网络架构审计

以下清单基于“85台设备的多分支SD-WAN混合网络（云与本地并存）”场景设计，重点覆盖SD-WAN控制面/数据面、分支与云互联、分段与高可用。建议通过SD-WAN编排器/控制器统一导出清单与配置基线，做到全网覆盖（此规模建议100%覆盖，不采用抽样）。

1. 资产与拓扑基线

• 导出现网资产清单：设备型号/序列号/位置、角色（SD-WAN边缘/控制器/防火墙/交换机/AP/负载均衡/云网关等）、软件版本、许可证状态。
• 核对逻辑拓扑：分支-区域-Hub/数据中心-云的连通关系（Hub&Spoke/部分网状/全网状），与目标设计一致。
• 识别单点：控制器/编排器、Hub网关、云出入口、分支WAN接入、核心/汇聚、关键防火墙/负载均衡的冗余情况。
• 标注关键依赖：外部DNS/NTP/PKI、RADIUS/TACACS+、SD-WAN云控制平面域名/IP可达性。

建议：

• 使用统一命名规范与标签（站点代码-设备角色-序号），以便自动化与定位。
• 建立软硬件生命周期台账（EoS/EoL），规划升级窗口。

2. SD-WAN 架构与控制平面

• 控制器/编排器高可用：多实例/跨可用区部署、备份与恢复演练、证书与密钥轮换流程。
• 站点上线流程与模板：变量化参数（WAN IP、VLAN、VRF、策略），禁止手工偏差；检查模板一致性与漂移。
• 设备入网安全：基于证书的ZTP/可信引导、设备指纹校验、序列号绑定；关闭不必要的发现服务。
• 遥测通道与API：启用加密与鉴权；检查API密钥最小权限与轮换。

建议：

• 设定“黄金配置”基线与漂移告警；对变更启用审批与自动回滚。

3. Underlay 接入与物理连通

• 双链路/双运营商策略：Internet/MPLS/5G的多样性与路径独立性；本地回程/同管道风险评估。
• 物理层与接口：速率/双工一致；错误/丢包/CRC统计；MTU设置与路径MTU探测。
• 退出/入口NAT与公网地址管理；保留IP与ACL限制暴露面。
• 供电与环境：双电源/UPS/机柜温控；链路与电源的故障演练记录。

建议：

• 对关键站点执行“黑化/棕化”容灾演练（强制切换、降级服务）并记录恢复时间。

4. Overlay 隧道、路由与分段

• 隧道健康：IPsec/SSL隧道数、状态与重协商频率；加密域与域间漏配；隧道扩展容量评估。
• 路由协议：BGP/OSPF/静态混用策略；认证（BGP密码/OSPF消息认证）；路由汇总、缺省路由与环路防范；路由策略（社区/本地优先级/AS-Path）一致性。
• VRF/VLAN/Segment映射：业务域（用户/语音/管理/访客/OT等）是否端到端一致，避免泄露与跨段绕行。
• 服务链与转发：到安全栈/代理/WAN优化/检测设备的服务链路径与故障旁路策略。

建议：

• 为语音/视频/关键SaaS建立独立SLA类与优先路径；为大流应用启用PMTUD与MSS调优（如TCP MSS 1360~1440视隧道开销合理设置）。

5. 分支LAN与无线

• 接入控制：802.1X/MAB、动态VLAN/下载ACL；访客网与生产网隔离；端口安全（限制MAC/违规动作）。
• 交换环路与冗余：STP/RSTP参数、Root Guard/Loop Guard；链路聚合与最短路径。
• 无线安全与射频：WPA3/802.1X优先；频道规划与功率、漫游参数；访客隔离与ACL。
• PoE与供电预算、AP固件一致性。

建议：

• 对关键口启用DHCP Snooping、IP Source Guard、Dynamic ARP Inspection。

6. 数据中心与云互联

• 云连接：Direct Connect/ExpressRoute/专线/VPN状态与冗余；跨区域高可用。
• 云路由与安全：VPC/VNet路由表、NAT/IGW、专线网关；安全组/NSG/NACL基线；东西向与南北向防护。
• 云-本地名称解析与分离（Split-horizon DNS）、私有终端/Private Link使用情况。
• 负载均衡与WAF：健康检查、会话保持、证书到期。
• 数据中心：EVPN/VXLAN或传统三层汇聚的邻接与规模，Jumbo帧一致性（如启用）。

