寬帶ＩＰ專網規劃和建設

摘要：該文通過寬帶IP專網建設的具體實踐，提出了一種新的IP網絡專網建設應用的方式。利用通用的IP網絡設備，低成本的建設IP專網，滿足區域內各個行業的計算機網絡現階段專網聯網的需要。

關鍵詞：物理隔離；IP專網；IP規劃；路由策略；投資費用

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)25-1401-03

Dedicated Broadband IP Network Planning and Construction

GAN Yun-fei

(Guangxi Broadcast Television Information Network Co.， Ltd. of Yulin Branch， Yulin 537000， China)

Abstract: Through a broadband IP network building's concrete practice， a new IP network of the network construction of the way. Common use of the IP network equipment， low-cost construction of the IP network to meet the various sectors within the region of the computer network at this stage of the network interconnection needs.

Key words: physical isolation; IP network Dedicated; IP planning; routing strategy; investment costs

1 引言

安全是專網網絡對于可用性的一個基本要求，規劃和建設計算機信息系統，有相應的標準，國家保密局國保發[1998]1號、國國務院令（147號）、國家標準 GB 17859-1999、公安部GA/T 387-2002規定了相應的原則和標準。計算機信息系統聯網采取系統訪問控制、數據保護和系統安全保密監控管理等技術措施。計算機系統安全保護能力等級分為：第一級：用戶自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級。

1.1 結構化保護主要防范策略

物理隔離： 所謂“物理隔離”是指內部網不直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。

主要采用的形式：

1) 線路隔離：如光纖傳輸網；

2) 電路隔離：如SDH電路傳輸網、DDN電路傳輸網；

3) 邏輯隔離：如MPLS、VPN、VLAN專用網技術，訪問控制技術。

1.2 物理隔離在安全上的作用

1) 在物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接泄漏到外部網。

2) 在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄漏到外部網。

3) 在物理存儲上隔斷兩個網絡環境，對于斷電后會遺失信息的部件，如內存、處理器等暫存部件，要在網絡轉換時作清除處理，防止殘留信息出網；對于斷電非遺失性設備如磁帶機、硬盤等存儲設備，內部網與外部網信息分開存儲。

2 主要內容

有線電視網的改造，逐步實現了使用有線電視電纜Cable Modem和光纖以太網方式到小區的兩種互聯接入，可以為企事業單位及市民提供國際互聯網接入服務。但為了滿足區域內各個行業的計算機網絡互聯網接入、專網聯網的進一步需要，必須構架IP城域網和傳輸專網。

2.1 專網組網方式

1) 通常的SDH傳輸組網方案：華為SDH傳輸方案做傳輸專網，投資（約300萬元）。如圖1。

每個用戶端還需要添加基帶調制解調器和路由器，約13000元。

2) IP寬帶網組網方案：IP寬帶網，骨干網絡平臺由核心骨干層和信息匯聚點組成，骨干層：由中心分前端和各縣區分前端組成，每個分前端的傳輸帶寬分別為1Gbps，交換機用華為公司的MA5200，核心路由器用華為公司的NE80，交換能力為160G，并可平滑擴容。邊緣層：接入各光點單位和社區用戶。邊緣層交換機用華為公司的s2403，通過交換機可提供10M/100M和GE接口鏈路接入骨干層，對訪問層提供各種速率的接口能力。如圖2。

2.2 問題提出

由于實際的專網應用目前業務不多，SDH傳輸方案做傳輸專網的基礎網絡設備投資和用戶端傳輸設備的投入相當大。有沒有其它更省的，又能滿足現階段區域內各個行業的計算機網絡專網聯網需要的組網方式？

各種技術構架專網方式的費用比較（以200個單位組網計）：

■

VLAN+ACL IP專網：在用戶端只需要添加1000元的光電轉換器或50元的網卡；

光纖IP專網：在用戶單位端只需要添加1000元的光電轉換器；

DDN專網：在用戶單位端需要添加共13000元的基帶調制解調器和路由器；

比較可知VLAN+ACL IP專網是投資最節約、最靈活的方式。

經過分析設備的基本技術條件，與設備供應商華為公司和專網需求用戶廣泛交流，找到價格更便宜實用，專網需求用戶能接受，又能符合國家公共安全行業標準的技術方案。

經過詳細的技術剖析和嚴密的測試，實施的技術解決方案：采用IP網VLAN隔離技術+ACL路由策略控制技術構架專網，通過邏輯隔離的方式實現網絡間的隔離 。這樣實現的大型城域網專網組網方式，基本能滿足現階段區域內各個行業的計算機網絡專網聯網需要。

2.3 IP網絡基本技術條件分析與方案實施

2.3.1 技術分析

用戶端在接入端口可以通過VLAN做二層隔離， 同一臺5200交換機可以對用戶ARP轉發控制隔離，ne80路由器可以對IP做ACL路由策略控制，作一定組合，在理論上是可以實現用戶所需要的“專網”。

但要實現目標，還有相當多的問題。主要問題是MA5200自帶的DHCP給用戶分配IP是無序的，無法根據業務區分“專網” 用戶和“公網” 用戶，ne80對IP做ACL路由策略的控制就無法實現。經過詳細的技術剖析DHCP報文內容和過程，可以這樣解決：（以下先描述DHCP客戶與服務器交換信息的流程）。

