郭琳

（順德職業(yè)技術(shù)學(xué)院，廣東順德 528300）

企業(yè)網(wǎng)中交換機(jī)與路由器安全防范與實現(xiàn)

郭琳

（順德職業(yè)技術(shù)學(xué)院，廣東順德 528300）

交換機(jī)與路由器的安全性是網(wǎng)絡(luò)整體安全重要組成部分，如何利用現(xiàn)有資源加強(qiáng)對交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的安全防護(hù)，對提高企業(yè)網(wǎng)絡(luò)的可靠性、可用性和完整性具有重要意義.通過VLAN技術(shù)對交換機(jī)端口進(jìn)行隔離防止廣播風(fēng)暴，利用VRRP技術(shù)實現(xiàn)企業(yè)網(wǎng)絡(luò)冗余備份，基于端口安全技術(shù)確保交換機(jī)安全，通過ACL技術(shù)實現(xiàn)訪問控制和流量過濾，利用策略路由進(jìn)行流量控制，從而防止網(wǎng)絡(luò)設(shè)備不安全問題的發(fā)生，實現(xiàn)網(wǎng)絡(luò)安全管理.

企業(yè)網(wǎng)；交換機(jī)；路由器；安全防范

1 引言

企業(yè)網(wǎng)是企業(yè)信息化的基礎(chǔ)設(shè)施，是電子商務(wù)的重要支撐平臺，企業(yè)網(wǎng)中復(fù)雜的結(jié)構(gòu)、龐大的網(wǎng)絡(luò)規(guī)模和密集活躍的客戶群體，使企業(yè)網(wǎng)絡(luò)面臨多重安全隱患.交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備是構(gòu)成企業(yè)網(wǎng)絡(luò)的基本條件，這些設(shè)備的漏洞輕則影響網(wǎng)絡(luò)正常運(yùn)行，重則使企業(yè)信息遭到竊聽和篡改，造成極大的安全隱患［1］.近年來利用交換路由設(shè)備漏洞竊聽用戶信息的攻擊事件不斷曝光，凸顯了核心網(wǎng)絡(luò)信息安全傳輸?shù)闹匾裕?］.企業(yè)網(wǎng)用戶較為活躍，使用網(wǎng)絡(luò)的行為難以全面掌控，錯誤連接局域網(wǎng)設(shè)備造成環(huán)路的情況時有發(fā)生，環(huán)路帶來的廣播風(fēng)暴可能會導(dǎo)致同一個廣播域中所有終端無法正常使用網(wǎng)絡(luò)，甚至?xí)绊懙饺龑釉O(shè)備的轉(zhuǎn)發(fā)功能，進(jìn)而影響到整個網(wǎng)絡(luò)［3］.本文首先介紹了選題背景，然后通過網(wǎng)絡(luò)安全技術(shù)在交換機(jī)層面的應(yīng)用案例來解釋交換機(jī)相關(guān)的安全配置知識，包括VLAN劃分、端口安全和生成樹等技術(shù).然后通過網(wǎng)絡(luò)技術(shù)在路由器層面的應(yīng)用案例分析路由器相關(guān)的安全技術(shù)知識，包括策略路由、訪問控制列表ACL、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和VPN、負(fù)載均衡等內(nèi)容，通過企業(yè)應(yīng)用案例來介紹在如何利用交換機(jī)和路由器的安全防范技術(shù)提高網(wǎng)絡(luò)的安全性.

2 交換機(jī)的安全防范與實現(xiàn)

2.1 利用VLAN技術(shù)對交換機(jī)端口進(jìn)行隔離

順德某企業(yè)原先的網(wǎng)絡(luò)設(shè)計是各部門之間能夠互相訪問，但隨著對公司內(nèi)部網(wǎng)絡(luò)安全意識的提高，要求市場部不能與財務(wù)部之間進(jìn)行通信，其他部門之間都能互相進(jìn)行通信.VLAN是虛擬局域網(wǎng)的簡稱，是在一個物理網(wǎng)絡(luò)上劃分的邏輯網(wǎng)絡(luò)，對應(yīng)于ISO模型的第二層，要進(jìn)行VLAN之間的通信需要通過三層設(shè)備配置VLAN間的IP路由.VLAN的端口類型有兩種Access和Trunk，Access端口只能屬于一個VLAN，并且通過手動設(shè)置指定VLAN，而Trunk口在缺省狀態(tài)下屬于所有VLAN，能轉(zhuǎn)發(fā)所有VLAN幀.VLAN技術(shù)的優(yōu)點(diǎn)是安全、高效、低開銷，能減輕廣播風(fēng)暴，提高網(wǎng)管的工作效率.

