基于防火墻雙出口的有線無線融合企業(yè)園區(qū)網(wǎng)設(shè)計與仿真*

［程鉍峪 王飛 李濤］

1 引言

一方面，企業(yè)處于數(shù)字化轉(zhuǎn)型的過程中，會遭受源自于內(nèi)外部的網(wǎng)絡(luò)威脅甚至是網(wǎng)絡(luò)攻擊，因此建設(shè)一個高安全與高可靠的園區(qū)網(wǎng)絡(luò)對企業(yè)的發(fā)展至關(guān)重要[1-2]。另一方面，隨著企業(yè)數(shù)字化建設(shè)持續(xù)推進，BYOD（Bring Your Own Device）設(shè)備接入到網(wǎng)絡(luò)的形式趨于多樣性，園區(qū)網(wǎng)絡(luò)的規(guī)模和覆蓋范圍不斷被延伸與擴展；這就使得企業(yè)園區(qū)網(wǎng)在建設(shè)上還需考慮有線、無線的充分融合，以滿足各類業(yè)務(wù)需求。文獻[3]提出了一種園區(qū)網(wǎng)方案，其中主要技術(shù)為MSTP，但單純使用MSTP 技術(shù)在大規(guī)模園區(qū)網(wǎng)部署時會造成二層業(yè)務(wù)流量與三層業(yè)務(wù)流量路徑不一致的問題；文獻[4-6]提出一種MSTP 與VRRP 相結(jié)合的園區(qū)網(wǎng)，該方案可以實現(xiàn)二層業(yè)務(wù)負(fù)載分擔(dān)也可實現(xiàn)三層業(yè)務(wù)的負(fù)載分擔(dān)，但通過三層網(wǎng)關(guān)直接接入公網(wǎng)，但此方案缺少安全防護機制，園區(qū)內(nèi)部的網(wǎng)絡(luò)會存在巨大安全隱患。文獻[7]設(shè)計出一種負(fù)載分擔(dān)的園區(qū)網(wǎng)方案，該方案將網(wǎng)絡(luò)分為接入層、匯聚層、核心層并通過使用MSTP 與VRRP來保障網(wǎng)絡(luò)的可靠，但方案同樣忽略了網(wǎng)絡(luò)安全這一重要問題。在文獻[8-9]園區(qū)網(wǎng)解決方案中，雖然體現(xiàn)出了設(shè)計者對園區(qū)網(wǎng)絡(luò)安全的防護意識，但單出口防火墻與外網(wǎng)互聯(lián)，在單防火墻出現(xiàn)故障的時候，不僅無法起到對內(nèi)網(wǎng)防護的作用，更會造成整個園區(qū)網(wǎng)絡(luò)的業(yè)務(wù)癱瘓。

綜上，面對園區(qū)網(wǎng)可靠性與安全性不足以及大量BYOD 設(shè)備通過無線方式接入網(wǎng)絡(luò)等問題，本文提出基于防火墻雙出口的有線無線融合企業(yè)園區(qū)網(wǎng)解決方案，在接入與匯聚層運行MSTP 與VRRP，并在園區(qū)網(wǎng)出口處部署兩臺負(fù)載分擔(dān)的防火墻以達到對整個園區(qū)的安全可控，方案還采用了防火墻與BFD 聯(lián)動技術(shù)[10]，VRRP 追蹤上行路由技術(shù)以保障業(yè)務(wù)故障時能夠在毫秒級時間內(nèi)切換至備用鏈路，業(yè)務(wù)能在毫秒級時間內(nèi)切換至備用鏈路，此外為滿足BYOD 設(shè)備接入，通過部署AC 與AP 實現(xiàn)了園區(qū)的無線覆蓋[11]。為提高網(wǎng)絡(luò)自動化運維的效率，在園區(qū)中部署DHCP 服務(wù)器，該服務(wù)器能夠自動為固定終端和BYOD 終端分配私有IP 地址。由于私有IP 地址無法被公網(wǎng)所路由，因此本方案中在出口防火墻部署源NAT 和NAT server，使得內(nèi)網(wǎng)用戶可以訪問公網(wǎng)，并且公網(wǎng)用戶也可以訪問內(nèi)網(wǎng)服務(wù)器。

