慕思艾慕字母圈_曰本av中文字幕一区二区_都市欧美日韩激情_99久久无码免费国产_亚洲av日韩综合一区久热1_成人午夜福利在线观看视频免费_国产女18片毛片水真多_亚洲经典三级_视色4s影院在线观看_色婷婷五月综合在线播放

     我來解釋下整體拓?fù)浣Y(jié)構(gòu)，電信機(jī)房A是托管在電信IDC機(jī)房，本來打算就用一個機(jī)房，但是考慮到北方公司使用的聯(lián)通網(wǎng)絡(luò)，這樣的話會造成ERP系統(tǒng)訪問緩慢，因此又租用了一個雙線機(jī)房B。畢竟2個機(jī)房的設(shè)備眾多不便于搬遷，因此互聯(lián)互通問題就是一個麻煩的問題。我們要求，任意一家單位可以訪問任意一個區(qū)域，也就是全集團(tuán)互訪。例如A公司能訪問D公司，D公司能訪問G公司，H公司能訪問電信機(jī)房的服務(wù)器也能訪問雙線機(jī)房的服務(wù)器。需求出來了，各位可以先自己思考下，如果是你們的話你們用什么方案來搭建，我還在考慮怎么能更加優(yōu)化這個方案。

• 方案設(shè)計

    我們的方案是，首先將雙線機(jī)房B設(shè)置為中心端，所有的數(shù)據(jù)全部集中在這個機(jī)房，統(tǒng)一從這個機(jī)房中轉(zhuǎn)。

• 雙線機(jī)房

  雙線機(jī)房的規(guī)劃和設(shè)置，我們雙線機(jī)房配置了以下設(shè)備

防火墻（品牌就不說了，當(dāng)時深信服NGAF還沒推出現(xiàn)在叫AF），1臺

深信服WOC-3050（做的HA），2臺

深信服SC-470，1臺

深信服VPN-2050,1臺

拓?fù)浣Y(jié)構(gòu)如下：

     之前整個機(jī)房是不允許外部網(wǎng)絡(luò)訪問的，所以將SC470放置在了防火墻下面，通過防火墻NAT出去，以便于分子公司的WOC設(shè)備能夠訪問到SC。兩臺WOC3050做的HA分別接了電信和聯(lián)通的互聯(lián)網(wǎng)出口，SSLVPN也是接的電信和聯(lián)通雙出口。自此，雙線機(jī)房的網(wǎng)絡(luò)基本上大家完畢，我上一張交換機(jī)的配置圖片。第一張是接口信息

第二張是路由信息，后面給大家說關(guān)于路由表的問題

• 電信機(jī)房

      在開始的拓?fù)鋱D里面我們的電信機(jī)房里面還有一部分服務(wù)器，這部分服務(wù)器網(wǎng)絡(luò)相對來說比較簡單，但是當(dāng)初的時候從電信機(jī)房到雙線機(jī)房使用的是我們之前的FreeBSD搭建的VPN，因此這里還要配置相應(yīng)路由。在2014年的時候雙線機(jī)房停電（沒錯就是機(jī)房停電，這么扯淡的事情都能遇到）導(dǎo)致我們的FreeBSD服務(wù)器啟動不起來了，我當(dāng)時就拿了一臺深信服的VPN設(shè)備到電信機(jī)房，這個事故導(dǎo)致我們部分業(yè)務(wù)癱瘓8個小時。

題外話：所以大家以后托管一定要找專業(yè)機(jī)房啊，電信機(jī)房5年了沒停過電，只因為光纖交割斷過2回網(wǎng)，都提前通知了的，每次都是半夜，斷網(wǎng)2個小時左右。這次停電的機(jī)房是國內(nèi)某大型集團(tuán)的內(nèi)部機(jī)房，我們租用了2個機(jī)柜就是考慮他有雙線接入，價格也還可以。他們損失比我們大，我們就一臺FreeBSD的VPN服務(wù)器起不來，他們2套存儲沒起來，工程師連夜趕來維修，我們開車過去的時候20多號人都在那里加班忙。

       從上面的拓?fù)鋱D可以看出來，相當(dāng)?shù)暮唵?/font>，電信機(jī)房的業(yè)務(wù)是之前的部分老的業(yè)務(wù)，整體網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)簡單，主要就是一部分內(nèi)部服務(wù)器和幾臺外部可以訪問的服務(wù)器，其實外部服務(wù)器也和內(nèi)部服務(wù)器有連接這里沒有反映出來。涉及到安全問題，所以后期我還在考慮是否要上防火墻的問題。電信機(jī)房的拓?fù)浜臀覀兊男⌒头止就負(fù)湟粯?/font>，就一個子網(wǎng)，網(wǎng)絡(luò)簡單，沒有技術(shù)含量。麻煩的問題可能在于部分中型分公司。

• 分公司

      現(xiàn)在機(jī)房的設(shè)計已經(jīng)完成了，剩下就是分公司了，小公司沒有什么大的問題， 和電信機(jī)房一樣，一個簡單的子網(wǎng)就OK，但是對于大中型公司就不能這么簡單了。

以上面的拓?fù)鋱D舉例，這是一家相對來說比較上規(guī)模的公司，內(nèi)部用戶應(yīng)該在200人左右，使用的WOC2050作為出口網(wǎng)關(guān)，以網(wǎng)關(guān)模式部署。整個公司有8個VLAN，上圖只是畫了個大概意思，并沒有把所有的LAN畫完，全部在線的主機(jī)數(shù)量在250左右，月底營銷人員回來主機(jī)數(shù)量會上升到300以上。

