×

用好这几款设备,用最少的投入组建一个最安全实用的网络
  

周子超 387661人觉得有帮助

{{ttag.title}}
设备在集团公司的实际使用情况交流

      2012年集团打算整体上ERP系统,因此当时对整个集团范围内的网络进行升级和改造,之前我们使用的FreeBSD搭建的VPN系统,趁此机会我建议集团上硬件的VPN设备,主要考虑到硬件方便管理也带流控功能也更加稳定,最后我力荐选择了深信服。

经过各种功能对比,需求确认,最终,我们集团选择了深信服的WOC、AC、VPN、SC、MIG!

后面我一一介绍各个设备的部署情况。先看一下我们集团的拓扑图。简单画下,拓扑不精美能理解意思就行,各位见谅。


     我来解释下整体拓扑结构,电信机房A是托管在电信某公司机房,本来打算就用一个机房,但是考虑到北方公司使用的某公司公司网络,这样的话会造成ERP系统访问缓慢,因此又租用了一个双线机房B。毕竟2个机房的设备众多不便于搬迁,因此互联互通问题就是一个麻烦的问题。我们要求,任意一家单位可以访问任意一个区域,也就是全集团互访。例如A公司能访问D公司,D公司能访问G公司,H公司能访问电信机房的服务器也能访问双线机房的服务器。需求出来了,各位可以先自己思考下,如果是你们的话你们用什么方案来搭建,我还在考虑怎么能更加优化这个方案。

  • 方案设计



    我们的方案是首先将双线机房B设置为中心端所有的数据全部集中在这个机房某公司公司从这个机房中转

  • 双线机房
    双线机房的规划和设置,我们双线机房配置了以下设备



防火墙(品牌就不说了,当时NGAF还没推出现在叫AF),1台
WOC-3050(做的HA),2台
SC-4701台
VPN-2050,1台
拓扑结构如下


     之前整个机房是不允许外部网络访问的所以将SC470放置在了防火墙下面通过防火墙NAT出去以便于分子公司的WOC设备能够访问到SC两台WOC3050做的HA分别接了电信和某公司公司的互联网出口SSLVPN也是接的电信和某公司公司双出口。自此,双线机房的网络基本上大家完毕,我上一张交换机的配置图片。第一张是接口信息



第二张是路由信息,后面给大家说关于路由表的问题


  • 电信机房



      在开始的拓扑图里面我们的电信机房里面还有一部分服务器,这部分服务器网络相对来说比较简单,但是当初的时候从电信机房到双线机房使用的是我们之前的FreeBSD搭建的VPN,因此这里还要配置相应路由。在2014年的时候双线机房停电(没错就是机房停电,这么扯淡的事情都能遇到)导致我们的FreeBSD服务器启动不起来了,我当时就拿了一台某公司公司的VPN设备到电信机房,这个事故导致我们部分业务瘫痪8个小时。

题外话:所以大家以后托管一定要找专业机房啊,电信机房5年了没停过电,只因为光纤交割断过2回网,都提前通知了的,每次都是半夜,断网2个小时左右。这次停电的机房是国内某公司大型集团的某公司公司机房,我们租用了2个机柜就是考虑他有双线接入,价格也还可以。他们损失比我们大,我们就一台FreeBSD的VPN服务器起不来,他们2套存储没起来,工程师连夜赶来维修,我们开车过去的时候20多号人都在那里加班忙。


       从上面的拓扑图可以看出来相当的简单电信机房的业务是之前的部分老的业务整体网络结构相当简单主要就是一部分某公司公司服务器和几台外部可以访问的服务器其实外部服务器也和某公司公司服务器有连接这里没有反映出来涉及到安全问题所以后期我还在考虑是否要上防火墙的问题电信机房的拓扑和我们的小型分公司拓扑一样就一个子网网络简单没有技术含量麻烦的问题可能在于部分中型分公司

  • 分公司



      现在机房的设计已经完成了,剩下就是分公司了,小公司没有什么大的问题, 和电信机房一样,一个简单的子网就OK,但是对于大中型公司就不能这么简单了。


以上面的拓扑图举例这是一家相对来说比较上规模的公司某公司公司某公司公司应该在2某公司人左右,使用的WOC2050作为出口网关以网关模式部署整个公司有8个VLAN,上图只是画了个大概意思,并没有把所有的LAN画完,全部在线的主机数量在250左右,月底营销人员回来主机数量会上升到3某公司以上。

  • 施工阶段的问题




  • 双线机房




      双线机房的网络结构最为复杂,本来是不需要这么复杂的,但领导除了要考虑安全性,还要能和某公司公司IT公司接轨,同时,要看起来更加高大上。,因此各个东西都设计都想上!

