王立平 姚程寬 盧燦舉 伍光輝 程躍

（1.安慶醫(yī)藥高等?？茖W(xué)校 公共基礎(chǔ)部，安徽 安慶 246003；2.國(guó)防科技大學(xué) 電子對(duì)抗學(xué)院，合肥 230037；

3.安徽風(fēng)云網(wǎng)絡(luò)科技有限公司，合肥 230026）

摘要：基于智能廣域網(wǎng)技術(shù)，建設(shè)了一個(gè)有400多個(gè)分支機(jī)構(gòu)的企業(yè)網(wǎng)絡(luò)，并采用了不同的技術(shù)，解決了智能廣域網(wǎng)的多個(gè)涉及安全性和穩(wěn)定性的問(wèn)題。實(shí)踐結(jié)果表明：智能廣域網(wǎng)技術(shù)能夠滿足企業(yè)網(wǎng)絡(luò)安全性高，易于擴(kuò)充和維護(hù)的要求，且具有較好的用戶體驗(yàn)感。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)；大型企業(yè)；動(dòng)態(tài)多點(diǎn)虛擬局域網(wǎng)；廣域網(wǎng)；智能廣域網(wǎng)；局域網(wǎng)

中圖分類(lèi)號(hào)：TN915.0 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：2095-5383（2018）02-0043-03

Failure Analysis and Improved Method of Dial Bore Gage

WANG Liping1， YAO Chengkuan1， LU Canju2， WU Guanghui3， CHENG Yue3

（1.Department of Common Basic， Anqing Medical and Pharamaceutical College， Anqing 246003， China； 2.College of Electronic Countermeasures， National University of Defense Technology， Hefei 230027， China； 3.Anhui Fengyun Network Technology co. LTD.， Hefei 230026， China）

Abstract：Based on IWAN， an enterprise network with more than 400 branches was built in paper. Different technologies adopted to solve the problems of security and stability of IWAN. The practical results show that IWAN can meet the safety requirements of enterprise network and be easy to expand and maintain. Moreover， the user experience also makes the IWAN technology become the development direction of modern enterprise network construction.

Keywords： Virtual Private Network （VPN）； large enterprise；DMVPN； WAN； IWAN； LAN

大型企業(yè)的網(wǎng)絡(luò)建設(shè)方案大都采用了虛擬專用網(wǎng)絡(luò)（Virtual Private Network， VPN），隨著企業(yè)內(nèi)部子網(wǎng)的增加和應(yīng)用需求的增多，所需的網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)備份設(shè)備也會(huì)相應(yīng)增多。如果沒(méi)有科學(xué)的規(guī)劃，這些設(shè)備不僅造成購(gòu)買(mǎi)和維護(hù)成本的增加，同時(shí)也會(huì)帶來(lái)使用上的負(fù)擔(dān)，比如接入網(wǎng)絡(luò)的設(shè)備越多對(duì)帶寬的需求就越大，從用戶體驗(yàn)的角度看就是網(wǎng)速越來(lái)越慢[1-2]。智能廣域網(wǎng)技術(shù)（IWAN）是一種新的組網(wǎng)方式，它可以在網(wǎng)絡(luò)帶寬不變的情況下，構(gòu)建架構(gòu)開(kāi)放、編程靈活和易于擴(kuò)展和維護(hù)的廣域網(wǎng)，從而實(shí)現(xiàn)企業(yè)內(nèi)部各節(jié)點(diǎn)之間高效的數(shù)據(jù)傳輸。