配置的要點(diǎn)是需要根據(jù)公司部門的數(shù)量規(guī)劃內(nèi)部IP地址和子網(wǎng)個數(shù)，在二層交換機(jī)上創(chuàng)建VLAN并命名，然后把相關(guān)接口加入到對應(yīng)VLAN當(dāng)中，然后在三層交換機(jī)上創(chuàng)建SVI，并開啟路由功能實現(xiàn)各VLAN間互相通信，最后在相關(guān)端口配置allow-VLAN，限制某些VLAN間通信，確保網(wǎng)絡(luò)安全性，主要配置命令如下所示.

需要注意的是一方面要把三層交換機(jī)與二層交換機(jī)連接的端口設(shè)置為trunk口，另一方面一定要在三層交換機(jī)上開啟路由功能，否則VLAN間不能通信.

2.2 利用MSTP和VRRP技術(shù)實現(xiàn)網(wǎng)絡(luò)冗余備份

公司的內(nèi)部網(wǎng)絡(luò)被劃分成了四個VLAN，通過三層網(wǎng)絡(luò)設(shè)備實現(xiàn)不同VLAN之間的互相通信，要求網(wǎng)關(guān)提高企業(yè)內(nèi)部網(wǎng)絡(luò)之間通信的可靠性.這需要利用STP、VRRP和SAP技術(shù).STP的中文含義是生成樹協(xié)議，它是二層管理協(xié)議，可以通過選擇性阻塞網(wǎng)絡(luò)冗余鏈路消除二層環(huán)路的目的，同時具有鏈路備份的功能.只用通過設(shè)置網(wǎng)橋優(yōu)先級、路徑開銷以及端口ID就可以控制STP行為.VRRP的中文含義是虛擬路由冗余協(xié)議，采用主備模式，當(dāng)主路由設(shè)備發(fā)生故障時實現(xiàn)在不影響數(shù)據(jù)通信的情況下切換到備份路由.VRRP協(xié)議把組內(nèi)多個三層設(shè)備均映射為一個被稱為主設(shè)備的虛擬三層設(shè)備，主機(jī)把數(shù)據(jù)包發(fā)給該主設(shè)備，當(dāng)主設(shè)備無法工作時，處于備份狀態(tài)的三層設(shè)備可以隨時替代原來的主設(shè)備.AP的中文含義是聚合端口技術(shù)，它可以把多個端口的帶寬疊加使用，是網(wǎng)絡(luò)擴(kuò)展鏈路帶寬的重要途徑.

配置要點(diǎn)是首先在各個二層交換機(jī)和三層交換機(jī)上創(chuàng)建VLAN和SVI接口，并在三層交換機(jī)上開啟路由功能，然后在二層交換機(jī)和三層交換機(jī)上開啟STP消除網(wǎng)絡(luò)環(huán)路，接著在三層交換機(jī)上創(chuàng)建AP，最后在三層交換機(jī)上配置VRRP實現(xiàn)冗余備份，主要配置命令如下所示.

需要注意的是在開啟STP功能時需要創(chuàng)建相關(guān)的instance，并把對應(yīng)的VLAN加入相對應(yīng)的instance中，并確定好instance的優(yōu)先級.在配置VLAN的SVI時要規(guī)劃好主備橋的IP地址以及確定主備橋的被分組的優(yōu)先級.最后一定記得在設(shè)備上開啟路由功能.