1) 客戶端PC機會首先進行廣播，它在本子網段內廣播一個DHCPDISCOVER消息。BOOTP轉發代理可以將這個消息傳送到不在這個網段內的DHCP服務器上。

2) 每個有空閑地址的DHCP服務器都響應這個消息，在響應消息中包括了可用的地址，它的配置參數在DHCP選項中。

3) 客戶將會接收到一個或多個服務器發來的地址和配置參數。當選擇好了以后，客戶廣播DHCPREQUEST消息。 DHCPREQUEST消息在本網段廣播，并通過DHCP/BOOTP轉發代理向不同網段轉發。如果客戶在規定時間內沒有收到任何服務器的回應，它會再次發送DHCPDISCOVER。

4) 許多服務器會接收到DHCPREQUEST廣播，那些沒有被選擇的服務器把DHCPREQUEST視為拒絕包。那個被選擇的服務器會記錄這個地址已經有人用了，并以包含配置參數的DHCPACK包返回給客戶。

5) 客戶接收到包括配置參數的DHCPACK包，它對此參數進行最后一次檢查，當沒有發現沖突時客戶才算真正配置好了。如果客戶發現有人已經使用了這個地址，它需要向服務器發送DHCPDECLINE包，并重新開始配置過程，

6) 客戶可以通過發送DHCPRELEASE包取消租用。

因此，如果用外掛DHCP服務器，代替5200自帶的DHCP，把DHCP給用戶分配IP的過程接管過來，控制和規劃DHCP客戶與服務器交換信息的流程，就可對用戶有序地可規劃地分配IP。經過比較和試驗了幾款DHCP服務軟件，最終選用了cisco的dhcp服務軟件（如圖3），建立技術模型，進行了聯調測試。

DHCP分配給5200交換機用戶的IP可精確到S2016，S2403交換機終端VLAN端口：（例如）

interface virtual-template 2

ip address 10.3.0.1 255.255.192.0

dhcp server ip pc 192.168.0.10

bind vlan 12 181 210

bind vlan 12 300 303

portal-ip 192.168.0.9

exit

利用華為5200交換機的有些功能，對用戶通過VLAN劃分、認證控制分隔、IP規劃，建立IP專網組，專網組內的終端設備可以訪問前端服務器，其他組間數據不能訪問、不能互通，5200交換機間的組的互聯控制，由華為NE80路由器做ACL路由控制策略，實現用戶接入的隔離和控制。

專網應用示意圖（如圖4）。

圖4

2.3.2 方案實施

1) IP規劃：每個有專網服務器接入的端口建立單獨的虛模板，規劃相應的IP地址段，靜態IP地址段。其它終端用DHCP分配IP（用IP綁定到規劃好相應的IP地址段）。

2) NE80路由器做路由控制策略。

rule-map zxtsl ip 10.2.0.0 0.0.63.255 10.2.128.0 0.0.63.255

（中心到分1）

rule-map sltzx ip 10.2.128.0 0.0.63.255 10.2.0.0 0.0.63.255

（分1到中心）

rule-map sltmy ip 10.2.128.0 0.0.63.255 10.2.64.0 0.0.63.255

（分1到分2）

rule-map mytsl ip 10.2.64.0 0.0.63.255 10.2.128.0 0.0.63.255

（分2到分1

rule-map zxtmy ip 10.2.0.0 0.0.63.255 10.2.64.0 0.0.63.255

（中心到分2）

rule-map mytzx ip 10.2.64.0 0.0.63.255 10.2.0.0 0.0.63.255

（分2到中心）

rule-map edu1 ip 10.3.0.0 0.0.255.255 any （教育到公眾）

rule-map njw ip 61.232.66.0 0.0.0.255 any （農經到公眾）

rule-map sbw ip 61.232.68.0 0.0.0.255 any （社保到公眾）

acl global sltzx deny

acl global zxtsl deny

acl global zxtmy deny

acl global sltmy deny

acl global mytzx deny

acl global mytsl deny

acl global edu1 edu1f

acl global njw edu1f

acl global sbw edu1f

3) 5200交換機做認證控制隔離。

4) 2016，2403交換機做端口VLAN劃分，不同專網接不同VLAN端口。

2.3.3 檢查測試

用Sniffer軟件檢查數據包的情況，在用戶端應沒有其他專網網絡的數據包。Ping其他專網網絡的ip應不通。Ipscan對其他專網段地址進行搜索，應搜索不到其他專網段的主機。

2.3.4 要注意的問題

由于專網和公網共用同一接入層交換機，受交換機交換能力的限制，如果有用戶使用流量特別大（如用戶感染病毒發包），就會影響其他用戶的使用。所以，要在網管設備中限制用戶使用流量，在聯網規劃中控制用戶接入的數量，最好有能統計監測用戶使用流量的網管設備，選用有QOS保證的交換機。

3 應用情況

方案的原理特點，比較國家對信息安全控制的定位概念，IP傳輸專網通過邏輯隔離的方式實現網絡間隔離 ，技術方案符合國家公共安全行業標準 GA/T 387-2002《計算機信息系統安全等級保護網絡技術要求》的要求，自主訪問控制和強制訪問控制達到第四級的結構化保護級。目前，在廣西玉林市城域及到各個縣市區聯網的的玉林市農經專網、玉林市教育專網、玉林市社保專網的建網中，得到了應用。方案規劃實施后，可以減少用戶端傳輸設備（基帶調制解調器和路由器）費用（每用戶約13000元）。

參考文獻：

[1] 范冰冰. 寬帶IP網絡構建技術[J].中山大學學報(自然科學版)，2002(S1):24-27.

[2] 周晟楷. 寬帶IP城域網絡擴容優化及安全[J].長沙通信職業技術學院學報，2006(03):37-40 .

[3] 賴紅輝. 寬帶IP接入技術應用概述[J].電腦知識與技術(學術交流)，2006，3(26)：39，71.

[4] 王霞. 關于寬帶IP城域網構建和運營問題的研究[J].科技資訊，2006(35):250-251.