记一次完好的安全技能解决方案遭受本钱检测后的“让步与博弈”51CTO博客 - 凯发娱乐

记一次完好的安全技能解决方案遭受本钱检测后的“让步与博弈”51CTO博客

2019-01-03 10:42:08 | 作者: 景平 | 标签: 技能,检测,咱们 | 浏览: 2471

写在前面,出于维护客户隐私和据守网工的工作道德素质,本文不得呈现的一切完好ip、客户称号、信息、以及具体的事务模型论述。最近的确走心的在共享事例,2017年在家里写了近四小时,女票现已暴走,请咱们维护我!!!!!

                             ——————Allen


项目布景:

客户要在国外上一套事务体系,并接入国内用户,翻开国内和世界的事务。

要害点1:因公司注册地在海外,也就是说主体不在国内,无法完结国内网安存案这件作业

要害点2:即事务体系不行触及到国内域名解析

要害点3:国内互联网出口与世界互联网出口的需从架构是进行剥离,意味着存在双出口。这直接会导致web和DB的物理(这一点若咱们不是很了解为何这样讲,欢迎咱们建群评论,这儿不翻开评论)

要害点4:国内一块区域、世界一块区域,中心拜访与传输怎么处理?客户要求有必要抵达企业级专线水准(丢包千分之三的水平)

要害点5:针对海外特别的点,例如日本、新加坡、英国、美国进行特别的途径优化。

 

项目第一次逻辑网络拓扑图:

 

项目第一次评论供给的设备清单(调和过):

1.    思科防火墙(ASA-5515系列)

2.    华三交流机(S5500-EI系列)

3.    负载均衡(软件级)

4.    效劳器(惠普、戴尔都有)

5.    存储(惠普),别的还有一台磁带机

6.    光纤交流机(Brocade)

 

项目经过:(期望咱们感同身受的去感觉下我其时的状况)

依照常规,我作为架构师的人物兼任项目交给的PM人物前往客户现场与客户进行为期长达20+天的交流与相关技能承认,期间也不得不出差到北京、深圳、香港。

 

这儿要点聊几个里程碑的作业。第一次与客户的会晤,咱们在自己公司总部进行了长达两个小时的会晤与评论,包含但不仅限商务洽谈、公司资质介绍、技能难点、最佳实践事例共享。

在此次会议中,我是终究进入会议的一名“工程师”的人物参加的此次会议,(这是极端不礼貌的作业,不过我奇妙的化解了此次不礼貌的行为),由于行将会议完毕,我就没发手刺直接进入了个人发问和翻开的评论。提了四问:

 

哪四问?咱们往下看。

第一问:您这边关于高可用毛病切换过程中,会话级层面的实时切换的操控到哪一个等级?有没有针对TCP的长衔接的会话坚持要求?负载均衡在程序上做的是四层仍是七层、仍是四层+七层?

注释:我这儿一上来问这些,首要是要辨明在场会议中的客户侧有哪些人物,并哪些占首要?这样有利于我直击客户的“痛点”,或许说是“兴奋点”。

 

第二问:您供给的逻辑网络拓扑,物理机柜拓扑,我都看了,但依据以往的阅历和实践的状况看,有存在不少资源上的空置状况,(随后我走到投影区域,别离进行了解说)

 

第三问:您这边供给的设备清单,我注重了下您的网络设备选型以及在收购明细补白中的内容,由于您注重事务的连续性,那即意味着一切硬件节点均是高可用才是,但在您的收购清单中未看到firewall的高可用license和switch的专用堆叠电缆,往往这些license或或许比一台设备都贵,您若现已选型定好,您勿忘叮咛收购的搭档注重下,防止预算被打回重做。

 

第四问:我这儿有与您事务极端相似的客户实践事例(包含了售后运维的各个状况阐明),我这儿投出来共享给各位,看看是否有哪些能够参阅的当地?(随后我把自己收拾的一份最佳实践的事例PPT共享给了客户,此刻客户表明十分有爱好,也想看看自己的架构是不是或许存在什么问题?)

