安全高效的中小型网络

  

从第一次接触DOS到winnt――win98――winme――win2000――winxp、linux等各类不一样的操做系统，从给别人组装兼容机――安装操做系统――维修笔记本到维护整个网络、服务器及周边设备，经历由易到难、由简到繁的过程，也从中学习到不少技术知识，丰富了自身经验。

我如今的工做主要是负责系统集成弱电项目的售前、售中和售后的工做。我所参于实施的不少网络工程中绝大多数是属于中小型网络，客户端多的就200个左右，少一些的就几十个。而就我所认知越小型的网络对安全和效率就越不重视（如中病毒、网络不通、速度慢、冗余不够等），反而是越大型网络中对安全和效率的重视程度就越高。这样就致使咱们去中小型网络项目维护的成本远高于对大型网络进行维护的成本，形成这方面的缘由有不少，好比前期作设计时中小型网络的预算比较少，高档的安全类产品和智能、高效极简的网络产品因价格缘由没法去采购。又或者由于中小型网络没有专门网络技术人员去管理，人为因素产生的故障不少等等。并且安全高效的中小型网络是整个弱电系统的基础，就像高楼的地基。如今愈来愈多的弱电系统（如数字视频会议系统、数字校园广播系统、数字监控系统、无线叫号系统、录播系统等）都是基于网络之上，若是网络不顺畅或出故障，就会形成整个弱电系统崩盘。

那么有没有一种即高效安全、又费用合适的中小型网络架构呢？ 我就以我的经验和看法根据下面（图1）网络架构拓扑图，从六个方面来进行一一介绍。

图1：安全高效的中小型网络拓扑图（网络二层架构）

1、OSI网络模型中第二层和第三层的设备――交换机

交换机是在网络系统中最基本的设备单元，在网络工程中须要根据用户的需求和预算来选择不一样类型和功能的交换机。如今电脑、笔记本等终端设备都已是千兆网卡了，因此接入层千兆交换机已是标配了吧，若是你仍是给用户提供百兆交换机那能行吗。

我如今给用户规划中小型网络架构是千兆接入――〉万兆核心（二层架构），在接入和核心之间使用光纤链接，若是预算容许核心交换机能够采购两台作虚拟化冗余备份和负载均衡（如锐捷的VSU，华为的CSS，华三的IRF，思科的VSS）。而二层架构还有个好处就是管理起来很是方便，管理员只需在核心上修改配置或策略就能够控制整个网络，这样也起到必定的网络扁平化的做用。

图2

可能有人会说如今三层架构（接入――〉汇聚――〉核心）应该是最科学合理的，可我说网络三层架构对于大型网络来讲才是科学合理的，对中小型网络来讲是浪费。三层架构最重要的做用是在汇聚上作策略（作网关、ACL、路由、DHCP等），核心上只是起数据交换（给处理器减压，已达到更快的速度）做用。而中小型网络由于客户端很少，数据流量不会很大，使用一台性价比适中的三层交换机（如锐捷RG-S6100系列万兆交换机，华为S6700系列万兆交换机等）就足以达到核心的做用。

图3

在我去掉昂贵中间层汇聚交换机设备后，接入层交换机建议就使用费用相对低的千兆接入万兆上联交换机（如锐捷RG-S2910系列交换机，华为S5700-EI系列交换机等）就能够达到要求，若是预算不够采用全千兆交换机也行。强烈要求不要采购没有管理口的傻瓜交换机，接入层交换机是要求要能够去划分VLAN的，单位能够根据部门不一样、保密级别不一样而划分不一样的VLAN，甚至可使用VLSM技术更加精细化的划分客户端，这样能够隔离通讯、广播风暴和病毒蔓延，加强网络安全性。若是是不可管理交换机，就没法划分VLAN，有一台客户端中毒就可能致使整个网络瘫痪。

这里我再多说一点，就是有一次我去家单位帮忙解决网络故障，负责人给我介绍网络状况时说他们使用的网络是三层架构，这是接入层交换机，这是汇聚层交换机，而后再所有汇聚到机房的核心上。可当我深刻了解后发现，它们的网关、DHCP等仍是配置在核心交换机上，他们所说的汇聚交换机上只是配置了VLAN，根本就没有起到三层架构真正的做用。它们这种只能称做是三层结构，而不是网络三层架构。