安徽省鹽業(yè)總公司是隸屬于安徽省國(guó)資委的大型國(guó)有企業(yè)，有17家市級(jí)鹽業(yè)公司，71家縣級(jí)公司。從1999年開(kāi)始，安徽省鹽業(yè)公司借助于ISP骨干網(wǎng)絡(luò)的專用鏈路建立了以VPN為紐帶的企業(yè)局域網(wǎng)，并在此基礎(chǔ)上運(yùn)行了企業(yè)內(nèi)部的ERP、OA等若干個(gè)管理系統(tǒng)。隨著業(yè)務(wù)的高速增長(zhǎng)，現(xiàn)有的網(wǎng)絡(luò)帶寬難以滿足工作的需求，且計(jì)劃增加400多家鄉(xiāng)鎮(zhèn)級(jí)分支機(jī)構(gòu)，這會(huì)對(duì)網(wǎng)絡(luò)帶寬及網(wǎng)絡(luò)運(yùn)營(yíng)成本提出了更大的挑戰(zhàn)。為了能夠找到比ISP專用鏈路成本更低，且能保障安全性、可用性，并使得分支機(jī)構(gòu)的成本較低的網(wǎng)絡(luò)架構(gòu)方案，最終采用了智能廣域網(wǎng)的解決方案[3-4]。

1 智能廣域網(wǎng)的架構(gòu)

傳統(tǒng)的大型企業(yè)總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)連接如圖1所示，分支機(jī)構(gòu)與分支機(jī)構(gòu)之間，分支機(jī)構(gòu)與總部之間的數(shù)據(jù)鏈路為專用鏈路，如VPN等，而與互聯(lián)網(wǎng)相連接的出口在一般在總部。在圖1的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)的安全訪問(wèn)控制措施都在總部部署和實(shí)施。由于是專用鏈路，也就是私有鏈路，因此要為鏈路的使用付出較高的成本。對(duì)于企業(yè)的長(zhǎng)期經(jīng)營(yíng)而言，降低企業(yè)的網(wǎng)絡(luò)成本就是尋求改進(jìn)和提升的目標(biāo)和動(dòng)力。為此，提出基于智能廣域網(wǎng)的建設(shè)方案，其網(wǎng)絡(luò)架構(gòu)如圖2所示。

在圖2中，基于智能廣域網(wǎng)來(lái)構(gòu)建企業(yè)局域網(wǎng)，分支機(jī)構(gòu)的流量通過(guò)虛擬的VPN通道傳遞到總公司，也就是說(shuō)可以采用相同的安全架構(gòu)，同時(shí)還可以得益于智能廣域網(wǎng)的額外傳輸和邊緣安全等優(yōu)點(diǎn)[5-6]。智能廣域網(wǎng)的優(yōu)點(diǎn)有：1）獨(dú)立于傳輸?shù)倪B接。智能廣域網(wǎng)可以覆蓋已有的VPN或DMVPN（動(dòng)態(tài)多點(diǎn)虛擬局域網(wǎng)），并建立了一個(gè)帶有路由搜索功能的網(wǎng)絡(luò)，能夠連接不同類(lèi)型的局域網(wǎng)，并在不改變網(wǎng)絡(luò)架構(gòu)的環(huán)境中增加新的網(wǎng)絡(luò)連接或者更改已有的網(wǎng)絡(luò)連接。2）智能路徑選擇。智能廣域網(wǎng)借助高性能路由器以及網(wǎng)絡(luò)加速設(shè)備，平衡網(wǎng)絡(luò)負(fù)載，充分利用可用帶寬，使得業(yè)務(wù)數(shù)據(jù)能夠快速、高效傳遞給企業(yè)內(nèi)部和外部的用戶。智能路徑傳輸是建立智能廣域網(wǎng)的關(guān)鍵。3）優(yōu)化應(yīng)用。Http使得80端口和眾多的端口不斷重復(fù)使用，使得應(yīng)用變得不透明，靜態(tài)端口的使用不能滿足需求。智能廣域網(wǎng)通過(guò)對(duì)數(shù)據(jù)包的深度檢測(cè)，確定應(yīng)用的性能，保證關(guān)鍵應(yīng)用有適度的優(yōu)先權(quán)或提供應(yīng)用加速，在降低響應(yīng)時(shí)間的同時(shí)降低對(duì)帶寬的占用。4）安全連接。智能廣域網(wǎng)通過(guò)各種防火墻和安全訪問(wèn)控制策略保證了連接的安全可靠，從而實(shí)現(xiàn)用戶的流量保護(hù)。