 

随后,我简略的共享了一个咱们具体做过的一个事例,然后就没再多讲(记住,做工程师并不是搞定对方技能主管这么简略,更重要的是要用一个非技能言语的方法论述给对方的运营者去听去了解,然后有点情商的去处理任何一个环节),然后我封闭了共享PPT,总结说:“由于是第一次交流,我也是比较外表的去了解了您这边的状况,所以有哪些当地说错了,您这边多谅解。”随后我转过头来和此次会议的主持人(出售)大声的说:“咱们下一次会议在什么时分?”~~~~~~~~~~~~~~~~~~会议完毕后,出售给予我反应,客户对我共享的内容十分感爱好,下一次交流咱们定在下周三,地址北京(望京SOHO)。

 

 

至此,这儿第一次交流完毕了,在次日,我将根据第一次“过于外表”的了解的剖析陈述汇总成了PPT,发送给了甲方。以下,我展现几页有关于技能的。

 

 

 

结合如上的一些剖析与之前客户供给的拓扑,我进行了三个版别的visio的整合和整理优化,这儿share给咱们终究供给给客户的拓扑(已调和):

 

写在前面,除之前说到的问题悉数优化妥善处理后。为客户带来的价值优势新增如下:(初次剖析要点,请咱们细心档次和研读,我费了不少脑子,出于实践,技能彻底可落地)

  • 三个area彻底环网并能够经过布置高灵敏检测机制完结毫秒级切换完结运用效劳备用网关寻址继续供给对外效劳,并设置对应routing policy,并布置ipsec-*** or P2P gre overipsec依托公网进行冗余线路布置,完结灾祸发作时的应对计划

  • 前置area与APP area流量可经过内网墙也能够经过明细routing policy使不经过internal-firewall,防止流量数据屡次被firewall拆解封装影响,既而形成网内无用流量增多,运用转发功率低下

  • DB area 与 APP area完结彻底别离的,若internal-firewall外挂特征库查询机制,可完结根据特征的调用级层的拜访操控。

  • 新增monitor(根据KVM资源运用),彻底独立运用一套公网(BGP),完结内网运用、硬件、中心件、DB的明细监控与alert,并接入wechat企业账号,完结告警彻底移动化,减轻运维人力方面的投入,长途运维团队实时接纳告警real-time呼应

  • 若IDC存在许多不行预见性的扩容,经过此次infra的架构布置优化,能够更好进行适应性布置,无需进行“大手术”,彻底平行扩展。但主张鸿沟设备在项目首期上线前必定挑选根据当时事务量的3-5倍容量去选型,方可完结无缝晋级

 

 

时刻悄然的到了第二周去北京的路上,这儿仍是要秀一下网工对时刻注重,一路上,咱们和俩位搭档评论了好久此次项目上的问题,然后翻开电脑记录了良久,直至夜里23:53分抵达了北京。

 

