王立平 姚程寬 盧燦舉 伍光輝 程躍

（1.安慶醫(yī)藥高等?？茖W(xué)校 公共基礎(chǔ)部，安徽 安慶 246003；2.國防科技大學(xué) 電子對抗學(xué)院，合肥 230037；

3.安徽風(fēng)云網(wǎng)絡(luò)科技有限公司，合肥 230026）

摘要：基于智能廣域網(wǎng)技術(shù)，建設(shè)了一個有400多個分支機構(gòu)的企業(yè)網(wǎng)絡(luò)，并采用了不同的技術(shù)，解決了智能廣域網(wǎng)的多個涉及安全性和穩(wěn)定性的問題。實踐結(jié)果表明：智能廣域網(wǎng)技術(shù)能夠滿足企業(yè)網(wǎng)絡(luò)安全性高，易于擴充和維護的要求，且具有較好的用戶體驗感。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)；大型企業(yè)；動態(tài)多點虛擬局域網(wǎng)；廣域網(wǎng)；智能廣域網(wǎng)；局域網(wǎng)

中圖分類號：TN915.0 文獻標志碼：A

文章編號：2095-5383（2018）02-0043-03

Failure Analysis and Improved Method of Dial Bore Gage

WANG Liping1， YAO Chengkuan1， LU Canju2， WU Guanghui3， CHENG Yue3

（1.Department of Common Basic， Anqing Medical and Pharamaceutical College， Anqing 246003， China； 2.College of Electronic Countermeasures， National University of Defense Technology， Hefei 230027， China； 3.Anhui Fengyun Network Technology co. LTD.， Hefei 230026， China）

Abstract：Based on IWAN， an enterprise network with more than 400 branches was built in paper. Different technologies adopted to solve the problems of security and stability of IWAN. The practical results show that IWAN can meet the safety requirements of enterprise network and be easy to expand and maintain. Moreover， the user experience also makes the IWAN technology become the development direction of modern enterprise network construction.

Keywords： Virtual Private Network （VPN）； large enterprise；DMVPN； WAN； IWAN； LAN

大型企業(yè)的網(wǎng)絡(luò)建設(shè)方案大都采用了虛擬專用網(wǎng)絡(luò)（Virtual Private Network， VPN），隨著企業(yè)內(nèi)部子網(wǎng)的增加和應(yīng)用需求的增多，所需的網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)備份設(shè)備也會相應(yīng)增多。如果沒有科學(xué)的規(guī)劃，這些設(shè)備不僅造成購買和維護成本的增加，同時也會帶來使用上的負擔，比如接入網(wǎng)絡(luò)的設(shè)備越多對帶寬的需求就越大，從用戶體驗的角度看就是網(wǎng)速越來越慢[1-2]。智能廣域網(wǎng)技術(shù)（IWAN）是一種新的組網(wǎng)方式，它可以在網(wǎng)絡(luò)帶寬不變的情況下，構(gòu)建架構(gòu)開放、編程靈活和易于擴展和維護的廣域網(wǎng)，從而實現(xiàn)企業(yè)內(nèi)部各節(jié)點之間高效的數(shù)據(jù)傳輸。

安徽省鹽業(yè)總公司是隸屬于安徽省國資委的大型國有企業(yè)，有17家市級鹽業(yè)公司，71家縣級公司。從1999年開始，安徽省鹽業(yè)公司借助于ISP骨干網(wǎng)絡(luò)的專用鏈路建立了以VPN為紐帶的企業(yè)局域網(wǎng)，并在此基礎(chǔ)上運行了企業(yè)內(nèi)部的ERP、OA等若干個管理系統(tǒng)。隨著業(yè)務(wù)的高速增長，現(xiàn)有的網(wǎng)絡(luò)帶寬難以滿足工作的需求，且計劃增加400多家鄉(xiāng)鎮(zhèn)級分支機構(gòu)，這會對網(wǎng)絡(luò)帶寬及網(wǎng)絡(luò)運營成本提出了更大的挑戰(zhàn)。為了能夠找到比ISP專用鏈路成本更低，且能保障安全性、可用性，并使得分支機構(gòu)的成本較低的網(wǎng)絡(luò)架構(gòu)方案，最終采用了智能廣域網(wǎng)的解決方案[3-4]。

1 智能廣域網(wǎng)的架構(gòu)