2、网络边界安全设备――防火墙、IPS、网关等

在一个网络中不可能只是在本身的LAN中作数据通讯，确定是要链接到Internet上去的。据我观察在不少中小型企业使用的仍是一台路由器或软路由（用台式电脑装个路由软件）上Internet，这样作的安全性不好，并且上网速率也不会很快。

图4

使用路由器有哪些缺点呢？一、没法检测到病毒***。二、没法作流量控制。三、没法智能选路。四、没法作上网行为管理等等。因此我真的不同意只是一台路由器去链接外网，好些的作法是在路由器和核心交换机之间布置一台防火墙设备（如锐捷RG-WALL 1600，华为USG6000），能够启到阻断病毒***做用。

若是本身的WEB服务器很重要，需防止恶意篡改网页。咱们能够在WEB服务器前面布署一台WAF（如锐捷RG-WG，华为WAF2210），WAF能够起到WEB站点防漏洞扫描、站点隐身、网页防篡改等功能。若是怕本身内网的客户端成为***的“肉鸡”，咱们能够在网络边界透明布署一台NIP（如锐捷RG-IDP、华为NIP6320），NIP能够防止DDOS***、防止内部信息泄密、可对上网行为进行流控等功能。若是对本身内网的数据安全要求很是高，要求严格控制每个访问者。咱们能够在访问者和保护数据之间布署一台堡垒机（如锐捷RG-OAS、网神G1500），堡垒机能够起至集中账号管理、统一认证管理、集中受权管理、统一审计管理、数据单向流通等功能。若是须要在不一样的地域创建本身的专网，咱们也能够在边界布署一台×××，它能够知足IPsec ×××、SSL×××、L2TP ×××等多样×××链接，比起去运营商那租一条专网节省很多费用，只需购买设备的费用，租金为零。

图5

如今不少安全厂商都在开发新一代的防火墙或网关产品，市场上也有不少型号（如锐捷EG2000、华为USG2110），它们的特色就是性价比很高，集多种功能于一身。具备:一、优化体验（智能选路、流量控制、缓存加速、双边加速、低质链路优化）。二、强化管理（身份认证管理、上网行为管理、统一集中管理）。三、多合一（×××、防火墙、WEB）。有了这种新一代的安全产品，根本就不须要再去使用路由器设备，很是适合在中小型网络布署。

在咱们布署的网络中，全部的安全产品应该尽可能遵照异构原则。好比说咱们要在外网和内网各布署一台防火墙设备，那这两台设备就应该采购不一样厂商的产品。由于若是是同一厂商的防火墙就可能会产生同一种漏洞，而不一样厂商的产品因自身的病毒库不同、检测原则不同，产生漏洞的可能性就会小不少。

图6

3、无线网络――AC+AP+POE

在我所接触的大多数中小型网络里，尚未使用AC+AP+POE架构的无线网络。它们有的只是在有线网络房间中接台无线路由器或者有AP无AC，这样的后果就是局域网内没法实现无线漫游，安全性差（无认证），非法DHCP蔓延等。

AC+AP+POE架构的特色是：

1、布署灵活，接入方便。咱们能够根据用户的需求来选择是使用802.11n（速率可达到450M）或802.11ac（速率可达到1G）的AP。也能够根据场景的不一样来选择是使用放装型AP（吊顶或壁挂）或墙面AP（安装在86底盒上，好处在于不用从新布线，就用原来的有线系统）。还能够根据房间的密集度来选择使用室分型AP（使用一分八天线进入各个房间）或智分+型AP（一台智分+AP主机带24台微AP）。

图7

2、集中管理，安全可靠。咱们对AP的管理能够所有在AC管理器上完成（分配IP，划分VLAN，DHCP服务等），若是两个AP布署很近，能够自动调整两个AP的信道，避免信道相同形成干扰。在三年前我实施的一个无线网络项目中，还得本身去手动调整每一个AP之间的信道，而在去年我实施的国乒基地项目无线网络中，就能够用AC控制器去自动分配每一个AP之间不一样的信道，这样方便简单不少，对于后期的维护也简化很多。

