安全高效的中小型網絡

時間 2019-12-19

原文原文鏈接

從第一次接觸DOS到winnt――win98――winme――win2000――winxp、linux等各類不一樣的操做系統，從給別人組裝兼容機――安裝操做系統――維修筆記本到維護整個網絡、服務器及周邊設備，經歷由易到難、由簡到繁的過程，也從中學習到不少技術知識，豐富了自身經驗。php

我如今的工做主要是負責系統集成弱電項目的售前、售中和售後的工做。我所參於實施的不少網絡工程中絕大多數是屬於中小型網絡，客戶端多的就200個左右，少一些的就幾十個。而就我所認知越小型的網絡對安全和效率就越不重視（如中病毒、網絡不通、速度慢、冗餘不夠等），反而是越大型網絡中對安全和效率的重視程度就越高。這樣就致使咱們去中小型網絡項目維護的成本遠高於對大型網絡進行維護的成本，形成這方面的緣由有不少，好比前期作設計時中小型網絡的預算比較少，高檔的安全類產品和智能、高效極簡的網絡產品因價格緣由沒法去採購。又或者由於中小型網絡沒有專門網絡技術人員去管理，人爲因素產生的故障不少等等。並且安全高效的中小型網絡是整個弱電系統的基礎，就像高樓的地基。如今愈來愈多的弱電系統（如數字視頻會議系統、數字校園廣播系統、數字監控系統、無線叫號系統、錄播系統等）都是基於網絡之上，若是網絡不順暢或出故障，就會形成整個弱電系統崩盤。linux

那麼有沒有一種即高效安全、又費用合適的中小型網絡架構呢？我就以我的經驗和看法根據下面（圖1）網絡架構拓撲圖，從六個方面來進行一一介紹。windows

圖1：安全高效的中小型網絡拓撲圖（網絡二層架構）緩存

1、OSI網絡模型中第二層和第三層的設備――交換機安全

交換機是在網絡系統中最基本的設備單元，在網絡工程中須要根據用戶的需求和預算來選擇不一樣類型和功能的交換機。如今電腦、筆記本等終端設備都已是千兆網卡了，因此接入層千兆交換機已是標配了吧，若是你仍是給用戶提供百兆交換機那能行嗎。服務器

我如今給用戶規劃中小型網絡架構是千兆接入――〉萬兆核心（二層架構），在接入和核心之間使用光纖鏈接，若是預算容許核心交換機能夠採購兩臺作虛擬化冗餘備份和負載均衡（如銳捷的VSU，華爲的CSS，華三的IRF，思科的VSS）。而二層架構還有個好處就是管理起來很是方便，管理員只需在覈心上修改配置或策略就能夠控制整個網絡，這樣也起到必定的網絡扁平化的做用。網絡

圖2架構

可能有人會說如今三層架構（接入――〉匯聚――〉核心）應該是最科學合理的，可我說網絡三層架構對於大型網絡來講纔是科學合理的，對中小型網絡來講是浪費。三層架構最重要的做用是在匯聚上作策略（作網關、ACL、路由、DHCP等），核心上只是起數據交換（給處理器減壓，已達到更快的速度）做用。而中小型網絡由於客戶端很少，數據流量不會很大，使用一臺性價比適中的三層交換機（如銳捷RG-S6100系列萬兆交換機，華爲S6700系列萬兆交換機等）就足以達到核心的做用。併發

圖3負載均衡

在我去掉昂貴中間層匯聚交換機設備後，接入層交換機建議就使用費用相對低的千兆接入萬兆上聯交換機（如銳捷RG-S2910系列交換機，華爲S5700-EI系列交換機等）就能夠達到要求，若是預算不夠採用全千兆交換機也行。強烈要求不要採購沒有管理口的傻瓜交換機，接入層交換機是要求要能夠去劃分VLAN的，單位能夠根據部門不一樣、保密級別不一樣而劃分不一樣的VLAN，甚至可使用VLSM技術更加精細化的劃分客戶端，這樣能夠隔離通訊、廣播風暴和病毒蔓延，加強網絡安全性。若是是不可管理交換機，就沒法劃分VLAN，有一臺客戶端中毒就可能致使整個網絡癱瘓。

這裏我再多說一點，就是有一次我去家單位幫忙解決網絡故障，負責人給我介紹網絡狀況時說他們使用的網絡是三層架構，這是接入層交換機，這是匯聚層交換機，而後再所有匯聚到機房的核心上。可當我深刻了解後發現，它們的網關、DHCP等仍是配置在覈心交換機上，他們所說的匯聚交換機上只是配置了VLAN，根本就沒有起到三層架構真正的做用。它們這種只能稱做是三層結構，而不是網絡三層架構。