建议：

• 建立“云中转VPC/VNet”或“Transit网关”统一出口与可视化路由控制。

7. 地址与基础服务

• IP与子网规划：预留增长空间；避免重叠；IPv6策略（启用/禁用/RA Guard）。
• DHCP/DNS/NTP：主备与权威配置；日志与租约追踪；延迟与可达性。
• PKI/证书：设备与IPsec/HTTPS证书即将过期告警与自动续期链路。

建议：

• NTP对齐到权威源，全网时间偏差≤1秒，保障日志可关联。

8. 配置与变更管理

• 版本控制：每日/变更前后自动备份；差异审计；快速回滚预案。
• 变更流程：审批、窗口、回退计划与验证清单；紧急变更复盘。
• 文档：标准与作业指导书（SOP）、拓扑图、IP/路由/安全策略台账。

建议：

• 使用配置签名/完整性检测，防未授权变更；关键设备启用双人规则。

安全策略审计

1. 身份与管理访问

• 管理面统一认证：RADIUS/TACACS+对接AD/IdP；最小权限RBAC；MFA用于远程与特权操作。
• 设备本地账号：禁用默认/弱口令；急救账号密封管理与轮换。
• 审计追踪：命令级审计、会话录制（如跳板机）。

建议：

• 对编排器/API访问采用短期令牌与IP白名单。

2. 设备硬化与管理面保护

• 接口与服务：关闭Telnet/HTTP/SNMP v1/v2c；仅启用SSHv2/HTTPS/SNMPv3；限制管理源地址。
• 横幅与日志：登录警示横幅、时间同步、命令日志落SIEM。
• 平面保护：CoPP/控制面限速；管理VRF隔离。

建议：

• 缩小SNMP视图与只读社区，优先SNMPv3 authPriv。

3. 加密与密钥

• IPsec/IKE：使用强算法（AES-GCM、SHA2、DH组14+），PFS启用；密钥生命周期与重协商策略。
• TLS：仅TLS 1.2/1.3；禁用过时套件；证书链与CRL/OCSP可达。
• 密钥与证书轮换：自动化与到期告警≥30天。

4. 分段与零信任

• 分段策略：基于VRF/VLAN/SD-WAN Segment与业务标签；默认拒绝、显式放行。
• 端到端访问控制：分支接入-骨干-云一致的策略编排；动态属性（用户/设备姿态）驱动。
• ZTNA/SASE集成：对远程与分支直连SaaS的策略与日志可见性。

建议：

• 对高风险应用采用微分段与基于身份/设备态的策略。

5. 边界与威胁防护

• 防火墙基线：规则去重与命中率分析；地理/威胁情报策略；变更评审。
• IPS/URL/反恶意：签名更新与误报调优；SSL解密策略与例外清单。
• DDoS/速率限制：黑洞/清洗对接；外联服务阈值与告警。
• DNS安全：防隧道/投毒；DoH/DoT策略与分流。

6. 云安全控制

• 身份与权限：云账号最小权限、分帐号/项目隔离；关键操作MFA。
• 网络策略：安全组/NSG/NACL基线与漂移检测；公共暴露面清单与证据。
• 平台服务：WAF/CDN/托管证书/Key Management使用与审计。
• 存储与日志：流日志/审计日志集中到SIEM、保留策略。

7. 远程接入与第三方

• 站点到站点与客户端VPN：强加密、Split/Full隧道策略、端点合规检查。
• 供应商访问：时间窗账户、协议白名单、会话审计与隔离跳板。

8. 漏洞与补丁

• 固件与安全公告：版本基线、CVE影响矩阵、补丁优先级与维护窗口。
• 配置合规：CIS/厂商基线扫描；偏差整改闭环。
• 备份与恢复：离线与加密备份；定期恢复演练。

性能监控审计

1. 监控覆盖与数据源

• 遥测：SNMP/NetFlow/IPFIX/Streaming Telemetry覆盖率；关键KPI与维度（站点/应用/用户/设备）。
• 日志集中：Syslog到SIEM的完整性与延迟；告警分级与升级路径。
• 合成监测：到SaaS/云/数据中心的主动探测基线。

