索育江

（哈尔滨铁路局 信息技术所， 牡丹江 157000）

交换机配防火墙插卡在地区网络汇聚点的安装使用

索育江

（哈尔滨铁路局 信息技术所， 牡丹江 157000）

本文通过介绍网络在铁路运输生产中的重要性及安全性问题，提出在铁路局所属地区网络汇聚点安装网络防火墙的必要性。重点介绍交换机配防火墙插卡的主要性能及其在地区网络汇聚点的安装配置方法。

防火墙； 安全域；端口；汇聚点

随着计算机网络技术的迅猛发展，铁路运输生产组织也越来越离不开网络系统。发达的网络系统，使得行车调度指挥、客货运输、自动化办公等，变得更加方便灵活和高效便捷。可以说，网络的发展提升了铁路运输企业的生产效率，方便了广大货主和旅客，实现了经济效益和社会效益的双赢。同时，伴随着网络应用的普及，各种网络病毒，网络攻击也充斥于网络之上，其危害不容小视。对于铁路局下属的地区网络中心来说，是一个地区网络汇聚点，承担着承上启下的作用，是近百个站段的枢纽。一旦受到攻击破坏，将直接影响到铁路的运输生产安全。因此，需要采取必要、可靠的防范措施，防止这种情况的发生。在各种防范措施中，在网络中安装性能强大的防火墙是一个行之有效的方法。

1 地区中心机房安装防火墙的必要性

地区网络汇聚点分别连接上级网络、下级网络、本地生产网和本地办公网4个方向。其中，上级网络、本地生产网有大量的与生产项目相关的服务器和数据库系统，需要重点保护，绝对不能受到攻击破坏。而下级网络和本地办公网系统，由于安全防范方面不易控制，容易感染病毒或木马，所以需要设置防火墙将它们分隔开来。

2 交换机配防火墙插卡性能特点

在对原有的网络拓扑结构尽可能改动较小的前提下，选择以太网交换机配防火墙插卡的方案。通过防火墙插卡，用户可灵活、迅速地在主网络设备（以太网交换机) 中整合防火墙等安全功能，实现网络和安全防护的高度一体化。

该设备的防火墙插卡已经完全实现了三层网络设备的转发机制，这使得防火墙可以极灵活地应用在多层交换网络中，同时又提供了丰富的安全特性，为用户网络提供安全保护。将主网络设备的转发和业务处理有机融合在一起，实现主网络设备高性能数据转发的同时，能够根据组网的特点处理安全业务，实现安全防护和监控。该防火墙插卡对外提供2个GE接口和2个GE Combo 接口，用于双机热备及设备的管理与维护；通过内部的高速10 G以太接口与主网络设备相连。防火墙插卡可以插在主网络设备上的多个槽位，并且在一台主网络设备上可插入多块防火墙插卡进行性能扩展。

3 方案设计

3.1 防火墙安全域划分管理

防火墙通过围绕安全域来配置安全策略。安全管理员将安全需求相同的接口进行分类（划分到不同的区域），从而实现策略的分层管理。

安全域配置思路：上级网络和本地生产网属于可信任网络，可以自由访问下级网络和本地办公网。所以将上级网络和本地生产网部署在优先级相对较高的L区域和S区域。下级网络可信任程度相对较低，可以将下级网络部署在优先级相对较低的Z区域。本地办公网可信任程度最低，可以将本地办公网部署在优先级最低的B区域。域和域之间互访，使用不同的安全策略加以限制。

3.2 网络结构设计及端口规划

该交换机配置了一块48端口千兆以太网电接口业务模板，有多个槽位可供插卡，如果插在n号槽位上，端口编号即为GigabitEthernet n/0/1至GigabitEthernet n/0/48。同样，防火墙插卡也可以任意插，由于防火墙插卡是通过内部的高速10 G以太接口与主网络设备相连，如果插在交换机的m号槽位上，在交换机上对应的端口号即为Ten-GigabitEthernet m/0/1。在防火墙上对应端口一般为Ten-GigabitEthernet 0/0。

