倉(cāng)儲(chǔ)物流集團(tuán)廣域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)
信息來源: 發(fā)布時(shí)間:2021-12-07 點(diǎn)擊數(shù):
1 業(yè)務(wù)背景與需求
蘇州某倉(cāng)儲(chǔ)物流集團(tuán)目前在蘇州建有大型的倉(cāng)儲(chǔ)和物流中心, 并在昆山市玉山建有分支機(jī)構(gòu)����。根據(jù)業(yè)務(wù)發(fā)展的需要, 需要在吳江市松陵和張家港市楊舍建立新的辦事處, 在建設(shè)分部的同時(shí)需要對(duì)蘇州總部的總部所在的網(wǎng)絡(luò)進(jìn)行安全升級(jí)加固��。
1.1 業(yè)務(wù)特征與網(wǎng)絡(luò)現(xiàn)狀
當(dāng)前蘇州總部的網(wǎng)絡(luò)系統(tǒng)承載了公司的核心數(shù)據(jù)流業(yè)務(wù), 集團(tuán)的倉(cāng)儲(chǔ)物流管理系統(tǒng)WMS�����、辦公OA系統(tǒng)��、ERP系統(tǒng)���、CRM系統(tǒng)、EDI系統(tǒng)所構(gòu)成的數(shù)據(jù)中心均在蘇州總部, 目前蘇州總部的所有核心業(yè)務(wù)服務(wù)器系統(tǒng)及辦公網(wǎng)絡(luò)子系統(tǒng)、無線網(wǎng)絡(luò)子系統(tǒng)均下掛于兩臺(tái)Cisco 4948核心交換機(jī)��。出口路由器使用兩臺(tái)Cisco 3825, 通過租用電信網(wǎng)絡(luò)和聯(lián)通網(wǎng)絡(luò)兩路鏈路接入Internet, 聯(lián)通鏈路為備份。核心交換機(jī)與出口路由器之間通過兩臺(tái)ASA 5520防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)流量的安全防護(hù)[1], 在ASA防火墻上劃分出DMZ區(qū), 供外網(wǎng)訪問的企業(yè)Web門戶網(wǎng)站和郵件服務(wù)器均位于此區(qū)域[2]。總部的服務(wù)器中的B 2B系統(tǒng)實(shí)現(xiàn)和上游、下游企業(yè)之間的訂單數(shù)據(jù)接收和發(fā)送等功能�。
玉山分部的工作人員可以通過廣域網(wǎng)專線遠(yuǎn)程訪問蘇州總部的業(yè)務(wù)系統(tǒng), 玉山同時(shí)也作為總部的數(shù)據(jù)備份中心蘇州總部的業(yè)務(wù)中心的服務(wù)器中的新的數(shù)據(jù)按照要求定時(shí)轉(zhuǎn)發(fā)到玉山機(jī)房實(shí)現(xiàn)異地備份。
1.2 當(dāng)前廣域網(wǎng)業(yè)務(wù)需求
根據(jù)業(yè)務(wù)需求, 此次在吳江市松陵和張家港市楊舍兩處新建立的分部辦事處, 需要通過廣域網(wǎng)遠(yuǎn)程登錄公司網(wǎng)站訪問總部?jī)?nèi)外網(wǎng)系統(tǒng)的數(shù)據(jù)�。集團(tuán)希望這兩個(gè)辦事處員工從廣域網(wǎng)數(shù)據(jù)訪問時(shí), 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)能夠提供高安全和較高的性價(jià)比。
考慮目前上游����、下游企業(yè)之間的數(shù)據(jù)傳輸是通過廣域網(wǎng)實(shí)現(xiàn)的, 需要對(duì)這部分?jǐn)?shù)據(jù)實(shí)現(xiàn)必要的安全加固, 同時(shí)需要滿足企業(yè)負(fù)責(zé)人���、部分信任合作企業(yè)服務(wù)器數(shù)據(jù)系統(tǒng)能夠直接訪問位于ASA防火墻內(nèi)網(wǎng)的服務(wù)器系統(tǒng)���。
2 網(wǎng)絡(luò)總體方案規(guī)劃
網(wǎng)絡(luò)總體方案規(guī)劃主要包括廣域網(wǎng)方案和安全方案兩個(gè)大類的設(shè)計(jì), 設(shè)計(jì)方案的總體拓?fù)鋱D如圖1所示��。
圖1 網(wǎng)絡(luò)總體設(shè)計(jì)方案 下載原圖