建议：

• 建立7/30/90天基线，用于容量与异常检测。

2. WAN与SLA策略

• 链路健康：带宽利用率、丢包、单向延迟、抖动；异常峰值与时间段。
• 应用感知路由：SLA类定义与阈值（语音/视频更严）；棕化/黑化切换是否按策略执行。
• 纠错机制：FEC/Packet Duplication/动态路径选择对关键流量的启用与代价评估。
• MTU/MSS：分片/ICMP不可达统计，优化MSS防碎片与性能下降。

3. 控制平面与收敛

• BFD/路由定时器：故障检测阈值、收敛时间与业务影响。
• 路由表规模：前缀数量、内存/CPU占用、FIB容量接近阈值告警。
• 隧道规模：最大并发与当前使用率，控制器/边缘许可与硬件上限。

4. QoS与队列

• 分类与标记：DSCP可信边界与重标记；入口/出口一致性。
• 队列与调度：关键队列利用率、丢弃与延迟；整形/仲裁权重与突发缓冲。
• 端到端一致性：分支-骨干-云链路的QoS映射表。

5. 应用与SaaS体验

• 业务KPI：O365/Teams/Zoom/企业ERP的端到端时延、DNS解析时延、TLS建连时间、重传率。
• 直连互联网策略：本地Breakout与集中出口的效果对比与回退策略。
• CDN/Anycast亲和：路径选择是否稳定；异常区域回源分析。

6. LAN/无线与终端体验

• 交换端口统计：错误包、微突发丢弃、缓冲溢出；拥塞热点定位。
• 无线指标：RSSI、SNR、重试率、频道占用、漫游失败；高密场景调优。
• DHCP/DNS服务质量：租约耗尽、请求失败率、解析时延。

7. 数据中心/云吞吐与成本

• 负载均衡：后端健康率、队列、连接耗尽与超时。
• 云出口：带宽峰值、速率限制、跨区费用与NAT端口耗尽。
• 存储与备份窗口对网络的影响评估（限速与隔离时窗）。

8. 容量与告警

• 容量门槛：CPU/内存/会话表/流表使用率与阈值告警。
• 趋势分析：按月增长率预测链路/设备升级时间点。
• 告警噪声治理：收敛、抑制与路由 flap 报警阈值优化。

总结与建议

关键风险（示例分类，按实际审计填充）

• 高：单控制器/单Hub单点故障；弱加密（TLS1.0/IPsec旧算法）；管理平面暴露到公网；未启用MFA的特权访问。
• 中：QoS映射不一致导致拥塞丢包；证书即将过期；路由缺少认证；云安全组过宽。
• 低：命名/文档不规范；监控覆盖存在盲点；部分站点模板漂移。

30/60/90天行动项

• 30天内
  • 落实MFA与RBAC；禁用Telnet/SNMPv1/2c；修复高危暴露面与弱加密套件。
  • 建立黄金配置与自动备份；完善NTP/DNS/PKI可用性与到期告警。
• 60天内
  • 部署端到端分段与零信任策略（关键业务优先）；完善应用感知SLA与QoS映射；完成控制器/Hub高可用改造或演练。
  • 引入合成监测与SaaS体验基线；优化MTU/MSS与FEC/重复包策略。
• 90天内
  • 完成固件与CVE整改批次升级；实施配置合规基线（CIS/厂商）；建立容量与成本月度报告。
  • 整合云网络（Transit/集中出入口）与日志到SIEM；完善变更审批与回滚演练。

长期优化建议

• 推进自动化（编排器模板+CI/CD+API）与合规即代码；持续配置漂移检测。
• 将SD-WAN遥测、流日志与云审计打通，构建统一可观测性与体验SLO。
• 建立年度韧性演练（链路中断、控制器不可用、证书失效）与经验回灌机制。
• 规划IPv6与微分段演进，提前验证相关安全与监控能力。

说明：以上清单为可操作的审计框架，具体参数（如SLA阈值、加密套件、队列权重）应结合现网设备能力与业务SLO进行校准。建议在编排器导出的全网配置与监控基线基础上逐项核验并留存证据。