举个例子,之前我们分公司使用的都是192.168的C网段,由于担心子网内的IP地址不够,因此想设计大的子网,我就建议用172.16的B类,然后他就让系统某公司公司来规划我们的分公司的网络。系统某公司公司和我加班整完了他又觉得其实10的A类网络很好的嘛,完全满足公司未来发展需求,公司在飞速发展应该用大范围内的IP网络,免得以后公司大了IP地址不够用。我当时说,完全没有必要担心IP地址不够的问题。第一公司发展没有那么快第二,就算发展那么快C类地址的网段也完全能够满足;第三,对于网络来说子网内的IP地址数量越少网络稳定(一定范围内)。这个吐槽就到这,吐槽归吐槽,最终还是双线机房里面网络环境搭建起来了,整个双线机房里面的网络也都通了,就暂时不提了。

  • 电信机房




      建设之初电信机房A到双线机房B是使用的我们的FreeBSD系统搭建的VPN,这个是领导自己搭建出来的,他觉得没必要换,而且机房里采用的是戴尔的服务器,所以不舍得换,当时就没有买某公司公司的设备,这就需要在双线机房B的交换机上写一条路由。现在我们的路由是192.168.1.0/24 10.1.253.2当时是192.168.1.0/24 172.16.33.2(上面的路由表信息里面能看到)

  • 小规模分公司




      小规模分公司网络结构简单一般就一个LAN,一个C段的IP地址就够了,所以相对来说比较简单。不过连接上双线机房B的VPN后发现某公司公司法访问某公司公司分公司和电信机房。我们最终做了一下设置来调整。
首先双线机房B的某公司公司WOC上设备本地网络需要添加相应网段


随后还需要根据需求添加静态路由


【注】因为涉及到公司的机密,只展示部分配置。

      进行以上配置后还需要在分支端配置隧道间路由。配置位置为“某公司公司 VPN”-“高级设置”-“隧道间路由”,添加以下路由。这条路由表示从10.2.2.0/24这个IP段前往192.168.0.0/16的数据走VPN通道,这样就能做到分公司能访问到电信机房A。

[attach]328某公司[/attach]

     需要注意的是隧道间路由的掩码写的时候尽量写小例如之前我们设计的网络主要是10.1.0.0-10.6.0.0因此子网掩码可以设置成255.248.0.0即可,后来设计的网络里面有了10.99.0.0网段,这个时候就必须要255.0.0.0了。按照如此设置在AC、MIG、WOC上均正常,但是在AF上会报错,该问题已经向某公司公司反映,待解决中。在未解决的情况下AF的隧道间路由设置相当麻烦。例如:

网络号(源)
子网掩码(源)
网络号(目的)
子网掩码(目的)
目的路由某公司公司
10.2.2.0
255.255.255.0
192.168.1.0
255.255.255.0
分部VPN名称
10.2.2.0
255.255.255.0
10.1.1.0
255.255.255.0
分部VPN名称
10.2.2.0
255.255.255.0
10.3.2.0
255.255.255.0
分部VPN名称

像我们这种集团行公司,全集团的网段超过50个,这样子要把人弄疯,不过子网范围设小应该是网络管理人员的基本意识。越小的子网相对来说越安全,例如我喜欢设备设置的子网一般都在24位-30位左右,因为毕竟这类主机数量不多,没有必要设置很大的子网。

  • 2个子网的分公司





      在我们集团,有一个比较特殊的现象就是有可能2个不同的公司在一个办公场所办公,这类需要将业务区分开的最好的方式就是用三层交换机划分VLAN来做了。考虑到分公司的具体情况这样的投入成本太高,因此在部分具有2个子网的分公司我们就采用了某公司公司LAN和DMZ2个区域的方式来划分和隔离网络


