H3C三層網絡交換機ACL技術

鄧鴻

（甘肅電器科學研究院，甘肅 天水 741000）

1 三層網絡交換機ACL技術的概念及特點

1.1 H3C三層網絡交換機ACL研究背景

采用H3C三層網絡交換機訪問控制列表（ACL）技術,對網絡核心層進行升級,采用兩臺H3C品牌型號為S7508E-X核心交換機組成高可靠虛雙機級聯，網絡結構簡單，網絡連接科學合理，極大提高了網絡的安全與穩定性。網絡核心層交換機承擔著信息化系統中重要的處理解析任務，甘肅電器科學研究院于2014年進行了全面的網絡改造升級，通過此次升級改造，實現了內外網絡的完全隔離，消除設備運行的風險，提升了網絡整體運行性能，保證了企業資源管理（SAP）、產品數據管理（PDM）、制造執行系統（MES）等重要服務器的安全性，也一定程度上提高網絡整體的穩定性，有效保證了生產經營的順利進行。

1.2 H3C三層網絡交換機ACL研究意義

網絡安全防護、解決網絡故障是一項復雜而艱巨的工作，針對單位內外網隔離以及復雜多變的網絡情況，不同用戶在工作中對網絡的使用分配情況不同，不同服務器之間的訪問需求又有區別；外網服務器與內網服務器之間需要相互訪問，那么在外網服務器與內網服務器訪問時，外網服務器在互聯網上運行時存在著較大的風險的，容易受到病毒，如木馬程序的攻擊等會造成數據的泄露，服務器崩潰等情況。外網服務器如果受到外部的攻擊，內網主要業務服務器則極有可能受到病毒的感染攻擊，進而使整個網絡都會面臨病毒的攻擊。網絡運行風險極高，一旦發生意外，將造成嚴重的后果，一系列生產業務將停滯，影響面廣[1-2]。熟悉掌握交換機等網絡設備的使用以及配置過程在網絡建設中有著重大意義。

1.3 主要研究內容

運行ACL策略手段有效地管理網絡運行，并保證各VLAN之間的互相訪問。側重于研究ACL策略組的配置過程，配置完成后所到達的效果以及目的。它可以隔離內網與外網的相互通信，保證內網環境的數據安全，有效隔離外網病毒、木馬等有害程序對內網的侵入，并保證內網當VLAN受到外部攻擊的同時，確保其他VLAN的安全性，給系統管理員清除病毒攻擊程序贏得時間[3]。本單位網絡環境分為內外網，服務器數量較多，其中包括SAP服務器、PDM、文件服務器、域控制器、Web服務器、MES系統、BPM系統等。一旦病毒侵入內網中，將對單位的網絡系統構成重大危害，所以有效地利用此項技術，對保證本單位網絡環境的穩定運行至關重要。

1.4 主要研究方法

本單位的網絡運行情況分為內網和外網2種工作模式，內網需要與外界網絡完全隔離，避免重要數據的泄露與網絡的安全，主要運行于產品研發、產品生產等部門，主要運行的服務器有SAP服務器、PDM服務器、域服務器、殺毒服務器、Web服務器等。外部網絡需要連接互聯網運行，主要運行于BPM服務器采購、銷售部門等。而SAP與BPM服務器需要在內網與外網環境內同時運行，所有需要與內網與外網互相通信，那么合理地運用ACL訪問控制策略，就能有效地解決兩個網絡之間并行的問題，并且保證服務器與網絡之間的穩定運行，節省網絡運行成本。通過對單位核心交換機中進行配置相關的ACL策略，讓核心交換訪問控制策略配合網絡防火墻、上網行為管理等網絡安全設備，有效預防網絡安全事故的發生，控制病毒在局域網內的擴散，在實際的工作中有著深遠的意義。

2 網絡結構組成及特殊性分析

2.1 網絡結構組成

本單位目前網絡結構較為復雜，其中包括基地、園區2個部分的網絡組成?；氐木W絡情況為原始老網絡，網絡結構較為單一，網絡中主要運行的服務器包括ERP服務器、文件服務器、銷售管理系統等。經過多年的運行，老網絡環境出現了較多的問題，局域網運行速度緩慢，由于結構復雜多變，進行大規模的網絡改造所需費用較大，失去了改造價值，所以本單位于天水市產業園區電工基地內廠區進行了新網絡的建設?；嘏c園區網絡通過電信提供的專線實現了兩地網絡的互通。主體網絡現在位于園區，2014年進行了主體機房的搬遷工作。本單位網絡的復雜性主要是分為內外網2個部分，由于單位設計部門有嚴格的保密要求，所以設計部門的網絡是與外界網絡完全隔離的，因此為內部網絡的建設包括AD 域服務器搭建、Web網站服務器、PDM系統（數據圖紙管理系統）、SAP系統、賽門鐵克（Symantec)殺毒系統、MES 系統、WMS 系統、BPM系統等。這些系統在實際的應用中主要是針對內網用戶的，那么單位內外網用戶在收發郵件、辦理各種業務時就必須與外界通信，就會造成對內網信息安全的影響，通過對H3C交換機進行ACL策略組網絡配置后，就能實現內外網的安全隔離，有效地解決原始網絡通過兩臺核心交換機、兩臺路由器才能實現的問題。