端口规划思路：可以将传输重要数据的端口采用端口聚合技术，比如：将端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21聚合，连接到对下级网络的路由器A上，用来传送下级网络和上级网络间数据。将端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23聚合，连接到对下级网络的路由器A上，用来传送下级网络和本地办公网间数据。将端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25聚合，连接到本地办公网的另一台交换机（交换机A）上，用于传送交换机A上的用户数据，如图1所示。通过这样的聚合，既增加了带宽又增强了可靠性。

图1 端口聚合技术

网关设置思路：上级网络、下级网络、本地生产网（Z域、L域、S域）间的数据交换事关生产安全，要经过严格控制，所以必须要经过防火墙。凡是经过交换机端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21、端口GigabitEthernet n/0/26、端口GigabitEthernet n/0/27进入交换机的数据流，必须要先访问防火墙插卡，其网关设在防火墙上；经过端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23进入交换机的数据流都是访问本地办公网的，不必经过防火墙，其网关设在交换机上；经过端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25进入交换机的数据流分两种情况：（1）交换机上的本地办公网用户访问下级网络的和本地办公网用户之间互访的，可以直接在交换机上交换，不必经过防火墙，其网关设在交换机上。（2）本地办公网用户访问上级网络、下级网络、本地生产网的数据流，必须要先访问防火墙，其下一跳要设在防火墙上。这样既保证了重要数据流被防火墙保护，又减轻了防火墙的负担。

3.3 配置步骤

3.3.1 交换机配置

思路：将交换机的端口GigabitEthernet n/0/20、GigabitEthernet n/0/21（同一个vlan aa）、Gigabit-Ethernet n/0/22、GigabitEthernet n/0/23（同一个vlan）、GigabitEthernett n/0/26（vlan bb）、GigabitEthernet n/0/27(vlan cc)均设为Access 类型，分别划到不同的VLAN中。端口GigabitEthernett n/0/24和端口GigabitEthernet n/0/25设为trunk类型。交换机的端口Ten-GigabitEthernet m/0/1设为Trunk类型。具体步骤如下：

（1）创建聚合组，设置VLAN

（2）将端口分别分配到不同的聚合组中，设置VLAN

（3）配置端口Ten-GE m/0/1 工作在Trunk 模式下，允许上述VLAN 通过

3.3.2 防火墙配置

思路：防 火 墙 插 卡上的端口Ten-Gigabit-Ethernet 0/0工作在路由模式下， 配置4个子接口，分别为：Ten-GigabitEthernet aa、Ten-GigabitEthernet bb、Ten-GigabitEthernet cc 和Ten-GigabitEthernet dd，4个子接口的封装格式为dot1q，分别与交换机的VLANaa、VLANbb、VLANcc和VLANdd相关联。将 Ten-GigabitEthernet 0/0 的4个子接口分别添加到安全域S、B、L、Z中。具体步骤如下：

（1）配置Ten-GE xx 工作在路由模式下

（2）创建Ten-Gigabit-Ethernet 0/0 的4个子接口，与交换机VLAN关联,并配置子接口的IP 地址

（3）部署安全域，分别将每个子接口添加到不同地域中

进入WEB管理界面，选择“设备管理 ＞ 安全域”，编辑安全域，将子接口加入。也可以用命令行方式如下：

3.3.3 防火墙安全规则的配置

完成端口配置后，要给防火墙配置安全规则，可以通过图形界面和字符界面设置。配置完成后，防火墙就可以发挥功能了。

4 结束语

通过一段时间的运行使用，防火墙的作用得到了很好的体现，达到了预期的效果，成为地区网络中心不可或缺的重要一环。在保护网络免受病毒感染和黑客恶意攻击中，起到了重要的作用。保证了站段、铁路局生产、办公网络间的信息安全畅通。

责任编辑 陈 蓉

Switch with frewall card installed in regional network convergence

SUO Yujiang
( Institute of Information Technology,Harbin Railway Administration,Mudanjiang 157000,China)

This article introduced the importance and security problems of network in railway transportation production,presented the necessity of installing network firewall in the regional network convergence of railway administration,introduced the main performance of the switch with a frewall card,explained the installation and confguration method for the card in the convergence in detail.

frewall;security domain;port;convergence

U29：TP39

A

1005-8451（2016）04-0049-03

2015-10-10

索育江，高级工程师。