倉儲物流集團廣域網(wǎng)設計與實現(xiàn)
信息來源: 發(fā)布時間:2021-12-07 點擊數(shù):
1 業(yè)務背景與需求
蘇州某倉儲物流集團目前在蘇州建有大型的倉儲和物流中心, 并在昆山市玉山建有分支機構(gòu)。根據(jù)業(yè)務發(fā)展的需要, 需要在吳江市松陵和張家港市楊舍建立新的辦事處, 在建設分部的同時需要對蘇州總部的總部所在的網(wǎng)絡進行安全升級加固�����。
1.1 業(yè)務特征與網(wǎng)絡現(xiàn)狀
當前蘇州總部的網(wǎng)絡系統(tǒng)承載了公司的核心數(shù)據(jù)流業(yè)務, 集團的倉儲物流管理系統(tǒng)WMS�����、辦公OA系統(tǒng)��、ERP系統(tǒng)�、CRM系統(tǒng)�、EDI系統(tǒng)所構(gòu)成的數(shù)據(jù)中心均在蘇州總部, 目前蘇州總部的所有核心業(yè)務服務器系統(tǒng)及辦公網(wǎng)絡子系統(tǒng)、無線網(wǎng)絡子系統(tǒng)均下掛于兩臺Cisco 4948核心交換機���。出口路由器使用兩臺Cisco 3825, 通過租用電信網(wǎng)絡和聯(lián)通網(wǎng)絡兩路鏈路接入Internet, 聯(lián)通鏈路為備份����。核心交換機與出口路由器之間通過兩臺ASA 5520防火墻實現(xiàn)內(nèi)外網(wǎng)絡數(shù)據(jù)流量的安全防護[1], 在ASA防火墻上劃分出DMZ區(qū), 供外網(wǎng)訪問的企業(yè)Web門戶網(wǎng)站和郵件服務器均位于此區(qū)域[2]?��?偛康姆掌髦械腂 2B系統(tǒng)實現(xiàn)和上游����、下游企業(yè)之間的訂單數(shù)據(jù)接收和發(fā)送等功能�。
玉山分部的工作人員可以通過廣域網(wǎng)專線遠程訪問蘇州總部的業(yè)務系統(tǒng), 玉山同時也作為總部的數(shù)據(jù)備份中心蘇州總部的業(yè)務中心的服務器中的新的數(shù)據(jù)按照要求定時轉(zhuǎn)發(fā)到玉山機房實現(xiàn)異地備份。
1.2 當前廣域網(wǎng)業(yè)務需求
根據(jù)業(yè)務需求, 此次在吳江市松陵和張家港市楊舍兩處新建立的分部辦事處, 需要通過廣域網(wǎng)遠程登錄公司網(wǎng)站訪問總部內(nèi)外網(wǎng)系統(tǒng)的數(shù)據(jù)����。集團希望這兩個辦事處員工從廣域網(wǎng)數(shù)據(jù)訪問時, 網(wǎng)絡系統(tǒng)設計能夠提供高安全和較高的性價比。
考慮目前上游�、下游企業(yè)之間的數(shù)據(jù)傳輸是通過廣域網(wǎng)實現(xiàn)的, 需要對這部分數(shù)據(jù)實現(xiàn)必要的安全加固, 同時需要滿足企業(yè)負責人、部分信任合作企業(yè)服務器數(shù)據(jù)系統(tǒng)能夠直接訪問位于ASA防火墻內(nèi)網(wǎng)的服務器系統(tǒng)���。
2 網(wǎng)絡總體方案規(guī)劃
網(wǎng)絡總體方案規(guī)劃主要包括廣域網(wǎng)方案和安全方案兩個大類的設計, 設計方案的總體拓撲圖如圖1所示����。
圖1 網(wǎng)絡總體設計方案 下載原圖
2.1 廣域網(wǎng)方案設計分析
