需要网络设计帮助(总公司+分支机构+中央服务器)
我有一个总公司和一些分公司。总公司和分公司都需要访问一些公司服务器,该服务器实际位于总公司。但分处不应该能够访问总部或彼此。分办事处彼此相距很远,并且与总部相距很远(许多公里)。
我如何为这个任务设计网络?
我想,每个分局都应该可以上网。中央服务器 LAN 交换机应安装静态 IP 和 OpenVPN 软件。例如,SubOffice1 网络为 10.0.1.x,SubOffice2 10.0.2.x 等,Head office 10.254.xx,Central Server LAN 192.168.0.x。
当分局 PC 或总部 PC 需要访问中央服务器时,PC 会为此启动 VPN 连接到中央服务器。
然后我应该为每个网络使用路由器并设置防火墙,以便它只允许来自内部网络的连接,中央服务器 LAN 路由器除外。
这样对吗?在构建这个网络时,我应该记住一些重要的细节吗?您会为此推荐什么硬件(路由器、支持所需的防火墙模式等)?
2012 年 7 月 5 日添加:
我们的 ISP 只能提供 Internet 访问。我不能指望他们支持 MPLS 之类的东西。每个分局和总公司的 ISP 都不一样。
分处的数量大约为 20 个。
从分公司到总部的连接需要加密,因为它将通过互联网路由。
我希望分办公室与总部和彼此完全隔离,以便没有数据包可以往返。
我计划在办公室里只有 Linux PC,但也可以有一些 Windows 机器。没有活动目录或其他东西。只是一台 Windows/Linux 下的 PC。
有没有关于这个主题的好书?
马特·西蒙斯 (Matt Simmons) 为简单的谈话写了一系列出色的文章,您可能会发现这些文章很有启发性;
但首先要注意你的设计:
- Suboffice = "branch office" 您可以在 google 上搜索“ branch office network design ”以了解可用的内容以及在这些情况下通常部署的内容。
- 不要混淆您的 IP 空间,可以在您的所有 LAN 中使用 10.nnn 网络。使用子网和 VLAN 来分隔您的广播域。在您的服务器 LAN 中使用 192.168.nn 增加了不必要的复杂性(任意决定)。
- 不要让每个客户端都负责建立 VPN 连接,这会导致与客户端一样多的麻烦。在路由器(或其他专用 VPN 设备)上建立 VPN。
- 请联系您的 ISP/运营商,了解他们为您的服务类型提供什么类型的设备。这可能会影响您的部署决策。
- 特定硬件...看看cisco ASA 系列,它们在一个小包中提供防火墙、VPN 和路由。
祝你好运!
更新
您要了几本入门书籍,我可以在这里为您提供一些直接解决您的问题的书籍,并且在 serverfault 的其他地方推荐了几本优秀的书籍,它们将在您需要时以其他方式为您提供帮助。
更具体地说,我建议从 CISCO CCNA 系列书籍开始。如此大规模的部署,您似乎已经陷入困境。Cisco Press CCNA ICND1将解决您需要学习的许多基本主题。您也可以尝试COMPTIA Network+书籍。我从未读过它,但它会提供一些 CCNA 没有提供的新观点。
特别注意 OSI 模型,尤其是第 1、2、3 层之间的差异。
除此之外,我将开始寻找分支机构部署的“白皮书”和“最佳实践”(您会在我之前发布的谷歌搜索中看到一些)。系统管理员只能通过实践才能真正学到一些东西,将其视为应用工程。分析思维和靠你的裤子行动通常有同等的衡量标准。
由于您有 20 个或更多办公室,您将希望能够集中管理您的所有服务。您可以首先致电不同的供应商并询问他们的解决方案(不要在电话上承诺任何事情!您几乎总是可以要求更优惠的价格,或额外的设备或额外的支持,您只需购买 20 台设备,但这可能比大多数人都多)。此外,不要相信供应商销售代表告诉您的 90% 的内容,请回到这里并询问有关您想到的特定部署的另一个问题。
再一次,祝你好运!
- 我还会将 Sonicwall 用于您的 VPN 连接,作为 Cisco 的替代方案 (2认同)