某集团子公司全网络架构深度复盘（万字图文+配置详解）

写在前面大家好我是网管在一家制造子公司做网络管理。公司网络从一台家用路由器起步一步步发展到现在拥有双线负载、防火墙、行为管理、VPN、云桌面、监控、域控等一整套系统。设备越来越多结构越来越复杂很多时候解决问题全靠经验记忆。最近把整个公司的网络做了一次全盘梳理和文档沉淀。目的很简单把隐性的知识显性化画出准确的拓扑记录每一台设备的作用、配置和它背后的技术原理让未来可能接手的同事能通过这一篇文章快速上手甚至当作培训教材。所以这篇博文会非常长但很完整。我会从整体架构开始逐一深入讲解每个网络设备存在的意义和涉及的知识点最后给出完整的配置命令。无论你是刚入行的运维还是想了解企业网络设计思路的同行希望都能从中受益。一、为什么要做这次梳理“网工的最高境界不是会配多少协议而是当你离开后继任者能毫无障碍地理解你的设计逻辑。”我们的网络现状是多年滚动建设的结果文档缺失很多策略只有在我的脑子里。为了避免“那个人离职网络就瘫”的悲剧也为了自己日后快速排障我需要把它变成一份合格的资产清单和技术说明书。梳理的过程中我发现很多设计背后其实都有巧妙的技术原理支撑比如为什么要把防火墙做成透明模式车间怎么既用VPN又不能上外网这些我都会在下文抽丝剥茧地讲透。二、公司整体网络架构总览先上一张逻辑拓扑图让大家有一个宏观概念textInternet | -------------------------------- | | 移动光猫 联通光猫 | | WAN1 (eth0) WAN2 (eth1) ----------------------------- | ---------------- | ikuai 软路由 | 出口网关 | LAN:172.20.255.254/24 ---------------- | ---------------- | 防火墙 | 透明桥接 | (F1000-AI-20) | ---------------- | ---------------- | 上网行为管理 | 透明桥接 | (ACG1000-AI-30) | ---------------- | VLAN 255 Trunk | ----------------------------------------- | 核心交换机 | 三层网关 | (S5560X-30C-EI) | IP:172.20.255.1 -------------------------------------- | | | | -------------- | | ------------------ | | | | 服务器接入交换机办公接入1/办公接入2监控核心交换机 | | | --------------部门终端 VLAN 30-38监控接入(PoE摄像头) | | | |MSR3610域控文件云桌面设计部独立交换机VPN路由器 (IPsec)服务器ESXi192.168.1.0/24 (物理隔离)去往集团 10.0.0.0/8说明设计部的交换机没有出现在图中因为它与公司网络完全物理分离是一个独立的局域网。三、关键设计理念讲解知识延申重点在逐一介绍设备之前我想先讲清楚几个贯穿全网的核心设计思想这有助于理解后面为什么要那样配置。3.1 为什么防火墙和行为管理要“透明部署”通常防火墙有两种部署模式路由模式设备本身充当三层网关不同接口在不同网段需要配置NAT和路由。透明模式Transparent设备工作于二层桥接方式对上下行设备来说它就像一根网线完全不修改数据包的源目MAC和IP。我们选择透明模式的理由避免多重NAT出口有ikuai做NAT如果防火墙再用路由模式做一次NAT会形成双重NAT导致某些应用异常如FTP、VoIP且排错困难。保持原有三层结构不变我们的核心交换机是所有VLAN的网关全网路由策略、ACL、PBR都在核心上实现。透明模式的防火墙插在核心与出口之间只做安全包过滤不参与路由决策逻辑清晰。部署简单对网络无感知配置桥接聚合口插入链路上即可不需要更改任何IP规划。知识延伸透明防火墙如何工作透明防火墙内部会创建两个接口并桥接或加入同一个聚合口形成一个二层转发域。它对二层帧进行检查根据五元组匹配安全策略符合的放行不符合的丢弃。同时你可以给它配一个管理IP用于远程管理这个IP通过被桥接的VLAN与外界通信。3.2 核心交换机为什么是“三层网关”在小型网络中往往把路由器作为各VLAN的网关。但在我们企业网中核心交换机是一台三层交换机它承担了所有VLAN网关的角色。这样做的好处线速转发三层交换机基于硬件ASIC进行VLAN间路由速度远快于路由器软件转发。策略集中ACL访问控制、策略路由PBR、DHCP中继都可以集中配置在核心交换机上管理方便。扩展性好未来新增VLAN只需在核心上创建三层接口下联的接入交换机配置VLAN Trunk即可。知识延伸三层交换机与路由器的区别三层交换机 二层交换机 路由模块。虽然两者都能路由但三层交换机侧重于通过硬件快速转发VLAN间流量支持的路由协议较少但处理ACL、PBR等也足够强大。而路由器通常接口更灵活支持更丰富的路由协议和NAT、VPN等三层功能。3.3 车间VPN禁止外网是怎么优雅实现的这是一个经典需求车间终端只能访问集团内网通过VPN不允许上公网。我们的实现分两步第一步策略路由PBR强制VPN转发在核心交换机上配置一条策略路由匹配目的IP为10.0.0.0/8的数据包将下一跳强制指向VPN路由器172.20.255.10。