［程鉍峪 王飛 李濤］

1 引言

一方面，企業(yè)處于數字化轉型的過程中，會遭受源自于內外部的網絡威脅甚至是網絡攻擊，因此建設一個高安全與高可靠的園區(qū)網絡對企業(yè)的發(fā)展至關重要[1-2]。另一方面，隨著企業(yè)數字化建設持續(xù)推進，BYOD（Bring Your Own Device）設備接入到網絡的形式趨于多樣性，園區(qū)網絡的規(guī)模和覆蓋范圍不斷被延伸與擴展；這就使得企業(yè)園區(qū)網在建設上還需考慮有線、無線的充分融合，以滿足各類業(yè)務需求。文獻[3]提出了一種園區(qū)網方案，其中主要技術為MSTP，但單純使用MSTP 技術在大規(guī)模園區(qū)網部署時會造成二層業(yè)務流量與三層業(yè)務流量路徑不一致的問題；文獻[4-6]提出一種MSTP 與VRRP 相結合的園區(qū)網，該方案可以實現二層業(yè)務負載分擔也可實現三層業(yè)務的負載分擔，但通過三層網關直接接入公網，但此方案缺少安全防護機制，園區(qū)內部的網絡會存在巨大安全隱患。文獻[7]設計出一種負載分擔的園區(qū)網方案，該方案將網絡分為接入層、匯聚層、核心層并通過使用MSTP 與VRRP來保障網絡的可靠，但方案同樣忽略了網絡安全這一重要問題。在文獻[8-9]園區(qū)網解決方案中，雖然體現出了設計者對園區(qū)網絡安全的防護意識，但單出口防火墻與外網互聯，在單防火墻出現故障的時候，不僅無法起到對內網防護的作用，更會造成整個園區(qū)網絡的業(yè)務癱瘓。

綜上，面對園區(qū)網可靠性與安全性不足以及大量BYOD 設備通過無線方式接入網絡等問題，本文提出基于防火墻雙出口的有線無線融合企業(yè)園區(qū)網解決方案，在接入與匯聚層運行MSTP 與VRRP，并在園區(qū)網出口處部署兩臺負載分擔的防火墻以達到對整個園區(qū)的安全可控，方案還采用了防火墻與BFD 聯動技術[10]，VRRP 追蹤上行路由技術以保障業(yè)務故障時能夠在毫秒級時間內切換至備用鏈路，業(yè)務能在毫秒級時間內切換至備用鏈路，此外為滿足BYOD 設備接入，通過部署AC 與AP 實現了園區(qū)的無線覆蓋[11]。為提高網絡自動化運維的效率，在園區(qū)中部署DHCP 服務器，該服務器能夠自動為固定終端和BYOD 終端分配私有IP 地址。由于私有IP 地址無法被公網所路由，因此本方案中在出口防火墻部署源NAT 和NAT server，使得內網用戶可以訪問公網，并且公網用戶也可以訪問內網服務器。

2 關鍵技術

2.1 防火墻雙出口負載分擔

如圖1 所示，兩臺防火墻FW1、FW2 構成雙機熱備負載分擔系統(tǒng)，兩臺防火墻硬件與軟件版本需要一致，防火墻之間通過心跳線互聯，以此來感知彼此健康狀態(tài)，并向對端設備同步配置和會話表。由于兩臺防火墻采用雙機熱備負載分擔，因此不論是FW1 還是FW2 均工作在active 狀態(tài)，并對業(yè)務流量進行轉發(fā)。當其中一臺防火墻出現故障，業(yè)務流量仍然可以通過另外一臺防火墻進行轉發(fā)，從而使得網絡有更好的安全性與可靠性。

2.2 WLAN 無線組網技術

圖1 防火墻負載分擔

如圖2 所示，AC 控制器與AP 無線接入點采用三層旁掛直接轉發(fā)模式組網，旁掛意味著AC 處在AP 與上行網絡的旁側；三層則說明AC 與AP 的管理IP 地址不在同一網段；AC 與AP 通過CAPWAP 隧道交互管理報文，由于組網方式采用直接轉發(fā)，業(yè)務流量將不會經過AC 進行處理，因此對于業(yè)務流量的轉發(fā)更為靈活。同時，園區(qū)網中各AP 及終端設備的IP 地址均由DHCP 服務器自動分配，這樣有利于網絡自動化運維效率的提高。

