🧠拓扑・全局洞察 | 🔐安全・纵深防御
📡节点・边界管控 | ⚙️架构・持续优化
目录
[二、主要设备 / 组件用途](#二、主要设备 / 组件用途)
[1. 管理层设备(园区的 "指挥大脑 + 监控室")](#1. 管理层设备(园区的 “指挥大脑 + 监控室”))
[1.1 园区控制器:AD Campus Director](#1.1 园区控制器:AD Campus Director)
[1.2 安全管理中心:SecCenter A2000](#1.2 安全管理中心:SecCenter A2000)
[2. 安全资源池设备](#2. 安全资源池设备)
[3. 网络层设备](#3. 网络层设备)
[3.1 园区出口:路由器 + NGFW](#3.1 园区出口:路由器 + NGFW)
[3.2 核心层交换机(IRF 堆叠)](#3.2 核心层交换机(IRF 堆叠))
[3.3 汇聚层交换机(带 NGFW Blade 安全插卡)](#3.3 汇聚层交换机(带 NGFW Blade 安全插卡))
[3.4 接入层交换机 + 接入安全管控(802.1X/Portal/EAD 客户端)](#3.4 接入层交换机 + 接入安全管控(802.1X/Portal/EAD 客户端))
[1.VLAN 标签、VXLAN VNI 区别](#1.VLAN 标签、VXLAN VNI 区别)
[2.VXLAN 通信的三种情况](#2.VXLAN 通信的三种情况)
[2.1 同 VNI 终端通信(纯二层直通,同虚拟局域网)](#2.1 同 VNI 终端通信(纯二层直通,同虚拟局域网))
[2.2 不同 VNI 通信(园区内部:核心交换机做 VXLAN 三层网关)](#2.2 不同 VNI 通信(园区内部:核心交换机做 VXLAN 三层网关))
[2.3 外部三层转发跨 VNI(流量转出 VXLAN 域,对接外网 / 传统网络)](#2.3 外部三层转发跨 VNI(流量转出 VXLAN 域,对接外网 / 传统网络))
[场景 1:员工终端访问外网(普通办公场景)](#场景 1:员工终端访问外网(普通办公场景))
[场景 2:外网用户访问园区服务器区(对外业务场景)](#场景 2:外网用户访问园区服务器区(对外业务场景))
[场景 3:员工终端访问内网研发服务器区(内部高安全区域访问)](#场景 3:员工终端访问内网研发服务器区(内部高安全区域访问))
[👍点赞⭐收藏 = ❤️最大支持](#👍点赞⭐收藏 = ❤️最大支持)
1.整体拓扑图
这是一个典型的 SDN+VXLAN 园区安全防护架构:
- 用分层设计搭起 "园区的物理骨架",从终端接入到互联网出口;
- 用SDN 控制器做 "园区的智能大脑",实现全网自动化调度;
- 用VXLAN Overlay 网络做 "园区的虚拟高速路",打破物理限制实现灵活组网;
- 用安全服务链做 "园区的安全检查站",按需给流量做 "体检";
- 用IRF 堆叠做 "园区的双保险引擎",关键设备故障也不影响业务。
整体分为 6 个核心层级,像园区的不同功能分区:
| 层级 | 核心组件 | 比喻 | 核心作用 |
|---|---|---|---|
| 园区接入层 | 接入交换机、EAD 客户端、有线 / 无线终端 | 园区的 "小区门禁 + 访客登记处" | 终端接入的第一道关卡,验证身份 + 检查终端安全性 ,只放行 "合规访客" |
| 汇聚层 | 汇聚层交换机(带 NGFW 安全插卡) | 园区的 "楼栋管家 + 楼层安保" | 作为VXLAN 隧道的 "中转站",同时给重点楼栋(服务器区 / 研发区)加装 "专属安保" |
| 核心层 | 核心层交换机(IRF 堆叠) | 园区的 "中央主干道 + 交通枢纽" | 全网流量的高速转发核心,同时作为安全服务链的 "调度中心",引导流量去对应安全检查站 |
| 园区出口 | 路由器、NGFW 防火墙(IRF 堆叠) | 园区的 "大门岗亭 + 海关安检站" | 园区与互联网连通的唯一出入口,承担内外网路由转发 + 边界安全防护 |