1. 网络架构审计

本节面向双活数据中心骨干网（BGP+VXLAN，双ISP，约220台设备）进行结构化检查。每项包含检查点与建议/验收标准，确保在规模化场景下具备可操作性与一致性。

• 资产与版本管理

  • 检查点：
    • 完整设备清单：角色（Spine/Leaf/边界/防火墙/负载均衡/核心/DCI/OOB）、型号、操作系统版本、位置、上/下联端口、序列号、许可证状态。
    • 生命周期与补丁：在岗版本对照厂商推荐版本、已知CVE与安全公告、补丁/ISSU能力。
  • 建议/验收标准：
    • 建立统一CMDB并与配置合规系统对接；关键设备（Spine/边界/DCI）采用经验证的统一版本；存在已知高危漏洞的版本制定升级窗口与回退方案。

• 拓扑与冗余（双活DC）

  • 检查点：
    • Spine-Leaf全互联与ECMP路径数量；Leaf上行冗余（≥2条到不同Spine）。
    • 双活数据中心间DCI链路冗余（≥2条、不同路由/光纤/管道/供应商），链路速率与利用率。
    • 网关冗余（Anycast Gateway/VARP/冗余对）；服务器双归（MLAG/EVPN-MH）。
    • 环路与流量对称性策略（对称ECMP、会话保持）。
  • 建议/验收标准：
    • 关键平面无单点；跨DC关键业务路径具备链路/设备/站点三层冗余；流量在双DC间对称/可控；定期故障演练通过。

• Underlay（BGP/IGP）

  • 检查点：
    • 地址规划：Loopback与VTEP源地址统一规划；点到点链路使用/31或/30；路由汇总。
    • 路由协议：Underlay eBGP或IGP（OSPF/IS-IS）一致性；BFD启用；路由抑制/回环保护；Graceful Restart/NSR状态。
    • MTU：端到端配置考虑VXLAN开销（+50字节），Jumbo帧一致性；PMTUD开启。
  • 建议/验收标准：
    • Underlay稳定性优先，建议BFD探测≤300ms；全网统一MTU（如9000/9216）；路由黑洞与子网漂移零容忍。

• Overlay（EVPN/VXLAN）

  • 检查点：
    • EVPN控制平面：MP-BGP会话健康；Route-Target/Route-Distinguisher规划一致；VNI与VRF映射；Route-Type使用（RT2/RT3/RT5/RT7）正确。
    • ARP/ND抑制、MAC移动阈值、MAC老化；L3VNI（分段路由）与Anycast Gateway行为。
    • BUM控制：Ingress Replication或EVPN Multicast（PIM/IR）一致性；抑制风暴策略。
    • EVPN 多归（EVPN-MH/ESI-LAG）：ESI一致、DF选举策略、Split-Horizon/Loop-Prevention。
  • 建议/验收标准：
    • 跨DC EVPN策略一致；强制实施ARP/ND抑制降低广播；MAC移动保护阈值合理（防环/防抖）；VTEP环回统一在Underlay可达并路由可控。

• DCI与跨DC路由

  • 检查点：
    • DCI承载（L2VNI/L3VNI/专用VRF/跨域EVPN）选择与隔离；路由泄露策略与RT隔离。
    • 流量对称性与回程路径控制（Local-Preference/MED/ECMP）；跨DC失败域限制（避免全网泛洪）。
  • 建议/验收标准：
    • 尽量减少跨DC二层延伸，仅对确需业务开放；跨DC路由策略确保就近出入口与会话对称；DC隔离策略明确，防止故障放大。

• 边界与ISP接入（双ISP）

  • 检查点：
    • eBGP策略：入/出方向过滤（前缀列表/AS-Path/社区）；Max-Prefix与抖动抑制；默认路由与部分/全表策略。
    • 路由策略：本地优先级、MED、社区打标（流量工程、黑洞RTBH）；回源与回程路径一致性。
    • RPKI/ROV支持情况；BGP会话保护（GTSM/TTL-Security、MD5/TCP-AO能力）。
  • 建议/验收标准：
    • 必须启用入向严格过滤与Max-Prefix；支持RPKI优先开启只接受有效/未知拒绝无效；定期进行ISP切换演练并记录收敛时延。

