APP下载

智能广域网在大型企业网络建设中的应用

2018-05-14王立平姚程宽卢灿举伍光辉程跃

成都工业学院学报 2018年2期
关键词:大型企业局域网

王立平 姚程宽 卢灿举 伍光辉 程跃

(1.安庆医药高等专科学校 公共基础部,安徽 安庆 246003;2.国防科技大学 电子对抗学院,合肥 230037;

3.安徽风云网络科技有限公司,合肥 230026)

摘要:基于智能广域网技术,建设了一个有400多个分支机构的企业网络,并采用了不同的技术,解决了智能广域网的多个涉及安全性和稳定性的问题。实践结果表明:智能广域网技术能够满足企业网络安全性高,易于扩充和维护的要求,且具有较好的用户体验感。

关键词:虚拟专用网络;大型企业;动态多点虚拟局域网;广域网;智能广域网;局域网

中图分类号:TN915.0 文献标志码:A

文章编号:2095-5383(2018)02-0043-03

Failure Analysis and Improved Method of Dial Bore Gage

WANG Liping1, YAO Chengkuan1, LU Canju2, WU Guanghui3, CHENG Yue3

(1.Department of Common Basic, Anqing Medical and Pharamaceutical College, Anqing 246003, China; 2.College of Electronic Countermeasures, National University of Defense Technology, Hefei 230027, China; 3.Anhui Fengyun Network Technology co. LTD., Hefei 230026, China)

Abstract:Based on IWAN, an enterprise network with more than 400 branches was built in paper. Different technologies adopted to solve the problems of security and stability of IWAN. The practical results show that IWAN can meet the safety requirements of enterprise network and be easy to expand and maintain. Moreover, the user experience also makes the IWAN technology become the development direction of modern enterprise network construction.

Keywords: Virtual Private Network (VPN); large enterprise;DMVPN; WAN; IWAN; LAN

大型企业的网络建设方案大都采用了虚拟专用网络(Virtual Private Network, VPN),随着企业内部子网的增加和应用需求的增多,所需的网络设备和数据备份设备也会相应增多。如果没有科学的规划,这些设备不仅造成购买和维护成本的增加,同时也会带来使用上的负担,比如接入网络的设备越多对带宽的需求就越大,从用户体验的角度看就是网速越来越慢[1-2]。智能广域网技术(IWAN)是一种新的组网方式,它可以在网络带宽不变的情况下,构建架构开放、编程灵活和易于扩展和维护的广域网,从而实现企业内部各节点之间高效的数据传输。

安徽省盐业总公司是隶属于安徽省国资委的大型国有企业,有17家市级盐业公司,71家县级公司。从1999年开始,安徽省盐业公司借助于ISP骨干网络的专用链路建立了以VPN为纽带的企业局域网,并在此基础上运行了企业内部的ERP、OA等若干个管理系统。随着业务的高速增长,现有的网络带宽难以满足工作的需求,且计划增加400多家乡镇级分支机构,这会对网络带宽及网络运营成本提出了更大的挑战。为了能够找到比ISP专用链路成本更低,且能保障安全性、可用性,并使得分支机构的成本较低的网络架构方案,最终采用了智能广域网的解决方案[3-4]。

1 智能广域网的架构

传统的大型企业总部与分支机构的网络连接如图1所示,分支机构与分支机构之间,分支机构与总部之间的数据链路为专用链路,如VPN等,而与互联网相连接的出口在一般在总部。在图1的网络架构中,网络的安全访问控制措施都在总部部署和实施。由于是专用链路,也就是私有链路,因此要为链路的使用付出较高的成本。对于企业的长期经营而言,降低企业的网络成本就是寻求改进和提升的目标和动力。为此,提出基于智能广域网的建设方案,其网络架构如图2所示。

