鄒江濱

（中移鐵通云南分公司，昆明 650011）

1 引言

自從李克強(qiáng)總理在政府工作報(bào)告中首次提出 互聯(lián)網(wǎng)+行動(dòng)計(jì)劃。 互聯(lián)網(wǎng)+ 代表一種新的經(jīng)濟(jì)形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟(jì)社會(huì)各領(lǐng)域之中，提升實(shí)體經(jīng)濟(jì)的創(chuàng)新力和生產(chǎn)力，形成更廣泛的以互聯(lián)網(wǎng)為基礎(chǔ)設(shè)施和實(shí)現(xiàn)工具的經(jīng)濟(jì)發(fā)展新形態(tài)。

企業(yè)參與到 互聯(lián)網(wǎng)+ 的前提是有自己的企業(yè)信息化基礎(chǔ)，而企業(yè)信息化的最基本的是企業(yè)局域網(wǎng)。

通過日常網(wǎng)絡(luò)維護(hù)中，發(fā)現(xiàn)目前大量企業(yè)的局域網(wǎng)構(gòu)建的時(shí)候只考慮了一個(gè)基本的互通的網(wǎng)絡(luò)，很少考慮到網(wǎng)絡(luò)的可靠性和安全性；網(wǎng)絡(luò)中的數(shù)據(jù)配置沒有規(guī)劃，存在管理和后續(xù)擴(kuò)展的問題；并且隨著無線接入技術(shù)的發(fā)展，大量無規(guī)劃的無線WIFI接入造成了企業(yè)信息的外泄。

本文從構(gòu)建一個(gè)可靠性高的基礎(chǔ)網(wǎng)絡(luò)，并對(duì)其中的數(shù)據(jù)規(guī)劃提出建議，并結(jié)合網(wǎng)絡(luò)安全進(jìn)行論述?？紤]到目前無線WIFI的實(shí)際應(yīng)用，提出了企業(yè)組建無線WIFI網(wǎng)絡(luò)的方案。并對(duì)企業(yè)網(wǎng)絡(luò)信息安全工作提出指導(dǎo)建議。

2 大中型企業(yè)局域網(wǎng)組網(wǎng)架構(gòu)

圖1 企業(yè)組網(wǎng)圖

組網(wǎng)的原則：

（1）通常采用星型結(jié)構(gòu)，在中心區(qū)域放置兩臺(tái)高性能的匯聚交換機(jī)。

（2）分公司或分支機(jī)構(gòu)網(wǎng)絡(luò)上行至兩臺(tái)中心匯聚交換機(jī)。

（3）服務(wù)器通常放置在防火墻內(nèi)部。

（4）局域網(wǎng)出網(wǎng)處部署DPI流量分析控制設(shè)備。

（5）通過VPN接入設(shè)備，對(duì)遠(yuǎn)程辦公人員提供接入。

（6）如果企業(yè)對(duì)網(wǎng)絡(luò)安全性要求更高，可以將全部核心層和匯聚層的設(shè)備改為雙設(shè)備負(fù)荷分擔(dān)的方式。

圖中，分公司如果需租用長(zhǎng)途電路連接至中心匯聚交換機(jī)，成本較高，可以采用MPLS-VPN接入的方式進(jìn)行組網(wǎng)。

3 大中型企業(yè)局域網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃建議

一個(gè)好的網(wǎng)絡(luò)除了較好的網(wǎng)絡(luò)結(jié)構(gòu)外，還需要好的數(shù)據(jù)規(guī)劃，以便于后續(xù)網(wǎng)絡(luò)的擴(kuò)容、調(diào)整，以及訪問控制的策略的制定等。網(wǎng)絡(luò)的數(shù)據(jù)規(guī)劃主要有幾個(gè)方面，路由組織、IP地址規(guī)劃、VLAN規(guī)劃。

路由組織：較小的網(wǎng)絡(luò)可以采用靜態(tài)路由來規(guī)劃，但是中大型的網(wǎng)絡(luò)建議采用動(dòng)態(tài)路由，以便實(shí)現(xiàn)路由層面的網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)維護(hù)的便捷性。企業(yè)局域網(wǎng)建議采用OSPF路由協(xié)議。

