內(nèi)網(wǎng)優(yōu)化升級方案

引言： 為了保障內(nèi)網(wǎng)可靠穩(wěn)定運(yùn)轉(zhuǎn)，并統(tǒng)籌考慮內(nèi)網(wǎng)業(yè)務(wù)的安全性，實現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)徹底與其他網(wǎng)絡(luò)混用的局面,需要規(guī)范組建內(nèi)部網(wǎng)絡(luò)。有效摒棄原有市至縣二層數(shù)據(jù)VLAN傳輸，采用新的三層數(shù)據(jù)互聯(lián)。在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，

方案實施背景

最近為了規(guī)范BOSS運(yùn)營支持系統(tǒng)、基站視頻監(jiān)控和光傳輸設(shè)備管理（以下簡稱內(nèi)網(wǎng)）等業(yè)務(wù)的使用，保障其高可靠穩(wěn)定運(yùn)轉(zhuǎn)，并統(tǒng)籌考慮內(nèi)網(wǎng)業(yè)務(wù)安全性，實現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)徹底與其他網(wǎng)絡(luò)混用的局面,需要規(guī)范組建內(nèi)部網(wǎng)絡(luò)。有效摒棄原有市至縣二層數(shù)據(jù)VLAN傳輸，采用新的三層數(shù)據(jù)互聯(lián)。這樣做的好處是每個縣公司處于同一局域網(wǎng)中，縣公司內(nèi)網(wǎng)與市公司使用動態(tài)路由互聯(lián)，有效隔離廣播域，在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，該方案實施后，將對縣公司的內(nèi)網(wǎng)使用提出了更高的要求，主要是達(dá)到內(nèi)網(wǎng)業(yè)務(wù)和互聯(lián)網(wǎng)、專線業(yè)務(wù)的物理隔離標(biāo)準(zhǔn)。

具體方案

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

根據(jù)方案的背景資料，我們首先介紹一下現(xiàn)有市至縣內(nèi)網(wǎng)組網(wǎng)拓?fù)浣Y(jié)構(gòu)，這里的市至縣OTN環(huán)網(wǎng)作為數(shù)據(jù)業(yè)務(wù)的透明傳輸不在示意圖中體現(xiàn)，如圖1所示。如我們可以看到在內(nèi)網(wǎng)的最上層使用Juniper防火墻和省公司互聯(lián)，然后使用烽火交換機(jī)作為業(yè)務(wù)匯聚，該交換機(jī)承載BOSS、CA服務(wù)器等業(yè)務(wù)，其中CA業(yè)務(wù)是由Cisco 3550交換機(jī)承載，在烽火交換機(jī)將內(nèi)網(wǎng)業(yè)務(wù)匯聚后，分別連接城區(qū)和縣市區(qū)內(nèi)網(wǎng)業(yè)務(wù)。目前各交換機(jī)采用二層互聯(lián)，即VLAN透傳。這樣整個網(wǎng)絡(luò)就在一個較大的廣播域中，一個縣市區(qū)出現(xiàn)問題會影響到整個市的網(wǎng)絡(luò)，既不利于業(yè)務(wù)的長期發(fā)展，又不利于網(wǎng)絡(luò)安全的防護(hù)。

針對當(dāng)前的網(wǎng)絡(luò)現(xiàn)狀和劣勢，新的組網(wǎng)方案是在市公司部署一臺三層交換機(jī)作為內(nèi)網(wǎng)業(yè)務(wù)的核心，然后依托市至縣OTN網(wǎng)絡(luò)將業(yè)務(wù)傳輸至縣公司，然后在每個縣市區(qū)部署一臺三層交換機(jī)作為業(yè)務(wù)的匯聚，其中BOSS和基站監(jiān)控等業(yè)務(wù)的網(wǎng)關(guān)在交換機(jī)上創(chuàng)建。網(wǎng)絡(luò)優(yōu)化升級后的具體拓?fù)浣Y(jié)構(gòu)如圖2所示。

我們定義BOSS業(yè)務(wù)VLAN562、基站監(jiān)控VLAN564和光傳輸管理VLAN566這三個VLAN均終結(jié)到縣公司匯聚交換機(jī)處，縣公司內(nèi)網(wǎng)業(yè)務(wù)和市公司內(nèi)網(wǎng)業(yè)務(wù)互聯(lián)使用OSPF協(xié)議，縣公司內(nèi)網(wǎng)業(yè)務(wù)的部署（例如鄉(xiāng)鎮(zhèn)或者城區(qū)營業(yè)廳）使用交換機(jī)和收發(fā)器傳輸，嚴(yán)格做到物理隔離。

