您好, 访客   登录/注册

基于多层重定向构建虚拟专网策略

来源:用户上传      作者: 陈 松

  [摘要] 校园网应用服务多样性和安全性要求在原有网络平台上建立逻辑的私有网络。基于多层网络协议通过重定向策略有效转发私有网络数据包,严格控制私有网络节点安全性。相互独立虚拟专网在同一物理网络平台上得以实现。
  [关键词] 路由 多层重定向 专网 IP地址 封包转发
  
  一、引言
  校园网拓扑为双机冗余备份核心交换与主汇聚交换通信采用OSPF路由协议,楼间汇聚通过Trunk口上联主汇聚。内网全部采用真实教育网IP地址,骨干网带宽千兆,接入带宽百兆。校园网服务多样性要求建立私有网络服务,例如视频监控服务,一卡通服务,室温控制服务等。这些网络服务要求安全性,稳定性,健壮性比较高,理想状态是建设专有物理网络,但会急剧增加网络建设开销,同时网络带宽没有充分利用,造成带宽资源严重浪费。私有网络服务的终端设备大部分是集成的硬件设备,采用VPN不适宜。这就要求在原有网络平台上建设逻辑上独立的专有网络提供服务。保证专网服务安全可靠稳定运行同时,确保专网运行的严格独立性。
  本文提出采用多层重定向技术构建虚拟专网,保证各专网相对独立,有效阻止原有网络节点访问专网服务和终端。
  二、基于多层重定向策略构建虚拟专网
  建立虚拟专网需解决3个技术关键点。确保原有网络正常运转,专网运行不能影响原有网络服务;专网运行独立性,原有网络节点和专网节点不允许互访;专网之间逻辑隔离,每个专网作为一个子集,子集和子集之间没有交集,共享同一网络物理基础平台。通常IP封包的转发需要路由协议,校园网和各专网同在公共物理网络环境中,都参加路由势必造成互访。重定向根据交换机端口,MAC地址,VLAN,IP及更上层协议进行高速转发数据,解决路由只针对目的地址进行选路的缺陷。基于多层协议重定向避开路由协议选路构建专网,各专网独自运行,互不干涉。
  1.基于三层的重定向
  校园内网有公网和教育网出口,其终端地址是真实教育网IP地址,公网和教育网用户可以访问到校园内网终端。出于安全考虑彻底隔离专网外界通信,专网节点全部设置成保留IP地址,公网和教育网的伪造专网IP封包被有效屏蔽。专网服务器接入核心交换,其IP地址段避免参加OSPF路由协议收敛。此核心交换接入物理端口作为专网服务唯一通道进行IP封包转发。严格控制专网服务器IP地址段重定向流向,重定向范围控制在专网本身节点IP地址段。核心交换启用扩展ACL列表控制专网服务器和终端IP地址段。专网终端和服务器通信特点是星型结构,即终端地址段只与服务器地址段进行通信,终端地址段之间不进行通信。源地址是服务器IP地址段的数据流只分发到相应与主汇聚相连的专网终端。基于三层扩展ACL列表规则只允许源地址是专网服务器IP地址段,目的地址只允许本专网终端地址段,其他地址段不允许参加重定向。
  rule permit ip source 服务器地址段 destination 终端地址段
  rule deny ip
  核心交换接入物理端口上设置专网封包控制与限制,并通过三层重定向把专网服务器的IP封包分发到相应主汇聚。
  packet-filter inbound 三层扩展列表
  traffic-redirect inbound 扩展列表 next-hop 相应主汇聚
  同理主汇聚交换设置ACL列表屏蔽其他网络IP地址段,只允许本专网IP地址段数据封包进行数据交换。应用形式与私有网络服务器重定向方向相反。
  这样实现了从私有网络服务器发出的数据包能够安全可靠到达自己私有网络的终端,同理在相反的方向上设置三层重定向策略,便可以把从私有网络终端发出的IP封包转发到私有网络服务器。可以看出私有网络的IP封包没有参加原有网络的路由,数据包是直接在两个私有网络节点之间进行有效的重定向传输,并且屏蔽了其他网络的IP封包,有效实现了私有网络在同一物理网络平台和其他网络的逻辑隔离。
  2.基于二层的重定向
  为保证私有网络的数据包快速进行转发,防止非法私有网络的伪IP终端进行私有网络的访问,对于关键性私有网络终端节点采用二层重定向的技术进行数据包转发。有效控制私有网络节点MAC地址。非法私有网络终端伪造IP地址进行访问被严格杜绝。
  楼间汇聚绑定私有网络终端的IP-MAC地址对,定义基于二层的ACL列表严格控制专网终端,然后进行基于二层的数据包重定向转发。
  am user-bind ip-addr 终端IP地址 mac-addr 终端物理地址
  rule permit ingress 终端物理地址 egress any
  traffic-redirect 二层ACL列表 interface 主汇聚端口
  首先通过私有网络终端的MAC地址来限定其IP地址,非法终端伪造的伪IP地址数据包会被屏蔽掉,而合法的IP封包会通过二层重定向快速转发到主汇聚交换上,从而使数据封包得到快速有效转发。这样主汇聚交换上就得到真实的IP封包再进行三层重定向转发,从而充分保证了私有网络节点的数据与通信安全性。
  三、结论
  通过基于策略的三层重定向,实现了各私有网络IP封包的有效转发,而没有参加原有网络的路由选路。再通过基于二层的重定向策略,提供IP-MAC地址对绑定的安全机制有效转发数据封包,充分保证私有网络的节点安全性。这样实现了校园内网各自私有网络的隔离而运行在同一个基础网络平台上,并且达到私有网络本身的各个节点安全快速访问的目的。
  参考文献:
  [1]李伟编:网络安全实用技术标准教程[M].北京:清华大学出版社,2005:134~136
  [2]杨富国:计算机网络安全应用基础[M].北京:清华大学出版社,2005:176~182
  [3]吴军强:局域网内IP地址防盗技术研究[J].计算机系统应用,2008(3):73~76


转载注明来源:https://www.xzbu.com/3/view-1484591.htm