局域网改造方案.docx
- 文档编号:6605118
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:19
- 大小:165.85KB
局域网改造方案.docx
《局域网改造方案.docx》由会员分享,可在线阅读,更多相关《局域网改造方案.docx(19页珍藏版)》请在冰豆网上搜索。
局域网改造方案
局域网改造实施方案
2013年5月
1前言
自2015年以来,BAT大楼已经出现了多次Internet线路质量问题,直接影响了BAT员工(BAT本部及BAT海外员工)的正常办公。
具体的影响包括:
a.BAT内部用户无法对Internet进行访问;
b.外部用户无法访问部署在BAT内部的应用服务器。
通过后续一系列的排查,已经可以确定是直连运营商线路出现问题导致。
另外,由于BAT互联网出口并没有进行严格的安全策略控制以防止泄密、反动言论的发布,严重不符合集团要求。
所以,对BAT局域网的改造势在必行。
2文档范围
BAT局域网改造共包含以下3个子项目:
a.Internet区改造,完成链路负载均衡功能的部署;
b.BATInternet线路变更;
c.切换用户Internet流量至集团Internet出口。
注:
为了确保割接的顺利进行,要求必须按照上述步骤完成。
3文档目的
文档目的是为了确保BAT局域网改造项目可以顺利、如期完工。
项目目的包括:
a.电信、联通Internet双线链路负载均衡(Internet用户对BAT有域名的应用系统的访问);
b.对于部属在BAT内部的应用系统,当BAT本部Internet线路故障时,能够手工切换到集团Internet出口,确保Internet用户能够通过集团Internet出口实现对这些应用系统的访问;
c.BAT用户全部经由集团广域网最终通过集团Internet出口实现对互联网的访问(无线网络仍然通过BAT本部联通Internet线路实现)。
4网络现状
当前BAT网络共有联通100Mbps和电信50Mbps双出口。
这两条线路是通过二级运营商而非直接与联通、电信直接对接,且BAT的联通、电信Internet下一跳节点位于同一机房。
广域网拓扑图如下:
BAT局域网拓扑图如下:
a.入站方向(Internet用户对BAT服务器的访问)
●当前BAT网络对部分内部服务器(需要对外提供服务的,如邮件、OA等)做了静态NAT;
●静态NAT部署在天融信外网防火墙上;
●这些服务器全部被NAT成为了联通公网地址;
●在BAT网络边界,部署了深信服负载均衡设备。
上述部署的结果就是无论Internet用户租用联通、电信或者其他运营商的线路,它们对BAT邮件、OA等服务器的访问都是通过联通网络实现的。
众所周知的事情是电信网络对联通网络的互通效率极低,所以经常会导致Internet用户对BAT应用服务器的访问体验很差。
b.出站方向(BAT用户对Internet的访问及应用服务器对来自Internet用户的响应)
●全部BAT内网用户的Internet请求数据包全部被天融信外网防火墙转换成了联通公网地址;
●BAT用户、服务器对Internet的访问都是默认通过联通线路完成的;
●无线网络用户是通过联通线路实现对Internet的访问;
●当联通线路带宽利用率到达80%后,余下的Internet访问请求将被强制全部由电信线路承载(此时源IP仍然为联通的IP)。
由于外网防火墙将全部BAT用户的Internet请求源IP全部转换为了联通公网IP,这个时候如果该请求被强制由电信链路承载,回包数据(Internet对这些BAT用户的访问响应包)将不得不按照“目标网络电信线路电信网络联通网络BAT”的路径完成。
5项目方案
5.1Internet区改造
5.1.1项目背景
长期以来,BAT用户访问Internet以及外部用户通过Internet访问BAT内部应用系统体验很差。
