企業內網之網路管控or自動科學上網

凌天labs發表於2019-05-14

0x0 前言

企業內網屬重中之重，一個企業的核心資料，核心業務也在企業內網中執行，內網雜亂沒有好的管控和管理是安全風險高發區。下面說的就是企業內網的一個小塊，網路管控，在公司不想上防火牆又不想用流控裝置，為了節省資金的同時又想要高質量網路的同時一下作為參考。當然如果是大佬公司，以下思路忽略跳過。下圖中網橋裝置是途中關鍵裝置，如果沒有網橋裝置不管是日誌記錄還是網路流控，都不可能實現，以前公司的網路裸奔，50m電信頻寬很顯然不能滿足一個100個使用者的公司，在公司沒有上網橋裝置之前公司的網路都是隻要有一個下載裝置，會拖慢整個公司的外網出口。導致整個網路非常卡頓，（ps:背鍋無數次）想出一下解決方案，完美解決公司網路問題。

0x1 思路

以上腦圖是我實驗成功的網路圖，用起來效果還好。

0x2 實現過程

一、需要的裝置以及工具

1.Esxi 虛擬化伺服器一臺（當然其他伺服器也可以主要是支援虛擬化就行）
2.刷了老毛子韌體的路由器一臺 (為了解決ssr翻牆這一需求)
3.intel雙網路卡一塊 (最好是G口，至於為什麼選用intel 因為驅動支援比較多作為網橋介面我選用的是 "Winyao E575T2 PCI-e X1雙口千兆網路卡82575桌上型電腦82576 ROS")
4.一個SSR翻牆賬號 (至於什麼是ssr 自行百度)
5.Panabit網咖版本(panabit是流控裝置，也可以選用其他流控裝置如:WFilter 以上裝置都是收費，請選用Panabit 標準版，或者選擇破解。)
6.PanaBitLog 日誌記錄 (這裡把所有內網日誌進行記錄)
7.一根 RISER 轉 BPA/B的轉接線 (淘寶就有自行購買)
8.原機自帶的是一個小的mini SAS6ir 近乎方塊的陣列卡（如果自帶有的話請忽略。沒有此卡在1u機器是不能認磁碟的。這裡注意被坑了好久）

二、安裝硬體到伺服器

安裝伺服器
我的 1u伺服器預設是裝了1塊磁碟陣列卡，我們需要吧磁碟陣列拆下來不然買過來的 PCI-E介面的網路卡沒地方插入。

把磁碟陣列卡拆卸下來。

插入原機自帶陣列卡，到下圖白色口處

插入原廠陣列卡，和網路卡。

上圖是我沒插入陣列卡的時候拍的，所以一定要插入陣列卡。

搞定開機安裝ESXi 這裡不介紹安裝，自行百度。

三、配置 ESXi Panabit

我們先下載 panabit 請移步到 http://panabit.com 下載後。
首先配置 ESXi 網路卡直通，不知道什麼是網路卡直通的請自行谷歌。

在這裡我已經新增過了注意這裡千萬不能選錯誤，如果選擇到虛擬機器的所用的物聯卡，會導致虛擬機器全部掉線。。
然後新建一個虛擬機器交換機，為我們的SSR 做準備。

可以看到上圖，現在我們的虛擬化機器一共4個網路卡， 2個是直通的網路卡我們不能動，但是Panabit 做網橋必須要3個網路卡。這裡新增虛擬網路卡的意義就是為了填補 Panabit的管理口。也就是說我們虛擬了一個Panabit 的管理口。

然後新建虛擬化機。新增 4塊網路卡其中2塊是我們之前設定的直通網路卡。2塊是我們虛擬化網路卡。
開機安裝安裝教程參照官方的安裝教程

安裝後我們進入到 panabit 進行設定。首先設定2塊直連網路卡，一個設定外網，一個設定內網，外網口插入到你路由器的lan口，內網口插入的你交換機。然後直連交換機ping 閘道器，如果能成功，恭喜你網橋已經安裝成功。

四、配置自動翻牆功能

設定老毛子韌體路由把翻牆路由 wan口接到，內網交換機處，參照上圖腦圖接法。lan口接到esxi 虛擬化。所有功能關閉，只留下dhcp和ssr翻牆，節約路由器資源。保證路由器能夠正常

設定Panabit 設定我們ssr 介面的虛擬網路卡

這時候需要設定 esxi 虛擬交換機

策略異常處全部選擇接受，不選擇的話翻牆口無法獲取到ip。

我們到pan 新增一個自定義協議這協議就是你需要翻牆的協議。

新增完成後編輯該協議，新增域名關聯。

然後到應用路由新增一個wan線路，也就出口線路。

上圖是我設定方式，心跳伺服器也就是ssr翻牆路由的閘道器，等於的意思我們吧我們的pan機器加到 ssr翻牆路由中。

然後我們在策略路由中吧我們剛剛的做的策略關聯起來，我這裡是網咖版本，功能不受限制。

然後測試。。。

成功訪問。
全域性內網能訪問谷歌了。
至於如何限流請參照 http://forum.panabit.com/thread-11489-1-1.html