企業(yè)網(wǎng)中交換機與路由器安全防范與實現(xiàn)

郭琳

（順德職業(yè)技術學院，廣東順德 528300）

企業(yè)網(wǎng)中交換機與路由器安全防范與實現(xiàn)

郭琳

（順德職業(yè)技術學院，廣東順德 528300）

交換機與路由器的安全性是網(wǎng)絡整體安全重要組成部分，如何利用現(xiàn)有資源加強對交換機和路由器等網(wǎng)絡設備的安全防護，對提高企業(yè)網(wǎng)絡的可靠性、可用性和完整性具有重要意義.通過VLAN技術對交換機端口進行隔離防止廣播風暴，利用VRRP技術實現(xiàn)企業(yè)網(wǎng)絡冗余備份，基于端口安全技術確保交換機安全，通過ACL技術實現(xiàn)訪問控制和流量過濾，利用策略路由進行流量控制，從而防止網(wǎng)絡設備不安全問題的發(fā)生，實現(xiàn)網(wǎng)絡安全管理.

企業(yè)網(wǎng)；交換機；路由器；安全防范

1 引言

企業(yè)網(wǎng)是企業(yè)信息化的基礎設施，是電子商務的重要支撐平臺，企業(yè)網(wǎng)中復雜的結構、龐大的網(wǎng)絡規(guī)模和密集活躍的客戶群體，使企業(yè)網(wǎng)絡面臨多重安全隱患.交換機和路由器等網(wǎng)絡設備是構成企業(yè)網(wǎng)絡的基本條件，這些設備的漏洞輕則影響網(wǎng)絡正常運行，重則使企業(yè)信息遭到竊聽和篡改，造成極大的安全隱患［1］.近年來利用交換路由設備漏洞竊聽用戶信息的攻擊事件不斷曝光，凸顯了核心網(wǎng)絡信息安全傳輸?shù)闹匾裕?］.企業(yè)網(wǎng)用戶較為活躍，使用網(wǎng)絡的行為難以全面掌控，錯誤連接局域網(wǎng)設備造成環(huán)路的情況時有發(fā)生，環(huán)路帶來的廣播風暴可能會導致同一個廣播域中所有終端無法正常使用網(wǎng)絡，甚至會影響到三層設備的轉發(fā)功能，進而影響到整個網(wǎng)絡［3］.本文首先介紹了選題背景，然后通過網(wǎng)絡安全技術在交換機層面的應用案例來解釋交換機相關的安全配置知識，包括VLAN劃分、端口安全和生成樹等技術.然后通過網(wǎng)絡技術在路由器層面的應用案例分析路由器相關的安全技術知識，包括策略路由、訪問控制列表ACL、網(wǎng)絡地址轉換NAT和VPN、負載均衡等內(nèi)容，通過企業(yè)應用案例來介紹在如何利用交換機和路由器的安全防范技術提高網(wǎng)絡的安全性.

2 交換機的安全防范與實現(xiàn)

2.1 利用VLAN技術對交換機端口進行隔離

順德某企業(yè)原先的網(wǎng)絡設計是各部門之間能夠互相訪問，但隨著對公司內(nèi)部網(wǎng)絡安全意識的提高，要求市場部不能與財務部之間進行通信，其他部門之間都能互相進行通信.VLAN是虛擬局域網(wǎng)的簡稱，是在一個物理網(wǎng)絡上劃分的邏輯網(wǎng)絡，對應于ISO模型的第二層，要進行VLAN之間的通信需要通過三層設備配置VLAN間的IP路由.VLAN的端口類型有兩種Access和Trunk，Access端口只能屬于一個VLAN，并且通過手動設置指定VLAN，而Trunk口在缺省狀態(tài)下屬于所有VLAN，能轉發(fā)所有VLAN幀.VLAN技術的優(yōu)點是安全、高效、低開銷，能減輕廣播風暴，提高網(wǎng)管的工作效率.

配置的要點是需要根據(jù)公司部門的數(shù)量規(guī)劃內(nèi)部IP地址和子網(wǎng)個數(shù)，在二層交換機上創(chuàng)建VLAN并命名，然后把相關接口加入到對應VLAN當中，然后在三層交換機上創(chuàng)建SVI，并開啟路由功能實現(xiàn)各VLAN間互相通信，最后在相關端口配置allow-VLAN，限制某些VLAN間通信，確保網(wǎng)絡安全性，主要配置命令如下所示.

