引言： 为了保障内网可靠稳定运转，并统筹考虑内网业务的安全性，实现内网业务彻底与其他网络混用的局面,需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输，采用新的三层数据互联。在很大程度上杜绝了ARP攻击、IP地址冲突等问题，

方案实施背景

最近为了规范BOSS运营支持系统、基站视频监控和光传输设备管理（以下简称内网）等业务的使用，保障其高可靠稳定运转，并统筹考虑内网业务安全性，实现内网业务彻底与其他网络混用的局面,需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输，采用新的三层数据互联。这样做的好处是每个县公司处于同一局域网中，县公司内网与市公司使用动态路由互联，有效隔离广播域，在很大程度上杜绝了ARP攻击、IP地址冲突等问题，该方案实施后，将对县公司的内网使用提出了更高的要求，主要是达到内网业务和互联网、专线业务的物理隔离标准。

具体方案

1.网络拓扑结构

根据方案的背景资料，我们首先介绍一下现有市至县内网组网拓扑结构，这里的市至县OTN环网作为数据业务的透明传输不在示意图中体现，如图1所示。如我们可以看到在内网的最上层使用Juniper防火墙和省公司互联，然后使用烽火交换机作为业务汇聚，该交换机承载BOSS、CA服务器等业务，其中CA业务是由Cisco 3550交换机承载，在烽火交换机将内网业务汇聚后，分别连接城区和县市区内网业务。目前各交换机采用二层互联，即VLAN透传。这样整个网络就在一个较大的广播域中，一个县市区出现问题会影响到整个市的网络，既不利于业务的长期发展，又不利于网络安全的防护。

针对当前的网络现状和劣势，新的组网方案是在市公司部署一台三层交换机作为内网业务的核心，然后依托市至县OTN网络将业务传输至县公司，然后在每个县市区部署一台三层交换机作为业务的汇聚，其中BOSS和基站监控等业务的网关在交换机上创建。网络优化升级后的具体拓扑结构如图2所示。

我们定义BOSS业务VLAN562、基站监控VLAN564和光传输管理VLAN566这三个VLAN均终结到县公司汇聚交换机处，县公司内网业务和市公司内网业务互联使用OSPF协议，县公司内网业务的部署（例如乡镇或者城区营业厅）使用交换机和收发器传输，严格做到物理隔离。

2.网络设备配置

完成网络拓扑升级前后的对比后，接下来就是根据网络需求对设备进行配置。在最上层防火墙需要做的工作是配置和核心交换机的互联地址、基于端口的NAT和回指到核心交换机的路由。Cisco交换上设备的配置和核心交换机的互联地址、启用OSPF协议并宣告CA和互联地址网段，防火墙和Cisco交换机的配置这里就不在详细介绍，这里具体介绍一下核心和汇聚交换机的配置，其配置主要分为三部分，即创建VLAN、配置接口IP地址和使能OSPF协议。

图1 现有内网网络结构

核心交换机配置：

//配置端口IP地址，定义该端口连接juniper防火墙

inter face GigabitEthernet2/0/1

//进入接口

undo portswitch

//使能端口路由功能

ip address 10.223.0.2 255.255.255.252

//配置端口IP地址，定义该端口连接CISCO交换机即CA服务器

inter face GigabitEthernet1/0/1

//进入端口

undo portswitch

//使能端口路由功能

ip address 10.239.14.5 255.255.255.252

//配置端口IP地址，定义该端口连接兖州汇聚交换机

ip route-static 9.0.0.0 255.0.0.0 10.223.0.5

//定义指向防火墙的静态路由

图2 升级后网络拓扑图

ospf 1

//启用OSPF协议

import-route static

// 引入静态路由area 0.0.0.0

//定义OSPF域名

network 10.223.0.0 0.0.0.3

//宣告连接cisco交换机的网段

network 10.223.0.4 0.0.0.3

//宣告连接防火墙的网段

network 10.239.14.0 0.0.0.255

//宣告连接县市区交换机的网段

上面我们主要介绍了核心交换机的配置，核心思路是打通核心交换机至防火墙和cisco交换机的数据链路，接下来以兖州为例介绍一下县区汇聚层交换机的配置。

汇聚层交换机的配置：

inter face GigabitEthernet0/0/25

//进入端口

combo-port copper

//定义端口模式为电口

port link-type access

//定义端口模式

port default vlan 562

//定义端口VLA

inter face GigabitEthernet0/0/24

//进入端口

undo portswitch

//使能端口路由模式

ip address 10.239.14.6 255.255.255.252

//配置端口IP地址，定义该端口连接市公司核心交换机

ospf 1

//启用OSPF协议

area 0.0.0.0

//定义OSPF域名

network 10.239.2.0 0.0.0.255

//宣告BOSS内网网段

network 10.239.14.4 0.0.0.3

//宣告与市公司互联网段

上面做的工作的是创建VLAN，并定义VLAN的地址，设置和市公司核心交换机的互联网段，并启用OSPF协议，最后在OSPF协议中宣告所需网段。经过在兖州交换机的端口0/0/25进行网络验证，是可以访问BOSS的服务器，这样我们就以兖州为例完成了整个网络的配置。相同的配置方法可以实现其他县市区内网数据的通达，这里就不再一一介绍。

总结

上面我们通过对现有网络结构的综合分析，得出网络中存在弊端和劣势。并提出网络的优化升级方案。依据网络物理隔离、业务分开、网关终结至本地的原则对网络进行了拓扑优化，又以兖州为例详细介绍了交换机的配置，通过对网络的验证网络是可达的，从而满足了网络的整体需求。后期针对内部网络中存在CA服务器等核心数据单元，我们又在现有路由的基础上应用了路由策略，有效的防范了核心服务器路由的全网通达，在一定的程度上降低了网络入侵的风险，同时做到了交换机的远程和本地登录密码的定期更换，从而维护了网络的和谐稳定。