如何用最少的投入组建一个最安全实用的网络?
发布者:占心琼 发布时间:2017-01-13 浏览次数:2566
|
2012年集团打算整体上ERP系统,因此当时对整个集团范围内的网络进行升级和改造,之前我们使用的FreeBSD搭建的VPN系统,趁此机会我建议集团上硬件的VPN设备,主要考虑到硬件方便管理也带流控功能也更加稳定,最后我力荐选择了深信服的品牌。
经过各种功能对比,需求确认,最终,我们集团选择了深信服的WOC、AC、VPN、SC、MIG!
后面我一一介绍各个设备的部署情况。先看一下我们集团的拓扑图。简单画下,拓扑不精美能理解意思就行,各位见谅。
 我来解释下整体拓扑结构,电信机房A是托管在电信IDC机房,本来打算就用一个机房,但是考虑到北方公司使用的联通网络,这样的话会造成ERP系统访问缓慢,因此又租用了一个双线机房B。毕竟2个机房的设备众多不便于搬迁,因此互联互通问题就是一个麻烦的问题。我们要求,任意一家单位可以访问任意一个区域,也就是全集团互访。例如A公司能访问D公司,D公司能访问G公司,H公司能访问电信机房的服务器也能访问双线机房的服务器。需求出来了,各位可以先自己思考下,如果是你们的话你们用什么方案来搭建,我还在考虑怎么能更加优化这个方案。
我们的方案是,首先将双线机房B设置为中心端,所有的数据全部集中在这个机房,统一从这个机房中转。
防火墙(品牌就不说了,当时深信服NGAF还没推出现在叫AF),1台
深信服WOC-3050(做的HA),2台
深信服SC-470,1台
深信服VPN-2050,1台
拓扑结构如下:
 之前整个机房是不允许外部网络访问的,所以将SC470放置在了防火墙下面,通过防火墙NAT出去,以便于分子公司的WOC设备能够访问到SC。两台WOC3050做的HA分别接了电信和联通的互联网出口,SSLVPN也是接的电信和联通双出口。自此,双线机房的网络基本上大家完毕,我上一张交换机的配置图片。第一张是接口信息
 第二张是路由信息,后面给大家说关于路由表的问题
在开始的拓扑图里面我们的电信机房里面还有一部分服务器,这部分服务器网络相对来说比较简单,但是当初的时候从电信机房到双线机房使用的是我们之前的FreeBSD搭建的VPN,因此这里还要配置相应路由。在2014年的时候双线机房停电(没错就是机房停电,这么扯淡的事情都能遇到)导致我们的FreeBSD服务器启动不起来了,我当时就拿了一台深信服的VPN设备到电信机房,这个事故导致我们部分业务瘫痪8个小时。
题外话:所以大家以后托管一定要找专业机房啊,电信机房5年了没停过电,只因为光纤交割断过2回网,都提前通知了的,每次都是半夜,断网2个小时左右。这次停电的机房是国内某大型集团的内部机房,我们租用了2个机柜就是考虑他有双线接入,价格也还可以。他们损失比我们大,我们就一台FreeBSD的VPN服务器起不来,他们2套存储没起来,工程师连夜赶来维修,我们开车过去的时候20多号人都在那里加班忙。
 从上面的拓扑图可以看出来,相当的简单,电信机房的业务是之前的部分老的业务,整体网络结构相当简单,主要就是一部分内部服务器和几台外部可以访问的服务器,其实外部服务器也和内部服务器有连接这里没有反映出来。涉及到安全问题,所以后期我还在考虑是否要上防火墙的问题。电信机房的拓扑和我们的小型分公司拓扑一样,就一个子网,网络简单,没有技术含量。麻烦的问题可能在于部分中型分公司。
现在机房的设计已经完成了,剩下就是分公司了,小公司没有什么大的问题, 和电信机房一样,一个简单的子网就OK,但是对于大中型公司就不能这么简单了。
 以上面的拓扑图举例,这是一家相对来说比较上规模的公司,内部用户应该在200人左右,使用的WOC2050作为出口网关,以网关模式部署。整个公司有8个VLAN,上图只是画了个大概意思,并没有把所有的LAN画完,全部在线的主机数量在250左右,月底营销人员回来主机数量会上升到300以上。
双线机房的网络结构最为复杂,本来是不需要这么复杂的,但领导除了要考虑安全性,还要能和其它IT公司接轨,同时,要看起来更加高大上。,因此各个东西都设计都想上!