由于分支機(jī)構(gòu)直接接入互聯(lián)網(wǎng)，分支機(jī)構(gòu)會(huì)面臨互聯(lián)網(wǎng)的攻擊和漏洞危害，主要有4個(gè)方面的安全問(wèn)題：1）網(wǎng)絡(luò)隔離；2）數(shù)據(jù)保密性和完整性；3）入侵和攻擊防御；4）防數(shù)據(jù)泄露。如何解決上述問(wèn)題就是構(gòu)建智能廣域網(wǎng)的主要工作。

2 主要問(wèn)題的解決方案

2.1 網(wǎng)絡(luò)隔離

將網(wǎng)絡(luò)分隔，檢測(cè)它們之間的流量傳輸，確保子網(wǎng)之間沒(méi)有流量泄漏。本文的IWAN解決方案中，WAN到LAN的隔離是通過(guò)使用VRF實(shí)現(xiàn)，而內(nèi)部子網(wǎng)隔離是通過(guò)基于區(qū)域的防火墻軟件實(shí)現(xiàn)。

2.1.1 WAN到LAN隔離

內(nèi)網(wǎng)與外網(wǎng)隔離的目的是確保對(duì)內(nèi)網(wǎng)訪問(wèn)的安全性，同時(shí)有效控制意外流量泄露。由于運(yùn)營(yíng)商和企業(yè)使用各自獨(dú)立的IP路由和編址方案，如果在分支路由器上混合使用這些方案，易造成數(shù)據(jù)包意外轉(zhuǎn)發(fā)到錯(cuò)誤的路由和網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)故障，甚至造成數(shù)據(jù)泄密。內(nèi)網(wǎng)和外網(wǎng)的隔離采用虛擬路由轉(zhuǎn)發(fā)技術(shù)（VFR），VFR通過(guò)定義虛擬路由域，復(fù)制自己的路由協(xié)議和轉(zhuǎn)發(fā)規(guī)則，從而將其作為自己的虛擬路由器，該方法可以消除路由攻擊，減少內(nèi)網(wǎng)和外網(wǎng)的IP沖突，降低內(nèi)網(wǎng)流量外泄[7-8]。

2.1.2 LAN中的子網(wǎng)隔離

內(nèi)網(wǎng)可以根據(jù)區(qū)域、業(yè)務(wù)類(lèi)型劃分成若干子網(wǎng)。子網(wǎng)隔離的目的是建立不同的網(wǎng)絡(luò)安全區(qū)域，以便用相應(yīng)的安全訪問(wèn)控制策略限制區(qū)域間的訪問(wèn)。在基于區(qū)域的防火墻中，一個(gè)接入點(diǎn)只能屬于一個(gè)區(qū)域，每個(gè)接入點(diǎn)都被定義成某個(gè)安全區(qū)域的成員，同一區(qū)域中的數(shù)據(jù)傳輸不受限制。不同區(qū)域間數(shù)據(jù)傳輸需要制定策略，確保安全的跨區(qū)域訪問(wèn)[9-10]。

2.2 數(shù)據(jù)保密性和完整性

在智能廣域網(wǎng)的架構(gòu)中，各個(gè)分支機(jī)構(gòu)都直接接入互聯(lián)網(wǎng)，如果沒(méi)有必要的措施，容易導(dǎo)致網(wǎng)絡(luò)竊聽(tīng)、數(shù)據(jù)包劫持等安全問(wèn)題。在每個(gè)子網(wǎng)與互聯(lián)網(wǎng)的接口處采用數(shù)字證書(shū)的公共密鑰基礎(chǔ)設(shè)施（PKI）。PKI是一個(gè)具備較高安全性能的控制機(jī)制，專門(mén)用來(lái)對(duì)VPN對(duì)等體進(jìn)行身份的驗(yàn)證。針對(duì)未經(jīng)授權(quán)的設(shè)備偽裝成VPN對(duì)等體，PKI能夠識(shí)別準(zhǔn)確識(shí)別，同時(shí)消除第三方攻擊。

