遠程監(jiān)控系統(tǒng)核心網(wǎng)絡(luò)架構(gòu)分析與優(yōu)化

（廣西廣播電視無線傳播樞紐臺）

一、引言

隨著信息化事業(yè)的迅猛發(fā)展，越來越多中小型企事業(yè)單位信息系統(tǒng)對網(wǎng)絡(luò)資源提出了更高的要求，如何更好地優(yōu)化現(xiàn)有網(wǎng)絡(luò)資源已成為運維工作關(guān)注的重點。全區(qū)無線發(fā)射臺站遠程監(jiān)控系統(tǒng)核心網(wǎng)絡(luò)承載了信息系統(tǒng)所有業(yè)務(wù)的流量，對遠程監(jiān)控業(yè)務(wù)的健康運行起著至關(guān)重要的作用。本文以該套網(wǎng)絡(luò)系統(tǒng)為例，對其展開分析、優(yōu)化。

二、需求分析

核心網(wǎng)絡(luò)的優(yōu)化需根據(jù)具體業(yè)務(wù)需求，從安全性、可靠性、高效性幾個角度出發(fā)，分析現(xiàn)有網(wǎng)絡(luò)存在的劣勢，為新架構(gòu)設(shè)計提供目標。

（一）缺少冗余鏈路

現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的核心交換機、路由器存在單機運行的情況，如圖1所示，原網(wǎng)絡(luò)架構(gòu)中缺少必要的在線冗余鏈路作為保障，容易因單點故障，造成核心業(yè)務(wù)中斷。

（二）缺乏負載均衡機制

由于主要業(yè)務(wù)缺乏冗余鏈路，無法實現(xiàn)負載分擔(dān)。當突發(fā)流量過大時，核心區(qū)域設(shè)備容易因過載無法快速完成轉(zhuǎn)發(fā)任務(wù)，造成網(wǎng)絡(luò)丟包、延時，從而給信息系統(tǒng)用戶帶來負面體驗。

（三）區(qū)域劃分不明確

圖1 網(wǎng)絡(luò)拓撲圖

現(xiàn)有的核心網(wǎng)絡(luò)劃分為核心區(qū)域、服務(wù)器區(qū)域、終端區(qū)域、運維區(qū)域，存在區(qū)域劃分重疊和混淆的問題。一方面，服務(wù)器區(qū)域同時存在承載業(yè)務(wù)系統(tǒng)的服務(wù)器設(shè)備和安全設(shè)備，給運維工作造成不便，同時也不利于安全策略的應(yīng)用。另一方面，現(xiàn)有網(wǎng)絡(luò)架構(gòu)邊界劃分不明確，有部分邊界網(wǎng)絡(luò)直接接入核心交換設(shè)備。而外部二層網(wǎng)絡(luò)的直接接入，使核心網(wǎng)絡(luò)容易受到復(fù)雜二層網(wǎng)絡(luò)環(huán)境帶來的沖擊，也給一系列二層網(wǎng)絡(luò)攻擊創(chuàng)造了可能。

（四）安全機制欠缺

現(xiàn)有網(wǎng)絡(luò)各交換機空閑端口處于開放狀態(tài)，同時，缺少設(shè)備準入機制，缺乏IP地址欺騙攻擊防御手段，為攻擊者提供了可乘之機，給執(zhí)法者溯源造成了困難。此外，區(qū)域間缺少相應(yīng)的訪問安全策略，使木馬、病毒通過高危端口擴散成為可能。

三、規(guī)劃設(shè)計

根據(jù)需求分析，核心網(wǎng)絡(luò)架構(gòu)主要從以下幾個方面進行優(yōu)化。

（一）網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

1.備份鏈路設(shè)計

為避免主要業(yè)務(wù)鏈路出現(xiàn)單節(jié)點，在原有結(jié)構(gòu)基礎(chǔ)上增加一臺核心交換機和路由器。如圖1所示，路由器和核心交換機間采用交叉上聯(lián)的方式接線，以降低雙節(jié)點故障風(fēng)險。確保多路徑的開銷值一致，以實現(xiàn)遠程監(jiān)控業(yè)務(wù)鏈路負載均衡。

2.區(qū)域劃分

新的網(wǎng)絡(luò)結(jié)構(gòu)區(qū)域劃分如圖1所示。將原服務(wù)器區(qū)域切割成服務(wù)器區(qū)和安全區(qū)，同時明確邊界區(qū)域，將所有邊界網(wǎng)絡(luò)由邊界防火墻接入，多個其它業(yè)務(wù)用trunk方式上連至核心交換機，以VLAN標簽區(qū)分不同業(yè)務(wù)流量。為避免外部二層網(wǎng)絡(luò)接入核心交換機，上連接口須配置成三層以太網(wǎng)接口。其它業(yè)務(wù)網(wǎng)絡(luò)因存在多個VLAN接入，其對應(yīng)三層接口須配置相應(yīng)的Dot1q終結(jié)子接口，對報文VLAN標簽進行識別。

