本次华为JDC公开课第34期金融行业局域网网络规划经验分享由黄老师主讲。他分享了金融行业局域网络规划的一些经验和建议，包括总部和分支之间的专线互联和内部通讯需求，网络安全性要求高，网络配置的标准和规范，以及网络规划需要考虑成本、预算、人工运维等因素。他还强调了网络设备的选择上，采用ACL或防火墙进行控制分别有哪些缺点，而使用VRF逻辑隔离技术，通过虚拟路由转发实现网络虚拟化，实现网段之间的逻辑隔离，可以提高网络安全性以及降低成本。此外，他还介绍了日志收集的规范和设备操作的记录规范，以及如何通过搜索平台如微信、谷歌或CSDN等搜索相关知识点和解决方案。以下为分享内容：黄雪橙：好的，那谢谢JDC给我再给我一次机会来分享一下自己的一些经验。然后我之前是分享的一些ai大模型方面的知识。然后这次因为自己也经历了一些网络改造，也有一些经验，想分享给大家。现在我主要在金融行业的一个分支机构，也不是总部，所以，这次主要还是分享一下分支机构的情况。主要是这几点，一个是我们分支机构的基本情况以及特点。然后是网络架构和人员特点，怎么规划的一些建议，以及用传统方式和一个逻辑的方式以及最后的总结。第一部分就是我们金融行业分支机构的一些情况。金融企业通常有个总部，然后可能会有很多线下的分支，有可能境内有可能境外。然后一个总部也有专线互联，然后也有内部的通讯的需求。然后总部有一些总管网络网段的，规划一定的数量的网段，分给一些分支机构使用，然后由分支机构的部门会自行规划使用。那么我自己作为在分支机构，会考虑如何能够平衡技术、成本和效率去比较好地规划网络和分配地址。第二部分介绍一下我们分支机构网络架构和人员的特点的情况，一个是分支机构IT技术网络相对是比较简单的，可能主要包含一些桌面办公或者生产做业务或者一些管理类的终端，以及一些服务器的使用。可能分配的网段相比总行来说可能是少很多的。然而金融行业安全性也比较高，安全性的要求和网络配置的标准与规范也很高，也是要按总行的下发的规范去配置去达标。那么保证安全的要求，防火墙路由器的配置。然后还有一些访问控制都要做好控制，按照最小的必要化的原则。然后就是人员技术人员的方面的特点就是人员有限，和总部或者那个数据中心比较起来。通常一个分支机构可能主要是业务人员加上少数的一些技术人员，可能有些只有1~2个人或者几个人做所有的技术工作。那么这个技术人员也必须要成为多面手。但又不仅管硬件网络系统，还有那些包括采购什么都要掌握，所以需要的技能非常广泛，所以压力较大，但时间有限各方面可能就没有这么精，很泛，因此时间分配上还是比较有限的。还有就是资源是比较有限，一方面可能分支机构只有一个设备间，或者只有一个小小的机房。就要考虑预算还有人工运维的成本。你买的太，多花钱多你要管的也多，但你买的少可能设备功能不够用，要是预算少呢，也只能少买一点，就可能因为预算少导致技术功能实现上就不足。第三部分，就是按照自己经验来说，对网络规划提出一些建议。第一个就是我们要合理规划，要结合小型的分支业务和运营发展，这是非常重要的，要合理规划，高效、稳定还安全的网络能提高我们员工的工作效率，还能促进业务的发展。对IT其实也是更便于管理的。那么我们规划网络的时候，要考虑前瞻性，还有一些可扩展性。不要分了以后就再扩容发现就很难，会遇到什么难点的没考虑到的，那就可能会恶性循环弄得越来越乱，就会很被动。所以要有前瞻性，要想得远一点，以后可能会怎么发展？大致要多少网络资源，然后怎么分配，对自己之后更好地管理，还要对业务的需求变化，以及新的安全威胁等要考虑进去。然后保持要可持续性，始终保持网络规划设计能满足公司的要求。所有首先如果问总部拿到了IP地址资源，先不要急着先分出去，先好好地规划一番，再进行分配。然后我们分支机构终端情况有它的特点，主要可能是终端类比较多，占用的IP比较多，也有有线或者无线。主要终端类会分业务终端和办公终端，一个是生产用一个办公用。