| 安全资源池 | M9000/F5000 系列 NGFW/IPS/ACG/LB Blade | 园区的 "集中式安全检查站集群",像 "X 光机 + 安检门 + 行为分析室" | 集中存放各类安全检测设备,按需给流量做深度检测 |
| 管理层 | 园区控制器AD Campus Director、安全管理中心 SecCenter A2000 | 园区的 "指挥中心 + 监控室" | 前者管网络自动化调度 ,后者管全网安全监控与事件响应 |
2.关键技术点
-
**VXLAN Overlay 网络(后文详细说明):**可以把园区的物理交换机理解成 "城市的现有公路网",VXLAN 就是在这些公路上搭建的 "虚拟高速路系统"。
- 汇聚 / 核心交换机上的VTEP 节点,就是 "虚拟高速路的出入口收费站",负责给流量封装 VXLAN 隧道标签;
- 不同区域的流量可以通过虚拟隧道直接通信,不用再受物理位置限制,同时为安全服务链提供了 "定向引导的通道"。
-
**IRF 堆叠:**核心交换机、出口防火墙都采用了 IRF 技术,就像两台一模一样的 "双胞胎设备" 合并成了一台 "超级设备":
- 两台设备共用一个 IP、一个管理地址,对外就像一台设备;
- 任何一台设备故障,另一台会立刻无缝接管业务,就像 "双引擎飞机",单引擎故障也能安全飞行,同时转发性能也翻倍提升。
-
**安全资源池:**这是园区安全防护的 "定制化安检流程":
- 不同类型的流量(比如员工上网、外网访问服务器、内网跨区访问),会被引导经过不同的安全设备组合;
- 比如员工上网流量要经过 "ACG 带宽管控→NGFW 访问控制",外网访问服务器的流量要经过 "出口 NGFW→IPS 入侵防御→汇聚层 NGFW 插卡",实现 "按需安检"。
二、主要设备 / 组件用途
1. 管理层设备(园区的 "指挥大脑 + 监控室")
1.1 园区控制器:AD Campus Director
核心定位:园区网络的 "自动化调度大脑",管着整个园区的网络和安全策略:
- 网络自动化部署:不用再一台台手动配置交换机、VLAN、VXLAN,就像物业批量设置所有楼栋的门禁权限,一次性完成全网设备配置,减少人工失误;
- 安全服务链编排:根据业务需求,给不同流量 "定制安检路线",比如把研发区访问流量的安检路线设为 "IPS→NGFW→日志审计",外网访问流量设为 "出口 NGFW→IPS→汇聚层插卡";
- 安全策略统一管理 :全网用户、应用、访问控制策略集中下发,不管用户在哪个楼栋、哪个楼层,++策略都能跟着用户走++,不会出现 "东楼放行、西楼拦截" 的矛盾情况。
1.2 安全管理中心:SecCenter A2000
核心定位:全网安全的 "监控室 + 应急指挥中心",就像园区的 "安保监控室",盯着所有摄像头的画面,发现异常立刻响应:
- 安全数据采集:汇总全网防火墙、IPS、ACG、终端准入设备的日志和告警,就像把所有安保岗的记录都传到监控室;
- 应用风险可视:通过可视化报表展示园区内的攻击行为、违规访问、流量异常,比如 "哪个 IP 在暴力破解服务器、哪个用户在下载违规视频",一目了然;
- 用户行为审计:记录用户的每一次网络访问行为,就像 "园区访客的出入登记记录",满足合规审计要求,出了问题可以追溯源头;
- 安全事件响应 :发现攻击行为后,能一键联动防火墙 / IPS 阻断攻击源,下发临时访问策略,就像监控室发现可疑人员,立刻通知岗亭保安拦截。
2. 安全资源池设备
这是园区的 "集中式安全检查站集群",所有安全检测能力都集中在这里,按需调用,就像把医院的 CT 机、X 光机、验血设备都集中在一个中心,不用每个科室都配一套:
| 设备类型 | 核心用途 |
|---|---|
| NGFW(下一代防火墙) | 基于用户 / 应用的访问控制,同时防 DDoS 攻击、病毒防护、应用层攻击防御(如 SQL 注入),只放行合法访问,拦截恶意请求 |
