［程鉍峪 王飛 李濤］

1 引言

一方面，企業(yè)處于數(shù)字化轉(zhuǎn)型的過(guò)程中，會(huì)遭受源自于內(nèi)外部的網(wǎng)絡(luò)威脅甚至是網(wǎng)絡(luò)攻擊，因此建設(shè)一個(gè)高安全與高可靠的園區(qū)網(wǎng)絡(luò)對(duì)企業(yè)的發(fā)展至關(guān)重要[1-2]。另一方面，隨著企業(yè)數(shù)字化建設(shè)持續(xù)推進(jìn)，BYOD（Bring Your Own Device）設(shè)備接入到網(wǎng)絡(luò)的形式趨于多樣性，園區(qū)網(wǎng)絡(luò)的規(guī)模和覆蓋范圍不斷被延伸與擴(kuò)展；這就使得企業(yè)園區(qū)網(wǎng)在建設(shè)上還需考慮有線、無(wú)線的充分融合，以滿足各類(lèi)業(yè)務(wù)需求。文獻(xiàn)[3]提出了一種園區(qū)網(wǎng)方案，其中主要技術(shù)為MSTP，但單純使用MSTP 技術(shù)在大規(guī)模園區(qū)網(wǎng)部署時(shí)會(huì)造成二層業(yè)務(wù)流量與三層業(yè)務(wù)流量路徑不一致的問(wèn)題；文獻(xiàn)[4-6]提出一種MSTP 與VRRP 相結(jié)合的園區(qū)網(wǎng)，該方案可以實(shí)現(xiàn)二層業(yè)務(wù)負(fù)載分擔(dān)也可實(shí)現(xiàn)三層業(yè)務(wù)的負(fù)載分擔(dān)，但通過(guò)三層網(wǎng)關(guān)直接接入公網(wǎng)，但此方案缺少安全防護(hù)機(jī)制，園區(qū)內(nèi)部的網(wǎng)絡(luò)會(huì)存在巨大安全隱患。文獻(xiàn)[7]設(shè)計(jì)出一種負(fù)載分擔(dān)的園區(qū)網(wǎng)方案，該方案將網(wǎng)絡(luò)分為接入層、匯聚層、核心層并通過(guò)使用MSTP 與VRRP來(lái)保障網(wǎng)絡(luò)的可靠，但方案同樣忽略了網(wǎng)絡(luò)安全這一重要問(wèn)題。在文獻(xiàn)[8-9]園區(qū)網(wǎng)解決方案中，雖然體現(xiàn)出了設(shè)計(jì)者對(duì)園區(qū)網(wǎng)絡(luò)安全的防護(hù)意識(shí)，但單出口防火墻與外網(wǎng)互聯(lián)，在單防火墻出現(xiàn)故障的時(shí)候，不僅無(wú)法起到對(duì)內(nèi)網(wǎng)防護(hù)的作用，更會(huì)造成整個(gè)園區(qū)網(wǎng)絡(luò)的業(yè)務(wù)癱瘓。

綜上，面對(duì)園區(qū)網(wǎng)可靠性與安全性不足以及大量BYOD 設(shè)備通過(guò)無(wú)線方式接入網(wǎng)絡(luò)等問(wèn)題，本文提出基于防火墻雙出口的有線無(wú)線融合企業(yè)園區(qū)網(wǎng)解決方案，在接入與匯聚層運(yùn)行MSTP 與VRRP，并在園區(qū)網(wǎng)出口處部署兩臺(tái)負(fù)載分擔(dān)的防火墻以達(dá)到對(duì)整個(gè)園區(qū)的安全可控，方案還采用了防火墻與BFD 聯(lián)動(dòng)技術(shù)[10]，VRRP 追蹤上行路由技術(shù)以保障業(yè)務(wù)故障時(shí)能夠在毫秒級(jí)時(shí)間內(nèi)切換至備用鏈路，業(yè)務(wù)能在毫秒級(jí)時(shí)間內(nèi)切換至備用鏈路，此外為滿足BYOD 設(shè)備接入，通過(guò)部署AC 與AP 實(shí)現(xiàn)了園區(qū)的無(wú)線覆蓋[11]。為提高網(wǎng)絡(luò)自動(dòng)化運(yùn)維的效率，在園區(qū)中部署DHCP 服務(wù)器，該服務(wù)器能夠自動(dòng)為固定終端和BYOD 終端分配私有IP 地址。由于私有IP 地址無(wú)法被公網(wǎng)所路由，因此本方案中在出口防火墻部署源NAT 和NAT server，使得內(nèi)網(wǎng)用戶可以訪問(wèn)公網(wǎng)，并且公網(wǎng)用戶也可以訪問(wèn)內(nèi)網(wǎng)服務(wù)器。

