基于H3C Cloud Lab的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與仿真

邱 鵬，霍 瑛，蔣 悅

（南京工程學(xué)院計(jì)算機(jī)工程學(xué)院，南京211167）

0 引 言

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，各類企業(yè)幾乎都部署了不同的網(wǎng)絡(luò)系統(tǒng)，這些系統(tǒng)基本都?xì)w化依賴于不同類型的計(jì)算機(jī)網(wǎng)絡(luò)，構(gòu)建網(wǎng)絡(luò)在保障企業(yè)各部門之間連通性的同時(shí)，也可以為網(wǎng)絡(luò)系統(tǒng)的上層應(yīng)用提供靈活而智能的服務(wù)［1-2］。在實(shí)際網(wǎng)絡(luò)中，由于一個(gè)實(shí)體自制系統(tǒng)規(guī)模龐大且復(fù)雜，導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)所存儲(chǔ)的數(shù)據(jù)量巨大，可能引發(fā)數(shù)據(jù)溢出［3］；如網(wǎng)絡(luò)中某一鏈路或設(shè)備出現(xiàn)故障，勢(shì)必影響整個(gè)網(wǎng)絡(luò)的信息通信，甚至導(dǎo)致網(wǎng)絡(luò)通信過(guò)程中的信息被非法監(jiān)聽(tīng)、截獲、篡改等安全問(wèn)題［4-5］。

本文通過(guò)某品牌云實(shí)驗(yàn)室（H3C Cloud Lab，HCL）模擬軟件設(shè)計(jì)了一個(gè)企業(yè)網(wǎng)絡(luò)構(gòu)建仿真實(shí)驗(yàn)，利用開(kāi)放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）鏈路狀態(tài)路由協(xié)議支持區(qū)域劃分的特性［6-7］，對(duì)企業(yè)各職能部門進(jìn)行區(qū)域劃分，以減少需要傳遞的路由信息量，改善路由計(jì)算；通過(guò)部署虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）、多生成樹(shù)協(xié)議（Multiple Spanning Tree Protocol，MSTP）、通用路由封裝協(xié)議虛擬專用網(wǎng)絡(luò)（Generic Routing Encapsulation Virtual Private Network，GRE VPN）等網(wǎng)絡(luò)技術(shù)，給企業(yè)網(wǎng)絡(luò)提供安全防護(hù)功能，增加可靠性。

1 企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

根據(jù)企業(yè)需求劃分多區(qū)域，整體網(wǎng)絡(luò)架構(gòu)由總部和分部組成?？偛靠珊?jiǎn)述為核心層設(shè)備與雙出口路由設(shè)備，通過(guò)專線或者外網(wǎng)與分部進(jìn)行數(shù)據(jù)交互。分部根據(jù)骨干區(qū)域和非骨干區(qū)域的分布，把不同職能部門劃分到不同虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）中再進(jìn)行數(shù)據(jù)通信。設(shè)計(jì)的重點(diǎn)是企業(yè)內(nèi)部業(yè)務(wù)流量在各部分之間的選路情況及全網(wǎng)連接情況。根據(jù)企業(yè)網(wǎng)絡(luò)整體規(guī)劃，設(shè)計(jì)的企業(yè)總部與分部的網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1 所示。

圖1 企業(yè)網(wǎng)絡(luò)連接拓?fù)鋱D

2 企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn)

本次實(shí)驗(yàn)采用HCL作為仿真網(wǎng)絡(luò)模擬軟件，為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)提供了具有圖形界面化功能的組網(wǎng)平臺(tái)［8］。整體采取從分部到總部的順序進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和設(shè)備配置。

2.1 分部網(wǎng)絡(luò)設(shè)計(jì)

在分部網(wǎng)絡(luò)的設(shè)計(jì)中，把不同職能部門隔離劃分成不同的VLAN，骨干區(qū)為AREA0，非骨干區(qū)為area1和area2，通過(guò)訪問(wèn)控制技術(shù)按照需求過(guò)濾各VLAN之間的通信數(shù)據(jù)。由圖1 可見(jiàn)，AREA0 是管理部門包括人事部和總裁辦；area1 是開(kāi)發(fā)部，包括產(chǎn)品設(shè)計(jì)、研發(fā)和測(cè)試部門；area2 是市場(chǎng)部包含銷售和宣傳兩個(gè)職能部門以及由售前和售后組成的客服部。

2.2 分部網(wǎng)絡(luò)互通區(qū)域配置

步驟1 在開(kāi)發(fā)部的交換機(jī)SW1 上開(kāi)啟3 層路由功能，并規(guī)劃在OSPF 路由進(jìn)程下的非骨干區(qū)域area1。具體配置如下：

