中型企業(yè)網(wǎng)絡(luò)設(shè)計

吳雙

(南昌交通學(xué)院,江西南昌 330000)

0 引言

為了更好的管理企業(yè)的內(nèi)部網(wǎng)絡(luò),根據(jù)要求實現(xiàn)部門之間的通信,降低管理成本,提高內(nèi)網(wǎng)安全和業(yè)務(wù)能力,搭建一個完善的、安全的綜合型企業(yè)內(nèi)網(wǎng)顯得十分必要。有線和WLAN 的共存可以使企業(yè)內(nèi)部的布線更加簡潔,便于日后的管理與維護,可以更好的提高企業(yè)的業(yè)務(wù)能力[1-2]。對于搭建的網(wǎng)絡(luò)同時也要考慮到可拓展性,為未來的網(wǎng)絡(luò)升級和更新打下良好的基礎(chǔ)。

1 內(nèi)網(wǎng)架構(gòu)設(shè)計

通過eNSP畫出總體的內(nèi)網(wǎng)拓?fù)鋱D,規(guī)劃出各部門,分配好各部門的IP網(wǎng)段,配置好劃分出來的各區(qū)域的路由器交換機等設(shè)備,先實現(xiàn)各區(qū)域內(nèi)部網(wǎng)絡(luò)互通。由于企業(yè)網(wǎng)絡(luò)層次化明顯,故采用OSPF 協(xié)議、OSPF 協(xié)議采用SPF算法,天然無環(huán),以實現(xiàn)各區(qū)域間網(wǎng)絡(luò)互通,同時各區(qū)域的路由器也隔離了廣播域,根據(jù)企業(yè)要求,配置域間流量策略,控制流量走向。區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)計也要考慮到可靠性,安全等多方面因素。優(yōu)化各區(qū)域設(shè)備配置,達到真正意義上的負(fù)載均衡和鏈路冗余,以及減輕設(shè)備的內(nèi)存負(fù)荷,為了保護內(nèi)網(wǎng),需要在防火墻配置NAT 協(xié)議,使內(nèi)網(wǎng)設(shè)備轉(zhuǎn)換IP地址后可以上網(wǎng)[3]。實驗拓?fù)鋱D1所示。

圖1 實驗拓?fù)銯ig.1 Experimental topology

2 方案實施

將企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃出三個區(qū)域:業(yè)務(wù)辦理區(qū)域,辦公區(qū)域和server區(qū)域[4]。

2.1 office區(qū)域

采用旁掛式AC 三層WLAN 組網(wǎng),LSW1 作為STA 的DHCP 服務(wù)器,AC 作為AP 的DHCP 服務(wù)器,采用隧道傳輸,便于管理,但是要考慮到問題是隧道通信會增加AC 的負(fù)擔(dān)。對此可以AC可采用直接轉(zhuǎn)發(fā)模式,SW1 上也可旁掛DHCP 服務(wù)器,減輕AC 和SW1 的數(shù)據(jù)傳輸壓力。AC 上配置WLAN 業(yè)務(wù),三個部門對應(yīng)三個AP組,開啟2.4G射頻模板,密碼采用WPA-WPA2 模式,基于AES加密。office區(qū)域下掛一個小型的企業(yè)網(wǎng)絡(luò),運行RIP協(xié)議,關(guān)閉匯聚,分公司用戶可以通過office區(qū)域和公網(wǎng)通信。內(nèi)部SW3配置DHCP 中繼,終端通過DHCP 服務(wù)器獲取地址。DHCP 中繼配置圖2 所示。

圖2 DHCP 中繼配置Fig.2 DHCP relay configuration

2.2 業(yè)務(wù)辦理區(qū)

