2012年集團(tuán)打算整體上ERP系統(tǒng),因此當(dāng)時(shí)對(duì)整個(gè)集團(tuán)范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行升級(jí)和改造��,之前我們使用的FreeBSD搭建的VPN系統(tǒng)����,趁此機(jī)會(huì)我建議集團(tuán)上硬件的VPN設(shè)備��,主要考慮到硬件方便管理也帶流控功能也更加穩(wěn)定���,最后我力薦選擇了深信服的品牌��。
經(jīng)過各種功能對(duì)比����,需求確認(rèn)���,最終�����,我們集團(tuán)選擇了深信服的WOC�����、AC��、VPN�����、SC�、MIG���!
后面我一一介紹各個(gè)設(shè)備的部署情況。先看一下我們集團(tuán)的拓?fù)鋱D���。簡(jiǎn)單畫下�,拓?fù)洳痪滥芾斫庖馑季托?���,各位見諒?/font>
我來解釋下整體拓?fù)浣Y(jié)構(gòu)����,電信機(jī)房A是托管在電信IDC機(jī)房�����,本來打算就用一個(gè)機(jī)房�,但是考慮到北方公司使用的聯(lián)通網(wǎng)絡(luò)�����,這樣的話會(huì)造成ERP系統(tǒng)訪問緩慢����,因此又租用了一個(gè)雙線機(jī)房B。畢竟2個(gè)機(jī)房的設(shè)備眾多不便于搬遷�����,因此互聯(lián)互通問題就是一個(gè)麻煩的問題����。我們要求,任意一家單位可以訪問任意一個(gè)區(qū)域,也就是全集團(tuán)互訪���。例如A公司能訪問D公司�,D公司能訪問G公司����,H公司能訪問電信機(jī)房的服務(wù)器也能訪問雙線機(jī)房的服務(wù)器��。需求出來了,各位可以先自己思考下�����,如果是你們的話你們用什么方案來搭建,我還在考慮怎么能更加優(yōu)化這個(gè)方案。
我們的方案是���,首先將雙線機(jī)房B設(shè)置為中心端��,所有的數(shù)據(jù)全部集中在這個(gè)機(jī)房,統(tǒng)一從這個(gè)機(jī)房中轉(zhuǎn)�����。
-
雙線機(jī)房
雙線機(jī)房的規(guī)劃和設(shè)置,我們雙線機(jī)房配置了以下設(shè)備
防火墻(品牌就不說了��,當(dāng)時(shí)深信服NGAF還沒推出現(xiàn)在叫AF)�,1臺(tái)
深信服WOC-3050(做的HA)���,2臺(tái)
深信服SC-470����,1臺(tái)
深信服VPN-2050,1臺(tái)
拓?fù)浣Y(jié)構(gòu)如下:
之前整個(gè)機(jī)房是不允許外部網(wǎng)絡(luò)訪問的��,所以將SC470放置在了防火墻下面�,通過防火墻NAT出去��,以便于分子公司的WOC設(shè)備能夠訪問到SC��。兩臺(tái)WOC3050做的HA分別接了電信和聯(lián)通的互聯(lián)網(wǎng)出口�����,SSLVPN也是接的電信和聯(lián)通雙出口�����。自此�,雙線機(jī)房的網(wǎng)絡(luò)基本上大家完畢����,我上一張交換機(jī)的配置圖片��。第一張是接口信息
第二張是路由信息����,后面給大家說關(guān)于路由表的問題