IP地址規(guī)劃原則：

（1）企業(yè)內(nèi)部使用私網(wǎng)地址，三段私網(wǎng)地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）IP地址規(guī)劃的原則建議采用先大類業(yè)務(wù)、再區(qū)域的原則進(jìn)行分配，這里的業(yè)務(wù)要求是區(qū)別較大的業(yè)務(wù)，比如內(nèi)網(wǎng)辦公、互聯(lián)網(wǎng)業(yè)務(wù)、無線WIFI地址。

（3）不同業(yè)務(wù)采用不同的網(wǎng)段，將設(shè)備地址、用戶業(yè)務(wù)地址、服務(wù)器使用地址分開。

VLAN規(guī)劃原則：

（1）建議VLAN以部門來劃分，每個(gè)部門一個(gè)VLAN。

（2）應(yīng)該將每個(gè)VLAN的終端數(shù)控制在100以內(nèi)，以避免過大的廣播域，如果部門人數(shù)過多，可以分配多個(gè)VLAN來限制廣播域。

規(guī)劃范例：某大集團(tuán)下屬10個(gè)公司，每個(gè)公司有財(cái)務(wù)部、綜合部、人力資源部、銷售部、采購部、生產(chǎn)中心6個(gè)部門；公司內(nèi)部有幾臺(tái)服務(wù)器提供郵件、OA服務(wù)；公司經(jīng)常有人出差，需外部辦公VPN接入內(nèi)網(wǎng)。

設(shè)備之間互聯(lián)使用ip地址段172.16.1.0/24，每個(gè)互聯(lián)IP使用30位掩碼的互聯(lián)地址；設(shè)備之間啟用OSPF動(dòng)態(tài)路由；辦公地址使用網(wǎng)段10.0.0.0/8，每個(gè)分公司分配4個(gè)C，如分公司A使用10.0.0.0/22、分公司B使用10.0.4.0/22等；每個(gè)分公司每個(gè)部門1個(gè)VLAN，每個(gè)VLAN分配半個(gè)C地址。公司內(nèi)部服務(wù)器使用的地址段可以使用192.168.0.0/24；另外分配一段VPN接入地址池，192.168.1.0/24；每個(gè)業(yè)務(wù)后續(xù)的地址可以作為擴(kuò)容使用。

4 大中型企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全性

企業(yè)為了保障正常的辦公，需有一個(gè)強(qiáng)健的局域網(wǎng)，需從網(wǎng)絡(luò)接入、數(shù)據(jù)配置策略、安全管理設(shè)備等方面來保障網(wǎng)絡(luò)的安全性和可靠性。

4.1 網(wǎng)絡(luò)架構(gòu)安全性

網(wǎng)絡(luò)的架構(gòu)的安全主要是設(shè)備的主備和鏈路的冗余備份；通常核心設(shè)備采用主備的方式，接入鏈路通過異傳輸徑路雙上行至不同核心設(shè)備來實(shí)現(xiàn)冗余備份；網(wǎng)絡(luò)出口的可以接入兩家ISP來實(shí)現(xiàn)網(wǎng)絡(luò)出口的安全性。

企業(yè)內(nèi)部的服務(wù)器通常存有大量的企業(yè)內(nèi)部機(jī)密信息，為了安全性，通常應(yīng)將此類服務(wù)器置于企業(yè)內(nèi)部的防火墻。

還可以通過VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）技術(shù)來實(shí)現(xiàn)更高的可靠性，VRRP通常用在邊緣網(wǎng)絡(luò)，通過兩臺(tái)網(wǎng)關(guān)設(shè)備虛擬成一臺(tái)設(shè)備，實(shí)現(xiàn)網(wǎng)關(guān)的冗余備份。此類建設(shè)成本較高，建議對(duì)于非常重要的接入節(jié)點(diǎn)采用此技術(shù)；上圖中，可以對(duì)企業(yè)防火墻內(nèi)部的服務(wù)器采用VRRP技術(shù)，以保證企業(yè)內(nèi)部信息系統(tǒng)的高可靠性。

