APP下载

内网优化升级方案

2016-11-26

网络安全和信息化 2016年11期
关键词:网段IP地址交换机

引言: 为了保障内网可靠稳定运转,并统筹考虑内网业务的安全性,实现内网业务彻底与其他网络混用的局面,需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输,采用新的三层数据互联。在很大程度上杜绝了ARP攻击、IP地址冲突等问题,

方案实施背景

最近为了规范BOSS运营支持系统、基站视频监控和光传输设备管理(以下简称内网)等业务的使用,保障其高可靠稳定运转,并统筹考虑内网业务安全性,实现内网业务彻底与其他网络混用的局面,需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输,采用新的三层数据互联。这样做的好处是每个县公司处于同一局域网中,县公司内网与市公司使用动态路由互联,有效隔离广播域,在很大程度上杜绝了ARP攻击、IP地址冲突等问题,该方案实施后,将对县公司的内网使用提出了更高的要求,主要是达到内网业务和互联网、专线业务的物理隔离标准。

具体方案

1.网络拓扑结构

根据方案的背景资料,我们首先介绍一下现有市至县内网组网拓扑结构,这里的市至县OTN环网作为数据业务的透明传输不在示意图中体现,如图1所示。如我们可以看到在内网的最上层使用Juniper防火墙和省公司互联,然后使用烽火交换机作为业务汇聚,该交换机承载BOSS、CA服务器等业务,其中CA业务是由Cisco 3550交换机承载,在烽火交换机将内网业务汇聚后,分别连接城区和县市区内网业务。目前各交换机采用二层互联,即VLAN透传。这样整个网络就在一个较大的广播域中,一个县市区出现问题会影响到整个市的网络,既不利于业务的长期发展,又不利于网络安全的防护。

针对当前的网络现状和劣势,新的组网方案是在市公司部署一台三层交换机作为内网业务的核心,然后依托市至县OTN网络将业务传输至县公司,然后在每个县市区部署一台三层交换机作为业务的汇聚,其中BOSS和基站监控等业务的网关在交换机上创建。网络优化升级后的具体拓扑结构如图2所示。

我们定义BOSS业务VLAN562、基站监控VLAN564和光传输管理VLAN566这三个VLAN均终结到县公司汇聚交换机处,县公司内网业务和市公司内网业务互联使用OSPF协议,县公司内网业务的部署(例如乡镇或者城区营业厅)使用交换机和收发器传输,严格做到物理隔离。

2.网络设备配置

完成网络拓扑升级前后的对比后,接下来就是根据网络需求对设备进行配置。在最上层防火墙需要做的工作是配置和核心交换机的互联地址、基于端口的NAT和回指到核心交换机的路由。Cisco交换上设备的配置和核心交换机的互联地址、启用OSPF协议并宣告CA和互联地址网段,防火墙和Cisco交换机的配置这里就不在详细介绍,这里具体介绍一下核心和汇聚交换机的配置,其配置主要分为三部分,即创建VLAN、配置接口IP地址和使能OSPF协议。

图1 现有内网网络结构

核心交换机配置:

//配置端口IP地址,定义该端口连接juniper防火墙

inter face GigabitEthernet2/0/1

//进入接口

undo portswitch

//使能端口路由功能

ip address 10.223.0.2 255.255.255.252

//配置端口IP地址,定义该端口连接CISCO交换机即CA服务器

inter face GigabitEthernet1/0/1

//进入端口

undo portswitch

//使能端口路由功能

ip address 10.239.14.5 255.255.255.252

//配置端口IP地址,定义该端口连接兖州汇聚交换机

ip route-static 9.0.0.0 255.0.0.0 10.223.0.5

//定义指向防火墙的静态路由

图2 升级后网络拓扑图

ospf 1

//启用OSPF协议

import-route static

// 引入静态路由area 0.0.0.0

//定义OSPF域名

network 10.223.0.0 0.0.0.3

//宣告连接cisco交换机的网段

network 10.223.0.4 0.0.0.3

//宣告连接防火墙的网段

network 10.239.14.0 0.0.0.255

//宣告连接县市区交换机的网段

上面我们主要介绍了核心交换机的配置,核心思路是打通核心交换机至防火墙和cisco交换机的数据链路,接下来以兖州为例介绍一下县区汇聚层交换机的配置。

汇聚层交换机的配置:

inter face GigabitEthernet0/0/25

//进入端口

combo-port copper

//定义端口模式为电口

port link-type access

//定义端口模式

port default vlan 562

//定义端口VLA

inter face GigabitEthernet0/0/24

//进入端口

undo portswitch

//使能端口路由模式

ip address 10.239.14.6 255.255.255.252

//配置端口IP地址,定义该端口连接市公司核心交换机

ospf 1

//启用OSPF协议

area 0.0.0.0

//定义OSPF域名

network 10.239.2.0 0.0.0.255

//宣告BOSS内网网段

network 10.239.14.4 0.0.0.3

//宣告与市公司互联网段

上面做的工作的是创建VLAN,并定义VLAN的地址,设置和市公司核心交换机的互联网段,并启用OSPF协议,最后在OSPF协议中宣告所需网段。经过在兖州交换机的端口0/0/25进行网络验证,是可以访问BOSS的服务器,这样我们就以兖州为例完成了整个网络的配置。相同的配置方法可以实现其他县市区内网数据的通达,这里就不再一一介绍。

总结

上面我们通过对现有网络结构的综合分析,得出网络中存在弊端和劣势。并提出网络的优化升级方案。依据网络物理隔离、业务分开、网关终结至本地的原则对网络进行了拓扑优化,又以兖州为例详细介绍了交换机的配置,通过对网络的验证网络是可达的,从而满足了网络的整体需求。后期针对内部网络中存在CA服务器等核心数据单元,我们又在现有路由的基础上应用了路由策略,有效的防范了核心服务器路由的全网通达,在一定的程度上降低了网络入侵的风险,同时做到了交换机的远程和本地登录密码的定期更换,从而维护了网络的和谐稳定。

猜你喜欢

网段IP地址交换机
铁路远动系统几种组网方式IP地址的申请和设置
单位遭遇蠕虫类病毒攻击
可变编组动车组制动系统TCN网络信号传输需求研究*
基于地铁交换机电源设计思考
网上邻居跨网段访问故障
修复损坏的交换机NOS
IP地址切换器(IPCFG)
使用链路聚合进行交换机互联
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考