Hola a todos, soy el mayor Xiaohua, un bloguero en el campo de la informática. Después de años de estudio y práctica, he acumulado un rico conocimiento y experiencia en informática. Aquí me gustaría compartir mi experiencia de aprendizaje y mis habilidades contigo para ayudarte a convertirte en un mejor programador.
Como blogger informático, me he centrado en programación, algoritmos, desarrollo de software y otros campos, y he acumulado mucha experiencia en estas áreas. Creo que compartir es una situación en la que todos ganan. Al compartir, puedo ayudar a otros a mejorar su nivel técnico y al mismo tiempo tener la oportunidad de aprender y comunicarse.
En mis artículos, verá mi análisis y análisis de varios lenguajes de programación, herramientas de desarrollo y problemas comunes. Le proporcionaré soluciones prácticas y técnicas de optimización basadas en mi experiencia real en proyectos. Creo que estas experiencias no solo lo ayudarán a resolver los problemas que enfrenta actualmente, sino que también mejorarán su pensamiento en programación y sus habilidades para resolver problemas.
Además de compartir aspectos técnicos, también tocaré algunos temas sobre desarrollo profesional y métodos de aprendizaje. Como ex alumno, sé cómo superarme mejor y afrontar los desafíos en el campo de la informática. Compartiré algunos métodos de aprendizaje, habilidades para entrevistas y experiencias laborales, con la esperanza de tener un impacto positivo en su desarrollo profesional.
Mis artículos se publicarán en la comunidad CSDN, que es una comunidad de tecnología informática muy activa y profesional. Aquí podrás comunicarte, aprender y compartir con otras personas amantes de la tecnología. Si sigue mi blog, podrá obtener mis últimos artículos lo antes posible e interactuar conmigo y con otros lectores.
Si está interesado en el campo de la informática y espera mejorar sus habilidades de programación y su nivel técnico, siga mi blog de CSDN. ¡Creo que lo que comparto te ayudará e inspirará, permitiéndote lograr un mayor éxito en el campo de la informática!
¡Convirtámonos juntos en mejores programadores y exploremos juntos el maravilloso mundo de la informática! ¡Gracias por su atención y apoyo!
Todos los códigos fuente de proyectos informáticos compartidos incluyen documentos y pueden usarse para proyectos de graduación o diseños de cursos. ¡Bienvenido a dejar un mensaje para compartir preguntas e intercambiar experiencias!
Resumen
Con el crecimiento explosivo de las redes informáticas, las demandas de red de individuos y empresas están aumentando considerablemente, y la calidad de las redes requeridas también está aumentando. Por lo tanto, para mejorar los problemas de uso de la red de individuos y empresas, el uso de enrutamiento de políticas puede permitir que la red se divida, mejorando así la calidad de la red.
Mejoramos la estabilidad y seguridad del enlace de red mediante el uso de una red de doble línea. Al configurar dos enlaces de exportación en la exportación de la red, esto puede aumentar el ancho de banda de la exportación de la red y diversificar los enlaces de exportación de la red de la empresa. Esto logrará la carga equilibrar el tráfico de la red, reducir la carga de la red y, por lo tanto, mejorar la calidad de la red.
Este documento comenzará con la planificación y el diseño de la solución de acceso a la red de doble línea de enrutamiento de políticas y realizará una planificación y análisis generales de la planificación y el diseño de la solución de acceso a la red de doble línea de enrutamiento de políticas. Este sistema de red implica análisis de demanda, diseño general de la red, tecnología e implementación de redes, diseño inalámbrico y otros módulos. Basado en el simulador de Huawei, utiliza división VLAN, adquisición automática de IP DHCP, protocolo OSPF, configuración VPN y otras tecnologías para implementar enrutamiento de política dual. .Los módulos funcionales de planificación de acceso a la red de líneas se dividen, diseñan e implementan en el sistema.
Diferentes usuarios tendrán diferentes requisitos para la configuración requerida. El enrutamiento de políticas puede enrutar y reenviar de acuerdo con sus requisitos. Al mismo tiempo, puede capturar paquetes de acuerdo con las reglas. También puede establecer un enrutamiento de políticas específico de acuerdo con las necesidades de las personas. Excelente para esto es que el enrutamiento de políticas se vuelve más flexible y más fácil de controlar. Al mismo tiempo, la tabla de enrutamiento se puede cambiar de manera flexible sin cambiarla. Utilice el software de simulación ENSP para simular el entorno de red y el enrutamiento de políticas. En el entorno experimental, se separaron el entorno de simulación de red y el enrutamiento de políticas, y se ejecutaron las pruebas correspondientes para verificar la efectividad del desvío del tráfico TCP.
Palabras clave: enrutamiento de políticas, acceso a la red de doble línea, diseño e implementación.
Abstracto
Con el crecimiento explosivo de las redes informáticas, la demanda de redes personales y corporativas está aumentando rápidamente, y la calidad de las redes que se entregarán también está aumentando, por lo que para mejorar el uso de las redes por parte de individuos y empresas, el uso de enrutamiento de políticas puede dividir la red y mejorar la calidad de la red.
Mejoramos la estabilidad y seguridad de los enlaces de la red mediante el uso de una red de dos hilos. Al establecer dos enlaces de exportación en las salidas de la red, podemos aumentar el ancho de banda de las salidas de la red y diversificar las salidas de la red de la empresa, esto logrará el equilibrio de carga del tráfico de la red, reducirá la carga de la red y mejorará así la calidad de la red.
Este artículo comenzará con el plan y el diseño del esquema de acceso a la red de dos hilos de la ruta estratégica y analizará el plan general y el diseño del esquema de acceso a la red de dos hilos de la ruta estratégica. Este sistema de red implica análisis de demanda, diseño general de la red, tecnología e implementación de redes, diseño inalámbrico y otros módulos, basados en el simulador de Huawei, el uso de Vlan, acceso automático DHCP a IP, protocolo OSPF, configuración VPN y otras tecnologías, las dos. Se divide, diseña e implementa el módulo de función de planificación de acceso a la red de cables de enrutamiento de políticas.
Diferentes usuarios tendrán diferentes requisitos sobre la configuración requerida, el enrutamiento de políticas se puede enrutar y reenviar de acuerdo con sus requisitos y, al mismo tiempo, se pueden capturar las reglas, también se pueden establecer rutas de políticas específicas de acuerdo con las necesidades de las personas, lo que hace que el enrutamiento de políticas Mucho más flexible y cómodo de controlar. Y la flexibilidad de cambiar sin cambiar la tabla de enrutamiento. Simulación del entorno de red y enrutamiento de políticas utilizando el software de simulación ENSP. En el entorno experimental.
Palabras clave: Enrutamiento de políticas Acceso a la red de dos hilos Diseño e implementación
Tabla de contenido
1.1 Antecedentes de la investigación... 1
1.2 Importancia de la investigación... 1
1.3 Contenido de la investigación... 2
Capítulo 2 Análisis del sistema... 2
2.1 Análisis de viabilidad... 2
2.2 Análisis de requisitos... 2
2.3 Diseño de arquitectura de red... 3
Capítulo 3 Descripción general de las tecnologías relacionadas... 4
3.1 Tecnología LAN virtual... 4
3.2 Tecnología de lista de control de acceso... 5
3.3 Tecnología de red privada virtual... 7
3.4 Tecnología de traducción de direcciones de red... 9
Capítulo 4 Diseño del sistema... 11
4.1 Diseño general de la red... 11
4.2 Diagrama de topología de la red... 11
4.3 Planificación de direcciones IP... 12
4.4 Selección del equipo... 12
Capítulo 5 Diseño detallado... 16
5.1 Diseño de enlace múltiple de salida... 17
5.2 Prioridad de acceso al enlace de salida... 17
5.3 Exportar diseño de seguridad... 18
5.4 Análisis de la estructura jerárquica de la red... 18
5.5 Tecnologías clave y dificultades... 20
5.6 Problemas existentes y soluciones... 21
Capítulo 6 Pruebas del sistema... 21
Capítulo 1 Introducción
Este artículo se centra principalmente en el diseño y la implementación de acceso de doble línea con enrutamiento de políticas: configura principalmente el firewall en la salida de la red, configura el enrutamiento de políticas razonable en el firewall para implementar reglas de ruta de tráfico y controla de manera flexible el flujo de paquetes de datos sin cambiando la tabla de enrutamiento. En la situación de envío, cuando es necesario reenviar paquetes de datos, el sistema los reenviará forzosamente de acuerdo con el formulario de política que el usuario desee. Incluso si la entrada de enrutamiento no existe en la tabla de enrutamiento, si hay no existe tal política de configuración o cuando no puede encontrarse. Cuando hay una coincidencia, la enviará buscando la tabla de enrutamiento. Esto reduce efectivamente problemas como los bucles que pueden ser causados por cambios en la tabla de enrutamiento. Reducir la pérdida de rendimiento de los equipos de la empresa y reducir los costos de mantenimiento del personal de operación y mantenimiento. Incrementar la escalabilidad y la seguridad.