在图2中,基于智能广域网来构建企业局域网,分支机构的流量通过虚拟的VPN通道传递到总公司,也就是说可以采用相同的安全架构,同时还可以得益于智能广域网的额外传输和边缘安全等優点[5-6]。智能广域网的优点有:1)独立于传输的连接。智能广域网可以覆盖已有的VPN或DMVPN(动态多点虚拟局域网),并建立了一个带有路由搜索功能的网络,能够连接不同类型的局域网,并在不改变网络架构的环境中增加新的网络连接或者更改已有的网络连接。2)智能路径选择。智能广域网借助高性能路由器以及网络加速设备,平衡网络负载,充分利用可用带宽,使得业务数据能够快速、高效传递给企业内部和外部的用户。智能路径传输是建立智能广域网的关键。3)优化应用。Http使得80端口和众多的端口不断重复使用,使得应用变得不透明,静态端口的使用不能满足需求。智能广域网通过对数据包的深度检测,确定应用的性能,保证关键应用有适度的优先权或提供应用加速,在降低响应时间的同时降低对带宽的占用。4)安全连接。智能广域网通过各种防火墙和安全访问控制策略保证了连接的安全可靠,从而实现用户的流量保护。

由于分支机构直接接入互联网,分支机构会面临互联网的攻击和漏洞危害,主要有4个方面的安全问题:1)网络隔离;2)数据保密性和完整性;3)入侵和攻击防御;4)防数据泄露。如何解决上述问题就是构建智能广域网的主要工作。

2 主要问题的解决方案

2.1 网络隔离

将网络分隔,检测它们之间的流量传输,确保子网之间没有流量泄漏。本文的IWAN解决方案中,WAN到LAN的隔离是通过使用VRF实现,而内部子网隔离是通过基于区域的防火墙软件实现。

2.1.1 WAN到LAN隔离

内网与外网隔离的目的是确保对内网访问的安全性,同时有效控制意外流量泄露。由于运营商和企业使用各自独立的IP路由和编址方案,如果在分支路由器上混合使用这些方案,易造成数据包意外转发到错误的路由和网络,导致网络故障,甚至造成数据泄密。内网和外网的隔离采用虚拟路由转发技术(VFR),VFR通过定义虚拟路由域,复制自己的路由协议和转发规则,从而将其作为自己的虚拟路由器,该方法可以消除路由攻击,减少内网和外网的IP冲突,降低内网流量外泄[7-8]。

2.1.2 LAN中的子网隔离

内网可以根据区域、业务类型划分成若干子网。子网隔离的目的是建立不同的网络安全区域,以便用相应的安全访问控制策略限制区域间的访问。在基于区域的防火墙中,一个接入点只能属于一个区域,每个接入点都被定义成某个安全区域的成员,同一区域中的数据传输不受限制。不同区域间数据传输需要制定策略,确保安全的跨区域访问[9-10]。

2.2 数据保密性和完整性

在智能廣域网的架构中,各个分支机构都直接接入互联网,如果没有必要的措施,容易导致网络窃听、数据包劫持等安全问题。在每个子网与互联网的接口处采用数字证书的公共密钥基础设施(PKI)。PKI是一个具备较高安全性能的控制机制,专门用来对VPN对等体进行身份的验证。针对未经授权的设备伪装成VPN对等体,PKI能够识别准确识别,同时消除第三方攻击。

同时为了提高网络的安全性能,需要建设并维护企业自己的证书服务器,在向子网路由器授权安全证书时,要严格遵循证书颁发策略。严格的证书管理制度能提高路由器的抗干扰能力[11-12]。

2.3 入侵和攻击防御

子网通过路由器接入外网后,就会直接受到攻击和入侵尝试。这些攻击和入侵会导致路由器性能下降甚至瘫痪,并进一步感染连接到路由器的其他设备[13-14]。可以从两个方面来预防此类攻击。

2.3.1 路由器安全保护

来自外部和内部的攻击都会导致路由器性能下降,甚至完全控制了路由器,对于路由器的保护采用以下方法:

1)停止不必要的侦听端口,如HTTP等,避免这些端口被获取访问权限从而导致路由器瘫痪。

2)关闭纯文本接入模式,如Telnet。

3)在必要的接入点,开启身份接入验证。

4)对接入的子网数量进行控制。

2.3.2 流量控制

分支机构的子网在接入外网后,路由器和有其连接的子网都需要保护,而对子网保护的一种有效方法就是流量控制。流量控制就是将广域网接口的进入流量限制为仅为VPN的控制流量,也就是IPsec IKE流量。同时,要允许来自重要设备和网络的管理流量进入网络,如ICMP协议、DHCP协议和NTP协议等。除此之外,禁止一切外部访问。

