高可靠的企业网络模型

2022-07-25 10:07倪亚琳徐洋叶佳旺
网络安全技术与应用 2022年6期
关键词:公网网关备份

◆倪亚琳 徐洋 叶佳旺

(合肥科技职业学院 安徽 231200)

网络的建设以企业的需求为立足点,兼顾可靠、实用和安全。该房地产企业总部办公大楼有六层。六楼行政部对网络要求较高,需保证其网络通讯的安全性和稳定性。行政部还拥有对财务部数据直接访问的权利,需要对行政部进行访问的放行。位于四五层的研发部和财务部掌握着公司的重要数据,需要对访问其数据库的IP地址进行访问控制来保证安全[1]。要确保总部的数据安全,必须部署访问策略确保其服务器的稳定。其他部门对网络的要求较低,只要保证最基本的网络连通和外网的访问即可。在员工宿舍仅需部署打卡系统来对员工的打卡情况进行记录[2]。当企业不断发展时,要向外拓展范围,并建设分公司。总部与分公司之间的通讯,采用IPSec VPN的方式,考虑到总部对外为双出口,因此采用冗余的方式进行设计。在保证与外网的通讯时也为企业建设了一条安全、经济且完全由自己掌握的链路来与分公司进行数据的传输。

1 建设目标

将企业需求作为目标,把总部的行政部、研发部和财务部作为关键部门来进行网络的拓扑设计,对其进行上行链路的冗余,并使用生成树进行路径的择优选择。

确保服务器的服务质量,保证其不受外界因素的干扰。在总部的出口,采用策略加双备份的方式保证公司日常的正常运营。在分公司的通讯采用VPN技术可以在保证通讯时免去了架设专线的花销。

2 楼宇图预览

企业有一个总部和分部,总部的部门较多,连入的终端设备对网络的需求较高。因此在总部采用接入层、汇聚层和核心层的经典三层网络架构,总部的各个部门通过接入层来接入企业网络,最后通过核心机房接入公网[3]。与分公司之间采用IPSec VPN技术来实现通讯,免去了架设专线的巨额费用且具有很高的安全性。

图1 楼宇图预览

3 方案设计图预览

如图2,在接入层每个部门放置二层交换机来划分VLAN并合理部署AP,部署DHCP Snooping功能来防止非法DHCP Server对内部终端的攻击。有线和无线结合满足办公区多样的终端网络通讯的需求。在汇聚层架设三台三层交换机,用VRRP技术创建虚拟网关来完成设备的备份。核心层搭建两台三层交换机使用MSTP技术,并进行链路聚合,使核心节点的数据传输量增加,也提高稳定性。在数据中心,设置四台服务器外加一台AC控制器来满足公司的业务访问以及AC对所有AP的管理。在出口处,部署两台出口路由器做出口网关的备份。采用策略路由来进行对公网链路的备份,以此在面对运营商的突发情况时可以及时转换数据流向保证企业网络连接的可靠性。与分公司的通讯中,通过在公网中搭建VPN隧道来构建与分公司专用的虚拟隧道。针对双出口,采用IPSec VPN双网关冗余。综上为企业网络设计的整体思路。

图2 虚拟网络拓扑预览

4 技术选型

网络架构:整体网络架构采用接入层、汇聚层和核心层的经典三层网络结构[4]。为未来企业的发展提供了更多的拓展空间。这种架构兼顾了时代性和未来的可拓展性。

VRRP:行政部、研发部和财务部对网络的可靠性要求较高,采用路由热备份技术,即VRRP技术,增强网络遭遇突发事件的韧性以保证数据的可持续性转发。

DHCP Snooping:在DHCP中添加DHCP Snooping(侦听)技术来隔绝非法的DHCP Server。保证客户机从合法的DHCP Server中获取地址并且保证DHCP用户在异常下线时实时更新绑定表和防止仿冒DHCP报文攻击。

MSTP(多生成树协议):在较多的设备间部署多条物理链路,其中一条作主用链路,其他链路作备份。这样难免形成环路,容易引起广播风暴并破坏MAC桥表项。采用MSTP技术创建生成树,计算出最优路径来加速数据转发,还能实现VLAN的负载均衡。

AC+Fit AP:由于有线网络的覆盖范围有限,接入没有无线网络便利。此外,随着网络的不断发展,终端的多样性也对无线网络的搭建提出需求。由此,采用AC + Fit AP的技术搭建无线网络。在加密方面,采用wpa2的密码进行加密来增强安全性。

PBR(策略路由):企业网络不允许断网的情况出现,但运营商难免会出现一些不可预料的问题。所以该公司总部对外有两个出口,分别对应两个不同的运营商。我们在出口处需配置策略路由。

IPSec VPN双网关冗余(虚拟专用网络):由于对外设置了双出口网关,而建立在公网中的VPN通道也可以借此使用VPN双出口的备份技术来保证对分公司的数据传输进而提高总部和分部通讯的可靠性。所以出口采用IPsec VPN双网关冗余技术。

除上述技术外,还可以采用Easy-ip技术来实现私网到公网地址的转换以访问公网。在内网对外网访问时,外网不能获取到内网的地址,增强了内网的安全性。

5 建设原则

(1)实用性:整个网络系统具有较高的实用性;

(2)时效性:网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;

(3)可靠性:整个网络系统具有很高的安全可靠性,满足7×24×365小时连续运行的要求。发生故障时,网络设备可以快速自动地切换到备份设备上;

(4)安全性:能有效防止网络的非法访问,保证关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;

(5)效益性:网络的投资应随着网络的伸缩能够持续发挥作用,保护现有网络的投资,充分发挥网络投资的最大效益;

(6)可伸缩性:网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其他机构或部门的连接等对网络的扩充性要求。

6 结束语

对该企业网的设计,我们不仅用到了三层网络架构,还使用了广泛的MSTP+VRRP和企业双出口的策略路由技术。但是,为了成为新时代的网络工程师,我们需要不断学习,争取获取知名厂商的证书,如华为的HCIA、HCIP、HCIE等。尝试新技术,探索新设备。现在已经出现了四层交换机,它不仅具备三层交换机的所有交换功能和性能,还拥有三层交换机没有的网络流量和服务质量控制的智能型功能[7]。随着5G时代的到来,有许多的新技术等着我们学习。我们要清楚地认识到5G是推动互联网发展的巨大引擎,在未来该企业的发展中也必然与5G接轨,成为5G时代下的新型企业。

猜你喜欢
公网网关备份
浅析大临铁路公网覆盖方案
基于FPGA的工业TSN融合网关设计
利用云备份微信聊天记录
一种主从冗余网关的故障模式分析与处理
如何只备份有用数据而不备份垃圾数据
Windows10应用信息备份与恢复
某IP端口映射在外网打不开
天地一体化网络地面软网关技术及其应用
车联网网关架构的设计
如何迎接公网对讲的春天