同時(shí)，分別部署在非骨干區(qū)域area2 和客服部的交換機(jī)SW2 和SW9，也使用類似配置用以實(shí)現(xiàn)網(wǎng)絡(luò)連通。

步驟2 在路由器R3 上進(jìn)行OSPF多區(qū)域配置，R3 作為區(qū)域邊界路由器（Area Border Route，ABR）在area1 中與SW1 建立鄰居的同時(shí)，在AREA0 與路由器R1 完成鄰居建立，實(shí)現(xiàn)報(bào)文在不同區(qū)域之間的轉(zhuǎn)發(fā)。具體配置如下：

步驟3 在R1 上完成骨干區(qū)域AREA0 的OSPF路由進(jìn)程宣告配置，具體配置如下：

配置完成后，驗(yàn)證OSPF 路由進(jìn)程下設(shè)備SW1、R3、R1、R4 已經(jīng)建立的鄰居關(guān)系，如圖2 ～5 所示。

圖2 SW1上的OSPF鄰居信息

圖3 R3上的OSPF鄰居信息

圖4 R1上的OSPF鄰居信息

圖5 R4上的OSPF鄰居信息

以路由器R4 的鄰居信息為例，如圖5：Area 為鄰居所屬的區(qū)域，Router ID 為鄰居路由地址，Address 為鄰居接口地址，Pri為路由器優(yōu)先級(jí)，Dead-Time為鄰居失效時(shí)間，State Full/BDR 為鄰居狀態(tài)建立成功，Interface為與鄰居相連的接口。

R4 上的OSPF接口信息如圖6 所示，鏈路的OSPF網(wǎng)絡(luò)類型Type為廣播類型，該路由器在area1 區(qū)域的當(dāng)前鏈路狀態(tài)State 是指定路由器（designated router，DR），接口開(kāi)銷Cost為1，優(yōu)先級(jí)Pri為1，接口所屬網(wǎng)段的指定路由器DR 的網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）地址是10.3.3.2，備份指定路由器（Backup Designated Router，BDR）IP 地址是10.3.3.1。需要說(shuō)明的是如果DR＼BDR 字段顯示為0.0.0.0，則表示鏈路上不存在DR＼BDR。

2.3 分部業(yè)務(wù)流量需求及配置分析

（1）訪問(wèn)外網(wǎng)流量控制。企業(yè)網(wǎng)絡(luò)通過(guò)路由器R1 訪問(wèn)外網(wǎng)，不允許總部流量通過(guò)分部訪問(wèn)外網(wǎng)；分部網(wǎng)絡(luò)通過(guò)R4 訪問(wèn)外網(wǎng)，不允許分部通過(guò)總部訪問(wèn)外網(wǎng)。以R1 為例，在R1 上配置網(wǎng)絡(luò)地址轉(zhuǎn)換（Networt Address Translation，NAT）技術(shù)，具體配置如下：

圖6 R4上的OSPF接口信息

在出網(wǎng)設(shè)備上向內(nèi)網(wǎng)發(fā)送一個(gè)路由，告訴內(nèi)網(wǎng)需要通過(guò)出網(wǎng)設(shè)備訪問(wèn)外網(wǎng)。

在R1 上配置路由過(guò)濾技術(shù)，具體配置如下：

（2）DHCP 地址池配置。在交換機(jī)SW1、SW5、SW6、SW2、SW9 上部署動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol，DHCP）地址池技術(shù)，這樣可以為設(shè)備自動(dòng)提供地址，從而減少人工配置過(guò)程中的誤操作，降低配置工作量，提高網(wǎng)絡(luò)系統(tǒng)安全性［9］。以SW1 為例具體配置如下：

（3）網(wǎng)絡(luò)設(shè)備的VRRP技術(shù)部署。為了防止網(wǎng)關(guān)設(shè)備故障導(dǎo)致下層接入設(shè)備無(wú)法正常入網(wǎng)使用，把分部網(wǎng)絡(luò)骨干區(qū)域中的人事部劃分到VLAN40，總裁辦劃分到VLAN50，利用VRRP 技術(shù)進(jìn)行虛擬網(wǎng)關(guān)備份［10］。對(duì)交換機(jī)SW5 和SW6 進(jìn)行VRRP 冗余設(shè)計(jì)，以SW5 為例，配置結(jié)果如圖7 所示。

圖7 SW5的VRRP配置結(jié)果

配置方法如下：

（4）網(wǎng)絡(luò)設(shè)備的鏈路聚合技術(shù)部署。在SW5、SW6 之間配置鏈路聚合技術(shù)，可以有效增加兩臺(tái)交換機(jī)之間的鏈路帶寬，保障網(wǎng)絡(luò)鏈路可靠性［11］，具體配置如下：