例如我们这个家公司就采用的2个网络口来使用,2个网段分别用于LAN口和DMZ口。这种设计就有效降低了网络风暴导致的故障也大大的降低了成本。不过存在一个问题就是DMZ口的网络某公司公司法访问某公司公司公司和总部。究其原因是因为在VPN接口上默认并没有打开DMZ口,需要在“系统”-“部署设置”-“VPN接口”中将“DMZ掩码”前面勾上并填写相应的掩码,当然隧道间路由也需要把网段添加进去。


  • 一定规模分公司




      集团公司里面还是有数个上规模的公司,这类公司具有某公司公司子网,使用某公司公司WOC的LAN口和DMZ口某公司公司法满足,这种情况下就采用的三层交换机来操作了。具体的交换机配置在这里就不做说明,主要是某公司公司的配置。主要配置有静态路由、本地子网,下图是某公司公司和交换机的静态路由表。


由于某公司公司作为网关且是单网关出口因此某公司公司的所有路由都指向核心交换机核心交换机的路由也全部指向某公司公司


      以上设置就能保证所有交换机制定的网段能够正常访问互联网如果要访问VPN网络还需要添加VPN本地子网。配置位置在“某公司公司 VPN”-“高级设置”-“VPN本地子网”,将需要访问VPN的网段添加进去即可。


在本案例中可以看到我们只添加了2个网段在VPN本地子网中,而本地子网不止2个网段,真实的本地子网有5个网段,因为某公司公司网段有些是监控网段,有些是客户来访时的某公司公司线网段,为确保公司信息安全不允许其通过VPN通道访问核心机房里面的服务器。

至此整个项目已经完成基本达到了当初设计要求也稳定运行剩下的就是系统运维和调优了

  • 调优



  • SSLVPN调优



      在上面我已经说明,为了保证电信和某公司公司的某公司公司都能快速访问到服务器,所以我们才考虑双线机房,但是对于双线的设计有个问题就是在SSL VPN上,某公司公司反馈IP地址太难记了,因此我们做了双线的解析,这样某公司公司只需要记住一个网址就会自动跳转到最快的IP地址。具体做法是我们绑定了一个公司的二级域名sslvpn.某公司公司.cn然后在3322.org上做智能跳转(现在叫pubyun,公云)。


上图可以检测到通过某公司公司的网络会自动解析成我们VPN某公司公司的网络IP地址221开头的IP地址),通过电信访问的网络会自动访问电信的网络(220开头的IP地址)。

  • WOC调优



在设备运行一段时间以后我们发现VPN网络延迟偶尔会很高,在进过了很长时间排查后发现是由于网络原因造成的,具体原因是由系统自动判断路由出现的问题 ,导致使用某公司公司网络的分公司连接到总部的WOC设备的电信IP地址或者相反。

为此我们在总部WOC设备上进行了手动线路调整我建立了2个多线策略,分别是电信主线路某公司公司某公司公司线路和某公司公司主线路电信某公司公司线路。设置位于“SANGSOR VPN”-“多线路”然后新增2条策略,新增如下。


除此之外还需要对分部的账号进行设置设置位置为“某公司公司 VPN”-“服务端”-“某公司公司管理”点击相应的某公司公司后点高级,然后就可以看到之前设置的选路策略,点击相应的策略即可。下路是灰色的某公司公司法点选是因为使用了组策略,我将这个分部加到了组里面,修改组策略以后整个组下面的十几个账号都变了,大家明白原理和操作就好,这里不再细说,也不演示。



  • 更新





      时间过得真快,某公司公司使用接近了4年,分公司机房环境原因还有就是某公司公司早期电源供应商的选择问题目前的WOC故障不断,因此我们准备更新一批设备。由于之前使用的某公司公司的设备,所以这次更新应该也是某公司公司的设备,毕竟我们也不会全部更换,使用某公司公司的VPN设备相对来说更加方便,但是这次我不再使用WOC而考虑AC,最终由于价格原因我们采购的MIG。只所以选择MIG主要有以下几个原因:

  • 价格便宜我们的主要需求是VPN和流控MIG带VPN功能而且带简单的流控价格比WOC和AC都便宜;
  • WOC某公司公司法发挥效果WOC加速必须成对使用而且新买的WOC加速模块的版本太新某公司公司法和机房里面的老版本建立连接某公司公司法正常使用WOC对于网络较差的情况下才会看到明显的加速效果例如ADSL国际线路等目前我们基本上都是使用的企业光纤所以效果不大
  • AC主要是做审计,我们对员工的要求很低,不需要审计相应的上网行为,且价格偏高,因此没有考虑。






除了功能以外,还要考虑MIG的性能,尤其是一些大公司。如,MIG设备某公司公司法承担起大流量和多某公司公司的情况。我们就遇到这种情况了,但是当时方案已经做了而且已经上报给了领导为了稳妥起见销售代表在总部找了一台测试设备发现设备一上线就挂掉最终确定设备的确某公司公司法承受住这类网络应用因此某公司公司销售代表建议换成AC但是AC的价格比MIG要高之前我们的公司是50M的光纤,最近我又申请了一条1某公司M的家庭光纤,共总150M的出口带宽AC12某公司都不一定能够支持住日常某公司公司在1某公司-2某公司左右月底和某公司公司期间终端数会达到3某公司以上。最后我设计了旁路的方式来完成设计,最终达到要求且成本更低,因为我采购了一台MIG1110这类低端的VPN设备然后外加一台某公司公司品牌的路由器,网络拓扑图如下。


上图中,我设置的VPN通道走某公司公司的MIG,其余的走路由器。路由器的IP地址是10.2.10.1所以默认路由就是这个,某公司公司MIG设备的IP地址是10.2.10.3因此在下图可以看到前往10开头的网络数据都走某公司公司MIG设备。


当然,MIG设备也要设置回程路由。在“系统设置”-“路由设置”-“系统路由设置”里面添加回程路由。如下图:


自此问题圆满解决且性能比之前好价格还便宜很多

之前说过我们还使用过某公司公司的AC在很早之前用的51某公司,2015年的时候有个新公司成立当时我采购的AC14某公司.之所以用这个型号有以下几个原因

  • 带宽高,虽然我们合同签订的是电信6M企业光纤,但是电信给我们开的1某公司M企业光纤,上下行对称的企业光纤WOC设备当时承载量不够;
  • 费用问题AC相对来说费用是高但是我们那家公司是一个某公司公司景区属于盈利单位不像总部这类成本单位对成本要求不高要的是网络质量
  • 由于某公司公司公司基本上都是某公司公司人员使用网络因此人员结构简单但是那家分公司人员流动性大结构复杂因此使用AC对上网行为进行管理和监测降低我们的政策风险(你懂的);
  • 营销需要,AC带接入管控,可以接驳短信、微信等,我们当时使用的是短信认证的方式,需要接入网络的客户手机号码我们均保留了下来,为日后营销收集客户信息。






最后没啥写的了由于工作关系这篇文章写了2个礼拜,中间断断续续存在不少错误,也有些逻辑可能混乱了,特别是某公司公司设备的相关设置有些可能因为时间关系记得不太清楚了,欢迎厂家指正。同时,大家有更好的组网方案,也欢迎来探讨!

图片9.png (2.97 KB, 下载次数: 418)

图片9.png

打赏鼓励作者,期待更多好文!

打赏
18人已打赏

魅力长安 发表于 2016-12-2 16:12
  
完美的文档
周子超 发表于 2016-12-2 16:13
  
刷豆的,都没看完就开始评论
雨中漫步 发表于 2016-12-2 16:14
  
好详细!赞
Sangfor_闪电回_朱丽 发表于 2016-12-2 17:04
  
特别赞的分享,楼主业务熟练,技术精湛,更重要的,对工作的认真负责,都深深打动了我!

值得大家点赞、打赏!
Sangfor闪电回_小丸子 发表于 2016-12-2 17:11
  
很详细哦
稻草 发表于 2016-12-3 15:21
  
雨中漫步 发表于 2016-12-6 15:38
  
sk y tj uqd
Sangfor_闪电回_小云 发表于 2016-12-6 15:40
  
辛苦楼主!这么棒的分享,赞!
Wayne 发表于 2016-12-8 18:33
  
楼主把某公司玩得很6666呀,特别是连隧道间路由这么“冷门”的功能都用上了,牛~!!!

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人