2、網絡邊界安全設備――防火牆、IPS、網關等

在一個網絡中不可能只是在本身的LAN中作數據通訊，確定是要鏈接到Internet上去的。據我觀察在不少中小型企業使用的仍是一臺路由器或軟路由（用臺式電腦裝個路由軟件）上Internet，這樣作的安全性不好，並且上網速率也不會很快。

圖4

使用路由器有哪些缺點呢？一、沒法檢測到病毒***。二、沒法作流量控制。三、沒法智能選路。四、沒法作上網行爲管理等等。因此我真的不同意只是一臺路由器去鏈接外網，好些的作法是在路由器和核心交換機之間佈置一臺防火牆設備（如銳捷RG-WALL 1600，華爲USG6000），能夠啓到阻斷病毒***做用。

若是本身的WEB服務器很重要，需防止惡意篡改網頁。咱們能夠在WEB服務器前面佈署一臺WAF（如銳捷RG-WG，華爲WAF2210），WAF能夠起到WEB站點防漏洞掃描、站點隱身、網頁防篡改等功能。若是怕本身內網的客戶端成爲***的「肉雞」，咱們能夠在網絡邊界透明佈署一臺NIP（如銳捷RG-IDP、華爲NIP6320），NIP能夠防止DDOS***、防止內部信息泄密、可對上網行爲進行流控等功能。若是對本身內網的數據安全要求很是高，要求嚴格控制每個訪問者。咱們能夠在訪問者和保護數據之間佈署一臺堡壘機（如銳捷RG-OAS、網神G1500），堡壘機能夠起至集中賬號管理、統一認證管理、集中受權管理、統一審計管理、數據單向流通等功能。若是須要在不一樣的地域創建本身的專網，咱們也能夠在邊界佈署一臺×××，它能夠知足IPsec ×××、SSL×××、L2TP ×××等多樣×××鏈接，比起去運營商那租一條專網節省很多費用，只需購買設備的費用，租金爲零。

圖5

如今不少安全廠商都在開發新一代的防火牆或網關產品，市場上也有不少型號（如銳捷EG2000、華爲USG2110），它們的特色就是性價比很高，集多種功能於一身。具備:一、優化體驗（智能選路、流量控制、緩存加速、雙邊加速、低質鏈路優化）。二、強化管理（身份認證管理、上網行爲管理、統一集中管理）。三、多合一（×××、防火牆、WEB）。有了這種新一代的安全產品，根本就不須要再去使用路由器設備，很是適合在中小型網絡佈署。

在咱們佈署的網絡中，全部的安全產品應該儘可能遵照異構原則。好比說咱們要在外網和內網各佈署一臺防火牆設備，那這兩臺設備就應該採購不一樣廠商的產品。由於若是是同一廠商的防火牆就可能會產生同一種漏洞，而不一樣廠商的產品因自身的病毒庫不同、檢測原則不同，產生漏洞的可能性就會小不少。

圖6

3、無線網絡――AC+AP+POE

在我所接觸的大多數中小型網絡裏，尚未使用AC+AP+POE架構的無線網絡。它們有的只是在有線網絡房間中接臺無線路由器或者有AP無AC，這樣的後果就是局域網內沒法實現無線漫遊，安全性差（無認證），非法DHCP蔓延等。

AC+AP+POE架構的特色是：

1、佈署靈活，接入方便。咱們能夠根據用戶的需求來選擇是使用802.11n（速率可達到450M）或802.11ac（速率可達到1G）的AP。也能夠根據場景的不一樣來選擇是使用放裝型AP（吊頂或壁掛）或牆面AP（安裝在86底盒上，好處在於不用從新佈線，就用原來的有線系統）。還能夠根據房間的密集度來選擇使用室分型AP（使用一分八天線進入各個房間）或智分+型AP（一臺智分+AP主機帶24臺微AP）。

圖7

2、集中管理，安全可靠。咱們對AP的管理能夠所有在AC管理器上完成（分配IP，劃分VLAN，DHCP服務等），若是兩個AP佈署很近，能夠自動調整兩個AP的信道，避免信道相同形成干擾。在三年前我實施的一個無線網絡項目中，還得本身去手動調整每一個AP之間的信道，而在去年我實施的國乒基地項目無線網絡中，就能夠用AC控制器去自動分配每一個AP之間不一樣的信道，這樣方便簡單不少，對於後期的維護也簡化很多。