如果企業(yè)通過局域網(wǎng)部署了網(wǎng)絡(luò)電話等高時(shí)延敏感性業(yè)務(wù)，對(duì)鏈路中斷切換要求較高，可以采用BFD（Bidirectional Forwarding Detection雙向轉(zhuǎn)發(fā)檢測(cè)機(jī)制）可以提供毫秒級(jí)的檢測(cè)，可以實(shí)現(xiàn)鏈路的快速檢測(cè)，BFD通過與上層路由協(xié)議聯(lián)動(dòng)，可以實(shí)現(xiàn)路由的快速收斂，確保業(yè)務(wù)的永續(xù)性。

4.2 數(shù)據(jù)配置策略

數(shù)據(jù)配置的策略應(yīng)只保障每個(gè)團(tuán)體或個(gè)人只有相應(yīng)的權(quán)限范圍內(nèi)的訪問需求。具體為：

（1）每個(gè)人的IP地址和MAC地址進(jìn)行綁定，網(wǎng)絡(luò)較大的情況下可以部署DHCP服務(wù)器來進(jìn)行管理。

（2）企業(yè)網(wǎng)絡(luò)設(shè)備應(yīng)只有信息管理人員可以訪問。

（3）內(nèi)部辦公的服務(wù)器應(yīng)該只允許內(nèi)部員工訪問，各部門內(nèi)部的服務(wù)器只允許特定部門員工訪問。

（4）部門之間訪問存在限制，比如其他部門均不能訪問財(cái)務(wù)部。

（5）只允許部分用戶訪問外網(wǎng)。

（6）企業(yè)網(wǎng)站對(duì)外提供服務(wù)。

為了實(shí)現(xiàn)以上的策略，有以下方法：

（1）在各地市接入交換機(jī)上加訪問控制列表，限制部門之間的訪問。

（2）在設(shè)備登錄管理里面添加訪問控制列表，只允許信息管理人員的地址登錄。

（3）在企業(yè)內(nèi)部防火墻上添加策略，只允許特定的部門IP地址訪問特定的服務(wù)器。

（4）除了在服務(wù)器外面的防火墻布置訪問控制外，還應(yīng)該在特定重要的服務(wù)器上配置防火墻策略上只允許特定的IP訪問。

（5）在出口路由器上進(jìn)行NAT配置允許特定的IP地址訪問外網(wǎng)。

（6）需對(duì)外提供服務(wù)的私網(wǎng)服務(wù)器，在出口路由器上只對(duì)相應(yīng)的私網(wǎng)IP做相應(yīng)服務(wù)的端口的公網(wǎng)映射，避免一對(duì)一的NAT；因?yàn)橐粚?duì)一的NAT會(huì)將內(nèi)網(wǎng)服務(wù)器的全部服務(wù)端口映射至公網(wǎng)上，提供的端口越多，被攻破的風(fēng)險(xiǎn)越大。

4.3 部署安全管理設(shè)備

堡壘很多時(shí)候都是從內(nèi)部被攻破的，除了前面的一些安全措施外，企業(yè)還應(yīng)通過部署一些安全管理設(shè)備，如日志存儲(chǔ)設(shè)備、DPI（Deep Packet Inspection，深度包檢測(cè)技術(shù)）流控設(shè)備，加強(qiáng)企業(yè)內(nèi)網(wǎng)的安全防護(hù)。

作為大中型企業(yè)，由于員工眾多，企業(yè)內(nèi)部信息安全存在很大的風(fēng)險(xiǎn)，通過部署日志存儲(chǔ)系統(tǒng)，將出口路由器上的員工上網(wǎng)記錄做好存儲(chǔ)，以便在必要的時(shí)候進(jìn)行追查。

DPI流控設(shè)備的工作原理是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。通過DPI流控設(shè)備對(duì)局域網(wǎng)的流量、協(xié)議、用戶進(jìn)行多維度的分析統(tǒng)計(jì)，可以及時(shí)發(fā)現(xiàn)異常流量的報(bào)文信息，并可以將部分影響帶寬和工作的協(xié)議進(jìn)行限制，提升企業(yè)效益和工作效率；對(duì)后續(xù)的網(wǎng)絡(luò)規(guī)劃、信息安全都具有較大意義。