然后服务器可能要分很多种，当然粗略的分成一两类也是可以的。有业务服务器有办公服务器，还有一些硬件，比如说硬件管理的和网络设备用的网段，还有一些其他类比如安全类或者录音类的一些设备，还有一些外部的设备，比如说打印机，现在很多都用网络打印机或者无线打印机，还有扫描仪，或者一些IP电话、视频会议可能会用到一些地址，所以服务器类的可以分的种类会多一点，因为安全性要求更高，访问控制要更多更清晰，然而数量上可能对分支机构来说会较少，稳定性要求就比较高了。然后我一般对于比较数量多需求的，分一个c类地址，250左右来个地址就够了。但是服务器如果评估下来一个服务器一个网段的的话，一类用途的服务器可能没那么多，那么我们可以将IP地址再隔着更细一点的。再分子网段。那讲到第四部分，现在这么多用途的机器来说，我们传统网络想怎么隔离呢？就一般是用ACL控制网络权限，或者用物理的防火墙去控制。一个是在交换机上做一个在防火墙上做。那么ACL的工作原理可能是就是基于包过滤的访问控制技术，用规则建立基于数据包的源地址、目标、地址、端口号、协议类型等，就是都在交换机上去输命令进行配置，符合规则就会被放行，不符合规则就拒绝通过。然后缺点就是这个维护管理随着会业务变化变得复杂。因为可能随着时间你配的越来越多，后面就是编写的可能有重复的，也有漏的。甚至是梳理起来就非常麻烦，不断会增加。那么对于分支机构来说，会增加后面的工作量。那么对人员技术水平要求上，就要掌握交换机的ACL配置，还要后面能很好地进行整理。后面也要有一定维护的能力。并且规则越来越多会对交换机的性能也会有影响。如果用物理防火墙来控制访问控制，其实它是一种部署在网络边界处的安全设备，主要对网络流量进行监控过滤，来实现安全防护。那么如果你在交换机上设置的几个网段都属于一个区域的那互相访问，你只能通过交换机进行访问控制。但是如果设置成不同区域的，由好几组交换机，不同的核心交换机，那么通过防火墙之间控制它们的访问。防火墙是有较好的安全性，专门做访问控制用的。当然把它上面起来做网关使用也是可以，但是它主要还是用来进行访问控制。那么缺点就是买台防火墙的成本比较高，那么一个分支机构，如果有5~6个不同的区域，那是不是得买五六组防火墙，两台一组，那么投入的成本就很高，而且每台防火墙都从头要配置，还得不断的接不同的区域之间进行访问控制，要写很多规则，采购费用还包含防火墙上有一些软件功能，比如防病毒等，考虑要不要买的情况都会引起后面的一些其他的事情。维护和预算方面都是开支上都是很大的一部分投入，这是其中一个缺点。后来我来了分支机构以后也经历了一些事情，就觉得到底是买防火墙还是去做交换机上的ACL控制。那么对于这边技术人员来讲，可能更偏向于在防火墙上配，但是买一堆防火墙，又在开支上带来了压力。后来我就咨询了不少人，得出了一个方法：可以不买新设备，但是又能达到同样的效果。就是讲到我的第五部分，用VRF的逻辑隔离技术。思科也有，华为也有。那么其实这个就是虚拟路由转发的功能，是个网络虚拟化技术，就像服务器虚拟化一样。它相当于一个大仓库里分得很多小隔间，然后每个隔间相互独立。然后VRF允许在单一的路由器上创建多个逻辑，独立的路由实例。但这也不是一个新技术，本来就支持使用。虽然我之前没怎么接触到这个部分，但是这次接触到了，感觉挺适合我现在的环境。每个VRF实例就有自己的路由表和IP地址以及其他网络参数。就像一个独立路由器一样，不同的VRF实例之间互相隔离，那么它既在一个交换机上，又能互相隔离，我所有的控制就可以从防火墙这边去控制了，就能实现网络资源的有效管理和分配。通过一台的三层网络设备上，我可以创建多个独立的路由表，实现数据的逻辑隔离。网段之间逻辑隔离，在每个逻辑单元都称为一个VPN实例。那么实例之间在路由器层面是路由层面是隔离的。首先看实现过程，技术上实现过程基本是：创建实例，然后分配几个名称，然后创建相应的VLAN以及名称。