次日,客户践约抵达了咱们北京的分公司地址,咱们开端了第2次的评论和对接,并在会议室触摸了客户事务体系的软件供给商。自此咱们就承认了项目已八九成单了。

~~~技能评论这儿省掉,不过应软件商要求,咱们再次对visio的网络拓扑图进行了修正,如下所示(已调和):

 

注释:咱们留意细心观察区域和区域之间为什么都过了防火墙,至于为什么这么链接,必定是他的考虑。这儿就不具体的论述了。

 

这一次的整合拓扑宣布后,我和软件商侧再次产生了许多架构规划上的不合,评论了好久,这期间客户也为咱们协调了好几次,不过终究结果是好的。咱们都认同了这样的布置,所以在看此文的读者记住,技能评论不行触及情面滋味,一旦触及,你就无法确保你的计划是完好、可扩展性强的。只要剧烈的评论,技能的立异才干出来,这儿也吐槽一句,在国内做售前、做架构。很难朴实的做技能。相反国外就会好许多,我不是说国外的技能牛,我仅仅表达国内的联系型出售越来越多的腐蚀着许多需求专心、专业、严厉的工作。

 

第2次的拓扑整合,我这儿不share给咱们,由于触及到了客户信息,咱们了解下。

 

项目的最要害的阶段来了,设备选型的敲定和收购。我参加了此次网络设备类型的引荐主张。并提交给了客户。可是终究由于种种原因,我和软件商供给的计划都打了极大的扣头,这意味着咱们两边的公司需求承当甲方事务连续性-不行用的危险和职责。所以,这个时分咱们站在技能的视点再次将打完扣头后的计划进行了完好的评论和危险奉告!

PS:咱们在做售前咨询的时分,必定要留意危险奉告!!!这一点不说,就会成为未来甲方不认可你很重要的一个点。若读者有同行的话,应该都了解,甲方很怨恨那种问题一次性不说清楚,遇到一个说一个的乙方。所以咱们必定要谨记在心,我就入过坑。

 

项目中的计划扣头:

        思科ASA的failover许可证不购买,选用双物理防火墙,不同outside对外供给效劳的方法布置

 

PS:oh myladygaga!!!!

 

好了,不扯其他的,接着说本文最最最最最最最精华的技能剖析篇幅,咱们别拿砖头砸我,我仅仅想让咱们更好的进入人物,设身处地的去领会我在此次项目中扮演的人物和怎么处理技能与非技能问题的应对行为,这样咱们即学到了技能,又get到了技能。又得到了一个技能事例,多耐性的读一点何乐而不为呢?:)

 

计划遭受了打折,技能遭受了应战,这一点关于许多纯售前工程师适当的头疼,由于是当场提出来的应战,若没有阅历几年售后具体的技能支持和心得总结,很难在这样的状况下应对自若。刚好,这个就是我个人的优势,我本身就是项目交给的首要担任人之一,那关于网络的细节把控上还算是“及格”的,所以局面一度被我hold住,进行十分具体技能细节评论,并在会议完毕后,我输出了这样一份陈述。

 

什么陈述呢?容我逐个的上传给咱们解说(已调和),我的剖析与考虑,往下看。

图解:

赤色直线为此次项目中,正常流量的拜访途径走向

绿色直线为此次项目中,failover后的拜访途径走向

 

留意,我这儿的firewall是没有HA布置,所以中心没有直连线,但我曾考虑过,是否直连起来,内网跑个动态或许静态,使毛病的流量途径有这样的切换挑选。

 

剖析:

    当我把图像出来后,马上就否定了这个计划,由于GW在交流机上,若要抵达途径绕行,上层就会触及全路由环境。而关于毛病侧(左面)防火墙来讲,下流的接入inside必定是挂了nat方式,若要强行这么做,做nat 0豁免也是能够,但这必定程度上加大了装备规划的难度和维护难度,相同关于右侧的防火墙,就会有双inside口,所以这样做十分不沉着。

 

 

弥补一个条件:

这儿的firewall上联毛病后(被DDOS、网线损坏、硬件毛病),切换都是在程序上做的,关于程序来讲,他本身即可完结双链路进入,即:程序上就有(主备)的概念,一起结合运用心跳的检测机制,即完结了反常实时主动将用户拜访从头reload即可,即:客户从头login下即可。

 

剖析:

现在在鸿沟firewall上没有完结滑润HA高可用切换的话,遇到的应战十分大,可是我和我的团队仍是想到了处理方法,尽管作用不抱负,但结合程序和根本的路由检测技能,完结因硬件毛病导致的毛病,且需求将路由进行人工或手艺切换作业,悉数都主动化了。

 

咱们在我以往的文章中,都应该了解HA的检测机制常见的都是检测端口的up/down,好一点的带源检测一个IP,或许一个协议。但咱们常见的做法都是检测物理端口,由于你检测GW,很有或许你的效劳供给商把GW做了ICMP维护,推迟不守时丢。检测某一个信赖的IP地址,你又没方法确保,中心任逐个个节点的割接晋级优化不影响你。更狗血的是,对端若维护不告诉你,那就为难了。

 

所以这儿想了一个方法,运用思科一个十分老的技能,处理了此次计划中检测和切换的问题——思科IOS IP SLA,假如咱们需求了解,能够跳转到鸿鹄,有一篇帖子讲的十分具体链接如下:

http://bbs.hh010.com/thread-109542-1-1.html

 

处理问题需求的技能:

1.    IP SLA

2.    起浮静态路由

 