2.2 單位采用的H3C交換機型號

核心層：H3C S7508E-X

匯聚層：H3C S5500-EI、H3C S5500、防火墻F100-M-G、網絡7層防火墻AF-1820

接入層：H3C S5120-EI、H3C S5120-LI、深信服AF-1820、深信服VPN-2050-L、無線AP WA2610i-GN。

網絡結構拓撲示意圖（如圖1所示）。

圖1 單位網絡結構拓撲圖

設備接口連接表見表1。

表1 網絡設備接口連接表

2.3 VLAN組成

核心交換機S7508E-X,Telnet 登錄地址：10.212.200.98,所有VLAN是由核心交換進行劃分，用于隔離各個部門之間的訪問控制，實現網絡的安全性，如果局域網內其中一臺客戶端被病毒感染，那么這臺電腦所攜帶的網絡病毒只可能傳播到這臺客戶端所在的VLAN 區域，其他VLAN的計算機不會受到任何的影響（設備間連接如表1所示），這樣就確保了服務器的安全，也確定了病毒發生的區域，可以及時徹底殺除病毒。VLAN劃分情況主要如下：

外網VLAN 為vlan113--vlan114,外網實現網絡之間可以共享文件、打印機等。

注：其中10.212.0.0代表了內網用戶的所有VLAN,10.100.0.0代表的外網用戶所在的VLAN,其中內外網用戶是完全隔離的。

2.4 核心交換機實現的功能以及ACL策略組安全防護策略在實際中的應用

采用1H3C核心交換機S7508E-X，實現了單位內外網的完全隔離，使網絡速度從原來的百兆網絡升級到千兆網絡，客戶端訪問服務器速度更快更穩定。通過對VLAN的合理應用，有效地控制了網絡病毒的發生和傳播，保障了網絡的安全穩定運行。ACL策略組訪問數據控制列表（Access Control Lists）是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL策略組適用于所有的被路由協議，如IP、IPX、AppleTalk等[4]。信息點間通信和內外網絡的通信都是單位網絡中必不可少的業務需求，為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL策略組可以過濾網絡中的流量，是控制訪問的一種網絡技術手段[5]。由于單位網絡情況的特殊化；內網服務器與外網服務器支架需要同步傳輸數據，但是SAP服務也需要穩定的網絡安全環境，如何使兩者之間能夠既能保證安全方面的問題，又能保證2個系統之間的正常通信，這就是目前我們急需要解決的問題。所以在進行了多方面的調研后采用了使用ACL管理策略解決這一問題。配置ACL策略組后，可以限制網絡流量，允許特定設備訪問，指定轉發特定端口數據包等。如可以配置ACL策略組,禁止局域網內的設備訪問外部公共網絡，或者只能使用FTP服務。ACL策略組既可以在路由器上配置，也可以在具有ACL策略組功能的業務軟件上進行配置。ACL策略組是物聯網中保障系統安全性的重要技術，在設備硬件層安全基礎上，在軟件層面對設備間的通信進行訪問控制，使用可編程方法指定訪問規則，防止非法設備破壞系統安全，非法獲取系統數據。

3 ACL策略編寫命令

策略ACL3001編寫如下，主要功能是實現各個網段之間的隔離，控制計算機病毒的傳播。

Rule 1 deny ip source 10.212.203.0 0.0.0.255 destination 10.212.204.0 0.0.0.255

策略ACL3002編寫如下，主要功能是實現內外網的隔離，保證公司設計部門數據的安全性，防止病毒攻擊。

策略ACL3003編寫如下，主要功能應用在BPM系統中，保證BPM系統與SAP系統的正常通信，同時與外網用戶通信，讓外網用戶可以正常訪問到BPM系統。

以上是部分ACL策略組的內容，其中ACL3001 VLAN之間不能互相通信的功能。ACL3002實現了內外網的完全隔離，ACL3003則實現了BPM系統在實際應用中的特殊性要求，其中BPM系統（外網運行的銷售系統服務器）既要與內網內的SAP系統（內網ERP管理服務器）、PDM（數據圖紙管理系統）實現通信，與SAP系統實展數據同步，又存在特殊性，就是需要與外網用戶通信以及在內網中進行使用。那么ACL策略就很好地實現了這一需求，使得業務數據倉庫（BDW）系統與SAP實現了數數同止，又與全國各地的銷售分部實現了通信。

4 啟示與建議

通過以上的介紹，可以看出H3C交換機ALC策略組的實施應用在單位網絡建設中發揮著不可或缺的作用。熟練掌握各項交換功能的配置及其應用，可以實現復雜的網絡需求，有效利用網絡資源，減少受到網絡攻擊風險，防止木馬病毒入侵。當局域網受到外部病毒等惡意程序攻擊時，為網絡管理員解決問題爭取時間，并且隨著以后網絡規模的擴大，熟練掌握配置方法是有效利用網絡資源，提高客戶端訪問服務器的速度，加強網絡環境安全，ACL策略組網絡技術在網絡安全方面發揮了一定的作用，也滿足于提升企業信息發展方面的需求，在推進單位信息化建設及網絡信息安全有著重要的意義。

通過對ACL策略組的應用，使單位的網絡運行得到了很好保障。在今后的工作中，需要對單位網絡中存在的突出問題進一步分析，對ACL策略組的應用進一步完善，對多設備的運行情況做好備份。目前，單位的ACL策略組使用過程中還存在一定的問題，由于策略組設置較多，網絡在訪問中需經過交換機對數據流反復進行處理，這樣對網絡運行速度就造成了一定的影響。下一步，將在這些方面進行深入研究，盡可能地減少網絡負載，優化網絡結構。