交換機配防火墻插卡在地區網絡匯聚點的安裝使用

索育江

（哈爾濱鐵路局 信息技術所， 牡丹江 157000）

交換機配防火墻插卡在地區網絡匯聚點的安裝使用

索育江

（哈爾濱鐵路局 信息技術所， 牡丹江 157000）

本文通過介紹網絡在鐵路運輸生產中的重要性及安全性問題，提出在鐵路局所屬地區網絡匯聚點安裝網絡防火墻的必要性。重點介紹交換機配防火墻插卡的主要性能及其在地區網絡匯聚點的安裝配置方法。

防火墻； 安全域；端口；匯聚點

隨著計算機網絡技術的迅猛發展，鐵路運輸生產組織也越來越離不開網絡系統。發達的網絡系統，使得行車調度指揮、客貨運輸、自動化辦公等，變得更加方便靈活和高效便捷。可以說，網絡的發展提升了鐵路運輸企業的生產效率，方便了廣大貨主和旅客，實現了經濟效益和社會效益的雙贏。同時，伴隨著網絡應用的普及，各種網絡病毒，網絡攻擊也充斥于網絡之上，其危害不容小視。對于鐵路局下屬的地區網絡中心來說，是一個地區網絡匯聚點，承擔著承上啟下的作用，是近百個站段的樞紐。一旦受到攻擊破壞，將直接影響到鐵路的運輸生產安全。因此，需要采取必要、可靠的防范措施，防止這種情況的發生。在各種防范措施中，在網絡中安裝性能強大的防火墻是一個行之有效的方法。

1 地區中心機房安裝防火墻的必要性

地區網絡匯聚點分別連接上級網絡、下級網絡、本地生產網和本地辦公網4個方向。其中，上級網絡、本地生產網有大量的與生產項目相關的服務器和數據庫系統，需要重點保護，絕對不能受到攻擊破壞。而下級網絡和本地辦公網系統，由于安全防范方面不易控制，容易感染病毒或木馬，所以需要設置防火墻將它們分隔開來。

2 交換機配防火墻插卡性能特點

在對原有的網絡拓撲結構盡可能改動較小的前提下，選擇以太網交換機配防火墻插卡的方案。通過防火墻插卡，用戶可靈活、迅速地在主網絡設備（以太網交換機) 中整合防火墻等安全功能，實現網絡和安全防護的高度一體化。

該設備的防火墻插卡已經完全實現了三層網絡設備的轉發機制，這使得防火墻可以極靈活地應用在多層交換網絡中，同時又提供了豐富的安全特性，為用戶網絡提供安全保護。將主網絡設備的轉發和業務處理有機融合在一起，實現主網絡設備高性能數據轉發的同時，能夠根據組網的特點處理安全業務，實現安全防護和監控。該防火墻插卡對外提供2個GE接口和2個GE Combo 接口，用于雙機熱備及設備的管理與維護；通過內部的高速10 G以太接口與主網絡設備相連。防火墻插卡可以插在主網絡設備上的多個槽位，并且在一臺主網絡設備上可插入多塊防火墻插卡進行性能擴展。

3 方案設計

3.1 防火墻安全域劃分管理

防火墻通過圍繞安全域來配置安全策略。安全管理員將安全需求相同的接口進行分類（劃分到不同的區域），從而實現策略的分層管理。

安全域配置思路：上級網絡和本地生產網屬于可信任網絡，可以自由訪問下級網絡和本地辦公網。所以將上級網絡和本地生產網部署在優先級相對較高的L區域和S區域。下級網絡可信任程度相對較低，可以將下級網絡部署在優先級相對較低的Z區域。本地辦公網可信任程度最低，可以將本地辦公網部署在優先級最低的B區域。域和域之間互訪，使用不同的安全策略加以限制。

3.2 網絡結構設計及端口規劃

該交換機配置了一塊48端口千兆以太網電接口業務模板，有多個槽位可供插卡，如果插在n號槽位上，端口編號即為GigabitEthernet n/0/1至GigabitEthernet n/0/48。同樣，防火墻插卡也可以任意插，由于防火墻插卡是通過內部的高速10 G以太接口與主網絡設備相連，如果插在交換機的m號槽位上，在交換機上對應的端口號即為Ten-GigabitEthernet m/0/1。在防火墻上對應端口一般為Ten-GigabitEthernet 0/0。