傳統(tǒng)的大型企業(yè)總部與分支機構(gòu)的網(wǎng)絡(luò)連接如圖1所示，分支機構(gòu)與分支機構(gòu)之間，分支機構(gòu)與總部之間的數(shù)據(jù)鏈路為專用鏈路，如VPN等，而與互聯(lián)網(wǎng)相連接的出口在一般在總部。在圖1的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)的安全訪問控制措施都在總部部署和實施。由于是專用鏈路，也就是私有鏈路，因此要為鏈路的使用付出較高的成本。對于企業(yè)的長期經(jīng)營而言，降低企業(yè)的網(wǎng)絡(luò)成本就是尋求改進和提升的目標和動力。為此，提出基于智能廣域網(wǎng)的建設(shè)方案，其網(wǎng)絡(luò)架構(gòu)如圖2所示。

在圖2中，基于智能廣域網(wǎng)來構(gòu)建企業(yè)局域網(wǎng)，分支機構(gòu)的流量通過虛擬的VPN通道傳遞到總公司，也就是說可以采用相同的安全架構(gòu)，同時還可以得益于智能廣域網(wǎng)的額外傳輸和邊緣安全等優(yōu)點[5-6]。智能廣域網(wǎng)的優(yōu)點有：1）獨立于傳輸?shù)倪B接。智能廣域網(wǎng)可以覆蓋已有的VPN或DMVPN（動態(tài)多點虛擬局域網(wǎng)），并建立了一個帶有路由搜索功能的網(wǎng)絡(luò)，能夠連接不同類型的局域網(wǎng)，并在不改變網(wǎng)絡(luò)架構(gòu)的環(huán)境中增加新的網(wǎng)絡(luò)連接或者更改已有的網(wǎng)絡(luò)連接。2）智能路徑選擇。智能廣域網(wǎng)借助高性能路由器以及網(wǎng)絡(luò)加速設(shè)備，平衡網(wǎng)絡(luò)負載，充分利用可用帶寬，使得業(yè)務(wù)數(shù)據(jù)能夠快速、高效傳遞給企業(yè)內(nèi)部和外部的用戶。智能路徑傳輸是建立智能廣域網(wǎng)的關(guān)鍵。3）優(yōu)化應(yīng)用。Http使得80端口和眾多的端口不斷重復(fù)使用，使得應(yīng)用變得不透明，靜態(tài)端口的使用不能滿足需求。智能廣域網(wǎng)通過對數(shù)據(jù)包的深度檢測，確定應(yīng)用的性能，保證關(guān)鍵應(yīng)用有適度的優(yōu)先權(quán)或提供應(yīng)用加速，在降低響應(yīng)時間的同時降低對帶寬的占用。4）安全連接。智能廣域網(wǎng)通過各種防火墻和安全訪問控制策略保證了連接的安全可靠，從而實現(xiàn)用戶的流量保護。

由于分支機構(gòu)直接接入互聯(lián)網(wǎng)，分支機構(gòu)會面臨互聯(lián)網(wǎng)的攻擊和漏洞危害，主要有4個方面的安全問題：1）網(wǎng)絡(luò)隔離；2）數(shù)據(jù)保密性和完整性；3）入侵和攻擊防御；4）防數(shù)據(jù)泄露。如何解決上述問題就是構(gòu)建智能廣域網(wǎng)的主要工作。

2 主要問題的解決方案

2.1 網(wǎng)絡(luò)隔離

將網(wǎng)絡(luò)分隔，檢測它們之間的流量傳輸，確保子網(wǎng)之間沒有流量泄漏。本文的IWAN解決方案中，WAN到LAN的隔離是通過使用VRF實現(xiàn)，而內(nèi)部子網(wǎng)隔離是通過基于區(qū)域的防火墻軟件實現(xiàn)。

2.1.1 WAN到LAN隔離

內(nèi)網(wǎng)與外網(wǎng)隔離的目的是確保對內(nèi)網(wǎng)訪問的安全性，同時有效控制意外流量泄露。由于運營商和企業(yè)使用各自獨立的IP路由和編址方案，如果在分支路由器上混合使用這些方案，易造成數(shù)據(jù)包意外轉(zhuǎn)發(fā)到錯誤的路由和網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)故障，甚至造成數(shù)據(jù)泄密。內(nèi)網(wǎng)和外網(wǎng)的隔離采用虛擬路由轉(zhuǎn)發(fā)技術(shù)（VFR），VFR通過定義虛擬路由域，復(fù)制自己的路由協(xié)議和轉(zhuǎn)發(fā)規(guī)則，從而將其作為自己的虛擬路由器，該方法可以消除路由攻擊，減少內(nèi)網(wǎng)和外網(wǎng)的IP沖突，降低內(nèi)網(wǎng)流量外泄[7-8]。