2 關(guān)鍵技術(shù)

2.1 防火墻雙出口負(fù)載分擔(dān)

如圖1 所示，兩臺(tái)防火墻FW1、FW2 構(gòu)成雙機(jī)熱備負(fù)載分擔(dān)系統(tǒng)，兩臺(tái)防火墻硬件與軟件版本需要一致，防火墻之間通過(guò)心跳線互聯(lián)，以此來(lái)感知彼此健康狀態(tài)，并向?qū)Χ嗽O(shè)備同步配置和會(huì)話表。由于兩臺(tái)防火墻采用雙機(jī)熱備負(fù)載分擔(dān)，因此不論是FW1 還是FW2 均工作在active 狀態(tài)，并對(duì)業(yè)務(wù)流量進(jìn)行轉(zhuǎn)發(fā)。當(dāng)其中一臺(tái)防火墻出現(xiàn)故障，業(yè)務(wù)流量仍然可以通過(guò)另外一臺(tái)防火墻進(jìn)行轉(zhuǎn)發(fā)，從而使得網(wǎng)絡(luò)有更好的安全性與可靠性。

2.2 WLAN 無(wú)線組網(wǎng)技術(shù)

圖1 防火墻負(fù)載分擔(dān)

如圖2 所示，AC 控制器與AP 無(wú)線接入點(diǎn)采用三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)，旁掛意味著AC 處在AP 與上行網(wǎng)絡(luò)的旁側(cè)；三層則說(shuō)明AC 與AP 的管理IP 地址不在同一網(wǎng)段；AC 與AP 通過(guò)CAPWAP 隧道交互管理報(bào)文，由于組網(wǎng)方式采用直接轉(zhuǎn)發(fā)，業(yè)務(wù)流量將不會(huì)經(jīng)過(guò)AC 進(jìn)行處理，因此對(duì)于業(yè)務(wù)流量的轉(zhuǎn)發(fā)更為靈活。同時(shí)，園區(qū)網(wǎng)中各AP 及終端設(shè)備的IP 地址均由DHCP 服務(wù)器自動(dòng)分配，這樣有利于網(wǎng)絡(luò)自動(dòng)化運(yùn)維效率的提高。

圖2 三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)

3 基于防火墻雙出口的有線無(wú)線融合企業(yè)園區(qū)網(wǎng)設(shè)計(jì)

3.1 設(shè)計(jì)目的

設(shè)計(jì)出一種基于防火墻雙出口的園區(qū)網(wǎng)方案，其拓?fù)淙鐖D3 所示，方案對(duì)有線無(wú)線進(jìn)行了融合，并在MSTP 與VRRP 基礎(chǔ)上，配置VRRP 與上行路由及上行接口聯(lián)動(dòng)，設(shè)備相關(guān)規(guī)劃參數(shù)如表1 所示，在出口防火墻配置BFD 與公網(wǎng)設(shè)備聯(lián)動(dòng)，當(dāng)上行鏈路或上行設(shè)備故障時(shí)，保證業(yè)務(wù)能在毫秒級(jí)時(shí)間內(nèi)切換，這為其它園區(qū)網(wǎng)設(shè)計(jì)提供了思路與借鑒。

3.2 路由與交換網(wǎng)絡(luò)規(guī)劃

圖3 園區(qū)網(wǎng)整體架構(gòu)

R5、R6、R7 三臺(tái)設(shè)備模擬運(yùn)營(yíng)商ISP 公網(wǎng)，運(yùn)行ISIS 動(dòng)態(tài)路由協(xié)議，并對(duì)接園區(qū)網(wǎng)。針對(duì)園區(qū)路由，在FW1、FW2、R1、R2、SW1、SW2 組成的骨干區(qū)域上部署OSPF，并在FW1、FW2 通過(guò)default-route-advertise 命令向內(nèi)網(wǎng)發(fā)布缺省路由。出口防火墻FW1、FW2 配置缺省路由訪問(wèn)公網(wǎng)，防火墻上各有一條主用路由和一條浮動(dòng)路由；另外運(yùn)營(yíng)商邊緣設(shè)備R5、R6 通過(guò)明細(xì)路由指向園區(qū)NAT 之后的地址，值得注意的是為保證公網(wǎng)R7 設(shè)備也有園區(qū)路由信息，還應(yīng)該在R5、R6 上將明細(xì)路由引入至ISIS 中。