需要注意的是一方面要把三層交換機與二層交換機連接的端口設置為trunk口，另一方面一定要在三層交換機上開啟路由功能，否則VLAN間不能通信.

2.2 利用MSTP和VRRP技術實現(xiàn)網(wǎng)絡冗余備份

公司的內(nèi)部網(wǎng)絡被劃分成了四個VLAN，通過三層網(wǎng)絡設備實現(xiàn)不同VLAN之間的互相通信，要求網(wǎng)關提高企業(yè)內(nèi)部網(wǎng)絡之間通信的可靠性.這需要利用STP、VRRP和SAP技術.STP的中文含義是生成樹協(xié)議，它是二層管理協(xié)議，可以通過選擇性阻塞網(wǎng)絡冗余鏈路消除二層環(huán)路的目的，同時具有鏈路備份的功能.只用通過設置網(wǎng)橋優(yōu)先級、路徑開銷以及端口ID就可以控制STP行為.VRRP的中文含義是虛擬路由冗余協(xié)議，采用主備模式，當主路由設備發(fā)生故障時實現(xiàn)在不影響數(shù)據(jù)通信的情況下切換到備份路由.VRRP協(xié)議把組內(nèi)多個三層設備均映射為一個被稱為主設備的虛擬三層設備，主機把數(shù)據(jù)包發(fā)給該主設備，當主設備無法工作時，處于備份狀態(tài)的三層設備可以隨時替代原來的主設備.AP的中文含義是聚合端口技術，它可以把多個端口的帶寬疊加使用，是網(wǎng)絡擴展鏈路帶寬的重要途徑.

配置要點是首先在各個二層交換機和三層交換機上創(chuàng)建VLAN和SVI接口，并在三層交換機上開啟路由功能，然后在二層交換機和三層交換機上開啟STP消除網(wǎng)絡環(huán)路，接著在三層交換機上創(chuàng)建AP，最后在三層交換機上配置VRRP實現(xiàn)冗余備份，主要配置命令如下所示.

需要注意的是在開啟STP功能時需要創(chuàng)建相關的instance，并把對應的VLAN加入相對應的instance中，并確定好instance的優(yōu)先級.在配置VLAN的SVI時要規(guī)劃好主備橋的IP地址以及確定主備橋的被分組的優(yōu)先級.最后一定記得在設備上開啟路由功能.

2.3 利用端口安全技術確保交換機安全

當企業(yè)發(fā)現(xiàn)由于接入用戶較多導致經(jīng)過三層交換機的流量異常增加，則需要在端口上應用流量限制技術設置每個端口允許接入的最大數(shù)量為50.除此之外還發(fā)現(xiàn)在局域網(wǎng)中存在過多的廣播數(shù)據(jù)流，驗證影響了數(shù)據(jù)通信質量，也需要網(wǎng)絡管理員采用相關技術進行限制，這里可以對接入用戶進行基于IP-MAC地址綁定實現(xiàn)安全接入［4］.這里需要使用的技術包括端口IP地址數(shù)量限定技術和廣播風暴控制技術.端口IP地址數(shù)據(jù)限制技術主要用于限定安全接入的IP地址個數(shù)，從而限定共享路由器端口帶寬的用戶數(shù)量，當該端口下接入IP地址的個數(shù)超過限定數(shù)量時，超出的IP地址不允許進行通信.當企業(yè)的局域網(wǎng)內(nèi)存在過量廣播、多播和單播數(shù)據(jù)流時會導致網(wǎng)絡變慢，報文傳輸超時的幾率大大增加.剋分布針對廣播、多播和單播數(shù)據(jù)流進行風暴控制，當端口接到數(shù)據(jù)流的速率超過預定帶寬時，設備只放行預定帶寬的數(shù)據(jù)流，超過部分則被丟棄直至數(shù)據(jù)流恢復正常，從而避免過量的廣播數(shù)據(jù)流進入局域網(wǎng)中形成廣播風暴.

配置的要點包括要在二層交換機及三層交換機上開啟風暴控制，在二層交換機異常流量端口配置基于端口的MAC地址綁定，在三層交換機的異常端口配置限制IP地址的接入數(shù)量，具體的配置方法如下所示.