根據(jù)需求分析, 目前松陵��、楊舍的辦事處規(guī)模及業(yè)務數(shù)據(jù)流量較小, 對于采用2M以上廣域網(wǎng)專線的方案雖然傳輸速率有保障但每年費用較高, 故未采納�。而目前電信ADSL或廣電CableModem網(wǎng)絡技術成熟且應用范圍廣泛, 廣域網(wǎng)絡線路投資費用較低, 更適合于松陵、楊舍這樣的小型辦事機構(gòu)[3]����。
蘇州總部目前的出口路由器上行的廣域網(wǎng)是電信網(wǎng)絡, 考慮到不同ISP網(wǎng)絡互訪存在訪問速度不定的延時等問題, 故建議在松陵�、楊舍兩處采用電信的ADSL線路�。出口路由器的方案實施考慮過兩種情形, 一種是用目前具備路由功能的ADSL產(chǎn)品作為基本路由器, 另一種是購置專用路由器承擔路由的功能??紤]到今后辦事處后期業(yè)務的擴展、語音等其他新業(yè)務數(shù)據(jù)的支持, 普通的路由型ADSL設備不能夠提供上述業(yè)務支持, 故此次采用思科2821路由器用于兩個新建辦事處的出口路由器設備��。Cisco 2821作為工業(yè)級的分支機構(gòu)路由器, 較其他類型產(chǎn)品提供了更高的穩(wěn)定性和更大的擴展性��。
對于ADSL接口實現(xiàn)的問題, 方案實施過程中也考慮過兩種情況, 第一種是在Cisco 2821路由器上加上WIC-1ADSL模塊, 讓路由器的WIC-1ADSL模塊接口直接接入電信POST;第二種是購買專用橋接型ADSL設備, 路由器作為橋接型ADSL設備的下行設備, 由ADSL接入電信POST��。這兩種方案都可以實現(xiàn)分支機構(gòu)通過線路訪問但價格第二種占優(yōu)勢客戶在比較性價比后最終要求采用第二種方案ADSL設備選用了D-Link的DSL-2300E設備, 該產(chǎn)品支持ADSL2/ADSL2+, 在長距離上可達到5.4公里傳輸距離, 可擁有更佳的覆蓋距離及范圍, 能夠滿足此次項目的需求���。
2.2 廣域網(wǎng)訪問安全設計分析
對于松陵���、楊舍辦事處訪問蘇州總部安全性的需求, 及企業(yè)負責人、合作企業(yè)服務器系統(tǒng)需要從互聯(lián)網(wǎng)訪問蘇州總部內(nèi)網(wǎng)服務器的需求, 可以從總部的網(wǎng)絡系統(tǒng)上進行安全數(shù)據(jù)加固配置或進行網(wǎng)絡升級改造的方式來解決���。
利用ASA 5520自帶的IPSecVPN功能[4], 可以為外網(wǎng)750個用戶提供基于IPSecVPN的并發(fā)連接, 但IPSecVPN需要在每個客戶端安裝客戶端軟件并進行配置;如果使用ASA 5520的SSLVPN功能或購買獨立的SSLVPN產(chǎn)品, 則需要額外的購買費用。根據(jù)當前VPN訪問對需求的滿足及兩種VPN方案費用對比, 用戶建議傾向于利用ASA 5520自帶的IPSecVPN功能先行完成安全數(shù)據(jù)傳輸功能, 待以后業(yè)務發(fā)展網(wǎng)絡需升級時再行考慮SSLVPN[5]的部署���?���?紤]到松陵、楊舍辦事處互聯(lián)網(wǎng)訪問實際情況, 從對內(nèi)網(wǎng)的安全加固需要出發(fā)在Cisco 2821下掛一臺ASA 5510防火墻, 以實現(xiàn)對辦事處內(nèi)部的數(shù)據(jù)業(yè)務安全保護����。
3 網(wǎng)絡實施
3.1 廣域網(wǎng)實施
3.1.1 PPPoE技術原理