由于園區(qū)中存在多種業(yè)務(wù)VLAN 和管理VLAN，其中園區(qū)1 層規(guī)劃業(yè)務(wù)VLAN10、VLAN101；2層規(guī)劃業(yè)務(wù)VLAN20、VLAN102；3層規(guī)劃業(yè)務(wù)VLAN30、VLAN103；4層規(guī)劃業(yè)務(wù)VLAN40、VLAN104；WLAN分配管理VLAN100，針對(duì)該多VLAN場(chǎng)景，部署MSTP、VRRP以解決二層流量轉(zhuǎn)發(fā)問(wèn)題。此外，在不升級(jí)硬件的條件下，方案對(duì)SW1、SW2、互聯(lián)鏈路及其上行鏈路進(jìn)行鏈路聚合，以提高鏈路的可靠性及總帶寬。

3.3 WLAN 無(wú)線與網(wǎng)絡(luò)服務(wù)規(guī)劃規(guī)劃

考慮到園區(qū)中BYOD 終端對(duì)無(wú)線業(yè)務(wù)有高質(zhì)量需求，因此方案中AC 與AP 采用三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)。園區(qū)各樓層無(wú)線終端VLAN 分別是：VLAN101、VLAN102、VLAN103、VLAN104。AC 與AP 間 只 通 過(guò)CAPWAP 交互控制數(shù)據(jù)，其中AP 分配管理VLAN100。所有業(yè)務(wù)流量只會(huì)經(jīng)園區(qū)骨干區(qū)域和出口防火墻直接轉(zhuǎn)發(fā)至公網(wǎng)，這極大提高了數(shù)據(jù)轉(zhuǎn)發(fā)效率。

R3 這臺(tái)DHCP 服務(wù)器為園區(qū)內(nèi)所有終端提供IP 地址，由于終端的IP 地址與DHCP 服務(wù)器接口地址不在同一網(wǎng)段，方案還需額外配置DHCP中繼；此外DMZ 區(qū)域中的R4 這臺(tái)DNS 服務(wù)器為終端提供地址解析服務(wù)[12]。園區(qū)中各AP 的IP 地址，也通過(guò)DHCP 服務(wù)器獲取，并且DHCP 服務(wù)器通過(guò)option43 字段告知各AP 它們所屬AC 控制器的IP地址。

3.4 網(wǎng)絡(luò)安全及可靠性規(guī)劃

出口防火墻采用雙機(jī)熱備負(fù)載分擔(dān)模式，為進(jìn)一步提高網(wǎng)絡(luò)可靠性，在出口防火墻和運(yùn)營(yíng)商邊緣設(shè)備上配置BFD，當(dāng)BFD 快速檢測(cè)到設(shè)備或鏈路故障，業(yè)務(wù)可在毫秒級(jí)時(shí)間內(nèi)切換。配置VRRP 與上行路由及上行接口聯(lián)動(dòng)，當(dāng)被監(jiān)視路由或接口出現(xiàn)故障，則會(huì)觸發(fā)VRRP 主備切換；此外SW1、SW2 匯聚交換機(jī)之間及其上行鏈路還進(jìn)行了鏈路聚合。由于終端設(shè)備分配是私有IP 地址，因此需要在出口防火墻做源NAT 策略[13]。通過(guò)在出口防火墻做NAT Server，可以使得公網(wǎng)用戶訪問(wèn)園區(qū)中的Web 服務(wù)器，Web 服務(wù)器放置于DMZ 區(qū)域。最后在出口防火墻引用反病毒配置文件和入侵防御配置文件，當(dāng)園區(qū)用戶從互聯(lián)網(wǎng)下載文件和郵件時(shí)可以進(jìn)行病毒檢測(cè)和防護(hù)，并保護(hù)Web 服務(wù)器免受來(lái)自互聯(lián)網(wǎng)的攻擊。

3.5 關(guān)鍵設(shè)備精簡(jiǎn)配置

（1）R5 設(shè)備配置：

表1 設(shè)備相關(guān)規(guī)劃參數(shù)

4 全網(wǎng)業(yè)務(wù)測(cè)試及結(jié)果分析

規(guī)劃、設(shè)計(jì)以及數(shù)據(jù)配置完成后，對(duì)本企業(yè)園區(qū)網(wǎng)進(jìn)行連通性測(cè)試以及安全性驗(yàn)證。測(cè)試及驗(yàn)證使用eNSP 仿真平臺(tái)[14]，測(cè)試驗(yàn)證的網(wǎng)絡(luò)設(shè)備其版本號(hào)為V200R003C00。

