用好这几款设备,用最少的投入组建一个最安全实用的网络
  

周子超 Lv3发表于 2016-12-2 16:08

深信服设备在集团公司的实际使用情况交流

      2012年集团打算整体上ERP系统,因此当时对整个集团范围内的网络进行升级和改造,之前我们使用的FreeBSD搭建的VPN系统,趁此机会我建议集团上硬件的VPN设备,主要考虑到硬件方便管理也带流控功能也更加稳定,最后我力荐选择了深信服的品牌。

经过各种功能对比,需求确认,最终,我们集团选择了深信服的WOC、AC、VPN、SC、MIG!

后面我一一介绍各个设备的部署情况。先看一下我们集团的拓扑图。简单画下,拓扑不精美能理解意思就行,各位见谅。

图片1.png

     我来解释下整体拓扑结构,电信机房A是托管在电信IDC机房,本来打算就用一个机房,但是考虑到北方公司使用的联通网络,这样的话会造成ERP系统访问缓慢,因此又租用了一个双线机房B。毕竟2个机房的设备众多不便于搬迁,因此互联互通问题就是一个麻烦的问题。我们要求,任意一家单位可以访问任意一个区域,也就是全集团互访。例如A公司能访问D公司,D公司能访问G公司,H公司能访问电信机房的服务器也能访问双线机房的服务器。需求出来了,各位可以先自己思考下,如果是你们的话你们用什么方案来搭建,我还在考虑怎么能更加优化这个方案。

  • 方案设计


    我们的方案是首先将双线机房B设置为中心端所有的数据全部集中在这个机房统一从这个机房中转

  • 双线机房
    双线机房的规划和设置,我们双线机房配置了以下设备


防火墙(品牌就不说了,当时深信服NGAF还没推出现在叫AF),1台
深信服WOC-3050(做的HA),2台
深信服SC-4701台
深信服VPN-2050,1台
拓扑结构如下

图片2.png

     之前整个机房是不允许外部网络访问的所以将SC470放置在了防火墙下面通过防火墙NAT出去以便于分子公司的WOC设备能够访问到SC两台WOC3050做的HA分别接了电信和联通的互联网出口SSLVPN也是接的电信和联通双出口。自此,双线机房的网络基本上大家完毕,我上一张交换机的配置图片。第一张是接口信息


图片3.png

第二张是路由信息,后面给大家说关于路由表的问题

图片4.png

  • 电信机房


      在开始的拓扑图里面我们的电信机房里面还有一部分服务器,这部分服务器网络相对来说比较简单,但是当初的时候从电信机房到双线机房使用的是我们之前的FreeBSD搭建的VPN,因此这里还要配置相应路由。在2014年的时候双线机房停电(没错就是机房停电,这么扯淡的事情都能遇到)导致我们的FreeBSD服务器启动不起来了,我当时就拿了一台深信服的VPN设备到电信机房,这个事故导致我们部分业务瘫痪8个小时。

题外话:所以大家以后托管一定要找专业机房啊,电信机房5年了没停过电,只因为光纤交割断过2回网,都提前通知了的,每次都是半夜,断网2个小时左右。这次停电的机房是国内某大型集团的内部机房,我们租用了2个机柜就是考虑他有双线接入,价格也还可以。他们损失比我们大,我们就一台FreeBSD的VPN服务器起不来,他们2套存储没起来,工程师连夜赶来维修,我们开车过去的时候20多号人都在那里加班忙。

图片5.png

       从上面的拓扑图可以看出来相当的简单电信机房的业务是之前的部分老的业务整体网络结构相当简单主要就是一部分内部服务器和几台外部可以访问的服务器其实外部服务器也和内部服务器有连接这里没有反映出来涉及到安全问题所以后期我还在考虑是否要上防火墙的问题电信机房的拓扑和我们的小型分公司拓扑一样就一个子网网络简单没有技术含量麻烦的问题可能在于部分中型分公司

  • 分公司


      现在机房的设计已经完成了,剩下就是分公司了,小公司没有什么大的问题, 和电信机房一样,一个简单的子网就OK,但是对于大中型公司就不能这么简单了。

图片6.png

以上面的拓扑图举例这是一家相对来说比较上规模的公司内部用户应该在200人左右,使用的WOC2050作为出口网关以网关模式部署整个公司有8个VLAN,上图只是画了个大概意思,并没有把所有的LAN画完,全部在线的主机数量在250左右,月底营销人员回来主机数量会上升到300以上。

  • 施工阶段的问题



  • 双线机房



      双线机房的网络结构最为复杂,本来是不需要这么复杂的,但领导除了要考虑安全性,还要能和其它IT公司接轨,同时,要看起来更加高大上。,因此各个东西都设计都想上!