| IPS(入侵防御系统) | 实时检测并阻断入侵行为,比如:漏洞利用、暴力破解、恶意代码传播,发现 "可疑" 立刻拦截,不让其靠近核心区域 |
| ACG(应用控制网关) | 负责用户行为审计、带宽管理、应用流量管控,比如限制员工上班时间的视频 / 游戏流量,优先保障 OA、ERP 等业务流量的带宽 |
| LB(负载均衡) | 给安全设备和业务服务器分担流量压力,比如多个用户同时访问服务器,LB 会把请求分配到不同的服务器上,避免单台设备被 "挤爆" |
| Netstream 应用流量统计 | 精细化分析全网流量,识别业务流量占比、异常流量(比如挖矿流量、病毒传播流量),就像 "园区道路的车流统计",哪里堵车、哪里有异常车流一目了然 |
3. 网络层设备
3.1 园区出口:路由器 + NGFW
- 路由器:园区与互联网连通的 "大门道路",负责内外网的路由转发,把流量引向互联网;
- 出口 NGFW :园区边界的 "第一道防线",是外网攻击的 "第一站拦截点":
- **多出口业务智能调度:**园区有电信、联通多条互联网线路时,能根据链路质量自动切换,比如电信线路拥堵时,自动把流量切到联通线路,保证业务不中断;
- **用户业务带宽保障:**给 OA、ERP 等核心业务流量 "开绿色通道",优先分配带宽,不会被员工刷视频、下载文件的流量挤占;
- **应用层攻击检测防御:**阻断外网对内网的 DDoS 攻击、SQL 注入、恶意代码传播等攻击行为;
- **基于用户的安全访问控制:**限制不同用户的外网访问权限,比如普通员工不能访问外网的高风险网站,研发人员只能访问指定的技术网站。
3.2 核心层交换机(IRF 堆叠)
园区流量的 "中央主干道 + 交通枢纽",是整个园区网络的 "心脏":
- 高速转发全网流量,就像城市的 "快速路系统",保证流量能快速在园区内流转;
- 作为 VXLAN 的核心网关,实现 Overlay 网络的三层转发,让不同虚拟网段的流量能互相通信;
- **安全服务链的 "调度中心",**引导流量进入安全资源池的对应设备,比如:员工上网流量引导到 ACG,外网访问服务器的流量引导到 IPS。
3.3 汇聚层交换机(带 NGFW Blade 安全插卡)
园区的 "楼栋管家 + 楼层安保",承上启下连接核心层和接入层:
- 作为 VXLAN 的 VTEP 节点,终结接入层的 VXLAN 隧道,把虚拟流量转换成物理流量,再转发到核心层;
- 内置的 NGFW 安全插卡,对服务器区、研发区等高安全区域的流量进行本地防护加固,比如拦截针对服务器的漏洞攻击、阻断数据外传行为,给核心区域再加一道保险。
3.4 接入层交换机 + 接入安全管控(802.1X/Portal/EAD 客户端)
终端接入的 "身份准入关卡",就像园区的 "小区门禁 + 访客登记系统":
- 802.1X/Portal 认证:有线 / 无线终端接入网络前,必须通过用户名密码 / 证书认证,就像访客必须刷身份证或登记信息才能进入小区;
- EAD 客户端:终端接入前的 "安全体检",检查终端是否安装杀毒软件、是否存在高危漏洞、是否符合公司的安全策略,不合格的终端禁止接入,就像访客进入园区前,必须经过安检,携带违禁品的不让进;
- 地址分离 & 策略随行:用户在园区内移动时(比如:从办公室到会议室),安全策略会跟着用户身份生效,不用重新配置,就像访客的权限卡,在园区内的不同区域都能正常使用,不用反复登记。
三、关于Vxlan的通信逻辑
1.VLAN 标签、VXLAN VNI 区别
-
相似点: VLAN 标签、VXLAN VNI(隧道标签)都是二层隔离标识,交换机靠标签区分不同广播域 / 网段,Trunk 口 / 隧道都会携带标签转发流量。
-
核心区别
- VLAN:靠 Trunk 传标签。VLAN 标签字段仅 12 位,最大只有 4094 个可用, 仅限本地物理网络,跨物理机房 / 园区很难二层互通;
- VXLAN VNI:靠 IP 隧道传 VNI 标签。**依托 IP 网络,跨园区、跨地域都能二层互通。**理论数量极大。
VLAN 标签怎么跨交换机?
