五千年(敝帚自珍)

主题:【原创】“怪腕”加班记–从设计实例谈Vlan在网络安全领域的应用 -- 萨苏

共:💬36 🌺208
分页树展主题 · 全看首页 上页
/ 3
下页 末页
  • 家园 【原创】“怪腕”加班记–从设计实例谈Vlan在网络安全领域的应用

    [对IT工作兴趣不大的朋友可略过]

    这几天,写东西不太上心,家里小东西找爸爸也不见,很是气闷。

    点看全图

    大嘴爸爸跑到哪儿去了?一个人玩,太没意思了。。。

    没办法,老萨对一个网络设计作了些修改,因为赶在星期一上午要通过审议,周末只好去加班。这个设计,说来比较有趣,今天上午设计被中日双方通过,一起工作的日本工程师称老萨当了一回“怪腕”。

    从个人感觉上说,这个设计在专业技巧上并没有用什么特别的东西,但的确完成了设计目的,还是比较满意的,最重要的,把费用从两千七百万日元降到了基本为零。其中思路,或许有益于同样从事IT行业的朋友,所以,把一点浅见写出来,算是和大家分享吧。

    所谓“怪腕”,本来是日本围棋选手大平修三九段的外号,形容此人下棋不走正路,输赢不说,谁跟他下谁别扭,特累。这显然不是个正面形象。大平修三晚年改了棋风,不过这个外号算是落下了,一直没改,而且被日本人形容一切不按常理出牌的家伙。

    那么说老萨这次的设计是否又不按常理出牌了?老实说中国工程师在日本作的设计经常被看作不按常理出牌,这不过是中国工程师们多年因陋就简的老传统还有一点儿残余而已。要知道我们上一辈办过拿胶皮粘飞机发动机的买卖,俺们这已经退化很多了,不过是和一向循规蹈矩的日本工程师不大合拍而已。事实上这次老萨的设计拿到国内应该很平常,只不过在日本,就被看成“怪腕”了。您看,一头驴,送到贵州,老虎看了当怪物,一个老萨,送到日本,日本人看了也当怪物,无非是少见多怪罢了。

    点看全图
    外链图片需谨慎,可能会被源头改

    黔之驴,瀛之…

    事实上,要我说,引发兄弟作这个设计的,那才叫“怪腕”到绝户呢。

    这位,就是大中国某城市的一位老总,他和我们公司合作,项目古怪异常。写这篇文章前,中午和法律部的丹尼尔一起吃饭,问了问他的看法,确定了下面的内容并不违反公司规则,然而连老丹都说你就算写了,有多少人能信只怕也是问题。

    在日本,买什么东西或者服务的时候,比如买个血压计或者申请了新的手机,销售商总是一起提供咨询电话,多半是免费,而每次你有什么疑问,如果打这个电话对方都十分尽心,堪称耐心细致。因此,这常常被称作日本服务业质量优秀的一大看点。

    然而,在日本打这种咨询电话的时候,用户很少有人想到,接电话提供帮助的服务人员,可能根本就不在日本,而是大海彼岸的一个中国人!

    说来怪异,然而这位老总所在公司提供的就是这类服务,且生意火爆得很。这完全因为中日之间劳动力成本差异极大,而远程的网络服务价格这两年又大幅降低的原因。如果这种生意都通过国际长途来做,那花的钱恐怕够在上海和日本之间修条地道了。

    我听到这种服务存在的消息最初根本不相信,直到自己真的做测试,才确信中国方面的服务完全做到了“以假乱真”,你根本无法分辨接电话的是中国人还是日本人,我只能依靠微小的声音迟延将它们区分出来。这让我十分惊讶,因为萨也已经在日本呆了好几年了,一说日语还是马上会被听出是外国人。那位老总的部下呢?大多是职业高中毕业的女生,居然能让日本人真假难辨,是人家太聪明呢?还是老萨脑袋让驴踢过呢。我曾就这件事和那位老总聊过,说你们的人怎么练出来的?

    那位憨厚得如同山东胶东农民的老总没正面回答,只指着网上一条消息说,萨先生您看这条东西没有?美国人写的,说咱们中国人缺乏创造力,就善于仿冒。。。您看,美国人都这么说。。。

    人材阿。可能中国最不缺的就是人材吧。要不怎么老萨这号的都只能在国外混饭吃呢?