1.1 Antecedentes de la investigación
El uso y la demanda de la red aumentan día a día, y la banda ancha que necesitamos también aumenta. Para mejorar la red y resolver los problemas de interconexión entre las telecomunicaciones y China Netcom, la gente ha desarrollado enrutamiento estratégico. Desde China después de los dos Se separaron las redes principales, y también siguió el entorno de red con las características de la patria, que también se conoce como Southern Telecom y Northern Netcom, porque cuando las dos redes acceden a las líneas de la otra, la velocidad de la red se vuelve muy lenta. utilizar tecnología de acceso a la red de doble línea para controlar la dirección de las dos redes, lo que mejora en gran medida la velocidad de la red. A través del enrutamiento de políticas, se planea que las dos redes tomen dos líneas respectivamente, de modo que la carga de la red ha mejorado enormemente y el problema del uso de la red se ha resuelto en gran medida.
1.2 Importancia de la investigación
Con el uso cada vez mayor de las computadoras, las computadoras se han convertido en algo indispensable para las personas de todo el mundo, y la tecnología informática también se convertirá en la corriente principal de la sociedad futura. El nivel de red requerido por individuos y empresas también se ha vuelto extremadamente alto. Y se está desarrollando extremadamente rápido, por lo que la construcción de la red es particularmente importante. En muchos lugares, hay muchos problemas de red cuando se construye por primera vez. Por ejemplo, la red es inestable y siempre está bajo ataque. Esto también trae muchos problemas al mantenimiento. Problemático, el contenido del mantenimiento requiere mucho tiempo y es complicado. Por esta razón, la seguridad y la fluidez de la red son indispensables para cada red. Al mismo tiempo, la claridad también es indispensable. Podemos mejorar aún más la red utilizando una red de dos cables. Se mejoran la estabilidad y la seguridad, y se puede mejorar el ancho de banda de la salida de la red de la empresa estableciendo enlaces en la salida de la red, diversificando así los enlaces de salida de la red y equilibrando la carga de la red de la empresa, logrando así el efecto deseado y haciendo que la red Se mejora el medio ambiente.
1.3 Contenido de la investigación
El enrutamiento de políticas es un mecanismo de enrutamiento que se transmite a través de reglas de enrutamiento seleccionadas por el usuario. Mediante el uso razonable y estandarizado del enrutamiento de políticas, el enrutador puede reenviar la información en función de la dirección de origen de cada información transmitida o la longitud del mensaje que llega. Esto es algo diferente de usar la dirección IP de destino para consultar la tabla de enrutamiento para el reenvío. El enrutamiento de políticas se realiza pasando información como la dirección de origen del mensaje, la longitud del mensaje y el tipo de protocolo del mensaje. Según los diferentes objetos, el enrutamiento de políticas se puede dividir en dos tipos. Uno es el enrutamiento de políticas local. Este enrutamiento de políticas es en realidad el enrutamiento de políticas para paquetes generados localmente. Este enrutamiento de políticas solo se puede usar para paquetes generados localmente y no se puede usar. paquetes reenviados; el segundo tipo es el enrutamiento de política de interfaz. Esta ruta, por otro lado, solo se puede usar para paquetes reenviados, pero no se puede usar para paquetes generados directamente localmente.
Capítulo 2 Análisis del sistema
2.1 Análisis de viabilidad
2.1.1 Viabilidad técnica
En la construcción de redes actuales, a medida que aumenta el número de personas que utilizan Internet, aumenta la demanda de uso de Internet, por lo que existen requisitos extremadamente altos para la calidad de la red que utilizamos, por lo que, con diferencia, lo más esencial es desviar la red. Ahora las dos redes principales de nuestro país han implementado el desvío de tráfico, lo que les permite tomar sus propias líneas de red, lo que ha aumentado considerablemente la velocidad de la red, debilitado la complejidad de la red y mejorado en cierta medida la calidad del uso de la red.
2.1.2 Viabilidad operativa
El acceso a la red de doble línea a través del enrutamiento de políticas puede aumentar en gran medida la conveniencia del mantenimiento de la red y puede llevar a cabo una gestión concreta y formalizada de la red. Las computadoras de hoy se mueven cada vez más rápido y el acceso a la red de doble línea puede realizar el mantenimiento de la red utilizada. El desvío mejora la calidad del acceso a Internet, satisface las necesidades de red de empresas e individuos, es conveniente y brinda gran comodidad para el mantenimiento futuro de la red. Por lo tanto, el acceso a la red de doble línea para el enrutamiento de políticas es muy necesario.
2.2 Análisis de la demanda
Análisis general de necesidades:
La tecnología informática ha crecido día a día y los usuarios de computadoras también están creciendo rápidamente. Las computadoras se han convertido en algo indispensable para todos. En el futuro, las computadoras también se convertirán en la corriente principal de la sociedad. Sin embargo, a medida que aumenta el número de usuarios de Internet, el número de los usuarios de Internet Los requisitos son cada vez más altos, y la calidad requerida es cada vez mayor, lo que resulta en una carga excesiva de la red, por lo que la velocidad de la red es lenta. A medida que los individuos y las empresas nacionales se fortalecen, los requisitos de la red se vuelven más altos. Y la red en muchos lugares también enfrentará una serie de problemas como una construcción inicial incompleta, como inestabilidad de la red y ataques constantes, lo que también trae muchos problemas al mantenimiento, el contenido del mantenimiento requiere mucho tiempo y es complicado. Por esta razón, cada red es indispensable. La seguridad, la fluidez y la claridad de la red también son indispensables. Podemos mejorar aún más la estabilidad y la seguridad de la red utilizando una red de dos líneas, y también podemos hacer que la red de la empresa sea más segura si establecimiento de enlaces en la salida de la red. Se mejora el ancho de banda de exportación, lo que diversifica los enlaces de exportación de la red y equilibra la carga de la red de la empresa, logrando así el efecto deseado y mejorando el entorno de la red. La empresa tiene acceso a dos operadores, China Telecom y China Unicom, para proporcionar servicios Intel y utiliza servicios de fibra óptica proporcionados por los proveedores de servicios ISP Intel. Proporciona servicios de fibra hasta el escritorio. Configure un firewall en la salida de la red de la empresa para configurar NAT y enrutamiento de políticas, y garantice la seguridad de la intranet configurando zonas a nivel de firewall. Para los requisitos de acceso a la intranet de diferentes departamentos, la comunicación de datos se realiza a través del EASY-IP del firewall. .
2.3 Diseño de arquitectura de red
El diseño de red de este tema consiste en aplicar el diseño de red de tres capas, que consiste en dividir la red compleja en múltiples capas. Cada capa se centrará en algunas funciones únicas. A través de este método, una red extremadamente compleja y enorme se ha vuelto mucho más simple y claro.
El diseño de la arquitectura de red tiene tres niveles, uno es la capa central, el otro es la capa de agregación y el último es la capa de acceso. Las redes medianas y grandes deben diseñarse de acuerdo con dicha estructura estándar para mejorar la conveniencia de la administración y mejorar en gran medida el rendimiento de la red.
El diseño de "núcleo reducido" permite que la red ignore la agregación, lo cual es adecuado para entornos con tamaños de red más pequeños y tablas de distancias de interconexión más cortas.
El equipo en la capa central puede conectarse directamente a la capa de acceso, lo que puede ahorrar efectivamente parte del costo de la capa de agregación, al tiempo que reduce la carga de mantenimiento y hace que el monitoreo de las condiciones de la red sea más conveniente.
