主题：【原创】“怪腕”加班记–从设计实例谈Vlan在网络安全领域的应用 -- 萨苏

两千七百万。

按照日方的设计，需要改造现有网络环境，预算两千七百万日元。

这两千七百万花在哪儿呢？

看看下面这两张图就比较明白了。

现有网络连接拓扑图 （仅仅表示用户终端与接入服务器之间的关系）

这是现在网络的构成，抛开杂七杂八的东西不算，最关键的步骤是这样的:

用户，也就是用户终端，通过广域网连接到公司数据中心的网络设备，包括路由器和二层交换机（L2 Switch），尔后，其数据请求经过防火墙进行安全检验，进入公司内部局域网。公司内部局域网用三层交换机（L2 Switch）连接各服务器和防火墙，这样，经过终端-〉路由器-〉L2 Switch-〉防火墙-〉L3 Switch，用户就可以接入服务器了。这张图上我忽略了备用设备/线路和接入服务器后端的其他防火墙，服务器，以便使它更为直观。

这里面的服务器，将有一半分给中国的服务中心使用。而未来数据中心里面中国和日本用户使用的系统之间应该完全避免相互通信。为了满足这个要求，日方部门的IT服务工程师对系统是怎样设计的呢？

中方加入以后的网络，日方的最初设计（仅仅表示用户终端与接入服务器之间的关系）

从上面的图可以看到日方的思路，完全分开数据中心里面中日双方使用的网络系统，中日双方使用各自的广域网线路，路由器，Switch和防火墙。

为何不通过对接入用户的识别，在现有防火墙通过控制其访问的对象（服务器）来完成安全的控制呢？这是因为双方各自具有对所使用服务器的完全控制权，如果双方有人从服务器发动攻势，就可能危及另一方服务器的数据安全，而一方的失控则可能由于不良用户发动“数据炸弹”攻势导致整个公用线路的拥塞，使另一方也无法正常使用系统。

这个设计从物理上分开了双方网络，可说安全性，使用性上都可以充分满足客户需求，唯一的缺点就是 – 费用太高。

这意味着要为中方使用数据库系统购买单独的线路，路由器，防火墙，Switch交换机，与此相应的，内部布线，机柜布置，还有系统设置，测试都需要计算人工费用，偏巧日本的人力资源还是世界最贵的，要你两千七百万算是少的了！

其实这个费用不能说离谱。设备都是给了折扣的，人工呢？日本这地方天生就贵，没办法。

那位说了，老萨你这话我不爱听，都是人，凭什么日本人的人工就比我们贵呢？难道就因为它是发达国家？

是有一点儿关系，不过就算我们也是发达国家了，我猜这人工还会比日本便宜 – 日本这国家邪门，夫妻俩大多只有一个上班的，你开的人工不但要供他吃饭，还得供他那口子呢，您说他人工费和别人一样公平么？陈道明支持杜宪不窝在家里，做自己的事业，杜宪说陈老板“明智”，可要在日本，象他们俩这样老公活儿干得如日中天，当太太的还要“做自己的事业”，重的要被人家说“有病”，轻的也难免“悍妻”之评，杜宪岂不冤哉？

国情不同阿。

别管价儿是否合理，一个Call Center的服务，利润要挤出两千七百万来可不是闹着玩的，于是两边儿业务部门都不肯接受这个设计。矛盾上交，就送到了老萨这个部门看能不能改订设计，实现减少费用的目的。

部里一看，得，萨这活儿是你的。谁让你跟那边交流没有语言问题呢？美国佬意思是你劝劝花总，差不多就认了吧，钱么，以后慢慢赚就是了。

结果兄弟吃了次“花酒” – 花总请客，当然是花酒了—就认栽了。人花总说了，说话你不行，花钱我不行，这两千七百万，就拜托老弟啦。

一来是吃了“花酒”吃人家嘴短，二来事实上兄弟看了那个设计，心里已经有点儿数了。

这个系统其实根本不需要从物理上分开的，关键的戏法就在防火墙后面那台L3 Switch上面。这里我考虑使用的就是Vlan技术和与Vlan配套的VACL技术和Shaping/Qos技术。

