[摘要] 校園網(wǎng)應(yīng)用服務(wù)多樣性和安全性要求在原有網(wǎng)絡(luò)平臺上建立邏輯的私有網(wǎng)絡(luò)?；诙鄬泳W(wǎng)絡(luò)協(xié)議通過重定向策略有效轉(zhuǎn)發(fā)私有網(wǎng)絡(luò)數(shù)據(jù)包，嚴(yán)格控制私有網(wǎng)絡(luò)節(jié)點安全性。相互獨立虛擬專網(wǎng)在同一物理網(wǎng)絡(luò)平臺上得以實現(xiàn)。

[關(guān)鍵詞] 路由 多層重定向 專網(wǎng) IP地址 封包轉(zhuǎn)發(fā)

一、引言

校園網(wǎng)拓?fù)錇殡p機冗余備份核心交換與主匯聚交換通信采用OSPF路由協(xié)議，樓間匯聚通過Trunk口上聯(lián)主匯聚。內(nèi)網(wǎng)全部采用真實教育網(wǎng)IP地址，骨干網(wǎng)帶寬千兆，接入帶寬百兆。校園網(wǎng)服務(wù)多樣性要求建立私有網(wǎng)絡(luò)服務(wù)，例如視頻監(jiān)控服務(wù)，一卡通服務(wù)，室溫控制服務(wù)等。這些網(wǎng)絡(luò)服務(wù)要求安全性，穩(wěn)定性，健壯性比較高，理想狀態(tài)是建設(shè)專有物理網(wǎng)絡(luò)，但會急劇增加網(wǎng)絡(luò)建設(shè)開銷，同時網(wǎng)絡(luò)帶寬沒有充分利用，造成帶寬資源嚴(yán)重浪費。私有網(wǎng)絡(luò)服務(wù)的終端設(shè)備大部分是集成的硬件設(shè)備，采用VPN不適宜。這就要求在原有網(wǎng)絡(luò)平臺上建設(shè)邏輯上獨立的專有網(wǎng)絡(luò)提供服務(wù)。保證專網(wǎng)服務(wù)安全可靠穩(wěn)定運行同時，確保專網(wǎng)運行的嚴(yán)格獨立性。

本文提出采用多層重定向技術(shù)構(gòu)建虛擬專網(wǎng)，保證各專網(wǎng)相對獨立，有效阻止原有網(wǎng)絡(luò)節(jié)點訪問專網(wǎng)服務(wù)和終端。

二、基于多層重定向策略構(gòu)建虛擬專網(wǎng)

建立虛擬專網(wǎng)需解決3個技術(shù)關(guān)鍵點。確保原有網(wǎng)絡(luò)正常運轉(zhuǎn)，專網(wǎng)運行不能影響原有網(wǎng)絡(luò)服務(wù)；專網(wǎng)運行獨立性，原有網(wǎng)絡(luò)節(jié)點和專網(wǎng)節(jié)點不允許互訪；專網(wǎng)之間邏輯隔離，每個專網(wǎng)作為一個子集，子集和子集之間沒有交集，共享同一網(wǎng)絡(luò)物理基礎(chǔ)平臺。通常IP封包的轉(zhuǎn)發(fā)需要路由協(xié)議，校園網(wǎng)和各專網(wǎng)同在公共物理網(wǎng)絡(luò)環(huán)境中，都參加路由勢必造成互訪。重定向根據(jù)交換機端口，MAC地址，VLAN，IP及更上層協(xié)議進(jìn)行高速轉(zhuǎn)發(fā)數(shù)據(jù)，解決路由只針對目的地址進(jìn)行選路的缺陷?；诙鄬訁f(xié)議重定向避開路由協(xié)議選路構(gòu)建專網(wǎng)，各專網(wǎng)獨自運行，互不干涉。

1.基于三層的重定向

校園內(nèi)網(wǎng)有公網(wǎng)和教育網(wǎng)出口，其終端地址是真實教育網(wǎng)IP地址，公網(wǎng)和教育網(wǎng)用戶可以訪問到校園內(nèi)網(wǎng)終端。出于安全考慮徹底隔離專網(wǎng)外界通信，專網(wǎng)節(jié)點全部設(shè)置成保留IP地址，公網(wǎng)和教育網(wǎng)的偽造專網(wǎng)IP封包被有效屏蔽。專網(wǎng)服務(wù)器接入核心交換，其IP地址段避免參加OSPF路由協(xié)議收斂。此核心交換接入物理端口作為專網(wǎng)服務(wù)唯一通道進(jìn)行IP封包轉(zhuǎn)發(fā)。嚴(yán)格控制專網(wǎng)服務(wù)器IP地址段重定向流向，重定向范圍控制在專網(wǎng)本身節(jié)點IP地址段。核心交換啟用擴展ACL列表控制專網(wǎng)服務(wù)器和終端IP地址段。專網(wǎng)終端和服務(wù)器通信特點是星型結(jié)構(gòu)，即終端地址段只與服務(wù)器地址段進(jìn)行通信，終端地址段之間不進(jìn)行通信。源地址是服務(wù)器IP地址段的數(shù)據(jù)流只分發(fā)到相應(yīng)與主匯聚相連的專網(wǎng)終端?；谌龑訑U展ACL列表規(guī)則只允許源地址是專網(wǎng)服務(wù)器IP地址段，目的地址只允許本專網(wǎng)終端地址段，其他地址段不允許參加重定向。