3、佈線簡單，維護方便。在這裏咱們使用POE交換機（如銳捷RG-2710G、華爲S5700-PWR）對每一個AP單獨進行供電，這樣在綜合佈線時能夠不用佈置電源線，減小人工和線材，現場也美觀大方。如今有些廠商甚至開發出了HPOE交換機（如銳捷RG-2910H），能夠對大功率終端進行60W供電（如球型攝像機、室外AP等）知足不一樣終端設備的須要，故障點減小了咱們後期維護固然就方便拉。

4、計費認證，業務推送。若是用戶單位有計費認證的需求（如學校、商家等），大多數AC控制器帶有必定的計費認證功能，但它們有數量限制。在用戶認證數量過多時，我建議能夠佈署一臺獨立的認證服務器（如銳捷RG-ESS1000、華爲 SecoSpace 、 H3C iMC- - UAM 、深信服 AC/SG、深瀾等），它們能夠起到身份准入認證、主機端點防禦、用戶認證計費、精確業務推送（業務通知、營銷廣告等）、安全域等功能。

圖8

4、服務器設備――物理服務器、虛擬化（Vmware、Hyper-V、Fusion Compute等）

服務器集羣在中小型的網絡中不是很廣泛，但在很多單位中仍是須要的，如學校、事業單位等。在不少單位對服務器都沒有統一的規劃，有了項目或業務就增長一臺服務器，有多個項目就有多個服務器，這樣即不利於管理又形成浪費。

1、在單位對外業務單一，只須要一臺服務器時，那個人建議就是採購一臺物理服務器，即節省費用又能知足需求。不過爲了知足將來五年的業務需求，仍是要對這臺服務器性能作好規劃的，如服務器的CPU最少兩顆八核以上，內存64G以上，硬盤（最少兩塊SSD、4塊SAS，這樣能夠提升數據讀取速度和數據存儲空間、冗餘備份），一塊帶電池、高緩存的RAID卡（能夠按照硬盤配置數量作RAID0、一、五、六、10等，忽然斷電的狀況下保證數據不丟失），兩個光口和四個千兆電口（作端口聚合和冗餘備份、負載均衡等）。

2、在單位對外業務不少，並且隨着時間的推移業務還要擴展時，咱們能夠利用如今已經很成熟的服務器虛擬化技術。我建議在中小型網絡只須要採購兩臺物理服務器（配置參考上面第1條）就足夠了，在這兩臺服務器上能夠虛擬出30臺VM來知足用戶的需求，使用VMware vSphere、微軟的Hyper-V、華爲的Fusion Compute能夠對這兩臺服務器作成羣集Cluster，若是有一臺物理服務器出故障，上面的VM能夠自動漂移到另外一臺物理服務器上，從而作到即在單臺服務器裏有冗餘備份，在兩臺服務器之間也有冗餘備份。並且在管理員本身的電腦上可使用客戶端軟件很便捷的管理VM，達到安全快捷扃平化管理。

圖9

3、有人可能會說你這樣規劃怎麼沒有看到數據存儲設備，我想說的是在中小型網絡中你去單獨配置存儲設備有些浪費，並且也不安全。若是你佈署一臺存儲來放數據，就是這臺存儲出故障了，你怎麼辦？你是否是又要加臺存儲來作備份容災，這是否是更進一步形成浪費。若是你以爲我上面沒有配置存儲感受數據存儲空間仍然不夠，那我建議你能夠再加一臺服務器（組成三臺），每臺服務器上增長相應的硬盤（擴展存儲空間），這三臺物理服務器能夠組成一個虛擬存儲（如VMware vSAN、華爲Fusion Storage等）來實現你所要求的功能，這樣能夠達到存儲空間大、後期擴展強、結構簡單、維護方便等特色。

圖10

5、桌面系統――windows域（Domain）環境

據我觀察在如今不光是中小型網絡，大型網絡中也少見域（Domain）環境，基本上全是以工做組的形式來組建桌面網絡。工做組桌面網絡架構確實有安裝簡單、網絡資源消耗低等優勢，但缺點太多：一、網絡安全性低。二、集中管理不方便。三、公共應用配置繁瑣。四、無權限配置。因此說對於管理人員來講剛開始使用是簡單方便了，但隨着各個應用愈來愈多，病毒也愈來愈多，權限設置愈來愈多的時候，你只能是疲於應付，只到把你累癱爲至。

域（Domain）環境有哪些優勢呢？一、管理方便。在域中，每一個域用戶帳戶均可以在域中任意一臺容許本地登陸的計算機上登陸域，只要該計算機與DC在同一個網絡中便可。並且用戶的桌面環境及其餘帳戶配置不會因在不一樣計算機上登陸而不一樣，由於域支持全局漫遊用戶配置文件。這樣就極大方便了用戶的網絡訪問。二、安全性更高。由於域的全局用戶帳戶和安全策略都是集中在一臺或者少數幾臺DC上進行配置與管理的，因此相對工做組網絡來講，這些配置的安全性就更高，更不容易被人***和破解。一樣，因爲域中的用戶數據能夠存放在一臺或者少數幾臺服務器上，企業網絡數據也就更安全。三、網絡訪問更方便。域是採用單點登陸方式，用戶只須要用戶域帳戶登陸一次域，就能夠無限地訪問容許訪問的全部網絡資源，而無需反覆輸入不一樣帳戶信息進行身份驗證。