Vlan技术，中方技术手册上称为“虚拟局域网”技术，也就是在同一个物理网络中，可以利用设置将其分成两个或更多的逻辑网段。于是，不同网段从逻辑上就被分隔开来，形成虚拟的网络。这一次，我的基本思路就是并不从物理上分割中国和日本使用的服务器，而通过设置Vlan，使中国使用的服务器在一个Vlan,而日本使用的服务器在另一个Vlan，这样，它们的线路连接一切照旧，也不需要增加新的设备，而从逻辑上，它们已经被分开。具体的做法就是在L3 Switch上进行设置。（这个设备十分关键，无论中日使用的服务器都连接到它的端口，防火墙也一样）连接中方使用的服务器的端口。被设置为一个Vlan，而连接日方使用的服务器的端口被设置为另一个Vlan。值得一提的是防火墙也连到这个Switch，本来只是用一个端口与它的23号口连接，现在，我在防火墙上打开了第二个端口与它的24号口连接，将23号口用于传递日本用户的数据，24号口用于传递中国用户的数据，两台设备之间连接起了两条物理网线，看来有些古怪，而且实际上我们可以用一条网线解决这个区分问题的，不过用两根网线惠而不费，却可以较容易说服用户 – 你指着一根线告诉他里面分成了不同的通道给两家，他不一定能接受，如果给他看两根线，其中一根是专门给他的，他多半会很满意，事实上这部分设计果然很容易在评审中过关了！

这一手，还是在北京某位老大教给我的，设计得好，还得让人接受不是？

这种做法，在提供原始设计的日本工程师看来有些出乎意料，他对Vlan技术并不是不懂，而是在使用上有自己的局限，以前他主要是利用Vlan技术提高网络使用效率 -- 这也是Vlan的一个功能。他认为仅仅通过Vlan将服务器分开，依然是不够的，因为公司的网络系统安全标准认为这是不够的，依然需要通过防火墙将其分开，所以当时想了一下就放弃了。

这方面，我比他多一点优势，因为工作原因，我有较多时间阅读公司的技术标准和有关手册，注意到在安全方面，不仅可以使用防火墙作为解决方案，还有其他一些代替手段，其中之一就是使用Vlan的访问控制表（VACL）建立安全体系。VACL，是Vlan Access Control List的缩写，是一种既类似又区别于路由器ACL控制方法的技术。这样，我有了初步的设计方案，就是使用Vlan区分中日双方使用的服务器，再利用VACL建立各不同Vlan之间相互通信的规则，达到公司对安全方面的要求。具体的设计如下。

重新设计后的新网络（仅仅表示用户终端与接入服务器之间的关系，可以点击看大图）

事实上日本那位工程师的缺点也许是资格比较老，所以有些惯性思维，他对于Switch交换机的使用停留在L2 Switch的层次上，因此对于怎样利用具备网络层交换功能的L3 Switch不够熟悉。

然而，这位工程师并非一无是处，他马上对我的方案提出了反对意见，其中的关键问题就是这样双方都在使用相同的广域网线路，假如一方的数据过大，会造成另一方的数据无法得到充足带宽。

这一点恰好是我只顾在Vlan和VACL上面沾沾自喜，没有注意到的地方。于是感谢之余，我再次对设计进行了修改。

对于这个问题，我的解决方法是在防火墙前面的路由器上设置Shaping和Qos，也就是对于带宽的预先分配和优先度设置，避免双方数据的互相影响。我们在实验室对这个设计进行了实验，结果颇为满意。

下面的就是对整个系统的详细配置了，只是没有Shaping,Qos和防火墙设置的内容，以免错误流露公司的内部情况，这一点只有抱歉了。

整个系统的详细配置，可以点击看大图

这次的设计修改，虽然看来并不是很复杂的，但是从系统的重新评估，到文档工作，整整花去我四天的时间，幸好，结果比较符合预期 – 两千七百万的投资，基本变成了0，只有中方在中国的接入系统和线路，是不得不花钱的，然而，由于日本方面不需要为中方租用单独的线路，中方与日方共享现有线路的结果是这边的费用减半，如此，几乎可以与中国方面的花费相抵了。从这一点来说，是件很令人满意的事情。

从我个人而言，以前对于Vlan和VACL的组合设计只有理论知识，这次能够应用在实践中，感觉是很有意思的，也开拓了以后在类似项目中的思路。也希望我的经验能够给有关朋友提供一些帮助。

对了，还有花总说好，省一百万请我一顿的，那么，他欠我二十七顿饭呢。

下个月，也许中午不需要带便当喽。

[完]