基于多个局域网的互联设计

2022-09-09王进

电子技术与软件工程 2022年14期

王进

（中国科学院空天信息创新研究院北京市 100190）

1 引言

通常在同一个物理地点多个业务局域网互联，各节点网的核心交换机上联中心网的核心交换机，连接端口做二层eth-trunk并在各自核心交换机上做声明，在中心网核心交换机上做路由，在各个交换机上规划VLAN，这样就实现了节点访问中心及节点间互访。但是实际上随着经济高速发展全国范围内的大型企业应运而生，企业建立了全国范围内的业务局域网。中心网建立在某个一线城市，各个节点网分布在全国范围内的城市中，局域网间的物理距离非常远甚至达到5000公里以上，基于以上情况，需租赁基础网络的专线来实现互联，如果还沿用eth-trunk二层模式互联会造成很多问题。例如，西北节点给东南节点传输数据需要经过专线，而专线是不可控的，二层链路eth-trunk很容易被入侵导致业务数据泄露。所以急需设计一套互联机制来安全有效地解决问题传输数据。同一物理地点多业务局域网架构如图1所示。

图1：同一物理地点多业务局域网架构

2 设计思路

本文在局域网+专线的基础上设计一套互联机制来可靠、高效地传输业务数据。经分析不采用基于各局域网集中在同一物理地点情况下用eth-trunk二层互联模式，因为ethtrunk互联模式适用于同一机房、同一建筑、同一园区等可控线路来连接多个局域网，外来入侵可以通过有效安保手段（防盗门、防盗窗、围墙栅栏、摄像头、安全门、保安巡视）来防护，且传输距离较短。基于各局域网分散在全国各城市情况下，采用IP地址三层模式互联各局域网，IP三层模式适用于长距离且线路不可控的情况下来连接多个业务局域网，IP是TCP/IP三层逻辑模式能够更加有效地抵御外来入侵，且本端传输的数据包直接找指定的对端IP而不会在全线路广播而造成占用网络带宽、数据传输延时大、增加网络堵塞几率等情况；相反，因为子网掩码设置成30位极大地降低了线路广播而几乎不占用网络带宽、数据传输延时小、降低网络堵塞几率等情况。从而实现可靠、高效地传输业务数据。同时按安防等级在各局域网边界处配置网闸、防火墙、边界堡垒机、网络准入设备、病毒查杀等组成安防系统来过滤数据、查杀病毒、阻止非法侵入，保证“干净”的数据在局域网间传输、“合法”的用户远程登录。

3 互联架构设计

首先需要根据企业/组织从事业务的敏感程度、互联网络的预算来进行互联设计；本文论述一个经典的互联设计，但并不代表高敏感行业。其次确认运营商专线到位，2路冗余最佳情况；再次以中心、节点一为例:中心网路由器启用三层路由功能，在中心网路由器创建Eth-Trunk接口eth-trunk 1，并配置ip address 192.168.1.1 255.255.255.252，将接口XGigabitEthErnEt0/0/1、XGigabitEthErnEt0/0/2加入到Eth-Trunk 1中；同理，节点网一路由器启用三层路由功能，在节点一路由器创建Eth-Trunk接口eth-trunk 1，并配置ip address 192.168.1.2 255.255.255.252，将接口XGigabitEthErnEt0/0/1、XGigabitEthErnEt0/0/2加入到Eth-Trunk 1中；在中心路由器或节点一路由器上执行display interface eth-trunk命令，可以看到接口状态为UP。在中心路由器上执行ping 192.168.1.2，在节点一路由器上执行ping 192.168.1.1，结果能互相ping通；说明中心路由器和节点一路由器的Eth-Trunk接口能够互相Ping通。下一步在中心路由器上配置到节点一静态路由ip route-static 10.10.1.0 255.255.255.0 192.168.1.2 访问节点一网段的下一跳地址是192.168.1.2，在节点一路由器上配置到中心的静态路由ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 访问中心及其他节点的下一跳地址是192.168.1.1。同理，按规划在中心路由器配置其他节点的Eth-Trunk、ip address及静态路由，在其他节点路由器上相应配置Eth-Trunk、ip address及回程静态路由，并做互相ping通测试。这样多个局域网已经具备通信条件了。长距离多局域网互联架构如图2所示。