这样车间PC访问集团服务器时流量不会走默认路由去ikuai上网而是被甩给VPN路由器加密后通过隧道发往总部。第二步ACL严格限制出方向在车间VLAN的三层接口上应用outbound方向的ACL依次放行DNS请求、公司内部IP、集团网段IP最后有一条拒绝所有即公网IP。这样即使有漏网之鱼试图直接访问公网也会在出网关前被核心交换机丢弃。结合来看策略路由决定“去哪里”ACL决定“禁止去哪”双重保障万无一失。四、设备角色与选型思路深度解析4.1 出口网关ikuai 软路由作用多WAN接入支持移动、联通双宽带同时在线。智能负载均衡根据“源IP目的IP”的哈希算法将不同会话分配到不同线路提高带宽利用率并能自动检测线路故障切换。NAT网络地址转换将内网私有地址转换为公网IP上网。基础DDoS防御、ARP绑定、动态域名等实用功能。为什么选ikuai而不是企业硬件路由器ikuai免费版基于X86架构性能依赖硬件配置给一块4口千兆网卡入门级CPU就能轻松带起500终端。它配置门槛低多线策略丰富特别适合预算有限的中型企业。而且我们还有专门的防火墙和行为管理做安全层ikuai只专注于出口性能和流控。知识延伸多线负载模式源IP目的IP同一个用户访问同一个网站始终走一条线路避免IP跳变。实时连接数按当前活跃连接数比例分配适合线路带宽不对等的情况。我们选前者的原因是保证访问B/S工单系统、网银等应用的稳定性。4.2 防火墙华三 SecPath F1000-AI-20作用工作于透明桥模式部署在ikuai与核心交换机之间。主要做安全包过滤基于五元组源IP、目的IP、源端口、目的端口、协议实施精细化的访问控制。集成IPS/AV模块能够检测并阻断网络攻击和病毒传播。透明模式下的安全策略怎么配在透明模式中安全域依然是必须的概念。我们一般把连接上下行的聚合口划入同一个安全域如trust域并配置域内策略因为透明模式默认域间策略是全通的但我们仍需要显式创建策略来为后续收严做准备例如未来可以禁止某个VLAN去往另一个VLAN等。知识延伸安全域和策略安全域是防火墙的一组接口的集合。流量在同一安全域内或在不同的安全域间流动时防火墙根据域间策略决定是否放行。透明模式下因为没有三层接口往往用一台聚合口加入管理域但业务流量仍需要对应策略。4.3 上网行为管理华三 SecPath ACG1000-AI-30作用同样透明桥接串联在防火墙与核心交换机之间。应用识别能够识别3000种以上的网络应用包括P2P下载、视频、游戏等。URL过滤可以禁止访问特定类别的网站。流量控制基于用户/IP/应用进行带宽限制和保障。上网日志审计满足合规要求所有上网记录可追溯。和防火墙的区别防火墙侧重包过滤和攻击防护行为管理侧重应用层的识别和控制。简单说防火墙管“能不能进”行为管理管“能用什么、用多少”。4.4 VPN路由器华三 MSR3610-X1作用与集团总部建立IPsec VPN隧道。将来自车间VLAN且目标为集团网段的流量进行加密和封装发往总部。旁挂在核心交换机只处理需要进隧道的流量。为什么旁挂因为VPN隧道仅服务于车间特定的业务不需要所有流量都经过它。如果把MSR串在主干链路上会成为性能瓶颈而且会增加全网的复杂性。旁挂模式通过策略路由精准引流干净利落。知识延伸IPsec VPN原理简析IPsec包含两个阶段IKE阶段1协商保护IKE本身的安全参数生成双向ISAKMP SA。IKE阶段2在保护下协商实际用来加密数据流的IPsec SA包括加密算法、验证算法等。最终形成两条单向SA对匹配感兴趣流由ACL定义的数据进行加密。4.5 核心交换机华三 S5560X-30C-EI作用提供所有VLAN的三层网关负责VLAN间路由。DHCP中继代理使各部门终端能从域控获取IP。配置策略路由PBR将车间VPN流量指向下一跳。配置ACL限制车间VLAN的访问权限。作为生成树RSTP的根桥保证二层网络无环路。知识延伸策略路由PBR与普通路由的区别普通路由基于目的IP查路由表PBR可以根据源IP、端口、协议等更灵活地决定下一跳。它优先级高于路由表常用于策略分流。我们的场景就是“来自车间网段的包看目的是不是集团是的话给VPN”。4.6 接入层交换机办公/服务器/监控均为二层交换机通过Trunk口与核心对接终结VLAN到端口。服务器接入交换机连接域控、文件服务器、云桌面主机。其中ESXi主机口是Trunk承载多个VLAN实现虚拟机到不同业务VLAN的桥接。监控接入交换机提供PoE供电摄像头即插即用全部划入VLAN100逻辑隔离。设计部交换机独立存在无需多说。知识延伸Trunk与Access端口Access属于一个VLAN收到的帧打上该VLAN标签发出时去掉标签。Trunk可承载多个VLAN通过802.1Q标签区分。连接交换机之间或交换机与虚拟化主机一般用Trunk。