2 關(guān)鍵技術(shù)

2.1 防火墻雙出口負(fù)載分擔(dān)

如圖1 所示，兩臺防火墻FW1、FW2 構(gòu)成雙機熱備負(fù)載分擔(dān)系統(tǒng)，兩臺防火墻硬件與軟件版本需要一致，防火墻之間通過心跳線互聯(lián)，以此來感知彼此健康狀態(tài)，并向?qū)Χ嗽O(shè)備同步配置和會話表。由于兩臺防火墻采用雙機熱備負(fù)載分擔(dān)，因此不論是FW1 還是FW2 均工作在active 狀態(tài)，并對業(yè)務(wù)流量進行轉(zhuǎn)發(fā)。當(dāng)其中一臺防火墻出現(xiàn)故障，業(yè)務(wù)流量仍然可以通過另外一臺防火墻進行轉(zhuǎn)發(fā)，從而使得網(wǎng)絡(luò)有更好的安全性與可靠性。

2.2 WLAN 無線組網(wǎng)技術(shù)

圖1 防火墻負(fù)載分擔(dān)

如圖2 所示，AC 控制器與AP 無線接入點采用三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)，旁掛意味著AC 處在AP 與上行網(wǎng)絡(luò)的旁側(cè)；三層則說明AC 與AP 的管理IP 地址不在同一網(wǎng)段；AC 與AP 通過CAPWAP 隧道交互管理報文，由于組網(wǎng)方式采用直接轉(zhuǎn)發(fā)，業(yè)務(wù)流量將不會經(jīng)過AC 進行處理，因此對于業(yè)務(wù)流量的轉(zhuǎn)發(fā)更為靈活。同時，園區(qū)網(wǎng)中各AP 及終端設(shè)備的IP 地址均由DHCP 服務(wù)器自動分配，這樣有利于網(wǎng)絡(luò)自動化運維效率的提高。

圖2 三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)

3 基于防火墻雙出口的有線無線融合企業(yè)園區(qū)網(wǎng)設(shè)計

3.1 設(shè)計目的

設(shè)計出一種基于防火墻雙出口的園區(qū)網(wǎng)方案，其拓?fù)淙鐖D3 所示，方案對有線無線進行了融合，并在MSTP 與VRRP 基礎(chǔ)上，配置VRRP 與上行路由及上行接口聯(lián)動，設(shè)備相關(guān)規(guī)劃參數(shù)如表1 所示，在出口防火墻配置BFD 與公網(wǎng)設(shè)備聯(lián)動，當(dāng)上行鏈路或上行設(shè)備故障時，保證業(yè)務(wù)能在毫秒級時間內(nèi)切換，這為其它園區(qū)網(wǎng)設(shè)計提供了思路與借鑒。

3.2 路由與交換網(wǎng)絡(luò)規(guī)劃

圖3 園區(qū)網(wǎng)整體架構(gòu)

R5、R6、R7 三臺設(shè)備模擬運營商ISP 公網(wǎng)，運行ISIS 動態(tài)路由協(xié)議，并對接園區(qū)網(wǎng)。針對園區(qū)路由，在FW1、FW2、R1、R2、SW1、SW2 組成的骨干區(qū)域上部署OSPF，并在FW1、FW2 通過default-route-advertise 命令向內(nèi)網(wǎng)發(fā)布缺省路由。出口防火墻FW1、FW2 配置缺省路由訪問公網(wǎng)，防火墻上各有一條主用路由和一條浮動路由；另外運營商邊緣設(shè)備R5、R6 通過明細(xì)路由指向園區(qū)NAT 之后的地址，值得注意的是為保證公網(wǎng)R7 設(shè)備也有園區(qū)路由信息，還應(yīng)該在R5、R6 上將明細(xì)路由引入至ISIS 中。

