引言： 為了保障內網可靠穩(wěn)定運轉，并統(tǒng)籌考慮內網業(yè)務的安全性，實現(xiàn)內網業(yè)務徹底與其他網絡混用的局面,需要規(guī)范組建內部網絡。有效摒棄原有市至縣二層數(shù)據VLAN傳輸，采用新的三層數(shù)據互聯(lián)。在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，

方案實施背景

最近為了規(guī)范BOSS運營支持系統(tǒng)、基站視頻監(jiān)控和光傳輸設備管理（以下簡稱內網）等業(yè)務的使用，保障其高可靠穩(wěn)定運轉，并統(tǒng)籌考慮內網業(yè)務安全性，實現(xiàn)內網業(yè)務徹底與其他網絡混用的局面,需要規(guī)范組建內部網絡。有效摒棄原有市至縣二層數(shù)據VLAN傳輸，采用新的三層數(shù)據互聯(lián)。這樣做的好處是每個縣公司處于同一局域網中，縣公司內網與市公司使用動態(tài)路由互聯(lián)，有效隔離廣播域，在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，該方案實施后，將對縣公司的內網使用提出了更高的要求，主要是達到內網業(yè)務和互聯(lián)網、專線業(yè)務的物理隔離標準。

具體方案

1.網絡拓撲結構

根據方案的背景資料，我們首先介紹一下現(xiàn)有市至縣內網組網拓撲結構，這里的市至縣OTN環(huán)網作為數(shù)據業(yè)務的透明傳輸不在示意圖中體現(xiàn)，如圖1所示。如我們可以看到在內網的最上層使用Juniper防火墻和省公司互聯(lián)，然后使用烽火交換機作為業(yè)務匯聚，該交換機承載BOSS、CA服務器等業(yè)務，其中CA業(yè)務是由Cisco 3550交換機承載，在烽火交換機將內網業(yè)務匯聚后，分別連接城區(qū)和縣市區(qū)內網業(yè)務。目前各交換機采用二層互聯(lián)，即VLAN透傳。這樣整個網絡就在一個較大的廣播域中，一個縣市區(qū)出現(xiàn)問題會影響到整個市的網絡，既不利于業(yè)務的長期發(fā)展，又不利于網絡安全的防護。

針對當前的網絡現(xiàn)狀和劣勢，新的組網方案是在市公司部署一臺三層交換機作為內網業(yè)務的核心，然后依托市至縣OTN網絡將業(yè)務傳輸至縣公司，然后在每個縣市區(qū)部署一臺三層交換機作為業(yè)務的匯聚，其中BOSS和基站監(jiān)控等業(yè)務的網關在交換機上創(chuàng)建。網絡優(yōu)化升級后的具體拓撲結構如圖2所示。

我們定義BOSS業(yè)務VLAN562、基站監(jiān)控VLAN564和光傳輸管理VLAN566這三個VLAN均終結到縣公司匯聚交換機處，縣公司內網業(yè)務和市公司內網業(yè)務互聯(lián)使用OSPF協(xié)議，縣公司內網業(yè)務的部署（例如鄉(xiāng)鎮(zhèn)或者城區(qū)營業(yè)廳）使用交換機和收發(fā)器傳輸，嚴格做到物理隔離。

2.網絡設備配置

完成網絡拓撲升級前后的對比后，接下來就是根據網絡需求對設備進行配置。在最上層防火墻需要做的工作是配置和核心交換機的互聯(lián)地址、基于端口的NAT和回指到核心交換機的路由。Cisco交換上設備的配置和核心交換機的互聯(lián)地址、啟用OSPF協(xié)議并宣告CA和互聯(lián)地址網段，防火墻和Cisco交換機的配置這里就不在詳細介紹，這里具體介紹一下核心和匯聚交換機的配置，其配置主要分為三部分，即創(chuàng)建VLAN、配置接口IP地址和使能OSPF協(xié)議。

圖1 現(xiàn)有內網網絡結構

核心交換機配置：

//配置端口IP地址，定義該端口連接juniper防火墻

inter face GigabitEthernet2/0/1

//進入接口

undo portswitch

//使能端口路由功能

ip address 10.223.0.2 255.255.255.252

//配置端口IP地址，定義該端口連接CISCO交換機即CA服務器

inter face GigabitEthernet1/0/1

//進入端口

undo portswitch

//使能端口路由功能

ip address 10.239.14.5 255.255.255.252

//配置端口IP地址，定義該端口連接兗州匯聚交換機

ip route-static 9.0.0.0 255.0.0.0 10.223.0.5

//定義指向防火墻的靜態(tài)路由

圖2 升級后網絡拓撲圖

ospf 1

//啟用OSPF協(xié)議

import-route static

// 引入靜態(tài)路由area 0.0.0.0

//定義OSPF域名

network 10.223.0.0 0.0.0.3

//宣告連接cisco交換機的網段

network 10.223.0.4 0.0.0.3

//宣告連接防火墻的網段

network 10.239.14.0 0.0.0.255

//宣告連接縣市區(qū)交換機的網段

上面我們主要介紹了核心交換機的配置，核心思路是打通核心交換機至防火墻和cisco交換機的數(shù)據鏈路，接下來以兗州為例介紹一下縣區(qū)匯聚層交換機的配置。

匯聚層交換機的配置：

inter face GigabitEthernet0/0/25

//進入端口

combo-port copper

//定義端口模式為電口

port link-type access

//定義端口模式

port default vlan 562

//定義端口VLA

inter face GigabitEthernet0/0/24

//進入端口

undo portswitch

//使能端口路由模式

ip address 10.239.14.6 255.255.255.252

//配置端口IP地址，定義該端口連接市公司核心交換機

ospf 1

//啟用OSPF協(xié)議

area 0.0.0.0

//定義OSPF域名

network 10.239.2.0 0.0.0.255

//宣告BOSS內網網段

network 10.239.14.4 0.0.0.3

//宣告與市公司互聯(lián)網段

上面做的工作的是創(chuàng)建VLAN，并定義VLAN的地址，設置和市公司核心交換機的互聯(lián)網段，并啟用OSPF協(xié)議，最后在OSPF協(xié)議中宣告所需網段。經過在兗州交換機的端口0/0/25進行網絡驗證，是可以訪問BOSS的服務器，這樣我們就以兗州為例完成了整個網絡的配置。相同的配置方法可以實現(xiàn)其他縣市區(qū)內網數(shù)據的通達，這里就不再一一介紹。

總結

上面我們通過對現(xiàn)有網絡結構的綜合分析，得出網絡中存在弊端和劣勢。并提出網絡的優(yōu)化升級方案。依據網絡物理隔離、業(yè)務分開、網關終結至本地的原則對網絡進行了拓撲優(yōu)化，又以兗州為例詳細介紹了交換機的配置，通過對網絡的驗證網絡是可達的，從而滿足了網絡的整體需求。后期針對內部網絡中存在CA服務器等核心數(shù)據單元，我們又在現(xiàn)有路由的基礎上應用了路由策略，有效的防范了核心服務器路由的全網通達，在一定的程度上降低了網絡入侵的風險，同時做到了交換機的遠程和本地登錄密碼的定期更換，從而維護了網絡的和諧穩(wěn)定。