PBR保障内外网互联安全

2017-11-22 02:41
网络安全和信息化 2017年1期
关键词:内网IP地址路由器

引言:当今计算机网络已经深入各个领域,在网络的规划设计时,内部局域网和外部互联网已经普遍采取了隔离措施。但是,当安全性提高的同时也就意味着放弃了某些便利性,例如在我们实际工作中有很多场景确实需要内外网同时使用才能完成。

当今计算机网络已经深入各个领域,它正在对人们的生活方式和工作方式产生着前所未有的影响。同时,随着网络规模的不断扩大,人们对网络知识的了解不断深入,网络上的攻击行为变得越来越多,网络与信息的安全重要性已经不容忽视。

在这种形势下,当前在网络的规划设计时,内部局域网和外部互联网已经普遍采取了隔离措施。但是,当安全性提高的同时也就意味着放弃了某些便利性,例如在我们实际工作中有很多场景确实需要内外网同时使用才能完成。以医院为例,内网医疗设备的安装调试、各类程序升级、软件的故障处理、远程会诊,以及农合、医保、内网病毒查杀等等都需要调取外部的数据,同时管理员的数据查询汇总,软件、网络运维与管理都有这样的实际需求。

图1 内外网拓扑

接下来结合笔者的实践经验详细介绍在内外网逻辑隔离的情况下,利用策略路由Route-map工具在网络核心层来实现内外网的互联互通。策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据 IP/IPv6 报文源的地址、目的地址、端口以及报文长度等内容灵活地进行路由选择,其优先级比普通的路由高,这样就可以按照网络管理员的意愿针对部分感兴趣的流量重新定义报文的转发路径,从而满足其他一些特殊场景下的需求。

Route-map工具类似于脚本语言,其中包含的“match”,“set”参数和编程中的“if”,“then” 语句很相似,对于有编程经验的人员更容易理解,也即match到所需要的特定路由后再执行相对应的set操作。但此时需要注意区分以下两种情况,情况1是“或”的关系,匹配到一个条目就会终止;而情况2是“与”关系,需要匹配全部条目,内外网拓扑如图1所示。

情况1:

情况2:

下面开始分别对内网和外网进行相应的分析和配置。

内网部分

以笔者单位为例,通常有各式各样的服务器和众多客户端,多运行 ospf、eigrp等内部动态路由协议,网络结构相对较大,本文以核心层、汇聚层、接入层三层网络拓扑为例。

1.首先在内网核心交换机上配置扩展ACL,来匹配内网特殊流量:

2.内网核心上配置策略路由:

应当注意的是:在此处策略路由为set ip default next-hop而不是set ip next-hop,因为策略路由的优先级要比普通的路由高,原本的内网ospf路由无法起到作用,从而导致使用该IP地址的客户端会连接内网服务器失败。而加上default后会降低路由优先级从而不会影响客户端正常访问内网服务器段的IP地址,保证了对内网、外网的数据同时正常访问。

set ip next-hop可以设置下一跳IP地址,也可以设置数据包的出接口,建议设置为下一跳的IP地址。

3.在内网核心设备上相应的汇聚端口上应用策略路由:

这里应当注意的是:策略路由一定要应用到数据包的in方向接口,而不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,在out方向的接口,路由器已经对数据包做完IP路由,把数据包从接口转发出去了,因此此时out方向的策略路由并不生效。

4.在内网其他部分上的配置

汇聚交换机DHCP配置:

外网部分

外网只满足用户互联网、部分远程会诊等需求客户端相对较少,网络结构并不复杂,本文以核心层、接入层二层网络拓扑结构为例,只需配置来自内网的返回静态路由即可。

外网核心交换机配置:

经过以上配置,内网的192.168.10.98—99这两个IP地址就达到了内外网同时访问的目的。这对于在只有内网处理问题故障的管理人员来说无疑是一件利器,有了外援的支持处理问题自然也就迎刃有余了。相反,在外网核心配置策略路由也可以实现外网IP地址的外转内,同时又达到访问内外网的需求。

当用户遇到有以下应用场景时,策略路由会带来更多的选择和便利,同时策略路由只是Route-map工具应用的其中一个方面,Route-map工具本身在路由重分布redistribute和边界网关协议(BGP)中应用也十分广泛。

当网络中的汇聚与核心设备,或者是核心与出口路由器之间有多条链路互联时,普通的路由表的负载或者主备的结果可能无法满足需求,或者网络中又引人了一些新的业务,这些网段在原先的网上设计时并没有考虑到,而此时出现新的路由访问的需要,但是又不想去调整前期规划的,复杂的OSPF路由控制选路的策略,此时就可以利用策略路由这种技术来针对这部分新的需求进行一个重新的路由选择,可以按照用户的意愿选择一条指定的链路转发数据,而并不依赖于传统的路由表。

还有另外一种常见的应用场景就是核心到网络出口设备有多台路由器或者防火墙,其对应的多家不同的运营商链路,比如联通(100M),电信(50M),移动(50M)等,此时用户希望根据每台链路的负载程度,带宽利用率等情况来将内网中的流量分流到这三条链路上,比如医院各病房科室和其他医院的远程会诊全部走移动专线出口,农合、医保科室数据全部走电信,行政后勤办公、电教中心、多媒体等全部都走联通,另外远程会诊基于不同的业务类型进行分流,同时电信,联通,移动又彼此作为各自的链路故障时候的备份,起到冗余,如果用户有这样的组网需求,就可以考虑采用策略路由进行选路,在达到内外网互联要求的同时又保证了网络的安全性。

猜你喜欢
内网IP地址路由器
买千兆路由器看接口参数
维持生命
路由器每天都要关
路由器每天都要关
铁路远动系统几种组网方式IP地址的申请和设置
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
企业内网中的数据隔离与交换技术探索
内外网隔离条件下如何实现邮件转发
公安网络中IP地址智能管理的研究与思考