PBR保障內(nèi)外網(wǎng)互聯(lián)安全

引言：當今計算機網(wǎng)絡(luò)已經(jīng)深入各個領(lǐng)域，在網(wǎng)絡(luò)的規(guī)劃設(shè)計時，內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)已經(jīng)普遍采取了隔離措施。但是，當安全性提高的同時也就意味著放棄了某些便利性，例如在我們實際工作中有很多場景確實需要內(nèi)外網(wǎng)同時使用才能完成。

當今計算機網(wǎng)絡(luò)已經(jīng)深入各個領(lǐng)域，它正在對人們的生活方式和工作方式產(chǎn)生著前所未有的影響。同時，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，人們對網(wǎng)絡(luò)知識的了解不斷深入，網(wǎng)絡(luò)上的攻擊行為變得越來越多，網(wǎng)絡(luò)與信息的安全重要性已經(jīng)不容忽視。

在這種形勢下，當前在網(wǎng)絡(luò)的規(guī)劃設(shè)計時，內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)已經(jīng)普遍采取了隔離措施。但是，當安全性提高的同時也就意味著放棄了某些便利性，例如在我們實際工作中有很多場景確實需要內(nèi)外網(wǎng)同時使用才能完成。以醫(yī)院為例，內(nèi)網(wǎng)醫(yī)療設(shè)備的安裝調(diào)試、各類程序升級、軟件的故障處理、遠程會診，以及農(nóng)合、醫(yī)保、內(nèi)網(wǎng)病毒查殺等等都需要調(diào)取外部的數(shù)據(jù)，同時管理員的數(shù)據(jù)查詢匯總，軟件、網(wǎng)絡(luò)運維與管理都有這樣的實際需求。

圖1 內(nèi)外網(wǎng)拓撲

接下來結(jié)合筆者的實踐經(jīng)驗詳細介紹在內(nèi)外網(wǎng)邏輯隔離的情況下，利用策略路由Route-map工具在網(wǎng)絡(luò)核心層來實現(xiàn)內(nèi)外網(wǎng)的互聯(lián)互通。策略路由（PBR：Policy-Based Routing）提供了一種比基于目的地址進行路由轉(zhuǎn)發(fā)更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。策略路由可以根據(jù) IP/IPv6 報文源的地址、目的地址、端口以及報文長度等內(nèi)容靈活地進行路由選擇，其優(yōu)先級比普通的路由高，這樣就可以按照網(wǎng)絡(luò)管理員的意愿針對部分感興趣的流量重新定義報文的轉(zhuǎn)發(fā)路徑，從而滿足其他一些特殊場景下的需求。

Route-map工具類似于腳本語言，其中包含的“match”，“set”參數(shù)和編程中的“if”，“then” 語句很相似，對于有編程經(jīng)驗的人員更容易理解，也即match到所需要的特定路由后再執(zhí)行相對應(yīng)的set操作。但此時需要注意區(qū)分以下兩種情況，情況1是“或”的關(guān)系，匹配到一個條目就會終止；而情況2是“與”關(guān)系，需要匹配全部條目，內(nèi)外網(wǎng)拓撲如圖1所示。

情況1：

情況2：

下面開始分別對內(nèi)網(wǎng)和外網(wǎng)進行相應(yīng)的分析和配置。

內(nèi)網(wǎng)部分

以筆者單位為例，通常有各式各樣的服務(wù)器和眾多客戶端，多運行 ospf、eigrp等內(nèi)部動態(tài)路由協(xié)議，網(wǎng)絡(luò)結(jié)構(gòu)相對較大，本文以核心層、匯聚層、接入層三層網(wǎng)絡(luò)拓撲為例。

1.首先在內(nèi)網(wǎng)核心交換機上配置擴展ACL，來匹配內(nèi)網(wǎng)特殊流量:

2.內(nèi)網(wǎng)核心上配置策略路由：

應(yīng)當注意的是:在此處策略路由為set ip default next-hop而不是set ip next-hop，因為策略路由的優(yōu)先級要比普通的路由高，原本的內(nèi)網(wǎng)ospf路由無法起到作用，從而導(dǎo)致使用該IP地址的客戶端會連接內(nèi)網(wǎng)服務(wù)器失敗。而加上default后會降低路由優(yōu)先級從而不會影響客戶端正常訪問內(nèi)網(wǎng)服務(wù)器段的IP地址，保證了對內(nèi)網(wǎng)、外網(wǎng)的數(shù)據(jù)同時正常訪問。

set ip next-hop可以設(shè)置下一跳IP地址，也可以設(shè)置數(shù)據(jù)包的出接口，建議設(shè)置為下一跳的IP地址。

3.在內(nèi)網(wǎng)核心設(shè)備上相應(yīng)的匯聚端口上應(yīng)用策略路由:

這里應(yīng)當注意的是：策略路由一定要應(yīng)用到數(shù)據(jù)包的in方向接口，而不能應(yīng)用到數(shù)據(jù)包的out方向接口。因為策略路由實際上是在數(shù)據(jù)包進路由器的時候，強制設(shè)置數(shù)據(jù)包的下一跳，在out方向的接口，路由器已經(jīng)對數(shù)據(jù)包做完IP路由，把數(shù)據(jù)包從接口轉(zhuǎn)發(fā)出去了，因此此時out方向的策略路由并不生效。

4.在內(nèi)網(wǎng)其他部分上的配置

匯聚交換機DHCP配置：

外網(wǎng)部分

外網(wǎng)只滿足用戶互聯(lián)網(wǎng)、部分遠程會診等需求客戶端相對較少，網(wǎng)絡(luò)結(jié)構(gòu)并不復(fù)雜，本文以核心層、接入層二層網(wǎng)絡(luò)拓撲結(jié)構(gòu)為例，只需配置來自內(nèi)網(wǎng)的返回靜態(tài)路由即可。

外網(wǎng)核心交換機配置：

經(jīng)過以上配置，內(nèi)網(wǎng)的192.168.10.98—99這兩個IP地址就達到了內(nèi)外網(wǎng)同時訪問的目的。這對于在只有內(nèi)網(wǎng)處理問題故障的管理人員來說無疑是一件利器，有了外援的支持處理問題自然也就迎刃有余了。相反，在外網(wǎng)核心配置策略路由也可以實現(xiàn)外網(wǎng)IP地址的外轉(zhuǎn)內(nèi)，同時又達到訪問內(nèi)外網(wǎng)的需求。

當用戶遇到有以下應(yīng)用場景時，策略路由會帶來更多的選擇和便利，同時策略路由只是Route-map工具應(yīng)用的其中一個方面，Route-map工具本身在路由重分布redistribute和邊界網(wǎng)關(guān)協(xié)議（BGP)中應(yīng)用也十分廣泛。

當網(wǎng)絡(luò)中的匯聚與核心設(shè)備，或者是核心與出口路由器之間有多條鏈路互聯(lián)時，普通的路由表的負載或者主備的結(jié)果可能無法滿足需求，或者網(wǎng)絡(luò)中又引人了一些新的業(yè)務(wù)，這些網(wǎng)段在原先的網(wǎng)上設(shè)計時并沒有考慮到，而此時出現(xiàn)新的路由訪問的需要，但是又不想去調(diào)整前期規(guī)劃的，復(fù)雜的OSPF路由控制選路的策略，此時就可以利用策略路由這種技術(shù)來針對這部分新的需求進行一個重新的路由選擇，可以按照用戶的意愿選擇一條指定的鏈路轉(zhuǎn)發(fā)數(shù)據(jù)，而并不依賴于傳統(tǒng)的路由表。

還有另外一種常見的應(yīng)用場景就是核心到網(wǎng)絡(luò)出口設(shè)備有多臺路由器或者防火墻，其對應(yīng)的多家不同的運營商鏈路，比如聯(lián)通（100M），電信(50M），移動(50M）等，此時用戶希望根據(jù)每臺鏈路的負載程度，帶寬利用率等情況來將內(nèi)網(wǎng)中的流量分流到這三條鏈路上，比如醫(yī)院各病房科室和其他醫(yī)院的遠程會診全部走移動專線出口，農(nóng)合、醫(yī)保科室數(shù)據(jù)全部走電信，行政后勤辦公、電教中心、多媒體等全部都走聯(lián)通，另外遠程會診基于不同的業(yè)務(wù)類型進行分流，同時電信，聯(lián)通，移動又彼此作為各自的鏈路故障時候的備份，起到冗余，如果用戶有這樣的組網(wǎng)需求，就可以考慮采用策略路由進行選路，在達到內(nèi)外網(wǎng)互聯(lián)要求的同時又保證了網(wǎng)絡(luò)的安全性。