邱 鵬,霍 瑛,蔣 悅
(南京工程學(xué)院計(jì)算機(jī)工程學(xué)院,南京211167)
近年來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,各類企業(yè)幾乎都部署了不同的網(wǎng)絡(luò)系統(tǒng),這些系統(tǒng)基本都?xì)w化依賴于不同類型的計(jì)算機(jī)網(wǎng)絡(luò),構(gòu)建網(wǎng)絡(luò)在保障企業(yè)各部門之間連通性的同時(shí),也可以為網(wǎng)絡(luò)系統(tǒng)的上層應(yīng)用提供靈活而智能的服務(wù)[1-2]。在實(shí)際網(wǎng)絡(luò)中,由于一個(gè)實(shí)體自制系統(tǒng)規(guī)模龐大且復(fù)雜,導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)所存儲(chǔ)的數(shù)據(jù)量巨大,可能引發(fā)數(shù)據(jù)溢出[3];如網(wǎng)絡(luò)中某一鏈路或設(shè)備出現(xiàn)故障,勢(shì)必影響整個(gè)網(wǎng)絡(luò)的信息通信,甚至導(dǎo)致網(wǎng)絡(luò)通信過(guò)程中的信息被非法監(jiān)聽(tīng)、截獲、篡改等安全問(wèn)題[4-5]。
本文通過(guò)某品牌云實(shí)驗(yàn)室(H3C Cloud Lab,HCL)模擬軟件設(shè)計(jì)了一個(gè)企業(yè)網(wǎng)絡(luò)構(gòu)建仿真實(shí)驗(yàn),利用開(kāi)放式最短路徑優(yōu)先(Open Shortest Path First,OSPF)鏈路狀態(tài)路由協(xié)議支持區(qū)域劃分的特性[6-7],對(duì)企業(yè)各職能部門進(jìn)行區(qū)域劃分,以減少需要傳遞的路由信息量,改善路由計(jì)算;通過(guò)部署虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol,VRRP)、多生成樹(shù)協(xié)議(Multiple Spanning Tree Protocol,MSTP)、通用路由封裝協(xié)議虛擬專用網(wǎng)絡(luò)(Generic Routing Encapsulation Virtual Private Network,GRE VPN)等網(wǎng)絡(luò)技術(shù),給企業(yè)網(wǎng)絡(luò)提供安全防護(hù)功能,增加可靠性。
根據(jù)企業(yè)需求劃分多區(qū)域,整體網(wǎng)絡(luò)架構(gòu)由總部和分部組成??偛靠珊?jiǎn)述為核心層設(shè)備與雙出口路由設(shè)備,通過(guò)專線或者外網(wǎng)與分部進(jìn)行數(shù)據(jù)交互。分部根據(jù)骨干區(qū)域和非骨干區(qū)域的分布,把不同職能部門劃分到不同虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)中再進(jìn)行數(shù)據(jù)通信。設(shè)計(jì)的重點(diǎn)是企業(yè)內(nèi)部業(yè)務(wù)流量在各部分之間的選路情況及全網(wǎng)連接情況。根據(jù)企業(yè)網(wǎng)絡(luò)整體規(guī)劃,設(shè)計(jì)的企業(yè)總部與分部的網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1 所示。
圖1 企業(yè)網(wǎng)絡(luò)連接拓?fù)鋱D
本次實(shí)驗(yàn)采用HCL作為仿真網(wǎng)絡(luò)模擬軟件,為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)提供了具有圖形界面化功能的組網(wǎng)平臺(tái)[8]。整體采取從分部到總部的順序進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和設(shè)備配置。
在分部網(wǎng)絡(luò)的設(shè)計(jì)中,把不同職能部門隔離劃分成不同的VLAN,骨干區(qū)為AREA0,非骨干區(qū)為area1和area2,通過(guò)訪問(wèn)控制技術(shù)按照需求過(guò)濾各VLAN之間的通信數(shù)據(jù)。由圖1 可見(jiàn),AREA0 是管理部門包括人事部和總裁辦;area1 是開(kāi)發(fā)部,包括產(chǎn)品設(shè)計(jì)、研發(fā)和測(cè)試部門;area2 是市場(chǎng)部包含銷售和宣傳兩個(gè)職能部門以及由售前和售后組成的客服部。
