當(dāng)前位置:
首頁>
技術(shù)交流>證券公司網(wǎng)絡(luò)災(zāi)備解決方案
證券公司網(wǎng)絡(luò)災(zāi)備解決方案
一��、網(wǎng)絡(luò)需求介紹
深圳某知名證券公司現(xiàn)擬在北京建設(shè)一個災(zāi)備站點(自主建設(shè)機房或IDC托管�����,初定出口帶寬為100M)�。本項目的投入將實現(xiàn)兩項功能���,一是主站點與災(zāi)備站點的全局流量負(fù)載均衡���;二是災(zāi)備站點所需的一些網(wǎng)絡(luò)設(shè)備。災(zāi)備站點日常負(fù)責(zé)分流主站點小部分流量����,在主站點發(fā)生故障時��,能完全接管主站點的流量��。主站點與災(zāi)備站點之間�,有MSTP專線進(jìn)行互聯(lián)(初定帶寬為4M)��。
二�、規(guī)劃原則
- 與公司現(xiàn)有的主要網(wǎng)絡(luò)設(shè)備兼容性
- 考慮該公司深圳站點的特殊結(jié)構(gòu),即電信網(wǎng)通雙線路的情況
- 最大限度的保持現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)�����,避免現(xiàn)有設(shè)備的更換
三�����、深圳站點的連接方式
在深圳站點�,我們會部署兩臺F5的1500GTM設(shè)備,分別對應(yīng)兩個運營商的線路��。同時�����,停用現(xiàn)有的linkproof ASII設(shè)備。
兩臺1500GTM都部署在防火墻的Inside區(qū)域����,分配的地址為,192.168.3.1和192.168.3.2��,另外���,在防火墻上要對這兩個地址分別轉(zhuǎn)換成兩個運營商的公網(wǎng)ip,并且在防火墻上開通訪問這兩個地址的53端口(TCP AND UDP)��。
對應(yīng)關(guān)系如下:192.168.3.1 nat 59.40.185.1 (映射成電信的IP)��,nat 210.22.25.193(映射成網(wǎng)通的IP)
四��、北京站點連接方式
在北京站點�����,部署1臺F5的1500GTM設(shè)備���,對應(yīng)一個運營商的線路�。設(shè)備建議部署在防火墻的inside區(qū)域,分配的地址為:172.16.30.1(假設(shè)地址)�。在防火墻上對這個IP地址進(jìn)行地址轉(zhuǎn)換,并開通所有外網(wǎng)地址對這個地址的53端口訪問的策略�����。
對應(yīng)關(guān)系如下:172.16.30.1 nat 222.10.10.10
五�����、DNS更改
因為之前在深圳站點已經(jīng)采用了linkproof ASII對單個站點的兩條線路進(jìn)行了智能DNS解析����,所以,還可以繼續(xù)采用原有的CNAME和NS機制����,只需要在NS記錄上添加背景站點的地址即可。
六�����、深圳站點雙線路解決方法
我們在深圳站點分別部署了兩臺bigip 1500GTM全局負(fù)載均衡設(shè)備��,這兩臺設(shè)備分別代表了不同的運營商線路����。其中����,這兩臺設(shè)備采用F5專有的iquery協(xié)議相互通訊����,當(dāng)任意一臺設(shè)備接收到來自LDNS的DNS查詢以后,會根據(jù)預(yù)先定義的一系列策略來確定從哪條線路訪問的速度最快�����,并將對應(yīng)線路的運營商IP返回給LDNS����。
七�、用戶訪問流程
用戶在發(fā)起對特定域名服務(wù)的訪問
向本地DNS請求對該域名的解析
本地DNS將請求發(fā)到網(wǎng)站的主DNS,接著���,主DNS再將域名解析請求轉(zhuǎn)發(fā)到GTM
GTM根據(jù)一系列的策略確定當(dāng)時最適當(dāng)?shù)木路節(jié)點���,并將解析的結(jié)果(IP地址)發(fā)給用戶的本地DNS
本地DNS將GTM的解析結(jié)果還給用戶
用戶向給定的站點線路請求相應(yīng)的內(nèi)容
站點中的服務(wù)器負(fù)責(zé)響應(yīng)用戶的請求,提供所需的內(nèi)容
八���、北京災(zāi)備ASA5550外網(wǎng)防火墻
定義兩個安全級別區(qū)域��,即inside和outside區(qū)域�,訪問級別使用默認(rèn)級別,分別為100和0�,
配置默認(rèn)路由及相應(yīng)的內(nèi)網(wǎng)路由(或使用動態(tài)路由,如果內(nèi)網(wǎng)有運行動態(tài))���,配合F5 BigIP使用����,在防火墻上做靜態(tài)一對一轉(zhuǎn)換�����,將默認(rèn)運營商網(wǎng)關(guān)轉(zhuǎn)到BigIP上��,同時放開tcp和udp port53號端口���,用于dns通信之用�。內(nèi)網(wǎng)通往外網(wǎng)需要做一些條目的nat和global�����。
九、北京災(zāi)備ASA5520內(nèi)網(wǎng)防火墻
同樣定義兩個安全級別區(qū)域���,即inside和outside區(qū)域�,訪問級別使用也使用默認(rèn)級別���,分別為100和0�����,可根據(jù)明細(xì)路由配置或配置默認(rèn)路由�,同樣配合F5 BigIP做相應(yīng)的策略放行���,同時放開tcp和udp 53端口�����。由于是內(nèi)網(wǎng)防火墻,推薦使用nat 0方式進(jìn)行轉(zhuǎn)換��,不做刻意的nat表項��,僅通過策略控制相應(yīng)的訪問即可����。
十���、其他
MPLS專路cisco2811路由器配置相應(yīng)的靜態(tài)或動態(tài)路由即可。做純路由模式����,不啟用nat及acl等功能。各部cisco交換機�����。做簡單接改交換機�����,配置管理vlan即可��。