Ajustar la arquitectura de red de la tecnología de conmutación de dos capas a la arquitectura de red de la tecnología de conmutación de tres capas hará que el efecto de optimización de la red sea muy obvio. Instalarlo en software relacionado con la gestión de la red aumentará en gran medida la seguridad y protección de la red. . El conmutador central está configurado de forma estandarizada para utilizar plenamente el rendimiento del hardware del conmutador central.
Al ajustar la posición y la estructura de las capacidades de procesamiento del conmutador central para la tecnología de banda ancha y el tráfico de red, tiene una excelente función de expansión. Las VLAN se dividen según las necesidades de los diferentes servicios, se controla el alcance de transmisión y se controla la tormenta de transmisión en al mismo tiempo Se realiza la supresión, lo que mejora el rendimiento general de la LAN y la seguridad de la LAN. Para mejorar la confiabilidad general de la red, los conmutadores centrales adoptan métodos de equilibrio de carga y copia de seguridad en caliente de doble máquina. Normalmente, ambos conmutadores centrales participarán en el trabajo. Cuando cualquier conmutador falla, el segundo conmutador automáticamente se hace cargo del trabajo. y la información es visible a simple vista para los supervisores y usuarios de la red. No hay necesidad de intervención manual en la conmutación por error. Esto aumenta la tolerancia automática a fallas de las emergencias de la red y mejora en gran medida la capacidad de la red para manejar emergencias. Se reduce el tiempo de inactividad debido a fallas .
Capítulo 3 Descripción general de las tecnologías relacionadas
3.1 Tecnología de LAN virtual
La LAN virtual es una tecnología de comunicación basada en la LAN virtual del lado CSMA/CD para compartir universalmente la red de datos multimedia. Cada vez que el host transmite, se producirán conflictos, lo que reducirá en gran medida el rendimiento. Al mismo tiempo, también puede afectar la conexión de la red y "Hay otras cuestiones que afectarán el trabajo. El impacto es enorme y grave. La tecnología de interconexión mediante conmutadores puede resolver muchos problemas y resolver conflictos. Sin embargo, no hay solución para la proliferación de transmisiones y la calidad de la red.
Después del nacimiento de la tecnología VLAN, la tecnología VLAN dividirá cada LAN en múltiples VLAN, después de eso, cualquiera de ellas será un dominio de transmisión, el efecto de comunicación entre VLAN y LAN es el mismo, y el efecto de comunicación entre VLAN es el mismo. No pueden comunicarse entre sí, por lo que VLAN restringirá cualquiera de ellos.
Diferente reenvío de VLAN comunes en Acceso y Trunk, como se muestra en la Tabla 3.1
Formulario 3.1
| Puerto de acceso PVID |
ID de VLAN del paquete recibido |
ID de VLAN del paquete enviado |
resultado del proceso |
| VLAN2 |
ninguno |
Adelante después de agregar VLAN 2 |
|
| VLAN2 |
VLAN3 |
tirar a la basura |
|
| VLAN2 |
VLAN2 |
Reenviar dentro de VLAN2 |
|
| VLAN2 |
VLAN2 |
Eliminar VLAN2 y reenviar |
|
| VLAN2 |
VLAN3 |
tirar a la basura |
|
| PVID del puerto troncal |
ID de VLAN del paquete recibido |
ID de VLAN del paquete enviado |
resultado del proceso |
| VLAN1 |
ninguno |
Después de marcar VLAN1, reenvíe dentro de VLAN1 |
|
| VLAN2 |
ninguno |
Después de marcar VLAN2, reenvíe dentro de VLAN2 |
|
| VLAN2 |
Puerto VLAN2 permitido |
Eliminar el reenvío de VLAN2 |
|
| VLAN2 |
Puerto VLAN3 permitido |
Eliminar el reenvío de VLAN3 |
|
| VLAN2 |
Puerto VLAN3 no permitido |
tirar a la basura |
|
| VLAN2 |
VLAN2 |
Eliminar vlan2 y enviar |
|
| VLAN2 |
VLAN3 |
Enviar directamente |
3.2 Tecnología de lista de control de acceso
La lista de control de acceso es un tipo de protocolo de lista de control de acceso privado admitido por Cisco basado en el sistema IOS. Si el administrador de la red desea utilizar la tecnología de lista de control de acceso en la conmutación de Capa 3, algunos usuarios de Internet pueden restringir el acceso al contenido de la red. Al mismo tiempo, durante el proceso de operación, cada control de red El personal también puede controlar el acceso a segmentos de red y restringirlos. El uso de esta tecnología ACL puede brindar un gran soporte para la seguridad de la red y brindar una buena protección de seguridad. Sin embargo, esta tecnología no lo hace. No todo es posible. Esta tecnología solo se puede usar en una red con una pequeña cantidad de clientes. La configuración de esta lista de control de acceso también puede mejorar efectivamente la interfaz del enrutador y aumentar en gran medida la velocidad de acceso del enrutador a los datos. Al mismo tiempo, el uso de la red de la empresa también se monitorea en todo momento. Esta función ACL se puede ver en todas partes en Las principales empresas de hoy. Cuando el tráfico de la red local es pequeño, los administradores de red también pueden usar esta tecnología para controlar el enrutador. Para este propósito, se han implementado algunas funciones para la tecnología de firewall, pero esta tecnología no puede reemplazar la tecnología de firewall.
Al principio de su nacimiento, la tecnología de lista de control de acceso solo se podía aplicar a enrutadores, sin embargo, cuando se trabaja en conmutadores que han sido reemplazados por Capa 3 en los últimos años, esto también se puede lograr utilizando la tecnología ACL, pero es porque esto El conmutador acaba de nacer, las funciones que admite no son tan completas como las del conmutador de tres capas. Un protocolo de lista de acceso que utiliza ACL para controlar la tecnología de filtrado de paquetes. Este protocolo combinará la tercera y cuarta capa de paquetes de datos en el enrutador, incluidas la dirección de origen y la dirección de destino, y también recopilará y leerá información específica del puerto del objeto. .
Los administradores pueden editar la lista de control de acceso ACL de acuerdo con las reglas de uso que deseen, y luego el sistema examinará cada paquete de datos de acuerdo con las reglas establecidas por el administrador. Después de pasar este paso, el propósito técnico del control de acceso se ha logrado. El acceso a la lista de control permite realizar varias funciones y los nodos de cada red se dividen en dos tipos, uno es el nodo de recursos y el otro es el nodo de usuario.
La función principal de la lista de control de acceso es bloquear y detener a los usuarios ilegales a través de nodos de protección de recursos. En segundo lugar, puede acceder a los recursos de la red interna de la empresa a través de nodos de red únicos y proporcionar a los usuarios recursos de red actualizados. Para permisos avanzados, en el Durante el proceso de implementación de la tecnología de lista de control de acceso en un dispositivo conmutador de capa 3 u otro dispositivo que pueda admitir la tecnología de lista de control de acceso, el dispositivo debe seguir dos pautas necesarias. Una de las pautas necesarias es el principio de privilegios mínimos. Cada vez que se controla el objetivo de configuración , se le otorgarán los permisos mínimos para el objetivo de configuración. El segundo es el principio más cercano a la construcción del objeto de configuración. Esto significa que muchos usuarios de acceso solo pueden acceder a la capa de red más básica, porque este dispositivo establece restricciones a los usuarios que pueden acceder a la capa de red. La tecnología de lista de control de acceso también tiene restricciones en la red además de la lista de control de acceso. El principio de la tecnología de control de acceso es implementar tecnología de filtrado de paquetes para realizar la gestión de datos, por lo que al filtrar paquetes de datos, solo se filtrarán algunos mensajes en las capas tercera y cuarta de los datos, lo que provocará que esta tecnología no reconozca los mensajes específicos. información de identidad de la persona que pasa a través del dispositivo, no hay manera de revelar completamente los niveles de privilegios internos que pasan específicamente a través de este dispositivo y se aplican específicamente a este dispositivo. Si una empresa desea implementar completamente el control de un extremo a otro, debe habilitarlo al mismo tiempo que el acceso a nivel de sistema y de aplicación para permitir que la empresa implemente el control de un extremo a otro.