五、VLAN与IP地址规划表文档化VLAN ID名称网络号网关描述10Management172.20.0.0/24172.20.0.1设备管理20Server172.20.10.0/24172.20.10.1服务器、VPN管理30GM172.20.30.0/24172.20.30.1总经办31VP172.20.31.0/24172.20.31.1副总办32Finance172.20.32.0/24172.20.32.1财务部33Business172.20.33.0/24172.20.33.1商务部34Purchase172.20.34.0/24172.20.34.1采购部35Admin172.20.35.0/24172.20.35.1行政部36Warehouse172.20.36.0/24172.20.36.1物控部37Operation172.20.37.0/24172.20.37.1运营部38RD172.20.38.0/24172.20.38.1研发部60Workshop1172.20.60.0/24172.20.60.1车间161Workshop2172.20.61.0/24172.20.61.1车间2100Surveillance172.20.100.0/24172.20.100.1监控200Printer172.20.200.0/24172.20.200.1共享打印机255Transit172.20.255.0/24172.20.255.1 (核心) / .254 (ikuai)互联设计部独立网络192.168.1.0/24六、完整设备配置归档测试可用以下配置已经脱敏并在模拟环境验证通过可以直接作为配置备份或恢复使用。6.1 ikuai出口网关配置要点网口绑定eth0→wan1(移动)eth1→wan2(联通)eth2→lan1(172.20.255.254/24)多线负载启用模式源IP目的IP权重1:1静态路由目标172.20.0.0/16下一跳172.20.255.1开启远程维护SSH、Web管理6.2 防火墙 F1000-AI-20 透明模式bashsystem-view sysname FW firewall mode transparent vlan 255 quit interface Bridge-Aggregation1 port link-type trunk port trunk permit vlan 255 quit interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 255 port link-aggregation group 1 quit interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 255 port link-aggregation group 1 quit interface Bridge-Aggregation1 ip address 172.20.255.2 255.255.255.0 quit security-zone name Management import interface Bridge-Aggregation1 quit security-policy rule name trust_to_trust source-zone trust destination-zone trust action pass quit local-user admin class manage password simple Admin1234 service-type ssh telnet web authorization-attribute user-role network-admin quit ssh server enable save force6.3 上网行为管理 ACG1000-AI-30 透明模式bashsystem-view sysname ACG acg mode transparent vlan 255 quit interface Bridge-Aggregation1 port link-type trunk port trunk permit vlan 255 quit interface GigabitEthernet0/0 port link-type trunk port trunk permit vlan 255 port link-aggregation group 1 quit interface GigabitEthernet0/1 port link-type trunk port trunk permit vlan 255 port link-aggregation group 1 quit interface Bridge-Aggregation1 ip address 172.20.255.3 255.255.255.0 quit local-user acgadmin class manage password simple ACG1234 service-type web ssh authorization-attribute user-role network-admin quit ssh server enable save force6.4 核心交换机 S5560X精华bashsystem-view sysname Core # 创建VLAN与三层接口 vlan 10 vlan 20 vlan 30 vlan 31 vlan 32 vlan 33 vlan 34 vlan 35 vlan 36 vlan 37 vlan 38 vlan 60 vlan 61 vlan 100 vlan 200 vlan 255 quit interface Vlan-interface10 ip add 172.20.0.1 24 interface Vlan-interface20 ip add 172.20.10.1 24 interface Vlan-interface30 ip add 172.20.30.1 24 # ...