如圖4 所示，PC1 是位于VLAN10 區(qū)域中的固定終端，且圖4 給出了PC1 訪問(wèn)公網(wǎng)R7 設(shè)備上8.8.8.8 地址的流量轉(zhuǎn)發(fā)路徑；如圖5 所示，為PC1 訪問(wèn)公網(wǎng)的ping 測(cè)試，測(cè)試結(jié)果表明在路由可達(dá)、防火墻策略放行的情況下，內(nèi)網(wǎng)用戶能夠訪問(wèn)公網(wǎng)。另一方面，由于PC1 使用的是私有地址，流量在出園區(qū)時(shí)需在防火墻進(jìn)行NAT 轉(zhuǎn)換；如圖6 所示，在防火墻FW1 上通過(guò)dis firewall session table 命令查看NAT 轉(zhuǎn)換信息，可知防火墻FW1 已將報(bào)文源地址192.168.10.244 轉(zhuǎn)換成了200.200.200.11。此外，通過(guò)在防火墻FW1 的出口抓包，如圖7 所示，同樣可以觀察到防火墻FW1 將內(nèi)網(wǎng)報(bào)文源地址轉(zhuǎn)換成了公網(wǎng)地址200.200.200.11。

圖4 固定終端流量轉(zhuǎn)發(fā)路徑

圖5 固定終端ping 測(cè)試

圖6 FW1 上會(huì)話表

圖7 FW1 出口抓包

如圖8 所示，STA2 是位于VLAN104 無(wú)線覆蓋區(qū)域中的移動(dòng)終端，并給出了STA2 訪問(wèn)公網(wǎng)地址8.8.8.8 時(shí)的流量轉(zhuǎn)發(fā)路徑；如圖9 所示，為STA2 訪問(wèn)公網(wǎng)的ping測(cè)試，測(cè)試表明該移動(dòng)終端能夠訪問(wèn)公網(wǎng)，對(duì)于無(wú)線終端來(lái)說(shuō)，出口防火墻FW2 仍然需要對(duì)內(nèi)網(wǎng)報(bào)文源地址進(jìn)行NAT 轉(zhuǎn)換；如圖10 所示，在FW2 查看會(huì)話表可知防火墻FW2 已將報(bào)文源地址192.168.104.244 轉(zhuǎn)換成了200.200.200.10。

Web 網(wǎng)站是企業(yè)對(duì)外展示的重要窗口，由于Web 服務(wù)器部署于園區(qū)內(nèi)部，其地址為私有地址。因此，需要在防火墻上部署NAT server 服務(wù)，將Web 服務(wù)器地址10.1.123.2 映射為對(duì)外的22.22.22.22 公網(wǎng)地址，圖11 所示為公網(wǎng)用戶訪問(wèn)Web服務(wù)器的流量轉(zhuǎn)發(fā)路徑。為了測(cè)試公網(wǎng)用戶確實(shí)可以正常訪問(wèn)Web 服務(wù)器，對(duì)映射后的22.22.22.22 進(jìn)行ping 測(cè)試，如圖12 所示業(yè)務(wù)測(cè)試正常；如圖13 所示，在FW1 上查看會(huì)話表可知FW1將目標(biāo)地址22.22.22.22轉(zhuǎn)換成Web服務(wù)器內(nèi)網(wǎng)地址10.1.123.2。

圖8 移動(dòng)終端流量轉(zhuǎn)發(fā)路徑

圖9 移動(dòng)終端ping 測(cè)試

圖10 FW2 上會(huì)話表

圖11 公網(wǎng)訪問(wèn)Web 服務(wù)器流量轉(zhuǎn)發(fā)路徑

圖12 公網(wǎng)訪問(wèn)Web 服務(wù)器ping 測(cè)試

圖13 FW1 上會(huì)話表

綜上，通過(guò)對(duì)園區(qū)中固定終端訪問(wèn)公網(wǎng)、移動(dòng)終端訪問(wèn)公網(wǎng)以及公網(wǎng)用戶訪問(wèn)園區(qū)Web 服務(wù)器等業(yè)務(wù)進(jìn)行全面測(cè)試，結(jié)果表明本園區(qū)網(wǎng)設(shè)計(jì)方案具備高安全性與高可靠性，同時(shí)也具備了可實(shí)現(xiàn)性與可移植性，并符合現(xiàn)網(wǎng)及生產(chǎn)要求。

5 結(jié)論

相比傳統(tǒng)園區(qū)網(wǎng)設(shè)計(jì)，本方案通過(guò)部署防火墻雙機(jī)熱備負(fù)載分擔(dān)、優(yōu)化流量轉(zhuǎn)發(fā)路徑、BFD 快速檢測(cè)等先進(jìn)技術(shù)，為園區(qū)網(wǎng)絡(luò)的安全可靠運(yùn)行提供了有力保障；同時(shí)考慮到園區(qū)中BYOD 設(shè)備接入需求，通過(guò)AC 與AP 三層旁掛組網(wǎng)，真正實(shí)現(xiàn)了園區(qū)有線無(wú)線一體化網(wǎng)絡(luò)部署。