补白:简略的技能,灵活用,这才是网工存在的含义,不要天天喊大二层VPLS、MPLS、各种高端技能,能落地且运用的计划才是好计划!!!


接着讲思路:

——经过三层交流机布置 IP SLA的技能检测防火墙outside口的IP

Allen:咱们检测该outside的接口ip,适当于完结了HA中检测端口UP/DOWN,由于接口donw了,接口协议就down了,ip天然就ping不通了。

 

——经过写起浮静态路由,优先级低的先指到右边的主人物-firewall上,优先级高的指到右边备人物-firewall上,合作IP SLA + TRACK

       Allen:经过在优先级低路由后边挂Track联动IP SLA检测,咱们就能够完结非直连链路的检测和切换,这样就成功的化解了此次技能的应战。

 

不过这儿要多啰嗦一句,高可用布置并非像我上面运用简略的技能处理而抵达的作用,这儿牢记,高可用完结的不是仅仅是切换联动,还有RTO会话的和session状况的同步,HA在整个拓扑规划上,在上层是一个全体,并非两台独立的物理方式存在。

 

所以,你在遇到我这样的相似的事例的时分,牢记,假如你中心交流机与防火墙对接你没用起浮静态,而是等价路由,就会呈现如下问题:

剖析:

效劳器向上的流量,就会被均分到上联两台防火墙上,(交流机不保持会话,且防火墙并没有布置HA,RTO没有会话保存),所以路由层面的等价后,这样就会导致,TCP三次握手呈现问题,当刚好走到备人物上后,防火墙必定作Drop的action处理,由于它就没有会话,怎么会得到一个ACK+1的会话呢!!。尽管在客户运用的程序上做了主备拜访的途径处理,可是GW它就是不论,所以咱们仍是要留意下,这样相似源进源出的问题。

 

 

思科装备截图如下:

Lab_R2811_rack1(config)#iproute 0.0.0.0 0.0.0.0 10.19.1.1 ?

  <1-255>    Distance metric for this route

  name      Specify name of the next hop

  permanent permanent route

  tag       Set tag for this route

  track      Install route depending on tracked item

  <cr>

 

华为装备截图如下:

[Lab_2204S_rack1]iproute-static 0.0.0.0 0.0.0.0 10.19.1.1 track ?

  bfd-session  Specify BFD session

  efm-state   Specify tracked ETHOAM state interface

  nqa          Specify NQA test instance

 

补白:完结检测的技能并联动路由有许多(BFD/TRACK/IP SLA),咱们多看看技能手册,多学习!!具体的装备我就不晒了,咱们多花点时刻去了解原理,去由衷的评论,这才是我的期望咱们做的。

 

写在终究,这个事例我在本文中只写了网络部分,当然也有适当多的存储和光纤以及虚拟化的技能应战,由于这一块究竟不是自己的主意,我搬出来写就适当于抄袭,所以我在本文中只写了自己的考虑和总结,当然,我个人的才能是有限的,其实回过头来看看,缝隙也是有的,不过这就是博客的有含义的当地,等过了三五个月,我再回来看的时分,我就知道我的生长在哪里了。


近期我个人触摸了许多代理商的担任人,由于个人作业的联系,咱们对每一个产商的产品线以及特征产品都需求十分的了解,所以这就迎来了许多测验样机。后边我会用用户体会的视点去剖析现在送过来的样机体会共享文章,期望咱们等待一下。我也趁这个时机,平行的对比下各个产商的产品的特色,加油!

 

尽管这个项目是我(PM)全栈担任完结,但各个我不明白的部分都是搭档倾力帮助剖析和提出的处理计划。所以这儿赞一下我的搭档:

       小鸡(没有注册)、登锋(文浩(没有注册)

PS:未来他们也会在CTO上更多去描绘自己的所担任的事例中的Part,本着专业的工作操行和信息维护的状况。祝咱们521欢喜

关于这篇文章,仅代表我个人观点,若存在问题,咱们及时回复即可。

 

我的初心一直是这样,我在尝试着真诚地描绘自己遇到的问题和处理阅历。

                                                 ——————来自一个正处于人生转折点的网工Allen

 

QQ:549675970

QZONE:http://user.qzone.qq.com/549675970

E-mail:

          549675970@qq.com

          allen_junjun@hotmail.com

 

人生格言:越尽力、越走运


版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章