圖1 UTM雙機熱備模式部署圖

1、UTM雙機熱備的總體部署情況。

如圖1所示，網(wǎng)絡的核心層和接入層分別使用了兩臺Cisco 4506和兩臺Cisco 3560交換機，在Cisco 3560上接入有多個用戶組，根據(jù)用戶組所屬部門的不同把他們劃入到不同的VLAN中。在Cisco 4506和Cisco 3750之間接入了兩臺聯(lián)想Power V UTM。兩臺Cisco 4506之間和兩臺Cisco 3560之間都是Trunk連接。設備間的連接情況如下所示：

Cisco 4506A GigabitEthernet6/1 <—-> UTM-A Port 1 Cisco 4506B GigabitEthernet6/1 <—-> UTM-B Port 1 Cisco 3560A GigabitEthernet1/0/1 <—-> UTM-A Port 2 Cisco 3560B GigabitEthernet1/0/1 <—-> UTM-B Port 2 UTM-A Port 10 <—-> UTM-B Port 10

聯(lián)想Power V UTM設備支持在路由和透明模式下的主備和主主模式的高可用性配置，但它不支持全冗余的連接模式。在圖1中，UTM工作于路由模式，HA監(jiān)控Port 1和Port 2兩個接口。兩個UTM使用Port 10接口作為HA的心跳線接口。

兩臺Cisco 4506之間使用了思科專有協(xié)議HSRP，這樣當任意一臺4506故障，并不會影響網(wǎng)絡中每個用戶組對網(wǎng)絡的正常訪問。例如現(xiàn)在圖1中，兩臺Cisco 4506因為使用HSRP協(xié)議，4506B處于備用狀態(tài)，而4506A處于活動狀態(tài)，也就是說Cisco 4506A具有三層路由功能，而4506B只有二層交換功能，不具備路由功能。

如果Cisco 4506A因為某種原因發(fā)生故障，整個交換機宕掉，因為HSRP協(xié)議的作用，Cisco 4506B馬上會啟用它自身的三層路由功能，從而接管4506A上的各種功能。若這時處于活動狀態(tài)的UTM是UTM-A，因為4506A已經宕機，UTM-A就能監(jiān)控到它上面的Port 1端口上已經沒有數(shù)據(jù)，又因為HA一直監(jiān)控Port 1和Port 2，所以這時HA就會啟用UTM-B，讓它由備用狀態(tài)變?yōu)榛顒訝顟B(tài)，而UTM-A由活動狀態(tài)變?yōu)閭溆脿顟B(tài)。這時連接到3560交換機上的用戶組，原來訪問核心交換機的數(shù)據(jù)都是通過UTM-A傳輸?shù)?，現(xiàn)在都改成通過UTM-B再傳輸?shù)胶诵慕粨Q機。所以說圖1中的配置模式，無論是核心交換機，或是UTM中的任意一臺發(fā)生故障都不會影響到全網(wǎng)用戶對網(wǎng)絡的正常訪問。Cisco 3560因為是接入層交換機，所以對它的可靠性要求不是很高，若其中的一臺故障的話只會影響到很少一部分用戶，所以Cisco 3560沒有配置成負載均衡，或者是雙機熱備的模式。

在部署UTM雙機熱備模式時需要注意：雙機熱備中的UTM，必須是相同型號和相同軟件版本的UTM才可以作雙機熱備;主主模式(Active- Active)的雙機熱備，支持對TCP會話的負載均衡;在雙機熱備的具體配置中，不要使用主設備的搶占模式。因為主UTM往往能搶占成功，但主UTM中的防火墻卻不搶占，所以應用主設備搶占模式往往會導致UTM在功能應用上的混亂。

2、UTM雙機熱備的配置步驟。

(1)網(wǎng)絡接口配置。因為在圖1的部署模式中，兩臺UTM就相當于一臺路由器，所以可以在UTM的WEB管理界面中的"系統(tǒng)管理"—>"網(wǎng)絡"—>"接口"中，把Port 1和Port 2兩個端口配置到不同的網(wǎng)段中，Port 1的IP地址為172.16.2.1，子網(wǎng)掩碼為255.255.255.0，Port 2的IP地址為172.16.3.1，子網(wǎng)掩碼為255.255.255.0。這時Port 1就位于網(wǎng)絡172.16.2.0/24中，而Port 2就位于網(wǎng)絡172.16.3.0/24中。