4.4 企業(yè)信息安全管理

前面提到的是一些網(wǎng)絡(luò)設(shè)備層面的網(wǎng)絡(luò)安全事項(xiàng)，此外，企業(yè)內(nèi)部還應(yīng)加強(qiáng)對(duì)信息安全的管理，以下是一些常用的信息安全管理事項(xiàng)：

（1）各種軟件的漏洞已經(jīng)成為大規(guī)模網(wǎng)絡(luò)與信息安全事件和重大信息泄露事件的主要原因之一。針對(duì)計(jì)算機(jī)漏洞帶來的危害，安裝相應(yīng)的補(bǔ)丁是最有效、也是最經(jīng)濟(jì)的防范措施。而大型企業(yè)由于設(shè)備型號(hào)和軟件版本眾多，為了降低因?yàn)檐浖┒丛斐傻男畔踩录髽I(yè)應(yīng)加強(qiáng)對(duì)企業(yè)涉及到的軟件進(jìn)行管理，加強(qiáng)軟件應(yīng)用系統(tǒng)的版本和補(bǔ)丁管理，定期對(duì)官方的一些漏洞補(bǔ)丁發(fā)布網(wǎng)站（如補(bǔ)天網(wǎng)butian.#）進(jìn)行查看。

（2）加強(qiáng)各系統(tǒng)的賬號(hào)管理，包括分配、刪除、授權(quán)等方面，賬號(hào)的權(quán)限應(yīng)該符合使用人員的職責(zé)，避免授權(quán)過高；企業(yè)員工離職和調(diào)離原崗位，需將相應(yīng)系統(tǒng)的賬號(hào)進(jìn)行刪除。

（3）由于現(xiàn)在單臺(tái)計(jì)算機(jī)性能較強(qiáng)和密碼破解軟件的強(qiáng)大，企業(yè)應(yīng)加強(qiáng)系統(tǒng)的用戶密碼強(qiáng)度和有效期管理，密碼強(qiáng)度通常要求8位數(shù)字、字母、特殊字符混合組成，有效期通常3個(gè)月；企業(yè)最好是通過系統(tǒng)自動(dòng)實(shí)現(xiàn)密碼強(qiáng)度和有效期管理。

5 大中型企業(yè)局域網(wǎng)無線網(wǎng)絡(luò)管理要求

隨著技術(shù)的發(fā)展，企業(yè)內(nèi)部員工使用移動(dòng)終端的越來越多，大量的員工有無線WIFI接入的需求，不管是接入企業(yè)內(nèi)網(wǎng)辦公還是接入互聯(lián)網(wǎng)。

部分的員工為了工作和生活的便利，私接無線路由器，如將企業(yè)內(nèi)網(wǎng)或互聯(lián)網(wǎng)通過無線路由器轉(zhuǎn)換為無線信號(hào)給筆記本終端和手機(jī)終端使用。此舉給公司信息安全帶來較大的隱患，存在外來人員隨意接入企業(yè)內(nèi)網(wǎng)，公司涉密筆記本隨意接入互聯(lián)網(wǎng)等情況，而企業(yè)正常辦公也存在需要使用無線網(wǎng)絡(luò)的情況。

堵不如疏 ，建議企業(yè)可以建設(shè)一張無線接入網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)納入網(wǎng)管和監(jiān)控。

圖2 無線組網(wǎng)圖

組網(wǎng)規(guī)劃：

（1）通過布放AP實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋。

（2）通過AC對(duì)全部AP進(jìn)行集中管理監(jiān)控，分配IP地址。

（3）每個(gè)AP發(fā)送兩個(gè)SSID，如OA和Internet分別分配不同的IP地址，授權(quán)訪問不同的網(wǎng)絡(luò)，如果有更多需求可以分配更多的SSID來實(shí)現(xiàn)接入不同網(wǎng)絡(luò)。

（4）通過AC和RADIUS服務(wù)器對(duì)用戶進(jìn)行管理，用戶登錄時(shí)使用各自的賬號(hào)。

6 結(jié)束語

本文是從日常工作中積累的相關(guān)知識(shí)，希望可以給企業(yè)信息化管理人員提供一定的指導(dǎo)建議。

[1] 滿昌勇.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)[M].北京：清華大學(xué)出版社，2010.