（二）鏈路冗余與負載分擔(dān)

1.MSTP設(shè)計

采用冗余鏈路設(shè)計來提高網(wǎng)絡(luò)可靠性的同時，必然會使網(wǎng)絡(luò)產(chǎn)生多個環(huán)路。現(xiàn)今的企業(yè)級交換設(shè)備一般會默認開啟RSTP或MSTP協(xié)議破除環(huán)路，MSTP默認所有VLAN在instance 0下運行，本質(zhì)與RSTP無異。然而RSTP雖在STP的基礎(chǔ)上做了多處改進，大幅提升了生成樹收斂速度，但RSTP仍存在所有VLAN共享一顆生成樹的弊端，無法利用冗余鏈路實現(xiàn)負載分擔(dān)，且在部分情況下會造成某些VLAN通信異常。如圖2所示，假設(shè)SW2、SW3為核心交換機，SW1、SW4為接入交換機，經(jīng)RSTP 計算后SW3的0/2口處于阻塞狀態(tài)，此時VLAN2內(nèi)成員設(shè)備就無法訪問處于SW3的VLANIF2接口，且網(wǎng)絡(luò)內(nèi)所有流量只有一條路徑可尋，無法進行負載分擔(dān)。因此，須為網(wǎng)絡(luò)內(nèi)所有交換機配置MSTP實例與VLAN的映射關(guān)系，并指定核心交換機1、2為不同實例下的主備根橋，實現(xiàn)二層負載分擔(dān)。最后，將與終端直接相連的端口配置為邊緣端口，終端設(shè)備接入時不進行MSTP計算，提高終端接入速度。

圖2 部分區(qū)域示意

2.VRRP設(shè)計

VRRP是一種虛擬路由冗余協(xié)議，在交換設(shè)備不具備堆疊條件的情況下，VRRP技術(shù)是實現(xiàn)冗余網(wǎng)關(guān)的最佳途徑。通過為兩臺核心交換機的VLANIF接口創(chuàng)建VRRP備份組，來實現(xiàn)網(wǎng)關(guān)冗余備份，并通過設(shè)定優(yōu)先級來合理配置不同VLAN下的主備網(wǎng)關(guān)。VRRP和MSTP聯(lián)合組網(wǎng)時，須保證相同VLAN下主備網(wǎng)關(guān)的設(shè)置與MSTP的主備根橋保持一致，原因如圖2所示。SW2為VLAN 3所屬MSTP實例的根橋，該MSTP實例在SW3的0/2口被阻塞，而SW3為VLANIF 3的Master，當來自SW4的設(shè)備向VLAN 3網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)時，數(shù)據(jù)需經(jīng)過SW2、SW1才能最終到達SW3，使核心交換機間產(chǎn)生了不必要的流量。因此，MSTP/VRRP規(guī)劃如表1所示。

表1 MSTP/VRRP規(guī)劃表

3.策略路由設(shè)計

現(xiàn)網(wǎng)采用OSPF技術(shù)實現(xiàn)三層通信，由于在路由器和核心交換機之間規(guī)劃了互為冗余的等價鏈路，在路由器上必然會出現(xiàn)兩條去往同一目的區(qū)域且開銷相同，下跳地址分別為核心交換機1和2的等價路由條目，從而形成負載均衡。由于下跳地址的不確定性，會出現(xiàn)類似上一小節(jié)提到的場景。如圖2所示，一條目的地址屬于VLAN3所在網(wǎng)段的IP報文由路由器R流入，其訪問對象由SW4接入。該報文有兩條等價路由可以選擇，下跳地址分別是SW2、SW3的接口地址，若經(jīng)SW3轉(zhuǎn)發(fā)，該報文需經(jīng)過SW1、SW2才能最終到達SW4，產(chǎn)生了不必要的流量。因此，拓撲改造后需要在核心路由器上配置策略路由，通過ACL匹配報文的目的地址，為報文選擇下跳地址。當策略路由定義的下跳地址不存在時，會自動轉(zhuǎn)為按路由表轉(zhuǎn)發(fā)，實現(xiàn)故障切換。

（三）接口保護和安全策略

1.基于靜態(tài)綁定的IPSG

為確保未授權(quán)設(shè)備不能接入內(nèi)網(wǎng)，防止地址欺騙攻擊，須在所有接入交換機端口配置基于IP、MAC、接口靜態(tài)綁定的IPSG。不能通過IPSG表項匹配檢查的設(shè)備均無法接入網(wǎng)絡(luò)。需注意若服務(wù)器區(qū)和安全區(qū)存在虛擬化集群，其動態(tài)資源分配功能會導(dǎo)致虛擬機的網(wǎng)絡(luò)上行接口動態(tài)變更。因此，在設(shè)計服務(wù)器區(qū)和安全區(qū)交換機的靜態(tài)綁定表時，應(yīng)采用N:1的IP和MAC綁定方式。