5.1.2故障分析
5.1.2.1网络架构不合理
Ø电信及其他非联通的Internet用户不得不通过联通网络实现对BAT网络的访问;
ØBAT内部用户对单电信线路的站点只能通过联通网络电信网络的路径实现;
Ø当联通线路带宽达到80%后,无论目标网络是联通、电信或者是其他类型的线路,所有访问请求都将通过电信线路实现。
5.1.2.2Internet线路单点故障
BATInternet线路不是直接与联通、电信网络对接,而是引入了一个二级运营商,一旦该二级运营商内部网络出现故障,则BAT用户的Internet体验势必会受到严重影响。
5.1.3解决方案
5.1.3.1优化网络架构
5.1.3.1.1现网Internet区设计
Internet区拓扑图如下,
5.1.3.1.1.1天融信外网防火墙
天融信外网防火墙工作在路由模式,具体功能如下:
⏹所有服务器的静态NAT均部署在天融信外网防火墙上;
⏹所有BAT用户对外访问的PAT均部署在天融信外网防火墙上;
⏹BAT对Internet的双向访问控制策略均部署在天融信外网防火墙上。
5.1.3.1.1.2CiscoASA5580防火墙
CiscoASA5580防火墙工作在透明模式,且其上没有配置任何的访问控制策略。
由于ASA5580不能支持硬件故障透传,所以它已经成为BATInternet区的一个故障点,应该将其下线作为Internet区外网防火墙的备机。
5.1.3.1.1.3深信服负载均衡
深信服负载均衡担负着为BAT用户提供Internet线路接入、协调双运营商线路工作模式的任务。
当前设置的负载均衡策略是所有用户的流量全部通过联通线路承载,当联通线路带宽利用率达到80%以后,后续的用户访问请求将全部由电信链路承载。
5.1.3.1.1.4无线网络
无线网络通过华为防火墙USG5150与天融信负载均衡背对背直连,部署在外部区域。
5.1.3.1.2目标Internet区设计
5.1.3.1.2.1天融信外网防火墙
根据之前的故障分析,对于网络架构的优化必须从天融信外网防火墙开始,主要是NAT的功能要上移到负载均衡设备上实现。
改造后的天融信外网防火墙功能如下:
⏹BAT对Internet的双向访问控制策略均部署在天融信外网防火墙上。
同时,还需要将现网使用在外网防火墙上的公网IP替换为私有IP。
5.1.3.1.2.2CiscoASA5580防火墙
将ASA5580调整为现网天融信外网防火墙的热备设备,当外网天融信防火墙出现故障后,可以迅速手工将所有Internet流量切换至ASA5580。
5.1.3.1.2.3深信服负载均衡
对深信服负载均衡的改动是此次网络优化的核心,也是难度最大的部分。
现网情况下,负载均衡设备并没有真正起作用。
从BAT深信服负载均衡部署的位置来看,是需要做链路负载均衡(LC),包括:
⏹入站策略
需要确保联通线路的用户通过联通网络访问BAT网络,电信线路用户通过电信网络访问BAT网络。
要实现上述功能,需要做DNS负载均衡(对内网服务器的域名做负载均衡),使每个服务(域名)对外具有双IP(联通和电信),从而保证Internet用户的访问体验;同时,为了配合DNS负载均衡,还需要对BAT内部功能服务器服务器做服务器负载均衡(LTM),使每台功能服务器拥有联通和电信双IP(与域名的联通、电信IP相关联)。
⏹出站策略
对于BAT用户的Internet访问体验,只需要配置默认映射即可。
目的是如果用户访问的目标网络电信链路质量好则由电信线路承载;如果用户访问的目标网络联通链路质量好则由联通线路承载。
5.1.3.1.2.4无线网络
由于链路负载均衡只能有内部和外部共2个区域,在将NAT功能迁移到深信服负载均衡设备上后,负载均衡成为了新的内、外网络的分界点。