2.3 利用端口安全技術(shù)確保交換機(jī)安全

當(dāng)企業(yè)發(fā)現(xiàn)由于接入用戶較多導(dǎo)致經(jīng)過三層交換機(jī)的流量異常增加，則需要在端口上應(yīng)用流量限制技術(shù)設(shè)置每個端口允許接入的最大數(shù)量為50.除此之外還發(fā)現(xiàn)在局域網(wǎng)中存在過多的廣播數(shù)據(jù)流，驗證影響了數(shù)據(jù)通信質(zhì)量，也需要網(wǎng)絡(luò)管理員采用相關(guān)技術(shù)進(jìn)行限制，這里可以對接入用戶進(jìn)行基于IP-MAC地址綁定實現(xiàn)安全接入［4］.這里需要使用的技術(shù)包括端口IP地址數(shù)量限定技術(shù)和廣播風(fēng)暴控制技術(shù).端口IP地址數(shù)據(jù)限制技術(shù)主要用于限定安全接入的IP地址個數(shù)，從而限定共享路由器端口帶寬的用戶數(shù)量，當(dāng)該端口下接入IP地址的個數(shù)超過限定數(shù)量時，超出的IP地址不允許進(jìn)行通信.當(dāng)企業(yè)的局域網(wǎng)內(nèi)存在過量廣播、多播和單播數(shù)據(jù)流時會導(dǎo)致網(wǎng)絡(luò)變慢，報文傳輸超時的幾率大大增加.剋分布針對廣播、多播和單播數(shù)據(jù)流進(jìn)行風(fēng)暴控制，當(dāng)端口接到數(shù)據(jù)流的速率超過預(yù)定帶寬時，設(shè)備只放行預(yù)定帶寬的數(shù)據(jù)流，超過部分則被丟棄直至數(shù)據(jù)流恢復(fù)正常，從而避免過量的廣播數(shù)據(jù)流進(jìn)入局域網(wǎng)中形成廣播風(fēng)暴.

配置的要點(diǎn)包括要在二層交換機(jī)及三層交換機(jī)上開啟風(fēng)暴控制，在二層交換機(jī)異常流量端口配置基于端口的MAC地址綁定，在三層交換機(jī)的異常端口配置限制IP地址的接入數(shù)量，具體的配置方法如下所示.

3 路由器的安全防范與實現(xiàn)

3.1 利用ACL和NAT技術(shù)實現(xiàn)訪問控制

企業(yè)要求根據(jù)部分進(jìn)行網(wǎng)絡(luò)地址劃分，劃分方法如表1所示.實現(xiàn)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)連通，并把公司的web服務(wù)器的80端口映射到互聯(lián)網(wǎng)上供客戶訪問，并限制技術(shù)部和人事部的員工不能在上班期間訪問互聯(lián)網(wǎng).這里需要利用ACL技術(shù)和NAT技術(shù).ACL的中文含義是訪問控制列表，主要控制端口進(jìn)出的數(shù)據(jù)包，通過限制網(wǎng)絡(luò)流量提高網(wǎng)絡(luò)的安全性.ACL分為標(biāo)準(zhǔn)ACL、擴(kuò)展ACL和命名ACL，標(biāo)準(zhǔn)ACL可以拒絕來自某一網(wǎng)絡(luò)或協(xié)議族的所有通信，擴(kuò)展ACL能根據(jù)源、目的地址、端口號或協(xié)議進(jìn)行流量過濾.NAT的中文含義是網(wǎng)絡(luò)地址轉(zhuǎn)換，它是一種將私有地址轉(zhuǎn)換為合法IP地址的技術(shù)，分為靜態(tài)NAT、動態(tài)NAT和端口NAT.靜態(tài)NAT是建立內(nèi)部IP地址與外部IP地址的一對一映射，動態(tài)NAT是建立內(nèi)部IP地址池和外部IP地址池的多對多或多對一映射，端口NAP是改變數(shù)據(jù)包的源端口進(jìn)行端口轉(zhuǎn)換.

