遠程監控系統核心網絡架構分析與優化

（廣西廣播電視無線傳播樞紐臺）

一、引言

隨著信息化事業的迅猛發展，越來越多中小型企事業單位信息系統對網絡資源提出了更高的要求，如何更好地優化現有網絡資源已成為運維工作關注的重點。全區無線發射臺站遠程監控系統核心網絡承載了信息系統所有業務的流量，對遠程監控業務的健康運行起著至關重要的作用。本文以該套網絡系統為例，對其展開分析、優化。

二、需求分析

核心網絡的優化需根據具體業務需求，從安全性、可靠性、高效性幾個角度出發，分析現有網絡存在的劣勢，為新架構設計提供目標。

（一）缺少冗余鏈路

現有網絡結構的核心交換機、路由器存在單機運行的情況，如圖1所示，原網絡架構中缺少必要的在線冗余鏈路作為保障，容易因單點故障，造成核心業務中斷。

（二）缺乏負載均衡機制

由于主要業務缺乏冗余鏈路，無法實現負載分擔。當突發流量過大時，核心區域設備容易因過載無法快速完成轉發任務，造成網絡丟包、延時，從而給信息系統用戶帶來負面體驗。

（三）區域劃分不明確

圖1 網絡拓撲圖

現有的核心網絡劃分為核心區域、服務器區域、終端區域、運維區域，存在區域劃分重疊和混淆的問題。一方面，服務器區域同時存在承載業務系統的服務器設備和安全設備，給運維工作造成不便，同時也不利于安全策略的應用。另一方面，現有網絡架構邊界劃分不明確，有部分邊界網絡直接接入核心交換設備。而外部二層網絡的直接接入，使核心網絡容易受到復雜二層網絡環境帶來的沖擊，也給一系列二層網絡攻擊創造了可能。

（四）安全機制欠缺

現有網絡各交換機空閑端口處于開放狀態，同時，缺少設備準入機制，缺乏IP地址欺騙攻擊防御手段，為攻擊者提供了可乘之機，給執法者溯源造成了困難。此外，區域間缺少相應的訪問安全策略，使木馬、病毒通過高危端口擴散成為可能。

三、規劃設計

根據需求分析，核心網絡架構主要從以下幾個方面進行優化。

（一）網絡結構規劃

1.備份鏈路設計

為避免主要業務鏈路出現單節點，在原有結構基礎上增加一臺核心交換機和路由器。如圖1所示，路由器和核心交換機間采用交叉上聯的方式接線，以降低雙節點故障風險。確保多路徑的開銷值一致，以實現遠程監控業務鏈路負載均衡。

2.區域劃分

新的網絡結構區域劃分如圖1所示。將原服務器區域切割成服務器區和安全區，同時明確邊界區域，將所有邊界網絡由邊界防火墻接入，多個其它業務用trunk方式上連至核心交換機，以VLAN標簽區分不同業務流量。為避免外部二層網絡接入核心交換機，上連接口須配置成三層以太網接口。其它業務網絡因存在多個VLAN接入，其對應三層接口須配置相應的Dot1q終結子接口，對報文VLAN標簽進行識別。

（二）鏈路冗余與負載分擔

1.MSTP設計

采用冗余鏈路設計來提高網絡可靠性的同時，必然會使網絡產生多個環路。現今的企業級交換設備一般會默認開啟RSTP或MSTP協議破除環路，MSTP默認所有VLAN在instance 0下運行，本質與RSTP無異。然而RSTP雖在STP的基礎上做了多處改進，大幅提升了生成樹收斂速度，但RSTP仍存在所有VLAN共享一顆生成樹的弊端，無法利用冗余鏈路實現負載分擔，且在部分情況下會造成某些VLAN通信異常。如圖2所示，假設SW2、SW3為核心交換機，SW1、SW4為接入交換機，經RSTP 計算后SW3的0/2口處于阻塞狀態，此時VLAN2內成員設備就無法訪問處于SW3的VLANIF2接口，且網絡內所有流量只有一條路徑可尋，無法進行負載分擔。因此，須為網絡內所有交換機配置MSTP實例與VLAN的映射關系，并指定核心交換機1、2為不同實例下的主備根橋，實現二層負載分擔。最后，將與終端直接相連的端口配置為邊緣端口，終端設備接入時不進行MSTP計算，提高終端接入速度。

圖2 部分區域示意

2.VRRP設計

VRRP是一種虛擬路由冗余協議，在交換設備不具備堆疊條件的情況下，VRRP技術是實現冗余網關的最佳途徑。通過為兩臺核心交換機的VLANIF接口創建VRRP備份組，來實現網關冗余備份，并通過設定優先級來合理配置不同VLAN下的主備網關。VRRP和MSTP聯合組網時，須保證相同VLAN下主備網關的設置與MSTP的主備根橋保持一致，原因如圖2所示。SW2為VLAN 3所屬MSTP實例的根橋，該MSTP實例在SW3的0/2口被阻塞，而SW3為VLANIF 3的Master，當來自SW4的設備向VLAN 3網關轉發數據時，數據需經過SW2、SW1才能最終到達SW3，使核心交換機間產生了不必要的流量。因此，MSTP/VRRP規劃如表1所示。