PPP協(xié)議作為廣域網(wǎng)協(xié)議擴展了HDLC協(xié)議結(jié)構(gòu), 通過在數(shù)據(jù)包中提供LCP、NCP和數(shù)據(jù)幀的功能提供撥號連接����、串行連接及DSL連接。
目前中國電信PPPoE網(wǎng)絡結(jié)構(gòu)原理如圖2所示, 以此次實施的方案為例, 分支機構(gòu)辦事處的分頻器下聯(lián)至ADSL設備和電話, 上聯(lián)到電信的DSLAM設備, 由DSLAM將低頻語言信號��、高頻數(shù)字信號分別轉(zhuǎn)發(fā)到PSTN網(wǎng)絡和IP寬帶接入網(wǎng)�。經(jīng)過RADIUS服務器驗證用戶名和密碼的合法性后, 最后由BRAS/BAS計費網(wǎng)關設備終結(jié)PPPoE數(shù)據(jù), 以后數(shù)據(jù)就通過IP城域網(wǎng)或IP骨干網(wǎng)轉(zhuǎn)發(fā)至目標地。
圖2 PPPoE網(wǎng)絡結(jié)構(gòu)原理圖 下載原圖
類似于PPP協(xié)議, PPPoE協(xié)議會話也有建立和初始化鏈路階段, 但作為基于以太網(wǎng)的協(xié)議, 在初始化過程中增加了發(fā)現(xiàn)和會話階段����。PPPoE協(xié)議的發(fā)現(xiàn)階段是為了識別DSLAM設備的MAC地址, 完成此步操作后CPE路由器就和DSLAM設備都獲取了建立連接關系所需的信息。PPPoE協(xié)議會話階段將協(xié)商PP-PoE的MRU凈載荷 (數(shù)據(jù)域) , 以太網(wǎng)的MTU為1500字節(jié), PPPoE的頭部6個字節(jié)和協(xié)議字段2個字節(jié)需要占用, 故MRU在CPE路由器上需要設置為1492個字節(jié)���。
3.1.2 Cisco路由器PPPoE實現(xiàn)
配置過程中, 首先在2821路由器上為PPPoE配置以太網(wǎng)接口, 此次分支機構(gòu)使用Gig0/0端口作為外網(wǎng)接口連接使用端口連接防火墻配置見圖3���。
圖3 PPPoE配置以太網(wǎng)口 下載原圖
圖4表示了在2821設備上撥號器接口的配置。2821路由器作為CPE設備, 其外網(wǎng)撥號接口的地址IP需要由電信提供����。其中PPP認證采用的是PAP方式, ADSL驗證所用的用戶名和密碼圖中用“*”號省略表示��。由于Dailer0作為連接電信的邏輯接口, 需要配置缺省路由, 將路由器上的缺省目標地址將都轉(zhuǎn)發(fā)到Dailer0接口�。
圖4 PPPoE配置撥號器接口 下載原圖
2811路由器作為內(nèi)網(wǎng)和外網(wǎng)的連接設備, 需要通過NAT技術實現(xiàn)地址轉(zhuǎn)換以保證內(nèi)部網(wǎng)絡可以訪問外部互聯(lián)網(wǎng), 配置中Gig0/1作為inside端口, Dialer0作為outside端口, Dialer0從電信所獲取的地址將用于內(nèi)網(wǎng)設備訪問互聯(lián)網(wǎng)時源地址轉(zhuǎn)換, 配置如圖5所示���。
3.2 VPN實施
3.2.1 IPSecVPN技術原理
VPN (VirtualPrivateNetwork) , 是在ISP提供的公網(wǎng)中通過提供一個安全和穩(wěn)定的隧道, 為數(shù)據(jù)流量建立一個臨時且安全的鏈路�。VPN所建立的鏈路兩端沒有傳統(tǒng)的端到端的物理鏈路, 而是利用公網(wǎng)資源動態(tài)建立實現(xiàn), 通過對數(shù)據(jù)加密��、驗證和身份識別等多種技術, 在企業(yè)廣域網(wǎng)訪問過程中實現(xiàn)高的安全和可靠性����。
