远程监控系统核心网络架构分析与优化

2020-06-11

视听 2020年3期

（广西广播电视无线传播枢纽台）

一、引言

随着信息化事业的迅猛发展，越来越多中小型企事业单位信息系统对网络资源提出了更高的要求，如何更好地优化现有网络资源已成为运维工作关注的重点。全区无线发射台站远程监控系统核心网络承载了信息系统所有业务的流量，对远程监控业务的健康运行起着至关重要的作用。本文以该套网络系统为例，对其展开分析、优化。

二、需求分析

核心网络的优化需根据具体业务需求，从安全性、可靠性、高效性几个角度出发，分析现有网络存在的劣势，为新架构设计提供目标。

（一）缺少冗余链路

现有网络结构的核心交换机、路由器存在单机运行的情况，如图1所示，原网络架构中缺少必要的在线冗余链路作为保障，容易因单点故障，造成核心业务中断。

（二）缺乏负载均衡机制

由于主要业务缺乏冗余链路，无法实现负载分担。当突发流量过大时，核心区域设备容易因过载无法快速完成转发任务，造成网络丢包、延时，从而给信息系统用户带来负面体验。

（三）区域划分不明确

图1 网络拓扑图

现有的核心网络划分为核心区域、服务器区域、终端区域、运维区域，存在区域划分重叠和混淆的问题。一方面，服务器区域同时存在承载业务系统的服务器设备和安全设备，给运维工作造成不便，同时也不利于安全策略的应用。另一方面，现有网络架构边界划分不明确，有部分边界网络直接接入核心交换设备。而外部二层网络的直接接入，使核心网络容易受到复杂二层网络环境带来的冲击，也给一系列二层网络攻击创造了可能。

（四）安全机制欠缺

现有网络各交换机空闲端口处于开放状态，同时，缺少设备准入机制，缺乏IP地址欺骗攻击防御手段，为攻击者提供了可乘之机，给执法者溯源造成了困难。此外，区域间缺少相应的访问安全策略，使木马、病毒通过高危端口扩散成为可能。

三、规划设计

根据需求分析，核心网络架构主要从以下几个方面进行优化。

（一）网络结构规划

1.备份链路设计

为避免主要业务链路出现单节点，在原有结构基础上增加一台核心交换机和路由器。如图1所示，路由器和核心交换机间采用交叉上联的方式接线，以降低双节点故障风险。确保多路径的开销值一致，以实现远程监控业务链路负载均衡。

2.区域划分

新的网络结构区域划分如图1所示。将原服务器区域切割成服务器区和安全区，同时明确边界区域，将所有边界网络由边界防火墙接入，多个其它业务用trunk方式上连至核心交换机，以VLAN标签区分不同业务流量。为避免外部二层网络接入核心交换机，上连接口须配置成三层以太网接口。其它业务网络因存在多个VLAN接入，其对应三层接口须配置相应的Dot1q终结子接口，对报文VLAN标签进行识别。

（二）链路冗余与负载分担

1.MSTP设计

采用冗余链路设计来提高网络可靠性的同时，必然会使网络产生多个环路。现今的企业级交换设备一般会默认开启RSTP或MSTP协议破除环路，MSTP默认所有VLAN在instance 0下运行，本质与RSTP无异。然而RSTP虽在STP的基础上做了多处改进，大幅提升了生成树收敛速度，但RSTP仍存在所有VLAN共享一颗生成树的弊端，无法利用冗余链路实现负载分担，且在部分情况下会造成某些VLAN通信异常。如图2所示，假设SW2、SW3为核心交换机，SW1、SW4为接入交换机，经RSTP 计算后SW3的0/2口处于阻塞状态，此时VLAN2内成员设备就无法访问处于SW3的VLANIF2接口，且网络内所有流量只有一条路径可寻，无法进行负载分担。因此，须为网络内所有交换机配置MSTP实例与VLAN的映射关系，并指定核心交换机1、2为不同实例下的主备根桥，实现二层负载分担。最后，将与终端直接相连的端口配置为边缘端口，终端设备接入时不进行MSTP计算，提高终端接入速度。

图2 部分区域示意

2.VRRP设计

VRRP是一种虚拟路由冗余协议，在交换设备不具备堆叠条件的情况下，VRRP技术是实现冗余网关的最佳途径。通过为两台核心交换机的VLANIF接口创建VRRP备份组，来实现网关冗余备份，并通过设定优先级来合理配置不同VLAN下的主备网关。VRRP和MSTP联合组网时，须保证相同VLAN下主备网关的设置与MSTP的主备根桥保持一致，原因如图2所示。SW2为VLAN 3所属MSTP实例的根桥，该MSTP实例在SW3的0/2口被阻塞，而SW3为VLANIF 3的Master，当来自SW4的设备向VLAN 3网关转发数据时，数据需经过SW2、SW1才能最终到达SW3，使核心交换机间产生了不必要的流量。因此，MSTP/VRRP规划如表1所示。