举个例子,之前我们分公司使用的都是192.168的C类网段,由于担心子网内的IP地址不够,因此想设计大的子网,我就建议用172.16的B类,然后他就让系统集成商来规划我们的分公司的网络。系统集成商和我加班整完了他又觉得其实10的A类网络很好的嘛,完全满足公司未来发展需求,公司在飞速发展应该用大范围内的IP网络,免得以后公司大了IP地址不够用。我当时说,完全没有必要担心IP地址不够的问题。第一,公司发展没有那么快;第二,就算发展那么快C类地址的网段也完全能够满足;第三,对于网络来说子网内的IP地址数量越少网络越稳定(一定范围内)。这个吐槽就到这,吐槽归吐槽,最终还是把双线机房里面网络环境搭建起来了,整个双线机房里面的网络也都通了,就暂时不提了。
建设之初电信机房A到双线机房B是使用的我们的FreeBSD系统搭建的VPN,这个是领导自己搭建出来的,他觉得没必要换,而且机房里采用的是戴尔的服务器,所以不舍得换,当时就没有买深信服的设备,这就需要在双线机房B的交换机上写一条路由。现在我们的路由是192.168.1.0/24 10.1.253.2当时是192.168.1.0/24172.16.33.2(上面的路由表信息里面能看到)
小规模分公司网络结构简单,一般就一个LAN,一个C段的IP地址就够了,所以相对来说比较简单。不过连接上双线机房B的VPN后发现无法访问其他分公司和电信机房。我们最终做了一下设置来调整。
首先,双线机房B的深信服WOC上设备本地网络需要添加相应网段。
 随后还需要根据需求添加静态路由。
 【注】因为涉及到公司的机密,只展示部分配置。
进行以上配置后还需要在分支端配置隧道间路由。配置位置为“SANGFOR VPN”-“高级设置”-“隧道间路由”,添加以下路由。这条路由表示从10.2.2.0/24这个IP段前往192.168.0.0/16的数据走VPN通道,这样就能做到分公司能访问到电信机房A。
 需要注意的是隧道间路由的掩码写的时候尽量写小。例如,之前我们设计的网络主要是10.1.0.0-10.6.0.0因此子网掩码可以设置成255.248.0.0即可,后来设计的网络里面有了10.99.0.0网段,这个时候就必须要255.0.0.0了。按照如此设置在AC、MIG、WOC上均正常,但是在AF上会报错,该问题已经向深信服反映,待解决中。在未解决的情况下AF的隧道间路由设置相当麻烦。例如:
像我们这种集团行公司,全集团的网段超过50个,这样子要把人弄疯,不过子网范围设小应该是网络管理人员的基本意识。越小的子网相对来说越安全,例如我喜欢设备设置的子网一般都在24位-30位左右,因为毕竟这类主机数量不多,没有必要设置很大的子网。
在我们集团,有一个比较特殊的现象就是有可能2个不同的公司在一个办公场所办公,这类需要将业务区分开的最好的方式就是用三层交换机划分VLAN来做了。考虑到分公司的具体情况这样的投入成本太高,因此在部分具有2个子网的分公司我们就采用了深信服LAN和DMZ2个区域的方式来划分和隔离网络。
©2001-2018 深圳市欧克信息技术有限公司 版权所有 | 粤ICP备07005905号 www.okrj.com.cn
友情链接:www.sangfor.com.cn www.51cto.com https://www.microsoftstore.com.cn www.cisco.com |
