（廣西廣播電視無線傳播樞紐臺）

一、引言

隨著信息化事業(yè)的迅猛發(fā)展，越來越多中小型企事業(yè)單位信息系統(tǒng)對網(wǎng)絡資源提出了更高的要求，如何更好地優(yōu)化現(xiàn)有網(wǎng)絡資源已成為運維工作關(guān)注的重點。全區(qū)無線發(fā)射臺站遠程監(jiān)控系統(tǒng)核心網(wǎng)絡承載了信息系統(tǒng)所有業(yè)務的流量，對遠程監(jiān)控業(yè)務的健康運行起著至關(guān)重要的作用。本文以該套網(wǎng)絡系統(tǒng)為例，對其展開分析、優(yōu)化。

二、需求分析

核心網(wǎng)絡的優(yōu)化需根據(jù)具體業(yè)務需求，從安全性、可靠性、高效性幾個角度出發(fā)，分析現(xiàn)有網(wǎng)絡存在的劣勢，為新架構(gòu)設計提供目標。

（一）缺少冗余鏈路

現(xiàn)有網(wǎng)絡結(jié)構(gòu)的核心交換機、路由器存在單機運行的情況，如圖1所示，原網(wǎng)絡架構(gòu)中缺少必要的在線冗余鏈路作為保障，容易因單點故障，造成核心業(yè)務中斷。

（二）缺乏負載均衡機制

由于主要業(yè)務缺乏冗余鏈路，無法實現(xiàn)負載分擔。當突發(fā)流量過大時，核心區(qū)域設備容易因過載無法快速完成轉(zhuǎn)發(fā)任務，造成網(wǎng)絡丟包、延時，從而給信息系統(tǒng)用戶帶來負面體驗。

（三）區(qū)域劃分不明確

圖1 網(wǎng)絡拓撲圖

現(xiàn)有的核心網(wǎng)絡劃分為核心區(qū)域、服務器區(qū)域、終端區(qū)域、運維區(qū)域，存在區(qū)域劃分重疊和混淆的問題。一方面，服務器區(qū)域同時存在承載業(yè)務系統(tǒng)的服務器設備和安全設備，給運維工作造成不便，同時也不利于安全策略的應用。另一方面，現(xiàn)有網(wǎng)絡架構(gòu)邊界劃分不明確，有部分邊界網(wǎng)絡直接接入核心交換設備。而外部二層網(wǎng)絡的直接接入，使核心網(wǎng)絡容易受到復雜二層網(wǎng)絡環(huán)境帶來的沖擊，也給一系列二層網(wǎng)絡攻擊創(chuàng)造了可能。

（四）安全機制欠缺

現(xiàn)有網(wǎng)絡各交換機空閑端口處于開放狀態(tài)，同時，缺少設備準入機制，缺乏IP地址欺騙攻擊防御手段，為攻擊者提供了可乘之機，給執(zhí)法者溯源造成了困難。此外，區(qū)域間缺少相應的訪問安全策略，使木馬、病毒通過高危端口擴散成為可能。

三、規(guī)劃設計

根據(jù)需求分析，核心網(wǎng)絡架構(gòu)主要從以下幾個方面進行優(yōu)化。

（一）網(wǎng)絡結(jié)構(gòu)規(guī)劃

1.備份鏈路設計

為避免主要業(yè)務鏈路出現(xiàn)單節(jié)點，在原有結(jié)構(gòu)基礎上增加一臺核心交換機和路由器。如圖1所示，路由器和核心交換機間采用交叉上聯(lián)的方式接線，以降低雙節(jié)點故障風險。確保多路徑的開銷值一致，以實現(xiàn)遠程監(jiān)控業(yè)務鏈路負載均衡。

2.區(qū)域劃分

新的網(wǎng)絡結(jié)構(gòu)區(qū)域劃分如圖1所示。將原服務器區(qū)域切割成服務器區(qū)和安全區(qū)，同時明確邊界區(qū)域，將所有邊界網(wǎng)絡由邊界防火墻接入，多個其它業(yè)務用trunk方式上連至核心交換機，以VLAN標簽區(qū)分不同業(yè)務流量。為避免外部二層網(wǎng)絡接入核心交換機，上連接口須配置成三層以太網(wǎng)接口。其它業(yè)務網(wǎng)絡因存在多個VLAN接入，其對應三層接口須配置相應的Dot1q終結(jié)子接口，對報文VLAN標簽進行識別。