图2：长距离多局域网互联架构

4 互联安全设计

通过Eth-trunk三层互联模式将远距离中心及多个节点局域网连接起来实现了网间高效通信。但是互联安全是全链路无法回避的问题，而且是作为重要问题去解决的。全链路是指业务信息流转的全链路，一台主机上发出指令从存储上读出一条业务信息经由内部局域网、专线、进入对方局域网、对方主机处理后写入对方存储，全程该条信息的能够安全出发、安全到达目的地并在途中不被截获，不被篡改，不被加入病毒，认为互联是安全的。目前，大多数组织采取全链路整体规划、分段设计、分段实施、分段负责的方式来实现互联安全。首先，从管理层面上讲，需要确定各局域网互联后组成的全网是什么等级的网络。其次，按该等级网络安全标准规范配置相应的安全手段，各局域网内查杀、防篡改+边界防护+运营商专线安防。

组织内部通常会制定相应的安全政策以配合实现互联安全。例如，各节点网间的业务信息流转需要经由中心网内部审批系统审查信息的“合法性”、是否携带病毒、是否被篡改等，确认通过审批的信息才能流转，否则不可流转。这就要求发出方在发出信息前先确认其“合法性”、查杀病毒、加防篡改手段等。各网内部配置病毒查杀引擎定时开启查杀服务展开网内查杀，定期升级病毒库。杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，反病毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。对于杀毒软件的实时监控，其工作方式因软件而异：有的杀毒软件在内存里划分一部分空间，将计算机中流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。有的杀毒软件在所划分到的内存空间里，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是扫描磁盘时，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。

通过数据加密确保数据真实性，防止篡改。只有信息是真实的，才能真正的给未来的网络安全提供可靠的信息支持。一旦这个信息被篡改成其他的信息，或者更危险的被篡改成病毒木马，这样不但可能造成提供信息的无效，还有可能导致信息数据直接成为安全的威胁。一旦这个问题解决不了，未来想通过大数据来提供数据安全服务都是空谈。要真正的保证数据不被篡改，给数据加密是最好的方法，因为要试图篡改数据，本身要知道数据的内容，一旦获取数据内容受限，那么篡改数据也变为不可能。而且随着大数据的进一步发展，它提供的可能不仅仅是正面的能量。很多黑客通过大数据同样会获得破解数据的方法，所以用来加密数据的技术必须是先进的，而且是多种模式的。因为单一模式的加密意味单一的算法，单一的算法即使使用再高端的数学难题，破解也是时间问题，更何况有大数据的支持。一般的防篡改机制是基于加密算法的。选择密文安全（chosen ciphertext security，即CCA-security）是公钥密码中很强的安全性概念，这个概念对存在主动攻击的许多加密应用中都是充分的。构造CCA安全的公钥密码体制具有重要的意义，如Bellare和Rogaway提出的OAEP体制就成为SET协议的加密标准。保护数据的安全需要一种先进的，具有多种加密模式的加密技术。多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景，采用多种加密策略的数据透明加密技术。在多模加密模式中，用户创建秘文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。通过这种加密技术，可以为用户提供多种加密模式，可以适合不同的应用环境，大大提高数据加密效果，从而提高了数据的安全性。