    不管怎么说,这位老总和他的部下为所在公司某一部门也提供这类服务,而且干得很好。干得很好的结果就是双方准备签新的合同,新合同里面,连复杂的二线服务也准备交一部分给这家公司。

    于是新的问题出现了。原来作一线服务,中国方面并不需要使用公司在日本的数据库系统,而如果作利润较高,但要求也较高的二线服务,公司的部分数据库,就要对中国方面开放,而原来这些系统,是只对日本方面的二线部门开放的。

    下面图中内容,并不是我们真正的系统,只是标准化了的连接模式,用于说明类似系统的大致工作流程(别紧张,没什么商业机密,大家都是这样的模式)

    点看全图

    现在的工作模式

    这个工作模式,需要稍作说明,本来,这部分系统只有日本在全国各地的工作人员使用,他们从各地的终端通过广域网联入公司数据中心,公司数据中心的第一道防火墙对他们进行检验,确认他们有进来的权限后,将其请求转给接入服务器,接入服务器仅仅管理接入的进程(Session),说白了如果你是合法用户,就不让你掉线或者掉线了赶紧重新接起来;过了这一关,他们的请求会被送到第二道防火墙,确认有进来的权限后,交给应用系统服务器,这里放的是终端用户真正需要使用的程序;接着,如果需要调用数据库,调用请求会再次被交给第三道防火墙,确认有进来的权限后,真正取出数据来。

    可是,中方加入后,情况就不同了。请看下图的模式

    点看全图

    中方系统加入后的工作模式

    这个系统,可以看出,中方需要使用一部分原来日方使用的服务器。于是,出于安全角度考虑,双方协定必须实现系统的分隔,才可以开始工作。这个分隔,指的是中方只能用指定的服务器,日方也只能用中方不用的服务器,而双方服务器之间,双方终端之间,任何数据交流都是不允许的。

    为了实现这个分隔,日方该部门的网络工程人员做好了设计,费用双方均摊。

    两边的头头看这设计很满意,等一看预算,那边的花总 --那边老总姓花,可是一彪形大汉,跟这种植物的观赏部分毫无共通之处 –就开始往后边踅摸。

    踅摸什么呢?

    找修机器用的大扳手呢?

    找那玩意儿干吗?

    要打人啊。

    [待续]

    元宝推荐:请尽量,黄河故人,闲看蚂蚁上树,
    • 家园 VACL是不是思科的私有协议阿?

      没怎么接触过,和普通ACL有什么区别呢?

    • 家园 小小魔女在什么东西上?

        滑梯?边上的矮墙表面好象很粗糙,容易擦伤?

    • 家园 俺坦白

      Switch还没机会一个拆成俩用,不过俺拆过网线。

      库房3间办公室通过一个HUB把网线接到办公楼。距离大约70多米。我的工作是再给3间办公室接2部电话。这2部电话是串连3间办公室的。也就是说,当电话线有呼叫的时候,3间办公室一起响铃,在一间办公室接起来,另外两间可以旁听,插嘴。

      70多米距离,在草坪上挖沟埋线,想起要用铲子挖地就犯憷。直接到办公楼配线室,找到Switch上接库房HUB的网线,把外皮拨开,按找B标找出4、5、7、8这4条线,分成两组压上电话水晶头,就接到电话交换机上了。分别到库房的3间办公室,找到网线,按对应的线序挑出线来作电话水晶头,果然打得通。本该挖沟的下午,直接去机房睡觉喽:)

      • 家园 握手,握手,我也这么干的

        不过当时穿线的是个250,一堆线,找了半天才找到合适的,不过比穿天花板强多了。

      • 家园 这样做会引起干扰吗?

        我是百分之百的外行,只是随便问问

        • 家园 没啥事。

          网线跑100M的时候,只4芯是有效数据。另外4芯空着呢。数据与电话互不干扰。

          距离大约70米,也不算远。即便有衰减,也不怕,后边库房里有HUB负责把信号放大呢。

          当时用的是个3COM的傻HUB,效果挺好的。后来换了Switch上去,电话就有杂音了,结果还得换回来:(

      • 家园 我们这里电话公司经常这样干

        自己不布线 经常走网络线上走

        说不上是好 还是坏

      • 家园 典型的中国人!
    • 家园 佩服, 包子有多大跟有多少馅, 有没有馅是没有关系的

      这才是本事.

    • 家园 西西河名帖!

      恭喜!!撞大运了!!此帖在您这里成为【西西河名帖】!

      推荐成功!