根据集团公司的访问要求,无线网络不允许访问内部网络以及集团广域网,所以需要将无线网络上移至运营商接入交换机。
5.1.3.1.3改造完成后拓扑图
5.1.3.2直接与联通、电信网络对接,实现双线冗余
Ø改变当前“BAT二级运营商联通、电信网络”的连接方式为“BAT联通、电信网络”的连接方式;
5.1.3.2.1改造完成后拓扑图
完成线路改造后,就可以比较完美地解决BATInternet线路单点故障。
注:
Internet线路改造将在Internet区网络架构优化完成后进行。
5.1.4实施准备工作
5.1.4.1物理接口介质转换、线缆连接
5.1.4.1.1物理接口介质转换
●天融信外网防火墙Eth15由光模块转换为电口模块;
●网康上网行为控制E4、E5接口由光模块转换为电口模块。
5.1.4.1.2物理线缆连接
●将核心交换机S97-01的G1/3/0/3接口与网康上网行为控制E5接口互联;
●将核心交换机S97-01的G1/3/0/4接口与ASA5580Mgmt0接口互联;
●将网康上网行为控制E4接口与天融信外网防火墙Eth15接口互联(以太网线);
●释放原G1/1/0/1接口配置及线缆。
5.1.4.2服务器IP地址、域名分配
由于需要更改架构为链路负载均衡,所以需要对当前服务器IP地址、域名情况进行梳理,同时,还需要为当前拥有域名的服务器/应用系统分配电信IP,具体IP地址分配见下表:
(表略)
5.1.4.3外网DNS梳理
5.1.4.3.1通过域名进行应用系统访问
当前DNS架构为BAT所有用户对Internet访问请求及对集团广域网的访问请求全部交由内网DNS(X.X.X.X,X.X.X.X)解析。
目前存在的DNS记录包含:
●vpn.BAT;
●uap.BAT;
●svn.BAT;
●uc.BAT;
●belamailin.BAT;
●https:
//belamail.BAT
●https:
//bela-mail-1.BAT
●dns1.BAT;
●dns2.BAT;
●vice.BAT;
●sms.BAT。
5.1.4.3.2无域名的应用系统访问
还有很多应用并没有域名,Internet用户直接通过IP地址对其进行访问。
具体参考下表:
5.1.4.3.3当前BATDNS架构
●Internet用户对BAT内部资源的访问
Internet用户请求自己所在网络的DNS服务器,如北京联通是12.11.0.30北京联通DNS服务器查询本地的A记录,如果有直接响应客户请求,如果没有则递归查询下一跳此时查询到了万网,万网内部没有BAT的A记录不过存在一条BATDNS服务器的NS记录,于是返回该NS记录给北京联通DNS服务器北京联通DNS服务器不会记录该NS记录,它只会记录最终结果,在得到该NS记录后,北京联通DNS会向BATDNS服务器(外网DNS)发起DNS查询请求,并顺利得到目标资源的IP地址,此时北京联通DNS服务器只会记录此A记录(目标资源域名与IP地址的对应关系)。
●BAT用户对Internet资源的访问
如图:
用户由BAT内网对Internet的访问DNS解析是通过内部DNS服务器(X.X.X.X和X.X.X.X)实现,与外网DNS(8.4/8.6)没有任何关系。
在内网DNS上没有配置任何转发器,通过设置的根提示列表实现对Internet站点的解析,从而完成对该站点的访问。
5.1.4.4万网DNS信息注册
5.1.4.4.1万网DNS工作流程
DNS服务器工作要具备以下特性:
●DNS服务器必须是一个公网DNS服务器;
需要将部署在BAT内部的DNS服务器(具备联通、电信公网IP)注册在万网上,即需要在万网上添加2条NS记录。
这个步骤是声明深信服负载均衡设备是一个公网DNS服务器,此时,该NS记录仅仅在万网生效。
DNS的工作原理是依据Cache(老化时间是24小时),即当且仅当Internet各DNS节点本地Cache失效后,才会去下一跳查询。
