IP城域網(wǎng)集客網(wǎng)站類業(yè)務(wù)割接保護(hù)方案的研究與應(yīng)用

摘要：隨著互聯(lián)網(wǎng)業(yè)務(wù)的高速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也備受關(guān)注。運(yùn)營(yíng)商給集團(tuán)企業(yè)單位開(kāi)通的網(wǎng)站業(yè)務(wù)實(shí)施違法行為的風(fēng)險(xiǎn)遞增。為加強(qiáng)企業(yè)網(wǎng)絡(luò)安全，對(duì)公司業(yè)務(wù)進(jìn)行監(jiān)管監(jiān)督，需要分公司盡快推進(jìn)網(wǎng)站專線業(yè)務(wù)的安全改造工作。但是影響網(wǎng)站割接的因素多且復(fù)雜，困難較大。本文通過(guò)搭建VPN通道，并根據(jù)客戶的不同訴求制定個(gè)性化解決方案，圓滿實(shí)現(xiàn)所有網(wǎng)站加入EU監(jiān)控。

關(guān)鍵詞：網(wǎng)站業(yè)務(wù)、VPN、EU監(jiān)控

一、現(xiàn)狀及創(chuàng)新思路

根據(jù)省公司指導(dǎo)意見(jiàn)，需要加強(qiáng)省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核，全面指導(dǎo)各單位貫徹落實(shí)兩部委網(wǎng)絡(luò)與信息安全責(zé)任考核要求，工業(yè)和信息化部下發(fā)了《工業(yè)和信息化部辦公廳關(guān)于印發(fā)lt;2017年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)gt;的通知》（工信廳網(wǎng)安〔2017〕14號(hào)）。需按要求盡快落實(shí)，確保行業(yè)領(lǐng)先。

開(kāi)通的傳統(tǒng)網(wǎng)站業(yè)務(wù)，是直接在IP城域網(wǎng)設(shè)備BRAS（寬帶遠(yuǎn)程接入服務(wù)器）上做ACL策略控制，根據(jù)網(wǎng)站開(kāi)通需要，放開(kāi)某個(gè)IP地址的80、8080或443端口。這種方式簡(jiǎn)單易實(shí)施，但是網(wǎng)絡(luò)安全性較低，影響網(wǎng)絡(luò)信息安全環(huán)境。為加強(qiáng)企業(yè)網(wǎng)絡(luò)安全，需要分公司盡快完成網(wǎng)站互聯(lián)網(wǎng)專線割接至省IDC/ISP信安管理平臺(tái)審計(jì)。某公司共有40多家網(wǎng)站需要割接，因網(wǎng)站IP與用戶上網(wǎng)IP是同一個(gè)地址，根據(jù)割接要求，需要將網(wǎng)站IP獨(dú)立分離，涉及用戶變更IP地址。IP變更需要與集團(tuán)單位負(fù)責(zé)人進(jìn)行溝通，但是大多數(shù)網(wǎng)站IP已綁定多個(gè)后臺(tái)服務(wù)器，變更IP影響范圍較廣，客戶不愿意變更；如不進(jìn)行IP變更，后期將會(huì)影響網(wǎng)站的正常使用，割接工作難度較大。本文通過(guò)搭建VPN通道，并根據(jù)客戶的不同訴求制定個(gè)性化解決方案，圓滿實(shí)現(xiàn)所有網(wǎng)站接入EU監(jiān)控。

二、實(shí)施方案

為了提升網(wǎng)站安全性能，順利完成網(wǎng)站EU割接，某分公司根據(jù)不同客戶的個(gè)性需求，采取兩種割接方案：針對(duì)可以變更IP的用戶，搭建VPN通道，優(yōu)先采用接口方式配置新IP；對(duì)于不能變更IP的情況，搭建VPN通道，巧妙地采用新建地址池方式割接原IP，從而圓滿完成所有網(wǎng)站的EU改造工作。