Cuando utilice la tecnología de lista de control de acceso, preste atención a las siguientes reglas de uso: Tenga cuidado al utilizar la tecnología de lista de control de acceso. Hay al menos una declaración afirmativa en la lista; de lo contrario, este nodo bloqueará todos los datos. La ubicación del número de serie del comando de configuración de la tecnología de lista de control de acceso también es particularmente importante, porque cuando el dispositivo identifica por primera vez el comando que cumple con las condiciones específicas del dispositivo durante la detección, procesará el comando después del número de serie. Durante la verificación, el dispositivo descartará el paquete y luego no realizará configuraciones de comandos posteriores. Al crear una ACL, el administrador debe colocar el comando en la lista de control al frente y luego vincular el comando a los puertos entrantes y salientes. Cuando se utiliza la tecnología de lista de control de acceso, esta tecnología solo puede filtrar el tráfico de datos que pasa a través del dispositivo, pero no puede filtrar el tráfico de datos generado por sí misma.
3.3 Tecnología de red privada virtual
La tecnología de red privada virtual es tecnología VPN. La tecnología VPN consiste en crear una conexión temporal y altamente segura en la red Intel. Esta conexión es un canal seguro y estable que puede pasar a través de la red pública. En términos generales, la tecnología de red privada virtual La red privada se implementa para facilitar la red interna de la empresa y los usuarios de la red. De esta manera, los usuarios pueden usarlo para ayudar a los usuarios y socios remotos o la construcción de la red interna de la empresa a crear un canal de conexión seguro y conveniente con Al mismo tiempo para Para garantizar la seguridad de los datos transmitidos, las redes privadas virtuales se utilizarán en la intervención global de Internet de un número cada vez mayor de usuarios móviles para lograr canales de conexión de transmisión segura mutua, que se pueden implementar en redes virtuales para la comunicación segura en sitios web corporativos. La línea dedicada actúa como una red profesional virtual segura entre la empresa y sus empresas colaboradoras.
Se utiliza una serie de mecanismos de seguridad para construir una red privada virtual, como tecnología de túnel (Tunneling), tecnología de cifrado y descifrado (Encryption), tecnología de administración de claves , tecnología de autenticación de identidad (Authentication), etc. Estas tecnologías de seguridad se utilizan para garantizar La seguridad de la red profesional virtual. Es infalible, garantiza de manera efectiva y poderosa la seguridad durante el proceso de transmisión, lo que reduce en gran medida el riesgo de ser robado durante el proceso de transmisión. Incluso si otros lo roban durante el proceso de transmisión, no hay manera. para que otros lean la información que contiene.
Una red privada virtual es un "servicio basado en una red de datos pública que proporciona a los usuarios una conexión directa a una red local privada. VPN reduce en gran medida el costo para los usuarios y proporciona mayor seguridad y confiabilidad que los métodos tradicionales. VPN se puede dividir en There Hay tres categorías principales: VPN de Internet que actúa entre diferentes departamentos y departamentos remotos de la empresa, y VPN de Internet que se proporciona entre cada empresa y sus socios o sus clientes y amigos.
Debido a la aplicación de esta tecnología de red privada virtual, en realidad no existe una red independiente dedicada al usuario. Los usuarios no necesitan construir o arrendar líneas especiales ni equipar equipos especiales para convertirse en las redes privadas de los usuarios de telecomunicaciones. Redes privadas virtuales Red funcional creada utilizando redes públicas de telecomunicaciones. Diferentes tipos de redes públicas pueden crear diferentes tipos de redes privadas virtuales a través del control de software dentro de la red.
Los requisitos de seguridad exigen que las VPN hagan que los usuarios se sientan privados, por lo que la primera prioridad de las redes de datos públicas basadas en datos inciertos y poco fiables es abordar los problemas de seguridad. Las redes privadas virtuales pueden resolver los problemas de seguridad de las redes privadas virtuales a través de tres tecnologías de seguridad: tecnología de túnel, cifrado y autenticación. En la red privada virtual de Internet, se debe proporcionar tecnología de cifrado de alta potencia para proteger la información confidencial y el acceso remoto a la red privada virtual debe proporcionar un mecanismo de autenticación confiable para los usuarios remotos.
Aunque las velocidades de la red han mejorado, en la era de Internet, con el crecimiento de las actividades de comercio electrónico, la congestión de la red ha tenido un impacto significativo en la estabilidad del rendimiento de las VPN. Por lo tanto, las soluciones VPN deberían permitir a los administradores monitorear las comunicaciones para garantizar su desempeño. A través de la plataforma VPN, los administradores definen políticas de gestión que activan la distribución del ancho de banda en función de la importancia. Esto garantiza que se atiendan los requisitos estrictos y las aplicaciones de alta prioridad en términos de pérdida de datos, en lugar de verse "privados" en términos de aplicaciones de baja prioridad.
Debido a la creciente disponibilidad de servicios y aplicaciones de red y a la creciente complejidad de la gestión de la red, la gestión requiere cada vez más direcciones IP de usuarios de la red. La VPN es una extensión externa de la empresa, por lo que la VPN debe tener un sistema de gestión fijo, lo que reducirá la carga de su gestión, generación de informes, etc. La plataforma de gestión debe tener una forma sencilla de determinar políticas de seguridad, asignar y gestionar una gran cantidad de dispositivos.
Ventajas de VPN : Ahorro de costos, esta es una de las ventajas más importantes de la tecnología de red VPN y la clave para ganarle a las redes de línea dedicada tradicionales. Según encuestas realizadas a empresas industriales, las empresas con una VPN pueden ahorrar entre un 30% y un 70% en costes iniciales en comparación con las empresas que utilizan servidores o módems de acceso remoto y líneas de acceso dedicadas tradicionales.
Actualmente, la seguridad de los sistemas VPN está mejorando. Los sistemas VPN utilizan principalmente cuatro tecnologías para garantizar la comunicación de datos: tecnología de túnel, tecnología de cifrado y descifrado y tecnología de identificación. En términos de tecnología de seguridad para verificar la identidad del usuario, VPN utiliza métodos de autenticación de usuario de protocolo punto a punto para la verificación. Estos métodos de verificación incluyen: Protocolo de autenticación de contraseña (PAP), Protocolo de autenticación por desafío mutuo (CHAP), Protocolo de autenticación de contraseña de Shiva (SPAP). ) ), el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) y el Protocolo de autenticación extensible (EAP) opcional; para el cifrado de datos y la administración de claves, la VPN utiliza el cifrado punto a punto de Microsoft (MPPE) y el protocolo de seguridad de Internet (IPSec) ) mecanismo de seguridad, mientras que las claves utilizan métodos basados en claves públicas y privadas. MPPE permite que los terminales Windows 95, 98 y NT4.0 se comuniquen de forma segura en cualquier parte del mundo. El cifrado MPPE garantiza la transmisión segura de datos, utilizando una clave pública mínima. Los métodos de autenticación y cifrado descritos anteriormente los realiza el servidor VPN remoto. En el caso de una conexión VPN basada en el método de acceso telefónico, la conexión VPN permite un doble cifrado de datos, lo que hace que la transmisión de datos a través de la red sea más segura.
Es poco lo que las empresas pueden hacer si quieren ampliar las capacidades y cobertura de sus VPN, y lo hacen en el momento oportuno porque estas tareas pueden encomendarse a NSP profesionales, garantizando así la calidad del proyecto y evitando muchas complicaciones. Las empresas sólo necesitan firmar un contrato de cuenta con el nuevo NSP o renovar el contrato con el NSP original para ampliar el alcance de los servicios. Los enrutadores VPN también pueden ensamblar estaciones de trabajo automáticamente.
i Las direcciones IP son seguras porque las VPN están cifradas y cuando los paquetes VPN se transmiten a través de Internet, los usuarios de Internet solo ven la dirección IP del servicio público y no la dirección de la red privada contenida en el paquete. Por lo tanto, las direcciones de redes remotas privadas están protegidas. La incertidumbre de las direcciones IP es una de las principales razones por las que las VPN no se consideraron plenamente en los primeros días.
