黃民聰 蘇健淵 梁曉昀

摘要：文章介紹了一種復(fù)雜智慧園區(qū)網(wǎng)絡(luò)有線無線雙網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)，該架構(gòu)通過提供RADIUS服務(wù)、VPN實例數(shù)據(jù)隔離和防火墻，實現(xiàn)了統(tǒng)一的RADIUS身份認(rèn)證，為網(wǎng)絡(luò)提供了業(yè)務(wù)隨行能力。此外，該架構(gòu)還基于用戶角色授權(quán)訪問對應(yīng)的網(wǎng)絡(luò)資源，為不同的業(yè)務(wù)需求提供數(shù)據(jù)隔離，從而提高了網(wǎng)絡(luò)安全的防范能力。

關(guān)鍵詞：RADIUS認(rèn)證；業(yè)務(wù)隨行；數(shù)據(jù)隔離

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）07-0086-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）

0 引言

隨著信息化技術(shù)的不斷發(fā)展，智慧園區(qū)網(wǎng)絡(luò)的功能日益完善、結(jié)構(gòu)日趨復(fù)雜、規(guī)模不斷擴(kuò)大。為滿足不同業(yè)務(wù)需求，智慧園區(qū)網(wǎng)絡(luò)需同時支持無線和有線兩種網(wǎng)絡(luò)接入方式。為確保數(shù)據(jù)安全，需為不同的用戶接入組分配相應(yīng)的資源訪問權(quán)限，并禁止無授權(quán)用戶訪問數(shù)據(jù)[1]。此外，為更好地開展業(yè)務(wù)，網(wǎng)絡(luò)設(shè)備的接入地點不應(yīng)受限，這對網(wǎng)絡(luò)的靈活性提出了更高要求。因此，基于結(jié)構(gòu)化設(shè)計，我們提出了一種網(wǎng)絡(luò)架構(gòu)，該架構(gòu)可實現(xiàn)業(yè)務(wù)隨行、資源授權(quán)共享和統(tǒng)一安全認(rèn)證，提供一種智能、無感、泛在的網(wǎng)絡(luò)接入能力。

1 智慧園區(qū)網(wǎng)絡(luò)需求

1） 提供有線接入網(wǎng)絡(luò)能力，實現(xiàn)數(shù)字資源的授權(quán)訪問?？筛鶕?jù)業(yè)務(wù)需求設(shè)置不同部門之間的網(wǎng)絡(luò)訪問權(quán)限，以保護(hù)敏感數(shù)據(jù)的安全。

2） 提供無線接入網(wǎng)絡(luò)能力，無線網(wǎng)絡(luò)應(yīng)分為內(nèi)部員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)。為確保數(shù)據(jù)安全，訪客網(wǎng)絡(luò)僅限訪問外網(wǎng)，與內(nèi)部有線、無線網(wǎng)絡(luò)隔離，無法訪問內(nèi)部數(shù)據(jù)中心資源。

3） 實現(xiàn)業(yè)務(wù)策略與IP地址的解耦，集中管理用戶信息和策略。用戶應(yīng)能從園區(qū)網(wǎng)絡(luò)中的任意位置、任意VLAN、任意IP網(wǎng)段接入，并始終控制其網(wǎng)絡(luò)訪問權(quán)限，以實現(xiàn)業(yè)務(wù)隨行能力。

4） 注重網(wǎng)絡(luò)安全。所有訪問Internet或進(jìn)入園區(qū)網(wǎng)絡(luò)的數(shù)據(jù)必須經(jīng)過防火墻過濾，滿足安全策略后才可放行。數(shù)據(jù)敏感的業(yè)務(wù)部門不得上外網(wǎng)。內(nèi)部員工無線網(wǎng)絡(luò)僅限訪問數(shù)據(jù)中心的部分服務(wù)。