表1 MSTP/VRRP規劃表

3.策略路由設計

現網采用OSPF技術實現三層通信，由于在路由器和核心交換機之間規劃了互為冗余的等價鏈路，在路由器上必然會出現兩條去往同一目的區域且開銷相同，下跳地址分別為核心交換機1和2的等價路由條目，從而形成負載均衡。由于下跳地址的不確定性，會出現類似上一小節提到的場景。如圖2所示，一條目的地址屬于VLAN3所在網段的IP報文由路由器R流入，其訪問對象由SW4接入。該報文有兩條等價路由可以選擇，下跳地址分別是SW2、SW3的接口地址，若經SW3轉發，該報文需經過SW1、SW2才能最終到達SW4，產生了不必要的流量。因此，拓撲改造后需要在核心路由器上配置策略路由，通過ACL匹配報文的目的地址，為報文選擇下跳地址。當策略路由定義的下跳地址不存在時，會自動轉為按路由表轉發，實現故障切換。

（三）接口保護和安全策略

1.基于靜態綁定的IPSG

為確保未授權設備不能接入內網，防止地址欺騙攻擊，須在所有接入交換機端口配置基于IP、MAC、接口靜態綁定的IPSG。不能通過IPSG表項匹配檢查的設備均無法接入網絡。需注意若服務器區和安全區存在虛擬化集群，其動態資源分配功能會導致虛擬機的網絡上行接口動態變更。因此，在設計服務器區和安全區交換機的靜態綁定表時，應采用N:1的IP和MAC綁定方式。

2.OSPF安全優化

在核心交換機和路由器OSPF區域啟用基于HMACMD5驗證模式的區域驗證，同時對核心交換機區域的VLANIF配置OSPF靜默功能，禁止這些接口收發路由信息，從而提高OSPF網絡的安全性。

3.高危端口過濾

在各個區域VLAN的出方向應用報文過濾，通過ACL規則對使用知名高危端口進行通信的報文進行匹配并阻止通過，以防止病毒、木馬通過高危端口在區域間進行傳播，同時，強制關閉空閑物理接口，以強化信息系統網絡安全性。

四、部署和驗證

根據上述優化方案，對遠程監控系統核心網絡進行配置部署，并對負載分擔和故障切換功能進行驗證展示。

（一）區域劃分配置

按表1為網絡內所有設備配置VLAN、網關IP，并配置OSPF確保路由器和各區域間路由可達。須將核心交換機邊界接口配置成三層接口，其它業務網絡上連口配置成Dot1q終結子接口。以核心交換機1部分接口為例，如圖3。

圖3 三層接口和Dot1q終結配置

（二）負載分擔配置

根據表1規劃，首先為二層網絡交換設備配置MSTP基本功能，再為各MSTP實例配置主備根橋，并在核心交換機上創建VRRP備份組。以核心交換機2、VLANIF101為例，核心交換機2為實例2、4的主根橋，其在VLANIF101的VRRP備份組內為Master，配置如圖4。因核心交換機1為該備份組的Backup，僅需配置vrrp vrid 101 virtual-ip 10.170.1.254即可。

圖4 主備根橋/VRRP備份組配置

最后則需要為路由器配置策略路由，為訪問內部網絡各區域的報文合理選擇下跳地址，以路由器1為例，如圖5。

（三）接口保護和安全策略配置

在各區域接入交換機配置IPSG靜態綁定表，如：user-bind static ip-address 10.170.2.11 macaddress 5489-9821-4486 interface g0/0/3，并在其所屬VLAN上使能IPSG。然后為所有OSPF設備統一配置區域驗證，如：authentication-mode hmac-md5 1 cipher Abc@123，并在OSPF進程界面下為沒有OSPF鄰居的接口配置OSPF靜默功能，如：silentinterface Vlanif100。最后創建ACL對訪問高危端口的報文進行匹配，在核心交換機各區域VLAN出方向應用traffic-policy，實現對區域間報文進行過濾，并關閉空閑接口。

圖5 策略路由配置

（四）驗證

完成配置后，使用display stp命令查看所有instance的主備根橋，同時使用display vrrp brief命令查看所有VRRP備份組的角色，并以核心交換機2為例，如圖6，可以看到選舉結果如之前規劃。

圖6 MSTP/VRRP選舉結果

使用VLAN101/102內的Server2和PC向位于路由器1上的Server1發出ping請求，分別對核心交換機1的G0/0/1口和核心交換機2的G0/0/2口抓包，可以看到從VLAN102發出的ping請求和應答全部流經核心交換機1的G0/0/1，而VLAN101則相反，說明MSTP、VRRP、策略路由聯合組網的負載分擔策略可達預期效果。

圖7 故障切換結果

將核心交換機1斷電，模擬故障，此時所有流量轉移至核心交換機2所在鏈路，網絡恢復正常。通過對命令查看MSTP和VRRP備份組的狀態，如圖7，可以看出故障切換符合預期。

五、總結

遠程監控系統核心網絡的升級優化方案能夠大幅降低單點故障帶來的風險，有效利用了冗余資源進行負載分擔，并提高了安全性和可維護性，為將來進一步的網絡優化工作提供了基礎。