同時，接入到Cisco 3560上的用戶組IP地址也都可以劃入到網(wǎng)絡172.16.3.0/24中。這樣只需要在UTM上配置172.16.2.0/24和 172.16.3.0/24兩個網(wǎng)絡可以互相訪問的路由，就可以實現(xiàn)3560上的用戶組對核心交換機的正常訪問。Port 10接口作為UTM設備的心跳線接口，可以不配置IP地址。

圖2 部署UTM的三種模式

(2)HA參數(shù)的具體配置?？梢栽赨TM的WEB管理界面的"系統(tǒng)管理"—>"配置"—>"高可靠性"中對HA參數(shù)進行具體的配置。如圖2所示，"高可靠性"的模式可以有三種選擇，"單獨"、"主動-被動"和"主動-主動"。在本例中選擇"主動-被動"的模式，也就是雙機熱備的工作模式。其它參數(shù)的配置如圖3所示。

設備優(yōu)先級：缺省為128，優(yōu)先級的值越高設備被選擇為主設備的機會越大，可以根據(jù)實際的網(wǎng)絡環(huán)境確定是否需要確定首選主設備。圖中還有"虛擬集群"的選項，這也是聯(lián)想Power V UTM上的一種功能，可以把一臺物理UTM設備虛擬成兩臺獨立的邏輯UTM設備來使用，這將在第"二"點中進行詳細介紹。

圖3 UTM雙機熱備HA參數(shù)的配置

密碼：為HA同步的通訊密碼，兩臺UTM設備必須設置相同的密碼。

端口監(jiān)控：為UTM設備檢測端口，當該端口down時，設備切換。注意在沒有完成雙機協(xié)商前，不要配置"端口監(jiān)控"。待設備完成雙機同步后再配置"端口監(jiān)控"。

心跳線接口：為HA設備的雙機熱備接口，填寫數(shù)值的接口表示該接口支持雙機熱備，數(shù)值大的為主心跳接口。

(3)互連兩臺UTM設備。用一根直通網(wǎng)線，也就是一根兩端線序一樣的雙絞線，連接兩個UTM設備的Port 10端口，并要保證雙機線的暢通。UTM設備在進行雙機熱備工作時，只有主設備可以被管理，而且所有的配置均在主設備上完成，它會把配置自動同步到備用設備上。

(4)創(chuàng)建安全訪問策略。也就是在UTM的WEB管理界面中的"防火墻"中配置將要在網(wǎng)絡中應用的安全策略。例如，可以在"防火墻"中配置禁止連接在Cisco 3560上的某個VLAN中的用戶訪問核心交換機上的數(shù)據(jù)。同時，所有在主UTM上配置的策略會自動在兩臺設備上同步。

(5)雙機熱備的切換測試。若拔出接在UTM-A設備Port 1或Port 2上的網(wǎng)線，正常情況下活動的UTM設備就會切換到UTM-B上。然后重新訪問UTM設備的管理IP地址，就可以觀察到主、從UTM設備的切換情況。如果想要管理雙機熱備中的從UTM設備，就只能通過CLI，命令行的方式進行管理。先要登錄到主設備上，然后再在主設備的CLI下對從設備的UTM進行管理。

3、小結。

(1)UTM HA集群。集群是由兩臺或更多的UTM設備組成一個HA集群。對于網(wǎng)絡而言，HA集群可以對外界表現(xiàn)為單個UTM處理網(wǎng)絡數(shù)據(jù)傳輸并提供常規(guī)的安全服務，如防火墻功能、VPN、IPS、病毒檢測、web過濾和垃圾郵件過濾服務。