IPSec協(xié)議作為VPN技術中的一種, 提供了強大的安全、加密����、認證和密鑰管理功能, 其工作于三層協(xié)議, 可以直接傳輸網(wǎng)絡協(xié)議數(shù)據(jù)包[6]。
3.2.2 ASA防火墻IPSecVPN實現(xiàn)
遠程接入客戶端的驗證可以在本地, 也可以在AAA服務器中實現(xiàn)[4]��?��?紤]到項目中的VPN客戶數(shù)目分類不多且訪問對象單一驗證工作就放在防火墻中執(zhí)行為張家港楊舍辦事處創(chuàng)建的賬號和分配的地址池如圖6所示。
圖6 增加VPN用戶賬號和地址池 下載原圖
ISAKMP (Internet安全關聯(lián)和密鑰管理協(xié)議) 作為IPsecVPN體系中的一種主要協(xié)議, 定義了VPN雙方建立, 協(xié)商, 修改和刪除安全連接的程序和信息包格式[7]���。項目中ASA防火墻為遠程訪問的用戶配置ISAKMP階段1策略如圖7所示���。
ASA防火墻中的變換集所體現(xiàn)的是安全協(xié)議和算法的一個特定組合, 該組合用于規(guī)定流量的安全策略�。在IKE階段2必須完成建立動態(tài)加密映射dynamic-map, 并在靜態(tài)映射map中引用動態(tài)加密映射dynamic-map�。該執(zhí)行過程如圖8所示。
圖8 配置動態(tài)加密映射 下載原圖
篇幅所限, IPSecVPN創(chuàng)建過程中涉及的組策略�、隧道組定義及和VPN有關的ACL等幾個部分不再此處一一列出。
3.2.3 用戶訪問安全實現(xiàn)
為保證集團網(wǎng)絡的安全可靠, 在總部及各個分支機構(gòu)的接入層交換機上配置交換機自動學習MAC地址并做MAC地址綁定, 對連接終端的交換機接口一律配置為portfast以加速STP的收斂速度, 配置如圖9所示���。同時在接入層和匯聚層交換機中啟用了基于VLAN����、IP���、端口的ACL安全訪問控制, 以保證數(shù)據(jù)訪問的安全可靠��。
圖9 配置交換機MAC地址綁定 下載原圖
在上述安全實施的基礎上, 總部及玉山各自借助在本地網(wǎng)絡中一臺已架設Windows2003Server的服務器上啟用Radius服務器功能, 對所有進入接入層交換機的數(shù)據(jù)流量進行基于端口的802.1x認證, 在提高安全認證效率同時最大限度保證網(wǎng)絡安全性, 總部接入層交換機802.1x認證配置如圖10���、圖11所示。
圖1 0 配置交換機在啟用Radius服務器進行802.1x認證 下載原圖
圖1 1 配置交換機端口啟用802.1x認證 下載原圖
4 結(jié)束語
該存儲物流集團網(wǎng)絡改造實施后的廣域網(wǎng)和VPN技術滿足了企業(yè)日常業(yè)務數(shù)據(jù)需求��。目前, 蘇州總部ASA 5520可以承擔750個并發(fā)IPSecVPN訪問, 如果以后VPN用戶數(shù)目超過這個范圍, 建議購置專用的SSLVPN設備��。玉山目前承擔總部數(shù)據(jù)備份工作, 考慮到今后業(yè)務數(shù)據(jù)流量增加, 可以考慮增加廣域網(wǎng)加速器在不擴充廣域網(wǎng)鏈路帶寬的前提下可以有效提升廣域網(wǎng)數(shù)據(jù)傳輸效率。