3.4 Tecnología de traducción de direcciones de red
NAT es un estándar del IETF que permite a una organización en su conjunto tener una dirección IP pública en Internet. Como él dice, es una tecnología que convierte direcciones de red privadas internas (direcciones IP) en direcciones IP de red legítimas. Por lo tanto, se puede considerar que NAT puede resolver eficazmente hasta cierto punto el problema de la insuficiencia de direcciones de red pública. El propósito de la traducción de direcciones de red NAT es convertir IP privadas en direcciones públicas, y lo más importante es compensar la falta de direcciones públicas, por lo que aquí usamos EASY-IP para configurar la red.
El principio de implementación del método Easy IP es similar al principio de conversión NAPT del grupo de direcciones. Puede considerarse como un caso especial de NAPT. La diferencia es que el método Easy IP puede implementar automáticamente la conversión entre las direcciones IP públicas de la interfaz WAN en el enrutador y la dirección IP privada.
Easy IP se utiliza principalmente cuando la dirección IP de la interfaz WAN del enrutador se utiliza como dirección IP de la red pública a mapear, y es especialmente adecuada para redes LAN pequeñas en cibercafés pequeños y medianos, oficinas pequeñas y otros entornos para acceder a Internet. La puerta de enlace tiene las siguientes características: hay pocos hosts internos y la interfaz saliente obtiene una dirección IP pública temporal (o fija) mediante acceso telefónico para que los hosts internos accedan a Internet.
3.5 protocolo OSPF
El protocolo de enrutamiento OSPF es un protocolo de enrutamiento de estado de enlace típico, generalmente utilizado dentro del mismo dominio de enrutamiento. Aquí, el dominio de enrutamiento se refiere a un Sistema Autónomo (AS), que se refiere a un grupo de redes que intercambian información de enrutamiento entre sí a través de una política de enrutamiento unificada o un protocolo de enrutamiento. En este AS, todos los enrutadores OSPF mantienen la misma base de datos que describe la estructura de este AS. Esta base de datos almacena la información de estado de los enlaces correspondientes en el dominio de enrutamiento. Es a través de esta base de datos que el enrutador OSPF calcula su tabla de enrutamiento OSPF.
Como protocolo de enrutamiento de estado de enlace , OSPF transmite datos de multidifusión de estado de enlace LSA (Anuncio de estado de enlace) a todos los enrutadores en un área determinada, lo cual es diferente de los protocolos de enrutamiento de vector de distancia . Un enrutador que ejecuta un protocolo de enrutamiento por vector de distancia pasa parte o la totalidad de su tabla de enrutamiento a sus enrutadores vecinos.
En cuanto a la seguridad del intercambio de información, OSPF estipula que cualquier intercambio de información entre enrutadores puede autenticarse o autenticarse (Autenticación) cuando sea necesario para garantizar que solo los enrutadores confiables puedan propagar información de enrutamiento. OSPF admite múltiples mecanismos de autenticación y permite utilizar diferentes mecanismos de autenticación en diversas áreas. OSPF optimiza la aplicación de algoritmos de estado de enlace en redes de transmisión (como Ethernet) para aprovechar al máximo las capacidades de transmisión del hardware para entregar mensajes de estado de enlace. Por lo general, un nodo en el diagrama de topología del algoritmo de estado del enlace representa un enrutador. Si todos los enrutadores K están conectados a Ethernet, en el estado de enlace de transmisión, la cantidad de mensajes relacionados con estos enrutadores K alcanzará K cuadrados. Por este motivo, OSPF permite que un nodo en el diagrama de topología represente una red de transmisión. Todos los enrutadores de cada red de transmisión envían mensajes de estado de enlace para informar el estado de enlace de los enrutadores de la red.
En pocas palabras, OSPF significa que dos enrutadores adyacentes se convierten en vecinos mediante el envío de mensajes. Luego, los vecinos se envían información sobre el estado del enlace entre sí para formar una relación de adyacencia. Luego, cada uno calcula la ruta basándose en el algoritmo de ruta más corta y lo coloca en el OSPF. tabla de enrutamiento Enrutamiento OSPF Compare con otras rutas y agregue la mejor a la tabla de enrutamiento global. Todo el proceso utiliza cinco tipos de mensajes, tres etapas y cuatro tablas.
Hay cinco tipos de mensajes: Mensajes de saludo, que establecen y mantienen relaciones con los vecinos. Mensaje DBD: envía información del encabezado del estado del enlace. Mensaje LSR: envía la información del encabezado del estado del enlace requerida que se encuentra en el DBD al vecino, solicitando información completa. Mensaje LSU: envía la información completa correspondiente a la información del encabezado de la solicitud LSR al vecino. LSACK: reconoce el mensaje LSU después de recibirlo. Tres etapas: Descubrimiento de vecinos: las relaciones entre vecinos se forman mediante el envío de mensajes de saludo. Anuncio de ruta: los vecinos envían información sobre el estado del enlace para formar relaciones de adyacencia. Cálculo de ruta: calcule la tabla de enrutamiento según el algoritmo de ruta más corta. Cuatro tablas, tabla de vecinos: registra principalmente los enrutadores que forman relaciones de vecinos. Base de datos del estado del enlace: registra la información del estado del enlace. Tabla de enrutamiento OSPF: derivada de la base de datos del estado del enlace. Tabla de enrutamiento global: las rutas OSPF se comparan con otras.
El proceso de trabajo consiste en comprender su propio enlace. Cada enrutador comprende su propio enlace, es decir, la red conectada directamente a él. La búsqueda de vecinos es diferente de RIP: después de ejecutar el protocolo OSPF, no transmite información de enrutamiento a la red inmediatamente, sino que primero busca enrutadores circundantes en la red que puedan intercambiar información sobre el estado del enlace consigo mismo. Los enrutadores que pueden intercambiar información sobre el estado del enlace son vecinos entre sí. Crear paquetes de estado de enlace: Una vez que un enrutador ha establecido una relación de vecino, puede crear paquetes de estado de enlace. Transferencia de información del estado del enlace,
El enrutador inunda LSA que describen el estado del enlace a sus vecinos y, en última instancia, forma una base de datos del estado del enlace que contiene información completa sobre el estado del enlace para la red. Para calcular rutas, cada enrutador en el área de enrutamiento puede usar el algoritmo SPF para calcular rutas de forma independiente.
La principal ventaja es que OSPF es adecuado para una amplia gama de redes : no hay límite en la cantidad de saltos de ruta en el protocolo OSPF , por lo que el protocolo OSPF se puede utilizar en muchas situaciones y también admite una gama más amplia de tamaños de red. Siempre que esté en una red de multidifusión, el protocolo OSPF puede admitir docenas de enrutadores que funcionan juntos. Actualización activada por multidifusión: una vez completada la convergencia, el protocolo OSPF enviará información de cambio de topología a otros enrutadores de manera activada, lo que puede reducir la utilización del ancho de banda de la red; al mismo tiempo, puede reducir la interferencia, especialmente cuando se utiliza la estructura de redes de multidifusión. al enviar información al exterior, no tendrá ningún otro impacto en otros dispositivos Velocidad de convergencia rápida: si la estructura de la red cambia, el sistema de protocolo OSPF enviará nuevos mensajes lo más rápido posible, lo que permitirá que la nueva topología se propague rápidamente. a toda la red; además, OSPF utiliza mensajes HOLA de ciclo corto para mantener el estado del vecino. Uso del costo como valor métrico: cuando se diseñó el protocolo OSPF, se tuvo en cuenta el impacto del ancho de banda del enlace en los valores de las métricas de enrutamiento. El protocolo OSPF utiliza el valor del costo como estándar, y el costo del enlace y el ancho de banda del enlace forman una relación inversa: cuanto mayor es el ancho de banda, menor es el costo. De esta manera, la selección de ruta OSPF se basa principalmente en factores de ancho de banda . El protocolo OSPF está diseñado para evitar bucles de enrutamiento: bajo el algoritmo de ruta más corta, se recibe el estado del enlace en la ruta y luego se genera la ruta, de modo que no se produzcan bucles. Amplia aplicación: se utiliza ampliamente en Internet y existe una gran cantidad de otros ejemplos de aplicaciones. Este ha demostrado ser uno de los IGP más utilizados.