圖2 三層旁掛直接轉發(fā)模式組網

3 基于防火墻雙出口的有線無線融合企業(yè)園區(qū)網設計

3.1 設計目的

設計出一種基于防火墻雙出口的園區(qū)網方案，其拓撲如圖3 所示，方案對有線無線進行了融合，并在MSTP 與VRRP 基礎上，配置VRRP 與上行路由及上行接口聯動，設備相關規(guī)劃參數如表1 所示，在出口防火墻配置BFD 與公網設備聯動，當上行鏈路或上行設備故障時，保證業(yè)務能在毫秒級時間內切換，這為其它園區(qū)網設計提供了思路與借鑒。

3.2 路由與交換網絡規(guī)劃

圖3 園區(qū)網整體架構

R5、R6、R7 三臺設備模擬運營商ISP 公網，運行ISIS 動態(tài)路由協(xié)議，并對接園區(qū)網。針對園區(qū)路由，在FW1、FW2、R1、R2、SW1、SW2 組成的骨干區(qū)域上部署OSPF，并在FW1、FW2 通過default-route-advertise 命令向內網發(fā)布缺省路由。出口防火墻FW1、FW2 配置缺省路由訪問公網，防火墻上各有一條主用路由和一條浮動路由；另外運營商邊緣設備R5、R6 通過明細路由指向園區(qū)NAT 之后的地址，值得注意的是為保證公網R7 設備也有園區(qū)路由信息，還應該在R5、R6 上將明細路由引入至ISIS 中。

由于園區(qū)中存在多種業(yè)務VLAN 和管理VLAN，其中園區(qū)1 層規(guī)劃業(yè)務VLAN10、VLAN101；2層規(guī)劃業(yè)務VLAN20、VLAN102；3層規(guī)劃業(yè)務VLAN30、VLAN103；4層規(guī)劃業(yè)務VLAN40、VLAN104；WLAN分配管理VLAN100，針對該多VLAN場景，部署MSTP、VRRP以解決二層流量轉發(fā)問題。此外，在不升級硬件的條件下，方案對SW1、SW2、互聯鏈路及其上行鏈路進行鏈路聚合，以提高鏈路的可靠性及總帶寬。

3.3 WLAN 無線與網絡服務規(guī)劃規(guī)劃

考慮到園區(qū)中BYOD 終端對無線業(yè)務有高質量需求，因此方案中AC 與AP 采用三層旁掛直接轉發(fā)模式組網。園區(qū)各樓層無線終端VLAN 分別是：VLAN101、VLAN102、VLAN103、VLAN104。AC 與AP 間 只 通 過CAPWAP 交互控制數據，其中AP 分配管理VLAN100。所有業(yè)務流量只會經園區(qū)骨干區(qū)域和出口防火墻直接轉發(fā)至公網，這極大提高了數據轉發(fā)效率。

R3 這臺DHCP 服務器為園區(qū)內所有終端提供IP 地址，由于終端的IP 地址與DHCP 服務器接口地址不在同一網段，方案還需額外配置DHCP中繼；此外DMZ 區(qū)域中的R4 這臺DNS 服務器為終端提供地址解析服務[12]。園區(qū)中各AP 的IP 地址，也通過DHCP 服務器獲取，并且DHCP 服務器通過option43 字段告知各AP 它們所屬AC 控制器的IP地址。

3.4 網絡安全及可靠性規(guī)劃

出口防火墻采用雙機熱備負載分擔模式，為進一步提高網絡可靠性，在出口防火墻和運營商邊緣設備上配置BFD，當BFD 快速檢測到設備或鏈路故障，業(yè)務可在毫秒級時間內切換。配置VRRP 與上行路由及上行接口聯動，當被監(jiān)視路由或接口出現故障，則會觸發(fā)VRRP 主備切換；此外SW1、SW2 匯聚交換機之間及其上行鏈路還進行了鏈路聚合。由于終端設備分配是私有IP 地址，因此需要在出口防火墻做源NAT 策略[13]。通過在出口防火墻做NAT Server，可以使得公網用戶訪問園區(qū)中的Web 服務器，Web 服務器放置于DMZ 區(qū)域。最后在出口防火墻引用反病毒配置文件和入侵防御配置文件，當園區(qū)用戶從互聯網下載文件和郵件時可以進行病毒檢測和防護，并保護Web 服務器免受來自互聯網的攻擊。