举个例子,之前我们分公司使用的都是192.168的C网段,由于担心子网内的IP地址不够,因此想设计大的子网,我就建议用172.16的B类,然后他就让系统集成商来规划我们的分公司的网络。系统集成商和我加班整完了他又觉得其实10的A类网络很好的嘛,完全满足公司未来发展需求,公司在飞速发展应该用大范围内的IP网络,免得以后公司大了IP地址不够用。我当时说,完全没有必要担心IP地址不够的问题。第一公司发展没有那么快第二,就算发展那么快C类地址的网段也完全能够满足;第三,对于网络来说子网内的IP地址数量越少网络稳定(一定范围内)。这个吐槽就到这,吐槽归吐槽,最终还是双线机房里面网络环境搭建起来了,整个双线机房里面的网络也都通了,就暂时不提了。

  • 电信机房



      建设之初电信机房A到双线机房B是使用的我们的FreeBSD系统搭建的VPN,这个是领导自己搭建出来的,他觉得没必要换,而且机房里采用的是戴尔的服务器,所以不舍得换,当时就没有买深信服的设备,这就需要在双线机房B的交换机上写一条路由。现在我们的路由是192.168.1.0/24 10.1.253.2当时是192.168.1.0/24 172.16.33.2(上面的路由表信息里面能看到)

  • 小规模分公司



      小规模分公司网络结构简单一般就一个LAN,一个C段的IP地址就够了,所以相对来说比较简单。不过连接上双线机房B的VPN后发现无法访问其他分公司和电信机房。我们最终做了一下设置来调整。
首先双线机房B的深信服WOC上设备本地网络需要添加相应网段

图片7.png

随后还需要根据需求添加静态路由

图片8.png

【注】因为涉及到公司的机密,只展示部分配置。

      进行以上配置后还需要在分支端配置隧道间路由。配置位置为“SANGFOR VPN”-“高级设置”-“隧道间路由”,添加以下路由。这条路由表示从10.2.2.0/24这个IP段前往192.168.0.0/16的数据走VPN通道,这样就能做到分公司能访问到电信机房A。

图片9.png

     需要注意的是隧道间路由的掩码写的时候尽量写小例如之前我们设计的网络主要是10.1.0.0-10.6.0.0因此子网掩码可以设置成255.248.0.0即可,后来设计的网络里面有了10.99.0.0网段,这个时候就必须要255.0.0.0了。按照如此设置在AC、MIG、WOC上均正常,但是在AF上会报错,该问题已经向深信服反映,待解决中。在未解决的情况下AF的隧道间路由设置相当麻烦。例如:

网络号(源)
子网掩码(源)
网络号(目的)
子网掩码(目的)
目的路由用户
10.2.2.0
255.255.255.0
192.168.1.0
255.255.255.0
分部VPN名称
10.2.2.0
255.255.255.0
10.1.1.0
255.255.255.0
分部VPN名称
10.2.2.0
255.255.255.0
10.3.2.0
255.255.255.0
分部VPN名称

像我们这种集团行公司,全集团的网段超过50个,这样子要把人弄疯,不过子网范围设小应该是网络管理人员的基本意识。越小的子网相对来说越安全,例如我喜欢设备设置的子网一般都在24位-30位左右,因为毕竟这类主机数量不多,没有必要设置很大的子网。

  • 2个子网的分公司




      在我们集团,有一个比较特殊的现象就是有可能2个不同的公司在一个办公场所办公,这类需要将业务区分开的最好的方式就是用三层交换机划分VLAN来做了。考虑到分公司的具体情况这样的投入成本太高,因此在部分具有2个子网的分公司我们就采用了深信服LAN和DMZ2个区域的方式来划分和隔离网络