• 施工階段的問題

• 雙線機(jī)房

      雙線機(jī)房的網(wǎng)絡(luò)結(jié)構(gòu)最為復(fù)雜,本來是不需要這么復(fù)雜的，但領(lǐng)導(dǎo)除了要考慮安全性，還要能和其它IT公司接軌，同時，要看起來更加高大上。,因此各個東西都設(shè)計都想上！

舉個例子，之前我們分公司使用的都是192.168的C類網(wǎng)段，由于擔(dān)心子網(wǎng)內(nèi)的IP地址不夠，因此想設(shè)計大的子網(wǎng)，我就建議用172.16的B類，然后他就讓系統(tǒng)集成商來規(guī)劃我們的分公司的網(wǎng)絡(luò)。系統(tǒng)集成商和我加班整完了他又覺得其實10的A類網(wǎng)絡(luò)很好的嘛，完全滿足公司未來發(fā)展需求，公司在飛速發(fā)展應(yīng)該用大范圍內(nèi)的IP網(wǎng)絡(luò)，免得以后公司大了IP地址不夠用。我當(dāng)時說，完全沒有必要擔(dān)心IP地址不夠的問題。第一，公司發(fā)展沒有那么快；第二，就算發(fā)展那么快C類地址的網(wǎng)段也完全能夠滿足；第三，對于網(wǎng)絡(luò)來說子網(wǎng)內(nèi)的IP地址數(shù)量越少網(wǎng)絡(luò)越穩(wěn)定（一定范圍內(nèi)）。這個吐槽就到這，吐槽歸吐槽，最終還是把雙線機(jī)房里面網(wǎng)絡(luò)環(huán)境搭建起來了，整個雙線機(jī)房里面的網(wǎng)絡(luò)也都通了，就暫時不提了。

• 電信機(jī)房

      建設(shè)之初電信機(jī)房A到雙線機(jī)房B是使用的我們的FreeBSD系統(tǒng)搭建的VPN，這個是領(lǐng)導(dǎo)自己搭建出來的，他覺得沒必要換，而且機(jī)房里采用的是戴爾的服務(wù)器，所以不舍得換，當(dāng)時就沒有買深信服的設(shè)備，這就需要在雙線機(jī)房B的交換機(jī)上寫一條路由?，F(xiàn)在我們的路由是192.168.1.0/24 10.1.253.2當(dāng)時是192.168.1.0/24172.16.33.2(上面的路由表信息里面能看到)

• 小規(guī)模分公司

      小規(guī)模分公司網(wǎng)絡(luò)結(jié)構(gòu)簡單，一般就一個LAN，一個C段的IP地址就夠了，所以相對來說比較簡單。不過連接上雙線機(jī)房B的VPN后發(fā)現(xiàn)無法訪問其他分公司和電信機(jī)房。我們最終做了一下設(shè)置來調(diào)整。

首先，雙線機(jī)房B的深信服WOC上設(shè)備本地網(wǎng)絡(luò)需要添加相應(yīng)網(wǎng)段。

隨后還需要根據(jù)需求添加靜態(tài)路由。

【注】因為涉及到公司的機(jī)密，只展示部分配置。

      進(jìn)行以上配置后還需要在分支端配置隧道間路由。配置位置為“SANGFOR VPN”-“高級設(shè)置”-“隧道間路由”，添加以下路由。這條路由表示從10.2.2.0/24這個IP段前往192.168.0.0/16的數(shù)據(jù)走VPN通道，這樣就能做到分公司能訪問到電信機(jī)房A。

     需要注意的是隧道間路由的掩碼寫的時候盡量寫小。例如，之前我們設(shè)計的網(wǎng)絡(luò)主要是10.1.0.0-10.6.0.0因此子網(wǎng)掩碼可以設(shè)置成255.248.0.0即可，后來設(shè)計的網(wǎng)絡(luò)里面有了10.99.0.0網(wǎng)段，這個時候就必須要255.0.0.0了。按照如此設(shè)置在AC、MIG、WOC上均正常，但是在AF上會報錯，該問題已經(jīng)向深信服反映，待解決中。在未解決的情況下AF的隧道間路由設(shè)置相當(dāng)麻煩。例如：

網(wǎng)絡(luò)號（源）	子網(wǎng)掩碼（源）	網(wǎng)絡(luò)號（目的）	子網(wǎng)掩碼（目的）	目的路由用戶
10.2.2.0	255.255.255.0	192.168.1.0	255.255.255.0	分部VPN名稱
10.2.2.0	255.255.255.0	10.1.1.0	255.255.255.0	分部VPN名稱
10.2.2.0	255.255.255.0	10.3.2.0	255.255.255.0	分部VPN名稱

像我們這種集團(tuán)行公司，全集團(tuán)的網(wǎng)段超過50個，這樣子要把人弄瘋，不過子網(wǎng)范圍設(shè)小應(yīng)該是網(wǎng)絡(luò)管理人員的基本意識。越小的子網(wǎng)相對來說越安全，例如我喜歡設(shè)備設(shè)置的子網(wǎng)一般都在24位-30位左右，因為畢竟這類主機(jī)數(shù)量不多，沒有必要設(shè)置很大的子網(wǎng)。

• 2個子網(wǎng)的分公司

      在我們集團(tuán)，有一個比較特殊的現(xiàn)象就是有可能2個不同的公司在一個辦公場所辦公，這類需要將業(yè)務(wù)區(qū)分開的最好的方式就是用三層交換機(jī)劃分VLAN來做了?？紤]到分公司的具體情況這樣的投入成本太高，因此在部分具有2個子網(wǎng)的分公司我們就采用了深信服LAN和DMZ2個區(qū)域的方式來劃分和隔離網(wǎng)絡(luò)。