当然不同的VLAN在一个实例下当然也可以。然后建三层物理接口，也可以是VLAN或VLANIF.接口，然后绑定到实例上去，命令可能是差不多是这样。然后再配置和实例绑定的路由协议或静态路由。基于与实例绑定的接口和路由协议，建立实例路由表并基于实例路由表转发数据，实现实例之间的隔离，那么相当于我这一组核心交换机上，有这个功能并且性能充足的情况下，我可以对我这边不同的网段，不同的区域进行做逻辑划分，然后让它能通过这个网段建立这个区域，它们之间互相又是不能访问的。但是同网段之间都能互相访问的。那么我在他们之间，我可以加上防火墙来控制不同的区域互相访问。也就是用虚拟防火墙进行VRF实例网段之间访问。就是在防火墙设备上，通过VRF技术划分多个虚拟系统，然后将网络流量分割成多个逻辑的路由域。每个有独立的路由表实现租户或业务安全隔离或者安全策略的精细化控制，提高网络设备如防火墙的资源利用率。那么我在核心交换机上就配置不同的VRF,默认就互相隔离。那么可以这样说，我这个核心交换机上的ACL规则基本都不用配了。ACL规则配置因为维护人员掌握难度较高，我们这样做其实就不用管理很多，就不会经常用ACL进行规则配置了，因为默认就互相隔离，那么不用那个核心交换机进行访问控制以后，访问控制就走防火墙。防火墙我就可以对不同的网段进行不同的划分控制。但是它们之间核心交换机和防火墙之间都有一个子接口。这个子接口我可以作为私有网络去控制每个VRF。比如说这个VRF的网段IP，核心交换机有占一个IP，防火墙也有个IP,它们之间做了私有链接互访，就是不同的VRF之间都不同VLAN都有给防火墙配了一个地址，核心交换机也配了一个同网段的地址，让它们互相连通。那么数据流量就靠这个私有网络互相连通。然后对多租户不同部门不同的IP内外网不同业务，都可以通过防火墙进行控制。那么核心交换机上起VLAN和网关，防火墙用作访问控制。那么这一组防火墙我基本就可以控制我各个不同区域的访问控制以及到总部的访问控制。然后对于防火墙来说，现在华为的防火墙那么界面也比较友好，从哪儿开到哪什么端口多少，在网页上就能配置了，那么相较相比较交换机的ACL命令来说，操作风险就可能比较大。ACL配置上明显防火墙控制访问控制策略就是更简单一点，从运维方面看，运维人员的接受程度也比较高。那么VRF就是可以弥补之前我们说到的ACL访问控制以及购买物理防火墙这两个方案的不足。一个是ACL在管理上那个功能上也比较有限。那么使用VRF可以逻辑进行隔离，就是减少了，也就是我基本没有配ACL规则了。就基本把VLAN和IP网段规划好就可以了。他们之间天然就隔离了，那么我就不用大量的ACL来控制访问。只要一组防火墙配置，界面也更友好。那么对于新的物理防火墙，那么我就也没必要采购了，因为我本来就一台防火墙现在的这些资源来说足够了，性能也够跑。不管是核心交换机还是物理防火墙，都是比较充足性能的情况下，我就不必再多购买一组防火墙，对好几个区域进行连接。我就可以节省出很多费用支出，配置我也不用去花时间配置了，我直接按不同的VRF进行不同网段的隔离，就在防火墙进行按需配置了。减少很多其他的工作。总结下来，那么就是VRF方式，可以显著提高网络安全性。我们将不同的业务或者用户划分到不同的实例中去。像这种怎么划分实例呢，可能就需要自己根据对公司的情况，会有很大的空间自己去考虑怎么设计，怎么想象。因为我是根据我们公司自己的情况，具体情况来分析并设计，别的地方也不一定需要这样，只是一个方法，别的地方可能有自己的不同的情况，可能有的要按人来分，有的要按业务逻辑分。带给大家只是一个思路，大家如果觉得有帮助，可以自己去设计，也需要有点创造力。像这些逻辑隔离就避免了信息泄露的干扰，然后可以保障数据的一些保密性，访问控制也比较清晰。不同隔离方式也有优缺点，像ACL的配置简单，但是规则管理多了就比较复杂，功能有限，而且控制后互相访问没记录。