內(nèi)網(wǎng)通常指局域網(wǎng),常用于公司內(nèi)部運(yùn)營支撐系統(tǒng)、視頻監(jiān)控、傳輸設(shè)備網(wǎng)管和服務(wù)器通信行。根據(jù)安全等級(jí)防護(hù)要求,內(nèi)網(wǎng)是不能直接訪問Internet。其原因主要是維護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的純凈性,從而進(jìn)一步保證內(nèi)部網(wǎng)絡(luò)穩(wěn)定和安全。那么如果外網(wǎng)需要訪問內(nèi)網(wǎng)的資源呢?外網(wǎng)是相對內(nèi)網(wǎng)而言,是面向Internet部署的網(wǎng)絡(luò),剛才談到內(nèi)網(wǎng)需要可靠的安全性,為實(shí)現(xiàn)網(wǎng)絡(luò)需求就需要一個(gè)安全有效的方案進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交互,接下來就根據(jù)一個(gè)網(wǎng)絡(luò)案例來具體介紹下網(wǎng)絡(luò)的實(shí)現(xiàn)過程。
近日,某平臺(tái)根據(jù)業(yè)務(wù)發(fā)展的需要,要實(shí)現(xiàn)在平臺(tái)終端上查看視頻監(jiān)控,而視頻監(jiān)控則部署連接在內(nèi)網(wǎng)上,而平臺(tái)則部署在外網(wǎng)上,既然要實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)的數(shù)據(jù),那么就需要一個(gè)穩(wěn)妥且安全的方法來實(shí)現(xiàn)。
要實(shí)現(xiàn)該網(wǎng)絡(luò)需求有兩種方法。一是將內(nèi)網(wǎng)和外網(wǎng)核心設(shè)備進(jìn)行連接,兩端核心設(shè)備通過三層地址互聯(lián),然后通過靜態(tài)路由的辦法,將內(nèi)網(wǎng)資源交互到外網(wǎng)平臺(tái)上使用;另一種是在內(nèi)外網(wǎng)設(shè)備連接前,中間部署一臺(tái)防火墻,在防火墻上將內(nèi)網(wǎng)視頻監(jiān)控?cái)z像頭的IP地址使用NAT技術(shù)實(shí)現(xiàn)地址轉(zhuǎn)換,然后再使用靜態(tài)路由的辦法實(shí)現(xiàn)外網(wǎng)平臺(tái)訪問內(nèi)網(wǎng)攝像頭的需求。
綜合比較下兩種方案,其中方案一的優(yōu)點(diǎn)是具有很好的易操作性,方便實(shí)施,可快速實(shí)現(xiàn)外網(wǎng)平臺(tái)訪問內(nèi)網(wǎng)資源,缺點(diǎn)是該方案通過路由的方式進(jìn)行數(shù)據(jù)交互,很容易引起內(nèi)網(wǎng)資源的受到安全威脅,不利于網(wǎng)絡(luò)的穩(wěn)定性,同時(shí)也不符合組網(wǎng)的規(guī)范性原則。方案二是通過在內(nèi)外網(wǎng)之間部署一臺(tái)防火墻,使用NAT和安全策略來實(shí)現(xiàn)網(wǎng)絡(luò)的互訪,這樣雖然在網(wǎng)絡(luò)部署上比較麻煩,但是從后期網(wǎng)絡(luò)安全穩(wěn)定和長期運(yùn)營發(fā)展的角度出發(fā),第二種方案具有很好的可操作性,符合網(wǎng)絡(luò)組網(wǎng)的規(guī)范,并可以有效的保證內(nèi)網(wǎng)的安全穩(wěn)定。
在對方案進(jìn)行簡單推敲并對優(yōu)缺點(diǎn)進(jìn)行比較后,計(jì)劃按照第二種方案進(jìn)行實(shí)施,在實(shí)施之前,我們首先梳理下計(jì)劃組網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),如圖1所示。
內(nèi)網(wǎng)攝像頭位于內(nèi)網(wǎng)匯聚交換機(jī)上,然后通過核心內(nèi)網(wǎng)交換機(jī)進(jìn)行數(shù)據(jù)傳輸。而平臺(tái)位于外網(wǎng)的核心路由器側(cè),核心路由器連接BRAS,單位計(jì)劃在BRAS和內(nèi)網(wǎng)核心交換機(jī)之間部署一臺(tái)防火墻。其中外網(wǎng)平臺(tái)服務(wù)器和核心路由器是通過靜態(tài)路由通訊,然后在核心路由器的BGP中引入靜態(tài)路由進(jìn)行路由重分發(fā),實(shí)現(xiàn)BRAS和平臺(tái)服務(wù)器的通訊。內(nèi)網(wǎng)攝像頭位于城網(wǎng)的匯聚交換機(jī)上,使用OSPF進(jìn)行通訊,實(shí)現(xiàn)了核心交換機(jī)和攝像頭的通訊。
圖1 網(wǎng)絡(luò)拓?fù)鋱D
首先在BRAS上需要配置端口的互聯(lián)地址和靜態(tài)路由,具體的配置命令即:
完成BRAS上端口互聯(lián)地址和靜態(tài)路由配置后,接下來開始配置防火墻,防火墻的配置主要分為互聯(lián)地址、靜態(tài)路由和NAT的配置。具體配置命令即:
完成防火墻的配置后,接下來我們就可以在10.66.66.0/25網(wǎng)絡(luò)的電腦上對10.220.255.2進(jìn)行ping測試是成功的,而且可以查看到攝像頭的畫面。同樣在平臺(tái)上也可以正常觀看到攝像頭的視頻。上面我們在防火墻上使用了一個(gè)攝像頭IP地址進(jìn)行靜態(tài)NAT測試,接下來就可以按照這個(gè)配置方法進(jìn)行規(guī)模化的攝像頭接入配置工作,這樣就完成了該網(wǎng)絡(luò)的全部調(diào)試。
上面我們從知悉網(wǎng)絡(luò)需求,為了實(shí)現(xiàn)內(nèi)網(wǎng)攝像頭可以在外網(wǎng)平臺(tái)上查看,必須打通內(nèi)外網(wǎng)絡(luò),根據(jù)這一需求通過對網(wǎng)絡(luò)方案進(jìn)行推敲和比較,最終確定使用防火墻作為媒介將內(nèi)外網(wǎng)進(jìn)行互聯(lián),通過對BRAS和防火墻的一系列配置最終達(dá)到了網(wǎng)絡(luò)需求。該方法在實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提下,又完美的解決了內(nèi)外網(wǎng)通訊的需求,可謂一舉兩得,同時(shí)也完善了網(wǎng)絡(luò)的規(guī)范性。