步驟1 在開(kāi)發(fā)部的交換機(jī)SW1 上開(kāi)啟3 層路由功能,并規(guī)劃在OSPF 路由進(jìn)程下的非骨干區(qū)域area1。具體配置如下:
同時(shí),分別部署在非骨干區(qū)域area2 和客服部的交換機(jī)SW2 和SW9,也使用類似配置用以實(shí)現(xiàn)網(wǎng)絡(luò)連通。
步驟2 在路由器R3 上進(jìn)行OSPF多區(qū)域配置,R3 作為區(qū)域邊界路由器(Area Border Route,ABR)在area1 中與SW1 建立鄰居的同時(shí),在AREA0 與路由器R1 完成鄰居建立,實(shí)現(xiàn)報(bào)文在不同區(qū)域之間的轉(zhuǎn)發(fā)。具體配置如下:
步驟3 在R1 上完成骨干區(qū)域AREA0 的OSPF路由進(jìn)程宣告配置,具體配置如下:
配置完成后,驗(yàn)證OSPF 路由進(jìn)程下設(shè)備SW1、R3、R1、R4 已經(jīng)建立的鄰居關(guān)系,如圖2 ~5 所示。
圖2 SW1上的OSPF鄰居信息
圖3 R3上的OSPF鄰居信息
圖4 R1上的OSPF鄰居信息
圖5 R4上的OSPF鄰居信息
以路由器R4 的鄰居信息為例,如圖5:Area 為鄰居所屬的區(qū)域,Router ID 為鄰居路由地址,Address 為鄰居接口地址,Pri為路由器優(yōu)先級(jí),Dead-Time為鄰居失效時(shí)間,State Full/BDR 為鄰居狀態(tài)建立成功,Interface為與鄰居相連的接口。
R4 上的OSPF接口信息如圖6 所示,鏈路的OSPF網(wǎng)絡(luò)類型Type為廣播類型,該路由器在area1 區(qū)域的當(dāng)前鏈路狀態(tài)State 是指定路由器(designated router,DR),接口開(kāi)銷Cost為1,優(yōu)先級(jí)Pri為1,接口所屬網(wǎng)段的指定路由器DR 的網(wǎng)際互聯(lián)協(xié)議(Internet Protocol,IP)地址是10.3.3.2,備份指定路由器(Backup Designated Router,BDR)IP 地址是10.3.3.1。需要說(shuō)明的是如果DR\BDR 字段顯示為0.0.0.0,則表示鏈路上不存在DR\BDR。
(1)訪問(wèn)外網(wǎng)流量控制。企業(yè)網(wǎng)絡(luò)通過(guò)路由器R1 訪問(wèn)外網(wǎng),不允許總部流量通過(guò)分部訪問(wèn)外網(wǎng);分部網(wǎng)絡(luò)通過(guò)R4 訪問(wèn)外網(wǎng),不允許分部通過(guò)總部訪問(wèn)外網(wǎng)。以R1 為例,在R1 上配置網(wǎng)絡(luò)地址轉(zhuǎn)換(Networt Address Translation,NAT)技術(shù),具體配置如下:
圖6 R4上的OSPF接口信息
在出網(wǎng)設(shè)備上向內(nèi)網(wǎng)發(fā)送一個(gè)路由,告訴內(nèi)網(wǎng)需要通過(guò)出網(wǎng)設(shè)備訪問(wèn)外網(wǎng)。
在R1 上配置路由過(guò)濾技術(shù),具體配置如下:
(2)DHCP 地址池配置。在交換機(jī)SW1、SW5、SW6、SW2、SW9 上部署動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(Dynamic Host Configuration Protocol,DHCP)地址池技術(shù),這樣可以為設(shè)備自動(dòng)提供地址,從而減少人工配置過(guò)程中的誤操作,降低配置工作量,提高網(wǎng)絡(luò)系統(tǒng)安全性[9]。以SW1 為例具體配置如下:
(3)網(wǎng)絡(luò)設(shè)備的VRRP技術(shù)部署。為了防止網(wǎng)關(guān)設(shè)備故障導(dǎo)致下層接入設(shè)備無(wú)法正常入網(wǎng)使用,把分部網(wǎng)絡(luò)骨干區(qū)域中的人事部劃分到VLAN40,總裁辦劃分到VLAN50,利用VRRP 技術(shù)進(jìn)行虛擬網(wǎng)關(guān)備份[10]。對(duì)交換機(jī)SW5 和SW6 進(jìn)行VRRP 冗余設(shè)計(jì),以SW5 為例,配置結(jié)果如圖7 所示。
圖7 SW5的VRRP配置結(jié)果
配置方法如下:
(4)網(wǎng)絡(luò)設(shè)備的鏈路聚合技術(shù)部署。在SW5、SW6 之間配置鏈路聚合技術(shù),可以有效增加兩臺(tái)交換機(jī)之間的鏈路帶寬,保障網(wǎng)絡(luò)鏈路可靠性[11],具體配置如下:
配置完成后,兩臺(tái)交換機(jī)之間建立了靜態(tài)鏈路聚合,檢查2 層聚合端口表項(xiàng),顯示如圖8 所示,2 層端口狀態(tài)是UP打開(kāi)狀態(tài),端口速度為2 Gb/s,端口鏈路類型是Trunk,通過(guò)的VLAN有40 和50,Trunk端口協(xié)議類型為802.1q。
端口鏈路聚合詳情如圖9 所示,聚合組模式Status為靜態(tài),端口G1/0/3、G1/0/4 是Selected端口。
圖8 2層聚合端口表項(xiàng)
圖9 鏈路聚合詳細(xì)信息
(5)網(wǎng)絡(luò)設(shè)備的MSTP技術(shù)部署。對(duì)交換機(jī)SW5和SW6 部署MSTP 技術(shù),不僅可以解決廣播風(fēng)暴問(wèn)題,還可以向下兼容生成樹(shù)協(xié)(Spanning Tree Protocol,STP)和快速生成樹(shù)協(xié)議(Rapid Spanning Tree Protocol,RSTP),收斂速度快,實(shí)現(xiàn)企業(yè)分部的VLAN流量負(fù)載分擔(dān)以及備份功能,保證網(wǎng)絡(luò)的冗余性[12]。具體配置如下:
已經(jīng)生效的MST 域的配置信息如圖10 所示,配置VLAN40 映射到實(shí)例1,VLAN50 映射到實(shí)例2,備份根橋相關(guān)端口在首選根橋被破壞或者關(guān)機(jī)的情況下及時(shí)取代它,成為指定實(shí)例的根。
圖10 MST域配置信息
除了需要規(guī)劃分部各職能部門子網(wǎng)地址,對(duì)網(wǎng)絡(luò)設(shè)備的IP地址進(jìn)行合理的規(guī)劃也是必不可少的,這不但能減輕后期維護(hù)、管理壓力,對(duì)將來(lái)網(wǎng)絡(luò)擴(kuò)展或增加服務(wù)也能帶來(lái)很大便利。仿真實(shí)驗(yàn)中主要設(shè)備的IP地址規(guī)劃見(jiàn)表1。
表1 主要設(shè)備IP地址規(guī)劃
(1)總部業(yè)務(wù)流量需求及配置分析。在交換機(jī)SW11 和SW12 之間部署鏈路聚合技術(shù),并通過(guò)VRRP技術(shù)對(duì)下游設(shè)備進(jìn)行雙備份,通過(guò)更改鏈路開(kāi)銷或改變路由的優(yōu)先級(jí),選舉產(chǎn)生備份鏈路,防止單點(diǎn)故障造成整個(gè)網(wǎng)絡(luò)癱瘓,確保鏈路可靠性。在訪問(wèn)外網(wǎng)設(shè)備上配置NAT轉(zhuǎn)換技術(shù)作為訪問(wèn)控制策略,總部網(wǎng)絡(luò)使用的是私網(wǎng)地址,與分部的IP 地址規(guī)劃類似,此處不再贅述。為了防止用戶私自更改地址,造成網(wǎng)絡(luò)地址沖突,在接入層設(shè)備部署DHCP地址池技術(shù),為用戶自動(dòng)分配地址。
(2)企業(yè)總部與分部邊界網(wǎng)絡(luò)設(shè)計(jì)??偛颗c分部邊界網(wǎng)絡(luò)通過(guò)虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)隧道進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交互,部署的是GRE VPN 技術(shù),GRE VPN支持除IP 協(xié)議之外的其他特殊協(xié)議并且不局限于單播報(bào)文的傳送,組播、廣播數(shù)據(jù)包在GRE隧道中也可以暢通無(wú)阻,這意味著它能夠支持運(yùn)行動(dòng)態(tài)路由協(xié)議。GRE VPN隧道技術(shù)配置簡(jiǎn)單,容易部署,維護(hù)不復(fù)雜[13]。
在R1、R2 路由設(shè)備上配置GRE VPN技術(shù),以R2為例具體配置如下:
仿真實(shí)驗(yàn)中的企業(yè)網(wǎng)絡(luò)采用了路由協(xié)議安全技術(shù)、防止地址解析協(xié)議(Address Resolution Protocol,ARP)欺騙攻擊技術(shù)、配置端口隔離技術(shù)等安全策略。在保證網(wǎng)絡(luò)可靠性的基礎(chǔ)上,增加了網(wǎng)絡(luò)的安全性。