表1 搖企業(yè)部門IP地址及VLAN劃分

配置要點(diǎn)是在二層交換機(jī)和三層交換機(jī)上創(chuàng)建相應(yīng)的VLAN，并把接口加入到相應(yīng)VLAN當(dāng)中，在三層交換機(jī)上創(chuàng)建SVI，并開啟路由功能，實習(xí)VLAN間相互通信，在路由器上配置NAT實現(xiàn)私有地址和公有地址之間的轉(zhuǎn)換，以及web服務(wù)80端口的映射，在路由器上配置路由協(xié)議實現(xiàn)全網(wǎng)連通，并配置ACL實現(xiàn)VLAN10和VLAN40的上網(wǎng)限制，具體配置過程如下所示.

注意在配置ACL時需要注意在ACL最末隱藏的一條deny any any的規(guī)則，在應(yīng)用NAT或ACL均需要明確是IN還是OUT.

3.2 利用策略路由技術(shù)進(jìn)行流量控制

隨著公司業(yè)務(wù)的擴(kuò)展及人員的增加過去的專線鏈路帶寬已經(jīng)不能滿足企業(yè)現(xiàn)代化辦公需求，企業(yè)希望在原有網(wǎng)絡(luò)基礎(chǔ)上增加寬帶接入分擔(dān)鏈路流量.這里需要使用PBR技術(shù)來實現(xiàn)負(fù)載均衡.PBR的中文含義是策略路由，它比基于目的地址進(jìn)行路由轉(zhuǎn)發(fā)更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，當(dāng)企業(yè)用戶使用多個ISP資源時，由于不同ISP申請的帶寬不同，而同一用戶環(huán)境中需要保證重點(diǎn)用戶資源，對這部分用戶不能依賴普通路由表轉(zhuǎn)發(fā).策略路由技術(shù)既能保證ISP資源的充分利用，又能很好滿足特殊需求、多樣應(yīng)用.通常，策略路由的優(yōu)先級高于普通路由.

配置要點(diǎn)是要在路由器上增加一端口指向ISP2，并把路由器上新增鏈路的路由加入到路由表中，在路由器上配置策略路由，并把對應(yīng)的策略路由應(yīng)用到相應(yīng)的接口上，即把原先流向ISP1的VLAN30和VLAN40的流量引到ISP2的鏈路實現(xiàn)負(fù)載均衡，保證公司網(wǎng)絡(luò)的可用性.當(dāng)R1的s0/1/0端鏈路失效時s0/1/0端的所有流量均可以通過s0/1/1端的鏈路直至s0/1/0端的鏈路恢復(fù)，反之亦然.配置命令如下所示.

3.3 利用IPsecVPN技術(shù)實現(xiàn)身份認(rèn)證

企業(yè)的總部位于廣州，分部位于北京.分部和總部進(jìn)行數(shù)據(jù)通信，共享企業(yè)一些重要信息.要求廣州與北京的網(wǎng)管搭建一條VPN通道提供給廣州和北京進(jìn)行數(shù)據(jù)加密通信.這里需要使用IPsec VPN技術(shù).IPsec VPN是VPN技術(shù)中最常用的一種，廣泛應(yīng)用于組織總部和分支機(jī)構(gòu)之間的網(wǎng)絡(luò)互聯(lián)，利用組織總部已有的出口虛擬一條專線，將組織分支機(jī)構(gòu)和總部連接起來，組成一個巨大的局域網(wǎng).配置要點(diǎn)是先在三層交換機(jī)以及路由器上配置動態(tài)路由協(xié)議OSPF確保網(wǎng)絡(luò)連通性，然后在路由器R1和R2上配置NAT地址轉(zhuǎn)換，最后在R1和R2上創(chuàng)建IPsec VPN隧道實現(xiàn)VLAN25和VLAN30的安全通信，在路由器上配置IPsec VPN的命令如下所示.

驗證的結(jié)果是VLAN10和VLAN20的用戶能通過NAT地址轉(zhuǎn)換上網(wǎng)，北京VLAN30的用戶能與廣州VLAN25的用戶進(jìn)行加密通信.需要注意的問題是兩端在設(shè)置IKE時要保證加密方式等條件的一致性，兩端的共享密鑰要一致，在設(shè)置共享密鑰以及定義加密映射時，注意要填寫對端的IP地址而不是本地的IP地址.

