黄民聪 苏健渊 梁晓昀
摘要:文章介绍了一种复杂智慧园区网络有线无线双网融合的网络架构,该架构通过提供RADIUS服务、VPN实例数据隔离和防火墙,实现了统一的RADIUS身份认证,为网络提供了业务随行能力。此外,该架构还基于用户角色授权访问对应的网络资源,为不同的业务需求提供数据隔离,从而提高了网络安全的防范能力。
关键词:RADIUS认证;业务随行;数据隔离
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2024)07-0086-03
开放科学(资源服务)标识码(OSID)
0 引言
随着信息化技术的不断发展,智慧园区网络的功能日益完善、结构日趋复杂、规模不断扩大。为满足不同业务需求,智慧园区网络需同时支持无线和有线两种网络接入方式。为确保数据安全,需为不同的用户接入组分配相应的资源访问权限,并禁止无授权用户访问数据[1]。此外,为更好地开展业务,网络设备的接入地点不应受限,这对网络的灵活性提出了更高要求。因此,基于结构化设计,我们提出了一种网络架构,该架构可实现业务随行、资源授权共享和统一安全认证,提供一种智能、无感、泛在的网络接入能力。
1 智慧园区网络需求
1) 提供有线接入网络能力,实现数字资源的授权访问。可根据业务需求设置不同部门之间的网络访问权限,以保护敏感数据的安全。
2) 提供无线接入网络能力,无线网络应分为内部员工网络和访客网络。为确保数据安全,访客网络仅限访问外网,与内部有线、无线网络隔离,无法访问内部数据中心资源。
3) 实现业务策略与IP地址的解耦,集中管理用户信息和策略。用户应能从园区网络中的任意位置、任意VLAN、任意IP网段接入,并始终控制其网络访问权限,以实现业务随行能力。
4) 注重网络安全。所有访问Internet或进入园区网络的数据必须经过防火墙过滤,满足安全策略后才可放行。数据敏感的业务部门不得上外网。内部员工无线网络仅限访问数据中心的部分服务。
2 智慧园区网络方案设计与验证
智慧园区网络分为三层架构:接入层、汇聚层和核心层。接入层负责终端设备(有线和无线设备)的接入,不涉及业务VLAN,数据通过网络设备的默认VLAN 1进行传输;汇聚层作为有线业务网段的网关,通过三层协议转发数据至核心层,同时汇聚层也是RADIUS准入认证的开始节点;核心层是内部无线和外部无线业务的网关,为有线和无线业务提供HDCP服务,连接数据中心、防火墙和网络出口,并根据需求策略进行数据流量的转发。
2.1 接入层部署
1) 有线设备接入。为了满足业务随行的需求,准入认证在汇聚设备上进行。因此,接入层数据通过设备默认VLAN 1进行传输,无需额外配置业务VLAN。接入层的主要职责是连接终端设备和放行无线管理VLAN 100。
2) 无线设备接入。无线网络采用AC+FIT AP模式,其中AP无需进行配置。AC管理AP时采用隧道模式,需要确保AC到AP的管理链路畅通无阻。在接入层,需要将接入AP的交换机端口配置为Access模式,并将PVID设置为VLAN 100。同时,从接入层到汇聚层、汇聚层到核心层以及核心层到管理AC的链路,都应设置为trunk模式,并放行管理VLAN 100。
2.2 匯聚层部署
1) 有线业务网关配置。汇聚设备T1_AGG1和T2_AGG2被配置为对应有线业务VLAN的网关设备。有关有线业务VLAN的划分和IP地址规划,如表1所示。
2) DHCP中继配置。为了简化管理,我们将有线和无线业务的DHCP服务统一部署在核心设备上。因此,汇聚设备需要配置为DHCP中继模式,其中,dhcp relay interface应指向核心设备上提供DHCP服务的接口,汇聚层设备本身不提供DHCP服务。
3) 汇聚核心上行互联链路配置。由于汇聚设备担任业务VLAN的网关角色,汇聚层与核心层之间通过三层协议进行数据交互。T1_AGG1和T2_AGG2将分别创建VLAN 208和209作为汇聚与核心之间的互联VLAN。相关链路端口需配置为允许对应VLAN的数据通过。
2.3 核心层部署
1) 无线业务网关。核心层设备充当内部无线和外部无线业务的网关角色。无线业务的VLAN划分和IP地址规划详细信息如表2所示。
2) 业务数据隔离。为了保障内部数据的安全性,我们在核心层创建了两个VPN实例。有线网段和内部无线网段专为内部员工使用,绑定在“Employee”实例中;而外部无线网段则供外部访客使用,绑定在“Guest”实例中。未绑定实例的区域被定义为公共区域,用于与出口路由器X_Export1和X_Export2的连接。通过这种VPN实例的划分方式,我们实现了内部与外部数据的有效隔离。