3 路由器的安全防范與實現(xiàn)

3.1 利用ACL和NAT技術實現(xiàn)訪問控制

企業(yè)要求根據(jù)部分進行網(wǎng)絡地址劃分，劃分方法如表1所示.實現(xiàn)內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)連通，并把公司的web服務器的80端口映射到互聯(lián)網(wǎng)上供客戶訪問，并限制技術部和人事部的員工不能在上班期間訪問互聯(lián)網(wǎng).這里需要利用ACL技術和NAT技術.ACL的中文含義是訪問控制列表，主要控制端口進出的數(shù)據(jù)包，通過限制網(wǎng)絡流量提高網(wǎng)絡的安全性.ACL分為標準ACL、擴展ACL和命名ACL，標準ACL可以拒絕來自某一網(wǎng)絡或協(xié)議族的所有通信，擴展ACL能根據(jù)源、目的地址、端口號或協(xié)議進行流量過濾.NAT的中文含義是網(wǎng)絡地址轉換，它是一種將私有地址轉換為合法IP地址的技術，分為靜態(tài)NAT、動態(tài)NAT和端口NAT.靜態(tài)NAT是建立內(nèi)部IP地址與外部IP地址的一對一映射，動態(tài)NAT是建立內(nèi)部IP地址池和外部IP地址池的多對多或多對一映射，端口NAP是改變數(shù)據(jù)包的源端口進行端口轉換.

表1 搖企業(yè)部門IP地址及VLAN劃分

配置要點是在二層交換機和三層交換機上創(chuàng)建相應的VLAN，并把接口加入到相應VLAN當中，在三層交換機上創(chuàng)建SVI，并開啟路由功能，實習VLAN間相互通信，在路由器上配置NAT實現(xiàn)私有地址和公有地址之間的轉換，以及web服務80端口的映射，在路由器上配置路由協(xié)議實現(xiàn)全網(wǎng)連通，并配置ACL實現(xiàn)VLAN10和VLAN40的上網(wǎng)限制，具體配置過程如下所示.

注意在配置ACL時需要注意在ACL最末隱藏的一條deny any any的規(guī)則，在應用NAT或ACL均需要明確是IN還是OUT.

3.2 利用策略路由技術進行流量控制

隨著公司業(yè)務的擴展及人員的增加過去的專線鏈路帶寬已經(jīng)不能滿足企業(yè)現(xiàn)代化辦公需求，企業(yè)希望在原有網(wǎng)絡基礎上增加寬帶接入分擔鏈路流量.這里需要使用PBR技術來實現(xiàn)負載均衡.PBR的中文含義是策略路由，它比基于目的地址進行路由轉發(fā)更加靈活的數(shù)據(jù)包路由轉發(fā)機制，當企業(yè)用戶使用多個ISP資源時，由于不同ISP申請的帶寬不同，而同一用戶環(huán)境中需要保證重點用戶資源，對這部分用戶不能依賴普通路由表轉發(fā).策略路由技術既能保證ISP資源的充分利用，又能很好滿足特殊需求、多樣應用.通常，策略路由的優(yōu)先級高于普通路由.

配置要點是要在路由器上增加一端口指向ISP2，并把路由器上新增鏈路的路由加入到路由表中，在路由器上配置策略路由，并把對應的策略路由應用到相應的接口上，即把原先流向ISP1的VLAN30和VLAN40的流量引到ISP2的鏈路實現(xiàn)負載均衡，保證公司網(wǎng)絡的可用性.當R1的s0/1/0端鏈路失效時s0/1/0端的所有流量均可以通過s0/1/1端的鏈路直至s0/1/0端的鏈路恢復，反之亦然.配置命令如下所示.

3.3 利用IPsecVPN技術實現(xiàn)身份認證

企業(yè)的總部位于廣州，分部位于北京.分部和總部進行數(shù)據(jù)通信，共享企業(yè)一些重要信息.要求廣州與北京的網(wǎng)管搭建一條VPN通道提供給廣州和北京進行數(shù)據(jù)加密通信.這里需要使用IPsec VPN技術.IPsec VPN是VPN技術中最常用的一種，廣泛應用于組織總部和分支機構之間的網(wǎng)絡互聯(lián)，利用組織總部已有的出口虛擬一條專線，將組織分支機構和總部連接起來，組成一個巨大的局域網(wǎng).配置要點是先在三層交換機以及路由器上配置動態(tài)路由協(xié)議OSPF確保網(wǎng)絡連通性，然后在路由器R1和R2上配置NAT地址轉換，最后在R1和R2上創(chuàng)建IPsec VPN隧道實現(xiàn)VLAN25和VLAN30的安全通信，在路由器上配置IPsec VPN的命令如下所示.