DNS架构是一个星型架构,最终只需要确保万网拥有最新的NS记录(万网也可以为某个企业充当公网DNS服务器,而BAT拥有自己的DNS服务器,只需要万网提供NS记录解析即可)即可确保各InternetDNS服务器获取最新的NS记录。
考虑到互联网DNS节点众多,当一条在万网上的NS记录发生变化后,能够被全部DNS节点同步的时间在48-72小时之间。
5.1.4.4.2万网DNS信息注册
需要在万网提前增加2条NS记录,目的是声明深信服负载均衡设备为公网DNS服务器,它可以担负BAT的解析工作。
同时,为了确保不影响当前DNS服务器工作,需要将新增加的2条NS记录禁用,即当其他InternetDNS服务器来请求关于BAT的NS记录的时候,万网不会将新增加深信服负载均衡2条NS记录回复给请求的DNS服务器。
此步骤只是注册,并不进行DNS割接操作,故不会对现有业务造成任何影响。
注:
之所以提前注册NS记录主要是为了验证深信服负载均衡设备DNS功能的准确性及可靠性。
5.1.4.5ASA5580准备
为了确保当前天融信外网防火墙出现故障后,ASA5580可以迅速手工由热备切换为工作模式,需要预先整理外网天融信防火墙的配置,并完成对应的ASA5580防火墙脚本编写。
5.1.4.6深信服负载均衡预配置
5.1.4.6.1DNS功能迁移
需要将现网外网DNS全部记录迁移至负载均衡设备。
这些记录包括:
●服务器A记录;
●邮件服务器MX记录;
●域SOA记录。
注:
由于当前深信服负载均衡软件版本过低,无法配置SOA记录,所以需要升级至最新版本以确保SOA记录的正常配置。
5.1.4.6.2深信服DNS功能验证
为了确保深信服负载均衡拥有全DNS功能(可以解析来自于Internet的DNS请求),需要对其DNS解析功能进行一个比较全面的测试。
测试方法如下:
●选取使用联通、电信Internet线路的公网用户;
●通过nslookup命令强制制定公网DNS服务器为深信服;
●尝试通过域名访问BAT内部应用服务器。
如果可以正常访问BAT应用服务器,则说明深信服负载均衡设备拥有全DNS功能。
5.1.4.7配置备份
Ø天融信外网防火墙
ØASA5580防火墙
Ø深信服负载均衡
5.1.4.8硬件备件准备
实施过程有可能对设备进行重启操作,考虑到部分设备已经连续工作1年以上,为确保万无一失,需要联系各厂商准备好硬件备件,包括:
Ø天融信外网防火墙;
ØCiscoASA5580防火墙;
Ø深信服负载均衡。
5.1.5实施步骤
5.1.5.1放开天融信外网防火墙策略
在天融信外网防火墙策略控制最前端添加允许全IP、端口通过的策略,确保网络100%的连通性。
5.1.5.2物理链路变更
由于此次改造需要将CiscoASA5580防火墙调整为天融信外网防火墙的热备,所以必要的物理链路变更不可避免,具体包括:
Ø深信服负载均衡NET3—CiscoASA5580G3/0变更为深信服负载均衡NET3—天融信外网防火墙Eth10;
ØASA5580将作为天融信外网防火墙的热备设备,默认情况下没有任何线缆接驳;当天融信外网防火墙出现故障后,需要完成ASA5580G3/0--深信服NET3接口,ASA5580G3/1--网康上网行为控制E4接口的连接(可以临时借用故障的天融信外网防火墙上的线缆);
Ø从核心交换机的G1/3/0/4口部署一条5类双绞线,与ASA5580的管理口相连,作为带外网管使用。
5.1.5.3互联IP变更
Ø深信服负载均衡IP地址变更
将深信服负载均衡NET3接口的IP地址由当前的X.X.X.X改为X.X.X.X。
Ø天融信外网防火墙IP地址变更
天融信外网防火墙Eth10接口IP地址由当前的X.X.X.X改为X.X.X.X。
ØASA5580防火墙