其他VLAN接口类似 interface Vlan-interface60 ip add 172.20.60.1 24 interface Vlan-interface61 ip add 172.20.61.1 24 interface Vlan-interface100 ip add 172.20.100.1 24 interface Vlan-interface200 ip add 172.20.200.1 24 interface Vlan-interface255 ip add 172.20.255.1 24 quit # DHCP中继 dhcp enable interface Vlan-interface30 dhcp select relay dhcp relay server-address 172.20.10.10 # 重复各业务VLAN, 包括60,61 interface Vlan-interface60 dhcp select relay dhcp relay server-address 172.20.10.10 quit # 上下联口 interface Ten-GigabitEthernet1/0/25 port link-type trunk port trunk permit vlan 255 quit interface Ten-GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 10 20 200 quit interface range Ten-GigabitEthernet1/0/2 to Ten-GigabitEthernet1/0/5 port link-type trunk port trunk permit vlan 30 31 32 33 34 35 36 37 38 60 61 200 quit interface Ten-GigabitEthernet1/0/6 port link-type trunk port trunk permit vlan 100 quit # 默认路由 ip route-static 0.0.0.0 0 172.20.255.254 # 策略路由 车间-集团 走VPN acl advanced 3000 rule 0 permit ip destination 10.0.0.0 0.255.255.255 quit policy-based-route PBR-Workshop permit node 10 if-match acl 3000 apply next-hop 172.20.255.10 quit interface Vlan-interface60 ip policy-based-route PBR-Workshop quit interface Vlan-interface61 ip policy-based-route PBR-Workshop quit # 车间禁止外网ACL acl advanced 3001 rule 0 permit udp source 172.20.60.0 0.0.0.255 destination 172.20.10.10 0 destination-port eq 53 rule 1 permit udp source 172.20.61.0 0.0.0.255 destination 172.20.10.10 0 destination-port eq 53 rule 5 permit ip source 172.20.60.0 0.0.0.255 destination 172.20.0.0 0.0.255.255 rule 6 permit ip source 172.20.61.0 0.0.0.255 destination 172.20.0.0 0.0.255.255 rule 10 permit ip source 172.20.60.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 rule 11 permit ip source 172.20.61.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 rule 100 deny ip source 172.20.60.0 0.0.0.255 destination any rule 101 deny ip source 172.20.61.0 0.0.0.255 destination any quit interface Vlan-interface60 packet-filter 3001 outbound quit interface Vlan-interface61 packet-filter 3001 outbound quit # 生成树 stp mode rstp stp instance 0 root primary stp global enable # 管理 local-user netadmin class manage password simple Core1234 service-type ssh telnet web authorization-attribute user-role network-admin quit line vty 0 4 authentication-mode scheme quit ssh server enable save force6.5 VPN路由器 MSR3610-X1bashsystem-view sysname VPN interface GigabitEthernet0/0 ip address 172.20.255.10 255.255.255.0 quit ip route-static 0.0.0.0 0 172.20.255.1 acl advanced 3000 rule 0 permit ip source 172.20.60.