2 智慧園區(qū)網(wǎng)絡(luò)方案設(shè)計與驗證

智慧園區(qū)網(wǎng)絡(luò)分為三層架構(gòu)：接入層、匯聚層和核心層。接入層負(fù)責(zé)終端設(shè)備（有線和無線設(shè)備）的接入，不涉及業(yè)務(wù)VLAN，數(shù)據(jù)通過網(wǎng)絡(luò)設(shè)備的默認(rèn)VLAN 1進(jìn)行傳輸；匯聚層作為有線業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)，通過三層協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)至核心層，同時匯聚層也是RADIUS準(zhǔn)入認(rèn)證的開始節(jié)點；核心層是內(nèi)部無線和外部無線業(yè)務(wù)的網(wǎng)關(guān)，為有線和無線業(yè)務(wù)提供HDCP服務(wù)，連接數(shù)據(jù)中心、防火墻和網(wǎng)絡(luò)出口，并根據(jù)需求策略進(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)。

2.1 接入層部署

1） 有線設(shè)備接入。為了滿足業(yè)務(wù)隨行的需求，準(zhǔn)入認(rèn)證在匯聚設(shè)備上進(jìn)行。因此，接入層數(shù)據(jù)通過設(shè)備默認(rèn)VLAN 1進(jìn)行傳輸，無需額外配置業(yè)務(wù)VLAN。接入層的主要職責(zé)是連接終端設(shè)備和放行無線管理VLAN 100。

2） 無線設(shè)備接入。無線網(wǎng)絡(luò)采用AC+FIT AP模式，其中AP無需進(jìn)行配置。AC管理AP時采用隧道模式，需要確保AC到AP的管理鏈路暢通無阻。在接入層，需要將接入AP的交換機(jī)端口配置為Access模式，并將PVID設(shè)置為VLAN 100。同時，從接入層到匯聚層、匯聚層到核心層以及核心層到管理AC的鏈路，都應(yīng)設(shè)置為trunk模式，并放行管理VLAN 100。

2.2 匯聚層部署

1） 有線業(yè)務(wù)網(wǎng)關(guān)配置。匯聚設(shè)備T1_AGG1和T2_AGG2被配置為對應(yīng)有線業(yè)務(wù)VLAN的網(wǎng)關(guān)設(shè)備。有關(guān)有線業(yè)務(wù)VLAN的劃分和IP地址規(guī)劃，如表1所示。

2） DHCP中繼配置。為了簡化管理，我們將有線和無線業(yè)務(wù)的DHCP服務(wù)統(tǒng)一部署在核心設(shè)備上。因此，匯聚設(shè)備需要配置為DHCP中繼模式，其中，dhcp relay interface應(yīng)指向核心設(shè)備上提供DHCP服務(wù)的接口，匯聚層設(shè)備本身不提供DHCP服務(wù)。

3） 匯聚核心上行互聯(lián)鏈路配置。由于匯聚設(shè)備擔(dān)任業(yè)務(wù)VLAN的網(wǎng)關(guān)角色，匯聚層與核心層之間通過三層協(xié)議進(jìn)行數(shù)據(jù)交互。T1_AGG1和T2_AGG2將分別創(chuàng)建VLAN 208和209作為匯聚與核心之間的互聯(lián)VLAN。相關(guān)鏈路端口需配置為允許對應(yīng)VLAN的數(shù)據(jù)通過。

2.3 核心層部署

1） 無線業(yè)務(wù)網(wǎng)關(guān)。核心層設(shè)備充當(dāng)內(nèi)部無線和外部無線業(yè)務(wù)的網(wǎng)關(guān)角色。無線業(yè)務(wù)的VLAN劃分和IP地址規(guī)劃詳細(xì)信息如表2所示。