专线互联，用于企业或行业集团用户各分支机构互联，组建内部信息传送网络；要求很高的安全性、很强的QoS能力、带宽扩展灵活方便、管理维护成本低。专线互联一般采用VPN专线。VPN指利用公众数据网络资源为客户构成临时的、安全的、虚拟专用网的一种专线服务。虚拟，是指用户不再需要拥有实际的单独的专用的数据线路，而是使用公众数据网络的数据线路。应根据专线安全防护特点，按照国家信息安全相关标准规范，对专线防护措施进行完善优化。实施统一安全防护策略，强化身份认证、访问控制、入侵防范、安全审计、流量监测、恶意代码防护等技术手段，采取链路冗余、路由备份、负载均衡等方式完善灾难备份与恢复措施，提高防病毒、防攻击、防篡改、防瘫痪和防窃密能力，确保网络与信息系统安全可靠运行。提供身份认证，构建支持多种认证模式、可扩展的统一认证平台，提供动态令牌、短信口令等高强度身份鉴别功能，并且具备进一步拓展能力。统一认证平台能够提供统一用户管理能力，可为多个信息系统提供统一身份认证服务。建立访问控制，部署访问控制系统，通过授权管理，实现对网络与信息资源使用者权限的控制，达到对资源安全、合法访问的目的。对网络设备（包括路由器、交换机、防火墙等）进行访问控制加固，实现互联网和部门外网之间的访问控制，能在会话非活跃时间或会话结束后终止网络连接，能根据用户名为数据流提供明确的允许/拒绝访问，能实时查看用户的详细信息（在线流量、最新速率、会话数、上线时间等信息），限制互联网各类应用最大流量数及网络连接数，能对主流应用协议进行识别（包括但不限于HTTP、FTP、TELNET等），并可根据应用类型、应用内容进行细粒度控制，按最小安全访问原则设置网络设备的访问制度权限。加强出入口流量监测，部署流量监测系统，监控部门网络总流量、子网流量、每个IP流量，能够通过IP地址、网络服务、应用类型、时间和协议类型等单个或多个参数，实时监测和分析政府部门网络流量，发现流量异常事件，如：流量激增、聚降、波动、拒绝服务攻击，以及被与恶意服务器有可疑连接等。部署互联网控制网关，通过对互联网访问数据的识别、管理和分析，提供网关级的数据过滤和检查，保证网络访问的合理分配，降低泄密风险，解决互联网访问缺乏合规准入、网页过滤、应用控制、信息保密检查与留存审计等安全控制问题。部署入侵防范设备，部署入侵防御系统，提供扫描攻击检测、缓冲区逸出攻击检测、后门木马攻击检测、拒绝服务攻击检测、针对IDS躲避攻击事件检测等功能，实现对互联网攻击行为的检测和阻断。部署入侵检测系统，提供入侵防范能力。通过对异常流量进行分析和处置，对不同网络节点的流量进行实时关联分析。在定位异常流量发源地后，对异常流量完成牵引和过滤，从而快速消除异常流量造成的危害。恶意代码防护，通过建设防病毒网关、终端防病毒系统、服务器防病毒系统，搭建统一的防病毒策略管理系统，从而建立全面恶意代码防护体系。其中：部署防病毒策略管理系统，从而为全网恶意代码防护设备提供统一的策略管理和病毒包升级服务；在互联网边界部署防病毒网关，对进出局域网的主要网络协议数据进行病毒扫描，把病毒拦截在局域网外部；在用户终端部署终端防病毒系统，对终端面临的木马、病毒、蠕虫等恶意代码进行查杀；部署服务器防病毒系统，对服务器端面临的木马、病毒、蠕虫等恶意代码进行查杀。定期进行漏洞扫描，部署漏洞扫描系统，定期对政府部门网络内部的上网终端、信息系统等进行扫描，及时发现安全漏洞并通知修复。开展安全审计，部署安全审计系统，对网络连接、系统日志、系统流量、资源访问等进行记录和监控，建立有效的信息安全事件实时追踪机制。