在HA集群中，單個的UTM設備稱作為一個群集UTM。這些UTM共享安全策略與配置信息。如果一個群集UTM發(fā)生故障，集群中的其它UTM自動替換故障的UTM，承擔該UTM所做的工作。群集將繼續(xù)處理網(wǎng)絡數(shù)據(jù)傳輸，并不間斷提供網(wǎng)絡安全服務。HA集群包括一臺主要的群集UTM，也稱為主 UTM，與一臺或更多的從屬群集UTM，也稱從屬UTM。主UTM控制著整個群集的操作，根據(jù)群集的操作模式，主UTM發(fā)揮著不同的作用。

HA集群在發(fā)生故障后仍能夠繼續(xù)提供UTM功能的特性稱作故障轉移。UTM HA故障轉移意味著你的網(wǎng)絡不需要依賴一臺UTM提供服務，可以安裝額外的UTM組成一個HA集群。HA集群的另一個功能是負載均衡，該功能可以提高網(wǎng)絡的使用效率。UTM群集通過分擔處理網(wǎng)絡流量并提供安全服務增強整個網(wǎng)絡的性能。在網(wǎng)絡中，群集可以作為單一UTM，不需要更改網(wǎng)絡配置便可以增強網(wǎng)絡的使用效率。

(2)UTM HA模式。聯(lián)想POWER V UTM防火墻能夠配置運行于"主動-被動(A-P)"，或"主動-主動(A-A)"模式。"主-主"和"主-被"模式群集都能夠運行于UTM的NAT/路由或是透明工作模式。"主動-被動(A-P)"模式集群，是由一臺處理網(wǎng)絡流量的主UTM以及一臺或多臺從屬UTM組成。從屬UTM，和主UTM連接，但并不處理數(shù)據(jù)傳輸。"主動-主動(A-A)"模式負載平衡所有群集UTM的網(wǎng)絡流量。一個主動-主動HA群集由一臺處理數(shù)據(jù)傳輸?shù)闹鱑TM以及一臺或多臺也同樣進行數(shù)據(jù)傳輸處理的從屬UTM組成。主UTM使用負載平衡策略分布并平衡HA群集中所有UTM的流量處理。

二、UTM虛擬域功能的應用

圖4 使用UTM虛擬域功能前外網(wǎng)圖示

1、使用UTM虛擬域前的網(wǎng)絡部署情況。

單位在部署使用UTM虛擬域功能之前，有兩個相互獨立的網(wǎng)絡，外網(wǎng)和專用網(wǎng)，網(wǎng)絡部署圖如圖4和圖5所示。兩個網(wǎng)絡共使用了三臺聯(lián)想Power V UTM，外網(wǎng)中兩臺，專用網(wǎng)中一臺。

圖5 使用UTM虛擬域功能前專用網(wǎng)圖示

Power V UTM工作模式共有兩種，NAT/路由模式和透明模式，如圖6所示。外網(wǎng)兩臺UTM部署的是雙機熱備，工作模式是NAT/路由模式，具有路由功能，也就是 UTM同時也相當于一臺路由器，能學習路由，轉發(fā)數(shù)據(jù)包，本身作為三層設備參與到用戶環(huán)境中，可以控制多個VLAN之間的數(shù)據(jù)包流，對收到的數(shù)據(jù)包，能根據(jù)其目的IP地址進行轉發(fā)。NAT/路由模式還支持UTM設備與802.1Q交換機、路由器之間創(chuàng)建VLAN Trunk，提高了用戶對設備配置的靈活性。在圖4中的UTM1和UTM2之間還有直接相連的心跳線，圖示為了簡潔沒有畫出。心跳線的作用是為了實現(xiàn)兩臺 UTM設備的雙機熱備功能。在運行中主UTM會將狀態(tài)信息、NAT信息備份到備用UTM中，若發(fā)生切換，備用UTM會保存完整的NAT轉換信息，從而不會導致用戶訪問網(wǎng)絡數(shù)據(jù)的中斷。