    • 家园 推完了送朵花,竟然有这么多宝

      惊喜:所有在本帖(63)先送花者得【通宝】一枚

      恭喜:你意外获得【西西河通宝】一枚

      谢谢:作者意外获得【西西河通宝】一枚

      鲜花已经成功送出。

      此次送花为【有效送花赞扬,涨乐善、声望】

    • 家园 第一次推荐文章

      其实心惊胆战的,推完了马上刷新一下,害怕操作错误。

      内容是不担心的拉。

    • 家园 【原创】“怪腕”加班记 续完

      两千七百万。

      按照日方的设计,需要改造现有网络环境,预算两千七百万日元。

      这两千七百万花在哪儿呢?

      看看下面这两张图就比较明白了。

      点看全图

      现有网络连接拓扑图 (仅仅表示用户终端与接入服务器之间的关系)

      这是现在网络的构成,抛开杂七杂八的东西不算,最关键的步骤是这样的:

      用户,也就是用户终端,通过广域网连接到公司数据中心的网络设备,包括路由器和二层交换机(L2 Switch),尔后,其数据请求经过防火墙进行安全检验,进入公司内部局域网。公司内部局域网用三层交换机(L2 Switch)连接各服务器和防火墙,这样,经过终端-〉路由器-〉L2 Switch-〉防火墙-〉L3 Switch,用户就可以接入服务器了。这张图上我忽略了备用设备/线路和接入服务器后端的其他防火墙,服务器,以便使它更为直观。

      这里面的服务器,将有一半分给中国的服务中心使用。而未来数据中心里面中国和日本用户使用的系统之间应该完全避免相互通信。为了满足这个要求,日方部门的IT服务工程师对系统是怎样设计的呢?

      点看全图

      中方加入以后的网络,日方的最初设计(仅仅表示用户终端与接入服务器之间的关系)

      从上面的图可以看到日方的思路,完全分开数据中心里面中日双方使用的网络系统,中日双方使用各自的广域网线路,路由器,Switch和防火墙。

      为何不通过对接入用户的识别,在现有防火墙通过控制其访问的对象(服务器)来完成安全的控制呢?这是因为双方各自具有对所使用服务器的完全控制权,如果双方有人从服务器发动攻势,就可能危及另一方服务器的数据安全,而一方的失控则可能由于不良用户发动“数据炸弹”攻势导致整个公用线路的拥塞,使另一方也无法正常使用系统。

      这个设计从物理上分开了双方网络,可说安全性,使用性上都可以充分满足客户需求,唯一的缺点就是 – 费用太高。

      这意味着要为中方使用数据库系统购买单独的线路,路由器,防火墙,Switch交换机,与此相应的,内部布线,机柜布置,还有系统设置,测试都需要计算人工费用,偏巧日本的人力资源还是世界最贵的,要你两千七百万算是少的了!

      其实这个费用不能说离谱。设备都是给了折扣的,人工呢?日本这地方天生就贵,没办法。

      那位说了,老萨你这话我不爱听,都是人,凭什么日本人的人工就比我们贵呢?难道就因为它是发达国家?

      是有一点儿关系,不过就算我们也是发达国家了,我猜这人工还会比日本便宜 – 日本这国家邪门,夫妻俩大多只有一个上班的,你开的人工不但要供他吃饭,还得供他那口子呢,您说他人工费和别人一样公平么?陈道明支持杜宪不窝在家里,做自己的事业,杜宪说陈老板“明智”,可要在日本,象他们俩这样老公活儿干得如日中天,当太太的还要“做自己的事业”,重的要被人家说“有病”,轻的也难免“悍妻”之评,杜宪岂不冤哉?

      国情不同阿。

      别管价儿是否合理,一个Call Center的服务,利润要挤出两千七百万来可不是闹着玩的,于是两边儿业务部门都不肯接受这个设计。矛盾上交,就送到了老萨这个部门看能不能改订设计,实现减少费用的目的。

      部里一看,得,萨这活儿是你的。谁让你跟那边交流没有语言问题呢?美国佬意思是你劝劝花总,差不多就认了吧,钱么,以后慢慢赚就是了。

      结果兄弟吃了次“花酒” – 花总请客,当然是花酒了—就认栽了。人花总说了,说话你不行,花钱我不行,这两千七百万,就拜托老弟啦。

      一来是吃了“花酒”吃人家嘴短,二来事实上兄弟看了那个设计,心里已经有点儿数了。

      这个系统其实根本不需要从物理上分开的,关键的戏法就在防火墙后面那台L3 Switch上面。这里我考虑使用的就是Vlan技术和与Vlan配套的VACL技术和Shaping/Qos技术。