综上所述通过各局域网内查杀、防篡改+边界防护+运营商专线安防，共同筑起整体业务网络的安全环境。

5 关键技术

5.1 Eth-trunk

随着网络中部署的业务不断增长，对于全双工点对点链路，单条物理链路的带宽可能已经不能满足正常业务流量的需求，而且单条链路没有冗余备份功能，发生故障可能影响整个网络。想要升级带宽的最直接的方式就是：换性能更高的设备，或者是具备更高带宽的接口板，但是这个不适用于普通企业，而且这样做也比较浪费现有的资源。Eth-Trunk（链路聚合技术）作为一种捆绑技术，可以把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用，这样既不用替换接口板也不会浪费IP地址资源。根据不同的链路聚合模式，Eth-Trunk接口可以实现增加带宽、负载分担等，帮助提高网络的可靠性。在多个交换机之间有冗余连接的环境中，可能会发生二层环路，一般会选择使用生成树协议，而开启生成树协议，必然会阻塞冗余端口，造成我们的冗余链路只能做备份，不能做负载分担，通过思考环路产生的根因，就是交换机之间有多根链路，而如果把这多根链路逻辑的做成一条隧道，每条链路看成是成员链路，从生成树的角度来看，就是一根链路，那么，就不会有阻塞端口了，这些成员链路可以全部用来转发，这样链路整体的带宽就是成员链路带宽之和。而当其中一条成员链路down了，是不影响整体的连通性的，只是总体带宽会降低。Eth-Trunk用于二层的链路聚合，也可以用于三层的链路聚合。如果需要配置三层Eth-Trunk接口，可以通过undo portswitch命令将该接口切换成三层接口。将成员接口加入Eth-Trunk时，需要注意以下问题：成员接口不能有IP地址等三层配置项，也不可以配置任何业务；成员接口不能配置静态MAC地址；Eth-Trunk接口不能嵌套，即成员接口不能是Eth-Trunk；一个以太网接口只能加入到一个Eth-Trunk接口，如果需要加入其他Eth-Trunk接口，必须先退出原来的Eth-Trunk接口；如果本地设备使用了Eth-Trunk，与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口，两端才能正常通信； Eth-Trunk的工作模式不影响成员链路的加入，例如，以太网接口既可以加入二层模式的Eth-Trunk，也可以加入三层模式的Eth-Trunk。只能删除不包含任何成员端口的Eth-Trunk端口。二层的Eth-Trunk端口的成员端口必须是二层的接口；三层的Eth-Trunk端口的成员端口必须是三层的接口。三层接口就是路由器的接口，能配IP地址的接口，不能加到vlan里，也不能做trunk。一个Eth-Trunk端口最多可以加入 8个成员端口。加入Eth-Trunk端口的接口类型必须是Hybrid接口（Access与Trunk类型的端口无法加入）。要假如eth-trunk的接口不能做成access或者trunk，需要在ethtrunk 接口配置完后，再对eth-trunk 进行access或者trunk的配置。

5.2 子网掩码和IP地址的关系

把IP地址和子网掩码两者结合，确定唯一地址的关系。把两者进行2进制换算进行and算法，就是你对外的唯一地址，比如一个局域网内，每个主机的IP与掩码进行and算法后，地址都是一样的。这就是你对外的唯一地址。子网地址包括网络地址，主机地址和广播地址。子网掩码是用来区分网络地址和主机地址的。举个例子来说，子网192.168.1.0，子网掩码是255.255.255.0。网络地址：192.168.1.0，该地址用在路由器的路由表中。主机地址：192.168.1.1到192.168.1.254，用来识别不同的主机；广播地址：192.168.1.255，用于在该网段的所有主机设备发送报文。掩码：255用二进制表示是8个1，11111111，3个255用二进制表示是24个1，255.255.255.252即是8+8+8+6=30位对应IP地址的网络地址部分：192.168.1，这个部分对所有在这个网段的主机都是一样的，掩码最后一个252对应二进制的6个1，不同主机该部分是不同的，主机范围是1和2、5和6、9和10等。最适合做三层互联局域网间的IP地址。IP地址与掩码通过二进制“与”运算来得到IP地址的网络部分和主机部分。

5.3 路由器

路由器依循了如下的运转机理：变更了路由软件依循的旧式指令，增添了ASIC特有的嵌入芯片并以此来设定指令。借助于硬件来查验现存的路由表，拥有刷新的特性。在数据传递的流程中，端口芯片接纳并辨识了某一信息，二层芯片辨析了对应的独特地址。若查验获取了明确的地址，则再次予以转发；若没能查找到，则信息被调配至后续的引擎。第三层引擎之内，路由表关联着的信息可被查验出来，它匹配了初始的IP；数据包被发送至装置内的主机，获取了精准的MAC。这些流程终结以后，MAC再次被发送，二层芯片予以转发。由此可见，路由器提快了常态情形的交换速率，从速率来看它很近似二层的架构，并且缩减了选购路由器耗费的支出。相比较而言，二层交换机借助于封包扩散来传递广播，但路由器则能辨识额外信息，例如ARP及某一地址。在此状态下，路由器解析了各方位的广播包，满足快速要求，不必真正去扩散预设的广播包。这种设计路径可以细分现有的虚拟子网，依托于三层路由以便传递子网彼此的信息, 通信将更为便捷。要说路由器在诸多网络设备中的作用，用“中流砥柱”形容并不为过。