圖6 UTM的兩種工作模式

在圖4的邏輯拓撲圖中，UTM1和UTM2分別與兩臺Cisco 4510的連接，圖中只畫出了一條連接線。在實際的部署中，每一臺UTM和Cisco 4510的連接都有兩根連接線。例如UTM1的Port 1、Port 2分別和Cisco 4510A的Gi6/1、GI6/2相連，其中Port 1和Gi6/1都是Trunk口，也就是二層端口，端口上都沒有配置IP地址，它們之間屬于Trunk連接。但在Port 1下可以配置多個三層的VLAN子接口，同時在這些子接口上也可以配置相應的IP地址。而Port 2是屬于三層端口，它上面也配置了IP地址，Cisco 4510的Gi6/2端口，可以劃入到4510A上的某個VLAN中。這樣配置后，Port 1下面的多個三層VLAN子接口，就可以和Port 2的三層端口之間相互通信，因為它們都有IP地址，都屬于某個子網(wǎng)，只有它們之間有可達路由，就可以相互訪問。若不想讓Port 1下面的某個三層VLAN子接口，和Port 2之間進行通信，就可以在UTM上配置相應的安全策略，從而阻止它們之間的相互訪問。這也就是UTM設備，以旁路的方式接入到核心路由或交換設備上，并能 實現(xiàn)UTM設備的三層路由功能的部署模式。最終通過在UTM設備的防火墻中配置安全策略，實現(xiàn)允許/禁止某類用戶對特定數(shù)據(jù)的訪問。

而圖5專用網(wǎng)中UTM的工作模式是透明模式，它是以"橋"模式運行的，本身只需要配置一個管理IP地址，不必占用任何其它的IP資源，也不需要改變 用戶的拓撲環(huán)境，設備的運行對用戶來說是"透明"的，在網(wǎng)絡設備上進行各種命令的配置時，就當不存在這個UTM一樣，因為它是透明模式。它只對線路上的數(shù) 據(jù)作安全檢查，和安全策略上的限制，本身不會影響網(wǎng)絡的整體架構和配置。這種模式在安裝和維護UTM時，相對路由模式來說要簡單很多。

因為單位在安全方面的嚴格要求，專用網(wǎng)中必須使用UTM設備。但是目前專用網(wǎng)中只有一臺UTM，一旦UTM發(fā)生故障后，專用網(wǎng)將面臨無安全防護的隱 患。這種情況下，也可以考慮再購買一臺和專用網(wǎng)中一模一樣的UTM設備，這樣把兩臺設備配置為雙機熱備，或負載均衡的模式，就是把買來的UTM作為冷備也 可以。這樣當其中的一臺故障后，另外一臺就可以馬上替換掉有故障的一臺。但一臺UTM設備，因為它上面集成了多種安全功能，所以在價格方面也非常昂貴，一 臺至少也要十多萬人民幣，而單位經費緊張，所以考慮買UTM設備的辦法行不通。我們經過查閱聯(lián)想UTM的各種隨機文檔，發(fā)現(xiàn)它具有"UTM虛擬域" 的功能。

其實，UTM虛擬域功能就是可以把一臺UTM物理設備劃分為多個虛擬域，每個虛擬域在邏輯上就相當于一臺單獨UTM物理設備，每個虛擬域也可以單獨 設置路由、防火墻策略、防病毒策略、IPS策略等。這樣就可以為多個企業(yè)組織部署一個UTM，將其劃分成若干個邏輯設備分配給不同的企業(yè)組織，并且為其設 置相應的邏輯設備管理權限，這樣每個被服務的企業(yè)組織可以單獨管理安全設置，并查看相應的日志信息。

2、配置UTM虛擬域的具體步驟。

(1)在UTM WEB管理界面中的"系統(tǒng)管理"→"狀態(tài)"界面中，首先要啟用虛擬域功能，當然要是不想使用虛擬域的功能，也可在此選擇停用其功能，如圖7所示。圖示中的"虛擬域"功能已經啟用，點擊"停用"就中止了UTM的虛擬域功能。

圖7 啟用或停用虛擬域功能

(2)在"系統(tǒng)管理"→"虛擬域"的管理界面中，點擊"新建"的功能按鈕，就能新建一個UTM虛擬域，并填寫虛擬域的名稱為ca，并配置虛擬域ca的"工作模式"為透明模式，如圖8所示。

