• 文章搜索:
  • IP技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    移动WAP网关解决方案之防火墙设计

    文/刘臣平

    移动WAP背景介绍

    WAP : Wireless Application Protocol 无线应用协议

    WAP业务:专门为无线终端用户提供的Internet代理应用服务。

    WAP网关:WAP业务接入设备,位于移动终端与Internet应用服务器之

    间,为用户提供WAP业务。

    随着手机移动上网业务的发展,尤其是互联网内容提供商提供越来越多的服务,作为中国移动两大终端接入模式之一的CMWAP承载的业务量突飞猛进。对于WAP网关出口防火墙设备的性能有了更高的要求。目前H3C公司S95E+SecBladeII防火墙板卡解决方案就是为满足WAP业务新特点制定,目前已应用到诺西、爱立信等多家厂商的数十个WAP网关项目中。

    中国移动WAP网关承载流量主要为手机上网流量,主要包括WAP业务流量及Socket流量。

    其中WAP流量经过防火墙访问内网负载均衡设备,由负载均衡设备将流量分发至WAP服务器,再由WAP服务器代理,经过防火墙NAT后访问Internet。

    Socket流量则是直接经过防火墙NAT后访问Internet。

    移动CMWAP流量模型介绍

    移动业务终端接入GGSN后,经GRE隧道封装至WAP网关GRE路由器解封装后,按照http和socket流量的区别分别访问wap服务器和Internet。

    WAP网关整体流量模型如下图:

    图一:WAP网关流量模型示意图

    1、 移动终端经SGSN完成注册计费等动作到达GGSN,在GGSN上封装入GRE隧道;

    2、 GRE隧道流量经CMNET到达WAP网关GRE路由器完成GRE解封装;

    3、 解去GRE封装的流量根据访问的目的地址等信息分为WAP流量(主要为http)和socket流量;其中WAP流量经负载均衡设备(地址10.0.0.172)分发至WAP服务器;socket流量直接经防火墙NAT后访问CMNET;

    4、 WAP流量经过WAP服务器代理后,将源地址更换为WAP服务器地址后再经过防火墙NAT访问CMNET。

    WAP网关防火墙设计

    H3C公司提供的防火墙方案,采用vrrp技术,实现双机框高可靠性的部署。同时采用NAT业务单板插卡的方式,实现整机容量的灵活扩容。

    因整机容量和商务的不同,目前可以选择的机框有S75E、S95E,已95E为主目前可以选择的NAT业务插卡有Secblade II、SecbladeIII板卡。

    防火墙采用串接方式接入CMNET,下联WAP内网交换机。

    图二:防火墙互联示意图

    1、 防火墙与上下行设备物理互联设计

    H3C防火墙(交换机机框)通过VRRP与上下行设备互联,互相启用VRRP,一般情况下,交换机机框不提供二层链路,需要上下行设备提供中间二层互联链路,为H3C防火墙(交换机机框)提供VRRP心跳线;

    2、 防火墙VPN设计

    由于进出防火墙流量都需要经过交换机机框,所以需要对于内外网,以及防火墙处理前后流量做隔离,需要配置VPN完成路由隔离功能。

    WAP网关防火墙流量与C网NAT相比较为简单,所以只需配置两个VPN,区分防火墙内外网流量即可,GRE解封装后的流量直接在public区域即可;

    3、 WAP网关防火墙插卡的冗余设计

    WAP网关防火墙交换机机框上的防火墙插卡成对使用,每一对防火墙插卡分别插在主框和备框的对应槽位上,采用主备模式,正常情况下只有一块防火墙卡在工作状态;

    每一对防火墙插卡进行配置同步,正常情况进行防火墙策略维护时,仅需维护主防火墙就可以,备用防火墙配置会自动与主防火墙同步。

    每一对防火墙插卡还需进行会话状态同步,在主防火墙故障情况下,备用防火墙替代主用防火墙后不需要重新建立会话。直接依据同步过来的会话进行数据报文转发。

    图三:WAP防火墙全网互联示意图

    4、 WAP网关防火墙与CE路由设计

    WAP网关防火墙与CE之间互联启用VRRP,路由互相用静态路由将下一跳设为对方VRRP虚地址,H3C防火墙可配合CE启用BFD联动静态路由,加快CE侧路由倒换速度。

    5、 NAT设计

    WAP网关防火墙NAT不需NAT444,只需普通NAT即可,需要注意的是主备机框上的防火墙板卡为1:1备份,NAT地址池配置除level有区别之外,其他完全一致;

    ALG功能:根据现网应用,此种环境下ALG仅需要开启FTP ALG、RTSP ALG和PPTP ALG,其它ALG功能关闭。

    顶端