考慮到業(yè)務(wù)辦理區(qū)的鏈路流量負(fù)載大,且對網(wǎng)絡(luò)的可靠性要求較高,該區(qū)域采用MSTP(多生成樹協(xié)議)+VRRP(虛擬路由冗余協(xié)議)的組網(wǎng)方式。MSTP是在RSTP的基礎(chǔ)上改進得來,可以將網(wǎng)絡(luò)修剪成一個無環(huán)的樹形網(wǎng)絡(luò),避免報文在鏈路中無限循環(huán)造成MAC 地址表漂移。通過將VLAN劃分到不同的實例中,通過實例改變交換機的端口狀態(tài),實現(xiàn)數(shù)據(jù)的負(fù)載均衡,同時提供了多個可以轉(zhuǎn)發(fā)數(shù)據(jù)的冗余路徑,做到了鏈路備份彌補了STP 收斂慢和RSTP 可靠性不高的缺點。而VRRP 則可以虛擬出多個虛擬IP 作為下行設(shè)備的網(wǎng)關(guān),一旦主設(shè)備不可用,VRRP 提供的動態(tài)轉(zhuǎn)移機制,報文可以通過備份設(shè)備轉(zhuǎn)發(fā),MSTP+VRRP的組網(wǎng)方式可以大大提高通信網(wǎng)絡(luò)的可靠性。此區(qū)域中,VLAN10,VLAN30 劃分到實例1 中,VLAN20,VLAN40 劃分到實例2中,LSW6 作為實例1的主根,實例2的備根,LSW7 作為實例2 的主根,實例1 的備根,同時LSW6 中VLANIF10 和VLANIF30 的VRRP 組優(yōu)先級大于LSW7,LSW7 中VLANIF20 和VLANIF40 的VRRP組優(yōu)先級大于LSW6,這樣屬于VLAN10,VLAN30 的設(shè)備的報文優(yōu)先從左側(cè)轉(zhuǎn)發(fā),屬于VLAN20,VLAN40 的設(shè)備的報文優(yōu)先從右側(cè)轉(zhuǎn)發(fā)。MSTP 配置圖3所示,SW4 VRRP 配置圖4所示,SW5 VRRP 配置圖5所示。

圖3 MSTP 配置Fig.3 MSTP configuration

圖4 SW4 VRRP 配置Fig.4 SW4 VRRP configuration

圖5 SW5 VRRP 配置Fig.5 SW5 VRRP configuration

2.3 server區(qū)域

此區(qū)域與防火墻直連,將與防火墻連接的端口劃為server區(qū)域,公網(wǎng)可通過公網(wǎng)IP訪問內(nèi)網(wǎng)的服務(wù)器。配置Nat Server將內(nèi)部服務(wù)器映射到公網(wǎng),對外提供FTP和HTTP服務(wù)。防火墻NAT Server配置圖6所示。

圖6 防火墻NAT Server 配置Fig.6 Firewall NAT server configuration

3 安全策略

3.1 基于防火墻

企業(yè)出口選兩臺防火墻配置雙機熱備,所有區(qū)域都采用雙出口,防火墻配置域間流量策略,對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的包頭和數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則進行比較,通過報文的源目MAC地址、源目IP地址等匹配網(wǎng)絡(luò)中的數(shù)據(jù)流,根據(jù)比較的結(jié)果選擇轉(zhuǎn)發(fā)或者丟棄報文。放行office區(qū)域、trust區(qū)域到達server區(qū)域的icmp、ftp、http服務(wù),用戶可以正常訪問server區(qū)的服務(wù)器。在防火墻配置NAT方式為Easy-IP的地址轉(zhuǎn)換模式,內(nèi)網(wǎng)用戶在地址轉(zhuǎn)換后可以正常上網(wǎng),控制其余區(qū)域間互訪的流量及server區(qū)主動訪問內(nèi)網(wǎng)其他區(qū)域的流量不可通過[5]。防火墻安全策略配置圖7 所示,NAT 策略配置圖8 所示。

圖7 防火墻安全策略配置Fig.7 Firewall security policy configuration

圖8 NAT 策略配置Fig.8 Nat policy configuration

3.2 基于OSPF協(xié)議

因為OSPF采用Hello報文發(fā)現(xiàn)鄰居,此時路由器發(fā)現(xiàn)了非法路由器鄰居甲,甲在接入網(wǎng)絡(luò)后迅速向OSPF網(wǎng)絡(luò)中注入垃圾路由,影響數(shù)據(jù)轉(zhuǎn)發(fā),此時可以配置OSPF的區(qū)域認(rèn)證,只有雙方的key-ID口令一致,才可以正常通信,有效防止因加入網(wǎng)絡(luò)中的非法路由器而影響網(wǎng)絡(luò)。

3.3 基于DHCP協(xié)議

DHCP 的工作原理是通過DHCP 報文從DHCP 服務(wù)器的地址池中挑選一個可用的IP 地址分配給發(fā)送了DHCP Discovery報文請求地址的終端,這種方式是存在一定安全隱患的。此時終端連接的交換機若旁掛了一臺非法DHCP 服務(wù)器,那么就有可能造成終端無法正常通信,甚至出現(xiàn)攔截,篡改,重放等攻擊。在旁掛了DHCP服務(wù)器的交換機上開啟DHCP Snooping,可以將合法服務(wù)器劃分到信任端口,終端只會通過合法服務(wù)器獲取IP地址。

