中型企业网络设计

吴双

(南昌交通学院,江西南昌 330000)

0 引言

为了更好的管理企业的内部网络,根据要求实现部门之间的通信,降低管理成本,提高内网安全和业务能力,搭建一个完善的、安全的综合型企业内网显得十分必要。有线和WLAN 的共存可以使企业内部的布线更加简洁,便于日后的管理与维护,可以更好的提高企业的业务能力[1-2]。对于搭建的网络同时也要考虑到可拓展性,为未来的网络升级和更新打下良好的基础。

1 内网架构设计

通过eNSP画出总体的内网拓扑图,规划出各部门,分配好各部门的IP网段,配置好划分出来的各区域的路由器交换机等设备,先实现各区域内部网络互通。由于企业网络层次化明显,故采用OSPF 协议、OSPF 协议采用SPF算法,天然无环,以实现各区域间网络互通,同时各区域的路由器也隔离了广播域,根据企业要求,配置域间流量策略,控制流量走向。区域内部的网络设计也要考虑到可靠性,安全等多方面因素。优化各区域设备配置,达到真正意义上的负载均衡和链路冗余,以及减轻设备的内存负荷,为了保护内网,需要在防火墙配置NAT 协议,使内网设备转换IP地址后可以上网[3]。实验拓扑图1所示。

图1 实验拓扑Fig.1 Experimental topology

2 方案实施

将企业内部网络规划出三个区域:业务办理区域,办公区域和server区域[4]。

2.1 office区域

采用旁挂式AC 三层WLAN 组网,LSW1 作为STA 的DHCP 服务器,AC 作为AP 的DHCP 服务器,采用隧道传输,便于管理,但是要考虑到问题是隧道通信会增加AC 的负担。对此可以AC可采用直接转发模式,SW1 上也可旁挂DHCP 服务器,减轻AC 和SW1 的数据传输压力。AC 上配置WLAN 业务,三个部门对应三个AP组,开启2.4G射频模板,密码采用WPA-WPA2 模式,基于AES加密。office区域下挂一个小型的企业网络,运行RIP协议,关闭汇聚,分公司用户可以通过office区域和公网通信。内部SW3配置DHCP 中继,终端通过DHCP 服务器获取地址。DHCP 中继配置图2 所示。

图2 DHCP 中继配置Fig.2 DHCP relay configuration

2.2 业务办理区

考虑到业务办理区的链路流量负载大,且对网络的可靠性要求较高,该区域采用MSTP(多生成树协议)+VRRP(虚拟路由冗余协议)的组网方式。MSTP是在RSTP的基础上改进得来,可以将网络修剪成一个无环的树形网络,避免报文在链路中无限循环造成MAC 地址表漂移。通过将VLAN划分到不同的实例中,通过实例改变交换机的端口状态,实现数据的负载均衡,同时提供了多个可以转发数据的冗余路径,做到了链路备份弥补了STP 收敛慢和RSTP 可靠性不高的缺点。而VRRP 则可以虚拟出多个虚拟IP 作为下行设备的网关,一旦主设备不可用,VRRP 提供的动态转移机制,报文可以通过备份设备转发,MSTP+VRRP的组网方式可以大大提高通信网络的可靠性。此区域中,VLAN10,VLAN30 划分到实例1 中,VLAN20,VLAN40 划分到实例2中,LSW6 作为实例1的主根,实例2的备根,LSW7 作为实例2 的主根,实例1 的备根,同时LSW6 中VLANIF10 和VLANIF30 的VRRP 组优先级大于LSW7,LSW7 中VLANIF20 和VLANIF40 的VRRP组优先级大于LSW6,这样属于VLAN10,VLAN30 的设备的报文优先从左侧转发,属于VLAN20,VLAN40 的设备的报文优先从右侧转发。MSTP 配置图3所示,SW4 VRRP 配置图4所示,SW5 VRRP 配置图5所示。