2） 業(yè)務(wù)數(shù)據(jù)隔離。為了保障內(nèi)部數(shù)據(jù)的安全性，我們在核心層創(chuàng)建了兩個VPN實例。有線網(wǎng)段和內(nèi)部無線網(wǎng)段專為內(nèi)部員工使用，綁定在“Employee”實例中；而外部無線網(wǎng)段則供外部訪客使用，綁定在“Guest”實例中。未綁定實例的區(qū)域被定義為公共區(qū)域，用于與出口路由器X_Export1和X_Export2的連接。通過這種VPN實例的劃分方式，我們實現(xiàn)了內(nèi)部與外部數(shù)據(jù)的有效隔離。

3） DHCP服務(wù)。核心層為所有有線和無線業(yè)務(wù)網(wǎng)段提供DHCP服務(wù)。在核心層，我們需要為每個VLAN網(wǎng)段創(chuàng)建相應(yīng)的DHCP地址池，并將這些IP地址池綁定到對應(yīng)的VPN實例中。提供DHCP服務(wù)的接口應(yīng)選擇全局模式。

4） 數(shù)據(jù)互聯(lián)。核心層作為整個網(wǎng)絡(luò)的數(shù)據(jù)中心，根據(jù)業(yè)務(wù)需求，我們設(shè)置了相應(yīng)的訪問策略，確保數(shù)據(jù)在匯聚層、防火墻、數(shù)據(jù)中心、網(wǎng)絡(luò)出口以及無線控制器AC之間的高效傳輸。核心層與各個設(shè)備之間通過VLAN進(jìn)行互聯(lián)。具體的互聯(lián)VLAN及IP地址劃分詳見表3。

5） 敏感訪問操作通過防火墻轉(zhuǎn)發(fā)。由于無線業(yè)務(wù)暴露于外部空間，存在被黑客破解的風(fēng)險。為了保障數(shù)據(jù)中心的安全，需降低無線業(yè)務(wù)的訪問權(quán)限。當(dāng)無線業(yè)務(wù)需要訪問數(shù)據(jù)中心時，必須先將無線流量轉(zhuǎn)發(fā)至防火墻進(jìn)行過濾，只有滿足訪問策略的數(shù)據(jù)才能進(jìn)行數(shù)據(jù)訪問。

內(nèi)部無線訪問數(shù)據(jù)中心網(wǎng)段數(shù)據(jù)繞防火墻轉(zhuǎn)發(fā)：使用ACL（訪問控制列表）匹配源IP地址為內(nèi)部無線網(wǎng)段，目的IP地址為數(shù)據(jù)中心網(wǎng)段。匹配完成后，在VLANIF 51-55接口進(jìn)行重定向，將下一跳IP地址指向防火墻。

數(shù)據(jù)中心網(wǎng)段返回內(nèi)部無線網(wǎng)段繞防火墻轉(zhuǎn)發(fā)：使用ACL匹配源IP地址為數(shù)據(jù)中心網(wǎng)段，目的IP地址為內(nèi)部無線網(wǎng)段。匹配完成后，在VLANIF 60接口進(jìn)行重定向，將下一跳IP地址指向防火墻。

由于外部無線已綁定在Guest實例，而數(shù)據(jù)中心網(wǎng)段綁定在Employee實例，兩者之間數(shù)據(jù)已形成隔離，因此無需對外部無線網(wǎng)段進(jìn)行數(shù)據(jù)的重定向[2]。

2.4 無線AC控制器部署

AC使用隧道模式管理無線AP，VLAN 100作為管理VLAN。核心層、匯聚層和接入層交換機(jī)鏈路需要放行VLAN 100，以確保AC到AP之間的管理隧道暢通[3]。

分別創(chuàng)建Employee（51-55） 和Guest（101-105） VLAN池，并將VAP配置文件綁定到對應(yīng)的VLAN地址池。

2.5 防火墻部署

由于核心設(shè)備存在Employee和Guest兩個VPN實例，防火墻也需要相應(yīng)創(chuàng)建兩個虛擬防火墻。一個虛擬防火墻（Employee） 負(fù)責(zé)接收有線業(yè)務(wù)和內(nèi)部無線業(yè)務(wù)數(shù)據(jù)，另一個虛擬防火墻（Guest） 負(fù)責(zé)接收外部無線業(yè)務(wù)數(shù)據(jù)。通過虛擬防火墻，我們可以為不同業(yè)務(wù)的數(shù)據(jù)設(shè)置不同的訪問權(quán)限。