2.1 廣域網(wǎng)方案設(shè)計(jì)分析
根據(jù)需求分析, 目前松陵、楊舍的辦事處規(guī)模及業(yè)務(wù)數(shù)據(jù)流量較小, 對(duì)于采用2M以上廣域網(wǎng)專線的方案雖然傳輸速率有保障但每年費(fèi)用較高, 故未采納����。而目前電信ADSL或廣電CableModem網(wǎng)絡(luò)技術(shù)成熟且應(yīng)用范圍廣泛, 廣域網(wǎng)絡(luò)線路投資費(fèi)用較低, 更適合于松陵、楊舍這樣的小型辦事機(jī)構(gòu)[3]。
蘇州總部目前的出口路由器上行的廣域網(wǎng)是電信網(wǎng)絡(luò), 考慮到不同ISP網(wǎng)絡(luò)互訪存在訪問速度不定的延時(shí)等問題, 故建議在松陵�����、楊舍兩處采用電信的ADSL線路���。出口路由器的方案實(shí)施考慮過兩種情形, 一種是用目前具備路由功能的ADSL產(chǎn)品作為基本路由器, 另一種是購(gòu)置專用路由器承擔(dān)路由的功能����??紤]到今后辦事處后期業(yè)務(wù)的擴(kuò)展、語(yǔ)音等其他新業(yè)務(wù)數(shù)據(jù)的支持, 普通的路由型ADSL設(shè)備不能夠提供上述業(yè)務(wù)支持, 故此次采用思科2821路由器用于兩個(gè)新建辦事處的出口路由器設(shè)備�。Cisco 2821作為工業(yè)級(jí)的分支機(jī)構(gòu)路由器, 較其他類型產(chǎn)品提供了更高的穩(wěn)定性和更大的擴(kuò)展性����。
對(duì)于ADSL接口實(shí)現(xiàn)的問題, 方案實(shí)施過程中也考慮過兩種情況, 第一種是在Cisco 2821路由器上加上WIC-1ADSL模塊, 讓路由器的WIC-1ADSL模塊接口直接接入電信POST;第二種是購(gòu)買專用橋接型ADSL設(shè)備, 路由器作為橋接型ADSL設(shè)備的下行設(shè)備, 由ADSL接入電信POST����。這兩種方案都可以實(shí)現(xiàn)分支機(jī)構(gòu)通過線路訪問但價(jià)格第二種占優(yōu)勢(shì)客戶在比較性價(jià)比后最終要求采用第二種方案ADSL設(shè)備選用了D-Link的DSL-2300E設(shè)備, 該產(chǎn)品支持ADSL2/ADSL2+, 在長(zhǎng)距離上可達(dá)到5.4公里傳輸距離, 可擁有更佳的覆蓋距離及范圍, 能夠滿足此次項(xiàng)目的需求。
2.2 廣域網(wǎng)訪問安全設(shè)計(jì)分析
對(duì)于松陵�、楊舍辦事處訪問蘇州總部安全性的需求, 及企業(yè)負(fù)責(zé)人����、合作企業(yè)服務(wù)器系統(tǒng)需要從互聯(lián)網(wǎng)訪問蘇州總部?jī)?nèi)網(wǎng)服務(wù)器的需求, 可以從總部的網(wǎng)絡(luò)系統(tǒng)上進(jìn)行安全數(shù)據(jù)加固配置或進(jìn)行網(wǎng)絡(luò)升級(jí)改造的方式來解決。
利用ASA 5520自帶的IPSecVPN功能[4], 可以為外網(wǎng)750個(gè)用戶提供基于IPSecVPN的并發(fā)連接, 但I(xiàn)PSecVPN需要在每個(gè)客戶端安裝客戶端軟件并進(jìn)行配置;如果使用ASA 5520的SSLVPN功能或購(gòu)買獨(dú)立的SSLVPN產(chǎn)品, 則需要額外的購(gòu)買費(fèi)用�。根據(jù)當(dāng)前VPN訪問對(duì)需求的滿足及兩種VPN方案費(fèi)用對(duì)比, 用戶建議傾向于利用ASA 5520自帶的IPSecVPN功能先行完成安全數(shù)據(jù)傳輸功能, 待以后業(yè)務(wù)發(fā)展網(wǎng)絡(luò)需升級(jí)時(shí)再行考慮SSLVPN[5]的部署??紤]到松陵�����、楊舍辦事處互聯(lián)網(wǎng)訪問實(shí)際情況, 從對(duì)內(nèi)網(wǎng)的安全加固需要出發(fā)在Cisco 2821下掛一臺(tái)ASA 5510防火墻, 以實(shí)現(xiàn)對(duì)辦事處內(nèi)部的數(shù)據(jù)業(yè)務(wù)安全保護(hù)����。
3 網(wǎng)絡(luò)實(shí)施
3.1 廣域網(wǎng)實(shí)施
