企业内网之网络管控or自动科学上网
作者:星期二, 五月 14, 20190

0x0 前言

企业内网属重中之重,一个企业的核心数据,核心业务也在企业内网中运行,内网杂乱没有好的管控和管理是安全风险高发区。下面说的就是企业内网的一个小块,网络管控,在公司不想上防火墙又不想用流控设备,为了节省资金的同时又想要高质量网络的同时一下作为参考。当然如果是大佬公司,以下思路忽略跳过。下图中网桥设备是途中关键设备,如果没有网桥设备不管是日志记录还是网络流控,都不可能实现,以前公司的网络裸奔,50m电信带宽很显然不能满足一个100个用户的公司,在公司没有上网桥设备之前 公司的网络都是只要有一个下载设备,会拖慢整个公司的外网出口。导致整个网络非常卡顿,(ps:背锅无数次)想出一下解决方案,完美解决公司网络问题。

0x1 思路


以上脑图是我实验成功的网络图,用起来效果还好。

0x2 实现过程

一、需要的设备以及工具

  1. Esxi 虚拟化服务器一台(当然其他服务器也可以主要是支持虚拟化就行)
  2. 刷了老毛子固件的路由器一台 (为了解决ssr翻墙这一需求)
  3. intel双网卡一块 (最好是G口,至于为什么选用intel 因为驱动支持比较多 作为网桥接口 我选用的是 “Winyao E575T2 PCI-e X1双口千兆网卡82575台式机82576 ROS”)
  4. 一个SSR翻墙账号 (至于什么是ssr 自行百度)
  5. Panabit网吧版本(panabit是流控设备,也可以选用其他流控设备 如:WFilter 以上设备都是收费,请选用Panabit 标准版,或者选择破解。)
  6. PanaBitLog 日志记录 (这里把所有内网日志进行记录)
  7. 一根 RISER 转 BPA/B的转接线 (淘宝就有 自行购买)
  8. 原机自带的是一个小的mini SAS6ir 近乎方块的阵列卡 (如果自带有的话请忽略。没有此卡 在1u机器是不能认磁盘的。这里注意被坑了好久)

二、安装 硬件到服务器

安装服务器
我的 1u服务器默认是装了1块磁盘阵列卡,我们需要吧磁盘阵列拆下来不然买过来的 PCI-E接口的网卡没地方插入。

把磁盘阵列卡拆卸下来。

插入原机自带阵列卡,到下图白色口处

插入 原厂阵列卡,和网卡。

上图是我没插入阵列卡的时候 拍的,所以一定要插入阵列卡。

搞定开机 安装ESXi 这里不介绍安装,自行百度。

三、配置 ESXi Panabit

我们先下载 panabit 请移步到 http://panabit.com 下载后。
首先配置 ESXi 网卡直通,不知道什么是网卡直通的请自行谷歌。

在这里我已经添加过了 注意这里千万不能选错误,如果选择到虚拟机的所用的物联卡,会导致虚拟机全部掉线。。
然后新建一个虚拟机交换机,为我们的SSR 做准备。

可以看到上图,现在我们的虚拟化机器一共4个网卡, 2个是直通的网卡我们不能动,但是Panabit 做网桥 必须要3个网卡。 这里添加虚拟网卡的意义就是为了填补 Panabit的管理口。 也就是说我们虚拟了一个Panabit 的管理口。

然后新建虚拟化机。添加 4块网卡 其中2块是我们之前设置的直通网卡。2块是我们虚拟化网卡。
开机安装 安装教程参照官方的安装教程 http://forum.panabit.com/forum.php?mod=viewthread&tid=10217&highlight=%B0%B2%D7%B0

安装后我们进入到 panabit 进行设置。 首先设置2块直连网卡 ,一个设置外网,一个设置内网,外网口插入到你路由器的lan口,内网口插入的你交换机。然后直连交换机ping 网关,如果能成功,恭喜你网桥已经安装成功。

四、配置自动翻墙功能

设置老毛子固件路由 把翻墙路由 wan口接到,内网交换机处,参照上图脑图接法。lan口接到esxi 虚拟化 。所有功能关闭,只留下dhcp和ssr翻墙,节约路由器资源。保证路由器能够正常

设置Panabit 设置我们ssr 接口的虚拟网卡

这时候需要设置 esxi 虚拟交换机

策略异常处全部选择接受,不选择的话 翻墙口无法获取到ip。

我们到pan 添加一个自定义协议 这协议就是你需要翻墙的协议。

添加完成后 编辑该协议,添加域名关联。

然后到应用路由添加一个wan线路,也就出口线路。

上图是我设置方式, 心跳服务器也就是ssr翻墙路由的 网关, 等于的意思我们吧我们的pan机器加到 ssr翻墙路由中。

然后我们在策略路由中 吧我们刚刚的做的策略关联起来,我这里是网吧版本,功能不受限制。

然后测试。。。

成功访问。
全局内网能访问谷歌了。
至于如何限流 请参照 http://forum.panabit.com/thread-11489-1-1.html

0x3 结尾

中间也可以吧PanaBitLog部署上去,部署方式很简单,参照官方。

一句话总结。企业内网中没用监控,从安全角度来讲是不合规,至于那些说隐私的我只想说办公网是用来办公的,总之有利也有弊,慎重考虑,至于其他功能请自行研究。这里不做深入。

关键词:

相关文章

写一条评论

 

 

0条评论