由于園區(qū)中存在多種業(yè)務(wù)VLAN 和管理VLAN，其中園區(qū)1 層規(guī)劃業(yè)務(wù)VLAN10、VLAN101；2層規(guī)劃業(yè)務(wù)VLAN20、VLAN102；3層規(guī)劃業(yè)務(wù)VLAN30、VLAN103；4層規(guī)劃業(yè)務(wù)VLAN40、VLAN104；WLAN分配管理VLAN100，針對該多VLAN場景，部署MSTP、VRRP以解決二層流量轉(zhuǎn)發(fā)問題。此外，在不升級硬件的條件下，方案對SW1、SW2、互聯(lián)鏈路及其上行鏈路進行鏈路聚合，以提高鏈路的可靠性及總帶寬。

3.3 WLAN 無線與網(wǎng)絡(luò)服務(wù)規(guī)劃規(guī)劃

考慮到園區(qū)中BYOD 終端對無線業(yè)務(wù)有高質(zhì)量需求，因此方案中AC 與AP 采用三層旁掛直接轉(zhuǎn)發(fā)模式組網(wǎng)。園區(qū)各樓層無線終端VLAN 分別是：VLAN101、VLAN102、VLAN103、VLAN104。AC 與AP 間 只 通 過CAPWAP 交互控制數(shù)據(jù)，其中AP 分配管理VLAN100。所有業(yè)務(wù)流量只會經(jīng)園區(qū)骨干區(qū)域和出口防火墻直接轉(zhuǎn)發(fā)至公網(wǎng)，這極大提高了數(shù)據(jù)轉(zhuǎn)發(fā)效率。

R3 這臺DHCP 服務(wù)器為園區(qū)內(nèi)所有終端提供IP 地址，由于終端的IP 地址與DHCP 服務(wù)器接口地址不在同一網(wǎng)段，方案還需額外配置DHCP中繼；此外DMZ 區(qū)域中的R4 這臺DNS 服務(wù)器為終端提供地址解析服務(wù)[12]。園區(qū)中各AP 的IP 地址，也通過DHCP 服務(wù)器獲取，并且DHCP 服務(wù)器通過option43 字段告知各AP 它們所屬AC 控制器的IP地址。

3.4 網(wǎng)絡(luò)安全及可靠性規(guī)劃

出口防火墻采用雙機熱備負(fù)載分擔(dān)模式，為進一步提高網(wǎng)絡(luò)可靠性，在出口防火墻和運營商邊緣設(shè)備上配置BFD，當(dāng)BFD 快速檢測到設(shè)備或鏈路故障，業(yè)務(wù)可在毫秒級時間內(nèi)切換。配置VRRP 與上行路由及上行接口聯(lián)動，當(dāng)被監(jiān)視路由或接口出現(xiàn)故障，則會觸發(fā)VRRP 主備切換；此外SW1、SW2 匯聚交換機之間及其上行鏈路還進行了鏈路聚合。由于終端設(shè)備分配是私有IP 地址，因此需要在出口防火墻做源NAT 策略[13]。通過在出口防火墻做NAT Server，可以使得公網(wǎng)用戶訪問園區(qū)中的Web 服務(wù)器，Web 服務(wù)器放置于DMZ 區(qū)域。最后在出口防火墻引用反病毒配置文件和入侵防御配置文件，當(dāng)園區(qū)用戶從互聯(lián)網(wǎng)下載文件和郵件時可以進行病毒檢測和防護，并保護Web 服務(wù)器免受來自互聯(lián)網(wǎng)的攻擊。

3.5 關(guān)鍵設(shè)備精簡配置

（1）R5 設(shè)備配置：

表1 設(shè)備相關(guān)規(guī)劃參數(shù)

4 全網(wǎng)業(yè)務(wù)測試及結(jié)果分析

規(guī)劃、設(shè)計以及數(shù)據(jù)配置完成后，對本企業(yè)園區(qū)網(wǎng)進行連通性測試以及安全性驗證。測試及驗證使用eNSP 仿真平臺[14]，測試驗證的網(wǎng)絡(luò)設(shè)備其版本號為V200R003C00。