EU監(jiān)控是通過(guò)新建的VPN通道來(lái)實(shí)現(xiàn)對(duì)網(wǎng)站業(yè)務(wù)的監(jiān)督，它利用在總出口的分光來(lái)監(jiān)測(cè)網(wǎng)站實(shí)時(shí)行為。MPLS VPN是運(yùn)營(yíng)商通過(guò)其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)（Virtual Private Network），即在用戶的角度VPN是用戶的一個(gè)專有網(wǎng)絡(luò)，用戶內(nèi)部信息傳送在該專有網(wǎng)絡(luò)中完成，不暴露在互聯(lián)網(wǎng)公網(wǎng)下，更加安全穩(wěn)定。

IP城域網(wǎng)VPN配置參數(shù)及要求如下：

河南省XXX VPN專線客戶通過(guò)VPN方式進(jìn)行承載，承載范圍包含全省18個(gè)地市，采用full-mesh模式。需要分配的VPN參數(shù)有VPN名稱、RD、RT及相關(guān)配置要求。

VPN名稱：河南省XXX VPN專線客戶的VPN名稱為VPN-XX（說(shuō)明：“XX VPN專線客戶”拼音，首字母大寫(xiě)，例如武警總隊(duì)，VPN-WuJingZongDui），適用于VPN實(shí)例的定義、端口描述。

RD：RD 格式采用lt;ASgt;：lt;4byte IDgt;，其中4字節(jié)ID用來(lái)區(qū)別PE位置，格式為“3位固網(wǎng)區(qū)號(hào)”+“2位路由器節(jié)點(diǎn)編號(hào)”+“5位VPN號(hào)”。

3位所在地固網(wǎng)區(qū)號(hào)：指IP城域網(wǎng)設(shè)備PE所在地固定電話區(qū)號(hào)。（說(shuō)明：省核心固定為550，鄭州公司為371，洛陽(yáng)為379）

2位路由器節(jié)點(diǎn)編號(hào)：指路由器節(jié)點(diǎn)編號(hào)，與SR設(shè)備名的編號(hào)一致。（說(shuō)明：省核心依照商貿(mào)路、北環(huán)路、東區(qū)、西區(qū)的順序，依次對(duì)應(yīng)確定為01至08）

5位VPN號(hào)：統(tǒng)一分配的VPN編號(hào)。例如河南省武警總隊(duì) VPN專線客戶對(duì)應(yīng)VPN的編號(hào)為00112。

如洛陽(yáng)IP城域網(wǎng)第一節(jié)點(diǎn)的RD為：24445：3790100112。

RT：RT 格式采用lt;ASgt;：lt;4byte IDgt;，其中4字節(jié)ID采用RD中VPN號(hào)。對(duì)應(yīng)VPN的export和import參數(shù)為24445：00112。

路由發(fā)布：交換機(jī)與IP城域網(wǎng)之間使用靜態(tài)路由或直聯(lián)網(wǎng)段，因此根據(jù)具體情況將直聯(lián)網(wǎng)段和靜態(tài)路由發(fā)布到MPBGP中即可。保證路由配置準(zhǔn)確。