      Vlan技术,中方技术手册上称为“虚拟局域网”技术,也就是在同一个物理网络中,可以利用设置将其分成两个或更多的逻辑网段。于是,不同网段从逻辑上就被分隔开来,形成虚拟的网络。这一次,我的基本思路就是并不从物理上分割中国和日本使用的服务器,而通过设置Vlan,使中国使用的服务器在一个Vlan,而日本使用的服务器在另一个Vlan,这样,它们的线路连接一切照旧,也不需要增加新的设备,而从逻辑上,它们已经被分开。具体的做法就是在L3 Switch上进行设置。(这个设备十分关键,无论中日使用的服务器都连接到它的端口,防火墙也一样)连接中方使用的服务器的端口。被设置为一个Vlan,而连接日方使用的服务器的端口被设置为另一个Vlan。值得一提的是防火墙也连到这个Switch,本来只是用一个端口与它的23号口连接,现在,我在防火墙上打开了第二个端口与它的24号口连接,将23号口用于传递日本用户的数据,24号口用于传递中国用户的数据,两台设备之间连接起了两条物理网线,看来有些古怪,而且实际上我们可以用一条网线解决这个区分问题的,不过用两根网线惠而不费,却可以较容易说服用户 – 你指着一根线告诉他里面分成了不同的通道给两家,他不一定能接受,如果给他看两根线,其中一根是专门给他的,他多半会很满意,事实上这部分设计果然很容易在评审中过关了!

      这一手,还是在北京某位老大教给我的,设计得好,还得让人接受不是?

      这种做法,在提供原始设计的日本工程师看来有些出乎意料,他对Vlan技术并不是不懂,而是在使用上有自己的局限,以前他主要是利用Vlan技术提高网络使用效率 -- 这也是Vlan的一个功能。他认为仅仅通过Vlan将服务器分开,依然是不够的,因为公司的网络系统安全标准认为这是不够的,依然需要通过防火墙将其分开,所以当时想了一下就放弃了。

      这方面,我比他多一点优势,因为工作原因,我有较多时间阅读公司的技术标准和有关手册,注意到在安全方面,不仅可以使用防火墙作为解决方案,还有其他一些代替手段,其中之一就是使用Vlan的访问控制表(VACL)建立安全体系。VACL,是Vlan Access Control List的缩写,是一种既类似又区别于路由器ACL控制方法的技术。这样,我有了初步的设计方案,就是使用Vlan区分中日双方使用的服务器,再利用VACL建立各不同Vlan之间相互通信的规则,达到公司对安全方面的要求。具体的设计如下。

      点看全图

      重新设计后的新网络(仅仅表示用户终端与接入服务器之间的关系,可以点击看大图)

      事实上日本那位工程师的缺点也许是资格比较老,所以有些惯性思维,他对于Switch交换机的使用停留在L2 Switch的层次上,因此对于怎样利用具备网络层交换功能的L3 Switch不够熟悉。

      然而,这位工程师并非一无是处,他马上对我的方案提出了反对意见,其中的关键问题就是这样双方都在使用相同的广域网线路,假如一方的数据过大,会造成另一方的数据无法得到充足带宽。

      这一点恰好是我只顾在Vlan和VACL上面沾沾自喜,没有注意到的地方。于是感谢之余,我再次对设计进行了修改。

      对于这个问题,我的解决方法是在防火墙前面的路由器上设置Shaping和Qos,也就是对于带宽的预先分配和优先度设置,避免双方数据的互相影响。我们在实验室对这个设计进行了实验,结果颇为满意。

      下面的就是对整个系统的详细配置了,只是没有Shaping,Qos和防火墙设置的内容,以免错误流露公司的内部情况,这一点只有抱歉了。

      点看全图

      整个系统的详细配置,可以点击看大图

      这次的设计修改,虽然看来并不是很复杂的,但是从系统的重新评估,到文档工作,整整花去我四天的时间,幸好,结果比较符合预期 – 两千七百万的投资,基本变成了0,只有中方在中国的接入系统和线路,是不得不花钱的,然而,由于日本方面不需要为中方租用单独的线路,中方与日方共享现有线路的结果是这边的费用减半,如此,几乎可以与中国方面的花费相抵了。从这一点来说,是件很令人满意的事情。

      从我个人而言,以前对于Vlan和VACL的组合设计只有理论知识,这次能够应用在实践中,感觉是很有意思的,也开拓了以后在类似项目中的思路。也希望我的经验能够给有关朋友提供一些帮助。

      对了,还有花总说好,省一百万请我一顿的,那么,他欠我二十七顿饭呢。

      下个月,也许中午不需要带便当喽。

      [完]

分页树展主题 · 全看首页 上页
/ 3
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河