4 結(jié)束語

交換機(jī)與路由器等網(wǎng)絡(luò)設(shè)備的安全性是保證企業(yè)網(wǎng)絡(luò)正常運(yùn)行的基礎(chǔ).出于網(wǎng)絡(luò)安全的考慮，需要使用交換機(jī)的MAC地址綁定功能限制交換機(jī)每個接口接入的設(shè)備數(shù)量，還可以通過劃分VLAN的方式來確保企業(yè)網(wǎng)絡(luò)安全，每個VLAN形成獨(dú)立的廣播域，大大提高了網(wǎng)絡(luò)利用率，確保企業(yè)網(wǎng)絡(luò)的機(jī)密性.路由器在企業(yè)網(wǎng)絡(luò)中承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)的任務(wù)，路由器安全穩(wěn)定的運(yùn)行時保證企業(yè)網(wǎng)絡(luò)運(yùn)行正常的關(guān)鍵，一旦出現(xiàn)網(wǎng)絡(luò)擁塞會導(dǎo)致網(wǎng)絡(luò)運(yùn)行效率極具下降，對現(xiàn)代化企業(yè)而言結(jié)果是災(zāi)難性的.路由器的安全性包括路由器本身和企業(yè)信息的安全性，由于路由器是網(wǎng)絡(luò)互聯(lián)的關(guān)鍵設(shè)備，因此路由器的安全性要高于其他設(shè)備.本文分別對交換機(jī)和路由器進(jìn)行案例分析，介紹了這兩種網(wǎng)絡(luò)設(shè)備常見的方法技術(shù)，通過不同網(wǎng)絡(luò)設(shè)備安全技術(shù)的綜合應(yīng)用，實現(xiàn)企業(yè)網(wǎng)絡(luò)的高可用性和安全性，做到防患于未然.

［1］鄭彥平.網(wǎng)絡(luò)設(shè)備安全措施與實現(xiàn)［J］.煤炭技術(shù). 2011,30(12):206-207.

［2］徐恪,趙玉東,陳文龍,沈蒙,徐磊.防御數(shù)據(jù)竊聽攻擊的路由交換范式體系［J］.計算機(jī)學(xué)報.2016(39): 1-16.

［3］林初建,張四海,王海英,馮雷,趙君.基于非對稱VLAN的端口隔離技術(shù)研究與應(yīng)用［J］.華東師范大學(xué)學(xué)報（自然科學(xué)版）.2015,3(S1):232-239.

［4］范靜,陳睿.基于網(wǎng)絡(luò)交換機(jī)安全措施的研究與實現(xiàn)［J］.華東電力.2014,42(5):1048-1049.

［責(zé)任編輯：王曉軍］

Security Guard and Implementation of Switch and Router in Enterprise Network

GUO Lin

(Shunde Polytechnic,Shunde 528300)

The security of network equipment is an important part of the overallnetwork security assurance. How to strengthen the security of switches and routers and other network equipment is of great significance to improve the reliability of the enterprise network,availability and integrity.Using VLAN technology to prevent the broadcast storm,The broadcast storm of exchange is prevented by using VLAN technology.Redundant backup is realized by using VRRP technology.in order to avoid the occurrence of network equipment insecurity,the traffic filtering is completed by using the access control uits,and the traffic control is completed,by using policy routing.

enterprise network;switch;router;security guard

TP 399

A

1672-402X（2016）11-0057-05

2016-08-20

廣東省教育科學(xué)“十二五”規(guī)劃課題（NO.2012JK303，主持人：郭琳）;廣東省高等職業(yè)教育教學(xué)改革2013年度項目（NO.20130201109，主持人：郭琳）;廣東省職業(yè)技術(shù)教育學(xué)會第三屆理事會科研規(guī)劃項目（201503Y67）；順德職業(yè)技術(shù)學(xué)院2015校級教學(xué)改革項目（2015-SZJGXM16）.

郭琳（1978-），女，河南禹州人，湖南大學(xué)碩士研究生畢業(yè)，順德職業(yè)技術(shù)學(xué)院講師，網(wǎng)絡(luò)工程師，廣東省“千百十”校級培養(yǎng)對象，研究方向：網(wǎng)絡(luò)技術(shù)、信息安全.