邱 鹏,霍 瑛,蒋 悦
(南京工程学院计算机工程学院,南京211167)
近年来,随着计算机网络技术的发展,各类企业几乎都部署了不同的网络系统,这些系统基本都归化依赖于不同类型的计算机网络,构建网络在保障企业各部门之间连通性的同时,也可以为网络系统的上层应用提供灵活而智能的服务[1-2]。在实际网络中,由于一个实体自制系统规模庞大且复杂,导致网络数据库所存储的数据量巨大,可能引发数据溢出[3];如网络中某一链路或设备出现故障,势必影响整个网络的信息通信,甚至导致网络通信过程中的信息被非法监听、截获、篡改等安全问题[4-5]。
本文通过某品牌云实验室(H3C Cloud Lab,HCL)模拟软件设计了一个企业网络构建仿真实验,利用开放式最短路径优先(Open Shortest Path First,OSPF)链路状态路由协议支持区域划分的特性[6-7],对企业各职能部门进行区域划分,以减少需要传递的路由信息量,改善路由计算;通过部署虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)、多生成树协议(Multiple Spanning Tree Protocol,MSTP)、通用路由封装协议虚拟专用网络(Generic Routing Encapsulation Virtual Private Network,GRE VPN)等网络技术,给企业网络提供安全防护功能,增加可靠性。
根据企业需求划分多区域,整体网络架构由总部和分部组成。总部可简述为核心层设备与双出口路由设备,通过专线或者外网与分部进行数据交互。分部根据骨干区域和非骨干区域的分布,把不同职能部门划分到不同虚拟局域网(Virtual Local Area Network,VLAN)中再进行数据通信。设计的重点是企业内部业务流量在各部分之间的选路情况及全网连接情况。根据企业网络整体规划,设计的企业总部与分部的网络连接结构如图1 所示。
图1 企业网络连接拓扑图
本次实验采用HCL作为仿真网络模拟软件,为企业网络设计提供了具有图形界面化功能的组网平台[8]。整体采取从分部到总部的顺序进行网络设计和设备配置。
在分部网络的设计中,把不同职能部门隔离划分成不同的VLAN,骨干区为AREA0,非骨干区为area1和area2,通过访问控制技术按照需求过滤各VLAN之间的通信数据。由图1 可见,AREA0 是管理部门包括人事部和总裁办;area1 是开发部,包括产品设计、研发和测试部门;area2 是市场部包含销售和宣传两个职能部门以及由售前和售后组成的客服部。
步骤1 在开发部的交换机SW1 上开启3 层路由功能,并规划在OSPF 路由进程下的非骨干区域area1。具体配置如下:
同时,分别部署在非骨干区域area2 和客服部的交换机SW2 和SW9,也使用类似配置用以实现网络连通。
步骤2 在路由器R3 上进行OSPF多区域配置,R3 作为区域边界路由器(Area Border Route,ABR)在area1 中与SW1 建立邻居的同时,在AREA0 与路由器R1 完成邻居建立,实现报文在不同区域之间的转发。具体配置如下:
步骤3 在R1 上完成骨干区域AREA0 的OSPF路由进程宣告配置,具体配置如下:
配置完成后,验证OSPF 路由进程下设备SW1、R3、R1、R4 已经建立的邻居关系,如图2 ~5 所示。
图2 SW1上的OSPF邻居信息
图3 R3上的OSPF邻居信息
图4 R1上的OSPF邻居信息
图5 R4上的OSPF邻居信息
以路由器R4 的邻居信息为例,如图5:Area 为邻居所属的区域,Router ID 为邻居路由地址,Address 为邻居接口地址,Pri为路由器优先级,Dead-Time为邻居失效时间,State Full/BDR 为邻居状态建立成功,Interface为与邻居相连的接口。
R4 上的OSPF接口信息如图6 所示,链路的OSPF网络类型Type为广播类型,该路由器在area1 区域的当前链路状态State 是指定路由器(designated router,DR),接口开销Cost为1,优先级Pri为1,接口所属网段的指定路由器DR 的网际互联协议(Internet Protocol,IP)地址是10.3.3.2,备份指定路由器(Backup Designated Router,BDR)IP 地址是10.3.3.1。需要说明的是如果DR\BDR 字段显示为0.0.0.0,则表示链路上不存在DR\BDR。
(1)访问外网流量控制。企业网络通过路由器R1 访问外网,不允许总部流量通过分部访问外网;分部网络通过R4 访问外网,不允许分部通过总部访问外网。以R1 为例,在R1 上配置网络地址转换(Networt Address Translation,NAT)技术,具体配置如下:
图6 R4上的OSPF接口信息
在出网设备上向内网发送一个路由,告诉内网需要通过出网设备访问外网。
在R1 上配置路由过滤技术,具体配置如下:
(2)DHCP 地址池配置。在交换机SW1、SW5、SW6、SW2、SW9 上部署动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)地址池技术,这样可以为设备自动提供地址,从而减少人工配置过程中的误操作,降低配置工作量,提高网络系统安全性[9]。以SW1 为例具体配置如下:
(3)网络设备的VRRP技术部署。为了防止网关设备故障导致下层接入设备无法正常入网使用,把分部网络骨干区域中的人事部划分到VLAN40,总裁办划分到VLAN50,利用VRRP 技术进行虚拟网关备份[10]。对交换机SW5 和SW6 进行VRRP 冗余设计,以SW5 为例,配置结果如图7 所示。