图片10.png

例如我们这个家公司就采用的2个网络口来使用,2个网段分别用于LAN口和DMZ口。这种设计就有效降低了网络风暴导致的故障也大大的降低了成本。不过存在一个问题就是DMZ口的网络无法访问其他公司和总部。究其原因是因为在VPN接口上默认并没有打开DMZ口,需要在“系统”-“部署设置”-“VPN接口”中将“DMZ掩码”前面勾上并填写相应的掩码,当然隧道间路由也需要把网段添加进去。

图片11.png

  • 一定规模分公司



      集团公司里面还是有数个上规模的公司,这类公司具有多个子网,使用深信服WOC的LAN口和DMZ口无法满足,这种情况下就采用的三层交换机来操作了。具体的交换机配置在这里就不做说明,主要是深信服的配置。主要配置有静态路由、本地子网,下图是深信服和交换机的静态路由表。

图片12.png

由于深信服作为网关且是单网关出口因此深信服的所有路由都指向核心交换机核心交换机的路由也全部指向深信服

图片13.png

      以上设置就能保证所有交换机制定的网段能够正常访问互联网如果要访问VPN网络还需要添加VPN本地子网。配置位置在“SANGFOR VPN”-“高级设置”-“VPN本地子网”,将需要访问VPN的网段添加进去即可。

图片14.png

在本案例中可以看到我们只添加了2个网段在VPN本地子网中,而本地子网不止2个网段,真实的本地子网有5个网段,因为其他网段有些是监控网段,有些是客户来访时的无线网段,为确保公司信息安全不允许其通过VPN通道访问核心机房里面的服务器。

至此整个项目已经完成基本达到了当初设计要求也稳定运行剩下的就是系统运维和调优了

  • 调优


  • SSLVPN调优


      在上面我已经说明,为了保证电信和联通的用户都能快速访问到服务器,所以我们才考虑双线机房,但是对于双线的设计有个问题就是在SSL VPN上,用户反馈IP地址太难记了,因此我们做了双线的解析,这样用户只需要记住一个网址就会自动跳转到最快的IP地址。具体做法是我们绑定了一个公司的二级域名sslvpn.xxx.cn然后在3322.org上做智能跳转(现在叫pubyun,公云)。

图片15.png

上图可以检测到通过联通的网络会自动解析成我们VPN联通的网络IP地址221开头的IP地址),通过电信访问的网络会自动访问电信的网络(220开头的IP地址)。

  • WOC调优


在设备运行一段时间以后我们发现VPN网络延迟偶尔会很高,在进过了很长时间排查后发现是由于网络原因造成的,具体原因是由系统自动判断路由出现的问题 ,导致使用联通网络的分公司连接到总部的WOC设备的电信IP地址或者相反。

为此我们在总部WOC设备上进行了手动线路调整我建立了2个多线策略,分别是电信主线路联通备用线路和联通主线路电信备用线路。设置位于“SANGSOR VPN”-“多线路”然后新增2条策略,新增如下。

图片16.png

除此之外还需要对分部的账号进行设置设置位置为“SANGFOR VPN”-“服务端”-“用户管理”点击相应的用户后点高级,然后就可以看到之前设置的选路策略,点击相应的策略即可。下路是灰色的无法点选是因为使用了组策略,我将这个分部加到了组里面,修改组策略以后整个组下面的十几个账号都变了,大家明白原理和操作就好,这里不再细说,也不演示。

图片17.png


  • 更新




      时间过得真快,深信服使用接近了4年,分公司机房环境原因还有就是深信服早期电源供应商的选择问题目前的WOC故障不断,因此我们准备更新一批设备。由于之前使用的深信服的设备,所以这次更新应该也是深信服的设备,毕竟我们也不会全部更换,使用深信服的VPN设备相对来说更加方便,但是这次我不再使用WOC而考虑AC,最终由于价格原因我们采购的MIG。只所以选择MIG主要有以下几个原因:

  • 价格便宜我们的主要需求是VPN和流控MIG带VPN功能而且带简单的流控价格比WOC和AC都便宜;
  • WOC无法发挥效果WOC加速必须成对使用而且新买的WOC加速模块的版本太新无法和机房里面的老版本建立连接无法正常使用WOC对于网络较差的情况下才会看到明显的加速效果例如ADSL国际线路等目前我们基本上都是使用的企业光纤所以效果不大
  • AC主要是做审计,我们对员工的要求很低,不需要审计相应的上网行为,且价格偏高,因此没有考虑。





除了功能以外,还要考虑MIG的性能,尤其是一些大公司。如,MIG设备无法承担起大流量和多用户的情况。我们就遇到这种情况了,但是当时方案已经做了而且已经上报给了领导为了稳妥起见销售代表在总部找了一台测试设备发现设备一上线就挂掉最终确定设备的确无法承受住这类网络应用因此深信服销售代表建议换成AC但是AC的价格比MIG要高之前我们的公司是50M的光纤,最近我又申请了一条100M的家庭光纤,共总150M的出口带宽AC1200都不一定能够支持住日常用户在100-200左右月底和开会期间终端数会达到300以上。最后我设计了旁路的方式来完成设计,最终达到要求且成本更低,因为我采购了一台MIG1110这类低端的VPN设备然后外加一台其他品牌的路由器,网络拓扑图如下。

图片18.png

上图中,我设置的VPN通道走深信服的MIG,其余的走路由器。路由器的IP地址是10.2.10.1所以默认路由就是这个,深信服MIG设备的IP地址是10.2.10.3因此在下图可以看到前往10开头的网络数据都走深信服MIG设备。

图片19.png

当然,MIG设备也要设置回程路由。在“系统设置”-“路由设置”-“系统路由设置”里面添加回程路由。如下图:

图片20.png

自此问题圆满解决且性能比之前好价格还便宜很多

之前说过我们还使用过深信服的AC在很早之前用的5100,2015年的时候有个新公司成立当时我采购的AC1400.之所以用这个型号有以下几个原因

  • 带宽高,虽然我们合同签订的是电信6M企业光纤,但是电信给我们开的100M企业光纤,上下行对称的企业光纤WOC设备当时承载量不够;
  • 费用问题AC相对来说费用是高但是我们那家公司是一个旅游景区属于盈利单位不像总部这类成本单位对成本要求不高要的是网络质量
  • 由于其他公司基本上都是内部人员使用网络因此人员结构简单但是那家分公司人员流动性大结构复杂因此使用AC对上网行为进行管理和监测降低我们的政策风险(你懂的);
  • 营销需要,AC带接入管控,可以接驳短信、微信等,我们当时使用的是短信认证的方式,需要接入网络的客户手机号码我们均保留了下来,为日后营销收集客户信息。





最后没啥写的了由于工作关系这篇文章写了2个礼拜,中间断断续续存在不少错误,也有些逻辑可能混乱了,特别是深信服设备的相关设置有些可能因为时间关系记得不太清楚了,欢迎厂家指正。同时,大家有更好的组网方案,也欢迎来探讨!

深信服设备在集团公司的实际使用情况交流.pdf

926.87 KB, 下载次数: 109

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

魅力长安 Lv11发表于 2016-12-2 16:12
  
完美的文档
周子超 Lv3发表于 2016-12-2 16:13
  
刷豆的,都没看完就开始评论
雨中漫步 Lv6发表于 2016-12-2 16:14
  
好详细!赞
Sangfor_闪电回_朱丽 发表于 2016-12-2 17:04
  
特别赞的分享,楼主业务熟练,技术精湛,更重要的,对工作的认真负责,都深深打动了我!

值得大家点赞、打赏!
Sangfor闪电回_小丸子 发表于 2016-12-2 17:11
  
很详细哦
稻草 Lv15发表于 2016-12-3 15:21
  
雨中漫步 Lv6发表于 2016-12-6 15:38
  
sk y tj uqd
Sangfor_闪电回_小云 Lv11发表于 2016-12-6 15:40
  
辛苦楼主!这么棒的分享,赞!
Wayne Lv3发表于 2016-12-8 18:33
  
楼主把深信服玩得很6666呀,特别是连隧道间路由这么“冷门”的功能都用上了,牛~!!!