3、布线简单，维护方便。在这里咱们使用POE交换机（如锐捷RG-2710G、华为S5700-PWR）对每一个AP单独进行供电，这样在综合布线时能够不用布置电源线，减小人工和线材，现场也美观大方。如今有些厂商甚至开发出了HPOE交换机（如锐捷RG-2910H），能够对大功率终端进行60W供电（如球型摄像机、室外AP等）知足不一样终端设备的须要，故障点减小了咱们后期维护固然就方便拉。

4、计费认证，业务推送。若是用户单位有计费认证的需求（如学校、商家等），大多数AC控制器带有必定的计费认证功能，但它们有数量限制。在用户认证数量过多时，我建议能够布署一台独立的认证服务器（如锐捷RG-ESS1000、华 为 SecoSpace 、 H3C  iMC- - UAM 、深信服 AC/SG、深澜等），它们能够起到身份准入认证、主机端点防御、用户认证计费、精确业务推送（业务通知、营销广告等）、安全域等功能。

图8

4、服务器设备――物理服务器、虚拟化（Vmware、Hyper-V、Fusion Compute等）

服务器集群在中小型的网络中不是很广泛，但在很多单位中仍是须要的，如学校、事业单位等。在不少单位对服务器都没有统一的规划，有了项目或业务就增长一台服务器，有多个项目就有多个服务器，这样即不利于管理又形成浪费。

1、在单位对外业务单一，只须要一台服务器时，那个人建议就是采购一台物理服务器，即节省费用又能知足需求。不过为了知足将来五年的业务需求，仍是要对这台服务器性能作好规划的，如服务器的CPU最少两颗八核以上，内存64G以上，硬盘（最少两块SSD、4块SAS，这样能够提升数据读取速度和数据存储空间、冗余备份），一块带电池、高缓存的RAID卡（能够按照硬盘配置数量作RAID0、一、五、六、10等，忽然断电的状况下保证数据不丢失），两个光口和四个千兆电口（作端口聚合和冗余备份、负载均衡等）。

2、在单位对外业务不少，并且随着时间的推移业务还要扩展时，咱们能够利用如今已经很成熟的服务器虚拟化技术。我建议在中小型网络只须要采购两台物理服务器（配置参考上面第1条）就足够了，在这两台服务器上能够虚拟出30台VM来知足用户的需求，使用VMware vSphere、微软的Hyper-V、华为的Fusion Compute能够对这两台服务器作成群集Cluster，若是有一台物理服务器出故障，上面的VM能够自动漂移到另外一台物理服务器上，从而作到即在单台服务器里有冗余备份，在两台服务器之间也有冗余备份。并且在管理员本身的电脑上可使用客户端软件很便捷的管理VM，达到安全快捷扃平化管理。

图9

3、有人可能会说你这样规划怎么没有看到数据存储设备，我想说的是在中小型网络中你去单独配置存储设备有些浪费，并且也不安全。若是你布署一台存储来放数据，就是这台存储出故障了，你怎么办？你是否是又要加台存储来作备份容灾，这是否是更进一步形成浪费。若是你以为我上面没有配置存储感受数据存储空间仍然不够，那我建议你能够再加一台服务器（组成三台），每台服务器上增长相应的硬盘（扩展存储空间），这三台物理服务器能够组成一个虚拟存储（如VMware vSAN、华为Fusion Storage等）来实现你所要求的功能，这样能够达到存储空间大、后期扩展强、结构简单、维护方便等特色。

图10

5、桌面系统――windows域（Domain）环境

据我观察在如今不光是中小型网络，大型网络中也少见域（Domain）环境，基本上全是以工做组的形式来组建桌面网络。工做组桌面网络架构确实有安装简单、网络资源消耗低等优势，但缺点太多：一、网络安全性低。二、集中管理不方便。三、公共应用配置繁琐。四、无权限配置。因此说对于管理人员来讲刚开始使用是简单方便了，但随着各个应用愈来愈多，病毒也愈来愈多，权限设置愈来愈多的时候，你只能是疲于应付，只到把你累瘫为至。