3.4 基于STP協(xié)議

若交換機的邊緣接口接入了交換設(shè)備,邊緣接口會轉(zhuǎn)換為普通接口,可能會導(dǎo)致整個網(wǎng)絡(luò)重新計算BPDU,影響數(shù)據(jù)通信;若是攻擊者進行BPDU 攻擊,也會使網(wǎng)絡(luò)癱瘓。開啟BPDU 保護是一種解決此類問題的有效方法,邊緣接口接受到BPDU會告警并立即關(guān)閉端口,且無法自動恢復(fù)需要手動開啟端口。

3.5 基于網(wǎng)絡(luò)安全

若有非法用戶向AC 發(fā)送大量的ARP 報文,會導(dǎo)致AC超負(fù)荷,且這些ARP條目會耗盡AC的ARP表的資源,導(dǎo)致內(nèi)網(wǎng)其他無線用戶無法正常的通信,可以在AC 上配置全局的ARP嚴(yán)格學(xué)習(xí),雖然接口下配置此功能優(yōu)先級更高,效果更好,但是不易于管理和操作。無線AP 開啟WIDS 攻擊檢測,可以有效的防御泛洪攻擊,暴力破解和ARP欺騙攻擊等攻擊手段,并且記錄非法設(shè)備信息,配合動態(tài)黑名單,可以自動丟棄非法設(shè)備的攻擊報文。MAC泛洪攻擊主要是利用局域網(wǎng)交換機的MAC 學(xué)習(xí)和老化機制。而ARP欺騙則是更改內(nèi)網(wǎng)用戶的網(wǎng)關(guān)MAC 地址為攻擊者設(shè)備的MAC 地址,導(dǎo)致用戶無法上網(wǎng)甚至出現(xiàn)信息泄露。

4 網(wǎng)絡(luò)優(yōu)化

網(wǎng)絡(luò)的優(yōu)化可以加快網(wǎng)絡(luò)的收斂速度,保證網(wǎng)絡(luò)設(shè)備的穩(wěn)定性、安全性,減輕設(shè)備的負(fù)荷。

4.1 路由表及LSDB優(yōu)化

路由器的接口激活了OSPF 后就會開始發(fā)送和接收Hello 報文通過DD 報文的交互,路由器知道鄰居擁有的LSA,發(fā)送LSR 向?qū)Ψ秸埱笸暾鸏SA,對方發(fā)送LSU 回應(yīng)LSR發(fā)送新的LSA。

LSA的種類繁多,通過匯總某些LSA,來簡化LSDB,在邊界路由器上做匯總,來匯總一個區(qū)域的內(nèi)部明細(xì)路由。

OSPF還有很多的區(qū)域類型:(1)當(dāng)一個區(qū)域不需要引入外部路由時,此時將此區(qū)域配置為Stub Area(末梢區(qū)域),可以阻擋Type-4(四類)、Type-5(五類) LSA進入此區(qū)域以減少該區(qū)域內(nèi)的泛洪的LSA 數(shù)量,減小路由表的規(guī)模,此時該區(qū)域的ABR會下發(fā)一條Type-3 LSA來描述到達區(qū)域外的默認(rèn)路由,設(shè)備的資源消耗大大降低。注:骨干區(qū)域不可以被配置為Stub區(qū)域,所有接到該Stub區(qū)域的路由器都應(yīng)進行相應(yīng)的配置,避免影響OSPF的鄰接關(guān)系的建立。(2)在(1)中闡述的Stub區(qū)域可以阻擋Type-4和Type-5 LSA 發(fā)布到該區(qū)域,但設(shè)想,若一個區(qū)域還下掛著一個小型網(wǎng)絡(luò),該網(wǎng)絡(luò)采用不同于OSPF的路由協(xié)議,如RIP,此時采用路由重分發(fā)是解決兩區(qū)域連通問題的最直接的方法,此時則將區(qū)域配置為NSSA Area(非完全末梢區(qū)域)。此區(qū)域由Stub區(qū)域演變而來,繼承了Stub區(qū)域阻擋四類,五類LSA發(fā)布到該區(qū)域的特點,這時引入到該區(qū)域的外部路由會以Type-7(7類) LSA的形式(LSDB中顯示為NSSA LSA)下發(fā)到該區(qū)域中,一定程度上縮小了路由表的規(guī)模。7類LSA只能在NSSA區(qū)域內(nèi)泛洪,該區(qū)域會將7類LSA轉(zhuǎn)換為5類LSA注入到骨干區(qū)域Area 0[6]。