3) DHCP服务。核心层为所有有线和无线业务网段提供DHCP服务。在核心层,我们需要为每个VLAN网段创建相应的DHCP地址池,并将这些IP地址池绑定到对应的VPN实例中。提供DHCP服务的接口应选择全局模式。
4) 数据互联。核心层作为整个网络的数据中心,根据业务需求,我们设置了相应的访问策略,确保数据在汇聚层、防火墙、数据中心、网络出口以及无线控制器AC之间的高效传输。核心层与各个设备之间通过VLAN进行互联。具体的互联VLAN及IP地址划分详见表3。
5) 敏感访问操作通过防火墙转发。由于无线业务暴露于外部空间,存在被黑客破解的风险。为了保障数据中心的安全,需降低无线业务的访问权限。当无线业务需要访问数据中心时,必须先将无线流量转发至防火墙进行过滤,只有满足访问策略的数据才能进行数据访问。
内部无线访问数据中心网段数据绕防火墙转发:使用ACL(访问控制列表)匹配源IP地址为内部无线网段,目的IP地址为数据中心网段。匹配完成后,在VLANIF 51-55接口进行重定向,将下一跳IP地址指向防火墙。
数据中心网段返回内部无线网段绕防火墙转发:使用ACL匹配源IP地址为数据中心网段,目的IP地址为内部无线网段。匹配完成后,在VLANIF 60接口进行重定向,将下一跳IP地址指向防火墙。
由于外部无线已绑定在Guest實例,而数据中心网段绑定在Employee实例,两者之间数据已形成隔离,因此无需对外部无线网段进行数据的重定向[2]。
2.4 无线AC控制器部署
AC使用隧道模式管理无线AP,VLAN 100作为管理VLAN。核心层、汇聚层和接入层交换机链路需要放行VLAN 100,以确保AC到AP之间的管理隧道畅通[3]。
分别创建Employee(51-55) 和Guest(101-105) VLAN池,并将VAP配置文件绑定到对应的VLAN地址池。
2.5 防火墙部署
由于核心设备存在Employee和Guest两个VPN实例,防火墙也需要相应创建两个虚拟防火墙。一个虚拟防火墙(Employee) 负责接收有线业务和内部无线业务数据,另一个虚拟防火墙(Guest) 负责接收外部无线业务数据。通过虚拟防火墙,我们可以为不同业务的数据设置不同的访问权限。
2.6 园区网内部OSPF多进程多区域路由设计
鉴于园区网内存在Public、Employee和Guest三种相互隔离的流量,我们设计了基于多进程多区域的OSPF路由来解决流量间的数据隔离问题。Public区域的网段使用OSPF进程1,Employee区域的网段使用OSPF进程2,Guest区域的网段使用OSPF进程3。具体的区域划分详如表4所示。
核心T1_Core上的OSPF邻居关系如图2所示。
2.7 业务随行部署
为了满足业务随行的需求,在接入层,流量默认通过设备VLAN 1进行传输。而在汇聚层设备中,会启动RADIUS协议准入认证。汇聚层通过RADIUS协议与数据中心的认证系统进行AAA准入认证,通过认证的用户可以享受设备上线、使用计时和计费等功能[4]。后台系统根据准入认证的账号,为用户分配相应的IP地址和业务资源组访问权限,从而有效杜绝非法接入。对于合法接入的认证用户,系统能够实现用户角色和网络资源访问权限的精准分配,确保关键敏感数据不受非法访问。此外,设备接入不受地点限制,实现了业务随行。采购部通过准入认证的流程如图3所示。
3 总结与展望
本文提出了一种在复杂智慧园区网络环境下,基于RADIUS认证实现网络业务随行的设计方案。在核心层设备中,采用VPN实例方式隔离内部员工流量和外部访客流量。用户访问资源由防火墙安全策略进行控制,从而确保了一定的网络安全与防护。鉴于当前网络安全面临的多样化威胁和严峻形势,单一手段难以实现理想的防护效果。因此,需要综合运用多种技术手段,以构建更为有效的网络安全防范措施[5]。
参考文献:
[1] 钟机灵,刘朝阳.高校无线网络与有线网络有机融合建设研究[J].信息通信,2020(7):67-69.
[2] 马峥,张锐.校园无线网络优化方法研究与实践[J].信息技术与信息化,2021(3):182-184.
[3] 沈劲桐.校园WLAN网络优化研究与应用[J].中国新通信,2020,22(13):109-110.
[4] 赵志平.网络准入控制技术在企业中的应用分析[J].科技创新与应用,2018(35):185-186.
[5] 莫新建.网络安全等级保护建设探索[J].网络安全技术与应用,2020(5):10-11.
【通联编辑:代影】