(wǎng)站的主DNS�,接著,主DNS再將域名解析請(qǐng)求轉(zhuǎn)發(fā)到GTM
GTM根據(jù)一系列的策略確定當(dāng)時(shí)最適當(dāng)?shù)木路節(jié)點(diǎn)���,并將解析的結(jié)果(IP地址)發(fā)給用戶的本地DNS
本地DNS將GTM的解析結(jié)果還給用戶
用戶向給定的站點(diǎn)線路請(qǐng)求相應(yīng)的內(nèi)容
站點(diǎn)中的服務(wù)器負(fù)責(zé)響應(yīng)用戶的請(qǐng)求�,提供所需的內(nèi)容
八���、北京災(zāi)備ASA5550外網(wǎng)防火墻
定義兩個(gè)安全級(jí)別區(qū)域���,即inside和outside區(qū)域,訪問級(jí)別使用默認(rèn)級(jí)別���,分別為100和0�,
配置默認(rèn)路由及相應(yīng)的內(nèi)網(wǎng)路由(或使用動(dòng)態(tài)路由,如果內(nèi)網(wǎng)有運(yùn)行動(dòng)態(tài))���,配合F5 BigIP使用�����,在防火墻上做靜態(tài)一對(duì)一轉(zhuǎn)換���,將默認(rèn)運(yùn)營(yíng)商網(wǎng)關(guān)轉(zhuǎn)到BigIP上��,同時(shí)放開tcp和udp port53號(hào)端口�,用于dns通信之用�����。內(nèi)網(wǎng)通往外網(wǎng)需要做一些條目的nat和global��。
九�、北京災(zāi)備ASA5520內(nèi)網(wǎng)防火墻
同樣定義兩個(gè)安全級(jí)別區(qū)域,即inside和outside區(qū)域�,訪問級(jí)別使用也使用默認(rèn)級(jí)別,分別為100和0�����,可根據(jù)明細(xì)路由配置或配置默認(rèn)路由����,同樣配合F5 BigIP做相應(yīng)的策略放行,同時(shí)放開tcp和udp 53端口�����。由于是內(nèi)網(wǎng)防火墻�,推薦使用nat 0方式進(jìn)行轉(zhuǎn)換,不做刻意的nat表項(xiàng)�,僅通過策略控制相應(yīng)的訪問即可。
十��、其他
MPLS專路cisco2811路由器配置相應(yīng)的靜態(tài)或動(dòng)態(tài)路由即可�。做純路由模式,不啟用nat及acl等功能�����。各部cisco交換機(jī)����。做簡(jiǎn)單接改交換機(jī),配置管理vlan即可�����。