在開始的拓?fù)鋱D里面我們的電信機(jī)房里面還有一部分服務(wù)器,這部分服務(wù)器網(wǎng)絡(luò)相對(duì)來說比較簡(jiǎn)單,但是當(dāng)初的時(shí)候從電信機(jī)房到雙線機(jī)房使用的是我們之前的FreeBSD搭建的VPN�,因此這里還要配置相應(yīng)路由�。在2014年的時(shí)候雙線機(jī)房停電(沒錯(cuò)就是機(jī)房停電��,這么扯淡的事情都能遇到)導(dǎo)致我們的FreeBSD服務(wù)器啟動(dòng)不起來了,我當(dāng)時(shí)就拿了一臺(tái)深信服的VPN設(shè)備到電信機(jī)房�����,這個(gè)事故導(dǎo)致我們部分業(yè)務(wù)癱瘓8個(gè)小時(shí)。
題外話:所以大家以后托管一定要找專業(yè)機(jī)房啊,電信機(jī)房5年了沒停過電����,只因?yàn)楣饫w交割斷過2回網(wǎng)����,都提前通知了的���,每次都是半夜��,斷網(wǎng)2個(gè)小時(shí)左右����。這次停電的機(jī)房是國內(nèi)某大型集團(tuán)的內(nèi)部機(jī)房�����,我們租用了2個(gè)機(jī)柜就是考慮他有雙線接入,價(jià)格也還可以��。他們損失比我們大,我們就一臺(tái)FreeBSD的VPN服務(wù)器起不來�,他們2套存儲(chǔ)沒起來�����,工程師連夜趕來維修����,我們開車過去的時(shí)候20多號(hào)人都在那里加班忙。
從上面的拓?fù)鋱D可以看出來�����,相當(dāng)?shù)暮?jiǎn)單�,電信機(jī)房的業(yè)務(wù)是之前的部分老的業(yè)務(wù)��,整體網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)簡(jiǎn)單,主要就是一部分內(nèi)部服務(wù)器和幾臺(tái)外部可以訪問的服務(wù)器�,其實(shí)外部服務(wù)器也和內(nèi)部服務(wù)器有連接這里沒有反映出來��。涉及到安全問題�����,所以后期我還在考慮是否要上防火墻的問題。電信機(jī)房的拓?fù)浜臀覀兊男⌒头止就負(fù)湟粯?/font>,就一個(gè)子網(wǎng)�����,網(wǎng)絡(luò)簡(jiǎn)單��,沒有技術(shù)含量。麻煩的問題可能在于部分中型分公司。
現(xiàn)在機(jī)房的設(shè)計(jì)已經(jīng)完成了��,剩下就是分公司了�,小公司沒有什么大的問題����, 和電信機(jī)房一樣�,一個(gè)簡(jiǎn)單的子網(wǎng)就OK,但是對(duì)于大中型公司就不能這么簡(jiǎn)單了�����。
以上面的拓?fù)鋱D舉例�����,這是一家相對(duì)來說比較上規(guī)模的公司,內(nèi)部用戶應(yīng)該在200人左右����,使用的WOC2050作為出口網(wǎng)關(guān)���,以網(wǎng)關(guān)模式部署����。整個(gè)公司有8個(gè)VLAN�,上圖只是畫了個(gè)大概意思,并沒有把所有的LAN畫完���,全部在線的主機(jī)數(shù)量在250左右���,月底營銷人員回來主機(jī)數(shù)量會(huì)上升到300以上�����。
雙線機(jī)房的網(wǎng)絡(luò)結(jié)構(gòu)最為復(fù)雜,本來是不需要這么復(fù)雜的�����,但領(lǐng)導(dǎo)除了要考慮安全性���,還要能和其它IT公司接軌����,同時(shí)�����,要看起來更加高大上。,因此各個(gè)東西都設(shè)計(jì)都想上���!