表1 MSTP/VRRP规划表

3.策略路由设计

现网采用OSPF技术实现三层通信，由于在路由器和核心交换机之间规划了互为冗余的等价链路，在路由器上必然会出现两条去往同一目的区域且开销相同，下跳地址分别为核心交换机1和2的等价路由条目，从而形成负载均衡。由于下跳地址的不确定性，会出现类似上一小节提到的场景。如图2所示，一条目的地址属于VLAN3所在网段的IP报文由路由器R流入，其访问对象由SW4接入。该报文有两条等价路由可以选择，下跳地址分别是SW2、SW3的接口地址，若经SW3转发，该报文需经过SW1、SW2才能最终到达SW4，产生了不必要的流量。因此，拓扑改造后需要在核心路由器上配置策略路由，通过ACL匹配报文的目的地址，为报文选择下跳地址。当策略路由定义的下跳地址不存在时，会自动转为按路由表转发，实现故障切换。

（三）接口保护和安全策略

1.基于静态绑定的IPSG

为确保未授权设备不能接入内网，防止地址欺骗攻击，须在所有接入交换机端口配置基于IP、MAC、接口静态绑定的IPSG。不能通过IPSG表项匹配检查的设备均无法接入网络。需注意若服务器区和安全区存在虚拟化集群，其动态资源分配功能会导致虚拟机的网络上行接口动态变更。因此，在设计服务器区和安全区交换机的静态绑定表时，应采用N:1的IP和MAC绑定方式。

2.OSPF安全优化

在核心交换机和路由器OSPF区域启用基于HMACMD5验证模式的区域验证，同时对核心交换机区域的VLANIF配置OSPF静默功能，禁止这些接口收发路由信息，从而提高OSPF网络的安全性。

3.高危端口过滤

在各个区域VLAN的出方向应用报文过滤，通过ACL规则对使用知名高危端口进行通信的报文进行匹配并阻止通过，以防止病毒、木马通过高危端口在区域间进行传播，同时，强制关闭空闲物理接口，以强化信息系统网络安全性。

四、部署和验证

根据上述优化方案，对远程监控系统核心网络进行配置部署，并对负载分担和故障切换功能进行验证展示。

（一）区域划分配置

按表1为网络内所有设备配置VLAN、网关IP，并配置OSPF确保路由器和各区域间路由可达。须将核心交换机边界接口配置成三层接口，其它业务网络上连口配置成Dot1q终结子接口。以核心交换机1部分接口为例，如图3。

图3 三层接口和Dot1q终结配置

（二）负载分担配置

根据表1规划，首先为二层网络交换设备配置MSTP基本功能，再为各MSTP实例配置主备根桥，并在核心交换机上创建VRRP备份组。以核心交换机2、VLANIF101为例，核心交换机2为实例2、4的主根桥，其在VLANIF101的VRRP备份组内为Master，配置如图4。因核心交换机1为该备份组的Backup，仅需配置vrrp vrid 101 virtual-ip 10.170.1.254即可。

图4 主备根桥/VRRP备份组配置

最后则需要为路由器配置策略路由，为访问内部网络各区域的报文合理选择下跳地址，以路由器1为例，如图5。

（三）接口保护和安全策略配置

在各区域接入交换机配置IPSG静态绑定表，如：user-bind static ip-address 10.170.2.11 macaddress 5489-9821-4486 interface g0/0/3，并在其所属VLAN上使能IPSG。然后为所有OSPF设备统一配置区域验证，如：authentication-mode hmac-md5 1 cipher Abc@123，并在OSPF进程界面下为没有OSPF邻居的接口配置OSPF静默功能，如：silentinterface Vlanif100。最后创建ACL对访问高危端口的报文进行匹配，在核心交换机各区域VLAN出方向应用traffic-policy，实现对区域间报文进行过滤，并关闭空闲接口。

图5 策略路由配置

（四）验证

完成配置后，使用display stp命令查看所有instance的主备根桥，同时使用display vrrp brief命令查看所有VRRP备份组的角色，并以核心交换机2为例，如图6，可以看到选举结果如之前规划。

图6 MSTP/VRRP选举结果

使用VLAN101/102内的Server2和PC向位于路由器1上的Server1发出ping请求，分别对核心交换机1的G0/0/1口和核心交换机2的G0/0/2口抓包，可以看到从VLAN102发出的ping请求和应答全部流经核心交换机1的G0/0/1，而VLAN101则相反，说明MSTP、VRRP、策略路由联合组网的负载分担策略可达预期效果。