而防火墙控制安全，虽然高安全性，但购买成本高，设备多了还配置管理起来复杂。那么VRF就又具备了高安全性与灵活性、可扩展性，也能弥补前面两者的不足。应用起来也是比较容易的。因为我改造VRF之前跟部门的技术人员讨论很久，他们一方面是不肯接受进行交换机上的一些访问控制的ACL配置，因为有一定难度和风险，一方面方面想采购新的防火墙进行不同区域的隔离。那么对我来说，我得既要节省成本，又要让他们能尽可能接受。所以最后问到了这个VRF配置的方法，我觉得这个经验是蛮挺宝贵的，最后也实现了。后面就是为VRF增加网络的灵活性和可扩展性。我这边就是一个VRF对应一个网段，目前是这么设计的，因为网段也这么些。如果你觉得一个VRF可以多个网段来那么你要想好怎么起VRF的名称，怎么起这个VLAN的名称，怎么去更好记忆，更好维护，那这是后面要做的。那么我现在以一个VRF一个VLAN设计，因为环境相对简单，我一个VLAN就可以代表一个区域了。然后比如以后一个VRF再新增一个部门，那么我就可以在同样的VRF里面增加一个VLAN，或者就是再增加一个VRF,再增加VLAN，这个都可以涉及。因为访问控制到最后也都是很灵活的。那么VRF使用也有一定注意事项，从技术上也要注意一些限制和瓶颈，一方面是设备资源的消耗，那么虽然这个VRF可以提高网络利用的灵活性，但是每个实例都会有占用一定的系统资源。因为交换机也是一个操作系统，也会消耗内存和CPU，如果你起了一个实例，就是占用一个进程。那么在设计VRF时，你也不要无限地创建VRF实例，过度分配，然后又不用，就会导致交换机分配过多的VRF导致性能下降。所以我选用我当时启用VRF时候，也评估了我们现有条件。比如说我们的核心交换机，这个是中高端，那然后性能是否足够使用，也是做过一定评估的，也不是随便用一个低端的交换机拿来就可以用的。如果作为接入交换机的，用来做VRF，起VRF实例，能起多少这个也要评估以下。另外还需要有序有规律，对合理规划VRF，所以在命名名称和子接口，网段规划我也都提前精心设计了。我问总部拿到IP网段也是比较顺的，比如说3~4个连续网段，或者4~8个连续网段。那么这样我就可以就好好地设计，不要对后续运维造成困扰或者增加复杂性。那么至于是否重新设计，创建新的还是从老的去改造成新的，那么我建议可以先拿到新的资源规划好，然后慢慢将服务器或终端挪到那个新网段。比如说网段我是172.168.50，那么VLAN ID 我起150。然后在这个VRF中，核心交换机和防火墙的子接口，都需要分配一个IP用于通讯，就有VRF中的私有接口，那么我就可以将私网的VLAN设计成250，那么就这两个子接口私网IP就配置上去，地址我可以用192.168.50，一个点1，一个点2，让它们互相之间有个通讯。后面其他网段也就是按这种规律去规划，然后还有一个注意点就是VRF配置错误还会导致路由泄露，就是本来是默认互相不能访问，但如果路由不小心配置导致泄露了，可能网段之间就可以互相访问了。所以一定要控制好，谁能访问交换机去改配置。如果配置错了，或者说故意的这么配，那么会导致网段互相访问就不过防火墙了，也没记录了，那么这时候就要注意了，别被黑客或者内部人员不小心配置，这个导致了路由的泄露，导致访问控制就不严格了。还有路由协议，使用VRF时就要选择合适的协议来支持不同的VRF实例之间的路由的传播。那么常见的有什么BGP，OSPF的这些，然后要根据实际网络环境和需求，进行相应的配置，才有兼容性。那么我们在使用时也要确保不同厂商之间设备的兼容性，还有不同的是不同厂商也有不同型号或者品牌的兼容性，可能对VRF实现方式有差异，所以还是要咨询厂商和查看文档，确保它们之间能够兼容。那么我们最后使用的目标，也就是能合理规划好，再加上安全的管理，最终提高我们的运维人员工作效率，然后再能够更灵活的去管理这些网络。 