Capítulo 4 Diseño del sistema
4.1 Diseño general de la red
Cuando la mayoría de los campus construyen redes de Internet, alquilan una línea dedicada para conectar la red de área local a la red pública. Sin embargo, existe el riesgo de que un solo punto de falla en un enlace. Si solo se conecta un enlace de telecomunicaciones, entonces falla del enlace del operador En este momento, toda la red quedará interrumpida. Con el aumento de usuarios en el parque y el mayor desarrollo de las aplicaciones de red, la salida única de telecomunicaciones original ya no puede satisfacer la demanda. Es necesario abrir una segunda salida a través del proveedor de servicios de red local para conectarse a las líneas de China Unicom.
Después de configurar las dos líneas con la política de enrutamiento a través del firewall de salida, cuando los usuarios de la intranet acceden a Internet, algunos usuarios se relacionan automáticamente con la ruta de la línea de China Telecom y otros se relacionan automáticamente con la ruta de la línea de China Unicom para acceso a Internet. Suponiendo que cuando falla el enlace de telecomunicaciones, la tecnología de detección de conectividad del enlace devolverá la información de falla al firewall, el cual determinará automáticamente que el enlace de telecomunicaciones no es válido y todos los usuarios coincidirán con las líneas de China Unicom para acceder a Internet. Mediante el establecimiento de políticas de enrutamiento, esto resuelve el problema de que un determinado enlace de red externa se interrumpa y los usuarios de la red interna no puedan acceder a Internet. A medida que la estructura de la red se vuelve cada vez más compleja, para algunas redes con requisitos especiales, es necesario analizar cuidadosamente la topología de la red del usuario, comprender la dirección del flujo de varios datos y luego tomar las contramedidas correspondientes. El enrutamiento de políticas puede controlar de manera flexible el flujo de paquetes de datos de la red de acuerdo con las políticas establecidas para satisfacer las necesidades de los usuarios de la red del campus para múltiples redes de salida de red.
4.2 Diagrama de topología de red
El entorno de red está construido en base al simulador ENSP de Huawei. La topología del simulador se muestra en la Figura 4.1.
Figura 4.1 Diagrama de topología de red
4.3 Planificación de direcciones IP
La planificación razonable de las direcciones IP es una parte importante del diseño de la red. Las redes a gran escala deben planificar e implementar direcciones IP de manera uniforme. La calidad de la planificación de direcciones IP afecta la eficiencia de los algoritmos del protocolo de enrutamiento de la red, el rendimiento de la red, la expansión de la red, la administración de la red y también afectará directamente el desarrollo posterior de las aplicaciones de la red.
Tabla 4.1 Tabla de planificación de direcciones IP
| VLAN |
segmento de red |
Observación |
| 10 |
10.7.10.0/24 |
/ |
| 11 |
10.7.11.0/24 |
/ |
| 12 |
10.7.12.0/24 |
/ |
| 13 |
10.7.13.0/24 |
/ |
| 14 |
10.7.14.0/24 |
/ |
| 15 |
10.7.15.0/24 |
/ |
| dieciséis |
10.7.16.0/24 |
/ |
| 20 |
10.7.20.0/24 |
área del servidor |
| 51 |
10.7.51.0/24 |
Core 1 y interconexión de firewall |
| 52 |
10.7.52.0/24 |
Interconexión Core 2 y firewall |
4.4 Selección de equipo
4.4.1 Selección del interruptor central
Los conmutadores de capa central deben considerar principalmente las capacidades de conmutación y la confiabilidad, por lo que se deben seleccionar productos sin un único punto de falla en el diseño. Después de una consideración exhaustiva, se seleccionó Huawei Quidway S9306 como el conmutador central de esta arquitectura de red.
Quidway S9306 adopta un diseño modular, admite 6 ranuras de servicio, tiene un ancho de banda de backplane de 6 Tbps, una velocidad de reenvío de paquetes de 1152 Mpps y un solo dispositivo admite 240 puertos de 10 Gigabit, lo que actualizará la capa central de la red del campus a 10G en el futuro. futuro Proporcionar posibilidades. Los conmutadores Quidway de la serie S9300 brindan alta confiabilidad de nivel de operador. El controlador principal, la fuente de alimentación y otros componentes clave están diseñados para la redundancia y todos los componentes admiten el intercambio en caliente. Por lo tanto, cuando la red está congestionada, se pueden reducir las interrupciones del servicio, se pueden realizar actualizaciones del servicio sin pérdidas, se puede respaldar la detección completa de operación y mantenimiento y la gestión del rendimiento, y se pueden recopilar estadísticamente retrasos en la transmisión de datos, fluctuaciones del sistema y otros parámetros para monitorear la red. Tráfico y averías en tiempo real.Posicionamiento rápido. Además, el S9306 también admite tarjetas de controlador inalámbrico (AC), que admiten la selección automática de canales de transmisión y fuentes de energía cuando los puntos de acceso inalámbricos (AP) están en línea, y ajustan automáticamente los canales o fuentes de energía cuando la información entra en conflicto. Cuando están en roaming a través de puntos de acceso, los dispositivos inalámbricos cambian rápidamente y el AC inalámbrico tiene un modo de espera en frío uno a uno, uno a muchos y una carga equilibrada para mejorar la confiabilidad. El interruptor Huawei Quidway S9306 se muestra en la Figura 4.2
Figura 4.2 Conmutador Huawei Quidway S9306
4.2.2 Selección de cambio de capa de agregación
Un conmutador de agregación agrega y reenvía tráfico al conmutador. Además del ancho de banda del backplane, el tipo de interfaz debe coincidir con la interfaz ascendente del conmutador de acceso. Se debe admitir la agregación de enlaces, el enrutamiento entre VLAN y las políticas de seguridad correspondientes. Se seleccionó Huawei Quidway S5700-28C-EI-24S como conmutador de agregación en la red. Este conmutador es un conmutador de capa 3. En términos de interfaces, este modelo proporciona 24 puertos 100/1000Base-X y 4 puertos combinados Gigabit 10/100/1000Base-T para cumplir con los requisitos de entrada de enlace ascendente de enlaces multifibra de conmutadores de agregación; en términos de compatibilidad con VLAN, admite valores predeterminados. VLAN, VLAN de flujo de voz, segmentación de VLAN basada en direcciones MAC, subredes inteligentes, políticas, puertos y conmutación de VLAN uno a uno y uno a muchos. Puede satisfacer las necesidades de gestión de conmutadores de acceso, como la agregación y el enrutamiento de VLAN; en la gestión de redes, admite apilamiento, configuración de inicio de sesión remoto, protocolos simples de gestión de redes, gestión de clústeres y control de velocidad de paquetes de transmisión y recepción de puertos. En términos de gestión de seguridad, admite gestión de roles de usuario y protección con contraseña, denegación de servicio, resolución de direcciones, prevención de ataques ICMP, dirección IP, dirección MAC, número de puerto, enlace de combinación de VLAN, aislamiento de puertos y 802. Limite la cantidad de usuarios en un solo puerto para cumplir completamente con los requisitos de conexión y administración de la capa de agregación de red.
El conmutador Huawei Quidway S5700-28C-EI se muestra en la Figura 4.3.
Figura 4.3 Conmutador Huawei Quidway S5700-28C-EI
4.2.3 Selección del interruptor de acceso
Los conmutadores de capa de acceso consideran principalmente los costos de acceso y deben proporcionar alta densidad de puertos y escalabilidad. Además, debe proporcionar funciones simples de gestión de red (por ejemplo: determinación de VLAN, enlace MAC, control de flujo, etc.). Teniendo en cuenta una variedad de factores, se seleccionó el conmutador Quidway S3700-EI (AC) de Huawei como conmutador de acceso en la capa de acceso a la red. El conmutador proporciona 24 puertos 10/100Base-TX, 2 puertos combinados Gigabit, apilable, ancho de banda de plano posterior de 3 Gbps, velocidad de reenvío de paquetes de 6,6 Mpps, admite división de VLAN basada en puertos y direcciones MAC, admite enlace de combinación de IP, MAC, puerto y VLAN , admite límite de velocidad de puerto y límite de velocidad de flujo, admite agregación de puertos, admite Telnet, SSH, admite sistema de autenticación de acceso telefónico remoto Radius, admite control de acceso a la red NAC y limita la cantidad de usuarios que pueden acceder a cada puerto.
