內網優化升級方案

引言： 為了保障內網可靠穩定運轉，并統籌考慮內網業務的安全性，實現內網業務徹底與其他網絡混用的局面,需要規范組建內部網絡。有效摒棄原有市至縣二層數據VLAN傳輸，采用新的三層數據互聯。在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，

方案實施背景

最近為了規范BOSS運營支持系統、基站視頻監控和光傳輸設備管理（以下簡稱內網）等業務的使用，保障其高可靠穩定運轉，并統籌考慮內網業務安全性，實現內網業務徹底與其他網絡混用的局面,需要規范組建內部網絡。有效摒棄原有市至縣二層數據VLAN傳輸，采用新的三層數據互聯。這樣做的好處是每個縣公司處于同一局域網中，縣公司內網與市公司使用動態路由互聯，有效隔離廣播域，在很大程度上杜絕了ARP攻擊、IP地址沖突等問題，該方案實施后，將對縣公司的內網使用提出了更高的要求，主要是達到內網業務和互聯網、專線業務的物理隔離標準。

具體方案

1.網絡拓撲結構

根據方案的背景資料，我們首先介紹一下現有市至縣內網組網拓撲結構，這里的市至縣OTN環網作為數據業務的透明傳輸不在示意圖中體現，如圖1所示。如我們可以看到在內網的最上層使用Juniper防火墻和省公司互聯，然后使用烽火交換機作為業務匯聚，該交換機承載BOSS、CA服務器等業務，其中CA業務是由Cisco 3550交換機承載，在烽火交換機將內網業務匯聚后，分別連接城區和縣市區內網業務。目前各交換機采用二層互聯，即VLAN透傳。這樣整個網絡就在一個較大的廣播域中，一個縣市區出現問題會影響到整個市的網絡，既不利于業務的長期發展，又不利于網絡安全的防護。

針對當前的網絡現狀和劣勢，新的組網方案是在市公司部署一臺三層交換機作為內網業務的核心，然后依托市至縣OTN網絡將業務傳輸至縣公司，然后在每個縣市區部署一臺三層交換機作為業務的匯聚，其中BOSS和基站監控等業務的網關在交換機上創建。網絡優化升級后的具體拓撲結構如圖2所示。

我們定義BOSS業務VLAN562、基站監控VLAN564和光傳輸管理VLAN566這三個VLAN均終結到縣公司匯聚交換機處，縣公司內網業務和市公司內網業務互聯使用OSPF協議，縣公司內網業務的部署（例如鄉鎮或者城區營業廳）使用交換機和收發器傳輸，嚴格做到物理隔離。

2.網絡設備配置

完成網絡拓撲升級前后的對比后，接下來就是根據網絡需求對設備進行配置。在最上層防火墻需要做的工作是配置和核心交換機的互聯地址、基于端口的NAT和回指到核心交換機的路由。Cisco交換上設備的配置和核心交換機的互聯地址、啟用OSPF協議并宣告CA和互聯地址網段，防火墻和Cisco交換機的配置這里就不在詳細介紹，這里具體介紹一下核心和匯聚交換機的配置，其配置主要分為三部分，即創建VLAN、配置接口IP地址和使能OSPF協議。

圖1 現有內網網絡結構

核心交換機配置：

//配置端口IP地址，定義該端口連接juniper防火墻

inter face GigabitEthernet2/0/1

//進入接口

undo portswitch

//使能端口路由功能

ip address 10.223.0.2 255.255.255.252

//配置端口IP地址，定義該端口連接CISCO交換機即CA服務器

inter face GigabitEthernet1/0/1

//進入端口

undo portswitch

//使能端口路由功能

ip address 10.239.14.5 255.255.255.252

//配置端口IP地址，定義該端口連接兗州匯聚交換機

ip route-static 9.0.0.0 255.0.0.0 10.223.0.5

//定義指向防火墻的靜態路由

圖2 升級后網絡拓撲圖

ospf 1

//啟用OSPF協議

import-route static

// 引入靜態路由area 0.0.0.0

//定義OSPF域名

network 10.223.0.0 0.0.0.3

//宣告連接cisco交換機的網段

network 10.223.0.4 0.0.0.3

//宣告連接防火墻的網段

network 10.239.14.0 0.0.0.255

//宣告連接縣市區交換機的網段

上面我們主要介紹了核心交換機的配置，核心思路是打通核心交換機至防火墻和cisco交換機的數據鏈路，接下來以兗州為例介紹一下縣區匯聚層交換機的配置。

匯聚層交換機的配置：

inter face GigabitEthernet0/0/25

//進入端口

combo-port copper

//定義端口模式為電口

port link-type access

//定義端口模式

port default vlan 562

//定義端口VLA

inter face GigabitEthernet0/0/24

//進入端口

undo portswitch

//使能端口路由模式

ip address 10.239.14.6 255.255.255.252

//配置端口IP地址，定義該端口連接市公司核心交換機

ospf 1

//啟用OSPF協議

area 0.0.0.0

//定義OSPF域名

network 10.239.2.0 0.0.0.255

//宣告BOSS內網網段

network 10.239.14.4 0.0.0.3

//宣告與市公司互聯網段

上面做的工作的是創建VLAN，并定義VLAN的地址，設置和市公司核心交換機的互聯網段，并啟用OSPF協議，最后在OSPF協議中宣告所需網段。經過在兗州交換機的端口0/0/25進行網絡驗證，是可以訪問BOSS的服務器，這樣我們就以兗州為例完成了整個網絡的配置。相同的配置方法可以實現其他縣市區內網數據的通達，這里就不再一一介紹。

總結

上面我們通過對現有網絡結構的綜合分析，得出網絡中存在弊端和劣勢。并提出網絡的優化升級方案。依據網絡物理隔離、業務分開、網關終結至本地的原則對網絡進行了拓撲優化，又以兗州為例詳細介紹了交換機的配置，通過對網絡的驗證網絡是可達的，從而滿足了網絡的整體需求。后期針對內部網絡中存在CA服務器等核心數據單元，我們又在現有路由的基礎上應用了路由策略，有效的防范了核心服務器路由的全網通達，在一定的程度上降低了網絡入侵的風險，同時做到了交換機的遠程和本地登錄密碼的定期更換，從而維護了網絡的和諧穩定。