（二）鏈路冗余與負載分擔

1.MSTP設計

采用冗余鏈路設計來提高網(wǎng)絡可靠性的同時，必然會使網(wǎng)絡產(chǎn)生多個環(huán)路?，F(xiàn)今的企業(yè)級交換設備一般會默認開啟RSTP或MSTP協(xié)議破除環(huán)路，MSTP默認所有VLAN在instance 0下運行，本質(zhì)與RSTP無異。然而RSTP雖在STP的基礎上做了多處改進，大幅提升了生成樹收斂速度，但RSTP仍存在所有VLAN共享一顆生成樹的弊端，無法利用冗余鏈路實現(xiàn)負載分擔，且在部分情況下會造成某些VLAN通信異常。如圖2所示，假設SW2、SW3為核心交換機，SW1、SW4為接入交換機，經(jīng)RSTP 計算后SW3的0/2口處于阻塞狀態(tài)，此時VLAN2內(nèi)成員設備就無法訪問處于SW3的VLANIF2接口，且網(wǎng)絡內(nèi)所有流量只有一條路徑可尋，無法進行負載分擔。因此，須為網(wǎng)絡內(nèi)所有交換機配置MSTP實例與VLAN的映射關(guān)系，并指定核心交換機1、2為不同實例下的主備根橋，實現(xiàn)二層負載分擔。最后，將與終端直接相連的端口配置為邊緣端口，終端設備接入時不進行MSTP計算，提高終端接入速度。

圖2 部分區(qū)域示意

2.VRRP設計

VRRP是一種虛擬路由冗余協(xié)議，在交換設備不具備堆疊條件的情況下，VRRP技術(shù)是實現(xiàn)冗余網(wǎng)關(guān)的最佳途徑。通過為兩臺核心交換機的VLANIF接口創(chuàng)建VRRP備份組，來實現(xiàn)網(wǎng)關(guān)冗余備份，并通過設定優(yōu)先級來合理配置不同VLAN下的主備網(wǎng)關(guān)。VRRP和MSTP聯(lián)合組網(wǎng)時，須保證相同VLAN下主備網(wǎng)關(guān)的設置與MSTP的主備根橋保持一致，原因如圖2所示。SW2為VLAN 3所屬MSTP實例的根橋，該MSTP實例在SW3的0/2口被阻塞，而SW3為VLANIF 3的Master，當來自SW4的設備向VLAN 3網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)時，數(shù)據(jù)需經(jīng)過SW2、SW1才能最終到達SW3，使核心交換機間產(chǎn)生了不必要的流量。因此，MSTP/VRRP規(guī)劃如表1所示。

表1 MSTP/VRRP規(guī)劃表

3.策略路由設計

現(xiàn)網(wǎng)采用OSPF技術(shù)實現(xiàn)三層通信，由于在路由器和核心交換機之間規(guī)劃了互為冗余的等價鏈路，在路由器上必然會出現(xiàn)兩條去往同一目的區(qū)域且開銷相同，下跳地址分別為核心交換機1和2的等價路由條目，從而形成負載均衡。由于下跳地址的不確定性，會出現(xiàn)類似上一小節(jié)提到的場景。如圖2所示，一條目的地址屬于VLAN3所在網(wǎng)段的IP報文由路由器R流入，其訪問對象由SW4接入。該報文有兩條等價路由可以選擇，下跳地址分別是SW2、SW3的接口地址，若經(jīng)SW3轉(zhuǎn)發(fā)，該報文需經(jīng)過SW1、SW2才能最終到達SW4，產(chǎn)生了不必要的流量。因此，拓撲改造后需要在核心路由器上配置策略路由，通過ACL匹配報文的目的地址，為報文選擇下跳地址。當策略路由定義的下跳地址不存在時，會自動轉(zhuǎn)為按路由表轉(zhuǎn)發(fā)，實現(xiàn)故障切換。

（三）接口保護和安全策略

1.基于靜態(tài)綁定的IPSG

為確保未授權(quán)設備不能接入內(nèi)網(wǎng)，防止地址欺騙攻擊，須在所有接入交換機端口配置基于IP、MAC、接口靜態(tài)綁定的IPSG。不能通過IPSG表項匹配檢查的設備均無法接入網(wǎng)絡。需注意若服務器區(qū)和安全區(qū)存在虛擬化集群，其動態(tài)資源分配功能會導致虛擬機的網(wǎng)絡上行接口動態(tài)變更。因此，在設計服務器區(qū)和安全區(qū)交換機的靜態(tài)綁定表時，應采用N:1的IP和MAC綁定方式。