端口規劃思路：可以將傳輸重要數據的端口采用端口聚合技術，比如：將端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21聚合，連接到對下級網絡的路由器A上，用來傳送下級網絡和上級網絡間數據。將端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23聚合，連接到對下級網絡的路由器A上，用來傳送下級網絡和本地辦公網間數據。將端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25聚合，連接到本地辦公網的另一臺交換機（交換機A）上，用于傳送交換機A上的用戶數據，如圖1所示。通過這樣的聚合，既增加了帶寬又增強了可靠性。

圖1 端口聚合技術

網關設置思路：上級網絡、下級網絡、本地生產網（Z域、L域、S域）間的數據交換事關生產安全，要經過嚴格控制，所以必須要經過防火墻。凡是經過交換機端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21、端口GigabitEthernet n/0/26、端口GigabitEthernet n/0/27進入交換機的數據流，必須要先訪問防火墻插卡，其網關設在防火墻上；經過端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23進入交換機的數據流都是訪問本地辦公網的，不必經過防火墻，其網關設在交換機上；經過端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25進入交換機的數據流分兩種情況：（1）交換機上的本地辦公網用戶訪問下級網絡的和本地辦公網用戶之間互訪的，可以直接在交換機上交換，不必經過防火墻，其網關設在交換機上。（2）本地辦公網用戶訪問上級網絡、下級網絡、本地生產網的數據流，必須要先訪問防火墻，其下一跳要設在防火墻上。這樣既保證了重要數據流被防火墻保護，又減輕了防火墻的負擔。

3.3 配置步驟

3.3.1 交換機配置

思路：將交換機的端口GigabitEthernet n/0/20、GigabitEthernet n/0/21（同一個vlan aa）、Gigabit-Ethernet n/0/22、GigabitEthernet n/0/23（同一個vlan）、GigabitEthernett n/0/26（vlan bb）、GigabitEthernet n/0/27(vlan cc)均設為Access 類型，分別劃到不同的VLAN中。端口GigabitEthernett n/0/24和端口GigabitEthernet n/0/25設為trunk類型。交換機的端口Ten-GigabitEthernet m/0/1設為Trunk類型。具體步驟如下：

（1）創建聚合組，設置VLAN

（2）將端口分別分配到不同的聚合組中，設置VLAN

（3）配置端口Ten-GE m/0/1 工作在Trunk 模式下，允許上述VLAN 通過

3.3.2 防火墻配置

思路：防 火 墻 插 卡上的端口Ten-Gigabit-Ethernet 0/0工作在路由模式下， 配置4個子接口，分別為：Ten-GigabitEthernet aa、Ten-GigabitEthernet bb、Ten-GigabitEthernet cc 和Ten-GigabitEthernet dd，4個子接口的封裝格式為dot1q，分別與交換機的VLANaa、VLANbb、VLANcc和VLANdd相關聯。將 Ten-GigabitEthernet 0/0 的4個子接口分別添加到安全域S、B、L、Z中。具體步驟如下：

（1）配置Ten-GE xx 工作在路由模式下

（2）創建Ten-Gigabit-Ethernet 0/0 的4個子接口，與交換機VLAN關聯,并配置子接口的IP 地址

（3）部署安全域，分別將每個子接口添加到不同地域中

進入WEB管理界面，選擇“設備管理 ＞ 安全域”，編輯安全域，將子接口加入。也可以用命令行方式如下：

3.3.3 防火墻安全規則的配置

完成端口配置后，要給防火墻配置安全規則，可以通過圖形界面和字符界面設置。配置完成后，防火墻就可以發揮功能了。

4 結束語

通過一段時間的運行使用，防火墻的作用得到了很好的體現，達到了預期的效果，成為地區網絡中心不可或缺的重要一環。在保護網絡免受病毒感染和黑客惡意攻擊中，起到了重要的作用。保證了站段、鐵路局生產、辦公網絡間的信息安全暢通。

責任編輯 陳 蓉

Switch with frewall card installed in regional network convergence

SUO Yujiang
( Institute of Information Technology,Harbin Railway Administration,Mudanjiang 157000,China)

This article introduced the importance and security problems of network in railway transportation production,presented the necessity of installing network firewall in the regional network convergence of railway administration,introduced the main performance of the switch with a frewall card,explained the installation and confguration method for the card in the convergence in detail.

frewall;security domain;port;convergence

U29：TP39

A

1005-8451（2016）04-0049-03

2015-10-10

索育江，高級工程師。