圖8 新建虛擬域圖示

(3)在"系統(tǒng)管理"→"網(wǎng)絡"→"接口"的管理界面中，點擊將要放入虛擬域ca的某接口的"編輯"功能按鈕，在"虛擬域"的下拉菜單中選擇虛擬域ca，如圖9所示。

圖9 把端口劃入到相應的虛擬域中

(4)在新建的虛擬域中，配置防火墻的安全策略、防病毒功能和入侵檢測功能。

(5)把專用網(wǎng)中，原來連接在專用網(wǎng)中的Cisco 3750和Cisco 2960上的兩根接入到UTM上的網(wǎng)線，連接到UTM2上，新建虛擬域中的相應端口上。

圖10 使用UTM虛擬域后網(wǎng)絡結構圖

3、使用UTM虛擬域后的網(wǎng)絡部署情況。

改造后的網(wǎng)絡結構圖如圖10所示。從圖中可以看出，UTM2處于活動狀態(tài)，也就是主UTM，而UTM1處于備用狀態(tài)。因為在主UTM上所做的任何配 置，都會同步到備用的UTM上，也就是在UTM1上也有一個和在UTM2上一模一樣的虛擬域，此虛擬域也和原來專用網(wǎng)中的UTM功能是一樣的。這樣如果圖 10中的UTM2故障的話，因為雙機熱備模式的緣故，UTM1馬上就從備用狀態(tài)轉變?yōu)榛顒訝顟B(tài)，接管UTM2的各種業(yè)務，UTM2的狀態(tài)也就從主 UTM變成了備用狀態(tài)。一旦UTM2變成了備用狀態(tài)，在它上面的，替代原來專用網(wǎng)中的UTM的虛擬域也就從活動狀態(tài)變成了備用狀態(tài)，因為整個UTM2設備 的狀態(tài)都成為備用的了。

所以圖10中，一旦UTM1和UTM2的運行狀態(tài)發(fā)生變化后，網(wǎng)絡工程師一定要盡快把接在專用網(wǎng)中兩個交換機上的，連接UTM2的兩根網(wǎng)線，接入到 UTM1上對應的虛擬域的端口上。這樣才能保證專用網(wǎng)再次安全穩(wěn)定的運行。啟用UTM虛擬域功能前的，原來專用網(wǎng)中使用的UTM已經斷電不再使用。但它可 以作為圖10中，UTM1和UTM2的冷備。即使UTM1和UTM2兩個設備都故障了，可以再把原來專用網(wǎng)中的UTM上電，同樣可以保證專用網(wǎng)的安全正常 訪問。

UTM虛擬域功能的使用，在為單位節(jié)省一大筆經費的同時，也提高了專用網(wǎng)的安全性和可靠性。

4、小結

雖然UTM設備功能很強大，幾乎現(xiàn)在所有安全產品的功能，在UTM中都能找到。它增強了網(wǎng)絡的安全性，避免了網(wǎng)絡資源的誤用和濫用，在更有效的使用 通訊資源的同時，它也不會降低網(wǎng)絡的性能。UTM也是易于管理的設備，它的功能包括：應用層服務，例如病毒防護、入侵檢測、垃圾郵件過濾、網(wǎng)頁內容過濾以 及IM/P2P過濾服務;網(wǎng)絡層服務，例如防火墻、入侵檢測、IPSec與SSL VPN，以及流量控制;管理服務，例如用戶認證、設備管理設置、安全的web與CLI管理訪問，以及SNMP功能。

但是建議在開啟UTM虛擬域功能的同時，不要再使用UTM上的其它功能。因為虛擬域功能在邏輯上就相當于，在不增加任何UTM硬件資源的情況下，又 虛構出一個UTM設備，所以虛擬域功能會占用大量UTM設備上的CPU、內存等資源，這時若再啟用UTM上的其它功能，必定會大大增加UTM的負荷，這其 實也就給它的使用帶來了不穩(wěn)定因素。因為所有設備在超負荷的運行下，故障率都會大大增加。所以建議在沒有特殊需求的情況下，使用UTM虛擬域功能時，不要 過多開啟UTM上的其它功能。

huanghui