2.OSPF安全優(yōu)化

在核心交換機和路由器OSPF區(qū)域啟用基于HMACMD5驗證模式的區(qū)域驗證，同時對核心交換機區(qū)域的VLANIF配置OSPF靜默功能，禁止這些接口收發(fā)路由信息，從而提高OSPF網(wǎng)絡的安全性。

3.高危端口過濾

在各個區(qū)域VLAN的出方向應用報文過濾，通過ACL規(guī)則對使用知名高危端口進行通信的報文進行匹配并阻止通過，以防止病毒、木馬通過高危端口在區(qū)域間進行傳播，同時，強制關(guān)閉空閑物理接口，以強化信息系統(tǒng)網(wǎng)絡安全性。

四、部署和驗證

根據(jù)上述優(yōu)化方案，對遠程監(jiān)控系統(tǒng)核心網(wǎng)絡進行配置部署，并對負載分擔和故障切換功能進行驗證展示。

（一）區(qū)域劃分配置

按表1為網(wǎng)絡內(nèi)所有設備配置VLAN、網(wǎng)關(guān)IP，并配置OSPF確保路由器和各區(qū)域間路由可達。須將核心交換機邊界接口配置成三層接口，其它業(yè)務網(wǎng)絡上連口配置成Dot1q終結(jié)子接口。以核心交換機1部分接口為例，如圖3。

圖3 三層接口和Dot1q終結(jié)配置

（二）負載分擔配置

根據(jù)表1規(guī)劃，首先為二層網(wǎng)絡交換設備配置MSTP基本功能，再為各MSTP實例配置主備根橋，并在核心交換機上創(chuàng)建VRRP備份組。以核心交換機2、VLANIF101為例，核心交換機2為實例2、4的主根橋，其在VLANIF101的VRRP備份組內(nèi)為Master，配置如圖4。因核心交換機1為該備份組的Backup，僅需配置vrrp vrid 101 virtual-ip 10.170.1.254即可。

圖4 主備根橋/VRRP備份組配置

最后則需要為路由器配置策略路由，為訪問內(nèi)部網(wǎng)絡各區(qū)域的報文合理選擇下跳地址，以路由器1為例，如圖5。

（三）接口保護和安全策略配置

在各區(qū)域接入交換機配置IPSG靜態(tài)綁定表，如：user-bind static ip-address 10.170.2.11 macaddress 5489-9821-4486 interface g0/0/3，并在其所屬VLAN上使能IPSG。然后為所有OSPF設備統(tǒng)一配置區(qū)域驗證，如：authentication-mode hmac-md5 1 cipher Abc@123，并在OSPF進程界面下為沒有OSPF鄰居的接口配置OSPF靜默功能，如：silentinterface Vlanif100。最后創(chuàng)建ACL對訪問高危端口的報文進行匹配，在核心交換機各區(qū)域VLAN出方向應用traffic-policy，實現(xiàn)對區(qū)域間報文進行過濾，并關(guān)閉空閑接口。

圖5 策略路由配置

（四）驗證

完成配置后，使用display stp命令查看所有instance的主備根橋，同時使用display vrrp brief命令查看所有VRRP備份組的角色，并以核心交換機2為例，如圖6，可以看到選舉結(jié)果如之前規(guī)劃。

圖6 MSTP/VRRP選舉結(jié)果

使用VLAN101/102內(nèi)的Server2和PC向位于路由器1上的Server1發(fā)出ping請求，分別對核心交換機1的G0/0/1口和核心交換機2的G0/0/2口抓包，可以看到從VLAN102發(fā)出的ping請求和應答全部流經(jīng)核心交換機1的G0/0/1，而VLAN101則相反，說明MSTP、VRRP、策略路由聯(lián)合組網(wǎng)的負載分擔策略可達預期效果。

圖7 故障切換結(jié)果

將核心交換機1斷電，模擬故障，此時所有流量轉(zhuǎn)移至核心交換機2所在鏈路，網(wǎng)絡恢復正常。通過對命令查看MSTP和VRRP備份組的狀態(tài)，如圖7，可以看出故障切換符合預期。

五、總結(jié)

遠程監(jiān)控系統(tǒng)核心網(wǎng)絡的升級優(yōu)化方案能夠大幅降低單點故障帶來的風險，有效利用了冗余資源進行負載分擔，并提高了安全性和可維護性，為將來進一步的網(wǎng)絡優(yōu)化工作提供了基礎。