2.6 園區(qū)網(wǎng)內(nèi)部OSPF多進(jìn)程多區(qū)域路由設(shè)計

鑒于園區(qū)網(wǎng)內(nèi)存在Public、Employee和Guest三種相互隔離的流量，我們設(shè)計了基于多進(jìn)程多區(qū)域的OSPF路由來解決流量間的數(shù)據(jù)隔離問題。Public區(qū)域的網(wǎng)段使用OSPF進(jìn)程1，Employee區(qū)域的網(wǎng)段使用OSPF進(jìn)程2，Guest區(qū)域的網(wǎng)段使用OSPF進(jìn)程3。具體的區(qū)域劃分詳如表4所示。

核心T1_Core上的OSPF鄰居關(guān)系如圖2所示。

2.7 業(yè)務(wù)隨行部署

為了滿足業(yè)務(wù)隨行的需求，在接入層，流量默認(rèn)通過設(shè)備VLAN 1進(jìn)行傳輸。而在匯聚層設(shè)備中，會啟動RADIUS協(xié)議準(zhǔn)入認(rèn)證。匯聚層通過RADIUS協(xié)議與數(shù)據(jù)中心的認(rèn)證系統(tǒng)進(jìn)行AAA準(zhǔn)入認(rèn)證，通過認(rèn)證的用戶可以享受設(shè)備上線、使用計時和計費等功能[4]。后臺系統(tǒng)根據(jù)準(zhǔn)入認(rèn)證的賬號，為用戶分配相應(yīng)的IP地址和業(yè)務(wù)資源組訪問權(quán)限，從而有效杜絕非法接入。對于合法接入的認(rèn)證用戶，系統(tǒng)能夠?qū)崿F(xiàn)用戶角色和網(wǎng)絡(luò)資源訪問權(quán)限的精準(zhǔn)分配，確保關(guān)鍵敏感數(shù)據(jù)不受非法訪問。此外，設(shè)備接入不受地點限制，實現(xiàn)了業(yè)務(wù)隨行。采購部通過準(zhǔn)入認(rèn)證的流程如圖3所示。

3 總結(jié)與展望

本文提出了一種在復(fù)雜智慧園區(qū)網(wǎng)絡(luò)環(huán)境下，基于RADIUS認(rèn)證實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)隨行的設(shè)計方案。在核心層設(shè)備中，采用VPN實例方式隔離內(nèi)部員工流量和外部訪客流量。用戶訪問資源由防火墻安全策略進(jìn)行控制，從而確保了一定的網(wǎng)絡(luò)安全與防護(hù)。鑒于當(dāng)前網(wǎng)絡(luò)安全面臨的多樣化威脅和嚴(yán)峻形勢，單一手段難以實現(xiàn)理想的防護(hù)效果。因此，需要綜合運用多種技術(shù)手段，以構(gòu)建更為有效的網(wǎng)絡(luò)安全防范措施[5]。

參考文獻(xiàn)：

[1] 鐘機(jī)靈，劉朝陽.高校無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)有機(jī)融合建設(shè)研究[J].信息通信，2020（7）：67-69.

[2] 馬崢，張銳.校園無線網(wǎng)絡(luò)優(yōu)化方法研究與實踐[J].信息技術(shù)與信息化，2021（3）：182-184.

[3] 沈勁桐.校園WLAN網(wǎng)絡(luò)優(yōu)化研究與應(yīng)用[J].中國新通信，2020，22（13）：109-110.

[4] 趙志平.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用分析[J].科技創(chuàng)新與應(yīng)用，2018（35）：185-186.

[5] 莫新建.網(wǎng)絡(luò)安全等級保護(hù)建設(shè)探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：10-11.

【通聯(lián)編輯：代影】