深信服四款设备组网实施分享
  

Travelnight 5172

{{ttag.title}}
某公司四款设备组网实施分享

项目背景:
客户原有网络设备老旧,老防火墙不能满足原有的需求,可以说基本没用。
内网私接无线设备严重,私接路由器带来内网冲突问题经常导致客户内网断网,而且还不好查。
再加上有移动OA人员需要访问到内网服务器。原有的Pdlan的方式随着用户量的增加已经不能满足需求了。
而且此次是业务系统扩容需要购买多台服务器还需要存储。。。

实施前网络拓扑:

911595996441385487.png

emm:其实拿到这个拓扑我也是比较蛋疼的,几年前上DLAN设备的兄弟咋这个部署呢。。。


为了解决这些问题,当然是用AF,AC,SSL,HCI啦。


实施后的拓扑
实施后的拓扑是这样的:

32955996466027bcb.png


简单介绍一下吧!
AC:为啥AC要放出口呢?因为需要去替换原有的H3C路由器。
AF:AF替换原有的路由设备,因为AF型号比较大,原有网络出口的机柜放不下,外网线路不够长没辙          就放其他地方了 。。不过不影响设备功能效果正常使用。
SSL:DLAN设备由于和上级做了VPN对接,年代久远不知道相关信息,为了保证使用习惯,尽可能减            小对网络的改动,所以保持原来的配置。
HCI:使用三台第三方的服务器搭建HCI平台。


实施情况

HCI

1 超融合平台搭建

    首先是安装超融合平台啦!这里要感谢部署服务器的兄弟帮我们设置BIOS等。并且协助我们安装好了HCI平台。

感激不尽。。超容合的安装部奏我就不描述了,大家可以参考以下链接:

2 HCI网络规划

    5708359964a9465808.png


      简单介绍下,0口是管理通信口复用物理出口,2口跑VXLAN,4口跑虚拟存储。


3 初始化虚拟存储

     我这里使用的是无链路聚合的方式,加上两副本。集群探测IP配置为网关IP。最终的部署效果如下:



3803859964c5fe6f75.png



4 上传IOS镜像,并且新建虚拟机

    这个我们可以告诉软件方去怎么上传,毕竟web界面也是很方便的。新建好他们需要的虚拟机就行了,下面就是我们暂时建好的虚拟机。
5035059964dcd8d1ca.png

5 虚拟网络

    新建好虚拟机了就应该跑网络了。所画即所得的方式,部署业务的兄弟表示很方便啊,玩模拟器一样。

9437159964e9b75754.png


6 创建资源平衡计划以及HA

84752599655109e469.png

9295359965520ab739.png



上网行为管理
1 部署模式
根据规划的部署模式以及IP配置设备的部署模式信息。

79354599650052a0c3.png

2 静态路由
根据由于内网网段规划,需要增加内网网段的回包路由指向核心交换机。
86054599650308ac8b.png

3 认证策略
这里我们选择不需要认证
377275996505a5a84e.png
4 上网审计   
304745996508031be4.png
5 共享上网管理
    64035599657e501247.png



  看来共享上网问题确实蛮严重的。。
     
防火墙这里我就以互联网出口的服务器为例吧!


下一代防火墙
1 基本防火墙配置
1)接口和区域
8147259965142e347e.png

2)路由配置
476015996516d25efe.png
3)应用控制
71392599651a945000.png

2 安全策略配置
1) 内容安全策略
97118599651ead6992.png
2)IPS配置

6027859965217a56ef.png

3)僵尸网络配置
912295996524fbbfac.png

SSL VPN还是比较简单,咱就略过吧

注意:
1. 其实在这里有些配置不是很标准的,在防护的IP范围方面应该写好定义的内网IP组,不然在导出相关报表方面会有出现影响可读性的问题。还需要定义好服务器的相关IP,再来配置相关服务防护策略,但是目前业务还是没有部署完毕,所以等业务部署完,后期肯定是需要调整的。

2. 防火墙一定要注意区域的划分和防护,区域错了会直接导致防护策略的失效!

3. HCI这一块很多人会忽略掉资源平衡计划,还有HA这一块,导致整个平台的负载不均衡。千万别漏了。

客户评价 :其实客户感受最大的还是某公司的HCI平台,只需要3台服务器就可以提供服务,可以便捷的部署多台虚拟机,后续还可以继续添加,节省了成本。部署业务的小哥也是觉得虚拟网络这一块就是玩模拟器。0学习成本,创建虚拟机什么的都是很方便的。

  来看看几张现场图:
78347599659417b955.png 621065996595c8355d.png

老的DLAN 设备依然坚挺!


1848759965984a38f9.png 18124599659a805763.png

这线理的时候我是崩溃的。。。。。

好了,我的分享到此结束,朋友们,你们有没有类似的需求或者遇到过哪些组网项目?欢迎跟帖探讨!

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2017-8-18 15:11
  
活生生的案例,很有参考价值,收藏一下!!!
稻草 发表于 2017-8-25 13:35
  
真实案例,感谢分享!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
干货满满
每周精选
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
自助服务平台操作指引
秒懂零信任
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

217
272
151

发帖

粉丝

关注

本版达人

皮皮虾·真

本周建议达人

郑州网络

本周分享达人

二进制网络

本周提问达人