交换机之间互联口配成 Trunk 模式,就能携带 VLAN 标签转发,实现跨交换机同 VLAN 终端二层互通。举例:交换机 A、B 用 Trunk 相连,PC1(VLAN 10)接 A,PC2(VLAN 10)接 B,二者可直接通信。
不同 VLAN 跨交换机怎么通信?
和不同 VXLAN 逻辑一致:必须经过三层网关(三层交换机 / 路由器)做路由转发,二层无法直接互通。
2.VXLAN 通信的三种情况
先统一概念:
- VTEP :汇聚交换机(园区主要 VTEP 节点),负责封装 / 解封装 VXLAN 报文
- VNI:VXLAN 标识,等价于虚拟网段
- 核心交换机 :本架构的VXLAN 三层网关
2.1 同 VNI 终端通信(纯二层直通,同虚拟局域网)
场景:
终端 A(VNI 10)→接入交换机→汇聚 VTEP-A
终端 B(VNI 10)→接入交换机→汇聚 VTEP-B
两端同一个 VNI,不同物理点位。
完整报文流转步骤:
-
终端 A 发原始二层帧: A 要访问 B,发出普通以太网帧(有源 MAC、目的 MAC,无任何 VXLAN 标签)。
-
接入交换机转发: 接入交换机识别端口所属 VLAN,把帧转发到上联的汇聚 VTEP-A。
-
本端 VTEP 封装 VXLAN 隧道: VTEP-A 判断:源终端属于 VNI 10 ,查询 MAC 表,找到对端 VTEP-B 的IP 地址 。给原始二层帧 外层封装 VXLAN 头部 + UDP/IP 头部 :
内层: 原始以太网帧(原 MAC、数据)
新增: VXLAN 头(标记 VNI=10)、UDP 头、外层 IP(源 = VTEP-A IP,目的 = VTEP-B IP)。此时报文变成VXLAN 隧道报文,在底层物理 IP 网络中转发。
-
物理网络传输: 报文像普通 IP 包一样,经过++核心交换机++ 等设备,到对端 VTEP-B。
-
对端 VTEP 解封装: VTEP-B 收到隧道报文:
剥离外层 IP/UDP/VXLAN 头部,还原出原始二层以太网帧
校验 VNI=10,确认是本虚拟网段流量。
-
**转发到目标终端:**VTEP-B 将原始帧转发给下联接入交换机,最终送达终端 B。
全程没有三层路由,只做二层转发 ;同 VNI = 同一个虚拟广播域,和传统同 VLAN 跨 Trunk 逻辑一致,只是用IP 隧道替代了物理 Trunk 链路。
2.2 不同 VNI 通信(园区内部:核心交换机做 VXLAN 三层网关)
场景:
终端 A(VNI 10,网段 192.168.10.0/24)
终端 B(VNI 20,网段 192.168.20.0/24)
VNI 不同,二层隔离,必须走核心三层网关(本拓扑方案)。
完整报文流转(双向分阶段):
阶段 1:A → 核心三层网关
- 终端 A 发报文,目标 IP 是跨网段的 B,知道需要找网关。
- 接入交换机转发至汇聚 VTEP-A。
- VTEP-A 封装 VNI=10 的 VXLAN 隧道报文,外层 IP 指向核心网关 IP,转发到核心交换机。
- 核心交换机(三层网关)解封装 :拆掉 VXLAN 头,拿到原始二层帧,发现目标是跨 VNI 流量,进入三层路由处理。
阶段 2:核心网关 → 终端 B
- 核心网关完成 IP 路由转发:改写内层 MAC(源 MAC 变为网关 MAC,目的 MAC 变为 B 的 MAC)。