如圖4 所示，PC1 是位于VLAN10 區(qū)域中的固定終端，且圖4 給出了PC1 訪問公網(wǎng)R7 設(shè)備上8.8.8.8 地址的流量轉(zhuǎn)發(fā)路徑；如圖5 所示，為PC1 訪問公網(wǎng)的ping 測試，測試結(jié)果表明在路由可達、防火墻策略放行的情況下，內(nèi)網(wǎng)用戶能夠訪問公網(wǎng)。另一方面，由于PC1 使用的是私有地址，流量在出園區(qū)時需在防火墻進行NAT 轉(zhuǎn)換；如圖6 所示，在防火墻FW1 上通過dis firewall session table 命令查看NAT 轉(zhuǎn)換信息，可知防火墻FW1 已將報文源地址192.168.10.244 轉(zhuǎn)換成了200.200.200.11。此外，通過在防火墻FW1 的出口抓包，如圖7 所示，同樣可以觀察到防火墻FW1 將內(nèi)網(wǎng)報文源地址轉(zhuǎn)換成了公網(wǎng)地址200.200.200.11。

圖4 固定終端流量轉(zhuǎn)發(fā)路徑

圖5 固定終端ping 測試

圖6 FW1 上會話表

圖7 FW1 出口抓包

如圖8 所示，STA2 是位于VLAN104 無線覆蓋區(qū)域中的移動終端，并給出了STA2 訪問公網(wǎng)地址8.8.8.8 時的流量轉(zhuǎn)發(fā)路徑；如圖9 所示，為STA2 訪問公網(wǎng)的ping測試，測試表明該移動終端能夠訪問公網(wǎng)，對于無線終端來說，出口防火墻FW2 仍然需要對內(nèi)網(wǎng)報文源地址進行NAT 轉(zhuǎn)換；如圖10 所示，在FW2 查看會話表可知防火墻FW2 已將報文源地址192.168.104.244 轉(zhuǎn)換成了200.200.200.10。

Web 網(wǎng)站是企業(yè)對外展示的重要窗口，由于Web 服務(wù)器部署于園區(qū)內(nèi)部，其地址為私有地址。因此，需要在防火墻上部署NAT server 服務(wù)，將Web 服務(wù)器地址10.1.123.2 映射為對外的22.22.22.22 公網(wǎng)地址，圖11 所示為公網(wǎng)用戶訪問Web服務(wù)器的流量轉(zhuǎn)發(fā)路徑。為了測試公網(wǎng)用戶確實可以正常訪問Web 服務(wù)器，對映射后的22.22.22.22 進行ping 測試，如圖12 所示業(yè)務(wù)測試正常；如圖13 所示，在FW1 上查看會話表可知FW1將目標(biāo)地址22.22.22.22轉(zhuǎn)換成Web服務(wù)器內(nèi)網(wǎng)地址10.1.123.2。

圖8 移動終端流量轉(zhuǎn)發(fā)路徑

圖9 移動終端ping 測試

圖10 FW2 上會話表

圖11 公網(wǎng)訪問Web 服務(wù)器流量轉(zhuǎn)發(fā)路徑

圖12 公網(wǎng)訪問Web 服務(wù)器ping 測試

圖13 FW1 上會話表

綜上，通過對園區(qū)中固定終端訪問公網(wǎng)、移動終端訪問公網(wǎng)以及公網(wǎng)用戶訪問園區(qū)Web 服務(wù)器等業(yè)務(wù)進行全面測試，結(jié)果表明本園區(qū)網(wǎng)設(shè)計方案具備高安全性與高可靠性，同時也具備了可實現(xiàn)性與可移植性，并符合現(xiàn)網(wǎng)及生產(chǎn)要求。

5 結(jié)論

相比傳統(tǒng)園區(qū)網(wǎng)設(shè)計，本方案通過部署防火墻雙機熱備負(fù)載分擔(dān)、優(yōu)化流量轉(zhuǎn)發(fā)路徑、BFD 快速檢測等先進技術(shù)，為園區(qū)網(wǎng)絡(luò)的安全可靠運行提供了有力保障；同時考慮到園區(qū)中BYOD 設(shè)備接入需求，通過AC 與AP 三層旁掛組網(wǎng)，真正實現(xiàn)了園區(qū)有線無線一體化網(wǎng)絡(luò)部署。