rule permit ip source 服務(wù)器地址段 destination 終端地址段

rule deny ip

核心交換接入物理端口上設(shè)置專網(wǎng)封包控制與限制，并通過三層重定向把專網(wǎng)服務(wù)器的IP封包分發(fā)到相應(yīng)主匯聚。

packet-filter inbound 三層擴展列表

traffic-redirect inbound 擴展列表 next-hop 相應(yīng)主匯聚

同理主匯聚交換設(shè)置ACL列表屏蔽其他網(wǎng)絡(luò)IP地址段，只允許本專網(wǎng)IP地址段數(shù)據(jù)封包進(jìn)行數(shù)據(jù)交換。應(yīng)用形式與私有網(wǎng)絡(luò)服務(wù)器重定向方向相反。

這樣實現(xiàn)了從私有網(wǎng)絡(luò)服務(wù)器發(fā)出的數(shù)據(jù)包能夠安全可靠到達(dá)自己私有網(wǎng)絡(luò)的終端，同理在相反的方向上設(shè)置三層重定向策略，便可以把從私有網(wǎng)絡(luò)終端發(fā)出的IP封包轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)服務(wù)器?？梢钥闯鏊接芯W(wǎng)絡(luò)的IP封包沒有參加原有網(wǎng)絡(luò)的路由，數(shù)據(jù)包是直接在兩個私有網(wǎng)絡(luò)節(jié)點之間進(jìn)行有效的重定向傳輸，并且屏蔽了其他網(wǎng)絡(luò)的IP封包，有效實現(xiàn)了私有網(wǎng)絡(luò)在同一物理網(wǎng)絡(luò)平臺和其他網(wǎng)絡(luò)的邏輯隔離。

2.基于二層的重定向

為保證私有網(wǎng)絡(luò)的數(shù)據(jù)包快速進(jìn)行轉(zhuǎn)發(fā)，防止非法私有網(wǎng)絡(luò)的偽IP終端進(jìn)行私有網(wǎng)絡(luò)的訪問，對于關(guān)鍵性私有網(wǎng)絡(luò)終端節(jié)點采用二層重定向的技術(shù)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)。有效控制私有網(wǎng)絡(luò)節(jié)點MAC地址。非法私有網(wǎng)絡(luò)終端偽造IP地址進(jìn)行訪問被嚴(yán)格杜絕。

樓間匯聚綁定私有網(wǎng)絡(luò)終端的IP-MAC地址對，定義基于二層的ACL列表嚴(yán)格控制專網(wǎng)終端，然后進(jìn)行基于二層的數(shù)據(jù)包重定向轉(zhuǎn)發(fā)。

am user-bind ip-addr 終端IP地址 mac-addr 終端物理地址

rule permit ingress 終端物理地址 egress any

traffic-redirect 二層ACL列表 interface 主匯聚端口

首先通過私有網(wǎng)絡(luò)終端的MAC地址來限定其IP地址，非法終端偽造的偽IP地址數(shù)據(jù)包會被屏蔽掉，而合法的IP封包會通過二層重定向快速轉(zhuǎn)發(fā)到主匯聚交換上，從而使數(shù)據(jù)封包得到快速有效轉(zhuǎn)發(fā)。這樣主匯聚交換上就得到真實的IP封包再進(jìn)行三層重定向轉(zhuǎn)發(fā)，從而充分保證了私有網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)與通信安全性。

三、結(jié)論

通過基于策略的三層重定向，實現(xiàn)了各私有網(wǎng)絡(luò)IP封包的有效轉(zhuǎn)發(fā)，而沒有參加原有網(wǎng)絡(luò)的路由選路。再通過基于二層的重定向策略，提供IP-MAC地址對綁定的安全機制有效轉(zhuǎn)發(fā)數(shù)據(jù)封包，充分保證私有網(wǎng)絡(luò)的節(jié)點安全性。這樣實現(xiàn)了校園內(nèi)網(wǎng)各自私有網(wǎng)絡(luò)的隔離而運行在同一個基礎(chǔ)網(wǎng)絡(luò)平臺上，并且達(dá)到私有網(wǎng)絡(luò)本身的各個節(jié)點安全快速訪問的目的。

參考文獻(xiàn)：

[1]李偉編:網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程[M].北京:清華大學(xué)出版社，2005:134～136

[2]楊富國:計算機網(wǎng)絡(luò)安全應(yīng)用基礎(chǔ)[M].北京:清華大學(xué)出版社，2005:176～182

[3]吳軍強:局域網(wǎng)內(nèi)IP地址防盜技術(shù)研究[J].計算機系統(tǒng)應(yīng)用，2008(3):73～76