3.1.1 PPPoE技術(shù)原理
PPP協(xié)議作為廣域網(wǎng)協(xié)議擴(kuò)展了HDLC協(xié)議結(jié)構(gòu), 通過在數(shù)據(jù)包中提供LCP�����、NCP和數(shù)據(jù)幀的功能提供撥號(hào)連接�����、串行連接及DSL連接�����。
目前中國(guó)電信PPPoE網(wǎng)絡(luò)結(jié)構(gòu)原理如圖2所示, 以此次實(shí)施的方案為例, 分支機(jī)構(gòu)辦事處的分頻器下聯(lián)至ADSL設(shè)備和電話, 上聯(lián)到電信的DSLAM設(shè)備, 由DSLAM將低頻語(yǔ)言信號(hào)��、高頻數(shù)字信號(hào)分別轉(zhuǎn)發(fā)到PSTN網(wǎng)絡(luò)和IP寬帶接入網(wǎng)����。經(jīng)過RADIUS服務(wù)器驗(yàn)證用戶名和密碼的合法性后, 最后由BRAS/BAS計(jì)費(fèi)網(wǎng)關(guān)設(shè)備終結(jié)PPPoE數(shù)據(jù), 以后數(shù)據(jù)就通過IP城域網(wǎng)或IP骨干網(wǎng)轉(zhuǎn)發(fā)至目標(biāo)地�����。
圖2 PPPoE網(wǎng)絡(luò)結(jié)構(gòu)原理圖 下載原圖
類似于PPP協(xié)議, PPPoE協(xié)議會(huì)話也有建立和初始化鏈路階段, 但作為基于以太網(wǎng)的協(xié)議, 在初始化過程中增加了發(fā)現(xiàn)和會(huì)話階段����。PPPoE協(xié)議的發(fā)現(xiàn)階段是為了識(shí)別DSLAM設(shè)備的MAC地址, 完成此步操作后CPE路由器就和DSLAM設(shè)備都獲取了建立連接關(guān)系所需的信息�����。PPPoE協(xié)議會(huì)話階段將協(xié)商PP-PoE的MRU凈載荷 (數(shù)據(jù)域) , 以太網(wǎng)的MTU為1500字節(jié), PPPoE的頭部6個(gè)字節(jié)和協(xié)議字段2個(gè)字節(jié)需要占用, 故MRU在CPE路由器上需要設(shè)置為1492個(gè)字節(jié)���。
3.1.2 Cisco路由器PPPoE實(shí)現(xiàn)
配置過程中, 首先在2821路由器上為PPPoE配置以太網(wǎng)接口, 此次分支機(jī)構(gòu)使用Gig0/0端口作為外網(wǎng)接口連接使用端口連接防火墻配置見圖3��。
圖3 PPPoE配置以太網(wǎng)口 下載原圖
圖4表示了在2821設(shè)備上撥號(hào)器接口的配置����。2821路由器作為CPE設(shè)備, 其外網(wǎng)撥號(hào)接口的地址IP需要由電信提供�。其中PPP認(rèn)證采用的是PAP方式, ADSL驗(yàn)證所用的用戶名和密碼圖中用“*”號(hào)省略表示。由于Dailer0作為連接電信的邏輯接口, 需要配置缺省路由, 將路由器上的缺省目標(biāo)地址將都轉(zhuǎn)發(fā)到Dailer0接口�。
圖4 PPPoE配置撥號(hào)器接口 下載原圖
2811路由器作為內(nèi)網(wǎng)和外網(wǎng)的連接設(shè)備, 需要通過NAT技術(shù)實(shí)現(xiàn)地址轉(zhuǎn)換以保證內(nèi)部網(wǎng)絡(luò)可以訪問外部互聯(lián)網(wǎng), 配置中Gig0/1作為inside端口, Dialer0作為outside端口, Dialer0從電信所獲取的地址將用于內(nèi)網(wǎng)設(shè)備訪問互聯(lián)網(wǎng)時(shí)源地址轉(zhuǎn)換, 配置如圖5所示。
3.2 VPN實(shí)施
3.2.1 IPSecVPN技術(shù)原理
VPN (VirtualPrivateNetwork) , 是在ISP提供的公網(wǎng)中通過提供一個(gè)安全和穩(wěn)定的隧道, 為數(shù)據(jù)流量建立一個(gè)臨時(shí)且安全的鏈路�����。VPN所建立的鏈路兩端沒有傳統(tǒng)的端到端的物理鏈路, 而是利用公網(wǎng)資源動(dòng)態(tài)建立實(shí)現(xiàn), 通過對(duì)數(shù)據(jù)加密、驗(yàn)證和身份識(shí)別等多種技術(shù), 在企業(yè)廣域網(wǎng)訪問過程中實(shí)現(xiàn)高的安全和可靠性����。