黄雪橙：我看到有个需要具体哪些设备，具体设备对吧？那么具体设备我们现在这边交换机可能是思科的某个型号，设备防火墙是华为的，也能匹配在一起用的。但是然后如果是华为的那个型号交换机来说，可以咨询一下厂商什么样的型号是适合做这个。对这个做法也有命令去起那个VRF实例。主持人：对，有在直播间，老师有回答这个相关的问题可以。然后的话您看到那个要减肥的红烧肉提的问题？就是往上翻一下。金融行业对设备操作的记录规范有哪些？黄雪橙：对设备记录规范。那么我们肯定是有接入用的就是审计用的系统。然后我们本身可能自己接入了一个专门审计用的系统。然后一方面登录设备也要双因素登录，不能直接用户密码进去的。可能要连一个那个OTP,就是one time password，那个password那个就相当于有个令牌登录，那么确保有两个人或者说。双因素的认证去登录，然后设备上做任何操作呢，日志也会被记录。然后日志因为每个公司可能都有日志的收集的功能。还有日志收集专门用的软件或者系统，可能要进行配置一下，把log发到开好的端口，发到对应的日志收集的服务器上。黄雪橙：我看到有个需要具体哪些设备，具体设备对吧？那么具体设备我们现在这边交换机可能是思科的某个型号，设备防火墙是华为的，也能匹配在一起用的。但是然后如果是华为的那个型号交换机来说，可以咨询一下厂商什么样的型号是适合做这个。对这个做法也有命令去起那个VRF实例。主持人：对，有在直播间，老师有回答这个相关的问题可以。然后的话您看到那个要减肥的红烧肉提的问题？就是往上翻一下。金融行业对设备操作的记录规范有哪些？黄雪橙：对设备记录规范。那么我们肯定是有接入用的就是审计用的系统。然后我们本身可能自己接入了一个专门审计用的系统。然后一方面登录设备也要双因素登录，不能直接用户密码进去的。可能要连一个那个OTP,就是one time password，那个password那个就相当于有个令牌登录，那么确保有两个人或者说。双因素的认证去登录，然后设备上做任何操作呢，日志也会被记录。然后日志因为每个公司可能都有日志的收集的功能。还有日志收集专门用的软件或者系统，可能要进行配置一下，把log发到开好的端口，发到对应的日志收集的服务器上。主持人：看您在这个金融行业应该是从事了蛮多年的，就是关于运维，然后包括网络安全这一块肯定是有非常深的。的一个经验，就是您平时从哪些地方，比如说查阅学习资料，或者是看哪些书提升自己。你看一下给这个直播间的这个朋友们可以分享一下。黄雪橙：平常我可能多个搜索平台我都会搜索，然后微信里面也会搜。然后现在国外可能谷歌可以搜了，然后国内可能百度和或者CSDN这些一些技术论坛上会搜，因为我是之前可能自己都比较就是零碎的知识是慢慢积累起来的，有什么问题直接去找。然后就各个搜索平台去找，逐渐就是可能找到一点线索，再拿这个些关键字去搜，或者甚至现在有AI大模型可以更容易的搜。所以这个就是说我的方式可能比较零碎，就是比较对随机的那种。黄雪橙：雾云烟问了一个VRF数量有上限？一般设置几个，这个我应该说过，就是一个VRF一个实例，那你交换机性能能够支持承载，然后还看网段多大。VRF里面你起网段多少，IP用了多少？都可能都有关系，然后主要是设备也没有确切数量的创建，但是你得注意设备的性能。和你最终怎么管理的方面。主持人：云烟还在直播间，老师刚刚已经回答过这个问题了。黄雪橙：红烧肉要减肥说，听朋友说进去调设备都要带记录仪。所有操作接线都要录像这个记录仪的话，那你如果使用一定就是有些操作，可能通过比如那个虚拟桌面，它应该有录像审计功能，那可能你就不用记。如果是屏幕上的一些操作，那就不用。可能是不会这个。那如果说有些机房是物理操作比较严格，那首先机房里本来就有摄像头，或者说有些地方特别严格，你要带着记录仪去记录。但是理论上你带了记录仪，记录仪，你保管方面也有风险，比如那些仪器未保管好后录像被泄露了，也是不好的。