将ASA5520防火墙更改为路由模式,并且配置G3/0IP地址为X.X.X.X,G3/1IP地址为X.X.X.X。
Ø删除天融信外网防火墙NAT
将当前配置在天融信外网防火墙上的NAT功能禁用。
5.1.5.4路由变更
Ø深信服负载均衡
需要添加X.X.X.X/7的路由,下一跳指向天融信外网防火墙Eth10X.X.X.X。
Ø天融信外网防火墙
需要添加缺省路由,下一跳指向深信服负载均衡NET3X.X.X.X。
ØS9706核心交换机
需要添加X.X.X.X/30的路由,下一跳指向X.X.X.X。
ØCiscoASA5580
保持与天融信外网防火墙路由一致,设置X.X.X.X/7的路由,下一跳指向X.X.X.X;配置缺省路由,下一跳指向X.X.X.X。
5.1.5.5天融信外网防火墙策略部署
Ø将天融信外网防火墙NAT功能禁用;
Ø由于负载均衡不启用SNAT特性,所以当前防火墙ACL不需要做任何变更。
5.1.5.6DNS变更
为了降低割接风险,建议保持当前DNS系统架构,适当做一些微调。
5.1.5.6.1BATDNS服务器
●用户终端PCDNS地址仍然保持为X.X.X.X和X.X.X.X;
●设置内网DNSX.X.X.X和X.X.X.X对于BAT用户的Internet访问请求全部转发给负载均衡设备;
●在负载均衡设备上启用智能路由功能从而确保BAT内部用户的Internet访问能够实现双线负载均衡。
5.1.5.6.2万网DNS记录调整
当前万网有三条关于BAT的NS记录在用,所以需要将当前外网DNS在万网对应的NS记录删除,只保留负载均衡对应的NS记录。
注:
由于万网DNS变更完成后需要经过48小时的全球泛洪、同步,所以在48小时内,可能有个别地区(以国外为主)无法正常对BAT应用系统进行访问(只会影响通过域名完成的访问请求)。
5.1.5.7深信服负载均衡配置
由于之前完成了BAT外网DNS功能迁移至深信服负载均衡,为了确保割接顺利完成,还需要配置:
Ø迁移外网防火墙全部NAT至深信服负载均衡;
Ø添加电信线路服务器A记录;
Ø开启智能DNS功能(入站);
Ø增加电信SOA记录;
Ø联系运营商开启反向解析功能;
Ø开启智能路由功能(出站)。
5.1.5.8割接无线网络至Internet交换机
5.1.5.8.1物理线缆变更
如图:
由于深信服负载均衡NAT功能的启用,需要做如下物理线缆变更:
●当前线缆USG5150G0/0/0—深信服负载均衡NET4变更为USG5150G0/0/0—Internet接入交换机F0/4。
5.1.5.8.2USG5150防火墙配置变更
●需要将USG5150防火墙G0/0/0接口IP变更为X.X.X.X;
●需要将Internet交换机F0/4接口限速关闭,确保无线网络可以拥有交换机接口线速速率;
●需要改变无线网络NAT的公网地址池。
5.1.5.8.3AC控制器配置变更
由于无线网络用户流量最终只由联通线路承载,故需要对AC控制器进行适当配置更改,具体包括:
●DHCP服务器中各Vlan用户DNSIP强制设置为9.11.2.31。
5.1.6功能验证
5.1.6.1外部对内部的访问测试
Internet用户分别从联通网络和电信网络尝试对BAT应用系统的访问,确保一切正常。
注:
外部用户包括Internet用户以及BAT大楼无线网络用户。
5.1.6.2内部对Internet的访问
在所有Vlan中,各找一台主机尝试对集团广域网以及Internet进行访问,确访问正常。
5.1.7风险评估
此次改造涉及面非常广,不仅包括了网络层面还包括了DNS和57个应用系统,影响面很大。
其中,风险最高的部分是深信服负载均衡设备DNS功能的配置。
由于准备工作比较充分,所以,此次改造的风险可控。
5.1.8回退方案
由于割接操作涉及范围很广,牵涉BAT全部应用系统,风险很高。
制定回退方案是为了确保BAT各应用系统工作正常及员工的网络应用体验。