舉個(gè)例子,之前我們分公司使用的都是192.168的C類網(wǎng)段����,由于擔(dān)心子網(wǎng)內(nèi)的IP地址不夠���,因此想設(shè)計(jì)大的子網(wǎng),我就建議用172.16的B類�,然后他就讓系統(tǒng)集成商來規(guī)劃我們的分公司的網(wǎng)絡(luò)。系統(tǒng)集成商和我加班整完了他又覺得其實(shí)10的A類網(wǎng)絡(luò)很好的嘛,完全滿足公司未來發(fā)展需求��,公司在飛速發(fā)展應(yīng)該用大范圍內(nèi)的IP網(wǎng)絡(luò),免得以后公司大了IP地址不夠用����。我當(dāng)時(shí)說,完全沒有必要擔(dān)心IP地址不夠的問題����。第一�,公司發(fā)展沒有那么快��;第二����,就算發(fā)展那么快C類地址的網(wǎng)段也完全能夠滿足;第三��,對(duì)于網(wǎng)絡(luò)來說子網(wǎng)內(nèi)的IP地址數(shù)量越少網(wǎng)絡(luò)越穩(wěn)定(一定范圍內(nèi))����。這個(gè)吐槽就到這���,吐槽歸吐槽��,最終還是把雙線機(jī)房里面網(wǎng)絡(luò)環(huán)境搭建起來了�����,整個(gè)雙線機(jī)房里面的網(wǎng)絡(luò)也都通了�����,就暫時(shí)不提了�。
建設(shè)之初電信機(jī)房A到雙線機(jī)房B是使用的我們的FreeBSD系統(tǒng)搭建的VPN��,這個(gè)是領(lǐng)導(dǎo)自己搭建出來的����,他覺得沒必要換�����,而且機(jī)房里采用的是戴爾的服務(wù)器,所以不舍得換��,當(dāng)時(shí)就沒有買深信服的設(shè)備���,這就需要在雙線機(jī)房B的交換機(jī)上寫一條路由。現(xiàn)在我們的路由是192.168.1.0/24 10.1.253.2當(dāng)時(shí)是192.168.1.0/24172.16.33.2(上面的路由表信息里面能看到)
小規(guī)模分公司網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,一般就一個(gè)LAN,一個(gè)C段的IP地址就夠了��,所以相對(duì)來說比較簡(jiǎn)單�。不過連接上雙線機(jī)房B的VPN后發(fā)現(xiàn)無法訪問其他分公司和電信機(jī)房�。我們最終做了一下設(shè)置來調(diào)整�����。
首先��,雙線機(jī)房B的深信服WOC上設(shè)備本地網(wǎng)絡(luò)需要添加相應(yīng)網(wǎng)段�����。
隨后還需要根據(jù)需求添加靜態(tài)路由。
【注】因?yàn)?/font>涉及到公司的機(jī)密�,只展示部分配置�����。
進(jìn)行以上配置后還需要在分支端配置隧道間路由�����。配置位置為“SANGFOR VPN”-“高級(jí)設(shè)置”-“隧道間路由”���,添加以下路由。這條路由表示從10.2.2.0/24這個(gè)IP段前往192.168.0.0/16的數(shù)據(jù)走VPN通道���,這樣就能做到分公司能訪問到電信機(jī)房A����。
需要注意的是隧道間路由的掩碼寫的時(shí)候盡量寫小�。例如����,之前我們?cè)O(shè)計(jì)的網(wǎng)絡(luò)主要是10.1.0.0-10.6.0.0因此子網(wǎng)掩碼可以設(shè)置成255.248.0.0即可��,后來設(shè)計(jì)的網(wǎng)絡(luò)里面有了10.99.0.0網(wǎng)段����,這個(gè)時(shí)候就必須要255.0.0.0了�����。按照如此設(shè)置在AC�����、MIG、WOC上均正常�����,但是在AF上會(huì)報(bào)錯(cuò)���,該問題已經(jīng)向深信服反映,待解決中�����。在未解決的情況下AF的隧道間路由設(shè)置相當(dāng)麻煩��。例如:
像我們這種集團(tuán)行公司,全集團(tuán)的網(wǎng)段超過50個(gè)��,這樣子要把人弄瘋,不過子網(wǎng)范圍設(shè)小應(yīng)該是網(wǎng)絡(luò)管理人員的基本意識(shí)����。越小的子網(wǎng)相對(duì)來說越安全,例如我喜歡設(shè)備設(shè)置的子網(wǎng)一般都在24位-30位左右�����,因?yàn)楫吘惯@類主機(jī)數(shù)量不多����,沒有必要設(shè)置很大的子網(wǎng)����。
在我們集團(tuán)���,有一個(gè)比較特殊的現(xiàn)象就是有可能2個(gè)不同的公司在一個(gè)辦公場(chǎng)所辦公��,這類需要將業(yè)務(wù)區(qū)分開的最好的方式就是用三層交換機(jī)劃分VLAN來做了�?����?紤]到分公司的具體情況這樣的投入成本太高��,因此在部分具有2個(gè)子網(wǎng)的分公司我們就采用了深信服LAN和DMZ2個(gè)區(qū)域的方式來劃分和隔離網(wǎng)絡(luò)�����。