配置完成后，兩臺(tái)交換機(jī)之間建立了靜態(tài)鏈路聚合，檢查2 層聚合端口表項(xiàng)，顯示如圖8 所示，2 層端口狀態(tài)是UP打開(kāi)狀態(tài)，端口速度為2 Gb/s，端口鏈路類型是Trunk，通過(guò)的VLAN有40 和50，Trunk端口協(xié)議類型為802.1q。

端口鏈路聚合詳情如圖9 所示，聚合組模式Status為靜態(tài)，端口G1/0/3、G1/0/4 是Selected端口。

圖8 2層聚合端口表項(xiàng)

圖9 鏈路聚合詳細(xì)信息

（5）網(wǎng)絡(luò)設(shè)備的MSTP技術(shù)部署。對(duì)交換機(jī)SW5和SW6 部署MSTP 技術(shù)，不僅可以解決廣播風(fēng)暴問(wèn)題，還可以向下兼容生成樹(shù)協(xié)（Spanning Tree Protocol，STP）和快速生成樹(shù)協(xié)議（Rapid Spanning Tree Protocol，RSTP），收斂速度快，實(shí)現(xiàn)企業(yè)分部的VLAN流量負(fù)載分擔(dān)以及備份功能，保證網(wǎng)絡(luò)的冗余性［12］。具體配置如下：

已經(jīng)生效的MST 域的配置信息如圖10 所示，配置VLAN40 映射到實(shí)例1，VLAN50 映射到實(shí)例2，備份根橋相關(guān)端口在首選根橋被破壞或者關(guān)機(jī)的情況下及時(shí)取代它，成為指定實(shí)例的根。

圖10 MST域配置信息

2.4 分部網(wǎng)絡(luò)IP地址規(guī)劃

除了需要規(guī)劃分部各職能部門子網(wǎng)地址，對(duì)網(wǎng)絡(luò)設(shè)備的IP地址進(jìn)行合理的規(guī)劃也是必不可少的，這不但能減輕后期維護(hù)、管理壓力，對(duì)將來(lái)網(wǎng)絡(luò)擴(kuò)展或增加服務(wù)也能帶來(lái)很大便利。仿真實(shí)驗(yàn)中主要設(shè)備的IP地址規(guī)劃見(jiàn)表1。

表1 主要設(shè)備IP地址規(guī)劃

2.5 總部網(wǎng)絡(luò)設(shè)計(jì)

（1）總部業(yè)務(wù)流量需求及配置分析。在交換機(jī)SW11 和SW12 之間部署鏈路聚合技術(shù)，并通過(guò)VRRP技術(shù)對(duì)下游設(shè)備進(jìn)行雙備份，通過(guò)更改鏈路開(kāi)銷或改變路由的優(yōu)先級(jí)，選舉產(chǎn)生備份鏈路，防止單點(diǎn)故障造成整個(gè)網(wǎng)絡(luò)癱瘓，確保鏈路可靠性。在訪問(wèn)外網(wǎng)設(shè)備上配置NAT轉(zhuǎn)換技術(shù)作為訪問(wèn)控制策略，總部網(wǎng)絡(luò)使用的是私網(wǎng)地址，與分部的IP 地址規(guī)劃類似，此處不再贅述。為了防止用戶私自更改地址，造成網(wǎng)絡(luò)地址沖突，在接入層設(shè)備部署DHCP地址池技術(shù)，為用戶自動(dòng)分配地址。

（2）企業(yè)總部與分部邊界網(wǎng)絡(luò)設(shè)計(jì)?？偛颗c分部邊界網(wǎng)絡(luò)通過(guò)虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）隧道進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交互，部署的是GRE VPN 技術(shù)，GRE VPN支持除IP 協(xié)議之外的其他特殊協(xié)議并且不局限于單播報(bào)文的傳送，組播、廣播數(shù)據(jù)包在GRE隧道中也可以暢通無(wú)阻，這意味著它能夠支持運(yùn)行動(dòng)態(tài)路由協(xié)議。GRE VPN隧道技術(shù)配置簡(jiǎn)單，容易部署，維護(hù)不復(fù)雜［13］。

在R1、R2 路由設(shè)備上配置GRE VPN技術(shù)，以R2為例具體配置如下：

3 企業(yè)網(wǎng)絡(luò)的安全策略

仿真實(shí)驗(yàn)中的企業(yè)網(wǎng)絡(luò)采用了路由協(xié)議安全技術(shù)、防止地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙攻擊技術(shù)、配置端口隔離技術(shù)等安全策略。在保證網(wǎng)絡(luò)可靠性的基礎(chǔ)上，增加了網(wǎng)絡(luò)的安全性。

3.1 路由協(xié)議安全技術(shù)

