最近2024中文字幕大全视频_色狠狠综合网_无码aⅴ精品一区二区成人_先锋影音av资源网_成人激情在线播放_久久丝抹精品综合网站_中文字幕1日本_午夜亚洲?v日韩?v无码大全_在线播放亚洲_欧美人妻少妇精品

• 方案設(shè)計

• 雙線機房

  雙線機房的規(guī)劃和設(shè)置，我們雙線機房配置了以下設(shè)備

• 電信機房

• 分公司

      現(xiàn)在機房的設(shè)計已經(jīng)完成了，剩下就是分公司了，小公司沒有什么大的問題， 和電信機房一樣，一個簡單的子網(wǎng)就OK，但是對于大中型公司就不能這么簡單了。

以上面的拓撲圖舉例，這是一家相對來說比較上規(guī)模的公司，內(nèi)部用戶應(yīng)該在200人左右，使用的WOC2050作為出口網(wǎng)關(guān)，以網(wǎng)關(guān)模式部署。整個公司有8個VLAN，上圖只是畫了個大概意思，并沒有把所有的LAN畫完，全部在線的主機數(shù)量在250左右，月底營銷人員回來主機數(shù)量會上升到300以上。

• 施工階段的問題

• 雙線機房

      雙線機房的網(wǎng)絡(luò)結(jié)構(gòu)最為復雜,本來是不需要這么復雜的，但領(lǐng)導除了要考慮安全性，還要能和其它IT公司接軌，同時，要看起來更加高大上。,因此各個東西都設(shè)計都想上！

舉個例子，之前我們分公司使用的都是192.168的C類網(wǎng)段，由于擔心子網(wǎng)內(nèi)的IP地址不夠，因此想設(shè)計大的子網(wǎng)，我就建議用172.16的B類，然后他就讓系統(tǒng)集成商來規(guī)劃我們的分公司的網(wǎng)絡(luò)。系統(tǒng)集成商和我加班整完了他又覺得其實10的A類網(wǎng)絡(luò)很好的嘛，完全滿足公司未來發(fā)展需求，公司在飛速發(fā)展應(yīng)該用大范圍內(nèi)的IP網(wǎng)絡(luò)，免得以后公司大了IP地址不夠用。我當時說，完全沒有必要擔心IP地址不夠的問題。第一，公司發(fā)展沒有那么快；第二，就算發(fā)展那么快C類地址的網(wǎng)段也完全能夠滿足；第三，對于網(wǎng)絡(luò)來說子網(wǎng)內(nèi)的IP地址數(shù)量越少網(wǎng)絡(luò)越穩(wěn)定（一定范圍內(nèi)）。這個吐槽就到這，吐槽歸吐槽，最終還是把雙線機房里面網(wǎng)絡(luò)環(huán)境搭建起來了，整個雙線機房里面的網(wǎng)絡(luò)也都通了，就暫時不提了。

• 電信機房

      建設(shè)之初電信機房A到雙線機房B是使用的我們的FreeBSD系統(tǒng)搭建的VPN，這個是領(lǐng)導自己搭建出來的，他覺得沒必要換，而且機房里采用的是戴爾的服務(wù)器，所以不舍得換，當時就沒有買深信服的設(shè)備，這就需要在雙線機房B的交換機上寫一條路由?，F(xiàn)在我們的路由是192.168.1.0/24 10.1.253.2當時是192.168.1.0/24172.16.33.2(上面的路由表信息里面能看到)

• 小規(guī)模分公司

      小規(guī)模分公司網(wǎng)絡(luò)結(jié)構(gòu)簡單，一般就一個LAN，一個C段的IP地址就夠了，所以相對來說比較簡單。不過連接上雙線機房B的VPN后發(fā)現(xiàn)無法訪問其他分公司和電信機房。我們最終做了一下設(shè)置來調(diào)整。

首先，雙線機房B的深信服WOC上設(shè)備本地網(wǎng)絡(luò)需要添加相應(yīng)網(wǎng)段。

隨后還需要根據(jù)需求添加靜態(tài)路由。

【注】因為涉及到公司的機密，只展示部分配置。

      進行以上配置后還需要在分支端配置隧道間路由。配置位置為“SANGFOR VPN”-“高級設(shè)置”-“隧道間路由”，添加以下路由。這條路由表示從10.2.2.0/24這個IP段前往192.168.0.0/16的數(shù)據(jù)走VPN通道，這樣就能做到分公司能訪問到電信機房A。

     需要注意的是隧道間路由的掩碼寫的時候盡量寫小。例如，之前我們設(shè)計的網(wǎng)絡(luò)主要是10.1.0.0-10.6.0.0因此子網(wǎng)掩碼可以設(shè)置成255.248.0.0即可，后來設(shè)計的網(wǎng)絡(luò)里面有了10.99.0.0網(wǎng)段，這個時候就必須要255.0.0.0了。按照如此設(shè)置在AC、MIG、WOC上均正常，但是在AF上會報錯，該問題已經(jīng)向深信服反映，待解決中。在未解決的情況下AF的隧道間路由設(shè)置相當麻煩。例如：

網(wǎng)絡(luò)號（源）	子網(wǎng)掩碼（源）	網(wǎng)絡(luò)號（目的）	子網(wǎng)掩碼（目的）	目的路由用戶
10.2.2.0	255.255.255.0	192.168.1.0	255.255.255.0	分部VPN名稱
10.2.2.0	255.255.255.0	10.1.1.0	255.255.255.0	分部VPN名稱
10.2.2.0	255.255.255.0	10.3.2.0	255.255.255.0	分部VPN名稱

像我們這種集團行公司，全集團的網(wǎng)段超過50個，這樣子要把人弄瘋，不過子網(wǎng)范圍設(shè)小應(yīng)該是網(wǎng)絡(luò)管理人員的基本意識。越小的子網(wǎng)相對來說越安全，例如我喜歡設(shè)備設(shè)置的子網(wǎng)一般都在24位-30位左右，因為畢竟這類主機數(shù)量不多，沒有必要設(shè)置很大的子網(wǎng)。

• 2個子網(wǎng)的分公司

      在我們集團，有一個比較特殊的現(xiàn)象就是有可能2個不同的公司在一個辦公場所辦公，這類需要將業(yè)務(wù)區(qū)分開的最好的方式就是用三層交換機劃分VLAN來做了?？紤]到分公司的具體情況這樣的投入成本太高，因此在部分具有2個子網(wǎng)的分公司我們就采用了深信服LAN和DMZ2個區(qū)域的方式來劃分和隔離網(wǎng)絡(luò)。