- 根据目标网段,匹配对应 VNI=20 ,重新封装新的 VXLAN 隧道报文(VNI=20),外层 IP 指向 B 所在的汇聚 VTEP-B。
- 隧道报文在物理网络转发到 VTEP-B。
- VTEP-B 解封装 VXLAN,还原原始二层帧,转发给接入交换机,最终到达终端 B。
终端 A → 汇聚 VTEP-A(封装 VNI10)→ 核心网关(解封装 + 三层路由 + 封装 VNI20)→ 汇聚 VTEP-B(解封装)→ 终端 B
2.3 外部三层转发跨 VNI(流量转出 VXLAN 域,对接外网 / 传统网络)
内网 VXLAN 终端 访问 互联网 / 外网服务器 / 传统非 VXLAN 内网。 此时跨 VNI 不再由 VXLAN 三层网关处理,而交给防火墙 / 路由器 这类外部三层设备转发。
场景:
终端 A(VNI 10 内网)→ 要访问 外网公网 IP
出口设备:NGFW / 路由器(外部三层网关,不在 VXLAN Overlay 域内)
完整报文流转:
- 终端 A 发出访问外网的报文,转发至接入交换机。
- 上联到汇聚 VTEP-A,封装 VNI=10 VXLAN 隧道,转发到核心交换机。
- 核心交换机识别:目标是外网流量 ,不再做 VXLAN 三层转发,直接把完整 VXLAN 隧道报文转发到出口 NGFW / 路由器(外部三层设备)。
- 外部三层设备解封装 VXLAN:剥离所有 VXLAN、UDP、IP 外层头,还原出内网原始报文。
- 外部设备做传统三层转发:执行 NAT、安全策略、路由,把报文转换成公网报文,发往互联网。
回程流量(外网 → 内网 A):
- 外网响应报文到达出口 NGFW,做反向 NAT。
- 出口设备根据目标内网地址,封装 VNI=10 VXLAN 隧道,发回核心交换机。
- 核心转发至汇聚 VTEP-A,解封装后送达终端 A。
关键区别(对比园区内部三层网关)
- 内部跨 VNI:核心交换机终结 VXLAN + 三层转发,全程在 VXLAN 域内闭环;
- 外部三层转发:VXLAN 隧道整体透传到出口设备,由外网防火墙 / 路由器解封装 + 三层处理,流量离开 VXLAN 虚拟网络。
四、实际场景数据流向演示
场景 1:员工终端访问外网(普通办公场景)
场景比喻:员工从办公室出发,去园区外的商场购物
- 终端接入(访客登记 + 安检):员工笔记本通过接入交换机接入网络,EAD 客户端完成身份认证和终端安全检查,确认 "员工身份合法、电脑无病毒漏洞" 后,接入交换机把流量转发到汇聚层交换机(VTEP 节点),就像员工刷工牌、过安检,进入楼栋大厅;
- 汇聚层转发(楼栋内转乘):汇聚交换机把流量封装成 VXLAN 报文,通过 Overlay 网络转发到核心层交换机(IRF 堆叠),就像员工从楼栋大厅坐电梯到园区中央主干道;
- 安全服务链调度(园区内安检):核心交换机作为服务链代理,把流量引导到安全资源池的 ACG 设备,进行带宽限制和应用流量管控(比如限制视频流量带宽),再转发到出口 NGFW,就像员工在园区内经过 "流量调度岗",确认携带的物品合规后,前往园区大门;
- 出口防护与转发(大门安检 + 出园):出口 NGFW 对流量进行 NAT 转换(把内网 IP 转换成公网 IP),同时检测是否存在恶意访问、攻击行为,再转发到路由器,最终访问互联网,就像员工在园区大门经过 "海关安检",确认无违禁品后,出园前往商场;