域（Domain）环境有哪些优势呢？一、管理方便。在域中，每一个域用户帐户均可以在域中任意一台容许本地登陆的计算机上登陆域，只要该计算机与DC在同一个网络中便可。并且用户的桌面环境及其余帐户配置不会因在不一样计算机上登陆而不一样，由于域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。二、安全性更高。由于域的全局用户帐户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的，因此相对工做组网络来讲，这些配置的安全性就更高，更不容易被人***和破解。一样，因为域中的用户数据能够存放在一台或者少数几台服务器上，企业网络数据也就更安全。三、网络访问更方便。域是采用单点登陆方式，用户只须要用户域帐户登陆一次域，就能够无限地访问容许访问的全部网络资源，而无需反复输入不一样帐户信息进行身份验证。

咱们在域（Domain）环境中权限管理集中后，全部网络资源，包括用户，均是在DC（域控制器）上进行维护，便于集中管理。全部用户只要登入到域，在域内均能进行身份验证，管理人员能够较好的管理计算机资源，管理网络的成本大大下降。咱们能够只容许管理人员在DC（域控制器）上指定某些软件才能安装，这样能加强客户端安全性、防止未受权人员在客户端乱装软件, 减小客户端故障，下降维护成本。有利于单位对保密数据资料进行管理，好比某些盘符只能容许受权用户才能访问，某些文件能够容许看，但不能删除或修改。还能够直接在DC（域控制器）上进行系统补丁的升级（如Windows Updates），而后下面的客户端再链接DC进行系统更新，从而节省大量网络带宽。

图11

固然，域（Domain）环境也不是没有缺点，它就是前期布署时有些麻烦，后期的正常维护须要有必定技术水平的网络管理人员（其实也不须要水平有多高，域环境中出现的问题去问下度娘或买本AD配置指南都有很好的解答）。

6、云桌面系统――VMware Horizon、华为Fusion Access、锐捷RG-RCD6000-Office

在我所在的城市还暂时没看到使用云桌面进行办公的单位，在我公司即将实施的某个项目中到是有云桌面系统（VMware Horizon6，必竟还未作起来）。而在传传统PC终端组成的信息化办公场景逐渐暴露出种种不足。例如：在办公室工做时，不只公用电脑上安装的软件众多、操做缓慢，人员还须要自行携带U盘复制数据，数据丢失和病毒感染事件经常发生；在办公室工做时，不只优质办公资源筛选费时费力、各部门之间数据共享困难，人员还须要本身找各类工具、重复下载和处理资料，浪费大量时间，严重影响工做效率。随着信息化技术的演进，人员对办公系统的要求也愈来愈高，但传统的IT构架模式所面临的困境却日益凸显。

图12

云桌面解决方案由虚拟化技术构建基础存储集群，集群配套性能能够支持用户所需的并发用户集中访问。办公室中部署云桌面终端或终端一体机，也能够利旧（原有台式电脑安装云客户端软件）经过网络链接至云主机集群获取我的专属公桌面，完全实现办公设备的部署集中化，管理智能化，维护简单化。能够节省能源，一套台式电脑有300多W，而一个终端+显示器也只有20多W，这样算起来几十套电脑设备一年要节省很多的电费（按50套电脑算，一年能够节省5万元电费）。能够减小后期投资，你一套台式电脑最多只能用3－5年，而云桌面你只需对系统模板进行相应升级，就能够跟上潮流，十年能够不用再投资。能够方便进行移动办公，什么意思呢？就是说你在办公室没干完的事，回家后再登录云桌面进行工做便可。这样就避免了传统PC时代，还要用U盘导资料，回到家中还要面对桌面环境不一致的尴尬状况。能够方便快速的恢复系统，当你系统中毒或没法启动时，云桌面能够在十分钟内就恢复你的桌面环境，数据也不会丢失。

若是在你的单位已经布署了我前面所说的第四点服务器虚拟化后，再布署云桌面就更经济更方便更快速。你只用增长相应的终端设备就能够很好的搭建云桌面环境（如VMware Horizon、华为Fusion Access）。而锐捷的RG-RCD6000-Office是一个软、硬件一体化的产品，若是你没有作服务器虚拟化，那么购买锐捷的RG-RCD6000-Office去布署本身的云桌面系统也是个不错的选择。

图13

我对于一个中小型网络的看法也就这么多，其实每一个人对如何建设一个安全高效的网络都有本身的理解和意见，在这儿我只是提供你们一个规划建议，有不足和错误的地方也不要喷我，这篇文章若是对某些人能起到必定的帮助做用，我也就感到很开心拉（^-^）。