同時(shí)為了提高網(wǎng)絡(luò)的安全性能，需要建設(shè)并維護(hù)企業(yè)自己的證書(shū)服務(wù)器，在向子網(wǎng)路由器授權(quán)安全證書(shū)時(shí)，要嚴(yán)格遵循證書(shū)頒發(fā)策略。嚴(yán)格的證書(shū)管理制度能提高路由器的抗干擾能力[11-12]。

2.3 入侵和攻擊防御

子網(wǎng)通過(guò)路由器接入外網(wǎng)后，就會(huì)直接受到攻擊和入侵嘗試。這些攻擊和入侵會(huì)導(dǎo)致路由器性能下降甚至癱瘓，并進(jìn)一步感染連接到路由器的其他設(shè)備[13-14]?？梢詮膬蓚€(gè)方面來(lái)預(yù)防此類(lèi)攻擊。

2.3.1 路由器安全保護(hù)

來(lái)自外部和內(nèi)部的攻擊都會(huì)導(dǎo)致路由器性能下降，甚至完全控制了路由器，對(duì)于路由器的保護(hù)采用以下方法：

1）停止不必要的偵聽(tīng)端口，如HTTP等，避免這些端口被獲取訪問(wèn)權(quán)限從而導(dǎo)致路由器癱瘓。

2）關(guān)閉純文本接入模式，如Telnet。

3）在必要的接入點(diǎn)，開(kāi)啟身份接入驗(yàn)證。

4）對(duì)接入的子網(wǎng)數(shù)量進(jìn)行控制。

2.3.2 流量控制

分支機(jī)構(gòu)的子網(wǎng)在接入外網(wǎng)后，路由器和有其連接的子網(wǎng)都需要保護(hù)，而對(duì)子網(wǎng)保護(hù)的一種有效方法就是流量控制。流量控制就是將廣域網(wǎng)接口的進(jìn)入流量限制為僅為VPN的控制流量，也就是IPsec IKE流量。同時(shí)，要允許來(lái)自重要設(shè)備和網(wǎng)絡(luò)的管理流量進(jìn)入網(wǎng)絡(luò)，如ICMP協(xié)議、DHCP協(xié)議和NTP協(xié)議等。除此之外，禁止一切外部訪問(wèn)。

通過(guò)流量控制，基本能阻止惡意流量的入侵，而讓來(lái)自指定IP的VPN流量和管理流量進(jìn)入子網(wǎng)。

2.4 防數(shù)據(jù)泄露

智能廣域網(wǎng)中，需要針對(duì)數(shù)據(jù)泄露增加解決方案，本文采用了DLP（Data leakage prevention）解決方案，其核心思想是設(shè)立中心站點(diǎn)，分支機(jī)構(gòu)的數(shù)據(jù)流達(dá)到外網(wǎng)的唯一通道是通過(guò)中心站點(diǎn)，不允許分支機(jī)構(gòu)有直接接入外網(wǎng)的流量，防止重要信息被有意或無(wú)意傳到組織之外[15-16]。

3 應(yīng)用效果

安徽省鹽業(yè)公司以本文的構(gòu)建方法建設(shè)了包含400多個(gè)分支機(jī)構(gòu)的智能廣域網(wǎng)，實(shí)現(xiàn)了對(duì)全網(wǎng)的統(tǒng)一監(jiān)控，保障了安全生產(chǎn)，優(yōu)化了網(wǎng)絡(luò)資源，具體體現(xiàn)在：1）網(wǎng)絡(luò)的安全運(yùn)行保障了業(yè)務(wù)的順利開(kāi)展，網(wǎng)絡(luò)的整體可用性大大提高，故障率也明顯降低。2）網(wǎng)絡(luò)運(yùn)行成本大大降低，相比較使用傳統(tǒng)鏈路的VPN方式，向運(yùn)營(yíng)商（ISP）所支付的鏈路費(fèi)用每年降低200多萬(wàn)元（400多個(gè)分支機(jī)構(gòu)）。3）由于智能廣域網(wǎng)具有智能路徑選擇的優(yōu)點(diǎn)，帶寬利用率大幅提升，用戶體驗(yàn)感增強(qiáng)，尤其是對(duì)外網(wǎng)的應(yīng)用，比如瀏覽網(wǎng)頁(yè)，看視頻等，網(wǎng)速明顯提升。4）智能廣域網(wǎng)可以對(duì)網(wǎng)絡(luò)運(yùn)行質(zhì)量進(jìn)行量化考核，從而提升網(wǎng)絡(luò)的管理水平和服務(wù)水平。