图3 MSTP 配置Fig.3 MSTP configuration

图4 SW4 VRRP 配置Fig.4 SW4 VRRP configuration

图5 SW5 VRRP 配置Fig.5 SW5 VRRP configuration

2.3 server区域

此区域与防火墙直连,将与防火墙连接的端口划为server区域,公网可通过公网IP访问内网的服务器。配置Nat Server将内部服务器映射到公网,对外提供FTP和HTTP服务。防火墙NAT Server配置图6所示。

图6 防火墙NAT Server 配置Fig.6 Firewall NAT server configuration

3 安全策略

3.1 基于防火墙

企业出口选两台防火墙配置双机热备,所有区域都采用双出口,防火墙配置域间流量策略,对需要转发的数据包的包头和数据转发规则进行比较,通过报文的源目MAC地址、源目IP地址等匹配网络中的数据流,根据比较的结果选择转发或者丢弃报文。放行office区域、trust区域到达server区域的icmp、ftp、http服务,用户可以正常访问server区的服务器。在防火墙配置NAT方式为Easy-IP的地址转换模式,内网用户在地址转换后可以正常上网,控制其余区域间互访的流量及server区主动访问内网其他区域的流量不可通过[5]。防火墙安全策略配置图7 所示,NAT 策略配置图8 所示。

图7 防火墙安全策略配置Fig.7 Firewall security policy configuration

图8 NAT 策略配置Fig.8 Nat policy configuration

3.2 基于OSPF协议

因为OSPF采用Hello报文发现邻居,此时路由器发现了非法路由器邻居甲,甲在接入网络后迅速向OSPF网络中注入垃圾路由,影响数据转发,此时可以配置OSPF的区域认证,只有双方的key-ID口令一致,才可以正常通信,有效防止因加入网络中的非法路由器而影响网络。

3.3 基于DHCP协议

DHCP 的工作原理是通过DHCP 报文从DHCP 服务器的地址池中挑选一个可用的IP 地址分配给发送了DHCP Discovery报文请求地址的终端,这种方式是存在一定安全隐患的。此时终端连接的交换机若旁挂了一台非法DHCP 服务器,那么就有可能造成终端无法正常通信,甚至出现拦截,篡改,重放等攻击。在旁挂了DHCP服务器的交换机上开启DHCP Snooping,可以将合法服务器划分到信任端口,终端只会通过合法服务器获取IP地址。

3.4 基于STP协议

若交换机的边缘接口接入了交换设备,边缘接口会转换为普通接口,可能会导致整个网络重新计算BPDU,影响数据通信;若是攻击者进行BPDU 攻击,也会使网络瘫痪。开启BPDU 保护是一种解决此类问题的有效方法,边缘接口接受到BPDU会告警并立即关闭端口,且无法自动恢复需要手动开启端口。

3.5 基于网络安全

若有非法用户向AC 发送大量的ARP 报文,会导致AC超负荷,且这些ARP条目会耗尽AC的ARP表的资源,导致内网其他无线用户无法正常的通信,可以在AC 上配置全局的ARP严格学习,虽然接口下配置此功能优先级更高,效果更好,但是不易于管理和操作。无线AP 开启WIDS 攻击检测,可以有效的防御泛洪攻击,暴力破解和ARP欺骗攻击等攻击手段,并且记录非法设备信息,配合动态黑名单,可以自动丢弃非法设备的攻击报文。MAC泛洪攻击主要是利用局域网交换机的MAC 学习和老化机制。而ARP欺骗则是更改内网用户的网关MAC 地址为攻击者设备的MAC 地址,导致用户无法上网甚至出现信息泄露。

4 网络优化

网络的优化可以加快网络的收敛速度,保证网络设备的稳定性、安全性,减轻设备的负荷。

4.1 路由表及LSDB优化

路由器的接口激活了OSPF 后就会开始发送和接收Hello 报文通过DD 报文的交互,路由器知道邻居拥有的LSA,发送LSR 向对方请求完整LSA,对方发送LSU 回应LSR发送新的LSA。