2.OSPF安全優(yōu)化

在核心交換機和路由器OSPF區(qū)域啟用基于HMACMD5驗證模式的區(qū)域驗證，同時對核心交換機區(qū)域的VLANIF配置OSPF靜默功能，禁止這些接口收發(fā)路由信息，從而提高OSPF網(wǎng)絡(luò)的安全性。

3.高危端口過濾

在各個區(qū)域VLAN的出方向應(yīng)用報文過濾，通過ACL規(guī)則對使用知名高危端口進行通信的報文進行匹配并阻止通過，以防止病毒、木馬通過高危端口在區(qū)域間進行傳播，同時，強制關(guān)閉空閑物理接口，以強化信息系統(tǒng)網(wǎng)絡(luò)安全性。

四、部署和驗證

根據(jù)上述優(yōu)化方案，對遠程監(jiān)控系統(tǒng)核心網(wǎng)絡(luò)進行配置部署，并對負載分擔(dān)和故障切換功能進行驗證展示。

（一）區(qū)域劃分配置

按表1為網(wǎng)絡(luò)內(nèi)所有設(shè)備配置VLAN、網(wǎng)關(guān)IP，并配置OSPF確保路由器和各區(qū)域間路由可達。須將核心交換機邊界接口配置成三層接口，其它業(yè)務(wù)網(wǎng)絡(luò)上連口配置成Dot1q終結(jié)子接口。以核心交換機1部分接口為例，如圖3。

圖3 三層接口和Dot1q終結(jié)配置

（二）負載分擔(dān)配置

根據(jù)表1規(guī)劃，首先為二層網(wǎng)絡(luò)交換設(shè)備配置MSTP基本功能，再為各MSTP實例配置主備根橋，并在核心交換機上創(chuàng)建VRRP備份組。以核心交換機2、VLANIF101為例，核心交換機2為實例2、4的主根橋，其在VLANIF101的VRRP備份組內(nèi)為Master，配置如圖4。因核心交換機1為該備份組的Backup，僅需配置vrrp vrid 101 virtual-ip 10.170.1.254即可。

圖4 主備根橋/VRRP備份組配置

最后則需要為路由器配置策略路由，為訪問內(nèi)部網(wǎng)絡(luò)各區(qū)域的報文合理選擇下跳地址，以路由器1為例，如圖5。

（三）接口保護和安全策略配置

在各區(qū)域接入交換機配置IPSG靜態(tài)綁定表，如：user-bind static ip-address 10.170.2.11 macaddress 5489-9821-4486 interface g0/0/3，并在其所屬VLAN上使能IPSG。然后為所有OSPF設(shè)備統(tǒng)一配置區(qū)域驗證，如：authentication-mode hmac-md5 1 cipher Abc@123，并在OSPF進程界面下為沒有OSPF鄰居的接口配置OSPF靜默功能，如：silentinterface Vlanif100。最后創(chuàng)建ACL對訪問高危端口的報文進行匹配，在核心交換機各區(qū)域VLAN出方向應(yīng)用traffic-policy，實現(xiàn)對區(qū)域間報文進行過濾，并關(guān)閉空閑接口。

圖5 策略路由配置

（四）驗證

完成配置后，使用display stp命令查看所有instance的主備根橋，同時使用display vrrp brief命令查看所有VRRP備份組的角色，并以核心交換機2為例，如圖6，可以看到選舉結(jié)果如之前規(guī)劃。

圖6 MSTP/VRRP選舉結(jié)果

使用VLAN101/102內(nèi)的Server2和PC向位于路由器1上的Server1發(fā)出ping請求，分別對核心交換機1的G0/0/1口和核心交換機2的G0/0/2口抓包，可以看到從VLAN102發(fā)出的ping請求和應(yīng)答全部流經(jīng)核心交換機1的G0/0/1，而VLAN101則相反，說明MSTP、VRRP、策略路由聯(lián)合組網(wǎng)的負載分擔(dān)策略可達預(yù)期效果。

圖7 故障切換結(jié)果

將核心交換機1斷電，模擬故障，此時所有流量轉(zhuǎn)移至核心交換機2所在鏈路，網(wǎng)絡(luò)恢復(fù)正常。通過對命令查看MSTP和VRRP備份組的狀態(tài)，如圖7，可以看出故障切換符合預(yù)期。

五、總結(jié)

遠程監(jiān)控系統(tǒng)核心網(wǎng)絡(luò)的升級優(yōu)化方案能夠大幅降低單點故障帶來的風(fēng)險，有效利用了冗余資源進行負載分擔(dān)，并提高了安全性和可維護性，為將來進一步的網(wǎng)絡(luò)優(yōu)化工作提供了基礎(chǔ)。