4 總結(jié)與展望

在大型企業(yè)的網(wǎng)絡(luò)建設(shè)和管理中，面臨多分支機(jī)構(gòu)、多業(yè)務(wù)融合、復(fù)雜的流量和多變的流向，對(duì)網(wǎng)絡(luò)的承載能力、保障能力等提出了新的挑戰(zhàn)。本文在探索研究網(wǎng)絡(luò)前沿技術(shù)的基礎(chǔ)上，集成了多個(gè)廠商的多個(gè)技術(shù)，規(guī)劃和建設(shè)了具有適應(yīng)性高、安全性高、架構(gòu)開(kāi)放、易于擴(kuò)展、且使用成本低的智能廣域網(wǎng)。未來(lái)，大型企業(yè)的網(wǎng)絡(luò)規(guī)劃和建設(shè)應(yīng)該遵循“技術(shù)可行，經(jīng)濟(jì)合理”的基本原則，以促使智能廣域網(wǎng)技術(shù)得以更廣泛地應(yīng)用。

參考文獻(xiàn)：

[1]

陶志勇，王如龍，張錦.面向集成的VPN構(gòu)建策略[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2014（4）：2328.

[2]

李智宏.VPN技術(shù)在局域網(wǎng)中的應(yīng)用[J].電子測(cè)試，2016（11）：6869，46.

[3]

童樣，張水平，李有峰， 等.基于MPLS的VPN互訪技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì)， 2014（9）： 30183023.

[4]

任治洪.中國(guó)石油廣域網(wǎng)智能管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2011.

[5]

李淑英.大型企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)與應(yīng)用[J].山東冶金，2016（1）：5455，60.

[6]

陳遙，杜知名.雙中心雙云的DM VPN設(shè)計(jì)[J].南京信息工程大學(xué)學(xué)報(bào)，2016（2）：170174.

[7]

蔣華，李康康，胡榮磊.一種基于strong Swan的IPSec VPN網(wǎng)關(guān)的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2017（7）：7984.

[8]

王廣澤，汪鵬，羅智勇， 等.一種MPLS VPN的分散校區(qū)圖書(shū)館教育網(wǎng)組建模型[J].哈爾濱理工大學(xué)學(xué)報(bào)，2017（3）：3135.

[9]

呂承民，謝永強(qiáng)，李武， 等.VPN網(wǎng)絡(luò)設(shè)計(jì)及性能分析[J].貴州師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2014（1）：8185.

[10]

解靈運(yùn).大型企業(yè)信息網(wǎng)絡(luò)規(guī)劃研究[J].電腦與電信，2013（7）：3335，38.

[11]

董旭源，常鵬，王寶亮， 等.校園網(wǎng)MPLS VPN系統(tǒng)的設(shè)計(jì)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2017（10）：209213.

[12]

趙炯，林旺城，洪翔，等.大型企業(yè)信息化網(wǎng)絡(luò)設(shè)計(jì)方案研究[J].制造業(yè)自動(dòng)化， 2010（8）： 3134，69.

[13]

楊明亞，楊穎潔. 基于VRML的虛擬現(xiàn)實(shí)研究[J]. 唐山師范學(xué)院學(xué)報(bào)，2013（2）：5052.

[14]

陶駿，匡磊，徐旺， 等.基于MPLS VPN和MSDP的跨域組播網(wǎng)絡(luò)設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2017（z1）：263265，287.

[15]

盧綺雯.銀行三級(jí)廣域網(wǎng)的發(fā)展趨勢(shì)及建設(shè)[J].華南金融電腦，2008（6）：58.

[16]

吉誠(chéng).企業(yè)級(jí)網(wǎng)絡(luò)設(shè)計(jì)方案的規(guī)劃與測(cè)試[D].上海：上海交通大學(xué)，2008.