咱們在域（Domain）環境中權限管理集中後，全部網絡資源，包括用戶，均是在DC（域控制器）上進行維護，便於集中管理。全部用戶只要登入到域，在域內均能進行身份驗證，管理人員能夠較好的管理計算機資源，管理網絡的成本大大下降。咱們能夠只容許管理人員在DC（域控制器）上指定某些軟件才能安裝，這樣能加強客戶端安全性、防止未受權人員在客戶端亂裝軟件, 減小客戶端故障，下降維護成本。有利於單位對保密數據資料進行管理，好比某些盤符只能容許受權用戶才能訪問，某些文件能夠容許看，但不能刪除或修改。還能夠直接在DC（域控制器）上進行系統補丁的升級（如Windows Updates），而後下面的客戶端再鏈接DC進行系統更新，從而節省大量網絡帶寬。

圖11

固然，域（Domain）環境也不是沒有缺點，它就是前期佈署時有些麻煩，後期的正常維護須要有必定技術水平的網絡管理人員（其實也不須要水平有多高，域環境中出現的問題去問下度娘或買本AD配置指南都有很好的解答）。

6、雲桌面系統――VMware Horizon、華爲Fusion Access、銳捷RG-RCD6000-Office

在我所在的城市還暫時沒看到使用雲桌面進行辦公的單位，在我公司即將實施的某個項目中到是有云桌面系統（VMware Horizon6，必竟還未作起來）。而在傳傳統PC終端組成的信息化辦公場景逐漸暴露出種種不足。例如：在辦公室工做時，不只公用電腦上安裝的軟件衆多、操做緩慢，人員還須要自行攜帶U盤複製數據，數據丟失和病毒感染事件經常發生；在辦公室工做時，不只優質辦公資源篩選費時費力、各部門之間數據共享困難，人員還須要本身找各類工具、重複下載和處理資料，浪費大量時間，嚴重影響工做效率。隨着信息化技術的演進，人員對辦公系統的要求也愈來愈高，但傳統的IT構架模式所面臨的困境卻日益凸顯。

圖12

雲桌面解決方案由虛擬化技術構建基礎存儲集羣，集羣配套性能能夠支持用戶所需的併發用戶集中訪問。辦公室中部署雲桌面終端或終端一體機，也能夠利舊（原有臺式電腦安裝雲客戶端軟件）經過網絡鏈接至雲主機集羣獲取我的專屬公桌面，完全實現辦公設備的部署集中化，管理智能化，維護簡單化。能夠節省能源，一套臺式電腦有300多W，而一個終端+顯示器也只有20多W，這樣算起來幾十套電腦設備一年要節省很多的電費（按50套電腦算，一年能夠節省5萬元電費）。能夠減小後期投資，你一套臺式電腦最多隻能用3－5年，而云桌面你只需對系統模板進行相應升級，就能夠跟上潮流，十年能夠不用再投資。能夠方便進行移動辦公，什麼意思呢？就是說你在辦公室沒幹完的事，回家後再登錄雲桌面進行工做便可。這樣就避免了傳統PC時代，還要用U盤導資料，回到家中還要面對桌面環境不一致的尷尬狀況。能夠方便快速的恢復系統，當你係統中毒或沒法啓動時，雲桌面能夠在十分鐘內就恢復你的桌面環境，數據也不會丟失。

若是在你的單位已經佈署了我前面所說的第四點服務器虛擬化後，再佈署雲桌面就更經濟更方便更快速。你只用增長相應的終端設備就能夠很好的搭建雲桌面環境（如VMware Horizon、華爲Fusion Access）。而銳捷的RG-RCD6000-Office是一個軟、硬件一體化的產品，若是你沒有作服務器虛擬化，那麼購買銳捷的RG-RCD6000-Office去佈署本身的雲桌面系統也是個不錯的選擇。

圖13

我對於一箇中小型網絡的看法也就這麼多，其實每一個人對如何建設一個安全高效的網絡都有本身的理解和意見，在這兒我只是提供你們一個規劃建議，有不足和錯誤的地方也不要噴我，這篇文章若是對某些人能起到必定的幫助做用，我也就感到很開心拉（^-^）。