El conmutador Huawei Quidway S3700-EI se muestra en la Figura 4.2.3.
Figura 4.4 Conmutador Huawei Quidway S3700-EI
4.2.4 Selección de cortafuegos
El firewall está ubicado en la entrada de la red del campus y se utiliza para controlar el acceso del tráfico interno a la red interna y el acceso del tráfico externo a los recursos del campus. La ubicación y la función de un firewall determinan su importancia. La selección de un firewall debe considerar completamente su confiabilidad, rendimiento, número de conexiones simultáneas, número de nuevas conexiones por segundo, funciones de control de acceso, detección de estado basada en flujo, monitoreo de software de aplicaciones y funciones de prevención de ataques.
Teniendo en cuenta varios factores, el firewall de salida utiliza Huawei USG6000, que es un dispositivo montado en bastidor 3U con un diseño modular. La configuración estándar es un puerto combinado 4GE, 4 ranuras de expansión MIC, 2 ranuras de expansión FIC y una ranura de expansión DFIC, que pueden adaptarse de manera flexible a los cambios en la estructura de la red. Utilizando procesadores multinúcleo avanzados y mecanismos de procesamiento paralelo de subprocesos múltiples, el rendimiento es tan alto como 4 Gbps, la cantidad máxima de conexiones simultáneas es 2 millones y la cantidad de conexiones nuevas es 40,000 por segundo, lo que puede reducir efectivamente la latencia de la red y mejorar la experiencia del usuario. Admite varias formas de acceso VPN y puede lograr fácilmente acceso remoto. Además, el USG5150 integra tecnología avanzada de Symantec e IPS y antivirus para proporcionar capacidades de escaneo de paquetes de red eficientes y precisas. También cuenta con capacidades antivirus eficientes y precisas contra virus ocultos en el tráfico. El conocimiento de las aplicaciones garantiza un control granular del tráfico de la red y garantiza el ancho de banda central y empresarial. El filtrado de URL, el filtrado de palabras clave de los motores de búsqueda y el filtrado de palabras clave de la página pueden estandarizar el comportamiento de acceso a Internet de la intranet y cumplir plenamente con los requisitos de gestión y protección del tráfico de la red del campus.
La Figura 4.5 muestra la apariencia del firewall USG6000 de Huawei.
Figura 4.5 Cortafuegos USG5150
4.5 Lista de equipos
La lista de selección de equipos se muestra en la siguiente tabla:
Tabla 4.2 Lista de equipos
| modelo |
cantidad |
efecto |
| SGD6000 |
1 |
cortafuegos de salida |
| S9300 |
2 |
interruptor central |
| S5700 |
2 |
interruptor de agregación |
| S3700 |
8 |
interruptor de acceso |
| RH2285 |
2 |
servidor |
Capítulo 5 Diseño detallado
系统主要集成了核心交换机虚拟交换接口技术、三层交换机的策略路由技术.核心三层交换机里的路由选择协议按照路由算法选择某一条通路,出口的策略路由可以按照网络管理者的意图控制数据包选择相应的通路,策略路由优先于路由协议被执行,最后,系统成功让园区内部网段对访问Internt 的数据流量进行选路分析。从而提高了内部网的可管理性和可用性。
策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制,策略路由的优先级别高于普通路由。应用了策略路由以后,路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,不符合路由策略的数据包将按照通常的路由转发进行处理,符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。
多出口网络选路问题非常重要,应用策略路由可以较好解决这一问题.策略路由有基于目的地址策略、基于源地址策略和智能均衡策略,其中智能均衡策略,可以自动识别局域网网络出口线路,并智能采取相应的策略,是策略路由未来发展的趋势。
5.1 出口多链路设计
本课题设计将采用多出口链路,多链路设计可以使内网访问公网速度慢的问题基本得到解决,并且解决了单链路的故障节点。因为单链路的网络环境下公网用户访问网内服务器慢的问题却更加突出了。一方面,网内服务器大多使用电信的出口IP,所有对网内的访问都必须走电信链路,因此,尽管园区内拥有高速的电信链路,但公网用户却只能通过有着带宽瓶颈的单链路和跨运营商转换才能访问内部服务器,这无疑是对多出口链路的严重浪费;另一方面,虽然可以在网内服务器上配置多网卡IP,然后通过智能DNS技术来对访问流量的来源IP地址进行区分。
采用多链路出口在结合策略路由的配置下主要实现了基于源地址(内网地址)和目标地址(公网地址)的策略路由和SNAT功能,既提供了访问不同运营商资源的最佳路径选择(如:访问电信资源走电信线路、访问联通资源走联通线路)、出口路由的冗余备份,又通过SNAT解决了公网地址不足的问题。
5.2 出口链路访问的优先级
由于采用双线路出口,那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配,最简单的办法是直接将默认路由设置为两条线路对端的路由上,这样路由器能够动态分配网络流量。但实际运行后发现内网访问公网速度并没有明显提高,出现网络访问时快时慢的现象,有时甚至出现网络中断现象。通过路由器NAT转换分析发现,路由器并没按照带宽多少动态分量数据流量,而是随机根据用户访问进行NAT转换,这种负载均衡的方法实际意义并不大,总的出口带宽是共享易受干扰,网络访问高峰时分配带宽更突显不足,部分走电信线路出口的客户没有明显感受访问速度的提升,
这一问题的原因在于,根据部署的多链路出口,那么必然是两条不同的运营商链路,在运营商之间,也是有着路由协议互联互通,当电信的用户去访问联通的资源时,那么可能数据包的响应速度会有一定的延迟。所以策略路由这个技术可以很好的解决掉此问题,我们可以通过出口设备的的ISP地址集更新,设定为策略路由的目的地址,那么内网用户就可以根据访问的目的域名或者系统所归属的运营商地址来选择需要匹配哪条路由进行访问。
根据ISP地址集设定的策略路由,实现了智能负载的效果,保障了网络的响应速度和策略路由的负载特性。
5.3 出口安全性设计
双出口的园区网综合运用了网络地址转换(NAT)和策略路由技术,通过不同的网络分担用户上网流量,提高了网络访问的速度。NAT技术的应用使通过本地ISP进行路由的外部主机无法访问到通过这种连接的内部主机,因此在一定程度上保证了园区网内部主机的安全性。
5.4 网络层次化结构分析
5.4.1核心层设计
核心交换机为进出数据中心的包提供高速的转发,为多个汇聚层提供连接性,核心交换机为整个网络提供一个弹性的L3 路由网络。
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机,因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。网络的控制策略最好尽量少在核心层上实施。核心层一直被认为是所有外部网络流量的最终承受者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
网络核心层主要功能为:负责骨干网络之间的优化传输、实现业务服务器(数据中心)的高速接入、构建统一的数据交换中心、安全控制中心与网络管理中心。因此,在网络核心层设计时,网络的高性能与高可靠性是设计的重点。将来系统建设完成后,网络核心层主要包括:网络核心交换机2台,互联网出口防火墙1台,核心设备间采用高速链路实现互连,并采用全冗余连接方式提高互连可靠性。核心交换机间采用2条GE (或10GE)链路互连,实现核心交换机间的高速互连,从而实现链路冗余,其次本设计具有多条互联网链路出口,因此我们针对防火墙做了策略路由,实现负载分担的效果,同时与另一个园区通过互联网链路配置IPSEC VPN来实现内到内的加密访问,也配置安全策略来实现广域网接入的安全控制。策略路由设计如图5.1所示。
图5.1 策略路由设计