2.1.2 LAN中的子網(wǎng)隔離

內(nèi)網(wǎng)可以根據(jù)區(qū)域、業(yè)務(wù)類型劃分成若干子網(wǎng)。子網(wǎng)隔離的目的是建立不同的網(wǎng)絡(luò)安全區(qū)域，以便用相應(yīng)的安全訪問控制策略限制區(qū)域間的訪問。在基于區(qū)域的防火墻中，一個接入點只能屬于一個區(qū)域，每個接入點都被定義成某個安全區(qū)域的成員，同一區(qū)域中的數(shù)據(jù)傳輸不受限制。不同區(qū)域間數(shù)據(jù)傳輸需要制定策略，確保安全的跨區(qū)域訪問[9-10]。

2.2 數(shù)據(jù)保密性和完整性

在智能廣域網(wǎng)的架構(gòu)中，各個分支機構(gòu)都直接接入互聯(lián)網(wǎng)，如果沒有必要的措施，容易導(dǎo)致網(wǎng)絡(luò)竊聽、數(shù)據(jù)包劫持等安全問題。在每個子網(wǎng)與互聯(lián)網(wǎng)的接口處采用數(shù)字證書的公共密鑰基礎(chǔ)設(shè)施（PKI）。PKI是一個具備較高安全性能的控制機制，專門用來對VPN對等體進行身份的驗證。針對未經(jīng)授權(quán)的設(shè)備偽裝成VPN對等體，PKI能夠識別準確識別，同時消除第三方攻擊。

同時為了提高網(wǎng)絡(luò)的安全性能，需要建設(shè)并維護企業(yè)自己的證書服務(wù)器，在向子網(wǎng)路由器授權(quán)安全證書時，要嚴格遵循證書頒發(fā)策略。嚴格的證書管理制度能提高路由器的抗干擾能力[11-12]。

2.3 入侵和攻擊防御

子網(wǎng)通過路由器接入外網(wǎng)后，就會直接受到攻擊和入侵嘗試。這些攻擊和入侵會導(dǎo)致路由器性能下降甚至癱瘓，并進一步感染連接到路由器的其他設(shè)備[13-14]?？梢詮膬蓚€方面來預(yù)防此類攻擊。

2.3.1 路由器安全保護

來自外部和內(nèi)部的攻擊都會導(dǎo)致路由器性能下降，甚至完全控制了路由器，對于路由器的保護采用以下方法：

1）停止不必要的偵聽端口，如HTTP等，避免這些端口被獲取訪問權(quán)限從而導(dǎo)致路由器癱瘓。

2）關(guān)閉純文本接入模式，如Telnet。

3）在必要的接入點，開啟身份接入驗證。

4）對接入的子網(wǎng)數(shù)量進行控制。

2.3.2 流量控制

分支機構(gòu)的子網(wǎng)在接入外網(wǎng)后，路由器和有其連接的子網(wǎng)都需要保護，而對子網(wǎng)保護的一種有效方法就是流量控制。流量控制就是將廣域網(wǎng)接口的進入流量限制為僅為VPN的控制流量，也就是IPsec IKE流量。同時，要允許來自重要設(shè)備和網(wǎng)絡(luò)的管理流量進入網(wǎng)絡(luò)，如ICMP協(xié)議、DHCP協(xié)議和NTP協(xié)議等。除此之外，禁止一切外部訪問。

通過流量控制，基本能阻止惡意流量的入侵，而讓來自指定IP的VPN流量和管理流量進入子網(wǎng)。

2.4 防數(shù)據(jù)泄露

智能廣域網(wǎng)中，需要針對數(shù)據(jù)泄露增加解決方案，本文采用了DLP（Data leakage prevention）解決方案，其核心思想是設(shè)立中心站點，分支機構(gòu)的數(shù)據(jù)流達到外網(wǎng)的唯一通道是通過中心站點，不允許分支機構(gòu)有直接接入外網(wǎng)的流量，防止重要信息被有意或無意傳到組織之外[15-16]。