3.5 關鍵設備精簡配置

（1）R5 設備配置：

表1 設備相關規(guī)劃參數

4 全網業(yè)務測試及結果分析

規(guī)劃、設計以及數據配置完成后，對本企業(yè)園區(qū)網進行連通性測試以及安全性驗證。測試及驗證使用eNSP 仿真平臺[14]，測試驗證的網絡設備其版本號為V200R003C00。

如圖4 所示，PC1 是位于VLAN10 區(qū)域中的固定終端，且圖4 給出了PC1 訪問公網R7 設備上8.8.8.8 地址的流量轉發(fā)路徑；如圖5 所示，為PC1 訪問公網的ping 測試，測試結果表明在路由可達、防火墻策略放行的情況下，內網用戶能夠訪問公網。另一方面，由于PC1 使用的是私有地址，流量在出園區(qū)時需在防火墻進行NAT 轉換；如圖6 所示，在防火墻FW1 上通過dis firewall session table 命令查看NAT 轉換信息，可知防火墻FW1 已將報文源地址192.168.10.244 轉換成了200.200.200.11。此外，通過在防火墻FW1 的出口抓包，如圖7 所示，同樣可以觀察到防火墻FW1 將內網報文源地址轉換成了公網地址200.200.200.11。

圖4 固定終端流量轉發(fā)路徑

圖5 固定終端ping 測試

圖6 FW1 上會話表

圖7 FW1 出口抓包

如圖8 所示，STA2 是位于VLAN104 無線覆蓋區(qū)域中的移動終端，并給出了STA2 訪問公網地址8.8.8.8 時的流量轉發(fā)路徑；如圖9 所示，為STA2 訪問公網的ping測試，測試表明該移動終端能夠訪問公網，對于無線終端來說，出口防火墻FW2 仍然需要對內網報文源地址進行NAT 轉換；如圖10 所示，在FW2 查看會話表可知防火墻FW2 已將報文源地址192.168.104.244 轉換成了200.200.200.10。

Web 網站是企業(yè)對外展示的重要窗口，由于Web 服務器部署于園區(qū)內部，其地址為私有地址。因此，需要在防火墻上部署NAT server 服務，將Web 服務器地址10.1.123.2 映射為對外的22.22.22.22 公網地址，圖11 所示為公網用戶訪問Web服務器的流量轉發(fā)路徑。為了測試公網用戶確實可以正常訪問Web 服務器，對映射后的22.22.22.22 進行ping 測試，如圖12 所示業(yè)務測試正常；如圖13 所示，在FW1 上查看會話表可知FW1將目標地址22.22.22.22轉換成Web服務器內網地址10.1.123.2。

圖8 移動終端流量轉發(fā)路徑

圖9 移動終端ping 測試

圖10 FW2 上會話表

圖11 公網訪問Web 服務器流量轉發(fā)路徑

圖12 公網訪問Web 服務器ping 測試

圖13 FW1 上會話表

綜上，通過對園區(qū)中固定終端訪問公網、移動終端訪問公網以及公網用戶訪問園區(qū)Web 服務器等業(yè)務進行全面測試，結果表明本園區(qū)網設計方案具備高安全性與高可靠性，同時也具備了可實現性與可移植性，并符合現網及生產要求。

5 結論

相比傳統(tǒng)園區(qū)網設計，本方案通過部署防火墻雙機熱備負載分擔、優(yōu)化流量轉發(fā)路徑、BFD 快速檢測等先進技術，為園區(qū)網絡的安全可靠運行提供了有力保障；同時考慮到園區(qū)中BYOD 設備接入需求，通過AC 與AP 三層旁掛組網，真正實現了園區(qū)有線無線一體化網絡部署。