2.網(wǎng)絡(luò)設(shè)備配置

完成網(wǎng)絡(luò)拓?fù)渖壡昂蟮膶Ρ群?，接下來就是根?jù)網(wǎng)絡(luò)需求對設(shè)備進(jìn)行配置。在最上層防火墻需要做的工作是配置和核心交換機(jī)的互聯(lián)地址、基于端口的NAT和回指到核心交換機(jī)的路由。Cisco交換上設(shè)備的配置和核心交換機(jī)的互聯(lián)地址、啟用OSPF協(xié)議并宣告CA和互聯(lián)地址網(wǎng)段，防火墻和Cisco交換機(jī)的配置這里就不在詳細(xì)介紹，這里具體介紹一下核心和匯聚交換機(jī)的配置，其配置主要分為三部分，即創(chuàng)建VLAN、配置接口IP地址和使能OSPF協(xié)議。

圖1 現(xiàn)有內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

核心交換機(jī)配置：

//配置端口IP地址，定義該端口連接juniper防火墻

inter face GigabitEthernet2/0/1

//進(jìn)入接口

undo portswitch

//使能端口路由功能

ip address 10.223.0.2 255.255.255.252

//配置端口IP地址，定義該端口連接CISCO交換機(jī)即CA服務(wù)器

inter face GigabitEthernet1/0/1

//進(jìn)入端口

undo portswitch

//使能端口路由功能

ip address 10.239.14.5 255.255.255.252

//配置端口IP地址，定義該端口連接兗州匯聚交換機(jī)

ip route-static 9.0.0.0 255.0.0.0 10.223.0.5

//定義指向防火墻的靜態(tài)路由

圖2 升級后網(wǎng)絡(luò)拓?fù)鋱D

ospf 1

//啟用OSPF協(xié)議

import-route static

// 引入靜態(tài)路由area 0.0.0.0

//定義OSPF域名

network 10.223.0.0 0.0.0.3

//宣告連接cisco交換機(jī)的網(wǎng)段

network 10.223.0.4 0.0.0.3

//宣告連接防火墻的網(wǎng)段

network 10.239.14.0 0.0.0.255

//宣告連接縣市區(qū)交換機(jī)的網(wǎng)段

上面我們主要介紹了核心交換機(jī)的配置，核心思路是打通核心交換機(jī)至防火墻和cisco交換機(jī)的數(shù)據(jù)鏈路，接下來以兗州為例介紹一下縣區(qū)匯聚層交換機(jī)的配置。

匯聚層交換機(jī)的配置：

inter face GigabitEthernet0/0/25

//進(jìn)入端口

combo-port copper

//定義端口模式為電口

port link-type access

//定義端口模式

port default vlan 562

//定義端口VLA

inter face GigabitEthernet0/0/24

//進(jìn)入端口

undo portswitch

//使能端口路由模式

ip address 10.239.14.6 255.255.255.252

//配置端口IP地址，定義該端口連接市公司核心交換機(jī)

ospf 1

//啟用OSPF協(xié)議

area 0.0.0.0

//定義OSPF域名

network 10.239.2.0 0.0.0.255

//宣告BOSS內(nèi)網(wǎng)網(wǎng)段

network 10.239.14.4 0.0.0.3

//宣告與市公司互聯(lián)網(wǎng)段

上面做的工作的是創(chuàng)建VLAN，并定義VLAN的地址，設(shè)置和市公司核心交換機(jī)的互聯(lián)網(wǎng)段，并啟用OSPF協(xié)議，最后在OSPF協(xié)議中宣告所需網(wǎng)段。經(jīng)過在兗州交換機(jī)的端口0/0/25進(jìn)行網(wǎng)絡(luò)驗證，是可以訪問BOSS的服務(wù)器，這樣我們就以兗州為例完成了整個網(wǎng)絡(luò)的配置。相同的配置方法可以實現(xiàn)其他縣市區(qū)內(nèi)網(wǎng)數(shù)據(jù)的通達(dá)，這里就不再一一介紹。

總結(jié)

上面我們通過對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的綜合分析，得出網(wǎng)絡(luò)中存在弊端和劣勢。并提出網(wǎng)絡(luò)的優(yōu)化升級方案。依據(jù)網(wǎng)絡(luò)物理隔離、業(yè)務(wù)分開、網(wǎng)關(guān)終結(jié)至本地的原則對網(wǎng)絡(luò)進(jìn)行了拓?fù)鋬?yōu)化，又以兗州為例詳細(xì)介紹了交換機(jī)的配置，通過對網(wǎng)絡(luò)的驗證網(wǎng)絡(luò)是可達(dá)的，從而滿足了網(wǎng)絡(luò)的整體需求。后期針對內(nèi)部網(wǎng)絡(luò)中存在CA服務(wù)器等核心數(shù)據(jù)單元，我們又在現(xiàn)有路由的基礎(chǔ)上應(yīng)用了路由策略，有效的防范了核心服務(wù)器路由的全網(wǎng)通達(dá)，在一定的程度上降低了網(wǎng)絡(luò)入侵的風(fēng)險，同時做到了交換機(jī)的遠(yuǎn)程和本地登錄密碼的定期更換，從而維護(hù)了網(wǎng)絡(luò)的和諧穩(wěn)定。