端口限速：可根據(jù)實(shí)際需要進(jìn)行部署。

具體配置：

（1）針對(duì)同意更換IP的用戶，采用接口方式配置數(shù)據(jù)：

創(chuàng)建VPN實(shí)例：

ip vpn-instance VPN-ZX" //建VPN實(shí)例

ipv4-family

route-distinguisher 24445：3710800087

apply-label per-instance

vpn-target 24445：87 export-extcommunity

vpn-target 24445：88 import-extcommunity

配置端口數(shù)據(jù)：

interface GigabitEthernet3/0/5.27

description （^7^）-RZ-RuCiGongSi-CMNET //添加端口描述

qinq termination pe-vid 2048 ce-vid 1548 // 添加VLAN

ip binding vpn-instance VPN-ZX //綁定VPN實(shí)例

ip address 221.XX.XX.237" 255.255.255.252 //配置IP

qos-profile zhuanxian-10m inbound identifier none" //端口限速

qos-profile zhuanxian-10m outbound identifier none

traffic-policy AntiVir inbound//添加策略限制

BGP路由發(fā)布：

bgp 24445

ipv4-family vpn-instance VPN-ZX

import-route direct //直連路由發(fā)布

import-route static //靜態(tài)路由發(fā)布

公網(wǎng)私網(wǎng)做流量分離：在一些老單板上，vpn的流量也會(huì)過(guò)流策略，配上這個(gè)命令，就不做流分類

slot 6

traffic-policy match-ip-packet-only

slot 8

traffic-policy match-ip-packet-only

經(jīng)驗(yàn)證，網(wǎng)站可以正常登錄使用：

（2）針對(duì)不同意更換IP的用戶，采用地址池方式配置數(shù)據(jù)：

創(chuàng)建VPN實(shí)例：

ip vpn-instance VPN-ZX

ipv4-family

route-distinguisher 24445：3710800087" apply-label per-instance

vpn-target 24445：87 export-extcommunity

vpn-target 24445：88 import-extcommunity

建立特定的專線地址池：

ip pool zhuanxian-15 bas local //設(shè)備上原有地址池名稱

gateway 117.xx.xx.97 255.255.255.224 //地址池里面的IP地址網(wǎng)關(guān)及掩碼

section 0 117.xx.xx.98 117.xx.xx.126 //地址池里面的可用IP地址段

excluded-ip-address 117.xx.xx.98 117.xx.xx.126 //確保地址池里面的可用IP地址段不能被用戶自動(dòng)獲取，而是手工分配給某一特定用戶

warning-threshold 0

ip pool zhuanxian-zx bas local // 建立相同IP段但帶VPN實(shí)例的專線地址池

vpn-instance VPN-ZX // 添加VPN實(shí)例

gateway 117.xx.xx.97 255.255.255.224 //地址池里面的IP地址網(wǎng)關(guān)及掩碼

section 0 117.xx.xx.98 117.xx.xx.126 //地址池里面的可用IP地址段

excluded-ip-address 117.xx.xx.98 117.xx.xx.126 //確保地址池里面的可用IP地址段不能被用戶自動(dòng)獲取，而是手工分配給某一特定用戶

warning-threshold 0

配置新的地址前綴列表：

ip ip-prefix vpnzx permit 117.xx.xx.114" 32 //配置新的地址前綴列表

route-policy 12 permit node 123 //建路由策略，根據(jù)匹配條件，對(duì)業(yè)務(wù)流量進(jìn)行引流

if-match ip-prefix vpnzx

建立名字為zhuanxian-zx的專線域：

domain zhuanxian-zx //新建名字為zhuanxian-zx的專線域

authentication-scheme default0 //認(rèn)證

accounting-scheme default0 //計(jì)費(fèi)

ip-pool zhuanxian-zx //將名字為zhuanxian-zx的地址池加入該域

qos-profile zhuanxian-100m inbound //帶寬限速100M

qos-profile zhuanxian-100m outbound

vpn-instance VPN-ZX //添加VPN實(shí)例

user-priority upstream 3

user-group ptjk

BGP路由發(fā)布：

BGP24445：

ipv4-family vpn-instance VPN-ZX

import-route direct

import-route static

import-route unr route-policy 12 //因該業(yè)務(wù)配置在bas二層接口下，既不屬于直連路由，也非靜態(tài)路由，故新增這條unr路由。

配置端口數(shù)據(jù)：

interface GigabitEthernet1/0/2.401

description （^7^）To-BF-BuDongChanGuanLiJu（100M）-CMNET

user-vlan 401

bas

#

access-type layer2-subscriber default-domain authentication zhuanxian-100m" "authentication-method bind

ip-trigger

arp-trigger

vpn-instance VPN-ZX" #

靜態(tài)用戶IP綁定：

static-user 117.xx.xx.114 117.xx.xx.114 gateway 117.xx.xx.97 vpn-instance VPN-ZX interface GigabitEthernet1/0/2.401 vlan 401 domain-name zhuanxian-zx detect //配置二層靜態(tài)IP用戶