LSA的种类繁多,通过汇总某些LSA,来简化LSDB,在边界路由器上做汇总,来汇总一个区域的内部明细路由。

OSPF还有很多的区域类型:(1)当一个区域不需要引入外部路由时,此时将此区域配置为Stub Area(末梢区域),可以阻挡Type-4(四类)、Type-5(五类) LSA进入此区域以减少该区域内的泛洪的LSA 数量,减小路由表的规模,此时该区域的ABR会下发一条Type-3 LSA来描述到达区域外的默认路由,设备的资源消耗大大降低。注:骨干区域不可以被配置为Stub区域,所有接到该Stub区域的路由器都应进行相应的配置,避免影响OSPF的邻接关系的建立。(2)在(1)中阐述的Stub区域可以阻挡Type-4和Type-5 LSA 发布到该区域,但设想,若一个区域还下挂着一个小型网络,该网络采用不同于OSPF的路由协议,如RIP,此时采用路由重分发是解决两区域连通问题的最直接的方法,此时则将区域配置为NSSA Area(非完全末梢区域)。此区域由Stub区域演变而来,继承了Stub区域阻挡四类,五类LSA发布到该区域的特点,这时引入到该区域的外部路由会以Type-7(7类) LSA的形式(LSDB中显示为NSSA LSA)下发到该区域中,一定程度上缩小了路由表的规模。7类LSA只能在NSSA区域内泛洪,该区域会将7类LSA转换为5类LSA注入到骨干区域Area 0[6]。

4.2 STP优化

虽然运行了STP的交换机产生环路的风险极低,但是为了工作效率,需要终端设备快速上线,此时将连接了终端的端口配置为边缘端口,但是这些端口仍然会继续发送BPDU报文,开启BPDU过滤可以过滤这些报文,减少资源损耗。STP端口状态变更过慢,对于通信延时要求高的网络是致命缺点,可以配置交换机运行RSTP,RSTP 通过P/A 机制,经过BPDU 的交互确认根桥,根端口和指定端口。根桥发送Proposal置为BPDU,连接根桥的交换机完成同步后立即改变端口状态,并发送Agreement置为BPDU,根桥也会立即改变状态[7]。

4.3 无线网络优化

关闭射频调优,手动配置AP工作在不同的信道,降低信道的资源抢夺。企业内部为了规范员工上网行为,可以配置SAC(无线感知技术),可以根据应用的类型控制WLAN 用户的行为,如放行语音通话的流量,对QQ 等应用进行限速。

4.4 策略路由

通过策略路由可以控制链路流量的走向,达到分流效果,实现链路负载均衡,可以利用ACL 匹配特定数据流,基于源目IP、源目MAC、源目端口等执行特定的行为,如:数据重定向,丢弃等操作。图9所示中的分公司部分,属于VLAN10 的流量通过上链路转发,属于VLAN20 的流量通过下链路转发,策略路由的好处是不会影响未匹配数据的正常转发。策略路由分为本地策略路由和流策略路由,合理的使用策略路由可以大大优化链路状态,减小链路的负载。

图9 策略路由配置Fig.9 Policy routing configuration

4.5 防火墙优化

将两台防火墙G1/0/3划入dmz区域,作为心跳端口并使能HRP。防火墙部署在网络的出口位置,若出现故障会导致整个内部网络瘫痪,此时需要两台防火墙实现双机热备,可以提升网络整体的可靠性,当其中一台防火墙出现故障时,数据可以平滑的通过另一台设备进行转发。配置VGMP组hrp track检测上下行链路状态,作为主备备份形式的双机热备形式,防火墙同时还要配置OSPF Cost功能,设备可以自动判断自己是主设备还是备份设备,备份设备可以将上下行的数据都转发到主设备上,实现主备备份[8]。VGMP管理组监控物理接口状态图10所示。

图10 VGMP 管理组监控物理接口状态Fig.10 VGMP Management Group monitors physical interface status

重新设定HRP 链路探测的时间间隔和主备设备抢占时间,以实现设备故障时的及时切换,注意主备设备设置的时间间隔和抢占时间要一致。

5 结语

没有完美无缺的协议,巧用各协议和技术的搭配可以设计出一个更好的,更加可靠的,安全的企业网络,综合企业网络的结构特点采用不同的路由协议,针对需要防范的网络攻击对设备进行相应的安全配置等都是关键所在。