回退的步骤与实施步骤相反。
5.2BATInternet线路变更
5.2.1项目背景
Internet线路变更任务与Internet区改造中更换线路提供商为联通和电信对应,只是细化了工作内容和目的。
5.2.2故障分析
当前BATInternet线路拓扑图如下:
BATInternet线路不是直接与联通、电信网络对接,所以会导致很多不可预期的故障并且排障的难度会相当大(增加了故障点和沟通成本),具体表现为:
a)由于引入了二级运营商(电信和联通网络全部由一个二级运营商汇聚而来),所以形成了单点故障,一旦该二级运营商内部网络出现问题,就会影响BAT用户的Internet体验(根据统计,一年平均有5-6次的断网都是由于该二级运营商内部网络故障导致);
b)二级运营商的服务、技术水平不高。
对于联通、电信网络,都设有专门的7x24小时故障热线及经验丰富的工程师确保第一时间协助客户解决线路相关故障。
二级运营商由于规模、成本的问题,往往只会设有一个值班的工程师,且经验、技术水平都不足。
在BAT近期出现的Internet线路故障中,BAT工程师已经明确了故障原因,并要求该二级运营商协助解决,得到的答复是技术人员不在,等上班了再来解决。
这种服务质量非常令人失望;
c)故障出现了,有可能是联通、电信网络的问题也有可能是二级运营商内部网络问题。
对于BAT来说,由于引入了二级运营商网络,排障的难度几乎呈几何级数上升,唯一能做的是确保BAT内网工作正常的前提下,联系二级运营商。
后果是对于整个排障的进度无法把控,只能寄希望于二级运营商的技术水平和服务质量。
根据过往几年的合作情况来看,这种信任是不可靠的。
5.2.3解决方案
5.2.3.1更换线路提供商,直接与联通、电信网络对接
Ø撤销当前“BAT二级运营商联通、电信网络”的连接方式,改为“BAT联通、电信网络”的连接方式;
Ø购买高级别的联通、电信线路服务(如联通的白金产品);
Ø联通、电信线路与BAT对接的全部链路不能存在任何单点故障(包括联通、电信线路与BAT网络对接的最后一跳,必须位于两个不同的汇聚点即两条链路实现与BAT网络的对接);
Ø提供给BAT联通、电信线路的联通、电信边界路由器必须具有Internet全路由;
Ø新购联通、电信线路带宽分别为60Mbps和10Mbps,其中联通线路50Mbps用于BAT大楼无线网络;剩余联通和电信各10Mbps链路用于Internet用户对BAT业务系统的访问。
5.2.3.2改造完成后拓扑图
5.2.4实施准备工作
5.2.4.1电信、联通线路安装
Ø联系电信、联通工作人员进行现场环境调研;
Ø电信、联通工作人员进行线路测试;
Ø协助电信、联通工作人员完成楼内线、ODF安装;
Ø完成电信、联通线路部署并测试(不切业务)。
5.2.4.2新联通、电信IP地址分配
需要将Internet运营商更换为联通和电信(当前为北京网通信息技术有限公司)。
所以,将北京网通信息技术有限公司分配给BAT的公网IP地址更换为联通、电信IP地址不可避免。
此步骤的工作内容包括:
Ø运营商分配可用联通、电信公网IP地址给BAT;
Ø规划新分配公网IP与当前BAT业务系统对应关系(在负载均衡设备上重新配置各应用系统公网IP);
Ø规划负载均衡外网端口新公网IP(电信和联通)。
5.2.5实施步骤
5.2.5.1负载均衡配置变更
Ø按照预先整理好的新联通、电信IP地址与BAT各业务系统的对应关系完成IP地址变更;
Ø变更负载均衡出口IP为新联通、电信公网IP(与联通、电信网络互联IP)。
5.2.5.2万网DNS记录变更
当前BAT外部DNS设备为深信服负载均衡,且由于运营商的更换,与电信、联通网络对接的出
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 局域网 改造 方案