4.2 STP優(yōu)化

雖然運行了STP的交換機產(chǎn)生環(huán)路的風(fēng)險極低,但是為了工作效率,需要終端設(shè)備快速上線,此時將連接了終端的端口配置為邊緣端口,但是這些端口仍然會繼續(xù)發(fā)送BPDU報文,開啟BPDU過濾可以過濾這些報文,減少資源損耗。STP端口狀態(tài)變更過慢,對于通信延時要求高的網(wǎng)絡(luò)是致命缺點,可以配置交換機運行RSTP,RSTP 通過P/A 機制,經(jīng)過BPDU 的交互確認(rèn)根橋,根端口和指定端口。根橋發(fā)送Proposal置為BPDU,連接根橋的交換機完成同步后立即改變端口狀態(tài),并發(fā)送Agreement置為BPDU,根橋也會立即改變狀態(tài)[7]。

4.3 無線網(wǎng)絡(luò)優(yōu)化

關(guān)閉射頻調(diào)優(yōu),手動配置AP工作在不同的信道,降低信道的資源搶奪。企業(yè)內(nèi)部為了規(guī)范員工上網(wǎng)行為,可以配置SAC(無線感知技術(shù)),可以根據(jù)應(yīng)用的類型控制WLAN 用戶的行為,如放行語音通話的流量,對QQ 等應(yīng)用進行限速。

4.4 策略路由

通過策略路由可以控制鏈路流量的走向,達到分流效果,實現(xiàn)鏈路負(fù)載均衡,可以利用ACL 匹配特定數(shù)據(jù)流,基于源目IP、源目MAC、源目端口等執(zhí)行特定的行為,如:數(shù)據(jù)重定向,丟棄等操作。圖9所示中的分公司部分,屬于VLAN10 的流量通過上鏈路轉(zhuǎn)發(fā),屬于VLAN20 的流量通過下鏈路轉(zhuǎn)發(fā),策略路由的好處是不會影響未匹配數(shù)據(jù)的正常轉(zhuǎn)發(fā)。策略路由分為本地策略路由和流策略路由,合理的使用策略路由可以大大優(yōu)化鏈路狀態(tài),減小鏈路的負(fù)載。

圖9 策略路由配置Fig.9 Policy routing configuration

4.5 防火墻優(yōu)化

將兩臺防火墻G1/0/3劃入dmz區(qū)域,作為心跳端口并使能HRP。防火墻部署在網(wǎng)絡(luò)的出口位置,若出現(xiàn)故障會導(dǎo)致整個內(nèi)部網(wǎng)絡(luò)癱瘓,此時需要兩臺防火墻實現(xiàn)雙機熱備,可以提升網(wǎng)絡(luò)整體的可靠性,當(dāng)其中一臺防火墻出現(xiàn)故障時,數(shù)據(jù)可以平滑的通過另一臺設(shè)備進行轉(zhuǎn)發(fā)。配置VGMP組hrp track檢測上下行鏈路狀態(tài),作為主備備份形式的雙機熱備形式,防火墻同時還要配置OSPF Cost功能,設(shè)備可以自動判斷自己是主設(shè)備還是備份設(shè)備,備份設(shè)備可以將上下行的數(shù)據(jù)都轉(zhuǎn)發(fā)到主設(shè)備上,實現(xiàn)主備備份[8]。VGMP管理組監(jiān)控物理接口狀態(tài)圖10所示。

圖10 VGMP 管理組監(jiān)控物理接口狀態(tài)Fig.10 VGMP Management Group monitors physical interface status

重新設(shè)定HRP 鏈路探測的時間間隔和主備設(shè)備搶占時間,以實現(xiàn)設(shè)備故障時的及時切換,注意主備設(shè)備設(shè)置的時間間隔和搶占時間要一致。

5 結(jié)語

沒有完美無缺的協(xié)議,巧用各協(xié)議和技術(shù)的搭配可以設(shè)計出一個更好的,更加可靠的,安全的企業(yè)網(wǎng)絡(luò),綜合企業(yè)網(wǎng)絡(luò)的結(jié)構(gòu)特點采用不同的路由協(xié)議,針對需要防范的網(wǎng)絡(luò)攻擊對設(shè)備進行相應(yīng)的安全配置等都是關(guān)鍵所在。