路由協(xié)議作為信息通信的根本，在路由學(xué)習(xí)交互時(shí)可能存在安全隱患，為了保證路由轉(zhuǎn)發(fā)過(guò)程的穩(wěn)定性，本次網(wǎng)絡(luò)設(shè)計(jì)對(duì)路由學(xué)習(xí)轉(zhuǎn)發(fā)的鏈路進(jìn)行了加密操作，包括鏈路間的VRRP 驗(yàn)證和點(diǎn)對(duì)點(diǎn)協(xié)議（Pointto-Point Protocol，PPP）握手認(rèn)證協(xié)議驗(yàn)證（Challenge Handshake Authentication Protocol，CHAP）。

（1）VRRP驗(yàn)證功能。在交換機(jī)SW5、SW6 實(shí)現(xiàn)VRRP驗(yàn)證功能，以SW5 為例，具體配置如下：

（2）PPP 協(xié)議的CHAP 驗(yàn)證［14］。在路由器R1、R4 實(shí)現(xiàn)CHAP驗(yàn)證功能，以R1 為例，具體配置如下：

3.2 防止ARP欺騙攻擊技術(shù)［15］

依據(jù)網(wǎng)絡(luò)設(shè)備中的ARP表，當(dāng)局域網(wǎng)存在一個(gè)虛假的媒體存取控制（Media Access Control，MAC）地址而導(dǎo)致網(wǎng)絡(luò)不通時(shí)，可開(kāi)啟動(dòng)態(tài)ARP 監(jiān)測(cè)，配置方法如下：

3.3 配置端口隔離技術(shù)

端口隔離技術(shù)可以實(shí)現(xiàn)報(bào)文間的2 層隔離，在同一VLAN中的不同部門之間實(shí)現(xiàn)通信隔離，每個(gè)部門都能與隔離組的上行端口通信［16］。將交換機(jī)SW7 的G1/0/1 和G1/0/3 加入到隔離組，實(shí)現(xiàn)兩接口下的主機(jī)不能互訪，具體配置如下：

4 實(shí)驗(yàn)仿真測(cè)試

為了測(cè)試企業(yè)網(wǎng)絡(luò)是否具備安全防范功能，人為致使網(wǎng)關(guān)設(shè)備或者網(wǎng)關(guān)設(shè)備上行鏈路出現(xiàn)故障，查看備用鏈路能否及時(shí)切換，以使得網(wǎng)絡(luò)通信依然正常。

以分部網(wǎng)絡(luò)骨干區(qū)域中的交換機(jī)SW5、SW6 為例，通過(guò)仿真測(cè)試，鏈路故障前SW5 是VLAN40 的主網(wǎng)關(guān)設(shè)備，優(yōu)先級(jí)是120，同時(shí)是VLAN50 的備份網(wǎng)關(guān)設(shè)備，當(dāng)設(shè)備SW5 出現(xiàn)故障宕機(jī)后，VLAN40 的主網(wǎng)關(guān)設(shè)備切換為SW6，備份網(wǎng)關(guān)設(shè)備切換為SW5，優(yōu)先級(jí)降到了100，說(shuō)明主備網(wǎng)關(guān)進(jìn)行了切換。

圖11 為SW5 設(shè)備故障前的分部網(wǎng)絡(luò)業(yè)務(wù)流量選路情況，對(duì)照表1 主要設(shè)備的IP 地址可知，分部網(wǎng)絡(luò)的業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW5→SW7，當(dāng)SW5 上行鏈路故障后，即SW6 切換成為主網(wǎng)關(guān)設(shè)備后，對(duì)照表1 可以從圖12 中發(fā)現(xiàn)，業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW6→SW7，符合選路的需求，證明了設(shè)計(jì)的網(wǎng)絡(luò)能夠有效防止由于單點(diǎn)故障引起的網(wǎng)絡(luò)中斷。

圖11 鏈路故障前流量選路情況

圖12 鏈路故障后流量選路情況

5 結(jié) 語(yǔ)

本文利用HCL模擬器設(shè)計(jì)了企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn)，從網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃到部署各項(xiàng)網(wǎng)絡(luò)技術(shù)都給出了具有代表性的配置方法，最終實(shí)現(xiàn)了網(wǎng)絡(luò)的互通并保障了網(wǎng)絡(luò)的安全性和可靠性。通過(guò)仿真實(shí)驗(yàn)學(xué)生可以進(jìn)一步了解OSPF路由選擇協(xié)議，加深對(duì)GRE VPN隧道技術(shù)支持動(dòng)態(tài)路由協(xié)議以及對(duì)VRRP 冗余備份原理的理解，有助于提高學(xué)生綜合運(yùn)用多種網(wǎng)絡(luò)技術(shù)配置計(jì)算機(jī)網(wǎng)絡(luò)的能力。