【案例】XX科技网络优化解决方案
一、项目背景网络质量的好坏,直接影响到公司业务的正常开展与工作效率。因此公司网络优化建设的工作事关重大并且刻不容缓。
XX 目前的网络拓扑如下图所示:
XX 目前出口有 8 条 ADSL 线路,出口设备为华为的防火墙。其中,一条线路组建华为 VPN, 一条线路组建 SD-WAN 网络,其余六条线路用作访问互联网。
二、需求分析
2.1 问题描述
1) 用户的上网流量通过防火墙做 NAT 到外网线路,防火墙只能通过内网网段来进行上网行为,不能满足内网用户网络使用多变的需求,极其容易造成网络卡顿、应用访问出错等问题。
2) 目前出口防火墙也存在性能的问题,随着我们业务的扩展,线路的扩容不能对接现有设备,为了企业网络业务的正常运行,也需要考虑新增性能更强的出口设备的事宜。
3) 目前出口防火墙上线路使用情况没有直观明显的可视化手段,运维人员对线路的利用率没有直观的了解,线路使用情况不清晰。
4) 作为一家国际知名的电商企业,自身的关键业务大部分都在互联网上,因此关键业务必须要实时保障正常运行,对于内网用户上网行为进行管控是网络中必不可少的关键手段,在所有上网行为中,关键的业务应用也必须要提高保障等级;除了所有线路中断的极端情况,其他情况下出现单条或多条线路中断现象也必须确保不能对业务造成影响,确保业务正常运行。
5) 目前会不定时出现运营商线路中断导致业务中断的现象,需要相应的解决手段。
6) 目前内网用户使用金融类安全性相对较高的 APP 会偶发性出现中断现象,需要相应的解决手段。
7) 内网用户使用网络安全手段不足,需要相应的认证手段。
8) 内网用户上网行为的留存溯源、用户网络卡顿问题的排查定位、网络扫描和攻击流量的溯源阻断等手段不足。
2.2 改造需求
1) 出口网关设备的替换:目前防火墙的的性能已接近瓶颈,存在新线路接入不了的问题,并且防火墙负载功能满足不了目前业务的多样化使用需求。
2) 网络体验优化需求:目前网内用户有多种类的网络体验问题,需要一一解决。
3) 日志审计需求:网络内的所有用户,其所有的上网日志,都需要进行统一的留存。另一方面,还需要针对外网用户访问内网服务器的行为进行记录。
4) 统一认证需求:网络的用户,需要进行统一的认证后方能上网,同时也是为了配合上网日志的审计,以达到安全管理的目的。
三、方案拓扑
新增一台 Panabit 智能网关和一台 Panalog 流量日志审计服务器。
四、解决方案
1) 作为出口网关设备,可以对接 2000 条逻辑 WAN 线路,多条线路灵活捆绑使用,对内网流量进行 NAT 转发,同时做到出口链路的负载均衡,还可以实现内网业务服务器的端口映射。
2) 对于内网用户上网行为进行管控,并且对关键业务进行优先保障。
3) 对于我们目前网内出现的体验问题有相应且更优的解决方案。
①解决运营商链路不定时重连问题
②解决用户访问金融类安全性较高的 APP 出错的问题
③对于线路、每个用户的网络使用情况都有多样性显示手段,协助运维同事更高效、优化、便捷的管理网络。
4) 此次 XX 选用的 Panabit 设备配备有万兆接口,且性能强大,足以满足当前以及后期业务发展的需要。
在服务器区部署一套 Panalog 大数据日志审计系统,出口的 Panabit 智能应用网关可将内网用户的所有日志数据发送到日志审计系统进行统一全量储存。流量在通过 Panabit 智能应用网关时,Panabit 可以将经过流量的所有连接会话等信息,通过管理口发送给大数据日志审计系统进行统一留存。配合 Panabit 的认证功能实现账号与 IP 地址对应,可以实现日志数据与用户账号的一一对应。另一方面,由于 NAT 功能在 Panabit 智能网关上实现,因此也可以记录所有内网用户的相关 NAT 信息。 6条ADSL线路就占用Panabit 的6个接口呗? fanbuz 发表于 2021-10-13 10:10
6条ADSL线路就占用Panabit 的6个接口呗?
WAN线路加vlan号就可以,一个接口上就可以创建979条wan线路。我做过极限测试979条,理论值是1024条。估计有保留。但是 不知道2000条是怎么添加上去的 qq920054032 发表于 2021-10-14 12:45
WAN线路加vlan号就可以,一个接口上就可以创建979条wan线路。我做过极限测试979条,理论值是1024条。估计 ...
问题是 那么多没有意义吧,一条100M900条就是90000M了,而且还需要那么多口的交换机,不现实
页:
[1]