• 管理与运维平面

  • 检查点：
    • 管理平面独立（OOB/管理VRF）；设备时钟源（NTP/PTP）冗余；配置备份与黄金模板；自动化与API可用性。
    • 变更控制与回退流程；标准化命名与标注（接口描述/机柜位置信息）。
  • 建议/验收标准：
    • 220台规模建议集中化配置合规与自动化下发；所有关键变更具备预检/回退脚本；时钟偏差<1ms（PTP场景）/ <100ms（NTP场景）。

• 资源与容量（可扩展性）

  • 检查点：
    • 路由/转发表规模：EVPN路由数量（RT2/RT5）、MAC表、ARP/ND表、TCAM利用率；ACL条目余量。
    • VNI/VRF数量与增长曲线；Spine/Leaf带宽与过订阅比；DCI/边界链路余量。
  • 建议/验收标准：
    • 关键表项峰值利用率<70%；核心/边界链路P95利用率<70%；明确未来12–18个月增长裕度与扩容触发阈值。

• 文档与可追溯性

  • 检查点：
    • HLD/LLD、IP/VLAN/VRF/VNI台账、BGP策略库、故障演练记录、依赖矩阵（应用↔网络）。
  • 建议/验收标准：
    • 文档与现网一致性≥98%，每季度校验；审计产出与CMDB闭环。

2. 安全策略审计

• 周边与分段安全

  • 检查点：
    • VRF/租户隔离；跨VRF路由泄露最小化；南北向/东西向防火墙策略基线。
    • EVPN RT隔离与租户边界；必要时采用服务链（FW/LB/IDS）插入。
  • 建议/验收标准：
    • 默认拒绝、最小权限；跨租户通信需显式白名单与变更审批；策略版本化与回溯可用。

• 访问控制与过滤

  • 检查点：
    • 边界/核心ACL基线：入/出向、无状态与有状态配合；Bogon/私网前缀屏蔽；ICMP策略。
    • 东西向微分段（如基于VLAN/SGT/NSG等）与关键业务端口白名单。
  • 建议/验收标准：
    • ACL采用对象与模板化管理；变更有影子测试与命中率评估；定期清理“长期未命中”规则。

• BGP与控制平面安全

  • 检查点：
    • 边界BGP对等的GTSM/TTL-Security、MD5/TCP-AO；Max-Prefix与惩罚策略；RPKI/ROV。
    • 路由策略仅允许期望的前缀与社区；防止意外默认路由引入/泄露。
  • 建议/验收标准：
    • 对等会话必须加固；RPKI启用并监控无效前缀事件；路由策略双人复核。

• 管理平面与设备加固

  • 检查点：
    • AAA与RBAC（TACACS+/RADIUS/本地应急账户）；多因素认证；最小权限角色。
    • SSHv2强加密套件；禁用Telnet/HTTP；启用HTTPS/API证书；SNMPv3（禁用v1/v2c）。
    • CoPP/Policer保护CPU；日志速率限制；LLDP/CDP信息最小化。
  • 建议/验收标准：
    • 统一AAA高可用；基线硬化脚本化与合规模板；CoPP覆盖BGP/OSPF/SSH/SNMP/ICMP等必要报文并限速。

• 数据与密钥安全

  • 检查点：
    • 配置与秘钥库加密存储；证书生命周期管理；私钥不落地/使用HSM（如有）。
    • DCI/MAN链路加密（MACsec/IPsec，如涉及）。
  • 建议/验收标准：
    • 秘钥轮换策略明确（至少年度/人员变更后）；加密链路性能与抖动评估通过。

• 日志与取证

  • 检查点：
    • Syslog集中、可靠传输（TCP/TLS）；时间戳对齐；日志保留周期；与SIEM联动检测。
    • 配置变更审计、命令记录、会话追踪。
  • 建议/验收标准：
    • 关键日志实时采集与告警；保留期满足合规（如≥180天）；演练可复现事件时间线。