IPSec協(xié)議作為VPN技術(shù)中的一種, 提供了強(qiáng)大的安全、加密����、認(rèn)證和密鑰管理功能, 其工作于三層協(xié)議, 可以直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包[6]�����。
3.2.2 ASA防火墻IPSecVPN實(shí)現(xiàn)
遠(yuǎn)程接入客戶端的驗(yàn)證可以在本地, 也可以在AAA服務(wù)器中實(shí)現(xiàn)[4]�����?�?紤]到項(xiàng)目中的VPN客戶數(shù)目分類不多且訪問對(duì)象單一驗(yàn)證工作就放在防火墻中執(zhí)行為張家港楊舍辦事處創(chuàng)建的賬號(hào)和分配的地址池如圖6所示����。
圖6 增加VPN用戶賬號(hào)和地址池 下載原圖
ISAKMP (Internet安全關(guān)聯(lián)和密鑰管理協(xié)議) 作為IPsecVPN體系中的一種主要協(xié)議, 定義了VPN雙方建立, 協(xié)商, 修改和刪除安全連接的程序和信息包格式[7]。項(xiàng)目中ASA防火墻為遠(yuǎn)程訪問的用戶配置ISAKMP階段1策略如圖7所示�。
ASA防火墻中的變換集所體現(xiàn)的是安全協(xié)議和算法的一個(gè)特定組合, 該組合用于規(guī)定流量的安全策略���。在IKE階段2必須完成建立動(dòng)態(tài)加密映射dynamic-map, 并在靜態(tài)映射map中引用動(dòng)態(tài)加密映射dynamic-map。該執(zhí)行過程如圖8所示��。
圖8 配置動(dòng)態(tài)加密映射 下載原圖
篇幅所限, IPSecVPN創(chuàng)建過程中涉及的組策略�、隧道組定義及和VPN有關(guān)的ACL等幾個(gè)部分不再此處一一列出。
3.2.3 用戶訪問安全實(shí)現(xiàn)
為保證集團(tuán)網(wǎng)絡(luò)的安全可靠, 在總部及各個(gè)分支機(jī)構(gòu)的接入層交換機(jī)上配置交換機(jī)自動(dòng)學(xué)習(xí)MAC地址并做MAC地址綁定, 對(duì)連接終端的交換機(jī)接口一律配置為portfast以加速STP的收斂速度, 配置如圖9所示���。同時(shí)在接入層和匯聚層交換機(jī)中啟用了基于VLAN���、IP、端口的ACL安全訪問控制, 以保證數(shù)據(jù)訪問的安全可靠�����。
圖9 配置交換機(jī)MAC地址綁定 下載原圖
在上述安全實(shí)施的基礎(chǔ)上, 總部及玉山各自借助在本地網(wǎng)絡(luò)中一臺(tái)已架設(shè)Windows2003Server的服務(wù)器上啟用Radius服務(wù)器功能, 對(duì)所有進(jìn)入接入層交換機(jī)的數(shù)據(jù)流量進(jìn)行基于端口的802.1x認(rèn)證, 在提高安全認(rèn)證效率同時(shí)最大限度保證網(wǎng)絡(luò)安全性, 總部接入層交換機(jī)802.1x認(rèn)證配置如圖10����、圖11所示。
圖1 0 配置交換機(jī)在啟用Radius服務(wù)器進(jìn)行802.1x認(rèn)證 下載原圖
圖1 1 配置交換機(jī)端口啟用802.1x認(rèn)證 下載原圖
4 結(jié)束語(yǔ)
該存儲(chǔ)物流集團(tuán)網(wǎng)絡(luò)改造實(shí)施后的廣域網(wǎng)和VPN技術(shù)滿足了企業(yè)日常業(yè)務(wù)數(shù)據(jù)需求�。目前, 蘇州總部ASA 5520可以承擔(dān)750個(gè)并發(fā)IPSecVPN訪問, 如果以后VPN用戶數(shù)目超過這個(gè)范圍, 建議購(gòu)置專用的SSLVPN設(shè)備。玉山目前承擔(dān)總部數(shù)據(jù)備份工作, 考慮到今后業(yè)務(wù)數(shù)據(jù)流量增加, 可以考慮增加廣域網(wǎng)加速器在不擴(kuò)充廣域網(wǎng)鏈路帶寬的前提下可以有效提升廣域網(wǎng)數(shù)據(jù)傳輸效率���。
