記公司網(wǎng)絡(luò)改造升級(jí)

時(shí)間：2023-06-13 15:00:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-06-13 15:00:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

記公司網(wǎng)絡(luò)改造升級(jí)：

小伙伴們一直都嫌公司網(wǎng)絡(luò)不給力，訪問互聯(lián)網(wǎng)站點(diǎn)的DNS解析速度巨慢、網(wǎng)頁(yè)加載不流暢，直播上課丟包嚴(yán)重、時(shí)不時(shí)出現(xiàn)核心交換機(jī)和接入入交換機(jī)之間鏈路因?yàn)榇當(dāng)_的原因協(xié)商成百兆，小伙伴們?cè)L問NAS的拷貝文件的速度就暴降。再加上因?yàn)槌隹谑褂玫氖羌矣寐酚善?華碩AC-87U，雖說(shuō)這玩意在家用路由器領(lǐng)域里算是性能不錯(cuò)的，但是家用的終究只是家用的，不支持內(nèi)網(wǎng)多網(wǎng)段隔離，造成的內(nèi)網(wǎng)辦公PC、服務(wù)器里大量的虛擬機(jī)、機(jī)架實(shí)驗(yàn)設(shè)備全部都處于同一個(gè)網(wǎng)段，加上原來(lái)服務(wù)器使用地址的隨意性， 東用一點(diǎn)，西用一點(diǎn)，斷斷續(xù)續(xù)，很快最初/24位的地址空間里，就沒有較長(zhǎng)連續(xù)空余的IP地址空間了，每次新建虛擬機(jī)的時(shí)候都需要在網(wǎng)絡(luò)中查看arp表項(xiàng)，尋找未被占用的IP地址使用，想過(guò)對(duì)網(wǎng)段縮短掩碼進(jìn)行擴(kuò)容，但想想進(jìn)行網(wǎng)段擴(kuò)容的同時(shí)還有上百臺(tái)虛擬機(jī)都要跟著改掩碼就頭皮發(fā)麻，算了不動(dòng)了，就將就著用吧。同時(shí)為了能讓學(xué)院能遠(yuǎn)程訪問跳板服務(wù)器，出口路由器AC-87U上配置了大量的端口映射，基于軟件的nat轉(zhuǎn)發(fā)不僅延遲高，而且嚴(yán)重占用CPU資源，機(jī)器早已不堪重負(fù)，動(dòng)不動(dòng)就過(guò)熱死機(jī)。







原來(lái)的網(wǎng)絡(luò)拓結(jié)構(gòu)如下。


忍到不想再忍了，換設(shè)備吧，商用機(jī)器走起，咸魚二手貨淘起。


淘得如下寶貝


一臺(tái)二手飛塔FWF-60D防火墻 750元。

一臺(tái)二手飛塔FG-60C防火墻 300元。

一臺(tái)二手思科C3560G-24TS 交換機(jī) 200元。

兩臺(tái)二手H3C MSR3600-28 路由交換一體機(jī) 每臺(tái)900元。

一臺(tái)二手康海時(shí)代NC632 32口串口KVM 200元。




選購(gòu)的原因如下。


1、飛塔防火墻配置界面友好，配置方式簡(jiǎn)單傻瓜化，便于維護(hù)。

2、飛塔FWF-60D 吞吐延遲僅4us，吞吐量1.5Gbps。 對(duì)比FG-60C轉(zhuǎn)發(fā)延遲120us，原來(lái)的華碩AC-87U的軟件NAT轉(zhuǎn)發(fā)延遲可能更高，出口替換后，華碩AC-87U將單獨(dú)當(dāng)作無(wú)線ap使用。

3、飛塔FWF-60D支持雙WAN口接入，可以通過(guò)SD-WAN的方式堆流量進(jìn)行負(fù)載分流。

4、飛塔FWF-60D防火墻支持多安全域設(shè)置，為此可以對(duì)內(nèi)網(wǎng)進(jìn)行安全域劃分，能有效的對(duì)外部用戶進(jìn)行訪問控制。

5、飛塔FG-60C可以和FWF-60D之間起Site-to-Site IP Sec VPN，徹底打通宿舍和公司的內(nèi)網(wǎng)。

6、思科C3560G-24TS 200塊錢真是白菜價(jià)，撿漏拿來(lái)做核心交換機(jī)，和接入用的傻瓜交換機(jī)之間進(jìn)行強(qiáng)千兆全雙工協(xié)商。

7、兩臺(tái)MSR3600-28懟實(shí)驗(yàn)機(jī)架上拿來(lái)給小伙伴們做堆疊和路由交換實(shí)驗(yàn)。

8、NC632串口KVM拿來(lái)統(tǒng)一管理所有實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)備，以后可以隨便的清空配置重啟設(shè)備，不用在清空設(shè)備配置之后需要插console線管理設(shè)備。


改造后網(wǎng)絡(luò)拓?fù)淙缦隆?br>






防火墻上創(chuàng)建 3個(gè)VLAN, VLAN 10, VLAN 20,VLAN 30。




VLAN 10利舊原網(wǎng)絡(luò)IP網(wǎng)段，作為核心域供核心服務(wù)器群以及實(shí)驗(yàn)機(jī)架接入使用。




VLAN 20 劃入新增的DMZ域，作為跳板服務(wù)器群接入使用，供外部用戶跳轉(zhuǎn)訪問核心服務(wù)器群業(yè)務(wù)。




VLAN 30 劃入新增的OA域，作為辦公接入，原來(lái)話說(shuō)AC-87U利舊作為辦公區(qū)域AP和交換機(jī)使用。


防火墻與核心交換機(jī)之間使用兩條鏈路進(jìn)行l(wèi)acp捆綁，鏈路類型為trunk 透?jìng)鱒LAN 10、20、30三個(gè)VLAN。


在核心交換機(jī)上根據(jù)接入設(shè)備的用途將對(duì)應(yīng)的接口劃至相應(yīng)的VLAN，接入設(shè)備的網(wǎng)關(guān)均落在出口防火墻上，核心交換機(jī)僅做流量匯聚轉(zhuǎn)發(fā)使用。


FWF-60D防火墻上開啟SD-WAN，進(jìn)行流量分流策略，WAN1為200M電信寬帶供公司內(nèi)部訪問互聯(lián)網(wǎng)使用，WAN2為50M電信寬帶供遠(yuǎn)程接入用戶訪問公司內(nèi)網(wǎng)使用。


FWF-60D防火墻上開啟SSL VPN,對(duì)移動(dòng)辦公人員提供遠(yuǎn)程接入訪問內(nèi)網(wǎng)服務(wù)。


FWF-60D與FG-60C之前啟用Site-to-Site IP Sec VPN 打通宿舍與公司的內(nèi)部網(wǎng)絡(luò)。