深信服四款设备组网实施分享

某公司四款设备组网实施分享

项目背景：

客户原有网络设备老旧，老防火墙不能满足原有的需求，可以说基本没用。

内网私接无线设备严重，私接路由器带来内网冲突问题经常导致客户内网断网，而且还不好查。

再加上有移动OA人员需要访问到内网服务器。原有的Pdlan的方式随着用户量的增加已经不能满足需求了。

而且此次是业务系统扩容需要购买多台服务器还需要存储。。。

实施前网络拓扑:

emm：其实拿到这个拓扑我也是比较蛋疼的，几年前上DLAN设备的兄弟咋这个部署呢。。。

为了解决这些问题，当然是用AF,AC,SSL,HCI啦。

实施后的拓扑

实施后的拓扑是这样的：

简单介绍一下吧！

AC：为啥AC要放出口呢？因为需要去替换原有的H3C路由器。

AF：AF替换原有的路由设备，因为AF型号比较大，原有网络出口的机柜放不下，外网线路不够长没辙          就放其他地方了 。。不过不影响设备功能效果正常使用。

SSL：DLAN设备由于和上级做了VPN对接，年代久远不知道相关信息，为了保证使用习惯，尽可能减            小对网络的改动，所以保持原来的配置。

HCI：使用三台第三方的服务器搭建HCI平台。

实施情况

HCI

1 超融合平台搭建

    首先是安装超融合平台啦！这里要感谢部署服务器的兄弟帮我们设置BIOS等。并且协助我们安装好了HCI平台。

感激不尽。。超容合的安装部奏我就不描述了，大家可以参考以下链接：

HCI第三方硬件安装

2 HCI网络规划

   

      简单介绍下，0口是管理通信口复用物理出口，2口跑VXLAN，4口跑虚拟存储。

3 初始化虚拟存储

     我这里使用的是无链路聚合的方式，加上两副本。集群探测IP配置为网关IP。最终的部署效果如下：

4 上传IOS镜像，并且新建虚拟机

    这个我们可以告诉软件方去怎么上传，毕竟web界面也是很方便的。新建好他们需要的虚拟机就行了，下面就是我们暂时建好的虚拟机。

5 虚拟网络

    新建好虚拟机了就应该跑网络了。所画即所得的方式，部署业务的兄弟表示很方便啊，玩模拟器一样。

6 创建资源平衡计划以及HA

上网行为管理

1 部署模式

根据规划的部署模式以及IP配置设备的部署模式信息。

2 静态路由

根据由于内网网段规划，需要增加内网网段的回包路由指向核心交换机。

3 认证策略

这里我们选择不需要认证

4 上网审计   

5 共享上网管理

   

  看来共享上网问题确实蛮严重的。。

     

防火墙这里我就以互联网出口的服务器为例吧！

下一代防火墙

1 基本防火墙配置

1）接口和区域

2）路由配置

3）应用控制

2 安全策略配置

1） 内容安全策略

2）IPS配置

3）僵尸网络配置

SSL VPN还是比较简单，咱就略过吧

注意：

1. 其实在这里有些配置不是很标准的，在防护的IP范围方面应该写好定义的内网IP组，不然在导出相关报表方面会有出现影响可读性的问题。还需要定义好服务器的相关IP，再来配置相关服务防护策略，但是目前业务还是没有部署完毕，所以等业务部署完，后期肯定是需要调整的。

2. 防火墙一定要注意区域的划分和防护，区域错了会直接导致防护策略的失效！

3. HCI这一块很多人会忽略掉资源平衡计划，还有HA这一块，导致整个平台的负载不均衡。千万别漏了。

客户评价 ：其实客户感受最大的还是某公司的HCI平台，只需要3台服务器就可以提供服务，可以便捷的部署多台虚拟机，后续还可以继续添加，节省了成本。部署业务的小哥也是觉得虚拟网络这一块就是玩模拟器。0学习成本，创建虚拟机什么的都是很方便的。

  来看看几张现场图：

老的DLAN 设备依然坚挺！

这线理的时候我是崩溃的。。。。。

好了，我的分享到此结束，朋友们，你们有没有类似的需求或者遇到过哪些组网项目？欢迎跟帖探讨！

活生生的案例，很有参考价值，收藏一下！！！

真实案例，感谢分享！