3 應(yīng)用效果

安徽省鹽業(yè)公司以本文的構(gòu)建方法建設(shè)了包含400多個分支機構(gòu)的智能廣域網(wǎng)，實現(xiàn)了對全網(wǎng)的統(tǒng)一監(jiān)控，保障了安全生產(chǎn)，優(yōu)化了網(wǎng)絡(luò)資源，具體體現(xiàn)在：1）網(wǎng)絡(luò)的安全運行保障了業(yè)務(wù)的順利開展，網(wǎng)絡(luò)的整體可用性大大提高，故障率也明顯降低。2）網(wǎng)絡(luò)運行成本大大降低，相比較使用傳統(tǒng)鏈路的VPN方式，向運營商（ISP）所支付的鏈路費用每年降低200多萬元（400多個分支機構(gòu)）。3）由于智能廣域網(wǎng)具有智能路徑選擇的優(yōu)點，帶寬利用率大幅提升，用戶體驗感增強，尤其是對外網(wǎng)的應(yīng)用，比如瀏覽網(wǎng)頁，看視頻等，網(wǎng)速明顯提升。4）智能廣域網(wǎng)可以對網(wǎng)絡(luò)運行質(zhì)量進行量化考核，從而提升網(wǎng)絡(luò)的管理水平和服務(wù)水平。

4 總結(jié)與展望

在大型企業(yè)的網(wǎng)絡(luò)建設(shè)和管理中，面臨多分支機構(gòu)、多業(yè)務(wù)融合、復(fù)雜的流量和多變的流向，對網(wǎng)絡(luò)的承載能力、保障能力等提出了新的挑戰(zhàn)。本文在探索研究網(wǎng)絡(luò)前沿技術(shù)的基礎(chǔ)上，集成了多個廠商的多個技術(shù)，規(guī)劃和建設(shè)了具有適應(yīng)性高、安全性高、架構(gòu)開放、易于擴展、且使用成本低的智能廣域網(wǎng)。未來，大型企業(yè)的網(wǎng)絡(luò)規(guī)劃和建設(shè)應(yīng)該遵循“技術(shù)可行，經(jīng)濟合理”的基本原則，以促使智能廣域網(wǎng)技術(shù)得以更廣泛地應(yīng)用。

參考文獻：

[1]

陶志勇，王如龍，張錦.面向集成的VPN構(gòu)建策略[J].計算機系統(tǒng)應(yīng)用，2014（4）：2328.

[2]

李智宏.VPN技術(shù)在局域網(wǎng)中的應(yīng)用[J].電子測試，2016（11）：6869，46.

[3]

童樣，張水平，李有峰， 等.基于MPLS的VPN互訪技術(shù)[J].計算機工程與設(shè)計， 2014（9）： 30183023.

[4]

任治洪.中國石油廣域網(wǎng)智能管理系統(tǒng)設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2011.

[5]

李淑英.大型企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計與應(yīng)用[J].山東冶金，2016（1）：5455，60.

[6]

陳遙，杜知名.雙中心雙云的DM VPN設(shè)計[J].南京信息工程大學(xué)學(xué)報，2016（2）：170174.

[7]

蔣華，李康康，胡榮磊.一種基于strong Swan的IPSec VPN網(wǎng)關(guān)的實現(xiàn)[J].計算機應(yīng)用與軟件，2017（7）：7984.

[8]

王廣澤，汪鵬，羅智勇， 等.一種MPLS VPN的分散校區(qū)圖書館教育網(wǎng)組建模型[J].哈爾濱理工大學(xué)學(xué)報，2017（3）：3135.

[9]

呂承民，謝永強，李武， 等.VPN網(wǎng)絡(luò)設(shè)計及性能分析[J].貴州師范大學(xué)學(xué)報（自然科學(xué)版）， 2014（1）：8185.

[10]

解靈運.大型企業(yè)信息網(wǎng)絡(luò)規(guī)劃研究[J].電腦與電信，2013（7）：3335，38.

[11]

董旭源，常鵬，王寶亮， 等.校園網(wǎng)MPLS VPN系統(tǒng)的設(shè)計研究[J].計算機應(yīng)用與軟件，2017（10）：209213.

[12]

趙炯，林旺城，洪翔，等.大型企業(yè)信息化網(wǎng)絡(luò)設(shè)計方案研究[J].制造業(yè)自動化， 2010（8）： 3134，69.

[13]

楊明亞，楊穎潔. 基于VRML的虛擬現(xiàn)實研究[J]. 唐山師范學(xué)院學(xué)報，2013（2）：5052.

[14]

陶駿，匡磊，徐旺， 等.基于MPLS VPN和MSDP的跨域組播網(wǎng)絡(luò)設(shè)計[J].計算機科學(xué)，2017（z1）：263265，287.

[15]

盧綺雯.銀行三級廣域網(wǎng)的發(fā)展趨勢及建設(shè)[J].華南金融電腦，2008（6）：58.

[16]

吉誠.企業(yè)級網(wǎng)絡(luò)設(shè)計方案的規(guī)劃與測試[D].上海：上海交通大學(xué)，2008.