图7 SW5的VRRP配置结果
配置方法如下:
(4)网络设备的链路聚合技术部署。在SW5、SW6 之间配置链路聚合技术,可以有效增加两台交换机之间的链路带宽,保障网络链路可靠性[11],具体配置如下:
配置完成后,两台交换机之间建立了静态链路聚合,检查2 层聚合端口表项,显示如图8 所示,2 层端口状态是UP打开状态,端口速度为2 Gb/s,端口链路类型是Trunk,通过的VLAN有40 和50,Trunk端口协议类型为802.1q。
端口链路聚合详情如图9 所示,聚合组模式Status为静态,端口G1/0/3、G1/0/4 是Selected端口。
图8 2层聚合端口表项
图9 链路聚合详细信息
(5)网络设备的MSTP技术部署。对交换机SW5和SW6 部署MSTP 技术,不仅可以解决广播风暴问题,还可以向下兼容生成树协(Spanning Tree Protocol,STP)和快速生成树协议(Rapid Spanning Tree Protocol,RSTP),收敛速度快,实现企业分部的VLAN流量负载分担以及备份功能,保证网络的冗余性[12]。具体配置如下:
已经生效的MST 域的配置信息如图10 所示,配置VLAN40 映射到实例1,VLAN50 映射到实例2,备份根桥相关端口在首选根桥被破坏或者关机的情况下及时取代它,成为指定实例的根。
图10 MST域配置信息
除了需要规划分部各职能部门子网地址,对网络设备的IP地址进行合理的规划也是必不可少的,这不但能减轻后期维护、管理压力,对将来网络扩展或增加服务也能带来很大便利。仿真实验中主要设备的IP地址规划见表1。
表1 主要设备IP地址规划
(1)总部业务流量需求及配置分析。在交换机SW11 和SW12 之间部署链路聚合技术,并通过VRRP技术对下游设备进行双备份,通过更改链路开销或改变路由的优先级,选举产生备份链路,防止单点故障造成整个网络瘫痪,确保链路可靠性。在访问外网设备上配置NAT转换技术作为访问控制策略,总部网络使用的是私网地址,与分部的IP 地址规划类似,此处不再赘述。为了防止用户私自更改地址,造成网络地址冲突,在接入层设备部署DHCP地址池技术,为用户自动分配地址。
(2)企业总部与分部边界网络设计。总部与分部边界网络通过虚拟专用网络(Virtual Private Network,VPN)隧道进行网络数据交互,部署的是GRE VPN 技术,GRE VPN支持除IP 协议之外的其他特殊协议并且不局限于单播报文的传送,组播、广播数据包在GRE隧道中也可以畅通无阻,这意味着它能够支持运行动态路由协议。GRE VPN隧道技术配置简单,容易部署,维护不复杂[13]。
在R1、R2 路由设备上配置GRE VPN技术,以R2为例具体配置如下:
仿真实验中的企业网络采用了路由协议安全技术、防止地址解析协议(Address Resolution Protocol,ARP)欺骗攻击技术、配置端口隔离技术等安全策略。在保证网络可靠性的基础上,增加了网络的安全性。
路由协议作为信息通信的根本,在路由学习交互时可能存在安全隐患,为了保证路由转发过程的稳定性,本次网络设计对路由学习转发的链路进行了加密操作,包括链路间的VRRP 验证和点对点协议(Pointto-Point Protocol,PPP)握手认证协议验证(Challenge Handshake Authentication Protocol,CHAP)。
(1)VRRP验证功能。在交换机SW5、SW6 实现VRRP验证功能,以SW5 为例,具体配置如下:
(2)PPP 协议的CHAP 验证[14]。在路由器R1、R4 实现CHAP验证功能,以R1 为例,具体配置如下:
依据网络设备中的ARP表,当局域网存在一个虚假的媒体存取控制(Media Access Control,MAC)地址而导致网络不通时,可开启动态ARP 监测,配置方法如下:
端口隔离技术可以实现报文间的2 层隔离,在同一VLAN中的不同部门之间实现通信隔离,每个部门都能与隔离组的上行端口通信[16]。将交换机SW7 的G1/0/1 和G1/0/3 加入到隔离组,实现两接口下的主机不能互访,具体配置如下:
为了测试企业网络是否具备安全防范功能,人为致使网关设备或者网关设备上行链路出现故障,查看备用链路能否及时切换,以使得网络通信依然正常。
以分部网络骨干区域中的交换机SW5、SW6 为例,通过仿真测试,链路故障前SW5 是VLAN40 的主网关设备,优先级是120,同时是VLAN50 的备份网关设备,当设备SW5 出现故障宕机后,VLAN40 的主网关设备切换为SW6,备份网关设备切换为SW5,优先级降到了100,说明主备网关进行了切换。
图11 为SW5 设备故障前的分部网络业务流量选路情况,对照表1 主要设备的IP 地址可知,分部网络的业务流量从产品测试部门路由到人事部的路径为SW1→R3→R1→SW5→SW7,当SW5 上行链路故障后,即SW6 切换成为主网关设备后,对照表1 可以从图12 中发现,业务流量从产品测试部门路由到人事部的路径为SW1→R3→R1→SW6→SW7,符合选路的需求,证明了设计的网络能够有效防止由于单点故障引起的网络中断。
图11 链路故障前流量选路情况
图12 链路故障后流量选路情况
本文利用HCL模拟器设计了企业网络仿真实验,从网络设计规划到部署各项网络技术都给出了具有代表性的配置方法,最终实现了网络的互通并保障了网络的安全性和可靠性。通过仿真实验学生可以进一步了解OSPF路由选择协议,加深对GRE VPN隧道技术支持动态路由协议以及对VRRP 冗余备份原理的理解,有助于提高学生综合运用多种网络技术配置计算机网络的能力。