本课题设计是基于双线的互联网出口部署的策略路由环境,以策略路由技术为核心,解决网络系统数据包选路的问题.系统为某园区内部网,总部防火墙为是园区内部网的出口设备,分别通过电信路由器和联通路由器连接到Internet,现在,根据业务需要,要求所有来自VLAN10-13 的用户默认使用策略路由走向电信运营商线路,其余用户默认使用联通线路进行访问,两条链路互为主备链路,实现策略路由双线接入的负载分担。
5.4.2汇聚层设计
汇聚交换机连接接入交换机,同时提供其他的服务,例如:防火墙,SSL Offload,入侵检测,网络分析等。
汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层为连接本区域的逻辑中心,以减轻核心层设备的负荷。汇聚层具有工作组接入、虚拟局域网(VLAN)之间的等多种功能。在汇聚层中,应该选用支持VLAN 的交换机,以达到网络隔离和分段的目的。本课题设计将汇聚层规划两台交换机与核心交叉互联,形成了物理链路备份,并且汇聚了下联所有接入交换机的接入,实现真正的汇聚功能。如图5.2所示。
图5.2 汇聚层设计
5.4.3接入层设计
网络接入层的主要功能为:底层网络的接口,相对结构简单。设备的性能和功能要求不多,本次设计的所有终端和用户网络接入点都是在接入层上完成,再通过汇聚交换机聚合发送至核心交换机达到路由走向的完成。如图5.3所示。
图5.3接入层设计
5.5 关键性技术及难点
本课题设计的关键技术在于策略路由的设计和IPSEC VPN隧道路由的对接,PBR策略路由需要针对企业内部部门所需进行路由指向,并且要把握好设备、线路的流量负载分担需求;其次就是IPSEC VPN的加密控制和感兴趣流匹配,考虑到安全性,只能对有需求的部门进行匹配VPN的感兴趣流。
基于园区的访问策略,对双链路出口进行路由规划,明确边界网进出流量的路径选择和控制规则,一方面使外网主机既能访问内网服务器。另一方面,经过NAT处理,满足所有内网用户访问外网的需求,内网访问外网的路由可以根据运营商提供的ISP地址表自动选择出口。也可以手动设定内网用户的流量均衡,为了能尽量减轻某条链路的压力,ISP地址表需及时更新,确保其有效性。
其中IPSEC VPN与NAT地址转换冲突,在设计的过程中需要注意将感兴趣流匹配的范围地址排除;策略路由的源目的地址需要精确匹配,一但完全放开的话会造成流量不均衡,可能会引发网络拥堵。
5.6 存在的问题及解决方案
IPSEC VPN的安全性问题,建立的匹配的感兴趣流放通了网段,导致总部分支的流量双向互通,针对这个问题的解决方法是精确的限定了感兴趣流的匹配,或者在防火墙、核心设备上针对VPN源目地址做ACL访问控制的。
第6章 系统测试
6.1 调试与测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。如图6.1所示DHCP状态查看
图6.1 DHCP状态查看
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。本次设计网络规划将出口防火墙和核心交换机划分为骨干区域。
如图6.2所示防火墙上学到的OSPF路由。
图6.2防火墙OSPF邻接状态
如图6.3所示将出口防火墙和核心交换机划分到了骨干区域。
图6.3 防火墙路由表
6.1.3 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内网都可通过域名来对http服务器进行访问。
下图为内网通过web访问域名进入HTTP服务:如图6,4所示。
图6.4 内网通过域名访问HTTP服务器
6.1.4 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。如下图所示
图6.5核心交换机1VRRP状态
图6.6核心交换机2VRRP状态
6.2 连通性测试
6.2.1 局域网连通性测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
如图6.7所示
图6.7 VLAN之间通信测试
6.2.2 局域网访问互联网连通性测试
内网通过边界防火墙源地址转换策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址转换为自身出接口地址进行访问,当数据回包时再将目的地址转为本地终端。
如图6.8所示
图6.8内网访问公网
6.2.3 互联网出口设置策略路由
互联网出口防火墙运营商链路双线接入,因此为了达到负载分担的效果,将VLAN10-13的流量走电信出口进行上网,其余的VLAN、接口流量从联通线路进行互联网访问。
流量走向如图6.9所示
图6.9 策略路由测试
由上图可以很直观的看出,VLAN12通过互联网时走的时220.189.1.2这条电信线路地址,而VLAN15通过互联网时走的路线则是220.189.2.2这条联通线路,测试结果为策略路由设置正确,测试正常。
6.2.4 IPSEC VPN测试
由于网络环境中存在两个园区,两个园区通过互联网进行数据交互。众所周知,互联网上进行数据交互是不够安全的,因此两个园区之间建立了IPSEC VPN隧道,对数据流进行加密。
IPSEC VPN只允许VLAN15和VLAN16匹配到VPN的感兴趣流,进入隧道进行数据交互,测试结果如图6.10所示
图6.10 IPSEC VPN访问测试
通过VLAN14和VLAN15访问另一个园区的内网地址,发现VLAN15可以正常访问,而VLAN14则没有匹配到感兴趣流,无法访问另一个园区的地址。
图6.11 防火墙会话记录
参考文献
[1]《基于边界防火墙策略路由的校园网出口建设》缪元照等.计算机时代.2020
[2]《策略路由在企业网络中的应用》韩菊莲.中国新通信.2020
[3]《浅析策略路由的实现》王献宏.电脑知识与技术. 2020
[4]《基于策略路由的校园网出口建构与实践》缪元照等.现代计算机.2019
[5]《策略路由技术综合实验设计与实现》赵宣乔等.信息技术与信息化.2019
[6]《基于策略路由和BIND9的校园网快速访问研究》赵建勋.信息技术与网络安全.2019
[7]《基策略路由在企业网络中的应用》韩菊莲.中国新通信.2020
[8]《基于策略路由和BIND9的校园网快速访问研究》赵建勋.微型机与应用.2019
[9]《策略路由技术综合实验设计与实现》赵宣乔等.信息技术与信息化.2019
[10]《用策略路由限制访问》何钰等.网络安全和信息化. 2017
[11]《校园网双出口的设计与实现》贺广梅等.现代职业教育. 2017
[12]《策略路由在网络安全中的应用》何钰等.网络安全和信息化.2017
[13]《根据需求应用策略路由》何钰等.网络安全和信息化.2017
[14]《移动社交网络中多策略路由算法研究》黄嘉玲等.青岛大学.2019
[15]《校园网路由转发策略设计与实践》庞镭等.通讯世界.2019
[16]《多线路下实现负载均衡探析》曾红玉等.信息系统工程.2019
附 录
#
sysname HX-2
#
vlan batch 10 to 16 20 52 100
#
stp instance 1 root secondary
stp instance 2 root primary
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
ip pool 10
gateway-list 10.7.10.254
network 10.7.10.0 mask 255.255.255.0
excluded-ip-address 10.7.10.250 10.7.10.253
dns-list 10.7.20.2
#
ip pool 11
gateway-list 10.7.11.254
network 10.7.11.0 mask 255.255.255.0
excluded-ip-address 10.7.11.250 10.7.11.253
dns-list 10.7.20.2
#
ip pool 12
gateway-list 10.7.12.254
network 10.7.12.0 mask 255.255.255.0
excluded-ip-address 10.7.12.250 10.7.12.253
dns-list 10.7.20.2
#
ip pool 13
gateway-list 10.7.13.254
network 10.7.13.0 mask 255.255.255.0
excluded-ip-address 10.7.13.250 10.7.13.253
dns-list 10.7.20.2
#
ip pool 14
gateway-list 10.7.14.254
network 10.7.14.0 mask 255.255.255.0
excluded-ip-address 10.7.14.250 10.7.14.253
dns-list 10.7.20.2
#
sysname HX-1
#
vlan batch 10 to 16 20 51 100
#
stp instance 1 root primary
stp instance 2 root secondary
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
ip pool 10
gateway-list 10.7.10.254
network 10.7.10.0 mask 255.255.255.0
excluded-ip-address 10.7.10.250 10.7.10.253
dns-list 10.7.20.2
#
ip pool 11
gateway-list 10.7.11.254
network 10.7.11.0 mask 255.255.255.0
excluded-ip-address 10.7.11.250 10.7.11.253
dns-list 10.7.20.2
#
#
sysname Server-SW
#
vlan batch 20
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
sysname HJ2
#
vlan batch 10 to 20 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 51 100 to 101
instance 2 vlan 14 to 16 20 52
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 13
##
sysname HJ1
#
vlan batch 10 to 12
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 51 100 to 101
instance 2 vlan 14 to 16 20 52
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 11
#
interface GigabitEthernet0/0/5
port link-type access
puerto predeterminado vlan 12
#
nombre del sistema Huawei
#
habilitación del clúster
habilitar ntdp
habilitar ndp
#
soltar alarma ilegal-mac
#
valor predeterminado del dominio diffserv
#
perfil de caída predeterminado
#