- 回程流量(原路返回 + 全程记录):外网响应流量按原路返回,经过出口 NGFW、安全资源池、核心 / 汇聚交换机,最终到达员工终端,同时 SecCenter A2000 记录整个访问过程的日志,就像员工购物结束后按原路返回,园区监控室全程记录了员工的出入和活动轨迹。
场景 2:外网用户访问园区服务器区(对外业务场景)
场景比喻:外部客户来园区的业务大厅办理业务
- 外网流量进入(客户到达园区大门):外网用户的请求流量先到达园区出口路由器,再转发到出口 NGFW,就像客户开车到达园区大门外的道路上;
- 出口安全防护(大门安检):出口 NGFW 对流量进行攻击检测(DDoS 防护、SQL 注入阻断),并根据访问控制策略放行合法请求,同时进行目的 NAT 转换(把公网 IP 转换成服务器的内网 IP),转发到核心层交换机,就像客户在园区大门经过安检,确认无恶意行为后,被引导前往业务大厅;
- 核心转发与安全检测(园区内中转 + 二次安检):核心交换机把流量引导到安全资源池的 IPS 设备,检测是否存在入侵行为,再转发到汇聚层交换机(服务器区所在的汇聚节点),就像客户在园区内经过 "二次安检岗",确认安全后前往业务大厅所在的楼栋;
- 汇聚层加固防护(业务大厅专属安保):汇聚交换机的 NGFW 安全插卡对服务器区流量进行二次防护,阻断针对服务器的漏洞攻击,最终转发到服务器区的接入交换机,到达目标服务器,就像客户到达业务大厅后,大厅的专属安保再次核验身份,确认无误后才允许进入办理业务;
- 回程流量(原路返回 + 全程记录):服务器响应流量按原路返回,经过汇聚层 NGFW 插卡、核心交换机、出口 NGFW,转发给外网用户,SecCenter A2000 全程记录攻击日志与访问行为,就像客户办理完业务后原路离开,园区监控室全程记录了客户的来访和办理过程。
场景 3:员工终端访问内网研发服务器区(内部高安全区域访问)
场景比喻:员工从普通办公区出发,前往园区的保密研发区办公
- 终端接入与认证(身份核验):员工终端通过接入交换机接入,EAD 客户端完成身份认证,确认用户具备访问研发区的权限后,流量转发到汇聚层交换机,就像员工刷工牌进入办公区,同时核验 "是否有研发区的访问权限";
- VXLAN 隧道转发(前往园区中央主干道):汇聚交换机把流量封装为 VXLAN 报文,转发到核心层交换机,就像员工从办公区楼栋坐电梯到园区中央主干道;
- 安全服务链与访问控制(核心安检):核心交换机根据用户身份,把流量引导到安全资源池的 NGFW 设备,进行用户 - 应用 - IP 的访问控制,仅放行允许访问研发区的流量,再转发到研发区所在的汇聚层交换机,就像员工在园区中央的 "保密区安检岗",核验权限并经过安全检查,确认合规后前往研发区楼栋;
- 重点区域防护(研发区专属安保):研发区汇聚交换机的 NGFW 安全插卡对流量进行深度检测,阻断违规访问与数据外传行为,最终转发至研发服务器,就像员工到达研发区楼栋后,楼栋的专属安保再次核验,防止数据外传;
- 日志审计(全程记录 + 合规追溯):整个访问过程的用户行为、流量数据被 SecCenter A2000 采集,用于后续合规审计与风险追溯,就像园区监控室全程记录了员工从进入办公区到研发区的所有活动轨迹,出了问题可以追溯源头。
👍点赞⭐收藏 = ❤️最大支持