3. 性能监控审计

• 业务与SLO

  • 检查点：
    • 定义关键路径SLO：延迟/抖动/丢包/可用性（Leaf↔Spine、跨DC、到ISP）。
    • 业务级合成探测（TWAMP/HTTP/应用Ping）覆盖多路径。
  • 建议/验收标准：
    • 内部骨干丢包≈0、P95利用率<70%、跨DC往返时延与应用SLO对齐；SLO违约自动告警并工单化。

• 链路与设备KPI

  • 检查点：
    • 接口：利用率、错误/丢包/CRC/FEC统计、队列丢弃、单播/多播/BUM比例。
    • 控制面：BGP会话稳定性、Update速率、收敛时延；BFD flap统计。
    • 资源：CPU/内存、TCAM/ACL/路由表、MAC/ARP/ND表使用率。
    • VXLAN：VNI级别流量/丢包、封装/解封装队列、BUM抑制效果、MAC移动率。
  • 建议/验收标准：
    • 关键资源峰值<70%；BGP收敛（失链→稳定）<3s（内部）、边界<15s为目标；异常指标纳入根因分析。

• QoS与无损/低损需求（如有RoCE/存储）

  • 检查点：
    • QoS分类标记与队列映射一致性；PFC/ECN配置与告警；队列利用率与排队时延。
  • 建议/验收标准：
    • 仅对需要无损的队列开启PFC；ECN标记阈值经压测验证；防止PFC风暴（风暴抑制/遥测阈值）。

• 监控与遥测体系

  • 检查点：
    • 流遥测：sFlow/NetFlow/IPFIX覆盖边界与核心；采样率与数据保留。
    • 配置与状态遥测：gNMI/OpenConfig/模型化采集频率与影响评估；指标与日志统一时间线。
    • 告警阈值与抑制：基于P95/P99、变更窗口抑制策略；容量预测报表。
  • 建议/验收标准：
    • 对220台设备采用集中遥测平台；关键接口/会话1–5秒级采样，历史存储≥90天；容量趋势月报。

• 压测与演练

  • 检查点：
    • 链路/节点/Spine级故障演练；DC隔离/合并场景；ISP切换/黑洞（RTBH）演练。
    • 变更前后基线对比（流量、延迟、收敛时间）。
  • 建议/验收标准：
    • 每季度例行演练并记录SLA达成；演练结果驱动Runbook修订与架构优化。

4. 总结与建议

• 整体评估

  • 架构方面：双活架构应以“最小跨DC二层、就近出口、控制面一致”原则为先，确保冗余与对称性；Underlay稳定与一致性优先于复杂的Overlay特性。
  • 安全方面：边界严格过滤+RPKI、控制面加固、管理平面隔离与基线硬化是必选项；EVPN租户边界与RT隔离需全网一致。
  • 性能方面：以SLO为导向，P95链路利用率<70%作为容量红线；建立端到端遥测与容量预测闭环。

• 优先级行动清单（按影响力与易实施度排序）

  1. 启用并校验边界RPKI/ROV与Max-Prefix，完善入向过滤与社区策略。
  2. 全网MTU与VXLAN开销一致性核查与修正，启用端到端PMTUD。
  3. 建立统一合规模板：AAA/SSH/SNMPv3/CoPP/日志，推送至全网。
  4. 部署集中遥测（gNMI+流量采集），落地SLO与阈值告警；生成容量与健康度仪表板。
  5. EVPN一致性校验：RT/RD/VNI对照、ARP抑制、MAC移动阈值、EVPN-MH ESI配置。
  6. 进行双ISP切换与RTBH演练，记录收敛时间并优化策略（Local-Pref/MED/社区）。
  7. 关键资源利用率巡检与扩容计划（TCAM/表项/DCI与边界带宽）。
  8. 配置备份与黄金模板上云/集中存储，建立变更前后基线对比流程。
  9. 定期故障与隔离演练（单链路、单设备、Spine、跨DC），更新Runbook。
  10. 制定12–18个月容量与版本演进路线图（含ISSU/NSSU窗口与回退）。

• 交付物与落地建议

  • 交付：合规基线模板、设备与策略差异报告、容量与SLO仪表板、演练报告与Runbook。
  • 落地：以自动化/模板为中心的持续审计（每周基线扫描、每月容量评估、每季演练复盘），保障220台规模下的一致性与可维护性。