驗證的結果是VLAN10和VLAN20的用戶能通過NAT地址轉換上網(wǎng)，北京VLAN30的用戶能與廣州VLAN25的用戶進行加密通信.需要注意的問題是兩端在設置IKE時要保證加密方式等條件的一致性，兩端的共享密鑰要一致，在設置共享密鑰以及定義加密映射時，注意要填寫對端的IP地址而不是本地的IP地址.

4 結束語

交換機與路由器等網(wǎng)絡設備的安全性是保證企業(yè)網(wǎng)絡正常運行的基礎.出于網(wǎng)絡安全的考慮，需要使用交換機的MAC地址綁定功能限制交換機每個接口接入的設備數(shù)量，還可以通過劃分VLAN的方式來確保企業(yè)網(wǎng)絡安全，每個VLAN形成獨立的廣播域，大大提高了網(wǎng)絡利用率，確保企業(yè)網(wǎng)絡的機密性.路由器在企業(yè)網(wǎng)絡中承擔數(shù)據(jù)轉發(fā)的任務，路由器安全穩(wěn)定的運行時保證企業(yè)網(wǎng)絡運行正常的關鍵，一旦出現(xiàn)網(wǎng)絡擁塞會導致網(wǎng)絡運行效率極具下降，對現(xiàn)代化企業(yè)而言結果是災難性的.路由器的安全性包括路由器本身和企業(yè)信息的安全性，由于路由器是網(wǎng)絡互聯(lián)的關鍵設備，因此路由器的安全性要高于其他設備.本文分別對交換機和路由器進行案例分析，介紹了這兩種網(wǎng)絡設備常見的方法技術，通過不同網(wǎng)絡設備安全技術的綜合應用，實現(xiàn)企業(yè)網(wǎng)絡的高可用性和安全性，做到防患于未然.

［1］鄭彥平.網(wǎng)絡設備安全措施與實現(xiàn)［J］.煤炭技術. 2011,30(12):206-207.

［2］徐恪,趙玉東,陳文龍,沈蒙,徐磊.防御數(shù)據(jù)竊聽攻擊的路由交換范式體系［J］.計算機學報.2016(39): 1-16.

［3］林初建,張四海,王海英,馮雷,趙君.基于非對稱VLAN的端口隔離技術研究與應用［J］.華東師范大學學報（自然科學版）.2015,3(S1):232-239.

［4］范靜,陳睿.基于網(wǎng)絡交換機安全措施的研究與實現(xiàn)［J］.華東電力.2014,42(5):1048-1049.

［責任編輯：王曉軍］

Security Guard and Implementation of Switch and Router in Enterprise Network

GUO Lin

(Shunde Polytechnic,Shunde 528300)

The security of network equipment is an important part of the overallnetwork security assurance. How to strengthen the security of switches and routers and other network equipment is of great significance to improve the reliability of the enterprise network,availability and integrity.Using VLAN technology to prevent the broadcast storm,The broadcast storm of exchange is prevented by using VLAN technology.Redundant backup is realized by using VRRP technology.in order to avoid the occurrence of network equipment insecurity,the traffic filtering is completed by using the access control uits,and the traffic control is completed,by using policy routing.

enterprise network;switch;router;security guard

TP 399

A

1672-402X（2016）11-0057-05

2016-08-20

廣東省教育科學“十二五”規(guī)劃課題（NO.2012JK303，主持人：郭琳）;廣東省高等職業(yè)教育教學改革2013年度項目（NO.20130201109，主持人：郭琳）;廣東省職業(yè)技術教育學會第三屆理事會科研規(guī)劃項目（201503Y67）；順德職業(yè)技術學院2015校級教學改革項目（2015-SZJGXM16）.

郭琳（1978-），女，河南禹州人，湖南大學碩士研究生畢業(yè)，順德職業(yè)技術學院講師，網(wǎng)絡工程師，廣東省“千百十”校級培養(yǎng)對象，研究方向：網(wǎng)絡技術、信息安全.