互聯網和MPLS網絡解決方案

客戶要求:

1、總部和分支機構通過MPLS VPN互聯。與此😼同時，總部和分支機構需要調整現有的防火墻，對訪問互聯網的數據做病毒過濾和IPS過濾。

2、一些分支機構有獨立的互聯網出口，需要對進入互聯網出口的數據進行病毒過濾和IPS過濾。

3、有些分支沒有獨立的互聯網出口，需𝔍要通過MPLS VPN將所有數據轉發到𝓀總部，通過總部的Internet出口接入互聯網。

部署概述:

1、總部采用路由方式部署防火墻，一🍌條線路ꦓ接入互聯網，接入互聯網線路的接口啟用NAT另一條線路連接MPLS VPN的CE端路由器。

2、分公司1有CE路由器，同時提供Internet接入和MPLS VPN接入，內部部署防火墻，使其通過MPLS VPN接入總部資源，同時利用防火墻的🎉反病毒、入侵꧙防御等UTM特性，對接入互聯網的流量進行病毒過濾和入侵防御。

3、分公司2沒有自己獨立的Internet出口，ISP的CE路由器只提供MPLS VPN接入，所以分公司2不僅需要通過MPLS VPN接入總部內網資源💜，同時需要MPLS VPN將接入互聯網的流量轉發到總部，通過總部的互聯網出口接入互聯網。同時需要使用防火墻的UTM功能對訪問Internet數據進行病毒過濾和IPS過濾。

部署方案描述:

1、對于總部網絡，因為是三層結構，所以很容易部署防火墻和MPLS VPN.對訪問各個分支機構的流量轉發至𒊎MPLS VPN的CE端路由器。通過防火墻的UTM功能實現Trust區域到Untrust等指定區域之間的病毒過濾和IPS過濾。

2、對于分支1和分支2的網絡環境，根據分支使用的防火墻功能分析，需要非常規部署防火墻。

第一分支和第二分支的部署方案將在下面詳細描述。

一分支網絡環境如下:

（1）分公司1的ISP提供CE端路由器，同時提供MPLS VPN和互聯網接入。

（2）分支機構使用的防火墻是低端機型，只能支持路由部署。同時，局域網-廣域網方向的NAT功能被強制開啟，無法關閉。病毒和I🔯PS過濾只支持LAN-WAN方向。

（3）內部網是二層環境

為了實現MღPLS VPN和1號分支的互聯網接入，以及對La🍨n-Wan方向做AV，IPS過濾，采用以下方式部署防火墻

分公司2的網絡環境如下:

（1）ISP提供的CE路由器只提供MPLS VPN接入。

（2）內部是二層環境，分支機構需要通過總部的互聯網出口接入Internet。

（3）分支機構使用的防火墻是低꧂端機型，只能支持路由部署。同時，局🦂域網-廣域網方向的NAT功能被強制開啟，無法關閉。病毒過濾和IPS過濾只支持局域網-廣域網方向。

為了實現分公司2的MPLS VPN接入和互聯網接入流量的AV、IPS過濾，采用以下方式部署防火墻。

總結:

這個計劃的復雜部分是分支機構的部署。如果分公司FW能支持透明部署，部署起來會很簡單，哈哈。但由于分支防火墻只能支持路由部署，NAT強制開啟不能關閉，且指定了病毒IPS過濾方向，只能非常規部署。同時，在CE端路由器中設置兩個IP也有助于解決這個問題。同時，總部的資源限制了對源IP地址的訪問，這就需要防火墻將流量正確的傳遞到指定的接口，不需要NAT的流量需要正確的傳回到ce終端的IP1地址。同時對于分支訪問MPLS 𒁃VPN的流量是非對稱的路徑，數據從FW的Lan進入，由被路由從Lan流出到CE，CE回包時是直接通過交換機返回給PC的，因為是二層環境，所以是非對稱路徑。這種非對稱的流量會被絕大多數主流的防火墻drop(juniper，fortigate等筆者測試過)，所以對于非對稱路徑的檢測特性需要關閉，才能確保流量正確轉發。最后就是總部防火墻的NAT，需要把分支來的數據正確進行NAT，已經回包，確保分支可以通過總部訪問Internet。