路由協(xié)議作為信息通信的根本,在路由學(xué)習(xí)交互時(shí)可能存在安全隱患,為了保證路由轉(zhuǎn)發(fā)過(guò)程的穩(wěn)定性,本次網(wǎng)絡(luò)設(shè)計(jì)對(duì)路由學(xué)習(xí)轉(zhuǎn)發(fā)的鏈路進(jìn)行了加密操作,包括鏈路間的VRRP 驗(yàn)證和點(diǎn)對(duì)點(diǎn)協(xié)議(Pointto-Point Protocol,PPP)握手認(rèn)證協(xié)議驗(yàn)證(Challenge Handshake Authentication Protocol,CHAP)。
(1)VRRP驗(yàn)證功能。在交換機(jī)SW5、SW6 實(shí)現(xiàn)VRRP驗(yàn)證功能,以SW5 為例,具體配置如下:
(2)PPP 協(xié)議的CHAP 驗(yàn)證[14]。在路由器R1、R4 實(shí)現(xiàn)CHAP驗(yàn)證功能,以R1 為例,具體配置如下:
依據(jù)網(wǎng)絡(luò)設(shè)備中的ARP表,當(dāng)局域網(wǎng)存在一個(gè)虛假的媒體存取控制(Media Access Control,MAC)地址而導(dǎo)致網(wǎng)絡(luò)不通時(shí),可開(kāi)啟動(dòng)態(tài)ARP 監(jiān)測(cè),配置方法如下:
端口隔離技術(shù)可以實(shí)現(xiàn)報(bào)文間的2 層隔離,在同一VLAN中的不同部門之間實(shí)現(xiàn)通信隔離,每個(gè)部門都能與隔離組的上行端口通信[16]。將交換機(jī)SW7 的G1/0/1 和G1/0/3 加入到隔離組,實(shí)現(xiàn)兩接口下的主機(jī)不能互訪,具體配置如下:
為了測(cè)試企業(yè)網(wǎng)絡(luò)是否具備安全防范功能,人為致使網(wǎng)關(guān)設(shè)備或者網(wǎng)關(guān)設(shè)備上行鏈路出現(xiàn)故障,查看備用鏈路能否及時(shí)切換,以使得網(wǎng)絡(luò)通信依然正常。
以分部網(wǎng)絡(luò)骨干區(qū)域中的交換機(jī)SW5、SW6 為例,通過(guò)仿真測(cè)試,鏈路故障前SW5 是VLAN40 的主網(wǎng)關(guān)設(shè)備,優(yōu)先級(jí)是120,同時(shí)是VLAN50 的備份網(wǎng)關(guān)設(shè)備,當(dāng)設(shè)備SW5 出現(xiàn)故障宕機(jī)后,VLAN40 的主網(wǎng)關(guān)設(shè)備切換為SW6,備份網(wǎng)關(guān)設(shè)備切換為SW5,優(yōu)先級(jí)降到了100,說(shuō)明主備網(wǎng)關(guān)進(jìn)行了切換。
圖11 為SW5 設(shè)備故障前的分部網(wǎng)絡(luò)業(yè)務(wù)流量選路情況,對(duì)照表1 主要設(shè)備的IP 地址可知,分部網(wǎng)絡(luò)的業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW5→SW7,當(dāng)SW5 上行鏈路故障后,即SW6 切換成為主網(wǎng)關(guān)設(shè)備后,對(duì)照表1 可以從圖12 中發(fā)現(xiàn),業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW6→SW7,符合選路的需求,證明了設(shè)計(jì)的網(wǎng)絡(luò)能夠有效防止由于單點(diǎn)故障引起的網(wǎng)絡(luò)中斷。
圖11 鏈路故障前流量選路情況
圖12 鏈路故障后流量選路情況
本文利用HCL模擬器設(shè)計(jì)了企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn),從網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃到部署各項(xiàng)網(wǎng)絡(luò)技術(shù)都給出了具有代表性的配置方法,最終實(shí)現(xiàn)了網(wǎng)絡(luò)的互通并保障了網(wǎng)絡(luò)的安全性和可靠性。通過(guò)仿真實(shí)驗(yàn)學(xué)生可以進(jìn)一步了解OSPF路由選擇協(xié)議,加深對(duì)GRE VPN隧道技術(shù)支持動(dòng)態(tài)路由協(xié)議以及對(duì)VRRP 冗余備份原理的理解,有助于提高學(xué)生綜合運(yùn)用多種網(wǎng)絡(luò)技術(shù)配置計(jì)算機(jī)網(wǎng)絡(luò)的能力。