公網(wǎng)私網(wǎng)做流量分離：

slot 6

traffic-policy match-ip-packet-only

slot 8

traffic-policy match-ip-packet-only

經(jīng)驗(yàn)證，網(wǎng)站可以正常登錄使用：

三、應(yīng)用

網(wǎng)站EU改造前，網(wǎng)絡(luò)安全性較低，網(wǎng)絡(luò)安全環(huán)境受到很大威脅。網(wǎng)站EU改造后，后臺(tái)系統(tǒng)統(tǒng)一監(jiān)控網(wǎng)站運(yùn)行情況，使得所有網(wǎng)站行為均暴露在EU監(jiān)控下，能夠及時(shí)處置違法行為及不正當(dāng)言論，網(wǎng)絡(luò)安全性能得到了提升；另外，之前的網(wǎng)站業(yè)務(wù)信息沒(méi)有特定的平臺(tái)進(jìn)行統(tǒng)一管理，基礎(chǔ)資料疏于管理，日常維護(hù)難度較大，網(wǎng)站互聯(lián)網(wǎng)專線割接后，所有網(wǎng)站業(yè)務(wù)均錄入至省IDC/ISP信安管理平臺(tái)集中管理，所有相關(guān)信息一目了然。如涉及單位IP或聯(lián)系人等信息變更，需及時(shí)將變更信息上報(bào)更新，否則網(wǎng)站不能正常訪問(wèn)，網(wǎng)站信息準(zhǔn)確率達(dá)到100%。

某公司采用本文提出的網(wǎng)站割接方案開(kāi)展網(wǎng)站改造，效果顯著，滿足了用戶的不同訴求，也為公司業(yè)務(wù)發(fā)展贏得了良好的口碑。網(wǎng)站EU割接完成后，觀察測(cè)試了近一個(gè)月時(shí)間，未出現(xiàn)業(yè)務(wù)異常現(xiàn)象，所有割接的48個(gè)企業(yè)網(wǎng)站均能夠正常使用，網(wǎng)站可用率為100%，網(wǎng)站信息準(zhǔn)確率達(dá)到100%，有效提升了用戶滿意度。

四、結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，業(yè)務(wù)類型變得越來(lái)越多樣復(fù)雜，需要維護(hù)人員不斷提升自我技能，針對(duì)多場(chǎng)景，多需求的業(yè)務(wù)類型，因地制宜，制定相應(yīng)的解決方案，這樣才能凸顯公司的業(yè)務(wù)優(yōu)勢(shì)，在激烈的市場(chǎng)競(jìng)爭(zhēng)中脫穎而出，不斷提升客戶滿足度。

作者單位：庫(kù)亞曉 中國(guó)移動(dòng)通信集團(tuán)河南有限公司平頂山分公司

參" 考" 文" 獻(xiàn)

[1]劉正陽(yáng).大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)技術(shù)研究[J].中國(guó)新通信，2022（08）：113-115

[2]葉其蕾;余霄.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用探究[J].中國(guó)新通信，2021（18）：89-90

[3]楊中威.移動(dòng)通信網(wǎng)絡(luò)安全發(fā)展前景分析[J].電信網(wǎng)技術(shù)，2014（12）：14-17.

[4]周鵬.城域網(wǎng)的發(fā)展現(xiàn)狀和策略[J].信息通信技術(shù)與政策，2005（07）：22-24

[5]郭文雙.城域網(wǎng)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2017（06）：29，39.

庫(kù)亞曉（1982-），女，漢族，河南襄城，碩士研究生，中級(jí)通信工程師，研究方向：IP城域網(wǎng)和承載網(wǎng)規(guī)劃運(yùn)維等。