企业在搭建信息系统时,网络架构是根基。很多客户买了云服务器之后不知道怎么规划网络,导致后期扩展困难、安全事故频发。今天从实际经验出发,聊聊企业网络架构设计的关键点。
一、网络分层架构基础
早期很多中小企业的网络是扁平化的,所有设备放在同一个局域网里。这种架构简单,但在设备多了之后问题明显:广播风暴、访问控制难做、安全风险集中。
生产环境的网络通常采用三层架构:
核心层(Core Layer)
↓
汇聚层(Distribution Layer)
↓
接入层(Access Layer)
核心层负责高速转发,一般用万兆交换机,核心是稳定和低延迟。
汇聚层做策略控制,VLAN间路由、访问控制列表(ACL)都在这层。
接入层连接终端设备,PC、打印机、IP电话等。
二、VLAN划分:网络隔离的第一步
VLAN(虚拟局域网)是网络隔离的基础工具。一个典型的中小企业VLAN划分:
VLAN 10: 办公网络 10.0.10.0/24
VLAN 20: 服务器区 10.0.20.0/24
VLAN 30: 访客网络 10.0.30.0/24
VLAN 40: 语音(IP电话)10.0.40.0/24
不同VLAN之间默认不能互访,需要通过三层交换机或路由器做路由。对于云服务器环境,VLAN可以用来隔离不同业务系统,比如Web层、数据库层、缓存层各自在独立的网段。
在云服务器上配置网卡时,也建议根据业务角色分配不同网段:
# 查看当前网络接口
ip addr
# 为Web服务器配置第二个网卡(连接内网)
auto eth1
iface eth1 inet static
address 10.0.20.10
netmask 255.255.255.0
mtu 9000
三、生产环境网络的几个关键设计
1. 高可用设计
关键设备用双机热备,常见协议有VRRP(虚拟路由冗余协议)和HSRP(思科私有)。两台核心交换机配置VRRP,虚拟出一个VIP地址,正常时一台工作,故障时另一台自动接管。
# Linux上可以用keepalived实现VRRP
apt install keepalived
# /etc/keepalived/keepalived.conf
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 51
priority 100
virtual_ipaddress {
10.0.10.254
}
}
2. 出口冗余
企业至少两条外网链路,主备自动切换。配置BFD(双向转发检测)可以做到秒级切换,比传统的BGP收敛快得多。
3. 安全边界
DMZ区(隔离区)放置对外提供服务的系统,Web服务器放在DMZ,数据库放在内网trusted区域,DMZ到内网严格限制。
# iptables基本规则示例
# 允许DMZ到内网的特定端口
iptables -A FORWARD -i dmz0 -o internal0 -p tcp --dport 3306 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i dmz0 -o internal0 -j DROP
四、云服务器环境下的网络架构
在云平台上,传统物理网络的概念映射为虚拟网络:
- 公有云VPC(Virtual Private Cloud)= 虚拟私有数据中心
- 安全组 = 云端ACL
- 子网 = VPC内的网段划分
- NAT网关 = 共享出口
设计云上网络时,建议:公有子网放Web/APP层,私有子网放数据层,通过NAT网关让私有子网内的云服务器访问外网但不接受入站连接。
# 云服务器内网安全组规则示例(放行Web流量)
# 入方向:只开放80/443
# 出方向:全放
# 数据库服务器:仅允许APP层IP访问3306
五、监控和日志:网络运维的眼睛
网络架构建好之后,监控是保障运行的基础。基础监控包括:
- 设备端口状态和带宽利用率
- 路由表变化告警
- 防火墙拦截日志
- 内网访问异常检测
可以用Zabbix或Prometheus+Grafana搭建监控体系。带宽监控推荐用 sflow/netflow 采集器分析流量去向,发现异常流量第一时间告警。
总结
网络架构设计没有标准答案,但有几个核心原则:分层清晰、冗余保活、隔离到位、监控跟上。新建系统时多花一周做网络规划,后期运维会省心很多。
对于云服务器用户,建议从VPC划分入手,逐步建立网络分段意识,再配合安全组做好访问控制。架构对了,扩展和迁移都会顺畅很多。