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 rule 1 permit ip source 172.20.61.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 quit ike proposal 1 encryption-algorithm aes-cbc-256 authentication-algorithm sha256 dh group14 quit ike peer GroupVPN proposal 1 remote-address 1.1.1.1 # 集团公网IP pre-shared-key cipher GroupSecret quit ipsec transform-set TS-ESP encapsulation-mode tunnel esp encryption-algorithm aes-cbc-256 esp authentication-algorithm sha256 quit ipsec policy GroupPolicy 10 isakmp security acl 3000 ike-peer GroupVPN transform-set TS-ESP quit interface GigabitEthernet0/0 ipsec apply policy GroupPolicy quit local-user vpnadmin class manage password simple VPN1234 service-type ssh web authorization-attribute user-role network-admin quit ssh server enable save force6.6 服务器接入交换机bashsystem-view sysname Svr-Access vlan 10 vlan 20 vlan 200 quit interface GigabitEthernet1/0/27 port link-type trunk port trunk permit vlan 10 20 200 quit interface GigabitEthernet1/0/1 port link-type access port access vlan 20 description FileServer quit interface GigabitEthernet1/0/2 port link-type access port access vlan 20 description DC quit interface GigabitEthernet1/0/3 port link-type trunk port trunk permit vlan 20 30 to 38 60 61 200 description ESXi-Host quit interface Vlan-interface10 ip address 172.20.0.2 24 quit ip route-static 0.0.0.0 0 172.20.0.1 local-user netadmin class manage password simple SvrAcc123 service-type ssh web authorization-attribute user-role network-admin quit ssh server enable save force其余办公接入、监控交换机等配置因相似不再赘述核心思想就是Trunk上行、Access下行并开启边缘端口。七、验证方法确保一切如预期验证项操作期望结果双线负载tracert 某公网IP观察走不同线路不同源IP走不同WAN车间VPN在车间PC ping 10.x.x.x 集团系统通车间禁公网ping 8.8.8.8不通DNS解析nslookup 集团域名返回内部地址或正常解析设计部隔离设计部PC ping 172.20.10.10不通云桌面云桌面虚拟机 ping 同部门物理PC通且同VLAN监控互通NVR能访问摄像头画面正常八、写在最后这次梳理对我自己而言是一次非常有价值的“知识反刍”。很多配置当初是为了解决具体问题仓促上线的现在回头再看能提炼出更普适的设计思路。如果这篇文章能给同在做内部网络运维的朋友一点启发——比如如何用透明模式避免多重NAT如何组合PBR和ACL实现复杂的访问控制那么这几天的熬夜就值了。网络世界浩瀚保持记录和复盘是成长最快的方式。共勉。欢迎在评论区交流我会及时回复。声明本文所有IP地址及密码均为示例实际生产环境请替换。设备型号和命令基于华Comware V7。