通过流量控制,基本能阻止恶意流量的入侵,而让来自指定IP的VPN流量和管理流量进入子网。

2.4 防数据泄露

智能广域网中,需要针对数据泄露增加解决方案,本文采用了DLP(Data leakage prevention)解决方案,其核心思想是设立中心站点,分支机构的数据流达到外网的唯一通道是通过中心站点,不允许分支机构有直接接入外网的流量,防止重要信息被有意或无意传到组织之外[15-16]。

3 应用效果

安徽省盐业公司以本文的构建方法建设了包含400多个分支机构的智能广域网,实现了对全网的统一监控,保障了安全生产,优化了网络资源,具体体现在:1)网络的安全运行保障了业务的顺利开展,网络的整体可用性大大提高,故障率也明显降低。2)网络运行成本大大降低,相比较使用传统链路的VPN方式,向运营商(ISP)所支付的链路费用每年降低200多万元(400多个分支机构)。3)由于智能广域网具有智能路径选择的优点,带宽利用率大幅提升,用户体验感增强,尤其是对外网的应用,比如浏览网页,看视频等,网速明显提升。4)智能广域网可以对网络运行质量进行量化考核,从而提升网络的管理水平和服务水平。

4 总结与展望

在大型企业的网络建设和管理中,面临多分支机构、多业务融合、复杂的流量和多变的流向,对网络的承载能力、保障能力等提出了新的挑战。本文在探索研究网络前沿技术的基础上,集成了多个厂商的多个技术,规划和建设了具有适应性高、安全性高、架构开放、易于扩展、且使用成本低的智能广域网。未来,大型企业的网络规划和建设应该遵循“技术可行,经济合理”的基本原则,以促使智能广域网技术得以更广泛地应用。

参考文献:

[1]

陶志勇,王如龙,张锦.面向集成的VPN构建策略[J].计算机系统应用,2014(4):2328.

[2]

李智宏.VPN技术在局域网中的应用[J].电子测试,2016(11):6869,46.

[3]

童样,张水平,李有峰, 等.基于MPLS的VPN互访技术[J].计算机工程与设计, 2014(9): 30183023.

[4]

任治洪.中国石油广域网智能管理系统设计与实现[D].成都:电子科技大学,2011.

[5]

李淑英.大型企业数据中心网络设计与应用[J].山东冶金,2016(1):5455,60.

[6]

陈遥,杜知名.双中心双云的DM VPN设计[J].南京信息工程大学学报,2016(2):170174.

[7]

蒋华,李康康,胡荣磊.一种基于strong Swan的IPSec VPN网关的实现[J].计算机应用与软件,2017(7):7984.

[8]

王广泽,汪鹏,罗智勇, 等.一种MPLS VPN的分散校区图书馆教育网组建模型[J].哈尔滨理工大学学报,2017(3):3135.

[9]

吕承民,谢永强,李武, 等.VPN网络设计及性能分析[J].贵州师范大学学报(自然科学版), 2014(1):8185.

[10]

解灵运.大型企业信息网络规划研究[J].电脑与电信,2013(7):3335,38.

[11]

董旭源,常鹏,王宝亮, 等.校园网MPLS VPN系统的设计研究[J].计算机应用与软件,2017(10):209213.

[12]

赵炯,林旺城,洪翔,等.大型企业信息化网络设计方案研究[J].制造业自动化, 2010(8): 3134,69.

[13]

杨明亚,杨颖洁. 基于VRML的虚拟现实研究[J]. 唐山师范学院学报,2013(2):5052.

[14]

陶骏,匡磊,徐旺, 等.基于MPLS VPN和MSDP的跨域组播网络设计[J].计算机科学,2017(z1):263265,287.

[15]

卢绮雯.银行三级广域网的发展趋势及建设[J].华南金融电脑,2008(6):58.

[16]

吉诚.企业级网络设计方案的规划与测试[D].上海:上海交通大学,2008.

猜你喜欢

大型企业局域网
计算机局域网组建及管理探讨
用无线路由器共享单位局域网
浅谈当代大型企业财务管理工作创新思路
浅谈新时期大型企业武装工作思路
对新时期大型企业基层党组织建设工作的思考
如何利用财务共享信息系统提升大型企业的管理
本期导读
局域网存在的安全隐患及其防治策略